证券经营机构营业部信息系统技术管理规范（试行）

第一章　总　则

第一节　目　标

1　11　最大程度地防范技术操作风险，保护投资者利益，维护证券经营机构的合法权益，促进证券市场健康发展。

112　充分吸收国外先进经验和国内计算机信息技术应用成果，推动信息系统建设与技术管理水平的协调发展，提高证券行业的整体技术水平。

113　指导证券经营机构下属证券营业部(以下简称营业部)加强计算机信息系统的优化建设和安全管理，加强计算机信息技术人员的管理，防止数据遗失、损坏、篡改、泄漏，提高系统运行的安全性、可靠性与稳定性。

第二节　原　则

121　安全性原则。营业部在信息系统的设计、开发、运行、维护各环节和硬件、软件、网络通讯、数据、管理制度各方面，都必须贯彻安全性原则。应当把安全措施落实到信息技术管理的每个环节、每个方面;应当使从业人员牢固树立技术风险的防范意识。

122　实用性原则。营业部应当加强信息技术管理，注重采用先进成熟技术。在确保系统安全的前提下，力求避免因不切实际地提高系统安全级别而造成投资浪费;避免因引用任何未经消化吸收的境外安全保密技术和设备而对信息技术管理造成消极影响。

123　可操作性原则。信息技术管理规范必须具有可操作性。营业部根据本规范细化与完善其信息技术管理制度时，也应当力求简单明确，便于对照检查，便于操作。

第三节　制定与实施

131　根据《中华人民共和国计算机信息系统安全保护条例》及有关规定，结合我国证券业具体情况，制定本规范。

132　本规范由中国证券监督管理委员会发布和监督实施。

133　本规范原则上每两年修订一次。

134　本规范由中国证券监督管理委员会负责解释。

第二章　管理体系

第一节　组织结构

211　各证券经营机构计算机信息技术工作必须实行统一归口管理，建立健全组织机构。证券经营机构应设立计算机信息系统管理部门(以下称电脑中心)，营业部相应设立计算机工作管理部门(以下称电脑部).

212　电脑中心是证券经营机构信息系统规划、建设、管理的主管部门。电脑中心内部应建立职责明确、相互制约的分工体系，可设置运行、开发、管理等工作部门。电脑中心的主要职能是：

(1)负责制定与信息系统相关的规章制度;

(2)负责信息系统建设的总体规划并组织实施;

(3)根据证券经营机构业务目标与计划制定计算机工作计划并组织实施;

(4)审核营业部电脑负责人的任职资格;

(5)负责信息技术人员的培训与考核;

(6)负责计算机硬件与软件的选型;

(7)审核计算机硬件设备的购置、报损、报废;

(8)负责计算机软件的开发与购买;

(9)保障信息系统安全运行，为营业部提供技术支持;

(10)负责交易业务数据及其它重要数据的备份管理;

(11)负责技术资料的管理;

(12)负责对营业部的信息系统进行定期或不定期的专项检查;

(13)指导和监督电脑部工作;

(14)跟踪研究信息技术的发展;

(15)公司授权的其它管理职能。

213　电脑部负责本营业部信息系统日常的运行、管理与维护。电脑部在技术上接受电脑中心的管理、指导和考核。电脑部的主要职能是：

(1)负责本营业部信息系统的安全运行，开市之前做好系统的运行准备工作，开市期间实时监控系统的运行状况，收市以后配合清算员完成日结清算等盘后工作;

(2)及时处理证券交易所及有关部门播发的涉及信息系统运行的数据与文件;

(3)负责对本营业部业务人员进行计算机操作指导，协助电脑中心对有关业务人员进行技术培训;

(4)完整、准确地记录信息系统的运行日志，详细记载发生异常时的现象、时间、处理方式等内容并妥善保存有关原始资料，发生技术事故及时报告;

(5)负责计算机硬件设备的管理和维护，保持系统处于良好的运行状态;

(6)负责交易业务数据及其它重要数据的备份;

(7)根据营业部业务发展的要求，提交软件需求报告及硬件采购计划;

(8)编制营业部计算机设备的维修、报损、报废计划，报电脑中心审核;

(9)处理经电脑中心核准的其它事务。

第二节　人员管理

221　为保障信息系统的开发与运行管理质量，证券经营机构营业部信息技术人员编制应不少于总人数的百分之十。

222　信息技术人员应具备大专以上学历，具有计算机基础理论知识和专业技术经验、较强的业务工作能力和再学习能力、良好的职业道德和服务意识，富有敬业精神和团队合作精神。

223　禁止录用有犯罪或其他严重违法行为记录的人员从事证券行业计算机工作。

224　关键技术岗位必须经过严格考核，合格后方可上岗。

225　电脑中心应配合人事部门定期对信息技术人员进行考核。

226　定期对信息技术人员进行业务培训和技术培训，不合格或未参加培训者严禁上岗。

227　营业部电脑负责人之间应定期或不定期轮换。

228　离岗人员必须严格办理离岗手续，明确其离岗后的保密义务，退还全部技术资料。信息系统的口令必须立即更换。

第三节　安全管理

231　建立计算机安全管理组织，证券经营机构要指定一职能部门负责公司及所属营业部的计算机安全管理。由公司总经理(总裁)主管计算机安全工作，营业部负责人为营业部计算机安全工作责任人。

232　计算机安全管理组织的主要任务是：制定计算机安全管理制度，广泛开展计算机安全教育，定期或不定期进行计算机安全检查，保证计算机系统安全运行。

233　计算机安全管理的主要内容包括安全防范设施和安全保障机制，以有效降低系统风险和操作风险，预防不法分子利用计算机作案。

234　建立计算机机房安全管理制度

(1)建立完整的计算机运行日志、操作记录及其它与安全有关的资料;

(2)交易时间内机房必须有当班值班人员;

(3)定期检查安全保障设备，确保其处于正常工作状态;

(4)建立并严格执行机房进出管理制度，无关人员未经安全责任人批准严禁进出机房;

(5)严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。

235　建立操作安全管理制度

(1)应采取严密的安全措施防止无关用户进入系统;

(2)数据库管理系统的口令必须由电脑中心专人掌管，并要求定期更换。禁止同一人掌管操作系统口令和数据库管理系统口令;

(3)操作人员应有互不相同的用户名，定期更换操作口令。严禁操作人员泄露自己的操作口令;

(4)必须启用系统软件提供的安全审计留痕功能;

(5)各岗位操作权限要严格按岗位职责设置。应定期检查操作员的权限;

(6)重要岗位的登录过程应增加必要的限制措施;

(7)营业部计算机信息技术人员不得担任清算员从事结算记账工作;

(8)建立和完善技术监管系统，定期进行独立的对账，核对交易数据、清算数据、保证金数据、证券托管数据以及会计数据的一致性和连续性;

(9)对数据备份和审计记录建立定期查验制度。

236　建立计算机病毒防范制度

(1)电脑中心应指定专人负责计算机病毒防范工作。电脑部应定期进行病毒检测，发现病毒立即处理并报告;

(2)新系统安装前应进行病毒例行检测;

(3)经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用;

(4)禁止运行未经电脑中心审核批准的软件;

(5)应采用国家许可的正版防病毒软件并及时更新软件版本。

第四节　技术资料管理

241　技术资料是指与信息系统有关的技术文件、图表、程序与数据，包括信息系统建设规划、网络设计方案、软件设计方案、安全设计方案、源代码、系统配置参数、技术数据及相关技术资料。

242　各级管理机构应制定技术资料的管理制度，明确执行管理制度的责任人。

243　借阅、复制技术资料应履行必要的手续。

244　重要技术资料应有副本并异地存放。

245　技术资料应实施密期管理办法。

246　报废的技术资料应有严格的销毁和监销制度。

第三章　硬件设施

第一节　计算机机房

311　计算机机房建设应符合国标GB2887-89《计算站场地技术条件》和GB9361-88《计算站场地安全要求》.

312　供电系统

(1)机房应有单独的配电柜，计算机系统要设有独立于一般照明电的专用的供配电线路，其容量应有一定的余量，建议采用双路供电;

(2)机房应配备不间断电源设备，其容量应保证机房设备和关键交易设备在断电情况下维持到后备电源供电。无备用发电机时，不间断电源设备应能够持续供电4小时以上。

313　接地与防雷系统

(1)机房应采用独立的工作地和防雷保护地。工作地和防雷保护地之间的距离应大于10米;

(2)工作地的接地电阻应小于4欧姆，防雷保护地的接地电阻应小于10欧姆;

(3)各类通信线路和设备宜增加相应的防雷设施。

314　机房环境

(1)机房的使用面积(不包括不间断电源放置面积)不得小于30平方米;

(2)机房的操作间与设备间应作分隔，布局应有良好的人机工作环境，保障工作人员的安全与健康;

(3)机房宜安装独立空调设备;

(4)机房应有防火、防潮、防尘、防盗、防磁、防鼠等设施;

(5)机房应配置备用应急照明装置。

第二节　远程通信

321　证券经营机构与所属营业部之间必须建立可靠的通信线路联接。

322　营业部与交易所之间的通信联接必须安全可靠。

323　重要通信线路必须建立后备线路。

324　通信线路接口部分应采取防止非法进入的安全措施。

325　通信设备应具有防干扰、防截取能力，具有加密传输功能。

326　通信设备应建立设备备份。

第三节　计算机设备

331　服务器

(1)服务器应具有充分的可靠性和充足的容量;

(2)服务器应具有一定的容错特性，宜采用镜像、阵列、双机、群集等容错技术;

(3)服务器应有备品备件。

332　工作站

(1)工作站应具有良好的性能及可靠性;

(2)除计算机机房外，一律使用无软驱或光驱等可卸存储装置的网络工作站;

(3)重要工作站应有冗余备份。

333　数据存储设备

(1)应配备安全可靠的数据备份设备;

(2)交易业务数据的存储应采用只读式数据记录设备。

第四节　局域网络

341　布线系统设计可参照CECS72∶97《建筑与建筑群综合布线系统工程设计规范》. 在现行技术条件下，不宜继续使用同轴细缆。

342　网络结构应合理可靠。

343　网络设备应兼具技术先进性和产品成熟性。

344　网络设备应有冗余备份。

345　通信速率应保证正常业务开展的需要。

第五节　电子交易设备

351　营业部配备的电子交易系统必须达到一定的安全级别。

352　客户操作电子交易设备应有严格的身份识别机制。

353　应采取适当措施，保证设备完好率不低于百分之九十。

354　各种形式的远程交易系统必须采取严格的安全措施。

355　营业部交易场所应配备行情揭示设备，完整、准确、及时地显示行情信息。

第六节　设备管理

361　电脑中心统一管理证券经营机构及下属营业部的计算机设备。

362　计算机设备的选型、购置、登记、保养、维修、报废等必须严格按规定手续办理，重大设备应建立维护档案。

363　选用的计算机设备必须经过技术论证，符合国家有关标准的规定，满足可靠性与兼容性要求。

364　新购置的设备应经过测试，测试合格后方能投入使用。

365　必须定期对计算机设备进行专业维护保养。

366　未经电脑中心或电脑部许可，不得擅自开拆设备或调换设备配件。

第四章　软件环境

第一节　系统软件

411　营业部使用的系统软件主要包括操作系统软件和数据库管理软件。系统软件的选用应充分考虑软件的安全性、可靠性、稳定性和健壮性。

412　应使用正版软件。

413　系统软件应具备如下功能：

(1)身份验证功能，防止非法用户随意进入系统;

(2)访问控制功能，防止系统中出现越权访问;

(3)故障恢复功能，能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混乱和数据丢失;

(4)安全保护功能，对信息的交换、传输、存储提供安全保护;

(5)安全审计功能，便于应用系统建立访问用户资源的审计记录;

(6)分权制约功能，支持对操作员和管理员的权限分离与相互制约。

414　必须启用系统软件提供的安全审计留痕功能。

415　系统软件应达到C2级以上(含C2级)安全级别。

416　数据库管理软件除上述功能要求外，还应具有数据库的安全性、完整性、一致性及可恢复性保障机制。

第二节　应用软件

421　营业部应用软件包括营业部证券交易业务处理系统、信息揭示与分析系统及其它业务处理系统等。

422　营业部交易业务处理系统必须具有如下特性：

(1)自动记录全部操作过程;

(2)关键数据不得以明码存放;

(3)无法绕过应用界面直接查看或操作数据库;

(4)系统管理与业务操作权限严格分开;

(5)防止异常中断后非法进入系统;

(6)提供超时键盘锁定功能;

(7)交易业务数据在通信网络上以加密方式传输;

(8)应存储一年以上完整的系统运行记录与交易清算记录;

(9)提供系统运行状态监控模块;

(10)提供数据接口，满足稽核、审计及技术监控的要求;

(11)其它有助于控制业务操作风险的功能特性。

423　信息揭示与分析系统必须保证信息揭示的完整、准确、及时。

第三节　软件管理

431　应用软件在开发或购买之前应正式立项，成立由技术人员、业务人员和管理人员共同组成的项目小组并建立软件质量保证体系。

432　根据应用系统对安全的要求，同步进行安全保密设计。

433　软件开发过程应符合GB/T8566-1995《信息技术软件生存期过程》.

434　开发维护人员与操作人员必须实行岗位分离，开发环境和现场必须与生产环境和现场隔离。软件设计方案、数据结构、加密算法、源代码等技术资料严禁流入生产现场、散失和外泄。

435　应用软件在正式投入使用前必须经过内部评审，确认系统功能、测试结果和试运行结果均满足设计要求，技术文档齐全，并经证券经营机构分管领导批准。

436　应规定软件的使用范围和使用权限。

437　软件使用人员应经过适当的操作培训和安全教育。

438　建立应用软件的文档管理制度、版本管理制度及软件分发制度，防止软件的盗用、误用、流失及越权使用。

439　证券经营机构下属营业部应使用统一的系统软件和应用软件。

4310　营业部信息技术人员不得擅自进行软件维护和系统参数调整。

4311　应采取有效措施，防止对应用软件的非法修改。

第五章　数据管理

第一节　交易业务数据

511　交易业务数据主要包括交易数据、清算数据及其它相关数据。

512　应建立交易业务数据管理制度，对交易业务数据实施严格的安全保密管理。

513　电脑中心设置数据库管理员岗位，对交易业务数据实行专人管理。营业部信息技术人员不得拥有数据库管理员操作口令。

514　营业部信息系统内应保存一年以上的交易业务数据。

515　电脑中心应建立营业部交易业务数据映象并定期和不定期与营业部交易业务数据进行核对，防止使用过程中产生误操作或被非法篡改。

516　数据备份：

(1)每个工作日结束后必须制作数据的备份并异地存放，保证系统发生故障时能够快速恢复;

(2)交易业务数据必须定期、完整、真实、准确地转储到不可更改的介质上，并要求集中和异地保存，保存期限至少20年;

(3)备份的数据必须指定专人负责保管，由营业部计算机信息技术人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管;

(4)数据保管员必须对备份数据进行规范的登记管理;

(5)备份数据不得更改;

(6)备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

517　数据保密：

(1)数据不得泄露，禁止外借;

(2)数据应仅用于明确规定的目的，未经批准不得它用;

(3)无正当理由和有关批准手续，不得查阅客户资料。经正式批件查阅数据时必须登记，并由查阅人签字;

(4)保密数据不得以明码形式存储和传输;

(5)根据数据的保密规定和用途，确定数据使用人员的存取权限、存取方式和审批手续.

518　交易业务数据不得随意更改。

第二节　系统数据

521　系统数据主要包括数据字典、权限设置、存贮分配、网络地址、硬件配置及其它系统配置参数。

522　应制定系统数据管理制度，对系统数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄漏、丢失与破坏。

523　设置系统管理员岗位，对系统数据实行专人管理。

524　系统数据不得泄露。

525　电脑中心应保存营业部的系统数据，并定期进行核对。

第六章　技术事故的防范与处理

第一节　技术事故及其防范

611　技术事故是指由于硬件故障、软件故障和操作失误等原因引起系统无法运行，经启动备用系统仍未恢复正常，导致交易中断并造成经济损失的事件。

612　技术事故的防范原则是：预防为主、处理及时，力争把事故的损失降低到最小程度。

613　建立健全技术事故的防范对策，严格按本规范要求建设、管理信息系统的硬件设施和软件环境，定期进行事故防范演习，针对薄弱环节不断改进完善。

614　制定技术事故发生时的应急计划：

(1)应急计划必须形成文字;

(2)应急计划应针对可能发生的故障制定紧急处理程序;

(3)紧急处理程序应张贴在规定的地方;

(4)对执行应急计划的全体人员进行专项培训，定期进行演习;

(5)根据演习结果不断完善应急计划。

第二节　技术事故的处理

621　下列情况营业部免责：

(1)因不可抗力引发的技术事故;

(2)因软硬件故障导致的技术事故，经技术专家论证，确认营业部信息系统建设和管理符合本规范要求，确属小概率或偶发性事件;

(3)因证券交易所原因导致的交易中断。

622　因通信线路故障导致的技术事故，应会同通信部门共同调查，界定责任。

623　因营业部操作失误导致的技术事故，经调查核实后，营业部负相关责任。

624　技术事故的事后处理：

(1)证券经营机构安全管理组织应立即进行事故调查，提出书面调查报告，必要时可组织有关专家鉴定，确定事故的原因和责任;

(2)对调查中发现的技术薄弱环节，应限期整改。