信息系统管理制度汇编

长城证券有限责任公司 信 息 系 统 管 理制度 汇编 长城证券有限责任公司 信息技术中心 前言 随着计算机技术的迅猛发展， 信息系统已成为证券业各项业务顺利运 转的关键设施，因此保证信息系统的正常运转和防范技术风险，已成为证 券业工作重心之一。 为了提高证券行业的整体技术水平， 有效地防范和化解技术风险， 中国证监会于 1998年 3月颁布了证券业的第一个技术标准? 《证券经营 机构营业部信息系统技术管理规范（试行） 》（以下简称《规范》） ，将证 券业的信息系统建设与管理工作纳入了规范发展的轨道。 如何使《规范》落到实处，切实做到技术管理制度化、日常操作规 范化，是当前证券业信息系统规范化建设的一项重要内容。 为此，公司 信息技术中心根据《规范》要求，结合公司实际情况，以公司计算机应 用管理科学化、规范化、高效、安全、实用、集中统一为原则，起草了 长城证券有限责任公司信息系统管理的一系列规章制度，并广泛征求了 公司有关部门与部分营业部的意见，最终形成这本《长城证券有限责任 公司信息系统管理制度汇编》 （以下简称《制度汇编》 ） 。 本《制度汇编》 分为三大部分。 一是公司信息系统管理办法 （试行） ， 共有 18 条，主要包括公司信息技术中心的工作职责、证券营业部（以 下简称营业部）电脑部的职责、以及有关营业部搬迁、扩租、电子设备 购置等事项报批程序与管理办法等。二是公司信息系统管理实施细则 （试行） ，共分 12 章，主要包括计算机应用项目立项和审批程序、应 用软件开发管理、计算机设备购置和使用管理、网络管理、机房管理、 计算机设备报废管理、耗材管理、防病毒管理、 技术文档管理以及系统 安全保密管理等；三是营业部信息系统管理办法（试行） ，共分 ? 章， 比较详细地制定了营业部电脑部工作职责、人员管理、 岗位设置、 安全 及风险防范、软硬件设备管理、数据管理、资料管理等各项规章制度。 本《制度汇编》由公司信息技术中心统一组织实施，并负责监督、检 查相关规章制度的贯彻执行。 本《制度汇编》的修改、解释权归公司信息技术中心。 本《制度汇编》属公司内部资料，应妥善保管、注意保密。 第一部分 长城证券有限责任公司 信息系统管理办法 （试行） 第一条 为了贯彻公司“以客户为中心，以利润为中心，合规经 营、开拓创新”的经营指导方针，适应公司全面提升公 司各项业务和管理水平，逐渐形成长城经营特色，争取 使各项工作再上一个新台阶的要求，实现公司系统内计 算机技术与应用的有效管理，充分发挥计算机技术资源 的整体优势，特制定本管理办法。 第二条公司计算机应用管理工作坚持科学、规范、安全、高效、 实用的原则。 第三条公司计算机应用管理实行集中统一管理的原则。集中统 一管理是指在公司系统内，以统一规划、统一标准、统 一应用、统一实施、统一采购的“五统一”方式，分步 实施推广计算机应用技术，并对计算机应用进行日常管 理和维护。 第四条公司设立信息技术中心，下属各营业部设立电脑部。公 司计算机应用由信息技术中心归口管理。 第五条公司信息技术中心是全公司计算机信息系统规划、管理 和技术协调的主管部门。各营业部电脑部在技术上接受 信息技术中心的指导、管理和考核，在业务及行政上接 受所在营业部负责人的领导和管理。 第六条信息技术中心的主要职能是： 1、 保证公司的信息技术的应用具有前瞻性。 2、 保障当前投入使用的系统稳定运行。 3、 结合业务发展与技术更新，及时推出高质量的新技术应用系 统。 4、 建立并保持高素质的、稳定的技术队伍。 5、 协助公司制定信息技术应用的整体发展策略。 6、 根据整体的发展策略，制定具体的年度工作规划并组织实施。 7、 制定或改进与信息系统相关的开发、维护及应用的规章制度。 8. 配合人力资源部， 对公司及营业部电脑人员的考核、 聘用、 任 免以及培训。 8、 协助进行公司内计算机软硬件的选型招标。 9、 审批营业部计算机软硬件购置的年度预算及相应技术鉴定， 审核计算机设备的购置、报损、报废等工作。 10、 协助公司作不定期的技术审计，对营业部信息系统进行专项 检查。 11、 完成总部的各应用信息系统及交易系统的日常维护工作，包 括通讯、 网络、 系统、 应用、 安全 （防黑客、 防病毒、 数据备份） 等。 12、 负责具体指导和监营业部电脑部工作，对营业部提供实时技 术支持和现场服务。 13、 为公司电子商务的发展，提供充分的技术支持，维护更新公 司的内、外网站，保障网上交易等各类电子商务业务的开展。 14、 技术资料的管理。 15、 公司授权的其他管理职能。 第七条公司重要职能部门及营业部下属远程网点，设置计算机 管理员，负责本部门计算机的日常维护管理以及与上级 主管技术部门的联络工作。 第八条各营业部设置电脑部，负责本部门信息系统的建设、日 常维护管理以及与公司信息技术中心的联络工作。具体 职能为： 1、 化安全意识，自觉遵守公司关于营业部信息系统管理的各项 规章制度。 2、 负责本营业部计算机信息系统的建设、管理和维护，确保系 统安全运行。 3、 及时处理证券交易所及有关主管部门播发的涉及信息系统运 行的数据、文件和各类通知。 4、 负责计算机硬件设备的管理和维护，保持系统处于良好的运 行状态。 5、 负责本营业部信息系统的安全运行。开市之前做好系统的运 行准备工作， 开市期间实时监控系统运行状况、 处理突发事件， 收市后配合清算员完成日结清算等盘后工作。 6、 完整、准确地记录计算机信息系统的运行日志。 7、 严格按故障报告制度及时、准确地处理系统出现的故障。 8、 负责交易业务数据、系统数据和其他重要数据、资料的备份 及其管理。 9、 根据本营业部的业务发展需求，提交应用系统需求报告、软 硬件采购计划，报公司信息技术中心审批。 10、 在公司信息技术中心的安排下，承担公司信息网络系统建设 中涉及本营业部的有关工作。 11、 负责本营业部计算机信息系统各类文档的收集、整理、分类、 归档、备案。 12、 负责编制营业部计算机设备的统计报表及协助财务部拟定本 营业部计算机设备报废、报损计划，报公司信息技术中心审核 13、 提出本营业部计算机人员技术培训计划。 14、 负责本营业部其他业务人员计算机应用培训。 15、 紧密跟踪计算机新技术的发展，为新技术的推广应用做好充 分的技术准备。 16、 完成公司信息技术中心交办及本营业部总经理下达的其他工 作任务。 17、 各营业部电脑部经理人选，须由所在营业部提出推荐意见上 报公司， 经公司人力资源部会同信息技术中心进行资格审查和考 核，并报公司领导批准后聘任。 第九条公司各部室、中心及营业部计算机网络、系统的新建或 整体改造，必须在年初申报计划，并附完整的整体设计 方案和可行性论证报告，由信息技术中心审批。 第十条各营业部申请搬迁、扩租营业面积以及涉及公司整体项 目建设，应根据经纪业务管理总部及财务资金总部有关 上报的要求提出立项申请， 在经纪业务管理总部批准后， 再向经纪业务管理总部报送可行性分析报告与装修预算 方案， 向信息技术中心报送计算机设备预算和技术方案， 由经纪业务管理总部、信息技术中心分别审核批复后， 营业部方能实施。 第十一条公司各部室、中心为加强系统安全运转，保证正常运营 的电脑设备购置和网络改造等方面的签报，直接报送公 司信息技术中心。信息技术中心将依据中国证监会技术 监管的规范要求和公司技术发展总体纲要进行审查，在 总部计划财务部核定的营业部当年新增固定资产可用规 模内进行核准，并按月向财务资金总部提供清单，不再 向其他部门申报。 第十二条公司设立计算机设备采购小组，具体负责公司计算机设 备（包括相关工程项目）的招标、评标与购置事宜。 第十三条所有的计算机设备（包括软件）采购均须采取招标方式, 遵循严格、规范的招标程序，包括制定标书、发标、接 标、评标，最后经采购小组审定后报公司主管领导审批。 第十四条公司各部室、中心及营业部购置的计算机设备，凡属于 固定资产的，按公司固定资产管理办法进行管理。 第十五条各营业部电脑部应每季度向信息技术中心提交书面工作 报告，及时反映工作动态与需解决的问题。 第十六条公司各部室、中心及营业部如有人员调离，须事先通知 公司信息技术中心，以便及时清除网络登录用户并确定 是否进行相关审计。 第十七条本办法由公司信息技术中心负责解释。 第十八条本办法自下发之日起执行。此前颁布的有关规定中与本 办法不一致的，以本办法为准。 第二部分 长城证券有限责任公司 信息系统管理实施细则 （试行） 目录 第一章总则 第二章信息系统工程项目申请、立项和审批程序 4 第三章信息系统安全管理制度 6 第四章计算机设备（软件）购置管理 30 第五章软件开发管理制度 34 第六章计算机设备使用管理 41 第七章计算机耗材及备品备件管理 43 第八章计算机机房（实验室）管理 44 第九章总部机房信息系统紧急事故应急处理 47 第十章技术资料管理 第十一章罚则 第十二章附则 附表1计算机应用项目立项申请报告 附表2计算机应用项目验收报告 附表3计算机设备需求计划表 0 附表4计算机设备资金需求计划表 附表5计算机设备验收单 附表6软件项目需求报告 1 附表7信息技术中心计算机用户登录表 14 附表8计算机设备验收单 15 附表9备份介质密封登记表 16 附表10备份介质调用申请表 17 附表11计算机耗材及备品备件领用单—18 附表12信息技术中心总部数据备份任务一览表19 附表13信息技术中心总部数据备份介质内容变更登记表20 附表14信息技术中心数据库操作申请表21 附表15信息技术中心数据库访问监控报表22 第一章总则 第一条为加强长城证券有限责任公司（以下简称公司）对计 算机应用的集中统一管理，规范全公司系统的计算机 应用，保证计算机系统和设备的正常运转，根据公司 《信息系统管理办法》，制订本实施细则。 第二条本实施细则主要包括计算机应用项目立项和审批程 序、计算机设备购置和使用管理、应用软件开发 管理、计算机设备报废管理、耗材管理、网络管理、 机房管理、技术文档的管理、系统安全保密管理、网 络防病毒管理以及技术培训管理等。 第三条本办法适用于公司各部室、中心及所属证券营业部（以 下简称营业部）。 第二章 信息系统工程项目申请、立项 和审批程序 第一条计算机应用项目包括计算机网络系统新建与改造、硬件设备 与系统软件的购置、升级以及应用软件开发与升级等。 第二条 凡单价超过五千元的计算机应用项目，须填写《长城证券有 限责任公司计算机应用项目立项申请报告》（见附表1）、并报 公司信息技术中心审批。 第三条 已立项的计算机应用项目完成后，由公司信息技术中心会同 有关业务管理人员组成项目验收小组进行验收，验收结果形 成《长城证券有限责任公司计算机应用项目验收报告》（见附 表2）。 第四条 公司各部室、中心在每年的12月31日前，提出本部门下一 年度的计算机应用项目建设、购置及升级计划，填写《计算 机设备需求计划表》（见附表3）、《计算机设备资金需求计划 表》（见附表4）报信息技术中心。 第五条 信息技术中心根据公司信息系统建设总体规划和各部室、中 心及营业部提交的计划，汇总制定公司下一年度计算机应用 项目购建计划，报请公司批准后执行。 第六条 对于计划外的计算机应用项目，除特殊应急项目特批外，其 他原则上不予审批。 第七条 对于投资较大、建设周期较长、涉及面广的计算机应用项目， 信息技术中心将邀请业务需求部门、营业部电脑人员及有关 专家进行技术论证和评审，原则上采用统一招标，统一推广 的方式。 第三章 信息系统安全管理制度 总贝U 第一条 为了加强对公司信息系统的安全管理、防范和化解各种技术 风险、保护投资者利益、维护公司的合法权益，确保公司各 项业务的顺利开展，根据《中华人民共和国计算机信息系统 安全保护条例》、《证券经营机构营业部信息系统技术管理 规范（试行）》及有关规定制定本制度。 第二条 信息系统安全管理涉及安全管理组织建设、安全策略、系统 环境安全、软件安全、设备（实体）安全、网络和通讯系统 安全、用户及权限管理、操作安全、病毒防范、系统备份、 日志记录、事故处理以及安全审计等内容，公司信息技术工 作应在本制度指引下，本着“安全第一”的原则进行。 第三条 本制度适用于长城证券公司总部、各地区总部及各营业部。 组织和职责 第四条信息系统安全管理实行公司总裁负责的公司安全管理委员会 和营业部总经理负责的营业部安全管理小组两级管理制度。 第五条公司安全管理委员会下设安全工作小组作为执行机构，定期 对公司范围信息系统的安全性作出评价，必要时提出提高安全 性的建议。 第六条 公司安全管理委员会的职责包括：建立健全公司各种安全制 度、 对安全工作小组的工作进行授权、 对公司各类信息的重要 性进行评估为其安全级别的制定提供依据、 对安全工作小组有 关报告的讨论和批复、 安全事故处理结果的公布、 取得法律支 持以解决信息系统入侵者的问题， 以及进行安全教育和安全检 查。 第七条 营业部安全管理小组的职责包括： 监督和检查各项安全管理制 度在营业部的落实情况、定期向公司安全管理委员会提交工 作报告、处理公司安全管理委员会授权的事务、配合公司安 全工作小组的工作、开展计算机安全教育、保证营业部信息 系统安全运行。 安全策略 第八条 计算机信息系统的建设和应用，应当遵守法律、行政法规和 国家其他有关规定。 第九条对计算机信息系统中发生的案件，营业部电脑人员即时向营 业部总经理汇报，并于24小时内向总部信息技术中心报告。 第十条通过对信息系统环境、软件、硬件、网络和通信、用户和权 限、规范化操作、病毒防范、备份和恢复手段以及安全审计 等的有效管理，维护公司整个计算机环境的一致性。 第十一条建立一个多层次的安全系统，在信息的安全和共享之间建 立平衡。 第十二条 对公司员工进行计算机安全教育，提高员工的安全意识， 是公司安全策略的重要组成部分。 第十三条营业部安全管理小组必须定期对本营业部的主要计算机信 息系统资源配置、技术人员构成进行登记，并报公司安全 管理委员会备案。 第十四条 公司安全管理委员会及营业部安全管理小组应当对公司总 部和各营业部重要岗位计算机信息系统的安全情况经常进 行检查，并及时整改不安全隐患。 第十五条公司安全管理委员会应当建立废弃数据、介质的处理制度。 第十六条 公司总部和各营业部启用新的应用软件，应当按 《软件开 发管理制度（试行）》中有关规定业务系统,并做好日志记 录。 第十七条公司安全管理委员会应当建立严格的密钥管理制度和在紧 急情况下销毁密钥的手段和措施，以防止密钥的失密。 安全监督 第十八条公司安全管理委员会对公司内部计算机信息系统安全保护 工作行使下列监督职权： 1、监督、检查、指导计算机信息系统安全保护工作； 2、查处危害计算机信息系统安全的事件； 3、组织或委托有关部门对新建、改建和扩建的系统进行安 全验收，负责系统安全技术检测工作； 4、组织开展系统安全竞赛和评比；负责通报表彰和处罚； 5、履行计算机信息系统安全保护工作的其他监督职责。 第十九条 公司安全管理委员会发现影响计算机信息系统安全的隐患 时，应当及时通知公司各有关部门和各营业部采取安全保 护措施。 第二十条公司安全管理委员会在紧急情况下，可以就涉及计算机信 息系统安全的特定事项发布专项通知。 安全管理 第一节 信息系统环境的安全管理 第二十一条信息系统环境的安全管理按照公司《计算机房管理制度》 及《信息系统环境标准》执行。 第二节 软件安全管理 第二十二条 总部信息技术中心依据公司《软件开发管理制度》对系 统软件、应用软件的开发、购买、测试和使用等环节进 行管理。 第二十三条 软件的开发和采购报告必须包括安全设计的说明，其安 全设计必须符合《软件开发管理制度》的有关规定。 第二十四条 信息技术人员应按照信息技术中心下发的安装配置方法 对系统软件进行统一的安装配置。 第二十五条信息系统的安全漏洞一经发现应及时报告公司安全管理 委员会。 第二十六条 信息技术中心应与软件开发商和供应商保持联系，及时 取得并组织安装经过测试的安全补丁。 第二十七条软件使用部门根据业务需要提出增添新的应用软件或对 已有应用软件提出新的功能要求，须以部门名义向信息 技术中心填写《软件需求报告表》，信息技术中心在收 到《软件需求报告表》（附表5）后，三天之内给予书面 答复。 第二十八条 新购置的软件需经信息技术中心测试和试运行。试运行 完成后，试用人员应填写《软件验收报告表》（附表6） 报信息技术中心领导审核，信息技术中心在收到报告后 三天内予以回复。测试稳定后由信息技术中心统一分发 安装使用。 第二十九条 自行开发的应用软件，如源程序中需要嵌入数据库访问 的用户设置， 应由数据管理员得到源程序、 制作安装盘。 该安装盘与购置的应用软件安装盘一并由档案管理员保 管，由应用系统维护人员调用安装。 第三节 计算机及相关设备的安全管理 第三十条 总部信息技术中心配合行政部及财务部依据公司 《电子与 通讯设备固定资产管理制度》对计算机及相关设备的选 型、采购等过程进行管理。 第三十一条重要的服务器、工作站、网络设备、通讯设备应放置在机 房，通过《计算机房管理制度》保证其物理安全性。 第三十二条重要的服务器、工作站、网络设备、通讯设备应有备品 备件，出现问题及时更换。 第三十三条对服务器及其资源的管理： 1、对资源共享权限和NTF鲂问权限进行严格、有效的管理， 不授予用户超出需要的权限，权限的设置必须有明确的依 据； 2 、制定方案，对敏感资源的操作、系统登录情况进行定期或 不定期检查，及时查看L系统日志文件，对ALER相关日 志提示作出及时响应； 3、提供远程访问和对外WE服务的服务器不存放敏感数据； 4、对一些系统程序（如Telnet、ftp等）的使用应加强控制； 停止服务器上不必要的服务；尽量减少所使用的协议。 第三十四条对贮有重要数据的故障设备，交外单位人员修理时，公 司总部及各营业部必须派专人在场监督。 第四节 网络和通信系统的安全管理 第三十五条计算机通信系统的建设和应用，应当遵守法律、行政法 规和国家其他有关规定， 并建立一个多层次的安全系统， 在信息的安全和共享之间建立平衡。 第三十六条采用新的网络安全软件、设备和技术保证公司网络的安 全。 第三十七条采用数据加密技术保证数据安全传输。总部和营业部间 业务数据的传输应加密后采用数据专线进行传输。并采 用PPPJ、议中PAP CHA相应的认证。 第三十八条总部和营业部间业务数据的传输应加密后采用数据专线 进行传输。 第三十九条通信设备应具有防干扰、防截取能力。主要的通信设备 应做到设备备份。 第四十条通信线路接口部分应采取防止非法进入的安全措施。 第四十一条进行密码设置，并进行密码的专职保管， 防范通信线路接 口部分的采取非法进入。 第四十二条公司总部及营业部应当对公司总部和各营业部通信系稳 定、安全情况进行定期检查，并及时整改不安全隐患。 第四十三条对通信系统中发生的案件，营业部电脑人员即时向营业 部总经理汇报， 并于即时与总部信息技术中心相关人员 联系，双方合作尽快解决问题。 第四十四条 总部信息技术中心设岗位职责，分别负责公司广域网连 接方案、网络安全方案的实施，对总部局域网、公司广 域网连接、 各类移动连接、 Internet 接入设备进行管理， 以及其它保证网络连接安全稳定的日常事务性工作。 第四十五条 营业部的局域网管理、营业部与交易所、登记公司、公 司总部的通讯连接由营业部电脑部负责。营业部柜台交 易系统管理员由营业部总经理担任。 第四十六条 营业部与交易所的卫星通信均应做到伙伴备份或 isdn 或 ddn 的备份。对上海报盘应做到总部备份。对以上备 份系统做到定期测试，保证通信无误。 第四十七条 为了安全期间，营业部与营业部之间应限制相互间的直 接操作。 第五节 数据访问的安全管理 第四十八条 由于审计、 数据库故障调试等原因， 需要访问数据库时， 应创建临时用户、赋予适当的权限，并交由审计人员、 应用系统维护人员使用， 并在使用完毕后及时删除该临 时用户。在技术允许的条件下，应限制用户的登录工作 站。 第四十九条对于涉及业务、财务方面的数据库，应利用数据库系统 的访问跟踪记录功能，设置对应用系统、调试用户、超 级用户访问数据库的命令进行跟踪， 记录到监控日志文 件中。定期检查监控日志，发现异常及时通报。 第五节 管理员及其职责 第五十条 总部信息技术中心设系统管理员岗位，负责公司信息系 统的管理，包括服务器的规划、安装和配置，启动 / 停止 系统和服务，对系统运行状态和入侵企图进行监控，安 装/ 删除软件，增加 / 删除 / 修改用户和用户组，对用户 / 用户组的权限进行设置和修改，以及其它保持系统发展 和安全运行的工作。 管理员应采取的安全措施有： 1、由于管理员组和备份组成员拥有对SA瞰据库的权限， 所以必须严格限制管理员组和备份组成员资格，并加强 对这些帐户的审计； 2、改变 Administrator 帐户名，为管理员和备份操作员创 建专用帐号，为特定的工作建立专用的帐号，要求在执 行相应的管理任务时使用相应的帐号，操作结束时及时 注销； 3、关闭管理员以及特殊权限用户的远程访问能力，特殊情 况可以采用预设电话号码的回拨方式； 4、管理员组、备份组成员帐户不能用于浏览 WEB 第五十一条 总部信息技术中心设数据管理员岗位，负责总部数据的 安全管理和维护，具体职责见《信息系统安全管理制度》 第十三节“总部数据管理员职责细则”。 第五十二条 总部信息技术中心设网络管理员岗位，负责公司广域网 连接方案、网络安全方案的实施，对总部局域网、公司 广域网连接、各类移动连接、Internet接入设备进行管 理，以及其它保证网络连接安全稳定的日常事务性工作。 第五十三条 营业部的局域网管理、营业部与交易所、登记公司、公 司总部的通讯连接由营业部电脑部负责。营业部柜台交 易系统管理员由营业部总经理担任。 第五十四条 公司设立财务系统管理员岗位，财务系统管理员一般由 财务部经理担任。 第六节用户、组及其权限 第五十五条系统管理员根据公司业务要求建立具有不同权限的用户 组，包括系统管理权限、系统和数据备份权限、帐号管 理权限、各种数据库访问权限、不同的文件访问权限、 各种应用程序使用权限、网络打印权限、远程访问权限、 Internet访问权限等。 第五十六条总部系统管理员应依据总部行政部的书面通知，完成新 增/删除用户、分配权限的工作，并用邮件方式回复。上 述通知应包括需要新增/删除的用户的姓名、工作的部 门、需要使用何种应用等。 第五十七条 营业部因人员新增调动、离职等需对邮件等用户作出调 整的，由营业部办公室主任通知信息技术中心。 第五十八条 营业部交易系统管理员新增/删除柜台用户或对用户权 限进行分配应有文字记录。对股票、资金等参数进行调 整的非正常业务操作必须填写书面说明，而且必须由营 业部总经理及财务部经理共同批准后方能执行。 第五十六条营业部技术人员在应用系统中的权限应只限于系统管 理，而无业务操作权限。 第五十九条对用户及权限管理应按以下原则执行： 1、应对具有系统管理、数据库管理等特殊权限的用户进行 限制，包括仅允许在机房和自己的工作地点登录，同一 时间仅允许同一用户登录一次允许远程访问时必须设定 回拨方式等； 2、尽可能对组而不是对用户授权； 3、杜绝无口令的登录帐户，删除GUEST户； 4、对口令长度、复杂程度、有效期、重复使用的间隔等进 行规定； 5、及时锁定过期帐户、暂停使用的帐户、多次试图使用无 效口令登录的帐户，临时授权帐户必须及时取消； 6、一般不设公用帐户，以保证用户有独立的帐户； 7、对使用时间进行限制； 8、超时锁定； 9、对无法设置口令的用户及公用帐户应加强登录时间、登 录地点、登录数目的限制，对自动执行批处理命令的用 户应有防中断措施； 10、权限变更或交接应有文字记载。 第六十条对使用公司网络访问 Internet ，使用打印机等的用户实 行严格管理。 第七节 操作的规范化管理 第六十一条总部和营业部应分别制定操作规程，并定期修改。 第六十二条禁止同一人掌管操作系统口令和数据库管理系统口令。 第六十三条公司员工应有互不相同的用户名，定期两个月更换操作 口令。 第六十四条一般用户口令长度不得少于6位，不使用小键盘的人员编 制口令应做到字符与数字混排，不得使用电话号码、生 日等作为口令；系统管理员口令不得少于10位。 第六十五条严禁泄露自己的口令，必须启用系统软件提供的安全审 计留痕功能。 第六十六条各岗位操作权限要严格按岗位职责设置，管理员不得超 越用户职责授权。管理员应定期检查操作员的权限。 第六十七条营业部总经理应及时审计交易系统柜员所做的操作，重 要岗位的登录过程应增加必要的限制措施。 第六十八条柜台交易系统技术参数的调整由电脑部经理负责；交易 业务参数的调整由财务部经理在履行审批手续后实施， 禁止电脑技术人员调整业务参数。 第六十九条 营业部电脑技术人员可以协助但不得担任清算员从事结 算记帐工作。有关数据需打印存档的必须使用连续的打 印纸。 第七十条建立和完善技术监管系统，定期进行独立的对帐，核对 交易数据、清算数据、保证金数据、证券托管数据以及 会计数据的一致性和连续性。 第七十一条对数据备份和审计记录建立定期查验制度。 第八节 病毒防范 第七十二条信息技术中心应指定专人负责计算机病毒防范工作。总 部及营业部应定期进行病毒检测，发现病毒立即处理并 报告。重要部门的计算机应当指定专人专管计算机病毒 防范工作。 第七十三条 总部和营业部必须配备公安部认可的正版防病毒软件并 及时更新软件版本。 第七十四条经远程通信传送的程序或数据，必须经过检测确认无病 毒后方可使用。 第七十五条禁止运行未经信息技术中心审核批准的软件。 第七十六条新系统安装前应进行病毒例行检测， 避免使用盗版软件。 第七十七条严格限制软驱和光驱的使用，软驱和光驱的使用按《信 息系统环境标准》的有关条款执行。 第七十八条在使用modem?外界通讯或能够访问Internet的计算机 上应安装病毒实时监控软件。 第七十九条因计算机病毒引起的计算机信息系统瘫痪、程序和数据 严重破坏等重大事故及时向信息技术中心领导及电脑安 全管理小组报告。 第八十条公司总部员工须与信息技术中心签定 《电脑安全承诺书》 后，才能领用和使用办公电脑。 第九节 备份 第八十一条按照 《信息系统环境标准》 的有关规定对系统进行备份。 第八十二条营业部必须对交易数据等进行备份，备份数据存放按公 司《技术资料管理制度》 和《信息系统安全管理制度》 执 行。 第八十三条系统管理员必须提取有关系统的配置参数并在修改参数 后及时更新。 第八十四条必须保留软硬件说明书、配置软件、配置参数等技术资 料，并存放于安全地点，有关事项按《技术资料管理制 度》及《信息系统环境标准》执行。 第八十五条对于加密格式的数据，应尽可能解密后备份，防范密钥 由于频繁更换等原因可能丢失所带来的风险。 第八十六条数据备份在周期性方面可选择采用以下四种方式： 1、 永久性的完全备份： 数据备份到存储介质后， 将介质密 封永久保存； 2、 周五做完全备份、周一至周四做增量备份； 3、 定期做覆盖方式的完全备份：在同一备份介质上覆盖原 有备份数据； 4、 定期做追加方式的完全备份： 在同一备份介质上增加最 新状态的备份； 第八十七条根据第四条中不同周期备份方式的要求，备份可选择以 下几种存储介质： 1、 写的刻录光碟（CD DV格），适合于永久备份； 2、 磁带，适合于所有备份策略； 3、 可擦写的其他存储介质（硬盘、MO^）,适合于备份策 略； 备份介质在备份操作前须经过编号，编号规则见 第八十九条。 第八十八条对于某个具体的备份对象， 原则上应仅选择一种备份方 式和备份介质实施备份。同时尽可能选择可移动的备 份介质，以利于数据备份的归档管理。除非应用系统 有特殊要求，一般情况下不采用硬盘等不可移动的备 份介质。 第八十九条备份介质编号规则 格式为：”ZB” +四位年份代码+数据来源代码+四位序列 其中数据来源代码01 代表总部数据02 代表营业部数据； 三位序列号在一个年度中从“ 0001”开始递增； 第九十条 备份的密封处理 可移动的备份介质在完成联机备份操作后，如须密封处理 则应按如下步骤操作： 1、 《备份介质密封登记表》 （见附件 9 ） ，注明备份日期、 内容、 操作人、 复核人等相关内容， 该登记表一式两份； 2、 将备份介质及相关的附件装入档案盒，同时放入一份 《备份介质密封登记表》 ，另外一份登记表贴于档案盒 封面； 3、 将档案盒封口处贴上封条，并盖上保管部门的密封章。 （注： 密封章可以是公司公章、 部门公章或备份专用章， 应当由除档案管理员之外的人员保管） 第九十一条备份的保管 根据备份方式的不同，数据备份分如下两种情况进行保管： 1、 对于永久性的完全备份， 应保留两份备份。 在密封处理后， 其中的一份交由信息技术中心档案管理员保管 （盖信息技 术中心密封章） ，另外一份交由总部档案室档案管理员保 管（盖总部档案室密封章） ； 2、 、 于定期做覆盖或追加方式的完全备份，应保留一份备份。 在脱机后，如保管时间超过七天，则须经密封处理由信息 技术中心档案管理员保管；如保管时间不超过七天，则可 有备份管理员锁于临时保管箱内交由档案管理员保管； 3、 对于周五做完全备份、周一至周四做增量备份的方式，如 采用磁带柜备份且磁带柜放置于安全的地点，则可将五天 备份所用的磁带一并放入磁带柜，实现每日自动装载和备 份；否则仍须按情况（2）的方式进行保管。 第九十二条备份的检查 1、对于永久性的完全备份，在密封保管前须通过数据导出、 检查数据完整性的复核；在密封保管后，须每隔一年进 行一次数据检查； 2、对于除永久性的完全备份以外的备份方式，应在经过了 一到两个备份周期后进行恢复测试；在备份正常运转后， 须每隔三个月进行一次恢复测试。 第九十三条 备份介质的调用程序 因日常备份操作、检查备份、数据查询等要求，需要调 用档案管理员保管的备份介质，应分以下几种情况执行 调用程序： 1、 备份由总部档案室保管，则须填写《备份介质调用申请 表》（见附表10）,由信息技术中心总经理、公司总裁或 分管信息技术中心的副总裁签字后，从档案管理员处领 取，在使用完毕后按期交回； 2、 备份密封后由信息技术中心档案管理员保管，则须填写 《备份介质调用申请表》（见附表10）,由信息技术中心 总经理签字后，从档案管理员处领取，在使用完毕后按 期交回； 3、 如备份由备份管理员放置于临时保管箱内，则须填写 《备份介质调用申请表》，由档案管理员签字即可领取。 第九十四条备份介质的销毁 对于永久性的完全备份，在密封保管后，如需要销毁， 须填写《备份介质调用申请表》，经公司总裁或分管信息 技术中心的副总裁签字后，将备份介质通过粉碎等方式 销毁。 第十节 日志记录 第九十五条 信息技术中心及营业部电脑部应对系统配置的更改、网 络用户权限的分配和更改及原因作详细记录，对机房管 第九十六条 第九十九条 第一百条 第一百零一条 第一百零二条 第一百零三条 第一百零四条 第一百零五条 第一百零六条 理系统运行情况，系统运行故障现象、时间、处理方式 等进行详细记录。营业部交易系统管理员应对增 / 删除柜 员、柜员权限变更情况进行记录；财务部经理应对业务 参数调整，更改股票、资金余额等操作进行记录。 日志记录采用标准格式，并具备相关责任人的签字。参 见附录一。 系统运行日志必须妥善保存，不得缺页，定期存档。 第十一节 安全事故处理及恢复 安全事故是指由于软硬件故障、系统配置错误、操作失 误、黑客入侵、病毒、口令盗用等原因引起系统无法 正常运行，数据或文件丢失的事件。 安全事故分成A、R C三类，其中A类指对交易产生直 接影响的事故；联指未影响交易但造成一定经济损失 的事故；C类指未影响交易也未造成经济损失，但构成 系统安全隐患的事故。 总部及各营业部应根据《计算机房管理制度》及自身 情况制定《应急处理流程》及时更新并定期演习。 《应急处理流程》的制定应涵盖通信、服务、供电、 数据、设备等，同时确定演习、通报、事故分析等内 容。 《应急处理流程》的制定应体现细致、明了的原则， 不得遗漏任何环节，保证逐条实施可以排除故障、恢 复系统运行。 事故出现后应及时处理并按公司 《 营业部技术事故 处理规定 》 的有关规定汇报。凡隐瞒不报的，追究营 业部总经理及电脑部经理的责任。 事故处理后应及时进行分析并写出分析报告， 总部相 关部门应在此基础上明确责任归属， 并向营业部通报。 人员管理 第一百零七条 系统管理员不能兼任柜台及事后稽核等工作，不得参 与相关软件开发。参加过应用系统开发的人员，不得 担任相应系统的管理员。 第一百零八条公司安全管理委员会及营业部安全管理小组应当加强 公司总部和各营业部主要岗位工作人员的录用、考核 制度，不适宜的人员必须及时调离。 第一百零九条 电脑技术人员调离时， 必须移交全部技术手册及有关资 料，并更换计算机的有关口令和密钥。涉及公司业务 核心部分开发的技术人员调离原工作岗位或公司时， 应当确认对公司计算机信息系统安全不会造成危害后 方可调离。 责任 第一百一十条违反本条例的规定，有下列行为之一的，由公司安全 管理委员会处以 警告或通报批评处分： 1、违反计算机信息系统安全管理中有关条例，危害计算机 信息系统安全的； 2、不按照规定时间报告计算机信息系统中发生的案件的； 3、接到公司安全管理委员会要求改进安全状况的通知后， 在限期内拒不改进或未完成目标的； 4、违反审批制度增设或更换设备、装置的； 5、拒绝、阻碍公司计算机安全管理组织实施安全检查的； 6、有危害计算机信息系统安全的其他行为的。 第一百一十一条计算机房不符合公司 《计算机房管理制度 》及 《信 息系统环境标准 》有关规定的，或者在计算机机房附近 施工危害计算机信息系统安全的，由公司安全管理委员 会会同有关部门进行处理 第一百一十二条 故意输入计算机病毒以及其他有害数据危害公司计 算机信息系统安全的，由公司安全管理委员会处以警告 或者罚款处分。 第十三节信息技术中心总部数据管理员职责细则 职责范围 第一百一十三条 数据管理员负责对总部应用系统数据实施备份，并实 行安全可靠的管理；对营业部上交的应用系统数据备 份进行归档和使用实行管理；掌握数据库超级用户权 限，安全规范地管理数据库系统的运行。 第一百一十四条 制定备份策略，对数据文件和数据库进行备份。与档 案管理员协作，妥善保管备份介质。 第一百一十五条 根据业务需求和用户申请创建、删除数据库，修改数 据库参数设置。 第一百一十六条 根据业务需求和用户申请创建数据库系统的登录用 户，赋予用户适当的数据库权限，包括数据库所有者 权限、数据库对象的增删改权限等；删除用户；保管 应用程序中封装的数据库用户的密码。 第一百一十七条在数据库需要进行数据和结构方面的调整时，创建 临时调试用户并交由应用系统维护人员使用，并在使 用完毕后及时删除测试用户。 第一百一十八条利用数据库系统的访问跟踪记录功能，设置对应用系 统、调试用户、超级用户访问数据库的命令进行跟踪， 记录到监控日志文件中；定期检查监控日志，发现异 常及时通报。 第一百一十九条 除上述数据库管理内容之外的方面，如定时任务的管 理，定期检查系统日志、监控参数的设置等。 数据安全管理的原则 第一百二十条 数据必须是有据的，能够辨认数据的内容、用途和使 用方法；必须经过合法的手续和规定的渠道采集、 加工、处理和传播数据；数据应只用于明确规定的 目的，未经批准不得它用；采用的数据范围应与规 定用途相符。 第一百二十一条 采用相宜的预防措施，保持数据的完整、准确、及 第一百二十二条 第一百二十三条 第一百二十四条 第一百二十五条 第一百二十六条 第一百二十七条 第一百二十八条 第一百二十九条 第一百三十条 时、可用；数据管理者应承担保存或处理数据的保 护职责，防止数据的丢失、误用或破坏；特殊或重 要数据，应采用多种记录手段异地保存，免遭 意外风险。 数据使用者有权查阅被授权的数据，索取数据记录 复制件，更正有关自身的任何不准确数据；享受有 限次数规定的有问必答权利。 制订必须的数据存取细则，采取措施防止数据被非 法修改，堵塞管理操作的疏忽或蓄谋窃取数据的漏 洞。 无正当理由和有关批准手续，不得通报数据内容， 不得泄漏数据给内部或外部的无关人员。 不应造成可从发布的统计数据中推断出保密或敏感 的信息。 建立适当的监督、管理机制，保证与数据有关的个 体和数据管理者的合法权益不被侵犯。 数据安全管理的内容 完整性 : 数据内容的完整性指的是保护数据免受 未经授权的修改。它包括单个数据完整性和数据序 列完整性。它是一系列安全性能的集合，这些性能 都与数据能被系统正确提供给目标实体有关。 保密性 : 计算机网络系统中的信息应该根据其重要 性、密级、应用需求等分别实施相应的加密措施， 保密信息不得以明文形式存储和传送。应根据信息 的重要性、密级规定及用途，决定操作人员的存取 权限和存取方式。所有的统计信息应根据其重要程 度进行密级划分，并制订相应的管理办法，确定允 许对外发布和交流的信息指标、报批权限和手续。 可用性 : 可用性保证了信息是正确可用的。在营业 部的电脑系统中，要对操作者进行职责授权、使用 授权确认。必须对采集信息的合法性、输入信息的 有效性、 业务与帐务处理的正确性进行全面的确认， 保证信息的有效性、合法性和正确性。要采用各种 有效的技术手段与岗位责任制、行政手段、法律手 段相结合的方法，确保采集、处理、存储、加工、 传输及输出的数据正确可用。 数据安全管理的具体办法 口令及权限限制：营业部的电脑部应指定一人为第一 第一百三十一条 第一百三十二条 第一百三十三条 第一百三十四条 第一百三十五条 第一百三十六条 第一百三十七条 责任人，由第一责任人掌管超级用户口令，第一责 任人必须定期修改超级用户口令，如一月修改一次, 并将口令密封后报公司电脑部备案。第一负责人应 本着：使各操作员能够圆满地完成本职工作，但与 各操作员工作无关的权限不能提供的原则，统一规 划各操作员的使用权限，并严格按照规划分配各操 作员的工作范围及权限，产生不同的毫无规律的密 码，同时要求各操作员必须性地更换密码，并严禁 相互泄漏密码。 时间限制：对部分用户程序登录和使用时间作出限 制，例如限制系统初始化只允许在某一时间内登录 等。 网络地址限制：利用网络地址对敏感用户程序登录 和使用的工作站作出限制，如限制行情接收及转换, 交易系统的后台处理及清算等程序只能在某些特定 的工作站上登录、运行。 系统的安全性：为防止外来非法程序的入侵，除电 脑机房内，其他地方上网的工作站必须为无盘站， 严禁未经许可的软盘直接上网使用。为防止病毒破 坏数据，各营业部电脑网络必须安装正版防病毒网 络软件。对于外来软盘或程序，必须先在单独的计 算机上先查病毒，保证无毒的条件下才能够上网使 用。 数据监控：在条件许可的情况下，实施监视对策， 对发生的密码输入错误、超权数据存取的情况进行 监视，对连续多次无效存取进行强制结束，并进行 记录，以便日后查阅分析。对连续多次无效存取进 行强制结束。 数据检查：每天清算后必须检查数据的正确性，如 红利、红股的上帐是否正确，配股的上帐是否正常。 一但发觉错误必须及时更正。建议各营业部采用的 交易软件具有数据检查工具包。 历史数据的更改：历史数据的更改必须有二个以上 的人员在场，并且必须记载更改的理由、更改使用 的方法及步骤，在场的人员、操作的人员以及详细 指明更改的数据内容。所有在场人员必须签名并注 明时间。 数据备份：交易数据是公司的重要资料，保存完 整的交易数据是降低经营风险、维护客户正当权益 的可靠保证，可以是财务查帐清楚明了，与股民发 生纠纷时有据可查，即使出现问题时也可以分清责 任。并且在系统发生故障时，以保证数据、文件的 恢复工作，确保在最短的时间内恢复正常工作，必 须按严格地制度进行数据备份。 第一百三十八条 数据保密：为防止数据的非法使用、修改、丢失，和 由于数据不正当的发布而引起的对营业部不利的局 面的产生，营业部做到以下保密措施： 1、 备份的数据、打印出的数据必须指定专人负责保管，由 营业部计算机房工作人员按规定的方法同数据保管负 责人进行数据的交接。交接后的数据应在指定的数据保 管室或指定的场所保管。 2、 数据保管员必须用文件管理等方法， 对数据进行登记管 理。 3、 禁止数据的外借，内部无权查阅和无正式批文的人员不 得查阅。对于经正式批文借出的数据必须登记，并由经 手人签字，便于发生数据泄漏时分清责任人。 4、 数据保管员不得修改所保管的任何数据。 工作流程 第一百三十九条数据备份 1、 根据数据库备份的具体要求，将备份任务添加到《总部 数据备份任务一览表》（附表12）; 2、从档案管理员处领取经编号的备份介质，在需要新建或更 改备份介质的内容时，须更新《总部数据备份介质内容变 更登记表》（附表10）; 3、执行《总部数据备份任务一览表》中的各备份任务； 4.将备份完毕的备份介质交档案管理员保管。在备份介质 内容有变更时，须将更新过的《总部数据备份介质内容 变更登记表》（见附表9）发送档案管理员； 第一百四十条数据库设备管理 1、 由应用系统维护员或开发人员提交《数据库操作申请表》 （附表14）; 1、 据管理员根据《申请表》的要求，新建数据库时设定数据 库的名称、大小、设备文件路径等；删除数据库时检查是 否已做最新状态的备份； 2、 在《数据库操作申请表》中“处理结果”栏填写处理结 果并签字； 3、 将《数据库操作申请表》提交档案管理员； 第一百四十一条数据库用户管理 1、 由应用系统维护员或开发人员提交《数据库操作申请表》； 2、 数据管理员根据《申请表》的要求，新建用户时设定用户 名称，赋予经批准的数据库权限；删除用户时先删除该用 户的数据库权限； 3、 在应用程序中需要封装数据库用户和密码时，数据管理员 接收应用程序的源代码，在数据库用户设置的代码段中填 入真实的用户名和密码，并编译制作安装盘；将安装盘和 源代码提交档案管理员（注：提交的源代码应不含真实的 数据库用户设置） ； 4、 在应用程序安装运行中需要输入数据库用户和密码时，由 数据库管理员输入； 5、 在《数据库操作申请表》中 “处理结果” 栏填写处理结 果并签字，在“备注”栏填写具体更改的数据库权限、安 装盘标记、输入用户和密码所在的机器名等； 6、将《数据库操作申请表》提交档案管理员； 第一百四十二条数据库调试管理 1、 由 应用系统维护员或开发人员提交《数据库操作申请表》； 2、 数 据管理员根据《申请表》的要求，新建调试用户（优先考 虑采用与操作系统用户集成的方式） ，设置权限；是否将调 试用户的密码告知调试人员，须根据《申请表》的要求； 3、 等待调试人员完成对数据库的调试后，删除调试用户； 4、 在《数据库操作申请表》 中 “处理结果” 栏填写处理结果、 注明完成调试的日期并签字； 5、 将 《数据库操作申请表》提交档案管理员； 第一百四十三条数据库访问监控 1、 安装新的数据库系统时， 填写 《数据库访问监控报表》 （附 表15） ，注明监控设置的具体方式和细节； a） 期检查监控日志文件，无论是否发现异常，均须填 写《数据库访问监控报表》 ； （注：监控日志文件对 数据管理员应设置只读的权限，因为其中记录了数 据库超级用户的操作，须由审计人员审计） ； b） 将《数据库操作申请表》提交档案管理员； 第一百四十四条数据库管理的其他方面 1、 由数据管理员填写 《数据库操作申请表》 ， 在经过批准后执 行； 2、将《数据库操作申请表》提交档案管理员； 第一百四十五条本职责细则中档案管理员、应用系统维护员、开发 人员均属信息技术中心所设岗位的人员。 第四章 计算机设备（软件）购置管理 第一条 计算机设备主要是指硬件设备包括主机（微机、服务器、工 作站等）及外围设备（显示设备、打印设备、电源设备、机 房设备等） 、网络通讯设备（交换机、路由器、集线器、调制 解调器）及存储设备等；软件是指系统软件、数据库软件、 开发工具软件、开发平台软件及业务应用软件等。 第二条 计算机设备（软件）的购置本着“五统一”原则，即统一规 划、统一标准、统一应用、统一实施、统一采购，以发挥整 体优势，节约投资，便于管理。 4、在公司系统内有广泛需求的计算机设备，由信息技术中心 统一品牌、统一价格、统一定购，各单位分别实施。 2、对于营业部个别需求的计算机设备，信息技术中心对需求 单位上报的购置计划进行审核后，可以授权需求单位按计 划自行购置。 第三条 计算机硬件配置必须同时满足如下几方面要求： 1、高效性、可靠性、兼容性、可扩展性； 2、关键设备由信息技术中心通过招标方式选定机型； 3、具有完善的售后服务； 4、对于单价20 万元以上的设备，要准备几种配置方案，经论 证后确定最优方案。 第四条 采购物品，应采取招标制或类似招标的办法，进行竞价采购， 投标公司（或报价公司）应至少在三家以上。由信息技术中心 与行政部进行此项工作，将几家公司的报价书等相关资料报主 管领导审核并对不同报价进行分析，增加透明度。要坚持做到 “公开、公平、公正”原则。 经招标方式选定后统一购买，供 各部室、中心及营业部使用。 第五条 计算机设备（软件）购置合同是经济活动中的法律依据。计算 机设备（软件）的购置必须遵守经济合同法的条款及有关规定， 合同（协议）的签订前须报公司法律办公室审定，签定时必须 由两人以上经办并经主管领导批准。 合同（协议）要建档备案。 第六条 计算机设备（软件）的购置合同（协议）应包括以下内容：设 备名称、型号、配置标准、产地、单位、数量、单价、合计金 额、交货时间、地点、验收标准、付款时间、运保费、保修期 限、维修服务、技术支持、培训及违约责任等内容。合同中需 更详细明确的条款和内容可用协议方式补充说明。 第七条 合同执行过程中，如发生违约或纠纷，各单位应及时妥善处理， 并上报公司法律中心与信息技术中心。