各證券經(jīng)營機(jī)構(gòu):
為進(jìn)一步落實(shí)《證券經(jīng)營機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范(試行)》(證監(jiān)信字[1998]2 號�����,以下簡稱《規(guī)范》)�,提高行業(yè)信息系統(tǒng)安全管理水平���,有效防范和化解技術(shù)風(fēng)險(xiǎn)��,現(xiàn)將《〈證券經(jīng)營機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范(試行)〉技術(shù)指引》(以下簡稱《指引》)印發(fā)給你們���,并就有關(guān)事宜通知如下:
一、要在認(rèn)真組織學(xué)習(xí)《規(guī)范》的基礎(chǔ)上�,全面了解和貫徹《指引》的要求,做到有效防范技術(shù)風(fēng)險(xiǎn)����,提高安全水平。
二�����、要根據(jù)《規(guī)范》及《指引》的要求�����,找出差距和不足,采取有效措施加以改進(jìn)��。
三���、中國證監(jiān)會(huì)將組織對《規(guī)范》及《指引》落實(shí)情況的檢查����。對不符合要求的單位���,將根據(jù)《關(guān)于證券經(jīng)營機(jī)構(gòu)及其營業(yè)部做好信息系統(tǒng)檢查工作有關(guān)事宜的通知》(證監(jiān)信息字[1999]7 號)和《關(guān)于強(qiáng)化證券經(jīng)營機(jī)構(gòu)總部對所屬營業(yè)部信息系統(tǒng)安全檢查的通知》(證監(jiān)信息字[1999]11號)等文件的規(guī)定���,嚴(yán)肅處理。
中國證監(jiān)會(huì)
一九九九年十一月三日
《證券經(jīng)營機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范(試行)》技術(shù)指引
第一章 管理體系技術(shù)指引
第一節(jié) 組織結(jié)構(gòu)
一����、電腦中心負(fù)責(zé)制定的與信息系統(tǒng)相關(guān)的規(guī)章制度([2.1.2(1)])至少應(yīng)包括如下方面:
1、組織機(jī)構(gòu)與人員管理�;
2、安全管理(包括病毒防范)����;
3、文檔資料管理����;
4�����、數(shù)據(jù)管理;
5����、硬件設(shè)備管理(包括相關(guān)設(shè)備強(qiáng)制更換);
6��、軟件管理����;
7、網(wǎng)絡(luò)管理�;
8、機(jī)房管理���;
9����、運(yùn)行維護(hù)管理(包括操作安全管理)�;
10、技術(shù)事故防范與處理。
電腦中心還應(yīng)編制涵蓋上述制度內(nèi)容的工作手冊����,并根據(jù)實(shí)際情況每年進(jìn)行修訂。
二��、電腦中心審核營業(yè)部電腦負(fù)責(zé)人的任職資格([2.1.2(4)])��,包括對其進(jìn)行必要的獎(jiǎng)勵(lì)和懲罰����。電腦負(fù)責(zé)人任職要專崗專責(zé),不得由業(yè)務(wù)人員兼任����,也不得兼任業(yè)務(wù)職務(wù)。
三��、電腦中心除為營業(yè)部提供技術(shù)支持外([2.1.2(9)])�,還應(yīng)為本證券經(jīng)營機(jī)構(gòu)的其它部門提供技術(shù)支持。
四��、電腦中心的數(shù)據(jù)管理職能 ([2.1.2(10)])要求電腦中心要對數(shù)據(jù)實(shí)行集中管理���,盡量做到異地實(shí)時(shí)備份����。
五、對營業(yè)部信息系統(tǒng)的定期檢查應(yīng)為每年至少一次 ([2.1.2(12)])���。定期檢查為規(guī)范性檢查����,不定期檢查為專項(xiàng)檢查���,檢查必須有文字記錄。
六�����、[2.1.3(2)]中的有關(guān)部門是指結(jié)算公司和證券通信公司�����。
七���、[2.1.3(6)]中的其它重要數(shù)據(jù)至少包括:服務(wù)器系統(tǒng)參數(shù)配置����,主要網(wǎng)絡(luò)設(shè)備參數(shù)配置,通信設(shè)備參數(shù)配置���,智能化電源���、空調(diào)的參數(shù)配置,交易系統(tǒng)�、通信軟件及其它應(yīng)用軟件的參數(shù)配置等。
八����、電腦部在履行職能時(shí)([2.1.3]),還要注意做好以下方面的工作:
1��、強(qiáng)化安全意識(shí)�,自覺遵守并監(jiān)督執(zhí)行安全制度的落實(shí);
2����、及時(shí)完成電腦中心布置的各項(xiàng)工作;
3�����、保持機(jī)房及配電房達(dá)到規(guī)定技術(shù)指標(biāo)����,并保持整潔����;
4�、負(fù)責(zé)計(jì)算機(jī)硬件、軟件���、通信設(shè)備的管理與維護(hù)���,建立技術(shù)檔案,保持系統(tǒng)處于良好的運(yùn)行狀態(tài)���;
5、負(fù)責(zé)營業(yè)部技術(shù)資料的保管與維護(hù)�����;
6��、有條件的營業(yè)部應(yīng)定期做好服務(wù)器的全系統(tǒng)備份���。
第二節(jié) 人員管理
一����、執(zhí)行對營業(yè)部信息技術(shù)人員編制規(guī)定([2.2.1])時(shí)應(yīng)注意:營業(yè)部總?cè)藬?shù)少于20人的,也要至少配備2名專職信息技術(shù)人員����。
二、[2.2.4]中的關(guān)鍵技術(shù)崗位至少包括電腦部全部工作人員崗位�。
三、電腦中心應(yīng)強(qiáng)化對信息技術(shù)人員的管理職能([2.2.5])����,包括:
1、參與信息技術(shù)人員的招聘����,并可行使否決權(quán);
2�����、對信息技術(shù)人員進(jìn)行必要的獎(jiǎng)勵(lì)和懲罰���;
3����、對營業(yè)部信息技術(shù)人員每年至少進(jìn)行一次技術(shù)培訓(xùn)和考核,重新認(rèn)定上崗資格����;
4、有條件的證券經(jīng)營機(jī)構(gòu)可實(shí)行垂直管理���,直接確定電腦部的人員編制和收入等�。
四����、對信息技術(shù)人員離崗應(yīng)加強(qiáng)管理([2.2.8]),至少達(dá)到如下要求:
信息技術(shù)人員離崗時(shí)必須嚴(yán)格辦理離崗手續(xù)�����,明確其離崗后的保密義務(wù)����,退還全部技術(shù)資料����,電腦中心必須派員監(jiān)督交接過程。新舊工作人員應(yīng)共同工作不少于5個(gè)工作日���,信息系統(tǒng)口令必須立即更換��。
第三節(jié) 安全管理
一�����、計(jì)算機(jī)安全管理的保障機(jī)制([2.3.3])包括稽核監(jiān)控和安全合規(guī)獎(jiǎng)懲等方面的內(nèi)容�。
二、計(jì)算機(jī)機(jī)房安全管理制度中要求的值班人員([2.3.4(2)]) 必須是信息技術(shù)人員�。
三、[2.3.5(3)] 中的“定期更換操作口令”是指至少每兩個(gè)月更換一次�。
四、[2.3.5(8)] 中要求的技術(shù)監(jiān)管系統(tǒng)���,應(yīng)在電腦中心的統(tǒng)一規(guī)劃下建立��,并與證券經(jīng)營機(jī)構(gòu)的狀況相適應(yīng)���。
五、[2.3.5(8)] 中要求的“定期進(jìn)行獨(dú)立的對帳”是為了防范業(yè)務(wù)風(fēng)險(xiǎn)而采取的計(jì)算機(jī)稽核手段�。
六、操作安全制度([2.3.5])在執(zhí)行中��,應(yīng)重視以下方面:
1、所有用戶的登錄必須具有屏蔽中斷功能����;
2、新開用戶需經(jīng)嚴(yán)格審批�;
3、冗余用戶要及時(shí)清理����,超過三個(gè)月未使用過的用戶要設(shè)置為禁止使用狀態(tài)或刪除;
4����、數(shù)據(jù)庫管理系統(tǒng)的系統(tǒng)管理員口令應(yīng)由電腦中心集中管理,并于非軟件開發(fā)商的第三處封存保管�����。
七���、[2.3.6(1)]對病毒檢測的具體要求為:電腦部應(yīng)指定專人負(fù)責(zé)計(jì)算機(jī)病毒防范工作����,并至少每半個(gè)月及在已知敏感日期前夕��,進(jìn)行病毒檢測����,發(fā)現(xiàn)病毒立即報(bào)告電腦中心病毒防范負(fù)責(zé)人,并在其指導(dǎo)下進(jìn)行處理�����,同時(shí)詳細(xì)記錄病毒發(fā)作過程����。
第四節(jié) 技術(shù)資料管理
一、[2.4.2]中的各級管理機(jī)構(gòu)是指電腦中心和電腦部����。
二、重要技術(shù)資料的管理必須嚴(yán)格([2.4.4]):
1�����、重要技術(shù)資料應(yīng)有專人管理�,專柜存放;
2�、重要技術(shù)資料應(yīng)有副本并異地存放。在條件允許時(shí)�,應(yīng)存放在銀行的保險(xiǎn)箱內(nèi)或其它符合要求的存放地點(diǎn)。
第二章 硬件設(shè)施技術(shù)指引
第一節(jié) 計(jì)算機(jī)機(jī)房
一、關(guān)于供電系統(tǒng)([3.1.2])的說明:
1�����、營業(yè)部供電方案可由下列方式構(gòu)成:不間斷電源�����、備用發(fā)電機(jī)和雙路供電��,及對以上方式的合理組合使用����。如:單獨(dú)使用不間斷電源,不間斷電源和發(fā)電機(jī)配合使用�����,不間斷電源和雙路供電配合使用�����。其中雙路供電指通過不同變電所的電力線路進(jìn)行供電�����;
2、備用供電系統(tǒng)容量和持續(xù)供電時(shí)間應(yīng)保障機(jī)房設(shè)備和關(guān)鍵交易設(shè)備在斷電情況下能夠完成當(dāng)天正常的交易��;
3����、不間斷電源應(yīng)當(dāng)定期維護(hù)保養(yǎng)�����,保證設(shè)備處于正常的工作狀態(tài)��;
4��、備用發(fā)電機(jī)應(yīng)當(dāng)定期啟動(dòng)�����、檢測����,保證停電時(shí)能正常發(fā)電;
5��、機(jī)房的配電柜和不間斷電源插座應(yīng)標(biāo)識(shí)清楚���。
二����、對機(jī)房消防的要求([3.1.4]):
1、機(jī)房必須安裝煙感和溫感報(bào)警器及必要的滅火裝置�����;
2��、機(jī)房禁止使用水噴淋裝置�;
3、機(jī)房應(yīng)采用防火材料制作的機(jī)架或機(jī)柜��。有條件的營業(yè)部可采用防火�、防盜門,耐火墻體���,阻燃無毒的電纜�����。
第二節(jié) 遠(yuǎn)程通信
一�、[3.2.3]要求的重要通信線路必須建立后備線路��,至少包括:
1、營業(yè)部行情接收系統(tǒng)應(yīng)有通信備份��,主要方式有:
(1)上海行情接收可采用深圳證券交易所提供的上海證券交易所行情衛(wèi)星備份系統(tǒng)�,或通過其他營業(yè)部進(jìn)行接收等方式;
(2)深圳行情接收可采用深圳單�����、雙向衛(wèi)星�����、撥號及上海證券交易所提供的深圳證券交易所行情衛(wèi)星備份系統(tǒng)(在建)��,或通過其他營業(yè)部進(jìn)行接收等方式����。
2���、營業(yè)部委托報(bào)盤系統(tǒng)應(yīng)有通信備份�,主要方式有:
(1) 上海委托可采用上海證券交易所提供的雙向衛(wèi)星����、DDN���、雙向衛(wèi)星撥號(在建)和上海證券交易所提供的公司內(nèi)部席位連通備份報(bào)盤方式;
(2) 深圳委托可采用深圳證券交易所提供的雙向衛(wèi)星�、衛(wèi)星伙伴備份和地面撥號、DDN等報(bào)盤方式���。
第三節(jié) 計(jì)算機(jī)設(shè)備
一��、 執(zhí)行[3.3.1]對服務(wù)器的要求時(shí)��,要注意:
1��、行情服務(wù)器和交易服務(wù)器應(yīng)有可靠的備份手段和備份系統(tǒng)([3.3.1(1)])�����;
2�、服務(wù)器至少應(yīng)做磁盤鏡像([3.3.1(2)])��;
3��、服務(wù)器應(yīng)有充足的電源�����、內(nèi)存、硬盤��、網(wǎng)卡等備用器件([3.3.1(3)])�。
第四節(jié) 局域網(wǎng)絡(luò)
一、[3.4.4]要求網(wǎng)絡(luò)設(shè)備應(yīng)有冗余備份����,主要包括:
1、營業(yè)部網(wǎng)絡(luò)的主交換機(jī)應(yīng)有備份機(jī)�,可做冷備份或熱備份��;
2����、網(wǎng)絡(luò)中的集線器和網(wǎng)卡都應(yīng)有充足的備件。
二���、營業(yè)部未使用的信息點(diǎn)���,在機(jī)房端應(yīng)將相應(yīng)網(wǎng)絡(luò)線從網(wǎng)絡(luò)設(shè)備上斷開,待使用該信息點(diǎn)時(shí)再接入�����。
第三章 軟件環(huán)境技術(shù)指引
第一節(jié) 系統(tǒng)軟件
一、 系統(tǒng)軟件主要包括操作系統(tǒng)軟件�、數(shù)據(jù)庫管理系統(tǒng)軟件([4.1.1]),此外��,還包括網(wǎng)絡(luò)管理軟件���、互聯(lián)網(wǎng)服務(wù)器軟件以及相應(yīng)的防火墻軟件等�。
二�、 正版軟件([4.1.2])包括兩方面的含義:
1、有正式授權(quán)的軟件���;
2��、軟件的使用和安裝在該軟件的合法要求范圍內(nèi)���。
三、[4.1.4] 要求的必須啟用系統(tǒng)軟件提供的安全審計(jì)留痕功能�����,應(yīng)做到對成交回報(bào)���、與交易所接口數(shù)據(jù)庫和交易數(shù)據(jù)庫的修改�����,用戶的登錄與注銷等方面的審計(jì)����。審計(jì)至少應(yīng)記錄操作的用戶(或地址)、時(shí)間����、具體操作及結(jié)果等信息。
第二節(jié) 應(yīng)用軟件
一�、 [4.2.2(2)]所指的關(guān)鍵數(shù)據(jù)目前至少包括各種密碼、口令及標(biāo)識(shí)項(xiàng)�����。
二����、 在對交易業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份傳輸([4.2.2(7)])時(shí)���,必須采取數(shù)據(jù)加密的方式���。
第三節(jié) 軟件管理
一�����、[4.3.2] 要求的安全保密設(shè)計(jì)至少應(yīng)包括使用應(yīng)用系統(tǒng)的客戶與非客戶用戶的權(quán)限劃分���,客戶密碼的保密使用方法,非客戶用戶的保密責(zé)任和嚴(yán)格分工��,數(shù)據(jù)的安全記錄及存放���,系統(tǒng)設(shè)計(jì)方案��、數(shù)據(jù)結(jié)構(gòu)以及程序源代碼和加密算法的保密等內(nèi)容�。
二�����、[4.3.5] 要求的內(nèi)部評審必須有電腦中心的書面認(rèn)可���。
三��、軟件的使用范圍和使用權(quán)限([4.3.6]) 要嚴(yán)格按照管理體系中軟件管理的有關(guān)制度執(zhí)行�����。
四��、[4.3.7] 要求的操作培訓(xùn)和安全教育包括兩方面的含義:
1����、 客戶用戶要達(dá)到熟悉軟件操作功能和對自己重要信息保密操作的要求;
2����、 非客戶用戶要達(dá)到熟悉并嚴(yán)格履行自己的職責(zé),不進(jìn)行越權(quán)�����、越級或非法操作的要求�����。
五��、營業(yè)部在進(jìn)行軟件維護(hù)和系統(tǒng)參數(shù)調(diào)整時(shí)([4.3.10])���,必須經(jīng)過營業(yè)部主管經(jīng)理或電腦部經(jīng)理的批準(zhǔn),對所有操作做出詳細(xì)的書面記錄并登記歸檔。
六��、防止對應(yīng)用軟件的非法修改([4.3.11])�,要從管理上和技術(shù)上采取措施。一方面要制定完善的制度并嚴(yán)格執(zhí)行�����,另一方面要在技術(shù)上采取措施��,加強(qiáng)對可能的非法入侵手段的監(jiān)控與防范�����。
第四章 數(shù)據(jù)管理技術(shù)指引
第一節(jié) 交易業(yè)務(wù)數(shù)據(jù)
一����、 關(guān)于數(shù)據(jù)備份([5.1.6])的說明:
1、交易業(yè)務(wù)數(shù)據(jù)必須進(jìn)行備份��,備份介質(zhì)可采用硬盤����、光盤和磁帶等;
2��、每個(gè)交易日的備份數(shù)據(jù)應(yīng)異地保存,即將當(dāng)天的備份數(shù)據(jù)傳輸?shù)娇偛?����、地區(qū)總部或其他營業(yè)部進(jìn)行異地保存�����。確有困難時(shí)�,可臨時(shí)保存在遠(yuǎn)離機(jī)房的專用保險(xiǎn)箱(滿足“六防”要求)內(nèi);
3����、需長期保存的數(shù)據(jù)必須定期備份到光盤或其它永久性只讀介質(zhì)上,并保存在異地的專用保險(xiǎn)箱內(nèi)�����。
第二節(jié) 系統(tǒng)數(shù)據(jù)
一�����、 對系統(tǒng)軟件中的系統(tǒng)數(shù)據(jù)��,要根據(jù)營業(yè)部情況定期備份���。
二���、應(yīng)用軟件的在運(yùn)行版本應(yīng)有備份,并異地存放����。
第五章 技術(shù)事故的防范和處理技術(shù)指引
第一節(jié) 技術(shù)事故及其防范
一、 由于通信����、電力等的故障引起系統(tǒng)無法運(yùn)行,經(jīng)啟動(dòng)備用系統(tǒng)仍未恢復(fù)正常��,導(dǎo)致交易中斷或造成經(jīng)濟(jì)損失的事件也屬技術(shù)事故([6.1.1])�。
二、 在應(yīng)急計(jì)劃的制定與執(zhí)行中([6.1.4])�����,還應(yīng)注意以下問題:
1��、應(yīng)急計(jì)劃應(yīng)由證券經(jīng)營機(jī)構(gòu)總部電腦中心統(tǒng)一制定�����,營業(yè)部電腦部根據(jù)自身機(jī)房環(huán)境、軟硬件系統(tǒng)特點(diǎn)進(jìn)行補(bǔ)充和完善����;
2、在制定應(yīng)急計(jì)劃中的緊急處理程序時(shí)��,建議盡可能評估和確定可能發(fā)生的技術(shù)故障類別和故障點(diǎn)���,充分借鑒以往技術(shù)事故應(yīng)對步驟的經(jīng)驗(yàn)����,具體寫出針對故障點(diǎn)的緊急處理程序��;
3�����、一個(gè)故障點(diǎn)可對應(yīng)多個(gè)緊急處理程序�;
4、應(yīng)制定培訓(xùn)與演習(xí)計(jì)劃�,包括對象、內(nèi)容����、組織形式和時(shí)間進(jìn)度等�����。應(yīng)急計(jì)劃要定期進(jìn)行演習(xí),并形成“演習(xí)總結(jié)報(bào)告”�����。
第二節(jié) 技術(shù)事故的處理
一���、 在進(jìn)行事故處理時(shí)([6.2.4])還要注意:
1���、電腦中心和電腦部應(yīng)注意總結(jié)技術(shù)事故處理的經(jīng)驗(yàn)與教訓(xùn),形成技術(shù)文件并及時(shí)進(jìn)行交流��,為今后避免或處理類似問題提供借鑒�。
2、營業(yè)部應(yīng)在事故發(fā)生的第一時(shí)間內(nèi)報(bào)告電腦中心��,并及時(shí)向電腦中心書面詳細(xì)報(bào)告技術(shù)事故的全部情況�����,包括事故原因�、處理情況和改進(jìn)措施�����。
3����、對信息系統(tǒng)安全事件應(yīng)立即上報(bào)中國證監(jiān)會(huì)及其派出機(jī)構(gòu)�����。
中國證監(jiān)會(huì)資格考試委員會(huì)辦公室
稅收法規(guī)
內(nèi)控政策
津公網(wǎng)安備12010202000755號