证券公司--信息系统管理制度汇编(可编辑).doc

《证券公司--信息系统管理制度汇编(可编辑).doc》由会员分享，可在线阅读，更多相关《证券公司--信息系统管理制度汇编(可编辑).doc（64页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、证券公司信息系统管理制度汇编（可编辑)证券公司-信息系统管理制度汇编 长城证券有限责任公司 信息系统管理 制 度 汇 编 长城证券有限责任公司 信息技术中心 前 言 随着计算机技术的迅猛发展信息系统已成为证券业各项业务顺利运转的关键设施因此保证信息系统的正常运转和防范技术风险已成为证券业工作重心之一 为了提高证券行业的整体技术水平有效地防范和化解技术风险中国证监会于1998年3月颁布了证券业的第一个技术标准 证券经营机构营业部信息系统技术管理规范试行以下简称规范将证券业的信息系统建设与管理工作纳入了规范发展的轨道 如何使规范落到实处切实做到技术管理制度化日常操作规范化是当前证券业信息系统规范化

2、建设的一项重要内容 为此公司信息技术中心根据规范要求结合公司实际情况以公司计算机应用管理科学化规范化高效安全实用集中统一为原则起草了长城证券有限责任公司信息系统管理的一系列规章制度并广泛征求了公司有关部门与部分营业部的意见最终形成这本长城证券有限责任公司信息系统管理制度汇编以下简称制度汇编 本制度汇编分为三大部分一是公司信息系统管理办法试行共有18条主要包括公司信息技术中心的工作职责证券营业部以下简称营业部电脑部的职责以及有关营业部搬迁扩租电子设备购置等事项报批程序与管理办法等二是公司信息系统管理实施细则试行共分12 章主要包括计算机应用项目立项和审批程序应用软件开发管理计算机设备购置和使用管

3、理网络管理机房管理计算机设备报废管理耗材管理防病毒管理技术文档管理以及系统安全保密管理等三是营业部信息系统管理办法试行共分 章比较详细地制定了营业部电脑部工作职责人员管理岗位设置安全及风险防范软硬件设备管理数据管理资料管理等各项规章制度 本制度汇编由公司信息技术中心统一组织实施并负责监督检查相关规章制度的贯彻执行 本制度汇编的修改解释权归公司信息技术中心 本制度汇编属公司内部资料应妥善保管注意保密 第一部分 长城证券有限责任公司 信息系统管理办法 试行 为了贯彻公司以客户为中心以利润为中心合规经营开拓创新的经营指导方针适应公司全面提升公司各项业务和管理水平逐渐形成长城经营特色争取使各项工作再上

4、一个新台阶的要求实现公司系统内计算机技术与应用的有效管理充分发挥计算机技术资源的整体优势特制定本管理办法 公司计算机应用管理工作坚持科学规范安全高效实用的原则 公司计算机应用管理实行集中统一管理的原则集中统一管理是指在公司系统内以统一规划统一标准统一应用统一实施统一采购的五统一方式分步实施推广计算机应用技术并对计算机应用进行日常管理和维护 公司设立信息技术中心下属各营业部设立电脑部公司计算机应用由信息技术中心归口管理 公司信息技术中心是全公司计算机信息系统规划管理和技术协调的主管部门各营业部电脑部在技术上接受信息技术中心的指导管理和考核在业务及行政上接受所在营业部负责人的领导和管理 信息技术中

5、心的主要职能是 保证公司的信息技术的应用具有前瞻性 保障当前投入使用的系统稳定运行 结合业务发展与技术更新及时推出高质量的新技术应用系统 建立并保持高素质的稳定的技术队伍 协助公司制定信息技术应用的整体发展策略 根据整体的发展策略制定具体的年度工作规划并组织实施 制定或改进与信息系统相关的开发维护及应用的规章制度 配合人力资源部对公司及营业部电脑人员的考核聘用任 免以及培训 协助进行公司内计算机软硬件的选型招标 审批营业部计算机软硬件购置的年度预算及相应技术鉴定审核计算机设备的购置报损报废等工作 协助公司作不定期的技术审计对营业部信息系统进行专项检查 完成总部的各应用信息系统及交易系统的日常维

6、护工作包括通讯网络系统应用安全防黑客防病毒数据备份等 负责具体指导和监营业部电脑部工作对营业部提供实时技术支持和现场服务 为公司电子商务的发展提供充分的技术支持维护更新公司的内外网站保障网上交易等各类电子商务业务的开展 技术资料的管理 公司授权的其他管理职能 公司重要职能部门及营业部下属远程网点设置计算机管理员负责本部门计算机的日常维护管理以及与上级主管技术部门的联络工作 各营业部设置电脑部负责本部门信息系统的建设日常维护管理以及与公司信息技术中心的联络工作具体职能为 化安全意识自觉遵守公司关于营业部信息系统管理的各项规章制度 负责本营业部计算机信息系统的建设管理和维护确保系统安全运行 及时处

7、理证券交易所及有关主管部门播发的涉及信息系统运行的数据文件和各类通知 负责计算机硬件设备的管理和维护保持系统处于良好的运行状态 负责本营业部信息系统的安全运行开市之前做好系统的运行准备工作开市期间实时监控系统运行状况 处理突发事件收市后配合清算员完成日结清算等盘后工作 完整准确地记录计算机信息系统的运行日志 严格按故障报告制度及时准确地处理系统出现的故障 负责交易业务数据系统数据和其他重要数据资料的备份及其管理 根据本营业部的业务发展需求提交应用系统需求报告软硬件采购计划报公司信息技术中心审批 在公司信息技术中心的安排下承担公司信息网络系统建设中涉及本营业部的有关工作 负责本营业部计算机信息系

8、统各类文档的收集整理分类归档备案 负责编制营业部计算机设备的统计报表及协助财务部拟定本营业部计算机设备报废报损计划报公司信息技术中心审核 提出本营业部计算机人员技术培训计划 负责本营业部其他业务人员计算机应用培训 紧密跟踪计算机新技术的发展为新技术的推广应用做好充分的技术准备 完成公司信息技术中心交办及本营业部总经理下达的其他工作任务 各营业部电脑部经理人选须由所在营业部提出推荐意见上 报公司经公司人力资源部会同信息技术中心进行资格审查和考核并报公司领导批准后聘任 公司各部室中心及营业部计算机网络系统的新建或整体改造必须在年初申报计划并附完整的整体设计方案和可行性论证报告由信息技术中心审批 各

9、营业部申请搬迁扩租营业面积以及涉及公司整体项目建设应根据经纪业务管理总部及财务资金总部有关上报的要求提出立项申请在经纪业务管理总部批准后再向经纪业务管理总部报送可行性分析报告与装修预算方案向信息技术中心报送计算机设备预算和技术方案由经纪业务管理总部信息技术中心分别审核批复后营业部方能实施 公司各部室中心为加强系统安全运转保证正常运营的电脑设备购置和网络改造等方面的签报直接报送公司信息技术中心信息技术中心将依据中国证监会技术监管的规范要求和公司技术发展总体纲要进行审查在总部计划财务部核定的营业部当年新增固定资产可用规模内进行核准并按月向财务资金总部提供清单不再向其他部门申报 公司设立计算机设备采

10、购小组具体负责公司计算机设备包括相关工程项目的招标评标与购置事宜 所有的计算机设备包括软件采购均须采取招标方式遵循严格规范的招标程序包括制定标书发标接标评标最后经采购小组审定后报公司主管领导审批 公司各部室中心及营业部购置的计算机设备凡属于固定资产的按公司固定资产管理办法进行管理 各营业部电脑部应每季度向信息技术中心提交书面工作报告及时反映工作动态与需解决的问题 公司各部室中心及营业部如有人员调离须事先通知公司信息技术中心以便及时清除网络登录用户并确定是否进行相关审计 本办法由公司信息技术中心负责解释 本办法自下发之日起执行此前颁布的有关规定中与本办法不一致的以本办法为准 第二部分 长城证券有

11、限责任公司 信息系统管理实施细则 试行 目 录 第一章 总 则 3 第二章 信息系统工程项目申请立项和审批程序 4错误未定义书签 第三章 信息系统安全管理制度 6错误未定义书签 第四章 计算机设备软件购置管理 30错误未定义书签 第五章 软件开发管理制度 34错误未定义书签 第六章 计算机设备使用管理 41错误未定义书签 第七章 计算机耗材及备品备件管理 43错误未定义书签 第八章 计算机机房实验室管理 44错误未定义书签 第九章 总部机房信息系统紧急事故应急处理 47 错误未定义书签 第十章 技术资料管理 55 第十一章 罚 则 56 第十二章 附 则 附表1 计算机应用项目立项申请报告 1

12、 附表2 计算机应用项目验收报告 6 附表3 计算机设备需求计划表 100 附表4 计算机设备资金需求计划表 11 附表5 计算机设备验收单 错误未定义书签 6 软件项目需求报告 1错误未定义书签 7 信息技术中心计算机用户登录表 14错误未定义书签附表8 计算机设备验收单 15错误未定义书签附表9 备份介质密封登记表 16 附表10 备份介质调用申请表 附表11 计算机耗材及备品备件领用单 18 附表12 信息技术中心总部数据备份任务一览表 19 附表13 信息技术中心总部数据备份介质内容变更登记表 20 附表14 信息技术中心数据库操作申请表 21 附表15 信息技术中心数据库访问监控报表

13、 22 第一章 总 则 为加强长城证券有限责任公司以下简称公司对计算机应用的集中统一管理规范全公司系统的计算机应用保证计算机系统和设备的正常运转根据公司信息系统管理办法制订本实施细则 本实施细则主要包括计算机应用项目立项和审批程序计算 机设备购置和使用管理应用软件开发管理计算机设备报废管理耗材管理网络管理机房管理技术文档的管理系统安全保密管理网络防病毒管理以及技术培训管理等 本办法适用于公司各部室中心及所属证券营业部以下简称营业部 第二章 信息系统工程项目申请立项和审批程序 第一条 计算机应用项目包括计算机网络系统新建与改造硬件设备与系统软件的购置升级以及应用软件开发与升级等 第二条 凡单价超

14、过五千元的计算机应用项目须填写长城证券有限责任公司计算机应用项目立项申请报告见附表1并报公司信息技术中心审批 第三条 已立项的计算机应用项目完成后由公司信息技术中心会同有关业务管理人员组成项目验收小组进行验收验收结果形成长城证券有限责任公司计算机应用项目验收报告见附表2 第四条 公司各部室中心在每年的12月31日前提出本部门下一年度的计算机应用项目建设购置及升级计划填写计算机设备需求计划表见附表3计算机设备资金需求计划表见附表4报信息技术中心 第五条 信息技术中心根据公司信息系统建设总体规划和各部室中心及营业部提交的计划汇总制定公司下一年度计算机应用项目购建计划报请公司批准后执行 第六条 对于

15、计划外的计算机应用项目除特殊应急项目特批外其他原则上不予审批 第七条 对于投资较大建设周期较长涉及面广的计算机应用项目信息技术中心将邀请业务需求部门营业部电脑人员及有关专家进行技术论证和评审原则上采用统一招标统一推广的方式 第三章 信息系统安全管理制度 总 则 第一条 为了加强对公司信息系统的安全管理防范和化解各种技术风险保护投资者利益维护公司的合法权益确保公司各项业务的顺利开展根据中华人民共和国计算机信息系统安全保护条例证券经营机构营业部信息系统技术管理规范试行及有关规定制定本制度 第二条 信息系统安全管理涉及安全管理组织建设安全策略系统环境安全软件安全设备实体安全网络和通讯系统安全用户及权

16、限管理操作安全病毒防范系统备份日志记录事故处理以及安全审计等内容公司信息技术工作应在本制度指引下本着安全第一的原则进行 第三条 本制度适用于长城证券公司总部各地区总部及各营业部 组织和职责 第四条 信息系统安全管理实行公司总裁负责的公司安全管理委员会和营业部总经理负责的营业部安全管理小组两级管理制度 第五条 公司安全管理委员会下设安全工作小组作为执行机构定期对公司范围信息系统的安全性作出评价必要时提出提高安全性的建议 第六条 公司安全管理委员会的职责包括建立健全公司各种安全制度对安全工作小组的工作进行授权对公司各类信息的重要性进行评估为其安全级别的制定提供依据对安全工作小组有关报告的讨论和批复

17、安全事故处理结果的公布取得法律支持以解决信息系统入侵者的问题以及进行安全教育和安全检查 第七条 营业部安全管理小组的职责包括监督和检查各项安全管理制度在营业部的落实情况定期向公司安全管理委员会提交工作报告处理公司安全管理委员会授权的事务配合公司安全工作小组的工作开展计算机安全教育保证营业部信息系统安全运行 安全策略 第八条 计算机信息系统的建设和应用应当遵守法律行政法规和国家其他有关规定对计算机信息系统中发生的案件24小时内向报告 第十一条 建立一个多层次的安全系统在信息的安全和共享之间建立平衡 第十二条 对公司员工进行计算机安全教育提高员工的安全意识是公司安全策略的重要组成部分 第十三条 营

18、业部安全管理小组必须定期对本的主要计算机信息系统资源配置技术人员构成进行登记报备案对重要岗位计算机信息系统的安全情况经常进行检查及时整改不安全隐患应当建立废弃数据介质的处理制度启用新的应用软件应当按中有关规定业务系统并做好日志记录应当建立严格的密钥管理制度和在紧急情况下销毁密钥的手段和措施以防止密钥的失密对计算机信息系统安全保护工作行使下列监督职权监督检查指导计算机信息系统安全保护工作查处危害计算机信息系统安全的组织或委托有关部门对新建改建和扩建的系统进行安全验收负责系统安全技术检测工作组织开展系统安全竞赛和评比负责通报表彰和处罚履行计算机信息系统安全保护工作的其他监督职责发现影响计算机信息系

19、统安全的隐患时应当及时通知采取安全保护措施在紧急情况下可以就涉及计算机信 息系统安全的特定事项发布专项 安全管理 第一节 信息系统环境的安全管理 第二十一条 信息系统环境的安全管理按照公司计算机房管理制度及信息系统环境标准执行 第二节 软件安全管理 第二十二条 总部信息技术中心依据公司软件开发管理制度对系统软件应用软件的开发购买测试和使用等环节进行管理 第二十三条 软件的开发和采购报告必须包括安全设计的说明其安全设计必须符合软件开发管理制度的有关规定 第二十四条 信息技术人员应按照信息技术中心下发的安装配置方法对系统软件进行统一的安装配置 第二十五条 信息系统的安全漏洞一经发现应及时报告公司安

20、全管理委员会 第二十六条 信息技术中心应与软件开发商和供应商保持联系及时取得并组织安装经过测试的安全补丁 第二十七条 软件使用部门根据业务需要提出增添新的应用软件或对已有应用软件提出新的功能要求须以部门名义向信息技术中心填写软件需求报告表 信息技术中心在收到软件需求报告表附表5后三天之内给予书面答复 第二十八条 新购置的软件需经信息技术中心测试和试运行试运行完成后试用人员应填写软件验收报告表附表6报信息技术中心领导审核信息技术中心在收到报告后三天内予以回复测试稳定后由信息技术中心统一分发安装使用 第二十九条 自行开发的应用软件如源程序中需要嵌入数据库访问的用户设置应由数据管理员得到源程序制作安

21、装盘该安装盘与购置的应用软件安装盘一并由档案管理员保管由应用系统维护人员调用安装 第三节 计算机及相关设备的安全管理 第三十条 总部信息技术中心配合行政部及财务部依据公司电子与通讯设备固定资产管理制度对计算机及相关设备的选型采购等过程进行管理 第三十一条 重要的服务器工作站网络设备通讯设备应放置在机房通过计算机房管理制度保证其物理安全性 第三十二条 重要的服务器工作站网络设备通讯设备应有备品备件出现问题及时更换 第三十三条 对服务器及其资源的管理 1对资源共享权限和NTFS访问权限进行严格有效的管理不授予用户超出需要的权限权限的设置必须有明确的依据 2制定方案对敏感资源的操作系统登录情况进行定

22、期或不定期检查及时查看L系统日志文件对ALERT相关日志提示作出及时响应 3WEB服务的服务器不存放敏感数据 4 如Telnetftp等 的使用应加强控制停止服务器上不必要的服务尽量减少所使用的协议 第三十四条 对贮有重要数据的故障设备交外单位人员修理时必须派专人在场监督 第三十五条 计算机系统的建设和应用应当遵守法律行政法规和国家其他有关规定 第三十七条 采用数据加密技术保证数据安全传输总部和营业部间业务数据的传输应加密后采用数据专线进行传输并采用PPP协议中PAPCHAP相应的认证 第三十八条 总部和营业部间业务数据的传输应加密后采用数据专线进行传输 第三十九条 通信设备应具有防干扰防截取

23、能力主要的通信设备应做到设备备份 第四十条 通信线路接口部分应采取防止非法进入的安全措施 第四十一条 进行密码设置并进行密码的专职保管防范通信线路接口部分的采取非法进入 第四十二条 公司总部及营业部应当对情况进行检查及时整改不安全隐患对系统中发生的案件Internet接入设备进行管理以及其它保证网络连接安全稳定的日常事务性工作 第四十五条 营业部的局域网管理营业部与交易所登记公司公司总部的通讯连接由营业部电脑部负责营业部柜台交易系统管理员由营业部总经理担任 第四十六条 营业部与交易所的卫星通信均应做到伙伴备份或isdn或ddn的备份对上海报盘应做到总部备份对以上备份系统做到定期测试保证通信无误

24、 第四十七条 为了安全期间营业部与营业部之间应限制相互间的直接操作 数据访问的安全管理 第四十八条 由于审计数据库故障调试等原因需要访问数据库时应创建临时用户赋予适当的权限并交由审计人员应用系统维护人员使用并在使用完毕后及时删除该临时用户在技术允许的条件下应限制用户的登录工作站 第四十九条 对于涉及业务财务方面的数据库应利用数据库系统的访问跟踪记录功能设置对应用系统调试用户超级用户访问数据库的命令进行跟踪记录到监控日志文件中定期检查监控日志发现异常及时通报 第五节 管理员及其职责 第五十条 总部信息技术中心设系统管理员岗位负责公司信息系统的管理包括服务器的规划安装和配置启动停止系统和服务对系统

25、运行状态和入侵企图进行监控安装删除软件增加删除修改用户和用户组对用户用户组的权限进行设置和修改以及其它保持系统发展和安全运行的工作 管理员应采取的安全措施有 1由于管理员组和备份组成员拥有对SAM数据库的权限所以必须严格限制管理员组和备份组成员资格并加强对这些帐户的审计 2改变Administrator帐户名为管理员和备份操作员创建专用帐号为特定的工作建立专用的帐号要求在执行相应的管理任务时使用相应的帐号操作结束时及时注销 3关闭管理员以及特殊权限用户的远程访问能力特殊情况可以采用预设电话号码的回拨方式 4管理员组备份组成员帐户不能用于浏览WEB 第五十一条 总部信息技术中心设数据管理员岗位负

26、责总部数据的安全管理和维护具体职责见信息系统安全管理制度第十三节总部数据管理员职责细则 第五十二条 总部信息技术中心设网络管理员岗位负责公司广域网连接方案网络安全方案的实施对总部局域网公司广域网连接各类移动连接Internet接入设备进行管理以及其它保证网络连接安全稳定的日常事务性工作 第五十三条 营业部的局域网管理营业部与交易所登记公司公司总部的通讯连接由营业部电脑部负责营业部柜台交易系统管理员由营业部总经理担任 第五十四条 公司设立财务系统管理员岗位财务系统管理员一般由财务部经理担任 第六节 用户组及其权限 第五十五条 系统管理员根据公司业务要求建立具有不同权限的用户组包括系统管理权限系统

27、和数据备份权限帐号管理权限各种数据库访问权限不同的文件访问权限各种应用程序使用权限网络打印权限远程访问权限Internet访问权限等 第五十六条 总部系统管理员应依据总部行政部的书面通知完成新增删除用户分配权限的工作并用邮件方式回复上述通知应包括需要新增删除的用户的姓名工作的部门需要使用何种应用等 第五十七条 营业部因人员新增调动离职等需对邮件等用户作出调整的由营业部办公室主任通知信息技术中心 第五十八条 营业部交易系统管理员新增删除柜台用户或对用户权限进行分配应有文字记录对股票资金等参数进行调整的非正常业务操作必须填写书面说明而且必须由营业部总经理及财务部经理共同批准后方能执行 第五十六条

28、营业部技术人员在应用系统中的权限应只限于系统管理而无业务操作权限 第五十九条 对用户及权限管理应按以下原则执行 1应对具有系统管理数据库管理等特殊权限的用户进行限制包括仅允许在机房和自己的工作地点登录同一时间仅允许同一用户登录一次允许远程访问时必须设定回拨方式等 2尽可能对组而不是对用户授权 3杜绝无口令的登录帐户删除GUEST帐户 4对口令长度复杂程度有效期重复使用的间隔等进行规定 5及时锁定过期帐户暂停使用的帐户多次试图使用无效口令登录的帐户临时授权帐户必须及时取消 6一般不设公用帐户以保证用户有独立的帐户 7对使用时间进行限制 8超时锁定 9对无法设置口令的用户及公用帐户应加强登录时间登

29、录地点登录数目的限制对自动执行批处理命令的用户应有防中断措施 10权限变更或交接应有文字记载 第六十条 对使用公司网络访问Internet使用打印机等的用户实行严格管理 操作的规范化管理 第六十一条 总部和营业部应分别制定操作规程并定期修改 第六十二条 禁止同一人掌管操作系统口令和数据库管理系统口令 第六十三条 公司员工应有互不相同的用户名定期两个月更换操作口令 第六十四条 一般用户口令长度不得少于6位不使用小键盘的人员编制口令应做到字符与数字混排不得使用电话号码生日等作为口令系统管理员口令不得少于10位 第六十五条 严禁泄露自己的口令必须启用系统软件提供的安全审计留痕功能 第六十六条 各岗位

30、操作权限要严格按岗位职责设置管理员不得超越用户职责授权管理员应定期检查操作员的权限 第六十七条 营业部总经理应及时审计交易系统柜员所做的操作重要岗位的登录过程应增加必要的限制措施 第六十八条 柜台交易系统技术参数的调整由电脑部经理负责交易业务参数的调整由财务部经理在履行审批手续后实施禁止电脑技术人员调整业务参数 第六十九条 营业部电脑技术人员可以协助但不得担任清算员从事结算记帐工作有关数据需打印存档的必须使用连续的打印纸 第七十条 建立和完善技术监管系统定期进行独立的对帐核对交易数据清算数据保证金数据证券托管数据以及会计数据的一致性和连续性 第七十一条 对数据备份和审计记录建立定期查验制度 第

31、八节 病毒防范 第七十二条 信息技术中心应指定专人负责计算机病毒防范工作总部及营业部应定期进行病毒检测发现病毒立即处理并报告重要部门的计算机应当指定专人专管计算机病毒防范工作 第七十三条 总部和营业部必须配备公安部认可的正版防病毒软件并及时更新软件版本 第七十四条 经远程通信传送的程序或数据必须经过检测确认无病毒后方可使用 第七十五条 禁止运行未经信息技术中心审核批准的软件 第七十六条 新系统安装前应进行病毒例行检测避免使用盗版软件 第七十七条 严格限制软驱和光驱的使用软驱和光驱的使用按信息系统环境标准的有关条款执行 第七十八条 在使用modem与外界通讯或能够访问Internet的计算机上应

32、安装病毒实时监控软件 第七十九条 因计算机病毒引起的计算机信息系统瘫痪程序和数据严重破坏等重大事故及时向信息技术中心领导及电脑安全管理小组报告 第八十条 公司总部员工须与信息技术中心签定电脑安全承诺书后才能领用和使用办公电脑 第九节 备份 第八十一条 按照信息系统环境标准的有关规定对系统进行备份 第八十二条 营业部必须对交易数据等进行备份备份数据存放按公司技术资料管理制度和信息系统安全管理制度 执行 第八十三条 系统管理员必须提取有关系统的配置参数并在修改参数后及时更新 第八十四条 必须保留软硬件说明书配置软件配置参数等技术资料并存放于安全地点有关事项按技术资料管理制 度及信息系统环境标准执行

33、 第八十五条 对于加密格式的数据应尽可能解密后备份防范密钥由于频繁更换等原因可能丢失所带来的风险 第八十六条 数据备份在周期性方面可选择采用以下四种方式 永久性的完全备份数据备份到存储介质后将介质密封永久保存 周五做完全备份周一至周四做增量备份 定期做覆盖方式的完全备份在同一备份介质上覆盖原有备份数据 定期做追加方式的完全备份在同一备份介质上增加最新状态的备份 第八十七条 根据第四条中不同周期备份方式的要求备份可选择以下几种存储介质 1 写的刻录光碟CDDVD等适合于永久备份 2 磁带适合于所有备份策略 3 可擦写的其他存储介质硬盘MO等适合于备份策略 备份介质在备份操作前须经过编号编号规则见

34、第八十九条 第八十八条 对于某个具体的备份对象原则上应仅选择一种备份方式和备份介质实施备份同时尽可能选择可移动的备份介质以利于数据备份的归档管理除非应用系统有特殊要求一般情况下不采用硬盘等不可移动的备份介质 第八十九条 备份介质编号规则 格式为ZB四位年份代码数据来源代码四位序列号 其中数据来源代码 01代表总部数据 02代表营业部数据 三位序列号在一个年度中从0001开始递增 如ZB2001010001代表本备份介质是在总部保存的2001年总部数据的第0001号备份 第九十条 备份的密封处理 可移动的备份介质在完成联机备份操作后如须密封处理则应按如下步骤操作 备份介质密封登记表见附件9注明备

35、份日期内容操作人复核人等相关内容该登记表一式两份 将备份介质及相关的附件装入档案盒同时放入一份备份介质密封登记表另外一份登记表贴于档案盒封面 将档案盒封口处贴上封条并盖上保管部门的密封章注密封章可以是公司公章部门公章或备份专用章应当由除档案管理员之外的人员保管 第九十一条 备份的保管 根据备份方式的不同数据备份分如下两种情况进行保管 1 对于永久性的完全备份应保留两份备份在密封处理后其中的一份交由信息技术中心档案管理员保管盖信息技术中心密封章另外一份交由总部档案室档案管理员保管盖总部档案室密封章 于定期做覆盖或追加方式的完全备份应保留一份备份在脱机后如保管时间超过七天则须经密封处理由信息技术中

36、心档案管理员保管如保管时间不超过七天则可有备份管理员锁于临时保管箱内交由档案管理员保管 对于周五做完全备份周一至周四做增量备份的方式如采用磁带柜备份且磁带柜放置于安全的地点则可将五天备份所用的磁带一并放入磁带柜实现每日自动装载和备份否则仍须按情况2的方式进行保管 第九十二条 备份的检查 1 对于永久性的完全备份在密封保管前须通过数据导出检查数据完整性的复核在密封保管后须每隔一年进行一次数据检查 2 对于除永久性的完全备份以外的备份方式应在经过了一到两个备份周期后进行恢复测试在备份正常运转后须每隔三个月进行一次恢复测试 第九十三条 备份介质的调用程序 因日常备份操作检查备份数据查询等要求需要调用

37、档案管理员保管的备份介质应分以下几种情况执行调用程序 备份由总部档案室保管则须填写备份介质调用申请表见附表10由信息技术中心总经理公司总裁或分管信息技术中心的副总裁签字后从档案管理员处领取在使用完毕后按期交回 备份密封后由信息技术中心档案管理员保管则须填写备份介质调用申请表见附表10由信息技术中心总经理签字后从档案管理员处领取在使用完毕后按期交回 如备份由备份管理员放置于临时保管箱内则须填写备份介质调用申请表由档案管理员签字即可领取 第九十四条 备份介质的销毁 对于永久性的完全备份在密封保管后如需要销毁须填写备份介质调用申请表经公司总裁或分管信息技术中心的副总裁签字后将备份介质通过粉碎等方式销

38、毁 第十节 日志记录 第九十五条 信息技术中心及营业部电脑部应对系统配置的更改网络用户权限的分配和更改及原因作详细记录对机房管理系统运行情况系统运行故障现象时间处理方式等进行详细记录营业部交易系统管理员应对增删除柜员柜员权限变更情况进行记录财务部经理应对业务参数调整更改股票资金余额等操作进行记录 第九十六条 日志记录采用标准格式并具备相关责任人的签字参见附录一 第九十九条 系统运行日志必须妥善保存不得缺页定期存档 第十一节 安全事故处理及恢复 第一百条 安全事故是指由于软硬件故障系统配置错误操作失误黑客入侵病毒口令盗用等原因引起系统无法正常运行数据或文件丢失的事件 第一百零一条 安全事故分成A

39、BC三类其中A类指对交易产生直接影响的事故B类指未影响交易但造成一定经济损失的事故C类指未影响交易也未造成经济损失但构成系统安全隐患的事故 第一百零二条 总部及各营业部应根据计算机房管理制度及自身情况制定应急处理流程及时更新并定期演习 第一百零三条 应急处理流程的制定应涵盖通信服务供电数据设备等同时确定演习通报事故分析等内容 第一百零四条 应急处理流程的制定应体现细致明了的原则不得遗漏任何环节保证逐条实施可以排除故障恢复系统运行 第一百零五条 事故出现后应及时处理并按公司营业部技术事故处理规定的有关规定汇报凡隐瞒不报的追究营业部总经理及电脑部经理的责任 第一百零六条 事故处理后应及时进行分析并

40、写出分析报告总部相关部门应在此基础上明确责任归属并向营业部通报 人员管理 第一百零七条 系统管理员不能兼任柜及事后稽核等工作不得参与相关软件开发参加过应用系统开发的人员不得担任相应系统的管理员应当加强主要岗位工作人员的录用考核制度不适宜的人员必须及时调离人员调离时必须移交全部技术手册及有关资料并更换计算机的有关口令和密钥涉及业务核心部分开发的技术人员调离时应当确认对系统安全不会造成危害后方可调离违反本条例的规定有下列行为之一的由处以警告违反计算机信息系统安全危害计算机信息系统安全的不按照规定时间报告计算机信息系统中发生的案件的接到要求改进安全状况的通知后在限期内拒不改进的违反审批制度增设或更换

41、设备装置的拒绝阻碍实施安全检查的有危害计算机信息系统安全的其他行为的计算机房不符合有关规定的或者在计算机机房附近施工危害计算机信息系统安全的由会同有关进行处理故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的由处以警告或者罚款 职责范围 第一百一十三条 数据管理员负责对总部应用系统数据实施备份并实行安全可靠的管理对营业部上交的应用系统数据备份进行归档和使用实行管理掌握数据库超级用户权限安全规范地管理数据库系统的运行 第一百一十四条 制定备份策略对数据文件和数据库进行备份与档案管理员协作妥善保管备份介质 第一百一十五条 根据业务需求和用户申请创建删除数据库修改数据库参数设置 第一百一十六

42、条 根据业务需求和用户申请创建数据库系统的登录用户赋予用户适当的数据库权限包括数据库所有者权限数据库对象的增删改权限等删除用户保管应用程序中封装的数据库用户的密码 第一百一十七条 在数据库需要进行数据和结构方面的调整时创建临时调试用户并交由应用系统维护人员使用并在使用完毕后及时删除测试用户 第一百一十八条 利用数据库系统的访问跟踪记录功能设置对应用系统调试用户超级用户访问数据库的命令进行跟踪记录到监控日志文件中定期检查监控日志发现异常及时通报 第一百一十九条 除上述数据库管理内容之外的方面如定时任务的管理定期检查系统日志监控参数的设置等 数据安全管理的原则 第一百二十条 数据必须是有据的能够辨

43、认数据的内容用途和使用方法必须经过合法的手续和规定的渠道采集加工处理和传播数据数据应只用于明确规定的目的未经批准不得它用采用的数据范围应与规定用途相符 第一百二十一条 采用相宜的预防措施保持数据的完整准确及时可用数据管理者应承担保存或处理数据的保护职责防止数据的丢失误用或破坏特殊或重要数据应采用多种记录手段 异地保存免遭意外风险 第一百二十二条 数据使用者有权查阅被授权的数据索取数据记录复制件更正有关自身的任何不准确数据享受有限次数规定的有问必答权利 第一百二十三条 制订必须的数据存取细则采取措施防止数据被非法修改堵塞管理操作的疏忽或蓄谋窃取数据的漏洞 第一百二十四条 无正当理由和有关批准手续

44、不得通报数据内容不得泄漏数据给内部或外部的无关人员 第一百二十五条 不应造成可从发布的统计数据中推断出保密或敏感的信息 第一百二十六条 建立适当的监督管理机制保证与数据有关的个体和数据管理者的合法权益不被侵犯 数据安全管理的内容 第一百二十七条 完整性 数据内容的完整性指的是保护数据免受未经授权的修改它包括单个数据完整性和数据序列完整性它是一系列安全性能的集合这些性能都与数据能被系统正确提供给目标实体有关 第一百二十八条 保密性 计算机网络系统中的信息应该根据其重要性密级应用需求等分别实施相应的加密措施保密信息不得以明文形式存储和传送应根据信息的重要性密级规定及用途决定操作人员的存取权限和存取

45、方式所有的统计信息应根据其重要程度进行密级划分并制订相应的管理办法确定允许对外发布和交流的信息指标报批权限和手续 第一百二十九条 可用性 可用性保证了信息是正确可用的在营业部的电脑系统中要对操作者进行职责授权使用授权确认必须对采集信息的合法性输入信息的有效性业务与帐务处理的正确性进行全面的确认保证信息的有效性合法性和正确性要采用各种有效的技术手段与岗位责任制行政手段法律手段相结合的方法确保采集处理存储加工传输及输出的数据正确可用 数据安全管理的具体办法 第一百三十条 口令及权限限制营业部的电脑部应指定一人为第一责任人由第一责任人掌管超级用户口令第一责任人必须定期修改超级用户口令如一月修改一次并

46、将口令密封后报公司电脑部备案第一负责人应本着使各操作员能够圆满地完成本职工作但与各操作员工作无关的权限不能提供的原则统一规划各操作员的使用权限并严格按照规划分配各操作员的工作范围及权限产生不同的毫无规律的密码同时要求各操作员必须性地更换密码并严禁相互泄漏密码 第一百三十一条 时间限制对部分用户程序登录和使用时间作出限制例如限制系统初始化只允许在某一时间内登录等 第一百三十二条 网络地址限制利用网络地址对敏感用户程序登录和使用的工作站作出限制如限制行情接收及转换交易系统的后台处理及清算等程序只能在某些特定的工作站上登录运行 第一百三十三条 系统的安全性为防止外来非法程序的入侵除电脑机房内其他地方

47、上网的工作站必须为无盘站严禁未经许可的软盘直接上网使用为防止病毒破坏数据各营业部电脑网络必须安装正版防病毒网络软件对于外来软盘或程序必须先在单独的计算机上先查病毒保证无毒的条件下才能够上网使用 第一百三十四条 数据监控在条件许可的情况下实施监视对策对发生的密码输入错误超权数据存取的情况进行监视对连续多次无效存取进行强制结束并进行记录以便日后查阅分析对连续多次无效存取进行强制结束 第一百三十五条 数据检查每天清算后必须检查数据的正确性如红利红股的上帐是否正确配股的上帐是否正常一但发觉错误必须及时更正建议各营业部采用的交易软件具有数据检查工具包 第一百三十六条 历史数据的更改历史数据的更改必须有二个以上的人员在场并且必须记载更改的理由更改使用的方法及步骤在场的人员操作的人员以及详细指明更改的数据内容所有在场人员必须签名并注明时间 第一百三十七条 数据备份交易数据是公司的重要资料保存完整的交易数据是降低经营风险维护客户正当权益的可靠保证可以是财务查帐清楚明了与股民发生纠纷时有据可查即使出现问题时也可以分清责任并且在系统发生故障时以保证数据文件的恢复工作确保在