證券公司--信息系統(tǒng)管理制度匯編.doc

此資料來自 臺商訊息網(wǎng), 大量管理資料下載長城證券有限責任公司信息系統(tǒng)管理制 度 匯 編長城證券有限責任公司信息技術中心前 言隨著計算機技術的迅猛發(fā)展，信息系統(tǒng)已成為證券業(yè)各項業(yè)務順利運轉(zhuǎn)的關鍵設施，因此保證信息系統(tǒng)的正常運轉(zhuǎn)和防范技術風險，已成為證券業(yè)工作重心之一。為了提高證券行業(yè)的整體技術水平，有效地防范和化解技術風險，中國證監(jiān)會于1998年3月頒布了證券業(yè)的第一個技術標準 證券經(jīng)營機構營業(yè)部信息系統(tǒng)技術管理規(guī)范（試行）（以下簡稱規(guī)范），將證券業(yè)的信息系統(tǒng)建設與管理工作納入了規(guī)范發(fā)展的軌道。 如何使規(guī)范落到實處，切實做到技術管理制度化、日常操作規(guī)范化，是當前證券業(yè)信息系統(tǒng)規(guī)范化建設的一項重要內(nèi)容。 為此，公司信息技術中心根據(jù)規(guī)范要求，結合公司實際情況，以公司計算機應用管理科學化、規(guī)范化、高效、安全、實用、集中統(tǒng)一為原則，起草了長城證券有限責任公司信息系統(tǒng)管理的一系列規(guī)章制度，并廣泛征求了公司有關部門與部分營業(yè)部的意見，最終形成這本長城證券有限責任公司信息系統(tǒng)管理制度匯編（以下簡稱制度匯編）。本制度匯編分為三大部分。一是公司信息系統(tǒng)管理辦法（試行），共有18條，主要包括公司信息技術中心的工作職責、證券營業(yè)部（以下簡稱營業(yè)部）電腦部的職責、以及有關營業(yè)部搬遷、擴租、電子設備購置等事項報批程序與管理辦法等。二是公司信息系統(tǒng)管理實施細則（試行），共分12 章，主要包括計算機應用項目立項和審批程序、應用軟件開發(fā)管理、計算機設備購置和使用管理、網(wǎng)絡管理、機房管理、計算機設備報廢管理、耗材管理、防病毒管理、技術文檔管理以及系統(tǒng)安全保密管理等；三是營業(yè)部信息系統(tǒng)管理辦法（試行），共分 ? 章，比較詳細地制定了營業(yè)部電腦部工作職責、人員管理、崗位設置、安全及風險防范、軟硬件設備管理、數(shù)據(jù)管理、資料管理等各項規(guī)章制度。本制度匯編由公司信息技術中心統(tǒng)一組織實施，并負責監(jiān)督、檢查相關規(guī)章制度的貫徹執(zhí)行。本制度匯編的修改、解釋權歸公司信息技術中心。本制度匯編屬公司內(nèi)部資料，應妥善保管、注意保密。n the main terminal, and the telephone Office is responsible for providing the appropriate size adapter patch panels and electrical protection unit. (Shuttle bus) wiring (IDF) set up in the workshop on the second floor of the building, located in the District of weak electrical cabinets (well). Engine room placed inside the Cabinet, IDF placed a standard 40U cabinets for installation of network and wiring devices, management computer and telephone information. Cabinet distribution frame are made of Super five RJ45 patch panel horizontal twisted pair connections. Computer information management, admin area using the jumpers, which uses private RJ45-RJ45 soft jumpers for network devices with jumpers hopping between all switches, changes, expansion and maintenance were done quickly in the wiring closet. Twisted length Centre room is located on the second floor, outward radiation of each line (except some points may exceed) does not exceed 100 metres in length, all information for the various floors all rooms (distribution Cabinet) unified management. District workshop building distribution lines (IDF) via fiber optic cables connected to the total room cabinets. Fiber length were: workshops two IDF: total more than 1200 square meters, double the number of strands can be calculated by multiplying the average length of the number of information points are. Average level of each length of cable: L=(S1+S2)/2+L1+L2 l: average length of cable; L1: MDF cable allowance; L2: other allowances S1: minimum horizontal cable length; S2: maximum horizontal length of cable; Office building of information: a minimum of 26 meters, the longest was 92 meters, L=(28+92)/2+2.5+1=62.5 m; Total length of 62.5 m x792 = 49500-meter in each box (KFT) by 300 meters per carton; The twisted-pair cable box you want = 49500 300=165 (KFT); losses not included, each about 15 meters. Metal line slot, and metal line tube ofBeiDouW Page 31/137長城證券有限責任公司 此資料來自 臺商訊息網(wǎng), 大量管理資料下載 第一部分長城證券有限責任公司信息系統(tǒng)管理辦法（試行）第一條 為了貫徹公司“以客戶為中心，以利潤為中心，合規(guī)經(jīng)營、開拓創(chuàng)新”的經(jīng)營指導方針，適應公司全面提升公司各項業(yè)務和管理水平，逐漸形成長城經(jīng)營特色，爭取使各項工作再上一個新臺階的要求，實現(xiàn)公司系統(tǒng)內(nèi)計算機技術與應用的有效管理，充分發(fā)揮計算機技術資源的整體優(yōu)勢，特制定本管理辦法。第二條 公司計算機應用管理工作堅持科學、規(guī)范、安全、高效、實用的原則。第三條 公司計算機應用管理實行集中統(tǒng)一管理的原則。集中統(tǒng)一管理是指在公司系統(tǒng)內(nèi)，以統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一應用、統(tǒng)一實施、統(tǒng)一采購的“五統(tǒng)一”方式，分步實施推廣計算機應用技術，并對計算機應用進行日常管理和維護。第四條 公司設立信息技術中心，下屬各營業(yè)部設立電腦部。公司計算機應用由信息技術中心歸口管理。第五條 公司信息技術中心是全公司計算機信息系統(tǒng)規(guī)劃、管理和技術協(xié)調(diào)的主管部門。各營業(yè)部電腦部在技術上接受信息技術中心的指導、管理和考核，在業(yè)務及行政上接受所在營業(yè)部負責人的領導和管理。第六條 信息技術中心的主要職能是：1、 保證公司的信息技術的應用具有前瞻性。2、 保障當前投入使用的系統(tǒng)穩(wěn)定運行。3、 結合業(yè)務發(fā)展與技術更新，及時推出高質(zhì)量的新技術應用系統(tǒng)。4、 建立并保持高素質(zhì)的、穩(wěn)定的技術隊伍。5、 協(xié)助公司制定信息技術應用的整體發(fā)展策略。6、 根據(jù)整體的發(fā)展策略，制定具體的年度工作規(guī)劃并組織實施。7、 制定或改進與信息系統(tǒng)相關的開發(fā)、維護及應用的規(guī)章制度。8. 配合人力資源部，對公司及營業(yè)部電腦人員的考核、聘用、任免以及培訓。8、 協(xié)助進行公司內(nèi)計算機軟硬件的選型招標。9、 審批營業(yè)部計算機軟硬件購置的年度預算及相應技術鑒定，審核計算機設備的購置、報損、報廢等工作。10、 協(xié)助公司作不定期的技術審計，對營業(yè)部信息系統(tǒng)進行專項檢查。11、 完成總部的各應用信息系統(tǒng)及交易系統(tǒng)的日常維護工作，包括通訊、網(wǎng)絡、系統(tǒng)、應用、安全（防黑客、防病毒、數(shù)據(jù)備份）等。12、 負責具體指導和監(jiān)營業(yè)部電腦部工作，對營業(yè)部提供實時技術支持和現(xiàn)場服務。13、 為公司電子商務的發(fā)展，提供充分的技術支持，維護更新公司的內(nèi)、外網(wǎng)站，保障網(wǎng)上交易等各類電子商務業(yè)務的開展。14、 技術資料的管理。15、 公司授權的其他管理職能。第七條 公司重要職能部門及營業(yè)部下屬遠程網(wǎng)點，設置計算機管理員，負責本部門計算機的日常維護管理以及與上級主管技術部門的聯(lián)絡工作。第八條 各營業(yè)部設置電腦部，負責本部門信息系統(tǒng)的建設、日常維護管理以及與公司信息技術中心的聯(lián)絡工作。具體職能為：1、 化安全意識，自覺遵守公司關于營業(yè)部信息系統(tǒng)管理的各項規(guī)章制度。2、 負責本營業(yè)部計算機信息系統(tǒng)的建設、管理和維護，確保系統(tǒng)安全運行。3、 及時處理證券交易所及有關主管部門播發(fā)的涉及信息系統(tǒng)運行的數(shù)據(jù)、文件和各類通知。4、 負責計算機硬件設備的管理和維護，保持系統(tǒng)處于良好的運行狀態(tài)。5、 負責本營業(yè)部信息系統(tǒng)的安全運行。開市之前做好系統(tǒng)的運行準備工作，開市期間實時監(jiān)控系統(tǒng)運行狀況 、處理突發(fā)事件，收市后配合清算員完成日結清算等盤后工作。6、 完整、準確地記錄計算機信息系統(tǒng)的運行日志。7、 嚴格按故障報告制度及時、準確地處理系統(tǒng)出現(xiàn)的故障。8、 負責交易業(yè)務數(shù)據(jù)、系統(tǒng)數(shù)據(jù)和其他重要數(shù)據(jù)、資料的備份及其管理。9、 根據(jù)本營業(yè)部的業(yè)務發(fā)展需求，提交應用系統(tǒng)需求報告、軟硬件采購計劃，報公司信息技術中心審批。10、 在公司信息技術中心的安排下，承擔公司信息網(wǎng)絡系統(tǒng)建設中涉及本營業(yè)部的有關工作。11、 負責本營業(yè)部計算機信息系統(tǒng)各類文檔的收集、整理、分類、歸檔、備案。12、 負責編制營業(yè)部計算機設備的統(tǒng)計報表及協(xié)助財務部擬定本營業(yè)部計算機設備報廢、報損計劃，報公司信息技術中心審核13、 提出本營業(yè)部計算機人員技術培訓計劃。14、 負責本營業(yè)部其他業(yè)務人員計算機應用培訓。15、 緊密跟蹤計算機新技術的發(fā)展，為新技術的推廣應用做好充分的技術準備。16、 完成公司信息技術中心交辦及本營業(yè)部總經(jīng)理下達的其他工作任務。17、 各營業(yè)部電腦部經(jīng)理人選，須由所在營業(yè)部提出推薦意見上 報公司，經(jīng)公司人力資源部會同信息技術中心進行資格審查和考核，并報公司領導批準后聘任。第九條 公司各部室、中心及營業(yè)部計算機網(wǎng)絡、系統(tǒng)的新建或整體改造，必須在年初申報計劃，并附完整的整體設計方案和可行性論證報告，由信息技術中心審批。第十條 各營業(yè)部申請搬遷、擴租營業(yè)面積以及涉及公司整體項目建設，應根據(jù)經(jīng)紀業(yè)務管理總部及財務資金總部有關上報的要求提出立項申請，在經(jīng)紀業(yè)務管理總部批準后，再向經(jīng)紀業(yè)務管理總部報送可行性分析報告與裝修預算方案，向信息技術中心報送計算機設備預算和技術方案，由經(jīng)紀業(yè)務管理總部、信息技術中心分別審核批復后，營業(yè)部方能實施。第十一條 公司各部室、中心為加強系統(tǒng)安全運轉(zhuǎn)，保證正常運營的電腦設備購置和網(wǎng)絡改造等方面的簽報，直接報送公司信息技術中心。信息技術中心將依據(jù)中國證監(jiān)會技術監(jiān)管的規(guī)范要求和公司技術發(fā)展總體綱要進行審查，在總部計劃財務部核定的營業(yè)部當年新增固定資產(chǎn)可用規(guī)模內(nèi)進行核準，并按月向財務資金總部提供清單，不再向其他部門申報。第十二條 公司設立計算機設備采購小組，具體負責公司計算機設備（包括相關工程項目）的招標、評標與購置事宜。第十三條 所有的計算機設備（包括軟件）采購均須采取招標方式，遵循嚴格、規(guī)范的招標程序，包括制定標書、發(fā)標、接標、評標，最后經(jīng)采購小組審定后報公司主管領導審批。第十四條 公司各部室、中心及營業(yè)部購置的計算機設備，凡屬于固定資產(chǎn)的，按公司固定資產(chǎn)管理辦法進行管理。第十五條 各營業(yè)部電腦部應每季度向信息技術中心提交書面工作報告，及時反映工作動態(tài)與需解決的問題。第十六條 公司各部室、中心及營業(yè)部如有人員調(diào)離，須事先通知公司信息技術中心，以便及時清除網(wǎng)絡登錄用戶并確定是否進行相關審計。第十七條 本辦法由公司信息技術中心負責解釋。第十八條 本辦法自下發(fā)之日起執(zhí)行。此前頒布的有關規(guī)定中與本辦法不一致的，以本辦法為準。長城證券有限責任公司信息技術中心編制 共7 第5頁 （內(nèi)部資料注意保密）長城證券有限責任公司 此資料來自 臺商訊息網(wǎng), 大量管理資料下載第二部分長城證券有限責任公司信息系統(tǒng)管理實施細則（試行）目 錄第一章 總 則3第二章 信息系統(tǒng)工程項目申請、立項和審批程序 4錯誤！未定義書簽。第三章 信息系統(tǒng)安全管理制度6錯誤！未定義書簽。第四章 計算機設備（軟件）購置管理30錯誤！未定義書簽。第五章 軟件開發(fā)管理制度34錯誤！未定義書簽。第六章 計算機設備使用管理41錯誤！未定義書簽。第七章 計算機耗材及備品備件管理43錯誤！未定義書簽。第八章 計算機機房（實驗室）管理44錯誤！未定義書簽。第九章 總部機房信息系統(tǒng)緊急事故應急處理47錯誤！未定義書簽。第十章 技術資料管理55第十一章 罰 則56 第十二章 附 則附表1 計算機應用項目立項申請報告1附表2 計算機應用項目驗收報告6附表3 計算機設備需求計劃表100附表4 計算機設備資金需求計劃表11附表5 計算機設備驗收單錯誤！未定義書簽。附表6 軟件項目需求報告1錯誤！未定義書簽。附表7 信息技術中心計算機用戶登錄表14錯誤！未定義書簽。附表8 計算機設備驗收單15錯誤！未定義書簽。附表9 備份介質(zhì)密封登記表16附表10 備份介質(zhì)調(diào)用申請表17附表11 計算機耗材及備品備件領用單 18附表12 信息技術中心總部數(shù)據(jù)備份任務一覽表 19附表13 信息技術中心總部數(shù)據(jù)備份介質(zhì)內(nèi)容變更登記表 20附表14 信息技術中心數(shù)據(jù)庫操作申請表 21附表15 信息技術中心數(shù)據(jù)庫訪問監(jiān)控報表 22第一章 總 則第一條 為加強長城證券有限責任公司（以下簡稱公司）對計算機應用的集中統(tǒng)一管理，規(guī)范全公司系統(tǒng)的計算機應用，保證計算機系統(tǒng)和設備的正常運轉(zhuǎn)，根據(jù)公司信息系統(tǒng)管理辦法，制訂本實施細則。第二條 本實施細則主要包括計算機應用項目立項和審批程序、計算機設備購置和使用管理、應用軟件開發(fā)管理、計算機設備報廢管理、耗材管理、網(wǎng)絡管理、機房管理、技術文檔的管理、系統(tǒng)安全保密管理、網(wǎng)絡防病毒管理以及技術培訓管理等。第三條 本辦法適用于公司各部室、中心及所屬證券營業(yè)部（以下簡稱營業(yè)部）。第二章 信息系統(tǒng)工程項目申請、立項和審批程序第一條 計算機應用項目包括計算機網(wǎng)絡系統(tǒng)新建與改造、硬件設備與系統(tǒng)軟件的購置、升級以及應用軟件開發(fā)與升級等。第二條 凡單價超過五千元的計算機應用項目，須填寫長城證券有限責任公司計算機應用項目立項申請報告（見附表1），并報公司信息技術中心審批。第三條 已立項的計算機應用項目完成后，由公司信息技術中心會同有關業(yè)務管理人員組成項目驗收小組進行驗收，驗收結果形成長城證券有限責任公司計算機應用項目驗收報告（見附表2）。第四條 公司各部室、中心在每年的12月31日前，提出本部門下一年度的計算機應用項目建設、購置及升級計劃，填寫計算機設備需求計劃表（見附表3）、計算機設備資金需求計劃表（見附表4）報信息技術中心。第五條 信息技術中心根據(jù)公司信息系統(tǒng)建設總體規(guī)劃和各部室、中心及營業(yè)部提交的計劃，匯總制定公司下一年度計算機應用項目購建計劃，報請公司批準后執(zhí)行。 第六條 對于計劃外的計算機應用項目，除特殊應急項目特批外，其他原則上不予審批。第七條 對于投資較大、建設周期較長、涉及面廣的計算機應用項目，信息技術中心將邀請業(yè)務需求部門、營業(yè)部電腦人員及有關專家進行技術論證和評審，原則上采用統(tǒng)一招標，統(tǒng)一推廣的方式。 第三章信息系統(tǒng)安全管理制度 總 則 第一條 為了加強對公司信息系統(tǒng)的安全管理、防范和化解各種技術風險、保護投資者利益、維護公司的合法權益，確保公司各項業(yè)務的順利開展，根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例、證券經(jīng)營機構營業(yè)部信息系統(tǒng)技術管理規(guī)范（試行）及有關規(guī)定制定本制度。 第二條 信息系統(tǒng)安全管理涉及安全管理組織建設、安全策略、系統(tǒng)環(huán)境安全、軟件安全、設備（實體）安全、網(wǎng)絡和通訊系統(tǒng)安全、用戶及權限管理、操作安全、病毒防范、系統(tǒng)備份、日志記錄、事故處理以及安全審計等內(nèi)容，公司信息技術工作應在本制度指引下，本著“安全第一”的原則進行。 第三條 本制度適用于長城證券公司總部、各地區(qū)總部及各營業(yè)部。組織和職責 第四條 信息系統(tǒng)安全管理實行公司總裁負責的公司安全管理委員會和營業(yè)部總經(jīng)理負責的營業(yè)部安全管理小組兩級管理制度。 第五條 公司安全管理委員會下設安全工作小組作為執(zhí)行機構，定期對公司范圍信息系統(tǒng)的安全性作出評價，必要時提出提高安全性的建議。 第六條 公司安全管理委員會的職責包括：建立健全公司各種安全制度、對安全工作小組的工作進行授權、對公司各類信息的重要性進行評估為其安全級別的制定提供依據(jù)、對安全工作小組有關報告的討論和批復、安全事故處理結果的公布、取得法律支持以解決信息系統(tǒng)入侵者的問題，以及進行安全教育和安全檢查。 第七條 營業(yè)部安全管理小組的職責包括：監(jiān)督和檢查各項安全管理制度在營業(yè)部的落實情況、定期向公司安全管理委員會提交工作報告、處理公司安全管理委員會授權的事務、配合公司安全工作小組的工作、開展計算機安全教育、保證營業(yè)部信息系統(tǒng)安全運行。安全策略第八條 計算機信息系統(tǒng)的建設和應用，應當遵守法律、行政法規(guī)和國家其他有關規(guī)定。第九條 對計算機信息系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時向營業(yè)部總經(jīng)理匯報，并于24小時內(nèi)向總部信息技術中心報告。第十條 通過對信息系統(tǒng)環(huán)境、軟件、硬件、網(wǎng)絡和通信、用戶和權限、規(guī)范化操作、病毒防范、備份和恢復手段以及安全審計等的有效管理，維護公司整個計算機環(huán)境的一致性。 第十一條 建立一個多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。第十二條 對公司員工進行計算機安全教育，提高員工的安全意識，是公司安全策略的重要組成部分。第十三條 營業(yè)部安全管理小組必須定期對本營業(yè)部的主要計算機信息系統(tǒng)資源配置、技術人員構成進行登記，并報公司安全管理委員會備案。第十四條 公司安全管理委員會及營業(yè)部安全管理小組應當對公司總部和各營業(yè)部重要崗位計算機信息系統(tǒng)的安全情況經(jīng)常進行檢查，并及時整改不安全隱患。第十五條 公司安全管理委員會應當建立廢棄數(shù)據(jù)、介質(zhì)的處理制度。第十六條 公司總部和各營業(yè)部啟用新的應用軟件，應當按軟件開發(fā)管理制度（試行）中有關規(guī)定業(yè)務系統(tǒng)，并做好日志記錄。第十七條 公司安全管理委員會應當建立嚴格的密鑰管理制度和在緊急情況下銷毀密鑰的手段和措施，以防止密鑰的失密。 安全監(jiān)督第十八條 公司安全管理委員會對公司內(nèi)部計算機信息系統(tǒng)安全保護工作行使下列監(jiān)督職權：1、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作；2、查處危害計算機信息系統(tǒng)安全的事件；3、組織或委托有關部門對新建、改建和擴建的系統(tǒng)進行安全驗收，負責系統(tǒng)安全技術檢測工作；4、組織開展系統(tǒng)安全競賽和評比；負責通報表彰和處罰；5、履行計算機信息系統(tǒng)安全保護工作的其他監(jiān)督職責。第十九條 公司安全管理委員會發(fā)現(xiàn)影響計算機信息系統(tǒng)安全的隱患時，應當及時通知公司各有關部門和各營業(yè)部采取安全保護措施。第二十條 公司安全管理委員會在緊急情況下，可以就涉及計算機信 息系統(tǒng)安全的特定事項發(fā)布專項通知。 安全管理第一節(jié) 信息系統(tǒng)環(huán)境的安全管理 第二十一條 信息系統(tǒng)環(huán)境的安全管理按照公司計算機房管理制度及信息系統(tǒng)環(huán)境標準執(zhí)行。第二節(jié) 軟件安全管理 第二十二條 總部信息技術中心依據(jù)公司軟件開發(fā)管理制度對系統(tǒng)軟件、應用軟件的開發(fā)、購買、測試和使用等環(huán)節(jié)進行管理。 第二十三條 軟件的開發(fā)和采購報告必須包括安全設計的說明，其安全設計必須符合軟件開發(fā)管理制度的有關規(guī)定。 第二十四條 信息技術人員應按照信息技術中心下發(fā)的安裝配置方法對系統(tǒng)軟件進行統(tǒng)一的安裝配置。 第二十五條 信息系統(tǒng)的安全漏洞一經(jīng)發(fā)現(xiàn)應及時報告公司安全管理委員會。第二十六條信息技術中心應與軟件開發(fā)商和供應商保持聯(lián)系，及時取得并組織安裝經(jīng)過測試的安全補丁。第二十七條 軟件使用部門根據(jù)業(yè)務需要提出增添新的應用軟件或?qū)σ延袘密浖岢鲂碌墓δ芤?，須以部門名義向信息技術中心填寫軟件需求報告表， 信息技術中心在收到軟件需求報告表（附表5）后，三天之內(nèi)給予書面答復。第二十八條 新購置的軟件需經(jīng)信息技術中心測試和試運行。試運行完成后，試用人員應填寫軟件驗收報告表（附表6）報信息技術中心領導審核，信息技術中心在收到報告后三天內(nèi)予以回復。測試穩(wěn)定后由信息技術中心統(tǒng)一分發(fā)安裝使用。第二十九條 自行開發(fā)的應用軟件，如源程序中需要嵌入數(shù)據(jù)庫訪問的用戶設置，應由數(shù)據(jù)管理員得到源程序、制作安裝盤。該安裝盤與購置的應用軟件安裝盤一并由檔案管理員保管，由應用系統(tǒng)維護人員調(diào)用安裝。第三節(jié) 計算機及相關設備的安全管理 第三十條 總部信息技術中心配合行政部及財務部依據(jù)公司電子與通訊設備固定資產(chǎn)管理制度對計算機及相關設備的選型、采購等過程進行管理。 第三十一條 重要的服務器、工作站、網(wǎng)絡設備、通訊設備應放置在機房，通過計算機房管理制度保證其物理安全性。 第三十二條 重要的服務器、工作站、網(wǎng)絡設備、通訊設備應有備品備件，出現(xiàn)問題及時更換。 第三十三條 對服務器及其資源的管理： 1、對資源共享權限和NTFS訪問權限進行嚴格、有效的管理，不授予用戶超出需要的權限，權限的設置必須有明確的依據(jù)； 2、制定方案，對敏感資源的操作、系統(tǒng)登錄情況進行定期或不定期檢查，及時查看L系統(tǒng)日志文件，對ALERT相關日志提示作出及時響應； 3、提供遠程訪問和對外WEB服務的服務器不存放敏感數(shù)據(jù)；4、對一些系統(tǒng)程序(如Telnet、ftp等)的使用應加強控制；停止服務器上不必要的服務；盡量減少所使用的協(xié)議。第三十四條 對貯有重要數(shù)據(jù)的故障設備，交外單位人員修理時，公司總部及各營業(yè)部必須派專人在場監(jiān)督。第四節(jié) 網(wǎng)絡和通信系統(tǒng)的安全管理第三十五條 計算機通信系統(tǒng)的建設和應用，應當遵守法律、行政法規(guī)和國家其他有關規(guī)定，并建立一個多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。第三十六條 采用新的網(wǎng)絡安全軟件、設備和技術保證公司網(wǎng)絡的安全。 第三十七條 采用數(shù)據(jù)加密技術保證數(shù)據(jù)安全傳輸?？偛亢蜖I業(yè)部間業(yè)務數(shù)據(jù)的傳輸應加密后采用數(shù)據(jù)專線進行傳輸。并采用PPP協(xié)議中PAP、CHAP相應的認證。第三十八條 總部和營業(yè)部間業(yè)務數(shù)據(jù)的傳輸應加密后采用數(shù)據(jù)專線進行傳輸。第三十九條 通信設備應具有防干擾、防截取能力。主要的通信設備應做到設備備份。第四十條 通信線路接口部分應采取防止非法進入的安全措施。第四十一條 進行密碼設置，并進行密碼的專職保管，防范通信線路接口部分的采取非法進入。第四十二條 公司總部及營業(yè)部應當對公司總部和各營業(yè)部通信系穩(wěn)定、安全情況進行定期檢查，并及時整改不安全隱患。第四十三條 對通信系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時向營業(yè)部總經(jīng)理匯報，并于即時與總部信息技術中心相關人員聯(lián)系，雙方合作盡快解決問題。第四十四條 總部信息技術中心設崗位職責，分別負責公司廣域網(wǎng)連接方案、網(wǎng)絡安全方案的實施，對總部局域網(wǎng)、公司廣域網(wǎng)連接、各類移動連接、Internet接入設備進行管理，以及其它保證網(wǎng)絡連接安全穩(wěn)定的日常事務性工作。第四十五條 營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負責。營業(yè)部柜臺交易系統(tǒng)管理員由營業(yè)部總經(jīng)理擔任。第四十六條 營業(yè)部與交易所的衛(wèi)星通信均應做到伙伴備份或isdn或ddn的備份。對上海報盤應做到總部備份。對以上備份系統(tǒng)做到定期測試，保證通信無誤。第四十七條 為了安全期間，營業(yè)部與營業(yè)部之間應限制相互間的直接操作。第五節(jié) 數(shù)據(jù)訪問的安全管理第四十八條由于審計、數(shù)據(jù)庫故障調(diào)試等原因，需要訪問數(shù)據(jù)庫時，應創(chuàng)建臨時用戶、賦予適當?shù)臋嘞?，并交由審計人員、應用系統(tǒng)維護人員使用，并在使用完畢后及時刪除該臨時用戶。在技術允許的條件下，應限制用戶的登錄工作站。第四十九條對于涉及業(yè)務、財務方面的數(shù)據(jù)庫，應利用數(shù)據(jù)庫系統(tǒng)的訪問跟蹤記錄功能，設置對應用系統(tǒng)、調(diào)試用戶、超級用戶訪問數(shù)據(jù)庫的命令進行跟蹤，記錄到監(jiān)控日志文件中。定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時通報。第五節(jié) 管理員及其職責 第五十條 總部信息技術中心設系統(tǒng)管理員崗位，負責公司信息系統(tǒng)的管理，包括服務器的規(guī)劃、安裝和配置，啟動/停止系統(tǒng)和服務，對系統(tǒng)運行狀態(tài)和入侵企圖進行監(jiān)控，安裝/刪除軟件，增加/刪除/修改用戶和用戶組，對用戶/用戶組的權限進行設置和修改，以及其它保持系統(tǒng)發(fā)展和安全運行的工作。 管理員應采取的安全措施有： 1、由于管理員組和備份組成員擁有對SAM數(shù)據(jù)庫的權限，所以必須嚴格限制管理員組和備份組成員資格，并加強對這些帳戶的審計； 2、改變Administrator帳戶名，為管理員和備份操作員創(chuàng)建專用帳號，為特定的工作建立專用的帳號，要求在執(zhí)行相應的管理任務時使用相應的帳號，操作結束時及時注銷； 3、關閉管理員以及特殊權限用戶的遠程訪問能力，特殊情況可以采用預設電話號碼的回撥方式； 4、管理員組、備份組成員帳戶不能用于瀏覽WEB。 第五十一條 總部信息技術中心設數(shù)據(jù)管理員崗位，負責總部數(shù)據(jù)的安全管理和維護，具體職責見信息系統(tǒng)安全管理制度第十三節(jié)“總部數(shù)據(jù)管理員職責細則”。第五十二條 總部信息技術中心設網(wǎng)絡管理員崗位，負責公司廣域網(wǎng)連接方案、網(wǎng)絡安全方案的實施，對總部局域網(wǎng)、公司廣域網(wǎng)連接、各類移動連接、Internet接入設備進行管理，以及其它保證網(wǎng)絡連接安全穩(wěn)定的日常事務性工作。 第五十三條 營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負責。營業(yè)部柜臺交易系統(tǒng)管理員由營業(yè)部總經(jīng)理擔任。 第五十四條 公司設立財務系統(tǒng)管理員崗位，財務系統(tǒng)管理員一般由財務部經(jīng)理擔任。第六節(jié) 用戶、組及其權限 第五十五條 系統(tǒng)管理員根據(jù)公司業(yè)務要求建立具有不同權限的用戶組，包括系統(tǒng)管理權限、系統(tǒng)和數(shù)據(jù)備份權限、帳號管理權限、各種數(shù)據(jù)庫訪問權限、不同的文件訪問權限、各種應用程序使用權限、網(wǎng)絡打印權限、遠程訪問權限、Internet訪問權限等。第五十六條 總部系統(tǒng)管理員應依據(jù)總部行政部的書面通知，完成新增/刪除用戶、分配權限的工作，并用郵件方式回復。上述通知應包括需要新增/刪除的用戶的姓名、工作的部門、需要使用何種應用等。第五十七條 營業(yè)部因人員新增調(diào)動、離職等需對郵件等用戶作出調(diào)整的，由營業(yè)部辦公室主任通知信息技術中心。第五十八條 營業(yè)部交易系統(tǒng)管理員新增/刪除柜臺用戶或?qū)τ脩魴嘞捱M行分配應有文字記錄。對股票、資金等參數(shù)進行調(diào)整的非正常業(yè)務操作必須填寫書面說明，而且必須由營業(yè)部總經(jīng)理及財務部經(jīng)理共同批準后方能執(zhí)行。 第五十六條 營業(yè)部技術人員在應用系統(tǒng)中的權限應只限于系統(tǒng)管理，而無業(yè)務操作權限。第五十九條 對用戶及權限管理應按以下原則執(zhí)行： 1、應對具有系統(tǒng)管理、數(shù)據(jù)庫管理等特殊權限的用戶進行限制，包括僅允許在機房和自己的工作地點登錄，同一時間僅允許同一用戶登錄一次允許遠程訪問時必須設定回撥方式等； 2、盡可能對組而不是對用戶授權； 3、杜絕無口令的登錄帳戶，刪除GUEST帳戶； 4、對口令長度、復雜程度、有效期、重復使用的間隔等進行規(guī)定； 5、及時鎖定過期帳戶、暫停使用的帳戶、多次試圖使用無效口令登錄的帳戶，臨時授權帳戶必須及時取消； 6、一般不設公用帳戶，以保證用戶有獨立的帳戶； 7、對使用時間進行限制； 8、超時鎖定； 9、對無法設置口令的用戶及公用帳戶應加強登錄時間、登錄地點、登錄數(shù)目的限制，對自動執(zhí)行批處理命令的用戶應有防中斷措施； 10、權限變更或交接應有文字記載。 第六十條 對使用公司網(wǎng)絡訪問Internet，使用打印機等的用戶實行嚴格管理。第七節(jié) 操作的規(guī)范化管理 第六十一條 總部和營業(yè)部應分別制定操作規(guī)程，并定期修改。 第六十二條 禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令。 第六十三條 公司員工應有互不相同的用戶名，定期兩個月更換操作口令。第六十四條 一般用戶口令長度不得少于6位，不使用小鍵盤的人員編制口令應做到字符與數(shù)字混排，不得使用電話號碼、生日等作為口令；系統(tǒng)管理員口令不得少于10位。 第六十五條 嚴禁泄露自己的口令，必須啟用系統(tǒng)軟件提供的安全審計留痕功能。 第六十六條 各崗位操作權限要嚴格按崗位職責設置，管理員不得超越用戶職責授權。管理員應定期檢查操作員的權限。 第六十七條 營業(yè)部總經(jīng)理應及時審計交易系統(tǒng)柜員所做的操作，重要崗位的登錄過程應增加必要的限制措施。 第六十八條 柜臺交易系統(tǒng)技術參數(shù)的調(diào)整由電腦部經(jīng)理負責；交易業(yè)務參數(shù)的調(diào)整由財務部經(jīng)理在履行審批手續(xù)后實施，禁止電腦技術人員調(diào)整業(yè)務參數(shù)。 第六十九條 營業(yè)部電腦技術人員可以協(xié)助但不得擔任清算員從事結算記帳工作。有關數(shù)據(jù)需打印存檔的必須使用連續(xù)的打印紙。 第七十條 建立和完善技術監(jiān)管系統(tǒng)，定期進行獨立的對帳，核對交易數(shù)據(jù)、清算數(shù)據(jù)、保證金數(shù)據(jù)、證券托管數(shù)據(jù)以及會計數(shù)據(jù)的一致性和連續(xù)性。第七十一條 對數(shù)據(jù)備份和審計記錄建立定期查驗制度。第八節(jié) 病毒防范 第七十二條 信息技術中心應指定專人負責計算機病毒防范工作。總部及營業(yè)部應定期進行病毒檢測，發(fā)現(xiàn)病毒立即處理并報告。重要部門的計算機應當指定專人專管計算機病毒防范工作。 第七十三條 總部和營業(yè)部必須配備公安部認可的正版防病毒軟件并及時更新軟件版本。 第七十四條 經(jīng)遠程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認無病毒后方可使用。 第七十五條 禁止運行未經(jīng)信息技術中心審核批準的軟件。 第七十六條 新系統(tǒng)安裝前應進行病毒例行檢測，避免使用盜版軟件。 第七十七條 嚴格限制軟驅(qū)和光驅(qū)的使用，軟驅(qū)和光驅(qū)的使用按信息系統(tǒng)環(huán)境標準的有關條款執(zhí)行。第七十八條 在使用modem與外界通訊或能夠訪問Internet的計算機上應安裝病毒實時監(jiān)控軟件。第七十九條 因計算機病毒引起的計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴重破壞等重大事故及時向信息技術中心領導及電腦安全管理小組報告。第八十條 公司總部員工須與信息技術中心簽定電腦安全承諾書后，才能領用和使用辦公電腦。第九節(jié) 備份第八十一條 按照信息系統(tǒng)環(huán)境標準的有關規(guī)定對系統(tǒng)進行備份。第八十二條 營業(yè)部必須對交易數(shù)據(jù)等進行備份，備份數(shù)據(jù)存放按公司技術資料管理制度和信息系統(tǒng)安全管理制度 執(zhí)行。第八十三條 系統(tǒng)管理員必須提取有關系統(tǒng)的配置參數(shù)并在修改參數(shù)后及時更新。第八十四條 必須保留軟硬件說明書、配置軟件、配置參數(shù)等技術資料，并存放于安全地點，有關事項按技術資料管理制 度及信息系統(tǒng)環(huán)境標準執(zhí)行。第八十五條 對于加密格式的數(shù)據(jù)，應盡可能解密后備份，防范密鑰由于頻繁更換等原因可能丟失所帶來的風險。第八十六條 數(shù)據(jù)備份在周期性方面可選擇采用以下四種方式：1、 永久性的完全備份：數(shù)據(jù)備份到存儲介質(zhì)后，將介質(zhì)密封永久保存；2、 周五做完全備份、周一至周四做增量備份；3、 定期做覆蓋方式的完全備份：在同一備份介質(zhì)上覆蓋原有備份數(shù)據(jù)；4、 定期做追加方式的完全備份：在同一備份介質(zhì)上增加最新狀態(tài)的備份；第八十七條 根據(jù)第四條中不同周期備份方式的要求，備份可選擇以下幾種存儲介質(zhì)：1、 寫的刻錄光碟（CD、DVD等），適合于永久備份；2、 磁帶，適合于所有備份策略；3、 可擦寫的其他存儲介質(zhì)（硬盤、MO等），適合于備份策略；備份介質(zhì)在備份操作前須經(jīng)過編號，編號規(guī)則見第八十九條。第八十八條 對于某個具體的備份對象，原則上應僅選擇一種備份方式和備份介質(zhì)實施備份。同時盡可能選擇可移動的備份介質(zhì)，以利于數(shù)據(jù)備份的歸檔管理。除非應用系統(tǒng)有特殊要求，一般情況下不采用硬盤等不可移動的備份介質(zhì)。第八十九條 備份介質(zhì)編號規(guī)則格式為：”ZB”+四位年份代碼+數(shù)據(jù)來源代碼+四位序列號 其中數(shù)據(jù)來源代碼 01代表總部數(shù)據(jù) 02代表營業(yè)部數(shù)據(jù)； 三位序列號在一個年度中從“0001”開始遞增； 如：ZB2001010001，代表本備份介質(zhì)是在總部保存的2001年總部數(shù)據(jù)的第0001號備份第九十條 備份的密封處理可移動的備份介質(zhì)在完成聯(lián)機備份操作后，如須密封處理則應按如下步驟操作：1、 備份介質(zhì)密封登記表（見附件9），注明備份日期、內(nèi)容、操作人、復核人等相關內(nèi)容，該登記表一式兩份；2、 將備份介質(zhì)及相關的附件裝入檔案盒，同時放入一份備份介質(zhì)密封登記表，另外一份登記表貼于檔案盒封面；3、 將檔案盒封口處貼上封條，并蓋上保管部門的密封章。（注：密封章可以是公司公章、部門公章或備份專用章，應當由除檔案管理員之外的人員保管）第九十一條備份的保管根據(jù)備份方式的不同，數(shù)據(jù)備份分如下兩種情況進行保管：1、 對于永久性的完全備份，應保留兩份備份。在密封處理后，其中的一份交由信息技術中心檔案管理員保管（蓋信息技術中心密封章），另外一份交由總部檔案室檔案管理員保管（蓋總部檔案室密封章）；2、 于定期做覆蓋或追加方式的完全備份，應保留一份備份。在脫機后，如保管時間超過七天，則須經(jīng)密封處理由信息技術中心檔案管理員保管；如保管時間不超過七天，則可有備份管理員鎖于臨時保管箱內(nèi)交由檔案管理員保管；3、 對于周五做完全備份、周一至周四做增量備份的方式，如采用磁帶柜備份且磁帶柜放置于安全的地點，則可將五天備份所用的磁帶一并放入磁帶柜，實現(xiàn)每日自動裝載和備份；否則仍須按情況（2）的方式進行保管。第九十二條 備份的檢查1、 對于永久性的完全備份，在密封保管前須通過數(shù)據(jù)導出、檢查數(shù)據(jù)完整性的復核；在密封保管后，須每隔一年進行一次數(shù)據(jù)檢查；2、 對于除永久性的完全備份以外的備份方式，應在經(jīng)過了一到兩個備份周期后進行恢復測試；在備份正常運轉(zhuǎn)后，須每隔三個月進行一次恢復測試。第九十三條 備份介質(zhì)的調(diào)用程序因日常備份操作、檢查備份、數(shù)據(jù)查詢等要求，需要調(diào)用檔案管理員保管的備份介質(zhì)，應分以下幾種情況執(zhí)行調(diào)用程序：1、 備份由總部檔案室保管，則須填寫備份介質(zhì)調(diào)用申請表（見附表10），由信息技術中心總經(jīng)理、公司總裁或分管信息技術中心的副總裁簽字后，從檔案管理員處領取，在使用完畢后按期交回；2、 備份密封后由信息技術中心檔案管理員保管，則須填寫備份介質(zhì)調(diào)用申請表（見附表10），由信息技術中心總經(jīng)理簽字后，從檔案管理員處領取，在使用完畢后按期交回；3、 如備份由備份管理員放置于臨時保管箱內(nèi)，則須填寫備份介質(zhì)調(diào)用申請表，由檔案管理員簽字即可領取。第九十四條備份介質(zhì)的銷毀對于永久性的完全備份，在密封保管后，如需要銷毀，須填寫備份介質(zhì)調(diào)用申請表，經(jīng)公司總裁或分管信息技術中心的副總裁簽字后，將備份介質(zhì)通過粉碎等方式銷毀。第十節(jié) 日志記錄 第九十五條 信息技術中心及營業(yè)部電腦部應對系統(tǒng)配置的更改、網(wǎng)絡用戶權限的分配和更改及原因作詳細記錄，對機房管理系統(tǒng)運行情況，系統(tǒng)運行故障現(xiàn)象、時間、處理方式等進行詳細記錄。營業(yè)部交易系統(tǒng)管理員應對增/刪除柜員、柜員權限變更情況進行記錄；財務部經(jīng)理應對業(yè)務參數(shù)調(diào)整，更改股票、資金余額等操作進行記錄。 第九十六條 日志記錄采用標準格式，并具備相關責任人的簽字。參見附錄一。第九十九條 系統(tǒng)運行日志必須妥善保存，不得缺頁，定期存檔。 第十一節(jié) 安全事故處理及恢復第一百條 安全事故是指由于軟硬件故障、系統(tǒng)配置錯誤、操作失誤、黑客入侵、病毒、口令盜用等原因引起系統(tǒng)無法正常運行，數(shù)據(jù)或文件丟失的事件。第一百零一條 安全事故分成A、B、C三類，其中A類指對交易產(chǎn)生直接影響的事故；B類指未影響交易但造成一定經(jīng)濟損失的事故；C類指未影響交易也未造成經(jīng)濟損失，但構成系統(tǒng)安全隱患的事故。第一百零二條 總部及各營業(yè)部應根據(jù)計算機房管理制度及自身情況制定應急處理流程及時更新并定期演習。第一百零三條 應急處理流程的制定應涵蓋通信、服務、供電、數(shù)據(jù)、設備等，同時確定演習、通報、事故分析等內(nèi)容。第一百零四條 應急處理流程的制定應體現(xiàn)細致、明了的原則，不得遺漏任何環(huán)節(jié)，保證逐條實施可以排除故障、恢復系統(tǒng)運行。第一百零五條 事故出現(xiàn)后應及時處理并按公司營業(yè)部技術事故處理規(guī)定的有關規(guī)定匯報。凡隱瞞不報的，追究營業(yè)部總經(jīng)理及電腦部經(jīng)理的責任。第一百零六條 事故處理后應及時進行分析并寫出分析報告，總部相關部門應在此基礎上明確責任歸屬，并向營業(yè)部通報。 人員管理第一百零七條 系統(tǒng)管理員不能兼任柜臺及事后稽核等工作，不得參與相關軟件開發(fā)。參加過應用系統(tǒng)開發(fā)的人員，不得擔任相應系統(tǒng)的管理員。第一百零八條 公司安全管理委員會及營業(yè)部安全管理小組應當加強公司總部和各營業(yè)部主要崗位工作人員的錄用、考核制度，不適宜的人員必須及時調(diào)離。第一百零九條 電腦技術人員調(diào)離時，必須移交全部技術手冊及有關資料，并更換計算機的有關口令和密鑰。涉及公司業(yè)務核心部分開發(fā)的技術人員調(diào)離原工作崗位或公司時，應當確認對公司計算機信息系統(tǒng)安全不會造成危害后方可調(diào)離。 責 任 第一百一十條 違反本條例的規(guī)定，有下列行為之一的，由公司安全管理委員會處以警告或通報批評處分：1、違反計算機信息系統(tǒng)安全管理中有關條例，危害計算機信息系統(tǒng)安全的；2、不按照規(guī)定時間報告計算機信息系統(tǒng)中發(fā)生的案件的；3、接到公司安全管理委員會要求改進安全狀況的通知后，在限期內(nèi)拒不改進或未完成目標的；4、違反審批制度增設或更換設備、裝置的；5、拒絕、阻礙公司計算機安全管理組織實施安全檢查的；6、有危害計算機信息系統(tǒng)安全的其他行為的。第一百一十一條 計算機房不符合公司計算機房管理制度及信息系統(tǒng)環(huán)境標準有關規(guī)定的，或者在計算機機房附近施工危害計算機信息系統(tǒng)安全的，由公司安全管理委員會會同有關部門進行處理。第一百一十二條 故意輸入計算機病毒以及其他有害數(shù)據(jù)危害公司計算機信息系統(tǒng)安全的，由公司安全管理委員會處以警告或者罰款處分。第十三節(jié)信息技術中心總部數(shù)據(jù)管理員職責細則職責范圍第一百一十三條 數(shù)據(jù)管理員負責對總部應用系統(tǒng)數(shù)據(jù)實施備份，并實行安全可靠的管理；對營業(yè)部上交的應用系統(tǒng)數(shù)據(jù)備份進行歸檔和使用實行管理；掌握數(shù)據(jù)庫超級用戶權限，安全規(guī)范地管理數(shù)據(jù)庫系統(tǒng)的運行。第一百一十四條 制定備份策略，對數(shù)據(jù)文件和數(shù)據(jù)庫進行備份。與檔案管理員協(xié)作，妥善保管備份介質(zhì)。第一百一十五條 根據(jù)業(yè)務需求和用戶申請創(chuàng)建、刪除數(shù)據(jù)庫，修改數(shù)據(jù)庫參數(shù)設置。第一百一十六條 根據(jù)業(yè)務需求和用戶申請創(chuàng)建數(shù)據(jù)庫系統(tǒng)的登錄用戶，賦予用戶適當?shù)臄?shù)據(jù)庫權限，包括數(shù)據(jù)庫所有者權限、數(shù)據(jù)庫對象的增刪改權限等；刪除用戶；保管應用程序中封裝的數(shù)據(jù)庫用戶的密碼。第一百一十七條 在數(shù)據(jù)庫需要進行數(shù)據(jù)和結構方面的調(diào)整時，創(chuàng)建臨時調(diào)試用戶并交由應用系統(tǒng)維護人員使用，并在使用完畢后及時刪除測試用戶。第一百一十八條 利用數(shù)據(jù)庫系統(tǒng)的訪問跟蹤記錄功能，設置對應用系統(tǒng)、調(diào)試用戶、超級用戶訪問數(shù)據(jù)庫的命令進行跟蹤，記錄到監(jiān)控日志文件中；定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時通報。第一百一十九條 除上