《某公司信息系统管理制度汇编(DOC139页).docx》由会员分享,可在线阅读,更多相关《某公司信息系统管理制度汇编(DOC139页).docx(119页珍藏版)》请在三一办公上搜索。
1、某公旬信息系统管理制度汇编(DOC139页)长城证券有限责任公司信息系统管理制度汇编长城证券有限责任公司信息技术中心前言随着计算机技术的迅猛进展,信息系统已成为证券业各项业务顺利运转的关键设施,因此保证信息系统的正常运转与防范技术风险,已成为证券业工作重心之一。为了提高证券行业的整体技术水平,有效地防范与化解技术风险,中国证监会于1998年3月颁布了证券业的第一个技术标准一证券经营机构营业部信息系统技术管理规范(试行)(下列简称规范),将证券业的信息系统建设与管理工作纳入了规范进展的轨道。如何使规范落到实处,切实做到技术管理制度化、日常操作规范化,是当前证券业信息系统规范化建设的一项重要内容Q
2、为此,公司信息技术中心根据规范要求,结合公司实际情况,以公司计算机应用管理科学化、规范化、高效、安全、有用、集中统一为原则,起草了长城证券有限责任公司信息系统管理的一系列规章制度,并广泛征求了公司有关部门与部分营业部的意见,最终形成这本长城证券有限责任公司信息系统管理制度汇编(下列简称制度汇编)。本制度汇编分为三大部分。一是公司信息系统管理办法(试行),共有18条,要紧包含公司信息技术中心的工作职责、证券营业部(下列简称营业部)电脑部的职责、与有关营业部搬迁、扩租、电子设备购置等事项报批程序与管理办法等。二是公司信息系统管理实施细则(试行),共分12章,要紧包含计算机应用项目立项与审批程序、应
3、用软件开发管理、计算机设备购置与使用管理、网络管理、机房管理、计算机设备报废管理、耗材管理、防病毒管理、技术文档管理与系统安全保密管理等;三是营业部信息系统管理办法(试行),共分?章,比较全面地制定了营业部电脑部工作职责、人员管理、岗位设置、安全及风险防范、软硬件设备管理、数据管理、资料管理等各项规章制度。本制度汇编由公司信息技术中心统一组织实施,并负责监督、检查有关规章制度的贯彻执行。本制度汇编的修改、解释权归公司信息技术中心。本制度汇编属公司内部资料,应妥善保管、注意保密。第一部分长城证券有限责任公司信息系统管理办法(试行)第一条为了贯彻公司“以客户为中心,以利润为中心,合规经营、开拓创新
4、”的经营指导方针,习惯公司全面提升公司各项业务与管理水平,逐步形成长城经营特色,争取使各项工作再上一个新台阶的要求,实现公司系统内计算机技术与应用的有效管理,充分发挥计算机技术资源的整体优势,特制定本管理办法。第二条.公司计算机应用管理工作坚持科学、规范、安全、高效、有用的原则。笫三条公司计算机应用管理实行集中统一管理的原则。集中统一管理是指在公司系统内,以统一规划、统一标准、统一应用、统一实施、统一采购的“五统一”方式,分步实施推广计算机应用技术,并对计算机应用进行日常管理与保护。第四条公司设立信息技术中心,下属各营业部设立电脑部。公司计算机应用由信息技术中心归口管理。第五条公司信息技术中心
5、是全公司计算机信息系统规划、管理与技术协调的主管部门。各营业部电脑部在技术上同意信息技术中心的指导、管理与考核,在业务及行政上同意所在营业部负责人的领导与管理。第六条信息技术中心的要紧职能是:1、 保证公司的信息技术的应用具有前瞻性。2、 保障当前投入使用的系统稳固运行。3、 结合业务进展与技术更新,及时推出高质量的新技术应用系统。4、 建立并保持高素养的、稳固的技术队伍。5、 协助公司制定信息技术应用的整体进展策略。6、 根据整体的进展策略,制定具体的年度工作规划并组织实施。7、 制定或者改进与信息系统有关的开发、保护及应用的规章制度。8. 配合人力资源部,对公司及营业部电脑人员的考核、聘用
6、、任免与培训。8、 协助进行公司内计算机软硬件的选型招标。9、 审批营业部计算机软硬件购置的年度预算及相应技术鉴定,审核计算机设备的购置、报损、报废等工作。10、协助公司作不定期的技术审计,对营业部信息系统进行专项检查。11、完成总部的各应用信息系统及交易系统的日常保护工作,包含通讯、网络、系统、应用、安全(防黑客、防病毒、数据备份)等。12、负责具体指导与监营业部电脑部工作,对营业部提供实时技术支持与现场服务。13、为公司电子商务的进展,提供充分的技术支持,保护更新公司的内、外网站,保障网上交易等各类电子商务业务的开展。14、技术资料的管理。15、公司授权的其他管理职能。第七条公司重要职能部
7、门及营业部下属远程网点,设置计算机管理员,负责本部门计算机的日常保护管理与与上级主管技术部门的联络工作。第八条各营业部设置电脑部,负责本部门信息系统的建设、日常保护管理与与公司信息技术中心的联络工作。具体职能为:1、 化安全意识,自觉遵守公司关于营业部信息系统管理的各项规章制度。2、 负责本营业部计算机信息系统的建设、管理与保护,确保系统安全运行。3、 及时处理证券交易所及有关主管部门播发的涉及信息系统运行的数据、文件与各类通知。4、 负责计算机硬件设备的管理与保护,保持系统处于良好的运行状态。5、 负责本营业部信息系统的安全运行。开市之前做好系统的运行准备工作,开市期间实时监控系统运行状况、
8、处理突发事件,收市后配合清算员完成日结清算等盘后工作。6、 完整、准确地记录计算机信息系统的运行日志。7、 严格按故障报告制度及时、准确地处理系统出现的故障。8、 负责交易业务数据、系统数据与其他重要数据、资料的备份及其管理。9、 根据本营业部的业务进展需求,提交应用系统需求报告、软硬件采购计划,报公司信息技术中心审批。10、在公司信息技术中心的安排下,承担公司信息网络系统建设中涉及本营业部的有关工作。11、负责本营业部计算机信息系统各类文档的收集、整理、分类、归档、备案。12、负责编制营业部计算机设备的统计报表及协助财务部拟定本营业部计算机设备报废、报损计划,报公司信息技术中心审核13、提出
9、本营业部计算机人员技术培训计划。14、负责本营业部其他业务人员计算机应用培训。15、紧密跟踪计算机新技术的进展,为新技术的推广应用做好充分的技术准备。16、完成公司信息技术中心交办及本营业部总经理下达的其他工作任务。17、各营业部电脑部经理人选,须由所在营业部提出推荐意见上报公司,经公司人力资源部会同信息技术中心进行资格审查与考核,并报公司领导批准后聘任。第九条公司各部室、中心及营业部计算机网络、系统的新建或者整体改造,务必在年初申报计划,并附完整的整体设计方案与可行性论证报告,由信息技术中心审批。第十条.各营业部申请搬迁、扩租营业面积与涉及公司整体项目建设,应根据经纪业务管理总部及财务资金总
10、部有关上报的要求提出立项申请,在经纪业务管理总部批准后,再向经纪业务管理总部报送可行性分析报告与装修预算方案,向信息技术中心报送计算机设备预算与技术方案,由经纪业务管理总部、信息技术中心分别审核批复后,营业部方能实施。第十一条公司各部室、中心为加强系统安全运转,保证正常运营的电脑设备购置与网络改造等方面的签报,直接报送公司信息技术中心。信息技术中心将根据中国证监会技术监管的规范要求与公司技术进展总体纲要进行审查,在总部计划财务部核定的营业部当年新增固定资产可用规模内进行核准,并按月向财务资金总部提供清单,不再向其他部门申报。第十二条公司设立计算机设备采购小组,具体负责公司计算机设备(包含有关工
11、程项目)的招标、评标与购置事宜。第十三条所有的计算机设备(包含软件)采购均须采取招标方式,遵循严格、规范的招标程序,包含制定标书、发标、接标、评标,最后经采购小组审定后报公司主管领导审批。第十四条公司各部室、中心及营业部购置的计算机设备,凡属于固定资产的,按公司固定资产管理办法进行管理。第十五条,各营业部电脑部应每季度向信息技术中心提交书面工作报告,及时反映工作动态与需解决的问题。第十六条公司各部室、中心及营业部如有人员调离,须事先通知公司信息技术中心,以便及时清除网络登录用户并确定是否进行有关审计。第十七条本办法由公司信息技术中心负责解释。笫十八条本办法自下发之日起执行。此前颁布的有关规定中
12、与本办法不一致的,以本办法为准。第二部分长城证券有限责任公司信息系统管理实施细则(试行)目录第一章总则2第二章信息系统工程项目申请、立项与审批程序4错误!未定义书签。第三章信息系统安全管理制度6错误!未定义书签。第四章计算机设备(软件)购置管理.30错误!未定义书签。第五章软件开发管理制度34错误!未定义书签。第六章计算机设备使用管理41错误!未定义书签。第七章计算机耗材及备品备件管理43错误!未定义书签。第八章计算机机房(实验室)管理44错误!未定义书签。第九章总部机房信息系统紧急事故应急处理47第十章技术资料管理48第十一章罚则49第十二章附则附表1计算机应用项目立项申请报告1附表2计算机
13、应用项目验收报告6附表3计算机设备需求计划表100附表4计算机设备资金需求计划表11附表5计算机设备验收单错误!未定义书签。附表6软件项目需求报告1错误!未定义书签。附表7信息技术中心计算机用户登录表.14错误!未定义书签。附表8计算机设备验收单15错误!未定义书签。附表9备份介质密封登记表16附表10备份介质调用申请表17附表11计算机耗材及备品备件领用单18附表12信息技术中心总部数据备份任务一览表19附表13信息技术中心总部数据备份介质内容变更登记表20附表14信息技术中心数据库操作申请表21附表15信息技术中心数据库访问监控报表22第一章总则第一条为加强长城证券有限责任公司(下列简称公
14、司)对计算机应用的集中统一管理,规范全公司系统的计算机应用,保证计算机系统与设备的正常运转,根据公司信息系统管理办法,制订本实施细则。第二条本实施细则要紧包含计算机应用项目立项与审批程序、计算机设备购置与使用管理、应用软件开发管理、计算机设备报废管理、耗材管理、网络管理、机房管理、技术文档的管理、系统安全保密管理、网络防病毒管理与技术培训管理等。第三条本办法适用于公司各部室、中心及所属证券营业部(下列简称营业部)。第二章信息系统工程项目申请、立项与审批程序第一条计算机应用项目包含计算机网络系统新建与改造、硬件设备与系统软件的购置、升级与应用软件开发与升级等。笫二条凡单价超过五千元的计算机应用项
15、目,须填写长城证券有限责任公司计算机应用项目立项申请报告(见的差L),并报公司信息技术中心审批。第三条已立项的计算机应用项目完成后,由公司信息技术中心会同有关业务管理人员构成项目验收小组进行验收,验收结果形成长城证券有限责任公司计算机应用项目验收报告(见附表2)。第四条公司各部室、中心在每年的12月31日前,提出本部门下一年度的计算机应用项目建设、购置及升级计划,填写计算机设备需求计划表(见附表3)、计算机设备资金需求计划表(见附表4)报信息技术中心。第五条信息技术中心根据公司信息系统建设总体规划与各部室、中心及营业部提交的计划,汇总制定公司下一年度计算机应用项目购建计划,报请公司批准后执行。
16、第六条关于计划外的计算机应用项目,除特殊应急项目特批外,其他原则上不予审批。第七条关于投资较大、建设周期较长、涉及面广的计算机应用项目,信息技术中心将邀请业务需求部门、营业部电脑人员及有关专家进行技术论证与评审,原则上使用统一招标,统一推广的方式。第三章信息系统安全管理制度总则第一条为了加强对公司信息系统的安全管理、防范与化解各类技术风险、保护投资者利益、保护公司的合法权益,确保公司各项业务的顺利开展,根据中华人民共与国计算机信息系统安全保护条例、证券经营机构营业部信息系统技术管理规范(试行)及有关规定制定本制度。第二条信息系统安全管理涉及安全管理组织建设、安全策略、系统环境安全、软件安全、设
17、备(实体)安全、网络与通讯系统安全、用户及权限管理、操作安全、病毒防范、系统备份、日志记录、事故处理与安全审计等内容,公司信息技术工作应在本制度指引下,本着“安全第一”的原则进行。第三条本制度适用于长城证券公司总部、各地区总部及各营业部。组织与职责第四条信息系统安全管理实行公司总裁负责的公司安全管理委员会与营业部总经理负责的营业部安全管理小组两级管理制度。第五条公司安全管理委员会下设安全工作小组作为执行机构,定期对公司范围信息系统的安全性作出评价,必要时提出提高安全性的建议。第六条公司安全管理委员会的职责包含:建立健全公司各类安全制度、对安全工作小组的工作进行授权、对公司各类信息的重要性进行评
18、估为其安全级别的制定提供根据、对安全工作小组有关报告的讨论与批复、安全事故处理结果的公布、取得法律支持以解决信息系统入侵者的问题,与进行安全教育与安全检查。第七条营业部安全管理小组的职责包含:监督与检查各项安全管理制度在营业部的落实情况、定期向公司安全管理委员会提交工作报告、处理公司安全管理委员会授权的事务、配合公司安全工作小组的工作、开展计算机安全教育、保证营业部信息系统安全运行。安全策略第八条计算机信息系统的建设与应用,应当遵守法律、行政法规与国家其他有关规定。第九条对计算机信息系统中发生的案件,营业部电脑人员即时向营业部总经理汇报,并于24小时内向总部信息技术中心报告。第十条通过对信息系
19、统环境、软件、硬件、网络与通信、用户与权限、规范化操作、病毒防范、备份与恢复手段与安全审计等的有效管理,保护公司整个计算机环境的一致性。第十一条建立一个多层次的安全系统,在信息的安全与共享之间建立平衡。第十二条对公司员工进行计算机安全教育,提高员工的安全意识,是公司安全策略的重要构成部分。第十三条营业部安全管理小组务必定期对本营业部的要紧计算机信息系统资源配置、技术人员构成进行登记,并报公司安全管理委员会备案。第十四条公司安全管理委员会及营业部安全管理小组应当对公司总部与各营业部重要岗位计算机信息系统的安全情况经常进行检查,并及时整改不安全隐患。第十五条公司安全管理委员会应当建立废弃数据、介质
20、的处理制度。笫十六条公司总部与各营业部启用新的应用软件,应当按软件开发管理制度(试行制中有关规定业务系统,并做好日志记录。第十七条公司安全管理委员会应当建立严格的密钥管理制度与在紧急情况下销毁密钥的手段与措施,以防止密钥的失密。安全监督第十八条公司安全管理委员会对公司内部计算机信息系统安全保护工作行使下列监督职权:1、监督、检查、指导计算机信息系统安全保护工作;2、查处危害计算机信息系统安全的事件;3、组织或者委托有关部门对新建、改建与扩建的系统进行安全验收,负责系统安全技术检测工作;4、组织开展系统安全竞赛与评比;负责通报表彰与处罚;5、履行计算机信息系统安全保护工作的其他监督职责。第十九条
21、公司安全管理委员会发现影响计算机信息系统安全的隐患时,应当及时通知公司各有关部门与各营业部采取安全保护措施。第二十条公司安全管理委员会在紧急情况下,能够就涉及计算机信息系统安全的特定事项公布专项通知。第二十一条第二十二条第二十三条第二十四条第二十五条第二十六条第二十七条第二十八条安全管理第一节信息系统环境的安全管理信息系统环境的安全管理按照公司计算机房管理制度及信息系统环境标准执行。第二节软件安全管理总部信息技术中心根据公司软件开发管理制度对系统软件、应用软件的开发、购买、测试与使用等环节进行管理。软件的开发与采购报告务必包含安全设计的说明,其安全设计务必符合软件开发管理制度的有关规定。信息技
22、术人员应按照信息技术中心下发的安装配置方法对系统软件进行统一的安装配置。信息系统的安全漏洞一经发现应及时报告公司安全管理委员会。信息技术中心应与软件开发商与供应商保持联系,及时取得并组织安装通过测试的安全补丁。软件使用部门根据业务需要提出增添新的应用软件或者对已有应用软件提出新的功能要求,须以部门名义向信息技术中心填写软件需求报告表,信息技术中心在收到软件需求报告表(附表5)后,三天之内给予书面答复。新购置的软件需经信息技术中心测试与试运行。试运行完成后,试用人员应填写软件验收报告表(附表6)报信息技术中心领导审核,信息技术中心在收到报告后三天内予以回复。测试稳固后由信息技术中心统一分发安装使
23、用。第二十九条自行开发的应用软件,如源程序中需要嵌入数据库访问的用户设置,应由数据管理员得到源程序、制作安装盘。该安装盘与购置的应用软件安装盘一并由档案管理员保管,由应用系统保护人员调用安装。第三节计算机及有关设备的安全管理第三十条总部信息技术中心配合行政部及财务部根据公司电子与通讯设备固定资产管理制度对计算机及有关设备的选型、采购等过程进行管理。第三十一条重要的服务器、工作站、网络设备、通讯设备应放置在机房,通过计算机房管理制度保证其物理安全性。第三十二条重要的服务器、工作站、网络设备、通讯设备应有备品备件,出现问题及时更换。第三十三条对服务器及其资源的管理:1、对资源共享权限与NTFS访问
24、权限进行严格、有效的管理,不授予用户超出需要的权限,权限的设置务必有明确的根据;2、制定方案,对敏感资源的操作、系统登录情况进行定期或者不定期检查,及时查看L系统日志文件,对ALERT有关日志提示作出及时响应;3、提供远程访问与对外WEB服务的服务器不存放敏感数据;4、对一些系统程序(如TeInet、ftp等)的使用应加强操纵;停止服务器上不必要的服务;尽量减少所使用的协议。第三十四条对贮有重要数据的故障设备,交外单位人员修理时,公司总部及各营业部务必派专人在场监督。第四节网络与通信系统的安全管理第三十五条计算机通信系统的建设与应用,应当遵守法律、行政法规与国家其他有关规定,并建立一个多层次的
25、安全系统,在信息的安全与共享之间建立平衡。第三十六条使用新的网络安全软件、设备与技术保证公司网络的安全。第三十七条使用数据加密技术保证数据安全传输。总部与营业部间业务数据的传输应加密后使用数据专线进行传输。并使用PPP协议中PAP、CHAP相应的认证。笫三十八条.总部与营业部间业务数据的传输应加密后使用数据专线进行传输。第三十九条通信设备应具有防干扰、防截取能力。要紧的通信设备应做到设备备份。第四十条通信线路接口部分应采取防止非法进入的安全措施。第四十一条进行密码设置,并进行密码的专职保管,防范通信线路接口部分的采取非法进入。第四十二条公司总部及营业部应当对公司总部与各营业部通信系稳固、安全情
26、况进行定期检查,并及时整改不安全隐患。第四十三条对通信系统中发生的案件,营业部电脑人员即时向营业部总经理汇报,并于即时与总部信息技术中心有关人员联系,双方合作尽快解决问题。第四十四条总部信息技术中心设岗位职责,分别负责公司广域网连接方案、网络安全方案的实施,对总部局域网、公司广域网连接、各类移动连接、Internet接入设备进行管理,与其它保证网络连接安全稳固的日常事务性工作。第四十五条营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。营业部柜台交易系统管理员由营业部总经理担任。第四十六条营业部与交易所的卫星通信均应做到伙伴备份或者isdn或者ddn的备份。对
27、上海报盘应做到总部备份。对以上备份系统做到定期测试,保证通信无误。第四十七条为了安全期间,营业部与营业部之间应限制相互间的直接操作。第五节数据访问的安全管理第四十八条由于审计、数据库故障调试等原因,需要访问数据库时,应创建临时用户、给予适当的权限,并交由审计人员、应用系统保护人员使用,并在使用完毕后及时删除该临时用户。在技术同意的条件下,应限制用户的登录工作站。第四十九条关于涉及业务、财务方面的数据库,应利用数据库系统的访问跟踪记录功能,设置对应用系统、调试用户、超级用户访问数据库的命令进行跟踪,记录到监控日志文件中。定期检查监控日志,发现特殊及时通报。第五节管理员及其职责第五十条总部信息技术
28、中心设系统管理员岗位,负责公司信息系统的管理,包含服务器的规划、安装与配置,启动/停止系统与服务,对系统运行状态与入侵企图进行监控,安装/删除软件,增加/删除/修改用户与用户组,对用户/用户组的权限进行设置与修改,与其它保持系统进展与安全运行的工作。管理员应采取的安全措施有:1、由于管理员组与备份构成员拥有对SAM数据库的权限,因此务必严格限制管理员组与备份构成员资格,并加强对这些帐户的审计;2、改变AdnIiniStratOr帐户名,为管理员与备份操作员创建专用帐号,为特定的工作建立专用的帐号,要求在执行相应的管理任务时使用相应的帐号,操作结束时及时注销;3、关闭管理员与特殊权限用户的远程访
29、问能力,特殊情况能够使用预设电话号码的回拨方式;4、管理员组、备份构成员帐户不能用于浏览WEB。第五十一条.总部信息技术中心设数据管理员岗位,负责总部数据的安全管理与保护,具体职责见信息系统安全管理制度第十三节“总部数据管理员职责细则”。第五十二条总部信息技术中心设网络管理员岗位,负责公司广域网连接方案、网络安全方案的实施,对总部局域网、公司广域网连接、各类移动连接、Internet接入设备进行管理,与其它保证网络连接安全稳固的日常事务性工作。第五十三条营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。营业部柜台交易系统管理员由营业部总经理担任。第五十四条公司
30、设立财务系统管理员岗位,财务系统管理员通常由财务部经理担任。第六节用户、组及其权限第五十五条.系统管理员根据公司业务要求建立具有不一致权限的用户组,包含系统管理权限、系统与数据备份权限、帐号管理权限、各类数据库访问权限、不一致的文件访问权限、各类应用程序使用权限、网络打印权限、远程访问权限、Internet访问权限等。第五十六条总部系统管理员应根据总部行政部的书面通知,完成新增/删除用户、分配权限的工作,并用邮件方式回复。上述通知应包含需要新增/删除的用户的姓名、工作的部门、需要使用何种应用等。第五十七条营业部因人员新增调动、离职等需对邮件等用户作出调整的,由营业部办公室主任通知信息技术中心。
31、第五十八条营业部交易系统管理员新增/删除柜台用户或者对用户权限进行分配应有文字记录。对股票、资金等参数进行调整的非正常业务操作务必填写书面说明,而且务必由营业部总经理及财务部经理共同批准后方能执行。第五十六条营业部技术人员在应用系统中的权限应只限于系统管理,而无业务操作权限。第五十九条对用户及权限管理应按下列原则执行:1、应对具有系统管理、数据库管理等特殊权限的用户进行限制,包含仅同意在机房与自己的工作地点登录,同一时间仅同意同一用户登录一次同意远程访问时务必设定回拨方式等;2、尽可能对组而不是对用户授权;3、杜绝无口令的登录帐户,删除GUEST帐户;4、对口令长度、复杂程度、有效期、重复使用
32、的间隔等进行规定;5、及时锁定过期帐户、暂停使用的帐户、多次试图使用无效口令登录的帐户,临时授权帐户务必及时取消;6、通常不设公用帐户,以保证用户有独立的帐户;7、对使用时间进行限制;8、超时锁定;9、对无法设置口令的用户及公用帐户应加强登录时间、登录地点、登录数目的限制,对自动执行批处理命令的用户应有防中断措施;10、权限变更或者交接应有文字记载。第六十条对使用公司网络访问Internet,使用打印机等的用户实行严格管理。第六十一条 第六十二条 第六十三条第六十四条第六十五条 第六十六条 第六十七条 第六十八条第六十九条第七十条第七H一条第七节操作的规范化管理总部与营业部应分别制定操作规程,
33、并定期修改。禁止同一人掌管操作系统口令与数据库管理系统口令。公司员工应有互不相同的用户名,定期两个月更换操作口令。通常用户口令长度不得少于6位,不使用小键盘的人员编制口令应做到字符与数字混排,不得使用电话号码、生日等作为口令;系统管理员口令不得少于10位。严禁泄露自己的口令,务必启用系统软件提供的安全审计留痕功能。各岗位操作权限要严格按岗位职责设置,管理员不得超越用户职责授权。管理员应定期检查操作员的权限。营业部总经理应及时审计交易系统柜员所做的操作,重要岗位的登录过程应增加必要的限制措施。柜台交易系统技术参数的调整由电脑部经理负责;交易业务参数的调整由财务部经理在履行审批手续后实施,禁止电脑
34、技术人员调整业务参数。营业部电脑技术人员能够协助但不得担任清算员从事结算记帐工作。有关数据需打印存档的务必使用连续的打印纸。建立与完善技术监管系统,定期进行独立的对帐,核对交易数据、清算数据、保证金数据、证券托管数据与会计数据的一致性与连续性。对数据备份与审计记录建立定期查验制度。第八节病毒防范第七十二条第七十三条第七十四条第七十五条 第七十六条 第七十七条第七十八条第七十九条第八十条第八十一条第八十二条信息技术中心应指定专人负责计算机病毒防范工作。总部及营业部应定期进行病毒检测,发现病毒立即处理并报告。重要部门的计算机应当指定专人专管计算机病毒防范工作。总部与营业部务必配备公安部认可的正版防
35、病毒软件并及时更新软件版本。经远程通信传送的程序或者数据,务必通过检测确认无病毒后方可使用。禁止运行未经信息技术中心审核批准的软件。新系统安装前应进行病毒例行检测,避免使用盗版软件。严格限制软驱与光驱的使用,软驱与光驱的使用按信息系统环境标准的有关条款执行。在使用modem与外界通讯或者能够访问Internet的计算机上应安装病毒实时监控软件。因计算机病毒引起的计算机信息系统瘫痪、程序与数据严重破坏等重大事故及时向信息技术中心领导及电脑安全管理小组报告。公司总部员工须与信息技术中心签定电脑安全承诺书后,才能领用与使用办公电脑。第九节备份按照信息系统环境标准的有关规定对系统进行备份。营业部务必对
36、交易数据等进行备份,备份数据存放按公司技术资料管理制度与信息系统安全管理制度执行。第八十三条系统管理员务必提取有关系统的配置参数并在修改参数后及时更新。第八十四条务必保留软硬件说明书、配置软件、配置参数等技术资料,并存放于安全地点,有关事项按技术资料管理制度及信息系统环境标准执行。第八十五条关于加密格式的数据,应尽可能解密后备份,防范密钥由于频繁更换等原因可能丢失所带来的风险。第八十六条数据备份在周期性方面可选择使用下列四种方式:1、 永久性的完全备份:数据备份到存储介质后,将介质密封永久储存;2、 周五做完全备份、周一至周四做增量备份;3、 定期做覆盖方式的完全备份:在同一备份介质上覆盖原有
37、备份数据;4、 定期做追加方式的完全备份:在同一备份介质上增加最新状态的备份;第八十七条根据第四条中不一致周期备份方式的要求,备份可选择下列几种存储介质:1、 写的刻录光碟(CD、DVD等),适合于永久备份;2、 磁带,适合于所有备份策略;3、 可擦写的其他存储介质(硬盘、MO等),适合于备份策略;备份介质在备份操作前须通过编号,编号规则见第八十九条。第八十八条关于某个具体的备份对象,原则上应仅选择一种备份方式与备份介质实施备份。同时尽可能选择可移动的备份介质,以利于数据备份的归档管理。除非应用系统有特殊要求,通常情况下不使用硬盘等不可移动的备份介质。第八十九条备份介质编号规则格式为:“ZB”
38、+四位年份代码+数据来源代码+四位序列号其中数据来源代码01代表总部数据02代表营业部数据;三位序列号在一个年度中从“0001”开始递增;如:ZB2001010001,代表本备份介质是在总部储存的2001年总部数据的第0001号备份第九十条备份的密封处理可移动的备份介质在完成联机备份操作后,如须密封处理则应按如下步骤操作:1、 备份介质密封登记表(见附件9),注明备份日期、内容、操作人、复核人等有关内容,该登记表一式两份;2、 将备份介质及有关的附件装入档案盒,同时放入一份备份介质密封登记表,另外一份登记表贴于档案盒封面;3、 将档案盒封口处贴上封条,并盖上保管部门的密封章。(注:密封章能够是
39、公司公章、部门公章或者备份专用章,应当由除档案管理员之外的人员保管)第九十一条备份的保管根据备份方式的不一致,数据备份分如下两种情况进行保管:1、 关于永久性的完全备份,应保留两份备份。在密封处理后,其中的一份交由信息技术中心档案管理员保管(盖信息技术中心密封章),另外一份交由总部档案室档案管理员保管(盖总部档案室密封章);2、 于定期做覆盖或者追加方式的完全备份,应保留一份备份。在脱机后,如保管时间超过七天,则须经密封处理由信息技术中心档案管理员保管;如保管时间不超过七天,则可有备份管理员锁于临时保管箱内交由档案管理员保管;3、 关1周五做完全备份、周一至周四做增量备份的方式,如使用磁带柜备
40、份且磁带柜放置于安全的地点,则可将五天备份所用的磁带一并放入磁带柜,实现每日自动装载与备份;否则仍须按情况(2)的方式进行保管。第九十二条备份的检查1、关于永久性的完全备份,在密封保管前须通过数据导出、检查数据完整性的复核;在密封保管后,须每隔一年进行一次数据检查;2、关于除永久性的完全备份以外的备份方式,应在通过了一到两个备份周期后进行恢复测试;在备份正常运转后,须每隔三个月进行一次恢复测试。第九十三条备份介质的调用程序因日常备份操作、检查备份、数据查询等要求,需要调用档案管理员保管的备份介质,应分下列几种情况执行调用程序:1、 备份由总部档案室保管,则须填写备份介质调用申请表(见附表10)
41、,由信息技术中心总经理、公司总裁或者分管信息技术中心的副总裁签字后,从档案管理员处领取,在使用完毕后按期交回;2、 备份密封后由信息技术中心档案管理员保管,则须填写备份介质调用申请表(见附表10),由信息技术中心总经理签字后,从档案管理员处领取,在使用完毕后按期交回;3、 如备份由备份管理员放置于临时保管箱内,则须填写备份介质调用申请表,由档案管理员签字即可领取。第九十四条备份介质的销毁关于永久性的完全备份,在密封保管后,如需要销毁,须填写备份介质调用申请表,经公司总裁或者分管信息技术中心的副总裁签字后,将备份介质通过粉碎等方式销毁。第十节日志记录第九十五条信息技术中心及营业部电脑部应对系统配
42、置的更换、网络用户权限的分配与更换及原因作全面记录,对机房管理系统运行情况,系统运行故障现象、时间、处理方式等进行全面记录。营业部交易系统管理员应对增/删除柜员、柜员权限变更情况进行记录;财务部经理应对业务参数调整,更换股票、资金余额等操作进行记录。第九十六条日志记录使用标准格式,并具备有关责任人的签字。参见附录一。第九十九条系统运行日志务必妥善储存,不得缺页,定期存档。第十一节安全事故处理及恢复笫一百条安全事故是指由于软硬件故障、系统配置错误、操作失误、黑客入侵、病毒、口令盗用等原因引起系统无法正常运行,数据或者文件丢失的事件。第一百零一条安全事故分成A、B、C三类,其中A类指对交易产生直接
43、影响的事故;B类指未影响交易但造成一定经济缺失的事故;C类指未影响交易也未造成经济缺失,但构成系统安全隐患的事故。第一百零二条总部及各营业部应根据计算机房管理制度及自身情况制定应急处理流程及时更新并定期演习。第一百零三条应急处理流程的制定应涵盖通信、服务、供电、数据、设备等,同时确定演习、通报、事故分析等内容。第一百零四条应急处理流程的制定应表达细致、明了的原则,不得遗漏任何环节,保证逐条实施能够排除故障、恢复系统运行。第一百零五条事故出现后应及时处理并按公司营业部技术事故处理规定的有关规定汇报。凡隐瞒不报的,追究营业部总经理及电脑部经理的责任。第一百零六条事故处理后应及时进行分析并写出分析报
44、告,总部有关部门应在此基础上明确责任归属,并向营业部通报。人员管理第一百零七条系统管理员不能兼任柜台及事后稽核等工作,不得参与有关软件开发。参加过应用系统开发的人员,不得担任相应系统的管理员。第一百零八条公司安全管理委员会及营业部安全管理小组应当加强公司总部与各营业部要紧岗位工作人员的录用、考核制度,不适宜的人员务必及时调离。第一百零九条电脑技术人员调离时,务必移交全部技术手册及有关资料,并更换计算机的有关口令与密钥。涉及公司业务核心部分开发的技术人员调离原工作岗位或者公司时,应当确认对公司计算机信息系统安全不可能造成危害后方可调离。责任第一百一十条违反本条例的规定,有下列行为之一的,由公司安
45、全管理委员会处以警告或者通报批判处分:1、违反计算机信息系统安全管理中有关条例,危害计算机信息系统安全的;2、不按照规定时间报告计算机信息系统中发生的案件的;3、接到公司安全管理委员会要求改进安全状况的通知后,在限期内拒不改进或者未完成目标的;4、违反审批制度增设或者更换设备、装置的;5、拒绝、阻碍公司计算机安全管理组织实施安全检查的;6、有危害计算机信息系统安全的其他行为的。第一百一十一条计算机房不符合公司计算机房管理制度及信息系统环境标准有关规定的,或者者在计算机机房邻近施工危害计算机信息系统安全的,由公司安全管理委员会会同有关部门进行处理。第一百一十二条有意输入计算机病毒与其他有害数据危
46、害公司计算机信息系统安全的,由公司安全管理委员会处以警告或者者罚款处分。第十三节信息技术中心总部数据管理员职责细则职责范围第一百一十三条数据管理员负责对总部应用系统数据实施备份,并实行安全可靠的管理;对营业部上交的应用系统数据备份进行归档与使用实行管理;掌握数据库超级用户权限,安全规范地管理数据库系统的运行。第一百一十四条制定备份策略,对数据文件与数据库进行备份。与档案管理员协作,妥善保管备份介质。第一百一十五条根据业务需求与用户申请创建、删除数据库,修改数据库参数设置。第一百一十六条根据业务需求与用户申请创建数据库系统的登录用户,给予用户适当的数据库权限,包含数据库所有者权限、数据库对象的增
47、删改权限等;删除用户;保管应用程序中封装的数据库用户的密码。第一百一十七条在数据库需要进行数据与结构方面的调整时,创建临时调试用户并交由应用系统保护人员使用,并在使用完毕后及时删除测试用户。第一百一十八条利用数据库系统的访问跟踪记录功能,设置对应用系统、调试用户、超级用户访问数据库的命令进行跟踪,记录到监控日志文件中;定期检查监控日志,发现特殊及时通报。第一百一十九条除上述数据库管理内容之外的方面,如定时任务的管理,定期检查系统日志、监控参数的设置等。数据安全管理的原则第一百二十条数据务必是有据的,能够辨认数据的内容、用途与使用方法;务必通过合法的手续与规定的渠道采集、加工、处理与传播数据;数据应只用于明确规定的目的
