SAC《證券營業(yè)部信息技術(shù)指引》解讀

1、背景介紹 1.證券營業(yè)部信息技術(shù)指引是營業(yè)部發(fā)展變化的必然選擇 （1）從分散交易到集中交易 （2）客戶交易結(jié)算資金第三方存管 2.證券營業(yè)部信息技術(shù)指引具備可行性 3證券營業(yè)部信息技術(shù)指引的貫徹執(zhí)行 第一章 總則 第一條 制定本指引的目的和依據(jù) 為加強證券營業(yè)部信息系統(tǒng)建設(shè)和管理，防范技術(shù)風(fēng)險，保障證券市場平穩(wěn)運行，依據(jù)中華人民共和國證券法、中國證監(jiān)會法律法規(guī)和中國證券業(yè)協(xié)會自律規(guī)則的有關(guān)規(guī)定制定本指引。 目的： （1）加強證券營業(yè)部信息系統(tǒng)建設(shè)和管理 （2）防范技術(shù)風(fēng)險 （3）保障證券市場平穩(wěn)運行 依據(jù)： （1）中華人民共和國證券法 （2）中國證監(jiān)會法律法規(guī) （3）中國證券業(yè)協(xié)會自律規(guī)則 第

2、二條 證券公司的職責(zé) 證券公司應(yīng)按照信息系統(tǒng)安全性、實用性、可操作性原則，統(tǒng)一規(guī)劃和建設(shè)證券營業(yè)部信息系統(tǒng)，全面負(fù)責(zé)證券營業(yè)部信息技術(shù)的安全管理。 原則： （1）同意規(guī)劃和建設(shè)證券營業(yè)部信息系統(tǒng) （2）全面復(fù)雜證券營業(yè)部信息技術(shù)的安全管理 可操作性、實用性、安全性 第三條 營業(yè)部的職責(zé) 證券營業(yè)部應(yīng)在所屬證券公司的集中統(tǒng)一管理下，制定相應(yīng)的信息技術(shù)工作流程和操作規(guī)范，確保信息系統(tǒng)對業(yè)務(wù)的有效支撐。 解讀： （1）制定相應(yīng)的信息技術(shù)工作流程 （2）制定相應(yīng)的信息技術(shù)操作規(guī)范 （3）確保信息系統(tǒng)對業(yè)務(wù)的有效支撐 所在證券公司集中統(tǒng)一管理營業(yè)部 第四條 指引的試用范圍 在中華人民共和國境內(nèi)依法設(shè)立的

3、證券公司所屬證券營業(yè)部適用于本指引。 解讀： 境內(nèi)依法設(shè)立的證券公司所屬證券營業(yè)部 第五條 指引執(zhí)行情況的指導(dǎo)和監(jiān)督 中國證券業(yè)協(xié)會對證券公司執(zhí)行本指引的情況進行指導(dǎo)和督促。 解讀： 證券業(yè)協(xié)會： 指導(dǎo)和監(jiān)督 第二章 基礎(chǔ)設(shè)施 第六條 機房建設(shè)參考規(guī)范 證券營業(yè)部機房建設(shè)應(yīng)符合GB9361-88計算站場地安全要求和GB2887-89計算站場地技術(shù)條件的有關(guān)規(guī)定。 第七條 機房場地選址 證券營業(yè)部機房應(yīng)位于證券營業(yè)部場地內(nèi)部，證券營業(yè)部場地選址應(yīng)滿足以下技術(shù)要求： （一）盡可能選擇具有市電雙路供電的場所； （二）遠(yuǎn)離強震源、強磁場源和強噪聲源，無無線電電磁干擾； （三）遠(yuǎn)離產(chǎn)生粉塵、油煙、有害氣

4、體以及具有腐蝕性、易燃、易爆物品的工廠、倉庫等場所； （四）具有機房空調(diào)室外機組安裝條件； （五）符合當(dāng)?shù)乜拐饛姸纫螅?（六）盡量避免低洼地帶。 第八條 機房技術(shù)要求 證券營業(yè)部機房應(yīng)滿足以下技術(shù) 要求： （一）盡量避讓建筑物頂層、地下室、用水設(shè)備的下層或隔壁以及易漏雨、易滲水和易遭雷擊的區(qū)域，避開易發(fā)生火災(zāi)危險的區(qū)域；（位置安全） （二）選擇通信設(shè)施健全，相對安全、易于管理的區(qū)域；（通信可靠） （三）避讓主干電力電纜穿越場所，避讓供水和消防管網(wǎng)經(jīng)過；（避讓管網(wǎng)） （四）應(yīng)當(dāng)設(shè)置設(shè)備區(qū)域、輔助設(shè)備區(qū)域，設(shè)備區(qū)域用于安放服務(wù)器、網(wǎng)絡(luò)通信設(shè)備等設(shè)備，輔助設(shè)備區(qū)域用于安放UPS電源等設(shè)備；（劃分區(qū)

5、域） （五）設(shè)備放置處應(yīng)考慮地面承重，應(yīng)盡量選擇有主干墻、承重墻的位置放置，必要時應(yīng)進行地面加固；（承重可靠） （六）應(yīng)配備應(yīng)急照明裝置。（照明可靠） 第九條 布線 證券營業(yè)部機房應(yīng)采用結(jié)構(gòu)化布線系統(tǒng)，綜合布線應(yīng)符合建筑與建筑群綜合布線工程系統(tǒng)設(shè)計規(guī)范（GBT/T50311）要求。各配線機柜內(nèi)應(yīng)配備理線架，做到跳線整齊，跳線與配線架統(tǒng)一編號，標(biāo)記清晰。 解讀：結(jié)構(gòu)化布線、符合規(guī)范、理線整齊、標(biāo)記清晰 第十條 接地 證券營業(yè)部機房應(yīng)采用綜合接地系統(tǒng)或獨立接地系統(tǒng)。采用綜合接地系統(tǒng)接地的證券營業(yè)部機房，直流接地、交流工作地和防雷保護地，直接連接大樓的綜合接地，接地電阻應(yīng)不大于4歐姆。采用獨立接地系

6、統(tǒng)的證券營業(yè)部機房，直流地和防雷保護地之間的距離應(yīng)大于10米，直流地的接地電阻應(yīng)小于2歐姆，交流工作地的接地電阻應(yīng)小于4歐姆，防雷保護地的接地電阻應(yīng)小于10歐姆。 第十一條 空調(diào) 證券營業(yè)部機房須安裝獨立空調(diào)，采用一用一備、多用一備或多用多備的方式，主用空調(diào)單獨運行時應(yīng)能保證機房溫度保持在21±3規(guī)定范圍內(nèi)。 第十二條 機柜供電 證券營業(yè)部機房機柜或機架宜配置雙回路供電，相關(guān)電器設(shè)備、電線應(yīng)與機柜用電負(fù)載相適應(yīng)，并留有余量。機柜接地與機房接地應(yīng)可靠連接。 第十三條 機房供電線路 證券營業(yè)部機房應(yīng)具有獨立于一般照明電的專用供電線路，設(shè)有獨立的配電柜或配電箱。供電容量應(yīng)滿足證券營業(yè)部配電

7、規(guī)劃需求，并留有一定余量。 第十四條 機房電力保障 證券營業(yè)部機房建議采用雙路供電，應(yīng)配備UPS電源和至少一種其他持續(xù)供電方式（自備發(fā)電機、租用發(fā)電機、租用發(fā)電車等）。在供電中斷情況下，應(yīng)保證機房設(shè)備和不低于25%的現(xiàn)場交易設(shè)施在交易時間內(nèi)持續(xù)供電，滿足證券營業(yè)部客戶證券交易需要。 （一）具有自備發(fā)電機的證券營業(yè)部，UPS電源應(yīng)保證機房設(shè)備和不低于25%的現(xiàn)場交易設(shè)施持續(xù)供電不低于1小時。 （二）采用租用發(fā)電機、租用發(fā)電車等 其它持續(xù)供電方式的證券營業(yè)部，UPS電源應(yīng)保證機房設(shè)備和不低于25%的交易設(shè)施持續(xù)供電不低于4小時。 （三）發(fā)電機的功率應(yīng)滿足機房設(shè)備運轉(zhuǎn)和不低于25%的交易設(shè)施持續(xù)供電

8、需要。 第十五條 電源接入管理 嚴(yán)禁將與業(yè)務(wù)無關(guān)的設(shè)備接入UPS電源。市電插座和UPS插座應(yīng)嚴(yán)格區(qū)分，插座面板應(yīng)有明確的顏色標(biāo)識或標(biāo)簽。 第十六條 發(fā)電機安放 證券營業(yè)部配備或租用發(fā)電機，應(yīng)遠(yuǎn)離易燃易爆的物品，并安裝在具有良好通風(fēng)的場地內(nèi)。 第十七條 消防系統(tǒng) 消防系統(tǒng)建設(shè)應(yīng)通過當(dāng)?shù)叵乐鞴懿块T的消防安全驗收。 第十八條 防火防盜 機房宜安裝防火防盜門和門禁系統(tǒng)，有條件的可安裝防盜報警系統(tǒng)。 第三章 網(wǎng)絡(luò)通信 第十九條 與所屬證券公司網(wǎng)絡(luò)通信 證券營業(yè)部與所屬證券公司之間，應(yīng)使用不同運營商或不同介質(zhì)的2條以上通信線路建立可靠通信聯(lián)接，且線路帶寬能夠滿足業(yè)務(wù)需要并留有冗余。網(wǎng)絡(luò)通信設(shè)備應(yīng)有冗余備

9、份，避免單設(shè)備故障，并能保證發(fā)生故障時實現(xiàn)及時切換。 第二十條 與外聯(lián)單位、互聯(lián)網(wǎng)網(wǎng)絡(luò)通信 證券營業(yè)部與其他外聯(lián)單位、互聯(lián)網(wǎng)的通信線路，可根據(jù)業(yè)務(wù)需要，選擇合適的通信線路、線路帶寬和線路備份方式。 第二十一條 營業(yè)部網(wǎng)絡(luò)規(guī)范制定原則 證券營業(yè)部網(wǎng)絡(luò)規(guī)范應(yīng)符合所屬證券公司有關(guān)的證券營業(yè)部局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)接入以及安全防護的網(wǎng)絡(luò)建設(shè)規(guī)范。 第二十二條 營業(yè)部局域網(wǎng)架構(gòu) 證券營業(yè)部局域網(wǎng)應(yīng)采用多層網(wǎng)絡(luò)架構(gòu)，用于交易業(yè)務(wù)的核心層應(yīng)部署至少兩臺交換機互為備份，網(wǎng)絡(luò)接入層設(shè)備應(yīng)避免使用HUB。 第二十三條 網(wǎng)絡(luò)參數(shù)配置 證券營業(yè)部網(wǎng)絡(luò)配置參數(shù)和IP地址段應(yīng)由所屬證券公司統(tǒng)一規(guī)劃管理，證券營業(yè)部的IP地

10、址、路由規(guī)則等網(wǎng)絡(luò)配置應(yīng)按所屬證券公司要求設(shè)定。 第二十四條 安全域劃分與隔離 證券營業(yè)部局域網(wǎng)應(yīng)合理劃分用于交易業(yè)務(wù)的核心網(wǎng)、客戶網(wǎng)和非交易業(yè)務(wù)的辦公網(wǎng)等安全域，且相應(yīng)確定各安全域的功能定位。各安全域之間應(yīng)采取安全措施實現(xiàn)有效隔離。用于交易業(yè)務(wù)的網(wǎng)絡(luò)禁止直接接入互聯(lián)網(wǎng)。 第二十五條 交易業(yè)務(wù)終端使用 處理交易業(yè)務(wù)的計算機終端應(yīng)實行專機專用，嚴(yán)禁接入互聯(lián)網(wǎng)。 第二十六條 系統(tǒng)安全防護 證券營業(yè)部應(yīng)按照所屬證券公司的要求，部署正版防病毒、防木馬、防惡意代碼在內(nèi)的系統(tǒng)安全防護軟件，以確保信息安全。 第四章 應(yīng)用系統(tǒng) 第二十七條 應(yīng)用系統(tǒng)的定義 證券營業(yè)部應(yīng)用系統(tǒng)是指提供行情、開戶、交易、資訊等客戶

11、服務(wù)的信息系統(tǒng)。 第二十八條 應(yīng)用系統(tǒng)性能和可用性要求 證券營業(yè)部應(yīng)用系 統(tǒng)應(yīng)具備足夠的健壯性，系統(tǒng)處理能力具有一定的冗余度，行情、交易、資訊系統(tǒng)等關(guān)鍵硬件設(shè)備應(yīng)通過熱備、冷備等手段，避免單點故障，提高系統(tǒng)可用性。 第二十九條 服務(wù)器可靠性要求 證券營業(yè)部服務(wù)器應(yīng)采用雙電源、雙網(wǎng)卡等方式，提高系統(tǒng)可靠性。 第三十條 應(yīng)用軟件安裝要求 證券營業(yè)部未經(jīng)所屬證券公司批準(zhǔn)，不得擅自安裝使用與業(yè)務(wù)及技術(shù)維護無關(guān)的應(yīng)用軟件。 第三十一條 客戶服務(wù)系統(tǒng)要求 證券營業(yè)部應(yīng)當(dāng)為客戶提供2種以上行情揭示與分析系統(tǒng)，應(yīng)當(dāng)為客戶提供現(xiàn)場委托以及網(wǎng)上委托、電話委托等2種以上非現(xiàn)場委托交易發(fā)式，其中證券公司電話委托線路應(yīng)

12、當(dāng)不低于30線/萬戶合格資金賬戶。證券公司電話委托系統(tǒng)應(yīng)提供集中服務(wù)，以保障局部地區(qū)發(fā)生突發(fā)事件時能夠為該地區(qū)證券營業(yè)部提供持續(xù)的行情和交易服務(wù)。 第三十二條 終端識別信息記錄要求 證券營業(yè)部電話委托、自助終端應(yīng)能記錄證券委托、撤單、銀證轉(zhuǎn)賬、密碼修改等操作的終端識別信息，其中電話委托應(yīng)記錄主叫電話號碼，熱自助應(yīng)記錄網(wǎng)卡物理地址，相關(guān)記錄保存二十年。 第五章 管理制度 第三十三條 制度執(zhí)行及報送 證券營業(yè)部應(yīng)執(zhí)行所屬證券公司的人員管理、機房管理、網(wǎng)絡(luò)管理、設(shè)備管理、數(shù)據(jù)管理、技術(shù)文檔管理、系統(tǒng)運維管理、應(yīng)急處理等制度。每年將信息系統(tǒng)運行及制度執(zhí)行情況報告所屬證券公司并同時按監(jiān)管部門的要求抄報有

13、關(guān)單位。 第三十四條 人員管理 證券公司應(yīng)在確保證券營業(yè)部信息系統(tǒng)穩(wěn)定運營的前提下，至少配備一名專職和一名兼職技術(shù)人員，技術(shù)人員應(yīng)具有計算機及相關(guān)專業(yè)學(xué)歷，并具有1年以上技術(shù)崗位從業(yè)經(jīng)驗。 第三十五條 機房管理要求 機房管理包括機房出入、設(shè)備出入等內(nèi)容。機房內(nèi)嚴(yán)禁放置易燃易爆物品及強磁物品。外來人員未經(jīng)允許嚴(yán)禁進出機房。未經(jīng)許可不得擅自挪動機房內(nèi)設(shè)備、更改網(wǎng)絡(luò)線路、私自安裝軟件。 第三十六條 網(wǎng)絡(luò)管理要求 網(wǎng)絡(luò)管理包括配置管理、訪問控制、安全審計等內(nèi)容。網(wǎng)絡(luò)設(shè)備應(yīng)按最小安全訪問原則設(shè)置訪問控制權(quán)限。路由器、交換機和防火墻等設(shè)備應(yīng)根據(jù)子網(wǎng)安全隔離的需要限制允許登錄的IP地址，嚴(yán)禁從公司網(wǎng)絡(luò)以外登

14、錄。應(yīng)于每一次變更后及時更新備份網(wǎng)絡(luò)設(shè)備的配置信息。 第三十七條 設(shè)備管理要求 設(shè)備管理包括選型、購置、登記、保養(yǎng)、維修、報廢等內(nèi)容。關(guān)鍵設(shè)備應(yīng)建立維護檔案。 第三十八條 數(shù)據(jù)管理要求 數(shù)據(jù)管理包括數(shù)據(jù)備份、存放、調(diào)閱、銷毀等內(nèi)容。未實現(xiàn)集中管理的交易數(shù)據(jù)，應(yīng)指定專人負(fù)責(zé)管理，并至少每日備份 一次，數(shù)據(jù)調(diào)閱應(yīng)經(jīng)審批，不得隨意對外泄露。 第三十九條 技術(shù)文檔管理要求 技術(shù)文檔管理包括文檔的收集、更新、保管、借閱等內(nèi)容。證券營業(yè)部技術(shù)文檔涵蓋機房平面圖、供配電圖、網(wǎng)絡(luò)拓?fù)鋱D、信息點對照表、UPS電源點分布表、系統(tǒng)維護手冊、系統(tǒng)使用手冊、應(yīng)急預(yù)案、運維日志、設(shè)備維護檔案、信息技術(shù)管理制度等資料。證券

15、營業(yè)部應(yīng)根據(jù)信息系統(tǒng)的變更情況及時更新技術(shù)文檔。 第六章 系統(tǒng)運維 第四十條 用戶權(quán)限管理 用戶權(quán)限管理 （一）證券營業(yè)部用于交易業(yè)務(wù)的信息系統(tǒng)權(quán)限變更應(yīng)執(zhí)行相關(guān)審批流程，并有完整的變更記錄。 （二）員工應(yīng)被授予完成所承擔(dān)任務(wù)所需的最小權(quán)限，重要崗位的員工之間應(yīng)形成相互制約的關(guān)系。 （三）對與客戶交易相關(guān)的系統(tǒng)應(yīng)采取必要的措施，限制重要崗位用戶的登錄，如錯誤登錄次數(shù)限制、登錄時間限制、網(wǎng)絡(luò)地址限制等。 （四）證券營業(yè)部應(yīng)建立系統(tǒng)用戶及權(quán)限清單，定期對員工權(quán)限進行檢查核對，發(fā)現(xiàn)越權(quán)用戶要查明原因并及時調(diào)整，同時清理過期用戶權(quán)限，做好記錄歸檔。 第四十一條 管理員密碼管理 與交易業(yè)務(wù)相關(guān)系統(tǒng)和關(guān)鍵

16、設(shè)備的管理員用戶密碼應(yīng)專人管理，采用不低于12位的復(fù)合密碼，每季度至少更換一次。發(fā)生人員變動時應(yīng)及時更新密碼。 第四十二條 測試管理 證券營業(yè)部在生產(chǎn)環(huán)境下的測試工作應(yīng)在所屬證券公司信息技術(shù)部門的統(tǒng)一管理和指導(dǎo)下進行，不得擅自安裝測試軟件。 第四十三條 測試要求 測試前應(yīng)制定詳細(xì)的測試計劃，同時做好系統(tǒng)、數(shù)據(jù)和應(yīng)用程序測試前的備份工作。測試計劃應(yīng)包括測試目的、測試時間、參測人員、測試用例、測試步驟等內(nèi)容。測試過程中要做好詳細(xì)的測試記錄。 第四十四條 測試后要求 測試結(jié)束后應(yīng)有明確的測試結(jié)果，保證系統(tǒng)、數(shù)據(jù)和應(yīng)用程序的恢復(fù)并進行恢復(fù)后的測試驗證，同時總結(jié)測試經(jīng)驗、分析測試結(jié)果、形成測試報告。 第

17、四十五條 變更前要求 證券營業(yè)部應(yīng)用系統(tǒng)變更前須制定詳細(xì)的變更方案和變更應(yīng)急預(yù)案，變更前做好系統(tǒng)和數(shù)據(jù)的備份。 第四十六條 變更前測試 對于供電、通信、服務(wù)器、核心交換機、核心交易業(yè)務(wù)系統(tǒng)等關(guān)鍵性設(shè)備或系統(tǒng)的變更，證券營業(yè)部應(yīng)經(jīng)過嚴(yán)格的測試。 第四十七條 變更時間要求 除故障應(yīng)急外，開市交易期間不得進行任何與交易業(yè)務(wù)相關(guān)的信息系統(tǒng)變更操作。 第四十八條 運行監(jiān)控要求 證券營業(yè)部應(yīng)建立完善的監(jiān)控體系，以對信息系統(tǒng)的運行環(huán)境、運行狀況等進行定時監(jiān)控和事后分析。 第四十九條 運維責(zé)任制 證券營業(yè)部 的運行監(jiān)控應(yīng)落實到人，責(zé)任明確，并做好運行監(jiān)控記錄。 第五十條 運維日志內(nèi)容要求 證券營業(yè)部應(yīng)規(guī)范管理

18、系統(tǒng)運維日志。日志內(nèi)容應(yīng)包括系統(tǒng)機房值班記錄、巡視記錄、故障處理記錄、變更記錄、測試記錄、監(jiān)控記錄、重要設(shè)備維護記錄等。日常操作及異常事件處理均應(yīng)在系統(tǒng)運維日志中詳細(xì)記錄。 第五十一條 運維日志介質(zhì)及保存要求 證券營業(yè)部系統(tǒng)運維日志可采用電子文檔或紙質(zhì)件記錄，并妥善保管，日志保留期限不少于2年。 第五十二條 定期檢查 證券營業(yè)部應(yīng)定期檢查電力、空調(diào)、消防等設(shè)施，每季度選擇非交易時間進行UPS電池的充放電測試，并詳細(xì)記錄。 第七章 安全保障 第五十三條 網(wǎng)絡(luò)安全管理 證券營業(yè)部應(yīng)加強網(wǎng)絡(luò)安全管理，未經(jīng)所屬證券公司批準(zhǔn)不得擅自對外互聯(lián)或設(shè)立網(wǎng)站，如確有必要，應(yīng)在公司統(tǒng)一指導(dǎo)下設(shè)立和管理。網(wǎng)上交易客戶端應(yīng)通過所屬證券公司網(wǎng)站下載。 第五十四條 計算機終端管理 證券營業(yè)部應(yīng)加強計算機終端的管理，記錄網(wǎng)卡地址，防止非法使用。禁止客戶將自備計算機接入證券營業(yè)部網(wǎng)絡(luò)。 第五十五條 互聯(lián)網(wǎng)訪問管理 證券營業(yè)部應(yīng)加強客戶訪問互聯(lián)網(wǎng)的管理，防止客戶利用證券營業(yè)部網(wǎng)絡(luò)訪問非法網(wǎng)站，出現(xiàn)異