定稿证券公司信息技术管理规范范文.docx

证券公司信息技术管理标准NormsfortheInformationTechnologyManagementofSecuritiesCompanies【发布部门】中国人民银行，中国证券监视管理委员会【发布日期】2005.03.25【实施日期】25.03.25【时效性】现行有效【效力级别】部门标准性文件【法规类别】互联网【全文】【法宝引证码】CU.4.57905证券公司信息技术管理标准中华人民共和国金融行业标准ThecriterionofITmanagementforsecuritescompany2005年3月25日发布2005年3月25日实施本标准由全国金融标准化技术委员会提出。本标准由全国金融标准化技术委员会归口管理。本标准起草单位：中国证券监视管理委员会、国泰君安证券股分、中国银河证券有限责任公司、申银万国证券股分、长江证券有限责任公司、海通证券股分、泰阳证券有限责任公司、闽发证券有限责任公司、兴业证券股分、国信证券有限责任公司。本标准主要起草人：徐雅萍、陈煜涛、俞枫、金守罕、郭怡峰、陈静、沈云明、汤玉龙、彭湘林、王锦炎、刘斌、廖亚滨、万晓鹰、黄卉、徐颖。本标准为首次发布。为了标准证券公司信息技术管理行为，保护投资者的合法利益，维护证券公司的合法权益，促进证券市场的安康开展，特制定本标准，以加强证券公司信息系统的优化建立和安全管理，推动信息系统建立与技术管理水平的协调开展，提高证券行业的整体信息技术应用水平。证券公司信息技术管理标准本标准规定了证券公司信息技术管理的以下方面：a）信息技术管理工作中应遵循的根本原那末；b）信息技术管理的组织架构；c）信息技术人员、工程和安全管理；d）机房和设备管理；e）网络通信、软件和数据；f）信息系统运行管理、技术事故的防范与处理。本标准合用于证券公司的信息技术管理工作。2标准性引用文件以下文件中的条款通过本标准的引用而成为本标准的条款。但凡注日期的引用文件，其随后所有的修改单（不包括订正的内容）或者修订版均不合用于本标准,然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。但凡不注日期的引用文件，其最新版本合用于本标准。GB2887电子计算机场地通用标准GB/T8566信息技术软件生存期过程GB9361计算站场地安全要求GB50174电子计算机机房设计标准GB50311建造与建造群综合布线系统工程设计标准GB50312建造与建造群综合布线系统工程验收标准CMM软件能力成熟度模型（CapacityMaturityModel）3原那末证券公司在信息技术管理工作中应遵循：a）安全性原那末，应树立技术风险的防范意识，把安全措施落实到信息技术管理的每一个环节、每一个方面，应在信息系统的设计、开辟、运行、维护各环节和硬件、软件、网络通讯、数据、管理各方面，贯彻安全性原那末。b）实用性原那末，应加强信息技术管理，注重采用成熟的先进技术，在确保信息系统性能和安全的前提下，遵循高效益、低本钱、易操作的原那末。c）系统化原那末，将证券公司信息技术管理有关的资源和活动以系统的观点来发展管理，理解和识别管理过程中的相互关系和作用，明确每一个管理过程的职责和权限。4管理体系4.1 组织构造与职能4.1.1 证券公司应设立信息技术管理机构力实行信息技术工作的统一归口管理。4.1.2 信息技术管理丽恒履行以下职责:a）负责信息系统的总体规划并组织实施；b）负责制定与信息技术相关的规章制度并落实执行；c）负责编制信息技术预算并落实执行；d）负责信息系统的建立和运行维护；e）协助发展信息技术人员的任职管理、培训和考核；f）发现技术和业务异常及时上报；4.2 人员管理4.2.1 证券公司应对信息技术管理机构实行定岗、定编、定责，明确各岗位的人员素质要求。4.2.2 应建立重要岗位的双人负责制，并加强对单人单岗的监控。4.2.3 应建立完善的保密制度，重要岗位应签订保密协议书。4.2.4 不应录用有犯罪或者严重违规行为记录的人员从事证券公司信息技术工作。4.2.5 应建立信息技术人员定期培训和考核制度，不合格者制止上岗。4.2.6 应定期或者不定期对在信息技术重要岗位上的信息技术人员发展轮换,或者实行强制休假。4.2.7 应建立信息技术人员的离岗制度，标准离岗手续。IS安全管理4.3.1 证券公司应建立信息系统安全管理组织，实施信息安全等级保护,并设立专门的安全管理员、安全审计员岗位。4.3.2 信息系统安全管理组织应履行以下职责：a）负责制定统一的安全策略；b）负责制定信息系统安全管理制度；c）负责审核和实施信息系统安全保护和安全防范技术方案；d）负责组织信息系统安全教育及技术培训；e）负责定期或者不定期发展信息系统安全检查，发现问题，催促解决；f）负责组织信息系统安全防范、应急演练。4.3.3 应建立计算机病毒防范制度：a）统一组织和实施计算机病毒防范工作b）建立计算机病毒预警机制，严格执行病毒检测及报告措施。4.3.4 应坚持三别离原那末，实现I先后台别国、阱辟"操作别闻技术与业务别离k言息技术人员任职要专岗专责，不得由业务人员兼任，也不得兼E业务职务,4.4技术文档管理4.4.1 技术文档是指与信息系统相关的技术文件、图表、程序与数据等。4.4.2 证券公司应制定技术文档管理制度，设立技术文档管理岗位。4.4.3 应按照统一格式对技术文档发展编写并及时更新，到达能够依靠技术文档恢复系统正常运行的要求。4.4.4 应根据技术文档的不同保密级别实行分级管理。4.4.5 应对技术文档实行有效期管理，对于超过有效期的技术文档降低保密级别，对己经失效的技术文档定期清理，并严格执行技术文档管理制度中的销毁和监销规定。4.4.6 技术文档的借阅、复制应履行必要的手续。4.4.7 重要技术文档应有副本并异地存放。5机房与设备管理5.1 机房5.1.1 机房建立应符合GB50174GB2887和GB9361的要求，防雷、接地、电磁辐射和电气特性都应到达国家标准要求。5.1.2 机房环境应到达以下要求：a）操作间与设备间分隔；b）安装独立的空调设备，对温度和湿度发展控制；c）配有防火、防潮、防尘、防盗、防磁、防鼠等设施；d）配置应急照明装置；5.1.3 机房供电系统应到达以下要求：a）有单独的配电柜和独立于普通照明电的专用供配电路线，配电容量有一定余量，采用双路供电或者配备发机电；b）配备不连续电源设备，其容量至少满足关键设备在开市期连续电情况下的运行要求。5.1.4 机房应安装监视系统和门禁系统，宜安装环境监控系统和设备监控系统。5.2 设备管理5.2.1 证券公司应实行计算机设备集中管理，建立相应的管理制度，按有关流程办理设备的采购、登记、维护、报废等工作，对设备的整个生命周期发展管理。5.2.2 大宗设备采购应坚持公开、公平、公正的原那末，宜采用招标、邀标等形式完成。5.2.3 应定期对设备发展更新和保养，经维护的设备应通过有关测试方能投入使用。6网络通信6.1 网络建立6.1.1 证券公司网络的根本要求：a）应统一规划公司的网络；b）网络建立应遵循高可靠性、高安全性、高性能、可扩展性、可管理性、标准化等原那末；c）网络承建集成商应具有国家有关部门颁发的三级以上（含三级）计算机信息系统集成资质证书；d）网络设备和通信带宽应保证业务需求。e）网络不应存在单点故障。6.1.2 局域网应到达以下要求：a）布线系统设计可参照GB5031：1和GB50312,采用构造化综合布线系统；b）针对不同业务或者应用采取适当技术手段，实现网络别离，提高网络安全性;6.1.3 广域网应到达以下要求：a）满足路线备份和网络安全的要求；b）网络节点间有明确的互访原那末，制定和配置相应的路由策略；c）主干设备支持标准通信协议；d）与电信运营商和设备供给商签订效劳协议，做到定期检修、发现故障及时响应。6.1.4 外部网的建立应到达以下要求：a）与交易所、中国登记结算公司之间的通信连接安全可靠；b）与外联单位的联网采用可靠的技术隔离手段，确保网络安全；c）建立多种通信通道，保证业务的连续性。6.1.5 互联网接入应到达以下要求：a）网上委托系统应采用至少两条路线接入互联网，采用同一个运营商的线路应通过不同的节点接入；b）通过防火墙等安全设备与互联网相连。6.2 网络管理6.2.1 证券公司应建立健全网络管理制度：a）网络管理采用统一策略；b）设置专职网络管理员，实行网络分级管理；c）网络管理员具备相应的素质和技能，持有相应的资格证书。6.2.2 在网络管理上应到达以下要求:a）配备网络管理工具，对网络发展监控、管理和维护，重要网络设备开启日志和审计功能；b）建立完整的网络技术文档；c）定期维护网络设备和路线；d）详细记录网络故障处理过程。6.2.3 通过互联网为公众提供效劳，应遵循国家和行业有关规定。6.3 网络安全6.3.1 证券公司应建立健全网络安全体系，统一制定公司的网络安全策略和技术方案，网络安全策略遵循技术保护和管理保护相结合的原那末。6.3.2 网络安全应到达以下要求：a）利用成熟的网络安全技术，防止非法访问、攻击和破坏计算机网络等活动；b）定期对公司网络发展安全检查，发现问题，及时解决，并记录存档；c）所有可配置的网络设备按最小安全访问原那末设置访问控制权限，关闭不必要的端口及效劳；d）妥善保管和定期更换网络设备的远程访问密码。6.3.3 在互联网接入方面应到达以下安全要求：a）对公司内可访问互联网的终端采用必要的安全措施与核心系统相隔离；b）对于来自互联网的访问采用可靠的身份认证、访问控制和安全审计措施，防止非法接入和非法访问。6.3.4 网上委托系统应到达以下安全要求:a）通过国家权威机构的安全认证，重要技术产品通过国家权威机构的安全测评，到达主管部门的规定要求；b）采用可靠的技术和管理措施发展客户身份认证；c）采用有效技术措施到达防抵赖、防篡改、防窃取等功能；d）网上委托效劳器所在的网络与内部核心网络相隔离。7软件7.1 系统软件7.1.1 系统软件的选用应充分考虑安全性、可靠性、稳定性和强健性，应使用符合安全要求的正版软件。7.1.2 操作系统软件的使用应遵循最小功能原那末及最小权限策略，关闭不必要的效劳和端口。7.1.3 在经过充分测试的前提下，应及时安装操作系统的补丁程序。7.2 应用软件7.2.1 应用软件应符合业务运作的合法性和合规性。7.2.2 重要应用软件系统宜采取在线备份措施。7.2.3 信息提醒与分析系统应保证信息提醒的完整、准确和及时。7.3 软件管理7.3.1 应用软件开辟过程应符合GBT8566o7.3.2 应加强对外包或者外购应用软件的质量控制，选择已建立软件质量保证体系的开辟商发展合作，具体要求可参照CMM的二级标准发展。同时在开辟商的选择过程中，应高度重视其信誉和品牌，不宜选择曾经为证券公司违规、违法业务行为提供技术效劳或者技术支持的开辟商。1.1.1 软件总体设计时，应根据应用软件的实际用途，同步发展安全保密设计。7.3.4 在软件开辟过程中，应同步完成相关文档手册的编写工作，保证相关资料的完整性和准确性。7.3.5 开辟维护人员与操作人员应实行岗位别离。7.3.6 辟环境应与生产环境隔离。7.3.7 用软件在正式投入使用前应经过内部评审，确认技术文档齐全，I系统功能、测试结果和试运行结果均满足设计要泵厂7.3.8 软件使用人员应承受操作培训和安全教育。7.3.9 建立应用软件文档管理、版本管理及软件分发制度。7.3.10 应建立标准的软件维护和系统参数调整流程。8.1 数据管理8.1.1 数据是指证券公司在经营和管理中产生的信息资源，主要包括业务数据、系统数据和管理数据等。8.1.2 应建立数据管理制度，到达以下根本要求：a）重要数据分密级管理；b）建立数据访问控制机制；c）建立数据防篡改和防窃取机制;d）建立数据备份措施和异地存放措施。8.1.3 业务数据的管理应到达以下要求：a）对业务数据实施严格的安全保密管理；b）在线系统所保存的业务数据不少于一年；c）建立业务数据的离线备份制度，数据应定期、完整、准确地转储到可靠的介质上，并要求实现集中、异地存放，保存期限至少20年；d）备份数据不得更改，并定期发展完整性和可恢复性校验；e）备份数据指定专人负责保管，严格执行数据交接收理规定和登记管理规定。8.1.4 系统数据应以电子文档和书面文档两种形式加以保存，并实行专人管理。8.1.5 证券公司应统一内部数据标准，并遵循行业数据标准。8.2 数据安全821证券公司应充分利用成熟的安全技术确保数据的保密性、完整性、可用性和可控性。8.2.1 信息系统设计时应同步发展数据安全设计，对重要数据在采集、传输、使用和存储过程中发展加密。8.2.2 应使用经国家密码管理机构认可的加密产品和加密算法。：9运行管理9.1 日常运行和系统上线9.1.1 证券公司应建立健全信息系统运行管理制度，建立详细的运行日志和故障日志。9.1.2 应制定标准化的信息系统上线流程：a）信息系统未经严格测试不得上线运行；b）评估信息系统上线风险，做好相应的应急和备份方案；c）信息系统通过规定流程审批后，才干获准上线。9.1.3 信息系统运行管理应到达以下要求：a）制定标准化的日常操作流程，关键操作建立复核机制；b）建立严格的值班工作制度和标准的故障处理流程；c）I建立.完善的监控词对信息系统的运行环境、运行状况等发展实时监控和事后分析，并提供多种报警手段；d）严禁在生产环境发展未经批准的操作；e）建立关键系统的配置和变更文档，确保运行环境的可恢复性；f）在信息系统管理和业务操作的各层面建立相应的操作权限制约机制；g）帐户和密码专人专用，加强对缺省帐户和密码的管理，不应为客户设置统一的、有规律的、易猜想的初始密码。9.1.4 机房管理应到达以下要求：a）建立安全保卫措施，严格执行机房进出管理制度；b）对机房的照明、空调、防火、门禁等机房环境系统发展定期检查，确保其处于正常工作状态；c）严禁易燃、易爆、强磁及其它与机房工作无关的物品进入机房；d）机房供电系统由专人负责管理，定期发展检修和维护。9.2 技术事故防范与处理9.2.1 技术事故是指由于通信故障、电力故障、软硬件故障和操作失误等原因引起系统无法正常运行，经启动备用系统仍未恢复正常，导致经济损失的事件。9.2.2 证券公司应明确技术事故防范和处理工作中的责任人和监视人，建立管理、技术和业务部门之间的协调机制，做好技术事故的防范、处理、恢复及善后工作。9.2.3 建立健全技术事故防范策略，制定技术事故发生时的应急方案，并到达以下要求：a）应急方案针对可能发生的故障制定紧急处理程序，并形成书面文字张贴或者放置在规定的地方；b）对执行应急方案的全体人员发展专项培训；c）定期演练应急方案，并不断完善。9.2.4 技术事故的处理：a）发生技术事故时，应及时按规定上报，并启动相应的应急方案。b）应确定故障发生的系统和范围，严格按应急方案中的紧急处理程序及时处理；c）应详细记录技术事故处理的过程，填写？技术事故处理报告?，包括故障现象、处理步骤、处理时间、处理结果以及原因分析等；d）应总结技术事故处理的经历与教训，形成技术文档并发展交流，为防止或者处理类似问题提供依据。9.2.5 以下情况证券公司免责：a）因不可抗力引起的技术事故;b）因软硬件故障导致的技术事故，经技术专家论证，确认其信息系统建立和管理符合标准要求，确属小概率或者偶发性事件c）因证券交易所原因导致的交易中断。9.2.6 因通信路线故障、电力故障等第三方依赖的内容导致的技术事故，应会同相关部门调查，界定责任。9.2.7 因证券公司操作失误导致的技术事故，经调查核实后，应由证券公司负相应责任。9.2.8 因应用系统导致的技术事故，应会同开辟单位共同分析，界定责任。