证券股份有限公司网络与信息安全管理办法模版

1、证券股份有限公司网络与信息安全管理办法第一章 总则第一条 为加强公司网络与信息安全管理，保护公司和投资者信息安全，根据中国证券监督管理委员会证券期货业信息安全保障管理办法证券期货业网络与信息安全事件报告与调查处理办法证券期货业信息系统运维管理规范，中国证券业协会技术指引、行业规范、标准及重要信息系统等级保护工作的要求，结合公司实际情况，制定本管理办法。第二条 本制度适用于对公司各部门、分公司、营业部所有网络与信息系统及设备在规划设计、建设开发、运行维护及日常使用过程中所涉及到的各种安全问题的管理，包括但不限于物理安全、网络安全、系统安全、设备安全、应用安全、信息资产安全、访问控制、业务连续性管

2、理及安全突发事件处置。本制度适用于公司所有计算机用户和计算机信息用户，包括来访者、供应商及支撑公司业务的第三方人员。 子公司网络与信息安全管理参照有关规定执行。第三条 公司信息安全工作管理采用统一领导、分级管理、分级负责的原则。第四条 信息技术部统一归口管理公司网络与信息安全管理工作。第五条 本管理办法所指网络与信息系统及设备包括信息系统、网络、计算机、存储介质、其它用于支持电子信息交换和存储的设备，以及在此基础结构上的操作系统、应用系统和电子数据等。第二章 总体方针第六条 整体规划，分步实施，逐步建立和完善公司网络与信息安全管理体系。第七条 信息安全设施应与应用系统及网络同步规划、同步建设、

3、同步运行。第八条 做好安全建设的成本效益分析，在安全性和投入成本之间、安全性和易用性之间做好平衡工作。第九条 预防为主，防治结合，加强网络与信息安全风险预防与评估，提高全体员工网络与信息安全意识和防护水平，防范网络与信息安全事件发生。第三章 管理目标第十条 保障公司网络与信息系统持续、稳定、安全、可靠运行，确保运行在此基础上的操作系统、应用系统和电子数据的安全，实现信息的保密性、完整性和可用性。本条所指保密性，是指信息用户必须有合理的业务需要，才可以获得公司的相关信息，未经授权，公司的信息不得泄露给任何人；完整性是指公司的信息不被非授权修改或破坏；可用性是指公司合法用户的正常请求能及时、正确、

4、安全地得到服务或回应。第十一条 制订公司信息安全策略和管理制度，明确信息安全管理机构，形成职责清晰、合理高效的信息安全管理体制和工作机制，结合信息安全管理技术和手段，并不断更新、改进、完善，实现公司信息安全风险可管理。第十二条 建立公司信息资产管理制度和体系，加强信息安全保密管理，逐步建立信息系统分等级安全保护和备份体系。第十三条 建立网络与信息安全风险检测、监测、评估和预防机制，防范网络与信息安全事件的发生，不断提高网络与信息安全事件应对和处理水平。第十四条 建立信息安全管理体系的定期监督、评估和改进机制，实现信息安全体系的运转效果和成本可度量，保证安全体系的及时性、完整性、有效性。第四章

5、基本要求第十五条 公司建立和完善信息系统运行的基础设施，机房、电力、空调、消防、通信等基础设施的建设应符合行业信息安全管理的有关规定，满足公司业务发展的需求。第十六条 公司设置合理的网络结构，实行统一配置和管理，划分安全区域，各安全区域之间进行有效隔离，并具有防范、监控和阻断来自内外部网络攻击破坏的能力。第十七条 公司建立符合业务要求的信息系统。信息系统应具有合理的架构，足够的性能、容量、可靠性、扩展性和安全性，能够支持业务的运行和发展。第十八条 公司建立防范木马、病毒等恶意代码的平台，实行统一管理、集中控制，防止恶意代码对信息系统造成破坏，防止信息泄露或者被篡改。第十九条 公司建立完善的信息

6、技术治理架构，明确信息技术决策、管理、执行和内部监督的权责机制。第二十条 公司建立完善的信息技术管理制度和操作规程，并严格执行。第二十一条 公司信息技术部建立信息安全组织，负责公司网络与信息安全工作。 各部门、分公司、按照本管理办法执行的子公司主要负责人为本单位信息安全第一责任人，同时须指定一名信息安全专员，负责指导、督促本单位所有信息系统和计算机用户，包括使用公司信息系统、计算机和网络资源的第三方组织或人员，严格遵守公司网络与信息安全管理及信息保密相关规定。营业部信息安全管理职责参照公司分支机构技术及it人员管理相关制度执行。第五章 持续保障要求第二十二条 公司根据行业规划和公司发展战略，定

7、期制定信息化与信息安全发展规划，满足业务发展和信息安全管理的需要。第二十三条 公司对信息系统立项、设计、开发、测试、运行与维护等环节实行统一集中管理，定期对信息系统的可靠性和安全性进行检查。第二十四条 信息系统新建、升级、变更、换代等建设项目，应当进行充分论证和测试并采取严格的质量控制程序，新建系统必须同步设计安全方案并同步实施。第二十五条 交易、行情、开户、结算、风控、通信等重要信息系统原则上应拥有执行程序和源代码并安全可靠存放。系统上线前对执行程序和源代码进行严格的审查和测试，上线或者进行重大升级变更时，应组织公司相关业务及管理部门进行联网测试，并按规定进行报告。第二十六条 公司建立运维管

8、理制度、体系、流程与标准并及时更新，规范开展信息技术基础设施和重要信息系统的运行维护，保障系统安全稳定运行。第二十七条 公司采取监控措施，配备监控和报警工具，对影响信息系统正常运行的关键对象进行监控，包括并不限于机房环境、网络、通信线路、主机、存储、数据库、核心交易业务相关的应用系统、安全设备，定期进行信息系统安全检查及信息安全风险评估。发现风险隐患及时处置，并按照规定进行报告。第二十八条 公司严格系统进入控制以及信息系统的权限、密码管理，权限的审批、设置、变动以及密码的使用、修改应有严格的控制措施并保存完备的记录，用户权限设置应当遵循权限“最小化”和“职责分离”原则。员工岗位变动及离职前相关

9、权限应及时变更或注销。第二十九条 公司建立数据安全备份制度，完善数据备份设施和手段，并按照规定在同城和异地保存备份数据。第三十条 公司制定有效的灾难备份计划和应急预案并定期演练，建立重要信息系统的灾难备份设施，保证核心业务活动连续。第三十一条 各部门、分公司、按照本管理办法执行的子公司应对其使用的信息系统、设备、软件、程序及电子数据，根据业务运作的重要性及潜在风险，进行分级评估和分析，配合信息技术部共同制定安全措施、备份和灾难恢复计划，定期对灾难恢复计划进行演练和改进。第三十二条 各部门、分公司、按照本管理办法执行的子公司应确定业务系统数据的保存期限、保密及销毁要求并定期评估，以确保信息技术部

10、能够根据本单位要求对数据进行安全维护、定期销毁。第三十三条 公司依据国家信息安全等级保护管理相关规范和技术标准，对信息系统分等级实行安全保护，并对等级保护工作的实施进行监督、管理。第三十四条 公司建立信息资产管理制度和体系，对重要信息资产进行分级分类鉴定和标识，包括文档和数据资产、软件资产、实物资产、人员资产和服务资产等，对不同级别、类型的信息资产进行适当的保护，防止信息资产损毁、误用和非授权访问，确保信息资产的保密性、完整性和可用性。第三十五条 公司建立计算机相关设备和软件管理制度，对设备和软件的验证性测试、出入库、安装、盘点、维修（升级）、报废等进行规范，明确设备和软件管理责任人。第三十六

11、条 公司对员工使用的电脑硬件、网络地址、固定电话实行严格登记和管理，并采取技术手段对电脑软件安装、重要文件操作进行限制。第三十七条 公司加强对移动存储介质的管理，使用遵循专网专用原则，严禁移动存储介质在公司交易网和办公网混用。交易网移动存储介质实行专人管理，按需借用。对涉密人员的电脑硬件使用移动存储介质进行限制。第三十八条 公司加强网络信息内容管理，对敏感信息采取过滤机制，对互联网的使用情况进行跟踪，记录互联网连接的使用人、访问的站点、访问的内容和时间段等信息，以便公司、国家安全机关、外部监管机构对互联网的使用情况进行事后审查。第三十九条 公司建立信息安全内部审计制度，定期开展内部审计，发现问

12、题及时进行整改。第四十条 公司加强供应商、服务商管理，建立健全软件开发商筛选机制，对重要的外包服务要明确供应商资质要求、服务等级、服务流程、责任义务和服务质量标准。与供应商签订的合同和保密协议中应明确约定信息安全和保密的权利和义务，定期对供应商资质、专业经验、产品和服务的质量进行了解和评估。涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同，约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。第六章 信息安全事件第四十一条 公司建立快速有效的信息安全事件应急处置机制，及时处置突发信息安全事件，尽快恢复信息系统的正常运行，并按照规定进行报告，不得迟报、漏报、瞒报，落实信息安全事件调查处理与责任追究。第四十二条 公司各部门、分公司、营业部、按照本管理办法执行的子公司及其工作人员发现信息系统异常、网络速度大幅下降、密码被篡改或其它任何与计算机信息安全有关的问题和漏洞时，应及时通过信息安全专员或营业部it人员向信息技术部报告。第七章 培训与责任追究第四十三条 公司制定员工信息安全守则，明确员工保护公司信息和信息系统安全的责任，对全体员工、信息安全专员、营业部it人员定期开展安全教育、培训和考核，增强员工信息安全意识，提高员工信