各證券經(jīng)營機構(gòu):
為進一步落實《證券經(jīng)營機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范(試行)》(證監(jiān)信字[1998]2 號��,以下簡稱《規(guī)范》)����,提高行業(yè)信息系統(tǒng)安全管理水平,有效防范和化解技術(shù)風險�����,現(xiàn)將《〈證券經(jīng)營機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范(試行)〉技術(shù)指引》(以下簡稱《指引》)印發(fā)給你們�����,并就有關(guān)事宜通知如下:
一���、要在認真組織學(xué)習(xí)《規(guī)范》的基礎(chǔ)上����,全面了解和貫徹《指引》的要求�,做到有效防范技術(shù)風險,提高安全水平��。
二����、要根據(jù)《規(guī)范》及《指引》的要求,找出差距和不足�,采取有效措施加以改進。
三��、中國證監(jiān)會將組織對《規(guī)范》及《指引》落實情況的檢查�����。對不符合要求的單位�����,將根據(jù)《關(guān)于證券經(jīng)營機構(gòu)及其營業(yè)部做好信息系統(tǒng)檢查工作有關(guān)事宜的通知》(證監(jiān)信息字[1999]7 號)和《關(guān)于強化證券經(jīng)營機構(gòu)總部對所屬營業(yè)部信息系統(tǒng)安全檢查的通知》(證監(jiān)信息字[1999]11號)等文件的規(guī)定,嚴肅處理����。
中國證監(jiān)會
一九九九年十一月三日
《證券經(jīng)營機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范(試行)》技術(shù)指引
第一章 管理體系技術(shù)指引
第一節(jié) 組織結(jié)構(gòu)
一、電腦中心負責制定的與信息系統(tǒng)相關(guān)的規(guī)章制度([2.1.2(1)])至少應(yīng)包括如下方面:
1���、組織機構(gòu)與人員管理���;
2、安全管理(包括病毒防范)��;
3��、文檔資料管理�����;
4�、數(shù)據(jù)管理;
5��、硬件設(shè)備管理(包括相關(guān)設(shè)備強制更換)����;
6�、軟件管理�;
7���、網(wǎng)絡(luò)管理���;
8、機房管理���;
9��、運行維護管理(包括操作安全管理)�;
10���、技術(shù)事故防范與處理�。
電腦中心還應(yīng)編制涵蓋上述制度內(nèi)容的工作手冊����,并根據(jù)實際情況每年進行修訂。
二��、電腦中心審核營業(yè)部電腦負責人的任職資格([2.1.2(4)]),包括對其進行必要的獎勵和懲罰���。電腦負責人任職要專崗專責��,不得由業(yè)務(wù)人員兼任����,也不得兼任業(yè)務(wù)職務(wù)��。
三�、電腦中心除為營業(yè)部提供技術(shù)支持外([2.1.2(9)]),還應(yīng)為本證券經(jīng)營機構(gòu)的其它部門提供技術(shù)支持���。
四��、電腦中心的數(shù)據(jù)管理職能 ([2.1.2(10)])要求電腦中心要對數(shù)據(jù)實行集中管理�,盡量做到異地實時備份�。
五、對營業(yè)部信息系統(tǒng)的定期檢查應(yīng)為每年至少一次 ([2.1.2(12)])����。定期檢查為規(guī)范性檢查,不定期檢查為專項檢查�,檢查必須有文字記錄���。
六、[2.1.3(2)]中的有關(guān)部門是指結(jié)算公司和證券通信公司�。
七、[2.1.3(6)]中的其它重要數(shù)據(jù)至少包括:服務(wù)器系統(tǒng)參數(shù)配置��,主要網(wǎng)絡(luò)設(shè)備參數(shù)配置�,通信設(shè)備參數(shù)配置����,智能化電源、空調(diào)的參數(shù)配置���,交易系統(tǒng)��、通信軟件及其它應(yīng)用軟件的參數(shù)配置等��。
八��、電腦部在履行職能時([2.1.3])��,還要注意做好以下方面的工作:
1�、強化安全意識���,自覺遵守并監(jiān)督執(zhí)行安全制度的落實��;
2��、及時完成電腦中心布置的各項工作���;
3���、保持機房及配電房達到規(guī)定技術(shù)指標,并保持整潔�;
4、負責計算機硬件���、軟件����、通信設(shè)備的管理與維護���,建立技術(shù)檔案�����,保持系統(tǒng)處于良好的運行狀態(tài)��;
5�����、負責營業(yè)部技術(shù)資料的保管與維護�;
6、有條件的營業(yè)部應(yīng)定期做好服務(wù)器的全系統(tǒng)備份����。
第二節(jié) 人員管理
一、執(zhí)行對營業(yè)部信息技術(shù)人員編制規(guī)定([2.2.1])時應(yīng)注意:營業(yè)部總?cè)藬?shù)少于20人的��,也要至少配備2名專職信息技術(shù)人員����。
二�����、[2.2.4]中的關(guān)鍵技術(shù)崗位至少包括電腦部全部工作人員崗位����。
三、電腦中心應(yīng)強化對信息技術(shù)人員的管理職能([2.2.5])����,包括:
1��、參與信息技術(shù)人員的招聘�����,并可行使否決權(quán)��;
2�����、對信息技術(shù)人員進行必要的獎勵和懲罰����;
3����、對營業(yè)部信息技術(shù)人員每年至少進行一次技術(shù)培訓(xùn)和考核,重新認定上崗資格���;
4�、有條件的證券經(jīng)營機構(gòu)可實行垂直管理,直接確定電腦部的人員編制和收入等��。
四�����、對信息技術(shù)人員離崗應(yīng)加強管理([2.2.8])��,至少達到如下要求:
信息技術(shù)人員離崗時必須嚴格辦理離崗手續(xù)�,明確其離崗后的保密義務(wù),退還全部技術(shù)資料�����,電腦中心必須派員監(jiān)督交接過程���。新舊工作人員應(yīng)共同工作不少于5個工作日�����,信息系統(tǒng)口令必須立即更換。
第三節(jié) 安全管理
一���、計算機安全管理的保障機制([2.3.3])包括稽核監(jiān)控和安全合規(guī)獎懲等方面的內(nèi)容�����。
二�、計算機機房安全管理制度中要求的值班人員([2.3.4(2)]) 必須是信息技術(shù)人員。
三����、[2.3.5(3)] 中的“定期更換操作口令”是指至少每兩個月更換一次。
四�����、[2.3.5(8)] 中要求的技術(shù)監(jiān)管系統(tǒng)����,應(yīng)在電腦中心的統(tǒng)一規(guī)劃下建立,并與證券經(jīng)營機構(gòu)的狀況相適應(yīng)��。
五����、[2.3.5(8)] 中要求的“定期進行獨立的對帳”是為了防范業(yè)務(wù)風險而采取的計算機稽核手段。
六��、操作安全制度([2.3.5])在執(zhí)行中�,應(yīng)重視以下方面:
1�、所有用戶的登錄必須具有屏蔽中斷功能���;
2�、新開用戶需經(jīng)嚴格審批�����;
3���、冗余用戶要及時清理����,超過三個月未使用過的用戶要設(shè)置為禁止使用狀態(tài)或刪除�����;
4��、數(shù)據(jù)庫管理系統(tǒng)的系統(tǒng)管理員口令應(yīng)由電腦中心集中管理�����,并于非軟件開發(fā)商的第三處封存保管�。
七、[2.3.6(1)]對病毒檢測的具體要求為:電腦部應(yīng)指定專人負責計算機病毒防范工作����,并至少每半個月及在已知敏感日期前夕,進行病毒檢測�,發(fā)現(xiàn)病毒立即報告電腦中心病毒防范負責人,并在其指導(dǎo)下進行處理�����,同時詳細記錄病毒發(fā)作過程����。
第四節(jié) 技術(shù)資料管理
一、[2.4.2]中的各級管理機構(gòu)是指電腦中心和電腦部���。
二�、重要技術(shù)資料的管理必須嚴格([2.4.4]):
1���、重要技術(shù)資料應(yīng)有專人管理����,專柜存放��;
2、重要技術(shù)資料應(yīng)有副本并異地存放�����。在條件允許時���,應(yīng)存放在銀行的保險箱內(nèi)或其它符合要求的存放地點����。
第二章 硬件設(shè)施技術(shù)指引
第一節(jié) 計算機機房
一��、關(guān)于供電系統(tǒng)([3.1.2])的說明:
1����、營業(yè)部供電方案可由下列方式構(gòu)成:不間斷電源、備用發(fā)電機和雙路供電�����,及對以上方式的合理組合使用�����。如:單獨使用不間斷電源�����,不間斷電源和發(fā)電機配合使用����,不間斷電源和雙路供電配合使用。其中雙路供電指通過不同變電所的電力線路進行供電����;
2、備用供電系統(tǒng)容量和持續(xù)供電時間應(yīng)保障機房設(shè)備和關(guān)鍵交易設(shè)備在斷電情況下能夠完成當天正常的交易�����;
3���、不間斷電源應(yīng)當定期維護保養(yǎng)����,保證設(shè)備處于正常的工作狀態(tài)�;
4、備用發(fā)電機應(yīng)當定期啟動����、檢測����,保證停電時能正常發(fā)電�;
5、機房的配電柜和不間斷電源插座應(yīng)標識清楚���。
二����、對機房消防的要求([3.1.4]):
1���、機房必須安裝煙感和溫感報警器及必要的滅火裝置�;
2�����、機房禁止使用水噴淋裝置��;
3����、機房應(yīng)采用防火材料制作的機架或機柜。有條件的營業(yè)部可采用防火、防盜門��,耐火墻體����,阻燃無毒的電纜��。
第二節(jié) 遠程通信
一���、[3.2.3]要求的重要通信線路必須建立后備線路��,至少包括:
1�、營業(yè)部行情接收系統(tǒng)應(yīng)有通信備份�,主要方式有:
(1)上海行情接收可采用深圳證券交易所提供的上海證券交易所行情衛(wèi)星備份系統(tǒng),或通過其他營業(yè)部進行接收等方式�;
(2)深圳行情接收可采用深圳單、雙向衛(wèi)星���、撥號及上海證券交易所提供的深圳證券交易所行情衛(wèi)星備份系統(tǒng)(在建)�,或通過其他營業(yè)部進行接收等方式��。
2����、營業(yè)部委托報盤系統(tǒng)應(yīng)有通信備份��,主要方式有:
(1) 上海委托可采用上海證券交易所提供的雙向衛(wèi)星��、DDN�����、雙向衛(wèi)星撥號(在建)和上海證券交易所提供的公司內(nèi)部席位連通備份報盤方式��;
(2) 深圳委托可采用深圳證券交易所提供的雙向衛(wèi)星���、衛(wèi)星伙伴備份和地面撥號、DDN等報盤方式��。
第三節(jié) 計算機設(shè)備
一�����、 執(zhí)行[3.3.1]對服務(wù)器的要求時����,要注意:
1、行情服務(wù)器和交易服務(wù)器應(yīng)有可靠的備份手段和備份系統(tǒng)([3.3.1(1)])�;
2、服務(wù)器至少應(yīng)做磁盤鏡像([3.3.1(2)]);
3�����、服務(wù)器應(yīng)有充足的電源����、內(nèi)存、硬盤���、網(wǎng)卡等備用器件([3.3.1(3)])。
第四節(jié) 局域網(wǎng)絡(luò)
一����、[3.4.4]要求網(wǎng)絡(luò)設(shè)備應(yīng)有冗余備份,主要包括:
1�����、營業(yè)部網(wǎng)絡(luò)的主交換機應(yīng)有備份機����,可做冷備份或熱備份;
2��、網(wǎng)絡(luò)中的集線器和網(wǎng)卡都應(yīng)有充足的備件。
二�、營業(yè)部未使用的信息點,在機房端應(yīng)將相應(yīng)網(wǎng)絡(luò)線從網(wǎng)絡(luò)設(shè)備上斷開����,待使用該信息點時再接入。
第三章 軟件環(huán)境技術(shù)指引
第一節(jié) 系統(tǒng)軟件
一�����、 系統(tǒng)軟件主要包括操作系統(tǒng)軟件�、數(shù)據(jù)庫管理系統(tǒng)軟件([4.1.1]),此外�����,還包括網(wǎng)絡(luò)管理軟件����、互聯(lián)網(wǎng)服務(wù)器軟件以及相應(yīng)的防火墻軟件等。
二��、 正版軟件([4.1.2])包括兩方面的含義:
1����、有正式授權(quán)的軟件�;
2����、軟件的使用和安裝在該軟件的合法要求范圍內(nèi)。
三����、[4.1.4] 要求的必須啟用系統(tǒng)軟件提供的安全審計留痕功能,應(yīng)做到對成交回報�����、與交易所接口數(shù)據(jù)庫和交易數(shù)據(jù)庫的修改����,用戶的登錄與注銷等方面的審計��。審計至少應(yīng)記錄操作的用戶(或地址)���、時間�����、具體操作及結(jié)果等信息��。
第二節(jié) 應(yīng)用軟件
一�����、 [4.2.2(2)]所指的關(guān)鍵數(shù)據(jù)目前至少包括各種密碼���、口令及標識項��。
二���、 在對交易業(yè)務(wù)數(shù)據(jù)進行異地備份傳輸([4.2.2(7)])時,必須采取數(shù)據(jù)加密的方式��。
第三節(jié) 軟件管理
一�、[4.3.2] 要求的安全保密設(shè)計至少應(yīng)包括使用應(yīng)用系統(tǒng)的客戶與非客戶用戶的權(quán)限劃分,客戶密碼的保密使用方法��,非客戶用戶的保密責任和嚴格分工���,數(shù)據(jù)的安全記錄及存放�����,系統(tǒng)設(shè)計方案�����、數(shù)據(jù)結(jié)構(gòu)以及程序源代碼和加密算法的保密等內(nèi)容�。
二、[4.3.5] 要求的內(nèi)部評審必須有電腦中心的書面認可�����。
三�����、軟件的使用范圍和使用權(quán)限([4.3.6]) 要嚴格按照管理體系中軟件管理的有關(guān)制度執(zhí)行��。
四���、[4.3.7] 要求的操作培訓(xùn)和安全教育包括兩方面的含義:
1��、 客戶用戶要達到熟悉軟件操作功能和對自己重要信息保密操作的要求;
2��、 非客戶用戶要達到熟悉并嚴格履行自己的職責����,不進行越權(quán)����、越級或非法操作的要求�����。
五����、營業(yè)部在進行軟件維護和系統(tǒng)參數(shù)調(diào)整時([4.3.10]),必須經(jīng)過營業(yè)部主管經(jīng)理或電腦部經(jīng)理的批準���,對所有操作做出詳細的書面記錄并登記歸檔�����。
六��、防止對應(yīng)用軟件的非法修改([4.3.11])����,要從管理上和技術(shù)上采取措施�。一方面要制定完善的制度并嚴格執(zhí)行,另一方面要在技術(shù)上采取措施��,加強對可能的非法入侵手段的監(jiān)控與防范。
第四章 數(shù)據(jù)管理技術(shù)指引
第一節(jié) 交易業(yè)務(wù)數(shù)據(jù)
一���、 關(guān)于數(shù)據(jù)備份([5.1.6])的說明:
1�、交易業(yè)務(wù)數(shù)據(jù)必須進行備份�,備份介質(zhì)可采用硬盤、光盤和磁帶等��;
2�、每個交易日的備份數(shù)據(jù)應(yīng)異地保存,即將當天的備份數(shù)據(jù)傳輸?shù)娇偛?��、地區(qū)總部或其他營業(yè)部進行異地保存�。確有困難時���,可臨時保存在遠離機房的專用保險箱(滿足“六防”要求)內(nèi)�����;
3����、需長期保存的數(shù)據(jù)必須定期備份到光盤或其它永久性只讀介質(zhì)上���,并保存在異地的專用保險箱內(nèi)�����。
第二節(jié) 系統(tǒng)數(shù)據(jù)
一��、 對系統(tǒng)軟件中的系統(tǒng)數(shù)據(jù)����,要根據(jù)營業(yè)部情況定期備份���。
二����、應(yīng)用軟件的在運行版本應(yīng)有備份����,并異地存放。
第五章 技術(shù)事故的防范和處理技術(shù)指引
第一節(jié) 技術(shù)事故及其防范
一�����、 由于通信、電力等的故障引起系統(tǒng)無法運行����,經(jīng)啟動備用系統(tǒng)仍未恢復(fù)正常,導(dǎo)致交易中斷或造成經(jīng)濟損失的事件也屬技術(shù)事故([6.1.1])��。
二�����、 在應(yīng)急計劃的制定與執(zhí)行中([6.1.4])��,還應(yīng)注意以下問題:
1���、應(yīng)急計劃應(yīng)由證券經(jīng)營機構(gòu)總部電腦中心統(tǒng)一制定�����,營業(yè)部電腦部根據(jù)自身機房環(huán)境���、軟硬件系統(tǒng)特點進行補充和完善;
2����、在制定應(yīng)急計劃中的緊急處理程序時����,建議盡可能評估和確定可能發(fā)生的技術(shù)故障類別和故障點�����,充分借鑒以往技術(shù)事故應(yīng)對步驟的經(jīng)驗�����,具體寫出針對故障點的緊急處理程序���;
3、一個故障點可對應(yīng)多個緊急處理程序�;
4、應(yīng)制定培訓(xùn)與演習(xí)計劃��,包括對象���、內(nèi)容����、組織形式和時間進度等�����。應(yīng)急計劃要定期進行演習(xí),并形成“演習(xí)總結(jié)報告”�����。
第二節(jié) 技術(shù)事故的處理
一����、 在進行事故處理時([6.2.4])還要注意:
1、電腦中心和電腦部應(yīng)注意總結(jié)技術(shù)事故處理的經(jīng)驗與教訓(xùn)�,形成技術(shù)文件并及時進行交流,為今后避免或處理類似問題提供借鑒����。
2、營業(yè)部應(yīng)在事故發(fā)生的第一時間內(nèi)報告電腦中心�����,并及時向電腦中心書面詳細報告技術(shù)事故的全部情況�,包括事故原因、處理情況和改進措施�����。
3、對信息系統(tǒng)安全事件應(yīng)立即上報中國證監(jiān)會及其派出機構(gòu)����。
中國證監(jiān)會資格考試委員會辦公室
稅收法規(guī)
內(nèi)控政策
津公網(wǎng)安備12010202000755號