長城證券責(zé)任公司信息系統(tǒng)管理制度匯編

1、長城證券有限責(zé)任公司信息系統(tǒng)管理制度匯編長城證券有限責(zé)任公司信息技術(shù)中心、乙前言隨著計算機(jī)技術(shù)的迅猛發(fā)展，信息系統(tǒng)已成為證券業(yè)各項(xiàng)業(yè)務(wù)順利運(yùn)轉(zhuǎn)的關(guān)鍵設(shè)施，因此保證信息系統(tǒng)的正常運(yùn)轉(zhuǎn)和防范技術(shù)風(fēng)險，已成為證券業(yè)工作重心之一。為了提高證券行業(yè)的整體技術(shù)水平，有效地防范和化解技術(shù)風(fēng)險，中國證監(jiān)會于1998 年 3 月頒布了證券業(yè)的第一個技術(shù)標(biāo)準(zhǔn)? 證券經(jīng)營機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行） （以下簡稱規(guī)范） ，將證券業(yè)的信息系統(tǒng)建設(shè)與管理工作納入了規(guī)范發(fā)展的軌道。如何使規(guī)范落到實(shí)處，切實(shí)做到技術(shù)管理制度化、日常操作規(guī)范化，是當(dāng)前證券業(yè)信息系統(tǒng)規(guī)范化建設(shè)的一項(xiàng)重要內(nèi)容。為此， 公司信息技術(shù)中心根據(jù)

2、規(guī)范 要求，結(jié)合公司實(shí)際情況，以公司計算機(jī)應(yīng)用管理科學(xué)化、規(guī)范化、高效、安全、實(shí)用、集中統(tǒng)一為原則，起草了長城證券有限責(zé)任公司信息系統(tǒng)管理的一系列規(guī)章制度，并廣泛征求了公司有關(guān)部門與部分營業(yè)部的意見，最終形成這本長城證券有限責(zé)任公司信息系統(tǒng)管理制度匯編（以下簡稱制度匯編） 。本制度匯編分為三大部分。一是公司信息系統(tǒng)管理辦法（試行），共有 18 條，主要包括公司信息技術(shù)中心的工作職責(zé)、證券營業(yè)部（以下簡稱營業(yè)部）電腦部的職責(zé)、以及有關(guān)營業(yè)部搬遷、擴(kuò)租、電子設(shè)備購置等事項(xiàng)報批程序與管理辦法等。二是公司信息系統(tǒng)管理實(shí)施細(xì)則（試行），共分 12 章，主要包括計算機(jī)應(yīng)用項(xiàng)目立項(xiàng)和審批程序、應(yīng)用軟件開發(fā)管

3、理、計算機(jī)設(shè)備購置和使用管理、網(wǎng)絡(luò)管理、機(jī)房管理、計算機(jī)設(shè)備報廢管理、耗材管理、防病毒管理、技術(shù)文檔管理以及系統(tǒng)安全保密管理等；三是營業(yè)部信息系統(tǒng)管理辦法（試行），共分 ? 章，比較詳細(xì)地制定了營業(yè)部電腦部工作職責(zé)、人員管理、崗位設(shè)置、安全及風(fēng)險防范、軟硬件設(shè)備管理、數(shù)據(jù)管理、資料管理等各項(xiàng)規(guī)章制度。本制度匯編由公司信息技術(shù)中心統(tǒng)一組織實(shí)施，并負(fù)責(zé)監(jiān)督、檢查相關(guān)規(guī)章制度的貫徹執(zhí)行。本制度匯編的修改、解釋權(quán)歸公司信息技術(shù)中心。本制度匯編屬公司內(nèi)部資料，應(yīng)妥善保管、注意保密。第一部分長城證券有限責(zé)任公司 信息系統(tǒng)管理辦法（試行）第一條為了貫徹公司“以客戶為中心，以利潤為中心，合規(guī)經(jīng)營、開拓創(chuàng)新”的

4、經(jīng)營指導(dǎo)方針，適應(yīng)公司全面提升公司各項(xiàng)業(yè)務(wù)和管理 水平，逐漸形成長城經(jīng)營特色，爭取使各項(xiàng)工作再上一個新臺階 的要求，實(shí)現(xiàn)公司系統(tǒng)內(nèi)計算機(jī)技術(shù)與應(yīng)用的有效管理，充分發(fā) 揮計算機(jī)技術(shù)資源的整體優(yōu)勢，特制定本管理辦法。第二條公司計算機(jī)應(yīng)用管理工作堅持科學(xué)、規(guī)范、安全、高效、實(shí)用的原則。第三條公司計算機(jī)應(yīng)用管理實(shí)行集中統(tǒng)一管理的原則。集中統(tǒng)一管理是指在公司系統(tǒng)內(nèi)，以統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一應(yīng)用、統(tǒng)一實(shí)施、 統(tǒng)一采購的“五統(tǒng)一”方式，分步實(shí)施推廣計算機(jī)應(yīng)用技術(shù)，并 對計算機(jī)應(yīng)用進(jìn)行日常管理和維護(hù)。第四條公司設(shè)立信息技術(shù)中心，下屬各營業(yè)部設(shè)立電腦部。公司計算機(jī)應(yīng)用由信息技術(shù)中心歸口管理。第五條公司信息技術(shù)

5、中心是全公司計算機(jī)信息系統(tǒng)規(guī)劃、管理和技術(shù)協(xié)調(diào)的主管部門。各營業(yè)部電腦部在技術(shù)上接受信息技術(shù)中心的指 導(dǎo)、管理和考核，在業(yè)務(wù)及行政上接受所在營業(yè)部負(fù)責(zé)人的領(lǐng)導(dǎo) 和管理第六條信息技術(shù)中心的主要職能是：1、保證公司的信息技術(shù)的應(yīng)用具有前瞻性。2、保障當(dāng)前投入使用的系統(tǒng)穩(wěn)定運(yùn)行。3、結(jié)合業(yè)務(wù)發(fā)展與技術(shù)更新，及時推出高質(zhì)量的新技術(shù)應(yīng)用系統(tǒng)。4、建立并保持高素質(zhì)的、穩(wěn)定的技術(shù)隊伍。5、協(xié)助公司制定信息技術(shù)應(yīng)用的整體發(fā)展策略。6、根據(jù)整體的發(fā)展策略，制定具體的年度工作規(guī)劃并組織實(shí)施。7、制定或改進(jìn)與信息系統(tǒng)相關(guān)的開發(fā)、維護(hù)及應(yīng)用的規(guī)章制度。8. 配合人力資源部，對公司及營業(yè)部電腦人員的考核、聘用、任免以及

6、培訓(xùn)。8、協(xié)助進(jìn)行公司內(nèi)計算機(jī)軟硬件的選型招標(biāo)。9、審批營業(yè)部計算機(jī)軟硬件購置的年度預(yù)算及相應(yīng)技術(shù)鑒定，審核計算機(jī)設(shè)備的購置、報損、報廢等工作。10、 協(xié)助公司作不定期的技術(shù)審計，對營業(yè)部信息系統(tǒng)進(jìn)行專項(xiàng)檢查。11、 完成總部的各應(yīng)用信息系統(tǒng)及交易系統(tǒng)的日常維護(hù)工作，包括通訊、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全（防黑客、防病毒、數(shù)據(jù)備份）等。12、 負(fù)責(zé)具體指導(dǎo)和監(jiān)營業(yè)部電腦部工作，對營業(yè)部提供實(shí)時技術(shù)支持和現(xiàn)場服務(wù)。13、 為公司電子商務(wù)的發(fā)展，提供充分的技術(shù)支持，維護(hù)更新公司的內(nèi)、外網(wǎng)站，保障網(wǎng)上交易等各類電子商務(wù)業(yè)務(wù)的開展。14、 技術(shù)資料的管理。15、 公司授權(quán)的其他管理職能。第七條公司重要職能部

7、門及營業(yè)部下屬遠(yuǎn)程網(wǎng)點(diǎn)，設(shè)置計算機(jī)管理員，負(fù)責(zé)本部門計算機(jī)的日常維護(hù)管理以及與上級主管技術(shù)部門的聯(lián)絡(luò)工作。第八條各營業(yè)部設(shè)置電腦部，負(fù)責(zé)本部門信息系統(tǒng)的建設(shè)、日常維護(hù)管理以及與公司信息技術(shù)中心的聯(lián)絡(luò)工作。具體職能為：1、化安全意識，自覺遵守公司關(guān)于營業(yè)部信息系統(tǒng)管理的各項(xiàng)規(guī)章制度。2、負(fù)責(zé)本營業(yè)部計算機(jī)信息系統(tǒng)的建設(shè)、管理和維護(hù)，確保系統(tǒng)安全運(yùn)行。3、及時處理證券交易所及有關(guān)主管部門播發(fā)的涉及信息系統(tǒng)運(yùn)行的數(shù)據(jù)、文件和各類通知。4、負(fù)責(zé)計算機(jī)硬件設(shè)備的管理和維護(hù)，保持系統(tǒng)處于良好的運(yùn)行狀態(tài)。5、負(fù)責(zé)本營業(yè)部信息系統(tǒng)的安全運(yùn)行。開市之前做好系統(tǒng)的運(yùn)行準(zhǔn)備工作，開市期間實(shí)時監(jiān)控系統(tǒng)運(yùn)行狀況、 處理

8、突發(fā)事件，收市后配合清算員完成日結(jié)清算等盤后工作。6、完整、準(zhǔn)確地記錄計算機(jī)信息系統(tǒng)的運(yùn)行日志。7、嚴(yán)格按故障報告制度及時、準(zhǔn)確地處理系統(tǒng)出現(xiàn)的故障。8、負(fù)責(zé)交易業(yè)務(wù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)和其他重要數(shù)據(jù)、資料的備份及其管理。9、根據(jù)本營業(yè)部的業(yè)務(wù)發(fā)展需求，提交應(yīng)用系統(tǒng)需求報告、軟硬件采購計劃，報公司信息技術(shù)中心審批。10、 在公司信息技術(shù)中心的安排下，承擔(dān)公司信息網(wǎng)絡(luò)系統(tǒng)建設(shè)中涉及本營業(yè)部的有關(guān)工作。11、 負(fù)責(zé)本營業(yè)部計算機(jī)信息系統(tǒng)各類文檔的收集、整理、分類、歸檔、備案。12、 負(fù)責(zé)編制營業(yè)部計算機(jī)設(shè)備的統(tǒng)計報表及協(xié)助財務(wù)部擬定本營業(yè)部計算機(jī)設(shè)備報廢、報損計劃，報公司信息技術(shù)中心審核13、 提出本營

9、業(yè)部計算機(jī)人員技術(shù)培訓(xùn)計劃。14、 負(fù)責(zé)本營業(yè)部其他業(yè)務(wù)人員計算機(jī)應(yīng)用培訓(xùn)。15、 緊密跟蹤計算機(jī)新技術(shù)的發(fā)展，為新技術(shù)的推廣應(yīng)用做好充分的技術(shù)準(zhǔn)備。16、 完成公司信息技術(shù)中心交辦及本營業(yè)部總經(jīng)理下達(dá)的其他工作任務(wù)。17、 各營業(yè)部電腦部經(jīng)理人選，須由所在營業(yè)部提出推薦意見上報公司，經(jīng)公司人力資源部會同信息技術(shù)中心進(jìn)行資格審查和考核，并報公司領(lǐng)導(dǎo)批準(zhǔn)后聘任。第九條公司各部室、中心及營業(yè)部計算機(jī)網(wǎng)絡(luò)、系統(tǒng)的新建或整體改造，必須在年初申報計劃，并附完整的整體設(shè)計方案和可行性論證報告，由信息技術(shù)中心審批。第十條各營業(yè)部申請搬遷、擴(kuò)租營業(yè)面積以及涉及公司整體項(xiàng)目建設(shè)，應(yīng)根據(jù)經(jīng)紀(jì)業(yè)務(wù)管理總部及財務(wù)資金

10、總部有關(guān)上報的要求提出立 項(xiàng)申請，在經(jīng)紀(jì)業(yè)務(wù)管理總部批準(zhǔn)后，再向經(jīng)紀(jì)業(yè)務(wù)管理總部報 送可行性分析報告與裝修預(yù)算方案，向信息技術(shù)中心報送計算機(jī) 設(shè)備預(yù)算和技術(shù)方案，由經(jīng)紀(jì)業(yè)務(wù)管理總部、信息技術(shù)中心分別 審核批復(fù)后，營業(yè)部方能實(shí)施。第十一條 公司各部室、中心為加強(qiáng)系統(tǒng)安全運(yùn)轉(zhuǎn)，保證正常運(yùn)營的電腦設(shè) 備購置和網(wǎng)絡(luò)改造等方面的簽報，直接報送公司信息技術(shù)中心。信息技術(shù)中心將依據(jù)中國證監(jiān)會技術(shù)監(jiān)管的規(guī)范要求和公司技術(shù) 發(fā)展總體綱要進(jìn)行審查，在總部計劃財務(wù)部核定的營業(yè)部當(dāng)年新 增固定資產(chǎn)可用規(guī)模內(nèi)進(jìn)行核準(zhǔn)，并按月向財務(wù)資金總部提供清 單，不再向其他部門申報。第十二條公司設(shè)立計算機(jī)設(shè)備采購小組，具體負(fù)責(zé)公司計

11、算機(jī)設(shè)備（包括相關(guān)工程項(xiàng)目）的招標(biāo)、評標(biāo)與購置事宜。第十三條所有的計算機(jī)設(shè)備（包括軟件）采購均須采取招標(biāo)方式，遵循嚴(yán)格、規(guī)范的招標(biāo)程序，包括制定標(biāo)書、發(fā)標(biāo)、接標(biāo)、評標(biāo)，最后 經(jīng)采購小組審定后報公司主管領(lǐng)導(dǎo)審批。第十四條公司各部室、中心及營業(yè)部購置的計算機(jī)設(shè)備，凡屬于固定資產(chǎn)的，按公司固定資產(chǎn)管理辦法進(jìn)行管理。第十五條各營業(yè)部電腦部應(yīng)每季度向信息技術(shù)中心提交書面工作報告，及時反映工作動態(tài)與需解決的問題。第十六條公司各部室、中心及營業(yè)部如有人員調(diào)離，須事先通知公司信息技術(shù)中心，以便及時清除網(wǎng)絡(luò)登錄用戶并確定是否進(jìn)行相關(guān)審計。第十七條本辦法由公司信息技術(shù)中心負(fù)責(zé)解釋。第十八條本辦法自下發(fā)之日起執(zhí)行。

12、此前頒布的有關(guān)規(guī)定中與本辦法不一致的，以本辦法為準(zhǔn)。第二部分長城證券有限責(zé)任公司信息系統(tǒng)管理實(shí)施細(xì)則（試行）目錄第十二章附則0161718附表12信息技術(shù)中心總部數(shù)據(jù)備份任務(wù)一覽表19附表13信息技術(shù)中心總部數(shù)據(jù)備份介質(zhì)內(nèi)容變更登記表20附表14信息技術(shù)中心數(shù)據(jù)庫操作申請表21附表15信息技術(shù)中心數(shù)據(jù)庫訪問監(jiān)控報表22第一章總則第一條為加強(qiáng)長城證券有限責(zé)任公司（以下簡稱公司）對計算機(jī)應(yīng)用的集中統(tǒng)一管理，規(guī)范全公司系統(tǒng)的計算機(jī)應(yīng)用，保證計算機(jī)系統(tǒng)和設(shè)備的正常運(yùn)轉(zhuǎn)，根據(jù)公司信息系統(tǒng)管理辦法，制訂本實(shí)施細(xì)則。第二條本實(shí)施細(xì)則主要包括計算機(jī)應(yīng)用項(xiàng)目立項(xiàng)和審批程序、計算機(jī)設(shè)備購置和使用管理、應(yīng)用軟件開發(fā)

13、管理、計算機(jī)設(shè)備報廢管理、耗材管理、網(wǎng)絡(luò)管理、機(jī)房管理、技術(shù)文檔的管理、系統(tǒng)安全保密管理、網(wǎng)絡(luò)防病毒管理以及技術(shù)培訓(xùn)管理等。第三條本辦法適用于公司各部室、中心及所屬證券營業(yè)部（以下簡稱營業(yè)部） 。第二章信息系統(tǒng)工程項(xiàng)目申請、立項(xiàng)和審批程序第一條計算機(jī)應(yīng)用項(xiàng)目包括計算機(jī)網(wǎng)絡(luò)系統(tǒng)新建與改造、硬件設(shè)備與系統(tǒng)軟件的購置、升級以及應(yīng)用軟件開發(fā)與升級等。第二條凡單價超過五千元的計算機(jī)應(yīng)用項(xiàng)目，須填寫長城證券有限責(zé)任公司計算機(jī)應(yīng)用項(xiàng)目立項(xiàng)申請報告（） ，并報公司信息技術(shù)中心審批。第三條已立項(xiàng)的計算機(jī)應(yīng)用項(xiàng)目完成后，由公司信息技術(shù)中心會同有關(guān)業(yè)務(wù)管理人員組成項(xiàng)目驗(yàn)收小組進(jìn)行驗(yàn)收，驗(yàn)收結(jié)果形成長城證券有限責(zé)任公

14、司計算機(jī)應(yīng)用項(xiàng)目驗(yàn)收報告（）。第四條 公司各部室、中心在每年的12 月 31 日前，提出本部門下一年度的計算機(jī)應(yīng)用項(xiàng)目建設(shè)、購置及升級計劃，填寫計算機(jī)設(shè)備需求計劃表（）、計算機(jī)設(shè)備資金需求計劃表（）報信息技術(shù)中心。第五條信息技術(shù)中心根據(jù)公司信息系統(tǒng)建設(shè)總體規(guī)劃和各部室、中心及營業(yè)部提交的計劃，匯總制定公司下一年度計算機(jī)應(yīng)用項(xiàng)目購建計劃，報請公司批準(zhǔn)后執(zhí)行。第六條對于計劃外的計算機(jī)應(yīng)用項(xiàng)目，除特殊應(yīng)急項(xiàng)目特批外，其他原則上不予審批。第七條對于投資較大、建設(shè)周期較長、涉及面廣的計算機(jī)應(yīng)用項(xiàng)目，信息技術(shù)中心將邀請業(yè)務(wù)需求部門、營業(yè)部電腦人員及有關(guān)專家進(jìn)行技術(shù)論證和評審，原則上采用統(tǒng)一招標(biāo)，統(tǒng)一推廣的

15、方式。第三章信息系統(tǒng)安全管理制度總 M第一條為了加強(qiáng)對公司信息系統(tǒng)的安全管理、防范和化解各種技術(shù)風(fēng)險、保護(hù)投 資者利益、維護(hù)公司的合法權(quán)益，確保公司各項(xiàng)業(yè)務(wù)的順利開展，根據(jù)中 華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例、證券經(jīng)營機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行）及有關(guān)規(guī)定制定本制度。第二條信息系統(tǒng)安全管理涉及安全管理組織建設(shè)、安全策略、系統(tǒng)環(huán)境安全、軟 件安全、設(shè)備（實(shí)體）安全、網(wǎng)絡(luò)和通訊系統(tǒng)安全、用戶及權(quán)限管理、操 作安全、病毒防范、系統(tǒng)備份、日志記錄、事故處理以及安全審計等內(nèi)容， 公司信息技術(shù)工作應(yīng)在本制度指引下，本著“安全第一”的原則進(jìn)行。第三條本制度適用于長城證券公司總部、各地區(qū)總部及

16、各營業(yè)部。組織和職責(zé)第四條信息系統(tǒng)安全管理實(shí)行公司總裁負(fù)責(zé)的公司安全管理委員會和營業(yè)部總 經(jīng)理負(fù)責(zé)的營業(yè)部安全管理小組兩級管理制度。第五條公司安全管理委員會下設(shè)安全工作小組作為執(zhí)行機(jī)構(gòu)，定期對公司范圍信 息系統(tǒng)的安全性作出評價，必要時提出提高安全性的建議。第六條 公司安全管理委員會的職責(zé)包括：建立健全公司各種安全制度、對安全工 作小組的工作進(jìn)行授權(quán)、對公司各類信息的重要性進(jìn)行評估為其安全級別 的制定提供依據(jù)、對安全工作小組有關(guān)報告的討論和批復(fù)、安全事故處理 結(jié)果的公布、取得法律支持以解決信息系統(tǒng)入侵者的問題，以及進(jìn)行安全 教育和安全檢查。第七條營業(yè)部安全管理小組的職責(zé)包括：監(jiān)督和檢查各項(xiàng)安全管

17、理制度在營業(yè)部 的落實(shí)情況、定期向公司安全管理委員會提交工作報告、處理公司安全管理委員會授權(quán)的事務(wù)、配合公司安全工作小組的工作、開展計算機(jī)安全教育、保證營業(yè)部信息系統(tǒng)安全運(yùn)行。安全策略第八條計算機(jī)信息系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵守法律、行政法規(guī)和國家其他有關(guān)規(guī)定。第九條對計算機(jī)信息系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時向營業(yè)部總經(jīng)理匯報，并于24小時內(nèi)向總部信息技術(shù)中心報告。第十條通過對信息系統(tǒng)環(huán)境、軟件、硬件、網(wǎng)絡(luò)和通信、用戶和權(quán)限、規(guī)范化操作、病毒防范、備份和恢復(fù)手段以及安全審計等的有效管理，維護(hù)公司整個計算機(jī)環(huán)境的一致性。第十一條建立一個多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。第十二

18、條對公司員工進(jìn)行計算機(jī)安全教育，提高員工的安全意識，是公司安全策略的重要組成部分。第十三條營業(yè)部安全管理小組必須定期對本營業(yè)部的主要計算機(jī)信息系統(tǒng)資源配置、技術(shù)人員構(gòu)成進(jìn)行登記，并報公司安全管理委員會備案。第十四條公司安全管理委員會及營業(yè)部安全管理小組應(yīng)當(dāng)對公司總部和各營業(yè)部重要崗位計算機(jī)信息系統(tǒng)的安全情況經(jīng)常進(jìn)行檢查，并及時整改不安全隱患。第十五條公司安全管理委員會應(yīng)當(dāng)建立廢棄數(shù)據(jù)、介質(zhì)的處理制度。第十六條公司總部和各營業(yè)部啟用新的應(yīng)用軟件，應(yīng)當(dāng)按中有關(guān)規(guī)定業(yè)務(wù)系統(tǒng)，并做好日志記錄。第十七條公司安全管理委員會應(yīng)當(dāng)建立嚴(yán)格的密鑰管理制度和在緊急情況下銷毀密鑰的手段和措施，以防止密鑰的失密。安全

19、監(jiān)督第十八條公司安全管理委員會對公司內(nèi)部計算機(jī)信息系統(tǒng)安全保護(hù)工作行使下列監(jiān)督職權(quán)：1、監(jiān)督、檢查、指導(dǎo)計算機(jī)信息系統(tǒng)安全保護(hù)工作；2、查處危害計算機(jī)信息系統(tǒng)安全的事件；3、組織或委托有關(guān)部門對新建、改建和擴(kuò)建的系統(tǒng)進(jìn)行安全驗(yàn)收，負(fù)責(zé)系統(tǒng)安全技術(shù)檢測工作；4、組織開展系統(tǒng)安全競賽和評比；負(fù)責(zé)通報表彰和處罰；5、履行計算機(jī)信息系統(tǒng)安全保護(hù)工作的其他監(jiān)督職責(zé)。第十九條公司安全管理委員會發(fā)現(xiàn)影響計算機(jī)信息系統(tǒng)安全的隱患時，應(yīng)當(dāng)及時通知公司各有關(guān)部門和各營業(yè)部采取安全保護(hù)措施。第二十條公司安全管理委員會在緊急情況下，可以就涉及計算機(jī)信息系統(tǒng)安全的特定事項(xiàng)發(fā)布專項(xiàng)通知。安全管理第一節(jié)信息系統(tǒng)環(huán)境的安全管

20、理第二十一條信息系統(tǒng)環(huán)境的安全管理按照公司及信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)執(zhí)行。第二節(jié)軟件安全管理第二十二條總部信息技術(shù)中心依據(jù)公司軟件開發(fā)管理制度對系統(tǒng)軟件、應(yīng)用軟件的開發(fā)、購買、測試和使用等環(huán)節(jié)進(jìn)行管理。第二十三條軟件的開發(fā)和采購報告必須包括安全設(shè)計的說明，其安全設(shè)計必須符合軟件開發(fā)管理制度的有關(guān)規(guī)定。第二十四條信息技術(shù)人員應(yīng)按照信息技術(shù)中心下發(fā)的安裝配置方法對系統(tǒng)軟件進(jìn)行統(tǒng)一的安裝配置。第二十五條信息系統(tǒng)的安全漏洞一經(jīng)發(fā)現(xiàn)應(yīng)及時報告公司安全管理委員會。第二十六條信息技術(shù)中心應(yīng)與軟件開發(fā)商和供應(yīng)商保持聯(lián)系，及時取得并組織安裝經(jīng)過測試的安全補(bǔ)丁。第二十七條軟件使用部門根據(jù)業(yè)務(wù)需要提出增添新的應(yīng)用軟件或?qū)σ?/p>

21、有應(yīng)用軟件提出新的功能要求，須以部門名義向信息技術(shù)中心填寫軟件需求報告表， 信息技術(shù)中心在收到軟件需求報告表（ 附表5）后，三天之內(nèi)給予書面答復(fù)。第二十八條新購置的軟件需經(jīng)信息技術(shù)中心測試和試運(yùn)行。試運(yùn)行完成后，試用人員應(yīng)填寫軟件驗(yàn)收報告表（ 附表6）報信息技術(shù)中心領(lǐng)導(dǎo)審核，信息技術(shù)中心在收到報告后三天內(nèi)予以回復(fù)。測試穩(wěn)定后由信息技術(shù)中心統(tǒng)一分發(fā)安裝使用。第二十九條自行開發(fā)的應(yīng)用軟件，如源程序中需要嵌入數(shù)據(jù)庫訪問的用戶設(shè)置，應(yīng)由數(shù)據(jù)管理員得到源程序、制作安裝盤。該安裝盤與購置的應(yīng)用軟件安裝盤一并由檔案管理員保管，由應(yīng)用系統(tǒng)維護(hù)人員調(diào)用安裝。第三節(jié)計算機(jī)及相關(guān)設(shè)備的安全管理第三十條總部信息技術(shù)中

22、心配合行政部及財務(wù)部依據(jù)公司電子與通訊設(shè)備固定資產(chǎn)管理制度對計算機(jī)及相關(guān)設(shè)備的選型、采購等過程進(jìn)行管理。第三十一條重要的服務(wù)器、工作站、 網(wǎng)絡(luò)設(shè)備、 通訊設(shè)備應(yīng)放置在機(jī)房， 通過計算機(jī)房管理制度保證其物理安全性。第三十二條重要的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備應(yīng)有備品備件，出現(xiàn)問題及時更換。第三十三條對服務(wù)器及其資源的管理：1、對資源共享權(quán)限和NTFSJ問權(quán)限進(jìn)行嚴(yán)格、有效的管理，不授予用戶超出需要的權(quán)限，權(quán)限的設(shè)置必須有明確的依據(jù)；2 、制定方案，對敏感資源的操作、系統(tǒng)登錄情況進(jìn)行定期或不定期檢查，及時查看L系統(tǒng)日志文件，對ALER相關(guān)日志提示作出及時響應(yīng)；3、提供遠(yuǎn)程訪問和對外WEB務(wù)的

23、服務(wù)器不存放敏感數(shù)據(jù)；4、對一些系統(tǒng)程序（ 如 Telnet 、 ftp 等 ） 的使用應(yīng)加強(qiáng)控制；停止服務(wù)器上不必要的服務(wù)；盡量減少所使用的協(xié)議。第三十四條對貯有重要數(shù)據(jù)的故障設(shè)備，交外單位人員修理時，公司總部及各營業(yè)部必須派專人在場監(jiān)督。第四節(jié)網(wǎng)絡(luò)和通信系統(tǒng)的安全管理第三十五條計算機(jī)通信系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵守法律、行政法規(guī)和國家其他有關(guān)規(guī)定，并建立一個多層次的安全系統(tǒng)，在信息的安全和共享 之間建立平衡。第三十六條采用新的網(wǎng)絡(luò)安全軟件、設(shè)備和技術(shù)保證公司網(wǎng)絡(luò)的安全。第三十七條采用數(shù)據(jù)加密技術(shù)保證數(shù)據(jù)安全傳輸?？偛亢蜖I業(yè)部間業(yè)務(wù)數(shù)據(jù)的傳輸應(yīng)加密后采用數(shù)據(jù)專線進(jìn)行傳輸。并采用 PPM議中PA

24、P CHA相應(yīng) 的認(rèn)證。第三十八條總部和營業(yè)部間業(yè)務(wù)數(shù)據(jù)的傳輸應(yīng)加密后采用數(shù)據(jù)專線進(jìn)行傳輸。第三十九條通信設(shè)備應(yīng)具有防干擾、防截取能力。主要的通信設(shè)備應(yīng)做到設(shè)備備份。第四十條通信線路接口部分應(yīng)采取防止非法進(jìn)入的安全措施。第四十一條進(jìn)行密碼設(shè)置，并進(jìn)行密碼的專職保管，防范通信線路接口部分的采取非法進(jìn)入。第四十二條公司總部及營業(yè)部應(yīng)當(dāng)對公司總部和各營業(yè)部通信系穩(wěn)定、安全情況進(jìn)行定期檢查，并及時整改不安全隱患。第四十三條對通信系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時向營業(yè)部總經(jīng)理匯報， 并于即時與總部信息技術(shù)中心相關(guān)人員聯(lián)系，雙方合作盡快解決問題。第四十四條總部信息技術(shù)中心設(shè)崗位職責(zé)，分別負(fù)責(zé)公司廣域網(wǎng)

25、連接方案、網(wǎng)絡(luò)安全方案的實(shí)施，對總部局域網(wǎng)、公司廣域網(wǎng)連接、各類移動連接、 Internet 接入設(shè)備進(jìn)行管理，以及其它保證網(wǎng)絡(luò)連接安全穩(wěn)定的日常事務(wù)性工作。第四十五條營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負(fù)責(zé)。營業(yè)部柜臺交易系統(tǒng)管理員由營業(yè)部總經(jīng)理擔(dān)任。第四十六條營業(yè)部與交易所的衛(wèi)星通信均應(yīng)做到伙伴備份或isdn 或 ddn 的備份。對上海報盤應(yīng)做到總部備份。對以上備份系統(tǒng)做到定期測試，保證通信無誤。第四十七條為了安全期間，營業(yè)部與營業(yè)部之間應(yīng)限制相互間的直接操作。第五節(jié)數(shù)據(jù)訪問的安全管理第四十八條由于審計、數(shù)據(jù)庫故障調(diào)試等原因，需要訪問數(shù)據(jù)庫時，應(yīng)創(chuàng)

26、建臨時用戶、賦予適當(dāng)?shù)臋?quán)限，并交由審計人員、應(yīng)用系統(tǒng)維護(hù)人員使用，并在使用完畢后及時刪除該臨時用戶。在技術(shù)允許的條件下，應(yīng)限制用戶的登錄工作站。第四十九條對于涉及業(yè)務(wù)、財務(wù)方面的數(shù)據(jù)庫，應(yīng)利用數(shù)據(jù)庫系統(tǒng)的訪問跟蹤記錄功能，設(shè)置對應(yīng)用系統(tǒng)、調(diào)試用戶、超級用戶訪問數(shù)據(jù)庫的命令進(jìn)行跟蹤，記錄到監(jiān)控日志文件中。定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時通報。第五節(jié)管理員及其職責(zé)第五十條總部信息技術(shù)中心設(shè)系統(tǒng)管理員崗位，負(fù)責(zé)公司信息系統(tǒng)的管理，包括服務(wù)器的規(guī)劃、安裝和配置，啟動/停止系統(tǒng)和服務(wù)，對系統(tǒng)運(yùn)行狀態(tài)和入侵企圖進(jìn)行監(jiān)控，安裝/ 刪除軟件，增加/ 刪除 / 修改用戶和用戶組，對用戶/ 用戶組的權(quán)限進(jìn)行設(shè)置和修

27、改，以及其它保持系統(tǒng)發(fā)展和安全運(yùn)行的工作。管理員應(yīng)采取的安全措施有：1、由于管理員組和備份組成員擁有對 SA瞰據(jù)庫的權(quán)限，所以必須嚴(yán)格 限制管理員組和備份組成員資格，并加強(qiáng)對這些帳戶的審計；2、改變Administrator 帳戶名，為管理員和備份操作員創(chuàng)建專用帳號，為特定的工作建立專用的帳號，要求在執(zhí)行相應(yīng)的管理任務(wù)時使用相應(yīng)的帳號，操作結(jié)束時及時注銷；3、關(guān)閉管理員以及特殊權(quán)限用戶的遠(yuǎn)程訪問能力，特殊情況可以采用預(yù)設(shè)電話號碼的回?fù)芊绞剑?、管理員組、備份組成員帳戶不能用于瀏覽 WEB第五十一條總部信息技術(shù)中心設(shè)數(shù)據(jù)管理員崗位， 負(fù)責(zé)總部數(shù)據(jù)的安全 管理和維護(hù)， 具體職責(zé)見信息系統(tǒng)安全管理制

28、度第十三節(jié)。第五十二條總部信息技術(shù)中心設(shè)網(wǎng)絡(luò)管理員崗位，負(fù)責(zé)公司廣域網(wǎng)連接方案、網(wǎng)絡(luò)安全方案的實(shí)施，對總部局域網(wǎng)、公司廣域網(wǎng)連接、各類移動連接、 Internet 接入設(shè)備進(jìn)行管理，以及其它保證網(wǎng)絡(luò)連接安全穩(wěn)定的日常事務(wù)性工作。第五十三條營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負(fù)責(zé)。營業(yè)部柜臺交易系統(tǒng)管理員由營業(yè)部總經(jīng)理擔(dān)任。第五十四條公司設(shè)立財務(wù)系統(tǒng)管理員崗位，財務(wù)系統(tǒng)管理員一般由財務(wù)部經(jīng)理擔(dān)任。第六節(jié) 用戶、組及其權(quán)限第五十五條系統(tǒng)管理員根據(jù)公司業(yè)務(wù)要求建立具有不同權(quán)限的用戶組，包括系統(tǒng)管理權(quán)限、系統(tǒng)和數(shù)據(jù)備份權(quán)限、帳號管理權(quán)限、各種數(shù)據(jù)庫訪問權(quán)限、不

29、同的文件訪問權(quán)限、各種應(yīng)用程序使用權(quán)限、網(wǎng)絡(luò)打印權(quán)限、遠(yuǎn)程訪問權(quán)限、Internet 訪問權(quán)限等。第五十六條總部系統(tǒng)管理員應(yīng)依據(jù)總部行政部的書面通知，完成新增/ 刪除用戶、分配權(quán)限的工作，并用郵件方式回復(fù)。上述通知應(yīng)包括需要新增 / 刪除的用戶的姓名、工作的部門、需要使用何種應(yīng)用等。第五十七條營業(yè)部因人員新增調(diào)動、離職等需對郵件等用戶作出調(diào)整的，由營業(yè)部辦公室主任通知信息技術(shù)中心。第五十八條營業(yè)部交易系統(tǒng)管理員新增/ 刪除柜臺用戶或?qū)τ脩魴?quán)限進(jìn)行分配應(yīng)有文字記錄。對股票、資金等參數(shù)進(jìn)行調(diào)整的非正常業(yè)務(wù)操作必須填寫書面說明，而且必須由營業(yè)部總經(jīng)理及財務(wù)部經(jīng)理共同批準(zhǔn)后方能執(zhí)行。第五十六條營業(yè)部技

30、術(shù)人員在應(yīng)用系統(tǒng)中的權(quán)限應(yīng)只限于系統(tǒng)管理，而無業(yè)務(wù)操作權(quán)限。第五十九條對用戶及權(quán)限管理應(yīng)按以下原則執(zhí)行：1、應(yīng)對具有系統(tǒng)管理、數(shù)據(jù)庫管理等特殊權(quán)限的用戶進(jìn)行限制，包括僅允許在機(jī)房和自己的工作地點(diǎn)登錄，同一時間僅允許同一用戶登錄一次允許遠(yuǎn)程訪問時必須設(shè)定回?fù)芊绞降龋?、盡可能對組而不是對用戶授權(quán)；3、杜絕無口令的登錄帳戶，刪除 GUEST戶；4、對口令長度、復(fù)雜程度、有效期、重復(fù)使用的間隔等進(jìn)行規(guī)定； 5、及時鎖定過期帳戶、暫停使用的帳戶、多次試圖使用無效口令登錄的帳戶，臨時授權(quán)帳戶必須及時取消；6、一般不設(shè)公用帳戶，以保證用戶有獨(dú)立的帳戶；7、對使用時間進(jìn)行限制；8、超時鎖定；9、對無法設(shè)置口

31、令的用戶及公用帳戶應(yīng)加強(qiáng)登錄時間、登錄地點(diǎn)、登錄數(shù)目的限制，對自動執(zhí)行批處理命令的用戶應(yīng)有防中斷措施；10、權(quán)限變更或交接應(yīng)有文字記載。第六十條對使用公司網(wǎng)絡(luò)訪問Internet ，使用打印機(jī)等的用戶實(shí)行嚴(yán)格管理。第七節(jié)操作的規(guī)范化管理第六十一條總部和營業(yè)部應(yīng)分別制定操作規(guī)程，并定期修改。第六十二條禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令。第六十三條公司員工應(yīng)有互不相同的用戶名，定期兩個月更換操作口令。第六十四條一般用戶口令長度不得少于6位，不使用小鍵盤的人員編制口令應(yīng)做到字符與數(shù)字混排，不得使用電話號碼、生日等作為口令；系統(tǒng)管理員口令不得少于10位。第六十五條嚴(yán)禁泄露自己的口令，必須啟

32、用系統(tǒng)軟件提供的安全審計留痕功能。第六十六條各崗位操作權(quán)限要嚴(yán)格按崗位職責(zé)設(shè)置，管理員不得超越用戶職責(zé)授權(quán)。管理員應(yīng)定期檢查操作員的權(quán)限。第六十七條營業(yè)部總經(jīng)理應(yīng)及時審計交易系統(tǒng)柜員所做的操作，重要崗位的登錄過程應(yīng)增加必要的限制措施。第六十八條柜臺交易系統(tǒng)技術(shù)參數(shù)的調(diào)整由電腦部經(jīng)理負(fù)責(zé)；交易業(yè)務(wù)參數(shù)的調(diào)整由財務(wù)部經(jīng)理在履行審批手續(xù)后實(shí)施，禁止電腦技術(shù)人員調(diào)整業(yè)務(wù)參數(shù)。第六十九條營業(yè)部電腦技術(shù)人員可以協(xié)助但不得擔(dān)任清算員從事結(jié)算記帳工作。有關(guān)數(shù)據(jù)需打印存檔的必須使用連續(xù)的打印紙。第七十條建立和完善技術(shù)監(jiān)管系統(tǒng)，定期進(jìn)行獨(dú)立的對帳，核對交易數(shù)據(jù)、清算數(shù)據(jù)、 保證金數(shù)據(jù)、證券托管數(shù)據(jù)以及會計數(shù)據(jù)的一

33、致性和連續(xù)性。第七十一條對數(shù)據(jù)備份和審計記錄建立定期查驗(yàn)制度。第八節(jié)病毒防范第七十二條信息技術(shù)中心應(yīng)指定專人負(fù)責(zé)計算機(jī)病毒防范工作?？偛考盃I業(yè)部應(yīng)定期進(jìn)行病毒檢測，發(fā)現(xiàn)病毒立即處理并報告。重要部門的計算機(jī)應(yīng)當(dāng)指定專人專管計算機(jī)病毒防范工作。第七十三條總部和營業(yè)部必須配備公安部認(rèn)可的正版防病毒軟件并及時更新軟件版本。第七十四條經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認(rèn)無病毒后方可使用。第七十五條禁止運(yùn)行未經(jīng)信息技術(shù)中心審核批準(zhǔn)的軟件。第七十六條新系統(tǒng)安裝前應(yīng)進(jìn)行病毒例行檢測，避免使用盜版軟件。第七十七條嚴(yán)格限制軟驅(qū)和光驅(qū)的使用，軟驅(qū)和光驅(qū)的使用按信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)的有關(guān)條款執(zhí)行。第七十八條在使用

34、moder#外界通訊或能夠訪問Internet的計算機(jī)上應(yīng)安裝病毒 實(shí)時監(jiān)控軟件。第七十九條因計算機(jī)病毒引起的計算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時向信息技術(shù)中心領(lǐng)導(dǎo)及電腦安全管理小組報告。第八十條公司總部員工須與信息技術(shù)中心簽定電腦安全承諾書后，才能領(lǐng)用和使用辦公電腦。第九節(jié)備份第八十一條按照 信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)的有關(guān)規(guī)定對系統(tǒng)進(jìn)行備份。第八十二條營業(yè)部必須對交易數(shù)據(jù)等進(jìn)行備份，備份數(shù)據(jù)存放按公司技術(shù)資料管理制度和信息系統(tǒng)安全管理制度執(zhí)行。第八十三條系統(tǒng)管理員必須提取有關(guān)系統(tǒng)的配置參數(shù)并在修改參數(shù)后及時更新。第八十四條必須保留軟硬件說明書、配置軟件、配置參數(shù)等技術(shù)資料，并存放于安

35、全地點(diǎn)，有關(guān)事項(xiàng)按技術(shù)資料管理制度及信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)執(zhí)行。第八十五條對于加密格式的數(shù)據(jù)，應(yīng)盡可能解密后備份，防范密鑰由于頻繁更換等原因可能丟失所帶來的風(fēng)險。第八十六條數(shù)據(jù)備份在周期性方面可選擇采用以下四種方式：1、 永久性的完全備份：數(shù)據(jù)備份到存儲介質(zhì)后，將介質(zhì)密封永久保存；2、 周五做完全備份、周一至周四做增量備份；3、 定期做覆蓋方式的完全備份：在同一備份介質(zhì)上覆蓋原有備份數(shù)據(jù)；4、 定期做追加方式的完全備份：在同一備份介質(zhì)上增加最新狀態(tài)的備份；第八十七條根據(jù)第四條中不同周期備份方式的要求，備份可選擇以下幾種存儲介質(zhì)：1、 寫的刻錄光碟（CD DV/）,適合于永久備份；2、 磁帶，適合于所

36、有備份策略；3、 可擦寫的其他存儲介質(zhì)（硬盤、MOS0 ,適合于備份策略；備份介質(zhì)在備份操作前須經(jīng)過編號，編號規(guī)則見第八十九條。第八十八條對于某個具體的備份對象，原則上應(yīng)僅選擇一種備份方式和備份介質(zhì)實(shí)施備份。同時盡可能選擇可移動的備份介質(zhì)，以利于數(shù)據(jù)備份的歸檔管理。除非應(yīng)用系統(tǒng)有特殊要求，一般情況下不采用硬盤等不可移動的備份介質(zhì)。第八十九條備份介質(zhì)編號規(guī)則格式為：”ZB” +四位年份代碼+數(shù)據(jù)來源代碼+四位序列號其中數(shù)據(jù)來源代碼01 代表總部數(shù)據(jù)02 代表營業(yè)部數(shù)據(jù)；三位序列號在一個年度中從“0001”開始遞增；如：ZB2001010001代表本備份介質(zhì)是在總部保存的 2001年總部數(shù)據(jù)的第0

37、001 號備份第九十條備份的密封處理可移動的備份介質(zhì)在完成聯(lián)機(jī)備份操作后，如須密封處理則應(yīng)按如下步驟操作：1、 備份介質(zhì)密封登記表（見附件9） ，注明備份日期、內(nèi)容、操作人、復(fù)核人等相關(guān)內(nèi)容，該登記表一式兩份；2、 將備份介質(zhì)及相關(guān)的附件裝入檔案盒，同時放入一份備份介質(zhì)密封登記表，另外一份登記表貼于檔案盒封面；3、 將檔案盒封口處貼上封條，并蓋上保管部門的密封章。（注：密封章可以是公司公章、部門公章或備份專用章，應(yīng)當(dāng)由除檔案管理員之外的人員保管）第九十一條備份的保管根據(jù)備份方式的不同，數(shù)據(jù)備份分如下兩種情況進(jìn)行保管：1、 對于永久性的完全備份，應(yīng)保留兩份備份。在密封處理后，其中的一份交由信息技

38、術(shù)中心檔案管理員保管（蓋信息技術(shù)中心密封章），另外一份交由總部檔案室檔案管理員保管（蓋總部檔案室密封章）；2、 于定期做覆蓋或追加方式的完全備份，應(yīng)保留一份備份。在脫機(jī)后，如保管時間超過七天，則須經(jīng)密封處理由信息技術(shù)中心檔案管理員保管；如保管時間不超過七天，則可有備份管理員鎖于臨時保管箱內(nèi)交由檔案管理員保管；3、 對于周五做完全備份、周一至周四做增量備份的方式，如采用磁帶柜備份且磁帶柜放置于安全的地點(diǎn)，則可將五天備份所用的磁帶一并放入磁帶柜，實(shí)現(xiàn)每日自動裝載和備份；否則仍須按情況（2）的方式進(jìn)行保管。第九十二條備份的檢查1、 對于永久性的完全備份，在密封保管前須通過數(shù)據(jù)導(dǎo)出、檢查數(shù)據(jù)完整性的復(fù)

39、核；在密封保管后，須每隔一年進(jìn)行一次數(shù)據(jù)檢查；2、 對于除永久性的完全備份以外的備份方式，應(yīng)在經(jīng)過了一到兩個備份周期后進(jìn)行恢復(fù)測試；在備份正常運(yùn)轉(zhuǎn)后，須每隔三個月進(jìn)行一次恢復(fù)測試。第九十三條備份介質(zhì)的調(diào)用程序因日常備份操作、檢查備份、數(shù)據(jù)查詢等要求，需要調(diào)用檔案管理員保管的備份介質(zhì)，應(yīng)分以下幾種情況執(zhí)行調(diào)用程序：1、 備份由總部檔案室保管，則須填寫備份介質(zhì)調(diào)用申請表 （ 見 ），由信息技術(shù)中心總經(jīng)理、公司總裁或分管信息技術(shù)中心的副總裁簽字后，從檔案管理員處領(lǐng)取，在使用完畢后按期交回；2、 備份密封后由信息技術(shù)中心檔案管理員保管，則須填寫備份介質(zhì)調(diào)用申請表（見 附表10） ， 由信息技術(shù)中心總經(jīng)

40、理簽字后，從檔案管理員處領(lǐng)取，在使用完畢后按期交回；3、 如備份由備份管理員放置于臨時保管箱內(nèi)，則須填寫備份介質(zhì)調(diào)用申請表，由檔案管理員簽字即可領(lǐng)取。第九十四條備份介質(zhì)的銷毀對于永久性的完全備份，在密封保管后，如需要銷毀，須填寫 備份介質(zhì)調(diào)用申請表，經(jīng)公司總裁或分管信息技術(shù)中心的副總裁簽字后，將備份介質(zhì)通過粉碎等方式銷毀。第十節(jié)日志記錄第九十五條信息技術(shù)中心及營業(yè)部電腦部應(yīng)對系統(tǒng)配置的更改、網(wǎng)絡(luò)用戶權(quán)限的分配和更改及原因作詳細(xì)記錄，對機(jī)房管理系統(tǒng)運(yùn)行情況，系統(tǒng)運(yùn)行故障現(xiàn)象、時間、處理方式等進(jìn)行詳細(xì)記錄。營業(yè)部交易系統(tǒng)管理員應(yīng)對增 /刪除柜員、柜員權(quán)限變更情況進(jìn)行記錄；財務(wù)部經(jīng)理應(yīng)對業(yè)務(wù)參數(shù)調(diào)整

41、，更改股票、資金余額等操作進(jìn)行記錄。第九十六條日志記錄采用標(biāo)準(zhǔn)格式，并具備相關(guān)責(zé)任人的簽字。參見附錄一。第九十九條系統(tǒng)運(yùn)行日志必須妥善保存，不得缺頁，定期存檔。第十一節(jié)安全事故處理及恢復(fù)第一百條安全事故是指由于軟硬件故障、系統(tǒng)配置錯誤、操作失誤、黑客入侵、病毒、口令盜用等原因引起系統(tǒng)無法正常運(yùn)行，數(shù)據(jù)或文件 丟失的事件。第一百零一條 安全事故分成A、B、C三類，其中毆指對交易產(chǎn)生直接影響的事 故；B類指未影響交易但造成一定經(jīng)濟(jì)損失的事故； C類指未影響 交易也未造成經(jīng)濟(jì)損失，但構(gòu)成系統(tǒng)安全隱患的事故。第一百零二條總部及各營業(yè)部應(yīng)根據(jù)計算機(jī)房管理制度及自身情況制定應(yīng)急處理流程及時更新并定期演習(xí)。

42、第一百零三條應(yīng)急處理流程的制定應(yīng)涵蓋通信、服務(wù)、供電、數(shù)據(jù)、設(shè)備等，同時確定演習(xí)、通報、事故分析等內(nèi)容。第一百零四條應(yīng)急處理流程的制定應(yīng)體現(xiàn)細(xì)致、明了的原則，不得遺漏任何環(huán)節(jié)，保證逐條實(shí)施可以排除故障、恢復(fù)系統(tǒng)運(yùn)行。第一百零五條事故出現(xiàn)后應(yīng)及時處理并按公司 營業(yè)部技術(shù)事故處理規(guī)定 的有關(guān)規(guī)定匯報。凡隱瞞不報的，追究營業(yè)部總經(jīng)理及電腦部經(jīng)理 的責(zé)任。第一百零六條事故處理后應(yīng)及時進(jìn)行分析并寫出分析報告，總部相關(guān)部門應(yīng)在此基礎(chǔ)上明確責(zé)任歸屬，并向營業(yè)部通報。人員管理第一百零七條系統(tǒng)管理員不能兼任柜臺及事后稽核等工作，不得參與相關(guān)軟件開發(fā)。參加過應(yīng)用系統(tǒng)開發(fā)人員，不得擔(dān)任相應(yīng)系統(tǒng)管理員。第一百零八條公

43、司安全管理委員會及營業(yè)部安全管理小組應(yīng)當(dāng)加強(qiáng)公司總部和各營業(yè)部主要崗位工作人員錄用、考核制度，不適宜人員必須及時調(diào)離。第一百零九條電腦技術(shù)人員調(diào)離時，必須移交全部技術(shù)手冊及有關(guān)資料，并更換計算機(jī)有關(guān)口令和密鑰。涉及公司業(yè)務(wù)核心部分開發(fā)技術(shù)人員調(diào)離原工作崗位或公司時，應(yīng)當(dāng)確認(rèn)對公司計算機(jī)信息系統(tǒng)安全不會造成危害后方可調(diào)離。責(zé)任第一百一十條違反本條例規(guī)定，有下列行為之一，由公司安全管理委員會處以 警告或通報批評處分：1 、違反計算機(jī)信息系統(tǒng)安全管理中有關(guān)條例，危害計算機(jī)信息系統(tǒng)安全；2、不按照規(guī)定時間報告計算機(jī)信息系統(tǒng)中發(fā)生案件；3、接到公司安全管理委員會要求改進(jìn)安全狀況通知后，在限期內(nèi)拒不改進(jìn)或

44、未完成目標(biāo)；4、違反審批制度增設(shè)或更換設(shè)備、裝置；5、拒絕、阻礙公司計算機(jī)安全管理組織實(shí)施安全檢查；6、有危害計算機(jī)信息系統(tǒng)安全其他行為。第一百一十一條 計算機(jī)房不符合公司計算機(jī)房管理制度及信息系統(tǒng)環(huán)境 標(biāo)準(zhǔn)有關(guān)規(guī)定的，或者在計算機(jī)機(jī)房附近施工危害計算機(jī)信息系 統(tǒng)安全的，由公司安全管理委員會會同有關(guān)部門進(jìn)行處理。第一百一十二條 故意輸入計算機(jī)病毒以及其他有害數(shù)據(jù)危害公司計算機(jī)信息系 統(tǒng)安全的，由公司安全管理委員會處以警告或者罰款處分。第十三節(jié)信息技術(shù)中心總部數(shù)據(jù)管理員職責(zé)細(xì)則職責(zé)范圍第一百一十三條 數(shù)據(jù)管理員負(fù)責(zé)對總部應(yīng)用系統(tǒng)數(shù)據(jù)實(shí)施備份，并實(shí)行安全可靠 的管理；對營業(yè)部上交的應(yīng)用系統(tǒng)數(shù)據(jù)備份

45、進(jìn)行歸檔和使用實(shí)行 管理；掌握數(shù)據(jù)庫超級用戶權(quán)限，安全規(guī)范地管理數(shù)據(jù)庫系統(tǒng)的 運(yùn)行。第一百一十四條 制定備份策略，對數(shù)據(jù)文件和數(shù)據(jù)庫進(jìn)行備份。與檔案管理員協(xié) 作，妥善保管備份介質(zhì)。第一百一十五條 根據(jù)業(yè)務(wù)需求和用戶申請創(chuàng)建、刪除數(shù)據(jù)庫，修改數(shù)據(jù)庫參數(shù)設(shè) 置。第一百一十六條 根據(jù)業(yè)務(wù)需求和用戶申請創(chuàng)建數(shù)據(jù)庫系統(tǒng)的登錄用戶，賦予用戶 適當(dāng)?shù)臄?shù)據(jù)庫權(quán)限，包括數(shù)據(jù)庫所有者權(quán)限、數(shù)據(jù)庫對象的增刪 改權(quán)限等；刪除用戶；保管應(yīng)用程序中封裝的數(shù)據(jù)庫用戶的密碼。第一百一十七條在數(shù)據(jù)庫需要進(jìn)行數(shù)據(jù)和結(jié)構(gòu)方面的調(diào)整時，創(chuàng)建臨時調(diào)試用戶并交由應(yīng)用系統(tǒng)維護(hù)人員使用，并在使用完畢后及時刪除測試用第一百一十八條 利用數(shù)據(jù)庫

46、系統(tǒng)的訪問跟蹤記錄功能，設(shè)置對應(yīng)用系統(tǒng)、調(diào)試用戶、超級用戶訪問數(shù)據(jù)庫的命令進(jìn)行跟蹤，記錄到監(jiān)控日志文件中；定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時通報。第一百一十九條 除上述數(shù)據(jù)庫管理內(nèi)容之外的方面， 如定時任務(wù)的管理，定期檢 查系統(tǒng)日志、監(jiān)控參數(shù)的設(shè)置等。數(shù)據(jù)安全管理的原則第一百二十條 數(shù)據(jù)必須是有據(jù)的，能夠辨認(rèn)數(shù)據(jù)的內(nèi)容、用途和使用方法；必須經(jīng)過合法的手續(xù)和規(guī)定的渠道采集、加工、處理和傳播數(shù)據(jù);數(shù)據(jù)應(yīng)只用于明確規(guī)定的目的，未經(jīng)批準(zhǔn)不得它用；采用的數(shù) 據(jù)范圍應(yīng)與規(guī)定用途相符。第一百二十一條 采用相宜的預(yù)防措施，保持?jǐn)?shù)據(jù)的完整、準(zhǔn)確、及時、可用； 數(shù)據(jù)管理者應(yīng)承擔(dān)保存或處理數(shù)據(jù)的保護(hù)職責(zé)，防止數(shù)據(jù)的丟

47、失、誤用或破壞；特殊或重要數(shù)據(jù)，應(yīng)采用多種記錄手段異地保存，免遭意外風(fēng)險。第一百二十二條 數(shù)據(jù)使用者有權(quán)查閱被授權(quán)的數(shù)據(jù)，索取數(shù)據(jù)記錄復(fù)制件，更 正有關(guān)自身的任何不準(zhǔn)確數(shù)據(jù)；享受有限次數(shù)規(guī)定的有問必答 權(quán)利。第一百二十三條 制訂必須的數(shù)據(jù)存取細(xì)則，采取措施防止數(shù)據(jù)被非法修改，堵塞管理操作的疏忽或蓄謀竊取數(shù)據(jù)的漏洞。第一百二十四條 無正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得通報數(shù)據(jù)內(nèi)容，不得泄漏數(shù)據(jù)給內(nèi)部或外部的無關(guān)人員。第一百二十五條第一百二十六條第一百二十七條第一百二十八條第一百二十九條不應(yīng)造成可從發(fā)布的統(tǒng)計數(shù)據(jù)中推斷出保密或敏感的信息。建立適當(dāng)?shù)谋O(jiān)督、管理機(jī)制，保證與數(shù)據(jù)有關(guān)的個體和數(shù)據(jù)管理者的合法權(quán)

48、益不被侵犯。數(shù)據(jù)安全管理的內(nèi)容完整性 : 數(shù)據(jù)內(nèi)容的完整性指的是保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的修改。它包括單個數(shù)據(jù)完整性和數(shù)據(jù)序列完整性。它是一系列安全性能的集合，這些性能都與數(shù)據(jù)能被系統(tǒng)正確提供給目標(biāo)實(shí)體有關(guān)。保密性 : 計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的信息應(yīng)該根據(jù)其重要性、密級、應(yīng)用需求等分別實(shí)施相應(yīng)的加密措施，保密信息不得以明文形式存儲和傳送。應(yīng)根據(jù)信息的重要性、密級規(guī)定及用途，決定操作人員的存取權(quán)限和存取方式。所有的統(tǒng)計信息應(yīng)根據(jù)其重要程度進(jìn)行密級劃分，并制訂相應(yīng)的管理辦法，確定允許對外發(fā)布和交流的信息指標(biāo)、報批權(quán)限和手續(xù)。可用性 : 可用性保證了信息是正確可用的。在營業(yè)部的電腦系統(tǒng)中，要對操作者進(jìn)行職責(zé)授

49、權(quán)、使用授權(quán)確認(rèn)。必須對采集信息的合法性、輸入信息的有效性、業(yè)務(wù)與帳務(wù)處理的正確性進(jìn)行全面的確認(rèn)，保證信息的有效性、合法性和正確性。要采用各種有效的技術(shù)手段與崗位責(zé)任制、行政手段、法律手段相結(jié)合的方法，確保采集、處理、存儲、加工、傳輸及輸出的數(shù)數(shù)據(jù)安全管理的具體辦法據(jù)正確可用。第一百三十條 口令及權(quán)限限制：營業(yè)部的電腦部應(yīng)指定一人為第一責(zé)任人，由 第一責(zé)任人掌管超級用戶口令，第一責(zé)任人必須定期修改超級 用戶口令，如一月修改一次，并將口令密封后報公司電腦部備 案。第一負(fù)責(zé)人應(yīng)本著：使各操作員能夠圓滿地完成本職工作, 但與各操作員工作無關(guān)的權(quán)限不能提供的原則，統(tǒng)一規(guī)劃各操 作員的使用權(quán)限，并嚴(yán)格按

50、照規(guī)劃分配各操作員的工作范圍及 權(quán)限，產(chǎn)生不同的毫無規(guī)律的密碼，同時要求各操作員必須性 地更換密碼，并嚴(yán)禁相互泄漏密碼。第一百三十一條 時間限制：對部分用戶程序登錄和使用時間作出限制，例如限 制系統(tǒng)初始化只允許在某一時間內(nèi)登錄等。第一百三十二條 網(wǎng)絡(luò)地址限制：利用網(wǎng)絡(luò)地址對敏感用戶程序登錄和使用的工 作站作出限制，如限制行情接收及轉(zhuǎn)換，交易系統(tǒng)的后臺處理 及清算等程序只能在某些特定的工作站上登錄、運(yùn)行。第一百三十三條 系統(tǒng)的安全性：為防止外來非法程序的入侵，除電腦機(jī)房內(nèi)， 其他地方上網(wǎng)的工作站必須為無盤站，嚴(yán)禁未經(jīng)許可的軟盤直 接上網(wǎng)使用。為防止病毒破壞數(shù)據(jù)，各營業(yè)部電腦網(wǎng)絡(luò)必須安 裝正版防病

51、毒網(wǎng)絡(luò)軟件。對于外來軟盤或程序，必須先在單獨(dú) 的計算機(jī)上先查病毒，保證無毒的條件下才能夠上網(wǎng)使用。第一百三十四條 數(shù)據(jù)監(jiān)控：在條件許可的情況下，實(shí)施監(jiān)視對策，對發(fā)生的密 碼輸入錯誤、超權(quán)數(shù)據(jù)存取的情況進(jìn)行監(jiān)視，對連續(xù)多次無效 存取進(jìn)行強(qiáng)制結(jié)束，并進(jìn)行記錄，以便日后查閱分析。對連續(xù) 多次無效存取進(jìn)行強(qiáng)制結(jié)束。第一百三十五條數(shù)據(jù)檢查：每天清算后必須檢查數(shù)據(jù)的正確性，如紅利、紅股的上帳是否正確，配股的上帳是否正常。一但發(fā)覺錯誤必須及時更正。建議各營業(yè)部采用的交易軟件具有數(shù)據(jù)檢查工具包。第一百三十六條歷史數(shù)據(jù)的更改：歷史數(shù)據(jù)的更改必須有二個以上的人員在場，并且必須記載更改的理由、更改使用的方法及步驟，

52、在場的人員、操作的人員以及詳細(xì)指明更改的數(shù)據(jù)內(nèi)容。所有在場人員必須簽名并注明時間。第一百三十七條數(shù)據(jù)備份：交易數(shù)據(jù)是公司的重要資料，保存完整的交易數(shù)據(jù)是降低經(jīng)營風(fēng)險、維護(hù)客戶正當(dāng)權(quán)益的可靠保證，可以是財務(wù)查帳清楚明了，與股民發(fā)生糾紛時有據(jù)可查，即使出現(xiàn)問題時也可以分清責(zé)任。并且在系統(tǒng)發(fā)生故障時，以保證數(shù)據(jù)、文件的恢復(fù)工作，確保在最短的時間內(nèi)恢復(fù)正常工作，必須按嚴(yán)格地制度進(jìn)行數(shù)據(jù)備份。第一百三十八條數(shù)據(jù)保密 : 為防止數(shù)據(jù)的非法使用、修改、丟失，和由于數(shù)據(jù)不正當(dāng)?shù)陌l(fā)布而引起的對營業(yè)部不利的局面的產(chǎn)生，營業(yè)部做到以下保密措施：1、 備份的數(shù)據(jù)、打印出的數(shù)據(jù)必須指定專人負(fù)責(zé)保管，由營業(yè)部計算機(jī)房工作

53、人員按規(guī)定的方法同數(shù)據(jù)保管負(fù)責(zé)人進(jìn)行數(shù)據(jù)的交接。交接后的數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或指定的場所保管。2、 數(shù)據(jù)保管員必須用文件管理等方法，對數(shù)據(jù)進(jìn)行登記管理。3、 禁止數(shù)據(jù)的外借，內(nèi)部無權(quán)查閱和無正式批文的人員不得查閱。對于經(jīng)正式批文借出的數(shù)據(jù)必須登記，并由經(jīng)手人簽字，便于發(fā)生數(shù)據(jù)泄漏時分清責(zé)任人。4、 數(shù)據(jù)保管員不得修改所保管的任何數(shù)據(jù)。工作流程第一百三十九條數(shù)據(jù)備份1、 根據(jù)數(shù)據(jù)庫備份的具體要求，將備份任務(wù)添加到總部數(shù)據(jù)備份任務(wù)一覽表（附表12） ；2、 從檔案管理員處領(lǐng)取經(jīng)編號的備份介質(zhì)，在需要新建或更改備份介質(zhì)的內(nèi)容時，須更新 總部數(shù)據(jù)備份介質(zhì)內(nèi)容變更登記表（ 附表10） ；3、 執(zhí)行總

54、部數(shù)據(jù)備份任務(wù)一覽表中的各備份任務(wù)；4、 將備份完畢的備份介質(zhì)交檔案管理員保管。在備份介質(zhì)內(nèi)容有變更時，須將更新過的總部數(shù)據(jù)備份介質(zhì)內(nèi)容變更登記表（）發(fā)送檔案管理員；第一百四十條數(shù)據(jù)庫設(shè)備管理1、 由應(yīng)用系統(tǒng)維護(hù)員或開發(fā)人員提交數(shù)據(jù)庫操作申請表（ 附表14） ；2、 據(jù)管理員根據(jù)申請表的要求， 新建數(shù)據(jù)庫時設(shè)定數(shù)據(jù)庫的名稱、大小、設(shè)備文件路徑等；刪除數(shù)據(jù)庫時檢查是否已做最新狀態(tài)的備份；3、 在 數(shù)據(jù)庫操作申請表中 “處理結(jié)果”欄填寫處理結(jié)果并簽字；4、 將數(shù)據(jù)庫操作申請表提交檔案管理員；第一百四十一條數(shù)據(jù)庫用戶管理1、 由應(yīng)用系統(tǒng)維護(hù)員或開發(fā)人員提交數(shù)據(jù)庫操作申請表；2、 數(shù)據(jù)管理員根據(jù)申請表的要求，新建用戶時設(shè)定用戶名稱，賦予經(jīng)批準(zhǔn)的數(shù)據(jù)庫權(quán)限；刪除用戶時先刪除該用戶的數(shù)據(jù)庫權(quán)限；3、 在應(yīng)用程序中需要封裝數(shù)據(jù)庫用戶和密碼時，數(shù)據(jù)管理員接收應(yīng)用程序的源代碼，在數(shù)據(jù)庫用戶設(shè)置的代碼段中填入真實(shí)的用戶名和密碼， 并編譯制作安裝盤；將安裝盤和源代碼提交檔案管理員（注：提交的源代碼應(yīng)不含真實(shí)的數(shù)據(jù)庫用戶設(shè)置）；4、 在應(yīng)用程序