證 券公司信息技術(shù)管理規(guī)范2005年.doc

證券公司信息技術(shù)管理規(guī)范Norms for the Information Technology Management of Securities Companies【發(fā)布部門(mén)】 中國(guó)人民銀行，中國(guó)證券監(jiān)督管理委員會(huì)【發(fā)布日期】 2005.03.25【實(shí)施日期】 2005.03.25【時(shí)效性】 現(xiàn)行有效【效力級(jí)別】 部門(mén)規(guī)范性文件【法規(guī)類別】 互聯(lián)網(wǎng)【全文】【法寶引證碼】 CLI.4.57905 證券公司信息技術(shù)管理規(guī)范中華人民共和國(guó)金融行業(yè)標(biāo)準(zhǔn)JR/T00232004證券公司信息技術(shù)管理規(guī)范The criterion of IT management for securites company2005年3月25日發(fā)布2005年3月25日實(shí)施本標(biāo)準(zhǔn)由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出。本標(biāo)準(zhǔn)由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。本標(biāo)準(zhǔn)起草單位：中國(guó)證券監(jiān)督管理委員會(huì)、國(guó)泰君安證券股份有限公司、中國(guó)銀河證券有限責(zé)任公司、申銀萬(wàn)國(guó)證券股份有限公司、長(zhǎng)江證券有限責(zé)任公司、海通證券股份有限公司、泰陽(yáng)證券有限責(zé)任公司、閩發(fā)證券有限責(zé)任公司、興業(yè)證券股份有限公司、國(guó)信證券有限責(zé)任公司。本標(biāo)準(zhǔn)主要起草人：徐雅萍、陳煜濤、俞楓、金守罕、郭怡峰、陳靜、沈云明、湯玉龍、彭湘林、王錦炎、劉斌、廖亞濱、萬(wàn)曉鷹、黃卉、徐穎。本標(biāo)準(zhǔn)為首次發(fā)布。引言為了規(guī)范證券公司信息技術(shù)管理行為，保護(hù)投資者的合法利益，維護(hù)證券公司的合法權(quán)益，促進(jìn)證券市場(chǎng)的健康發(fā)展，特制定本標(biāo)準(zhǔn)，以加強(qiáng)證券公司信息系統(tǒng)的優(yōu)化建設(shè)和安全管理，推動(dòng)信息系統(tǒng)建設(shè)與技術(shù)管理水平的協(xié)調(diào)發(fā)展，提高證券行業(yè)的整體信息技術(shù)應(yīng)用水平。證券公司信息技術(shù)管理規(guī)范1范圍本標(biāo)準(zhǔn)規(guī)定了證券公司信息技術(shù)管理的以下方面：a）信息技術(shù)管理工作中應(yīng)遵循的基本原則；b）信息技術(shù)管理的組織架構(gòu)；c）信息技術(shù)人員、項(xiàng)目和安全管理；d）機(jī)房和設(shè)備管理；e）網(wǎng)絡(luò)通信、軟件和數(shù)據(jù)；f）信息系統(tǒng)運(yùn)行管理、技術(shù)事故的防范與處理。本標(biāo)準(zhǔn)適用于證券公司的信息技術(shù)管理工作。2規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB2887電子計(jì)算機(jī)場(chǎng)地通用規(guī)范GB/T8566信息技術(shù)軟件生存期過(guò)程GB9361計(jì)算站場(chǎng)地安全要求GB50174電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范GB50311建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范GB50312建筑與建筑群綜合布線系統(tǒng)工程驗(yàn)收規(guī)范CMM軟件能力成熟度模型（Capacity Maturity Model）3原則證券公司在信息技術(shù)管理工作中應(yīng)遵循：a）安全性原則，應(yīng)樹(shù)立技術(shù)風(fēng)險(xiǎn)的防范意識(shí)，把安全措施落實(shí)到信息技術(shù)管理的每個(gè)環(huán)節(jié)、每個(gè)方面，應(yīng)在信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、運(yùn)行、維護(hù)各環(huán)節(jié)和硬件、軟件、網(wǎng)絡(luò)通訊、數(shù)據(jù)、管理各方面，貫徹安全性原則。b）實(shí)用性原則，應(yīng)加強(qiáng)信息技術(shù)管理，注重采用成熟的先進(jìn)技術(shù)，在確保信息系統(tǒng)性能和安全的前提下，遵循高效益、低成本、易操作的原則。c）系統(tǒng)化原則，將證券公司信息技術(shù)管理有關(guān)的資源和活動(dòng)以系統(tǒng)的觀點(diǎn)來(lái)進(jìn)行管理，理解和識(shí)別管理過(guò)程中的相互關(guān)系和作用，明確每個(gè)管理過(guò)程的職責(zé)和權(quán)限。4管理體系4.1組織結(jié)構(gòu)與職能4.1.1證券公司應(yīng)設(shè)立信息技術(shù)管理機(jī)構(gòu)，實(shí)行信息技術(shù)工作的統(tǒng)一歸口管理。4.1.2信息技術(shù)管理機(jī)構(gòu)應(yīng)履行下列職責(zé)：a）負(fù)責(zé)信息系統(tǒng)的總體規(guī)劃并組織實(shí)施；b）負(fù)責(zé)制定與信息技術(shù)相關(guān)的規(guī)章制度并落實(shí)執(zhí)行；c）負(fù)責(zé)編制信息技術(shù)預(yù)算并落實(shí)執(zhí)行；d）負(fù)責(zé)信息系統(tǒng)的建設(shè)和運(yùn)行維護(hù)；e）協(xié)助進(jìn)行信息技術(shù)人員的任職管理、培訓(xùn)和考核；f）發(fā)現(xiàn)技術(shù)和業(yè)務(wù)異常及時(shí)上報(bào)；4.2人員管理4.2.1證券公司應(yīng)對(duì)信息技術(shù)管理機(jī)構(gòu)實(shí)行定崗、定編、定責(zé)，明確各崗位的人員素質(zhì)要求。4.2.2應(yīng)建立重要崗位的雙人負(fù)責(zé)制，并加強(qiáng)對(duì)單人單崗的監(jiān)控。4.2.3應(yīng)建立完善的保密制度，重要崗位應(yīng)簽訂保密協(xié)議書(shū)。4.2.4不應(yīng)錄用有犯罪或嚴(yán)重違規(guī)行為記錄的人員從事證券公司信息技術(shù)工作。4.2.5應(yīng)建立信息技術(shù)人員定期培訓(xùn)和考核制度，不合格者禁止上崗。4.2.6應(yīng)定期或不定期對(duì)在信息技術(shù)重要崗位上的信息技術(shù)人員進(jìn)行輪換，或?qū)嵭袕?qiáng)制休假。4.2.7應(yīng)建立信息技術(shù)人員的離崗制度，規(guī)范離崗手續(xù)。4.3安全管理4.3.1證券公司應(yīng)建立信息系統(tǒng)安全管理組織，實(shí)施信息安全等級(jí)保護(hù)，并設(shè)立專門(mén)的安全管理員、安全審計(jì)員崗位。4.3.2信息系統(tǒng)安全管理組織應(yīng)履行下列職責(zé)：a）負(fù)責(zé)制定統(tǒng)一的安全策略；b）負(fù)責(zé)制定信息系統(tǒng)安全管理制度；c）負(fù)責(zé)審核和實(shí)施信息系統(tǒng)安全保護(hù)和安全防范技術(shù)方案；d）負(fù)責(zé)組織信息系統(tǒng)安全教育及技術(shù)培訓(xùn)；e）負(fù)責(zé)定期或不定期進(jìn)行信息系統(tǒng)安全檢查，發(fā)現(xiàn)問(wèn)題，督促解決；f）負(fù)責(zé)組織信息系統(tǒng)安全防范、應(yīng)急演練。4.3.3應(yīng)建立計(jì)算機(jī)病毒防范制度：a）統(tǒng)一組織和實(shí)施計(jì)算機(jī)病毒防范工作b）建立計(jì)算機(jī)病毒預(yù)警機(jī)制，嚴(yán)格執(zhí)行病毒檢測(cè)及報(bào)告措施。4.3.4應(yīng)堅(jiān)持三分離原則，實(shí)現(xiàn)前后臺(tái)分離、開(kāi)發(fā)與操作分離、技術(shù)與業(yè)務(wù)分離，信息技術(shù)人員任職要專崗專責(zé)，不得由業(yè)務(wù)人員兼任，也不得兼任業(yè)務(wù)職務(wù)。4.4技術(shù)文檔管理4.4.1技術(shù)文檔是指與信息系統(tǒng)相關(guān)的技術(shù)文件、圖表、程序與數(shù)據(jù)等。4.4.2證券公司應(yīng)制定技術(shù)文檔管理制度，設(shè)立技術(shù)文檔管理崗位。4.4.3應(yīng)按照統(tǒng)一格式對(duì)技術(shù)文檔進(jìn)行編寫(xiě)并及時(shí)更新，達(dá)到能夠依靠技術(shù)文檔恢復(fù)系統(tǒng)正常運(yùn)行的要求。4.4.4應(yīng)根據(jù)技術(shù)文檔的不同保密級(jí)別實(shí)行分級(jí)管理。4.4.5應(yīng)對(duì)技術(shù)文檔實(shí)行有效期管理，對(duì)于超過(guò)有效期的技術(shù)文檔降低保密級(jí)別，對(duì)已經(jīng)失效的技術(shù)文檔定期清理，并嚴(yán)格執(zhí)行技術(shù)文檔管理制度中的銷毀和監(jiān)銷規(guī)定。4.4.6技術(shù)文檔的借閱、復(fù)制應(yīng)履行必要的手續(xù)。4.4.7重要技術(shù)文檔應(yīng)有副本并異地存放。5機(jī)房與設(shè)備管理5.1機(jī)房5.1.1機(jī)房建設(shè)應(yīng)符合GB50174、GB2887和GB9361的要求，防雷、接地、電磁輻射和電氣特性都應(yīng)達(dá)到國(guó)家標(biāo)準(zhǔn)要求。5.1.2機(jī)房環(huán)境應(yīng)達(dá)到以下要求：a）操作間與設(shè)備間分隔；b）安裝獨(dú)立的空調(diào)設(shè)備，對(duì)溫度和濕度進(jìn)行控制；c）配有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施；d）配置應(yīng)急照明裝置；5.1.3機(jī)房供電系統(tǒng)應(yīng)達(dá)到以下要求：a）有單獨(dú)的配電柜和獨(dú)立于一般照明電的專用供配電線路，配電容量有一定余量，采用雙路供電或配備發(fā)電機(jī)；b）配備不間斷電源設(shè)備，其容量至少滿足關(guān)鍵設(shè)備在開(kāi)市期間斷電情況下的運(yùn)行要求。5.1.4機(jī)房應(yīng)安裝監(jiān)視系統(tǒng)和門(mén)禁系統(tǒng)，宜安裝環(huán)境監(jiān)控系統(tǒng)和設(shè)備監(jiān)控系統(tǒng)。5.2設(shè)備管理5.2.1證券公司應(yīng)實(shí)行計(jì)算機(jī)設(shè)備集中管理，建立相應(yīng)的管理制度，按有關(guān)流程辦理設(shè)備的采購(gòu)、登記、維護(hù)、報(bào)廢等工作，對(duì)設(shè)備的整個(gè)生命周期進(jìn)行管理。5.2.2大宗設(shè)備采購(gòu)應(yīng)堅(jiān)持公開(kāi)、公平、公正的原則，宜采用招標(biāo)、邀標(biāo)等形式完成。5.2.3應(yīng)定期對(duì)設(shè)備進(jìn)行更新和保養(yǎng)，經(jīng)維護(hù)的設(shè)備應(yīng)通過(guò)有關(guān)測(cè)試方能投入使用。6網(wǎng)絡(luò)通信6.1網(wǎng)絡(luò)建設(shè)6.1.1證券公司網(wǎng)絡(luò)的基本要求：a）應(yīng)統(tǒng)一規(guī)劃公司的網(wǎng)絡(luò)；b）網(wǎng)絡(luò)建設(shè)應(yīng)遵循高可靠性、高安全性、高性能、可擴(kuò)展性、可管理性、標(biāo)準(zhǔn)化等原則；c）網(wǎng)絡(luò)承建集成商應(yīng)具有國(guó)家有關(guān)部門(mén)頒發(fā)的三級(jí)以上（含三級(jí)）計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書(shū)；d）網(wǎng)絡(luò)設(shè)備和通信帶寬應(yīng)保證業(yè)務(wù)需求。e）網(wǎng)絡(luò)不應(yīng)存在單點(diǎn)故障。6.1.2局域網(wǎng)應(yīng)達(dá)到以下要求：a）布線系統(tǒng)設(shè)計(jì)可參照GB50311和GB50312，采用結(jié)構(gòu)化綜合布線系統(tǒng)；b）針對(duì)不同業(yè)務(wù)或應(yīng)用采取適當(dāng)技術(shù)手段，實(shí)現(xiàn)網(wǎng)絡(luò)分離，提高網(wǎng)絡(luò)安全性；6.1.3廣域網(wǎng)應(yīng)達(dá)到以下要求：a）滿足線路備份和網(wǎng)絡(luò)安全的要求；b）網(wǎng)絡(luò)節(jié)點(diǎn)間有明確的互訪原則，制定和配置相應(yīng)的路由策略；c）主干設(shè)備支持標(biāo)準(zhǔn)通信協(xié)議；d）與電信運(yùn)營(yíng)商和設(shè)備供應(yīng)商簽訂服務(wù)協(xié)議，做到定期檢修、發(fā)現(xiàn)故障及時(shí)響應(yīng)。6.1.4外部網(wǎng)的建設(shè)應(yīng)達(dá)到以下要求：a）與交易所、中國(guó)登記結(jié)算公司之間的通信連接安全可靠；b）與外聯(lián)單位的聯(lián)網(wǎng)采用可靠的技術(shù)隔離手段，確保網(wǎng)絡(luò)安全；c）建立多種通信通道，保證業(yè)務(wù)的連續(xù)性。6.1.5互聯(lián)網(wǎng)接入應(yīng)達(dá)到以下要求：a）網(wǎng)上委托系統(tǒng)應(yīng)采用至少兩條線路接入互聯(lián)網(wǎng)，采用同一個(gè)運(yùn)營(yíng)商的線路應(yīng)通過(guò)不同的節(jié)點(diǎn)接入；b）通過(guò)防火墻等安全設(shè)備與互聯(lián)網(wǎng)相連。6.2網(wǎng)絡(luò)管理6.2.1證券公司應(yīng)建立健全網(wǎng)絡(luò)管理制度：a）網(wǎng)絡(luò)管理采用統(tǒng)一策略；b）設(shè)置專職網(wǎng)絡(luò)管理員，實(shí)行網(wǎng)絡(luò)分級(jí)管理；c）網(wǎng)絡(luò)管理員具備相應(yīng)的素質(zhì)和技能，持有相應(yīng)的資格證書(shū)。6.2.2在網(wǎng)絡(luò)管理上應(yīng)達(dá)到以下要求：a）配備網(wǎng)絡(luò)管理工具，對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控、管理和維護(hù)，重要網(wǎng)絡(luò)設(shè)備開(kāi)啟日志和審計(jì)功能；b）建立完整的網(wǎng)絡(luò)技術(shù)文檔；c）定期維護(hù)網(wǎng)絡(luò)設(shè)備和線路；d）詳細(xì)記錄網(wǎng)絡(luò)故障處理過(guò)程。6.2.3通過(guò)互聯(lián)網(wǎng)為公眾提供服務(wù)，應(yīng)遵循國(guó)家和行業(yè)有關(guān)規(guī)定。6.3網(wǎng)絡(luò)安全6.3.1證券公司應(yīng)建立健全網(wǎng)絡(luò)安全體系，統(tǒng)一制定公司的網(wǎng)絡(luò)安全策略和技術(shù)方案，網(wǎng)絡(luò)安全策略遵循技術(shù)保護(hù)和管理保護(hù)相結(jié)合的原則。6.3.2網(wǎng)絡(luò)安全應(yīng)達(dá)到以下要求：a）利用成熟的網(wǎng)絡(luò)安全技術(shù)，防止非法訪問(wèn)、攻擊和破壞計(jì)算機(jī)網(wǎng)絡(luò)等活動(dòng)；b）定期對(duì)公司網(wǎng)絡(luò)進(jìn)行安全檢查，發(fā)現(xiàn)問(wèn)題，及時(shí)解決，并記錄存檔；c）所有可配置的網(wǎng)絡(luò)設(shè)備按最小安全訪問(wèn)原則設(shè)置訪問(wèn)控制權(quán)限，關(guān)閉不必要的端口及服務(wù)；d）妥善保管和定期更換網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程訪問(wèn)密碼。6.3.3在互聯(lián)網(wǎng)接入方面應(yīng)達(dá)到以下安全要求：a）對(duì)公司內(nèi)可訪問(wèn)互聯(lián)網(wǎng)的終端采用必要的安全措施與核心系統(tǒng)相隔離；b）對(duì)于來(lái)自互聯(lián)網(wǎng)的訪問(wèn)采用可靠的身份認(rèn)證、訪問(wèn)控制和安全審計(jì)措施，防止非法接入和非法訪問(wèn)。6.3.4網(wǎng)上委托系統(tǒng)應(yīng)達(dá)到以下安全要求：a）通過(guò)國(guó)家權(quán)威機(jī)構(gòu)的安全認(rèn)證，重要技術(shù)產(chǎn)品通過(guò)國(guó)家權(quán)威機(jī)構(gòu)的安全測(cè)評(píng)，達(dá)到主管部門(mén)的規(guī)定要求；b）采用可靠的技術(shù)和管理措施進(jìn)行客戶身份認(rèn)證；c）采用有效技術(shù)措施達(dá)到防抵賴、防篡改、防竊取等功能；d）網(wǎng)上委托服務(wù)器所在的網(wǎng)絡(luò)與內(nèi)部核心網(wǎng)絡(luò)相隔離。7軟件7.1系統(tǒng)軟件7.1.1系統(tǒng)軟件的選用應(yīng)充分考慮安全性、可靠性、穩(wěn)定性和健壯性，應(yīng)使用符合安全要求的正版軟件。7.1.2操作系統(tǒng)軟件的使用應(yīng)遵循最小功能原則及最小權(quán)限策略，關(guān)閉不必要的服務(wù)和端口。7.1.3在經(jīng)過(guò)充分測(cè)試的前提下，應(yīng)及時(shí)安裝操作系統(tǒng)的補(bǔ)丁程序。7.2應(yīng)用軟件7.2.1應(yīng)用軟件應(yīng)符合業(yè)務(wù)運(yùn)作的合法性和合規(guī)性。7.2.2重要應(yīng)用軟件系統(tǒng)宜采取在線備份措施。7.2.3信息揭示與分析系統(tǒng)應(yīng)保證信息揭示的完整、準(zhǔn)確和及時(shí)。7.3軟件管理7.3.1應(yīng)用軟件開(kāi)發(fā)過(guò)程應(yīng)符合GB/T8566。7.3.2應(yīng)加強(qiáng)對(duì)外包或外購(gòu)應(yīng)用軟件的質(zhì)量控制，選擇已建立軟件質(zhì)量保證體系的開(kāi)發(fā)商進(jìn)行合作，具體要求可參照CMM的二級(jí)標(biāo)準(zhǔn)進(jìn)行。同時(shí)在開(kāi)發(fā)商的選擇過(guò)程中，應(yīng)高度重視其信譽(yù)和品牌，不宜選擇曾為證券公司違規(guī)、違法業(yè)務(wù)行為提供技術(shù)服務(wù)或技術(shù)支持的開(kāi)發(fā)商。7.3.3在軟件總體設(shè)計(jì)時(shí)，應(yīng)根據(jù)應(yīng)用軟件的實(shí)際用途，同步進(jìn)行安全保密設(shè)計(jì)。7.3.4在軟件開(kāi)發(fā)過(guò)程中，應(yīng)同步完成相關(guān)文檔手冊(cè)的編寫(xiě)工作，保證相關(guān)資料的完整性和準(zhǔn)確性。7.3.5開(kāi)發(fā)維護(hù)人員與操作人員應(yīng)實(shí)行崗位分離。7.3.6開(kāi)發(fā)環(huán)境應(yīng)與生產(chǎn)環(huán)境隔離。7.3.7應(yīng)用軟件在正式投入使用前應(yīng)經(jīng)過(guò)內(nèi)部評(píng)審，確認(rèn)技術(shù)文檔齊全，系統(tǒng)功能、測(cè)試結(jié)果和試運(yùn)行結(jié)果均滿足設(shè)計(jì)要求。7.3.8軟件使用人員應(yīng)接受操作培訓(xùn)和安全教育。7.3.9建立應(yīng)用軟件文檔管理、版本管理及軟件分發(fā)制度。7.3.10應(yīng)建立規(guī)范的軟件維護(hù)和系統(tǒng)參數(shù)調(diào)整流程。8數(shù)據(jù)8.1數(shù)據(jù)管理8.1.1數(shù)據(jù)是指證券公司在經(jīng)營(yíng)和管理中產(chǎn)生的信息資源，主要包括業(yè)務(wù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)和管理數(shù)據(jù)等。8.1.2應(yīng)建立數(shù)據(jù)管理制度，達(dá)到以下基本要求：a）重要數(shù)據(jù)分密級(jí)管理；b）建立數(shù)據(jù)訪問(wèn)控制機(jī)制；c）建立數(shù)據(jù)防篡改和防竊取機(jī)制；d）建立數(shù)據(jù)備份措施和異地存放措施。8.1.3業(yè)務(wù)數(shù)據(jù)的管理應(yīng)達(dá)到以下要求：a）對(duì)業(yè)務(wù)數(shù)據(jù)實(shí)施嚴(yán)格的安全保密管理；b）在線系統(tǒng)所保存的業(yè)務(wù)數(shù)據(jù)不少于一年；c）建立業(yè)務(wù)數(shù)據(jù)的離線備份制度，數(shù)據(jù)應(yīng)定期、完整、準(zhǔn)確地轉(zhuǎn)儲(chǔ)到可靠的介質(zhì)上，并要求實(shí)現(xiàn)集中、異地存放，保存期限至少20年；d）備份數(shù)據(jù)不得更改，并定期進(jìn)行完整性和可恢復(fù)性校驗(yàn)；e）備份數(shù)據(jù)指定專人負(fù)責(zé)保管，嚴(yán)格執(zhí)行數(shù)據(jù)交接管理規(guī)定和登記管理規(guī)定。8.1.4系統(tǒng)數(shù)據(jù)應(yīng)以電子文檔和書(shū)面文檔兩種形式加以保存，并實(shí)行專人管理。8.1.5證券公司應(yīng)統(tǒng)一內(nèi)部數(shù)據(jù)標(biāo)準(zhǔn)，并遵循行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)。8.2數(shù)據(jù)安全8.2.1證券公司應(yīng)充分利用成熟的安全技術(shù)確保數(shù)據(jù)的保密性、完整性、可用性和可控性。8.2.2信息系統(tǒng)設(shè)計(jì)時(shí)應(yīng)同步進(jìn)行數(shù)據(jù)安全設(shè)計(jì)，對(duì)重要數(shù)據(jù)在采集、傳輸、使用和存儲(chǔ)過(guò)程中進(jìn)行加密。8.2.3應(yīng)使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的加密產(chǎn)品和加密算法。9運(yùn)行管理9.1日常運(yùn)行和系統(tǒng)上線9.1.1證券公司應(yīng)建立健全信息系統(tǒng)運(yùn)行管理制度，建立詳細(xì)的運(yùn)行日志和故障日志。9.1.2應(yīng)制定規(guī)范化的信息系統(tǒng)上線流程：a）信息系統(tǒng)未經(jīng)嚴(yán)格測(cè)試不得上線運(yùn)行；b）評(píng)估信息系統(tǒng)上線風(fēng)險(xiǎn)，做好相應(yīng)的應(yīng)急和備份計(jì)劃；c）信息系統(tǒng)通過(guò)規(guī)定流程審批后，才能獲準(zhǔn)上線。9.1.3信息系統(tǒng)運(yùn)行管理應(yīng)達(dá)到以下要求：a）制定規(guī)范化的日常操作流程，關(guān)鍵操作建立復(fù)核機(jī)制；b）建立嚴(yán)格的值班工作制度和規(guī)范的故障處理流程；c）建立完善的監(jiān)控體系，對(duì)信息系統(tǒng)的運(yùn)行環(huán)境、運(yùn)行狀況等進(jìn)行實(shí)時(shí)監(jiān)控和事后分析，并提供多種報(bào)警手段；d）嚴(yán)禁在生產(chǎn)環(huán)境進(jìn)行未經(jīng)批準(zhǔn)的操作；e）建立關(guān)鍵系統(tǒng)的配置和變更文檔，確保運(yùn)行環(huán)境的可恢復(fù)性；f）在信息系統(tǒng)管理和業(yè)務(wù)操作的各層面建立相應(yīng)的操作權(quán)限制約機(jī)制；g）帳戶和密碼專人專用，加強(qiáng)對(duì)缺省帳戶和密碼的管理，不應(yīng)為客戶設(shè)置統(tǒng)一的、有規(guī)律的、易猜測(cè)的初始密碼。9.1.4機(jī)房管理應(yīng)達(dá)到以下要求：a）建立安全保衛(wèi)措施，嚴(yán)格執(zhí)行機(jī)房進(jìn)出管理制度；b）對(duì)機(jī)房的照明、空調(diào)、防火、門(mén)禁等機(jī)房環(huán)境系統(tǒng)進(jìn)行定期檢查，確保其處于正常工作狀態(tài)；c）嚴(yán)禁易燃、易爆、強(qiáng)磁及其它與機(jī)房工作無(wú)關(guān)的物品進(jìn)入機(jī)房；d）機(jī)房供電系統(tǒng)由專人負(fù)責(zé)管理，定期進(jìn)行檢修和維護(hù)。9.2技術(shù)事故防范與處理9.2.1技術(shù)事故是指由于通信故障、電力故障、軟硬件