证券经营机构营业部信息系统技术管理规范 技术指引
规范营业部信息技术管理-中国证券业协会
规范营业部信息技术管理助推券商经纪业务转型随着我国证券市场的快速发展及市场运行机制的日益完善,国内券商正面临着前所未有的机遇,市场规模持续快速扩大、业务种类逐渐齐全、营业网点数量大幅攀升,夯实了发展的基础,同时,对规范发展的要求也进一步提高。
如何进一步提升营业部信息系统运行管理效率、如何利用科学的技术手段防范各类风险、如何适应创新业务推出和传统业务转型的需要,已经成为各券商面临的重要课题。
基于此,华泰证券从2007年开始,在营业部信息系统建设、运维管理及风险控制等方面开展了积极的探索,于2009年初形成《营业部信息系统运行管理标准化规范》(以下简称《规范》),并根据2009年9月份证券业协会颁布的《证券营业部信息技术指引》进行了全面的完善、修订,目前已在公司所有营业部实施,真正实现了营业部信息系统建设标准化、系统运维管理规范化、安全监控智能化,运营管理水平大幅提升,并有效促进了公司证券经纪业务从通道服务向理财服务的转型。
一、规范营业部信息技术管理的背景描述2007年,华泰证券开始大力发展非现场交易,并全面推动了营业网点的VI改造工作,通过建立统一的品牌形象和标准化的运营服务流程,推动证券经纪业务从通道服务向理财服务转型。
在这一过程中,公司发现传统的营业部信息技术架构、营业部逐家盯防的运维管理及风险防范模式已完全不能适应业务发展需要,并存在很大的安全隐患。
主要表现在:1、传统运维管理模式无法适应业务规模不断扩大的需求2005年以前,公司仅有34家营业部,基本分布在江苏省以内,对于营业部的信息技术管理,采取传统的逐家盯、防技术运维管理模式。
这种模式下,由于营业部机房及技术系统建设、维护缺乏统一的标准,公司总部需要配备一定数量的技术支持人员,对各家营业部日常信息系统运行维护、安全检查等实行全面跟踪指导,耗费人力资源较大。
2005年以后,公司营业网点数量急增,覆盖区域拓展至全国,部分网点甚至已延伸到交通不太方便的县、镇地区,总部在信息系统运维管理上的效率较低,风险控制较为被动等问题逐步显现,信息系统管理模式改革势在必行。
证券公司证券营业部信息技术指引
证券公司证券营业部信息技术指引第一章总则第一条为加强证券公司证券营业部信息技术管理,防范技术风险,保障证券市场平稳运行,依据《中华人民共和国证券法》、中国证监会规章和中国证券业协会自律规则的有关规定,制定本指引。
第二条证券公司应全面负责证券营业部信息技术管理,统一制定证券营业部信息技术建设、运维、安全等管理制度,并督促证券营业部有效执行。
第三条证券公司应遵循安全性、实用性、可操作性等原则,统一规划和建设证券营业部的信息系统。
第四条根据证券营业部是否提供现场交易服务和是否部署与现场交易服务相关的信息系统,证券营业部的信息系统建设模式可以分为:A型模式:在营业场所内部署与现场交易服务相关的信息系统为客户提供现场交易服务。
采用该类型信息系统建设模式的证券营业部,在本指引中简称为A型证券营业部。
部署证券公司网上交易站点的证券营业部,或作为其他证券营业部网络通信汇聚节点且所连接的证券营业部中提供现场交易的证券营业部,视同为A型证券营业部。
B型模式:在营业场所内未部署与现场交易服务相关的信息系统,但依托公司总部或其他证券营业部的信息系统为客户提供现场交易服务。
采用该类型信息系统建设模式的证券营业部,在本指引中简称为B型证券营业部。
C型模式:在营业场所内未部署与现场交易服务相关的信息系统且不提供现场交易服务。
采用该类型信息系统建设模式的证券营业部,在本指引中简称为C型证券营业部。
证券公司可根据自身状况和业务发展需要,自主选择证券营业部信息系统建设模式。
第二章系统建设第五条 A型证券营业部应设机房。
B型和C型证券营业部可不设机房,但网络及通信等设备应集中放置和管理。
第六条机房选址应满足如下要求:(一)选择具备可靠供电的场所;(二)远离强震源、强磁场源和强噪声源,远离电磁干扰源或实施有效电磁干扰防护;(三)远离产生粉尘、油烟、有害气体以及具有腐蚀性、易燃、易爆物品的工厂、仓库等场所;(四)符合当地抗震强度要求;(五)符合当地消防主管部门的消防安全要求;(六)尽量避免低洼地带。
中国证券监督管理委员会关于发布《证券经营机构营业部信息系统技术管理规范(试行)》的通告
中国证券监视管理委员会关于发布《证券经营机构营业部信息系统技术管理标准(试行)》的通告为加强证券经营机构营业部信息系统平安管理,减少和防范市场技术风险,促进证券市场安康开展,我会制定了《证券经营机构营业部信息系统技术管理标准(试行)》(以下简称《标准》),现予以实施,并就有关要求通知如下:
一、各证券经营机构要充分认识实施《标准》的必要性和重要性,各单位主要负责人要认真组织学习,亲自抓《标准》的实施落实工作。
二、《标准》适用于依法成立的证券经营机构。
已制定的地方性管理规定及各证券经营机构内部规章制度须根据本《标准》作相应修订。
三、本《标准》从之日起实施,工作分两个阶段进行:第一阶段,今年上半年要根据《标准》要求,建立健全内部管理制度和组织机构;第二阶段,1999年6月30日前要完成更新与调试营业部信息系统软、硬件工作,到达《标准》要求。
各证券经营机构要结合本单位实际安排好工作进度。
四、本《标准》将纳入证券经营机构年检范围,对不符合《标准》要求的营业部,中国证监会将要求其限期整改,并追究该证券经营机构及其营业部主要领导者的责任。
五、年内中国证监会将组织检查落实情况,并适时安排培训和技术交流。
证券经营机构营业部信息系统技术管理标准(试行)
目录
目录
第一章总那么
第一节目标
第二节原那么
第三节制定与实施
第二章管理体系
第一节组织结构
第二节人员管理
第三节平安管理
第四节技术资料管理
第三章
[1] [2] [3] [4] [5] [6] [7]。
证券公司网上证券信息系统技术指引
证券公司网上证券信息系统技术指引第一章总则第一条为保障网上证券信息系统的安全、可靠、高效运行,促进证券公司在网上开展的证券业务健康有序发展,保护投资者的合法权益,依据《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的证券公司。
第三条网上证券信息系统是证券公司在网上开展证券业务活动中所采用的由相关网络设备、计算机设备、软件及专用通讯线路等构成的信息系统,包括网上证券服务端、客户端和门户网站。
第四条证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则:(一)安全性原则:网上证券信息系统的建设应提高风险防范意识,保证在网上开展证券业务的安全性。
通过技术措施和管理手段,实现信息的保密性、完整性和服务可用性。
(二)系统性原则:网上证券信息系统的安全建设应覆盖安全保障体系的各个方面,包括:安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。
(三)可用性原则:网上证券信息系统的建设应在保障安全的原则下,确保在网上开展的证券业务的连续性和可靠性。
第五条中国证券业协会对证券公司执行本指引的情况进行指导和督促。
第二章基本要求第六条证券公司对网上证券信息系统应统一规划、集中管理,保证在网上开展证券业务安全、有序发展。
第七条证券公司应制定在网上开展证券业务的各项安全管理制度,对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。
第八条证券公司应根据在网上开展证券业务特性,设立相应的管理职能岗位,明确在网上开展证券业务管理的责任,配备合格、足够的管理人员和技术人员,包括安全管理员、安全审计员等。
第九条证券公司应将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围,建立健全网上证券风险控制管理体系。
证券公司证券营业部信息技术指引》(征求意见稿)
证券公司证券营业部信息技术指引(征求意见稿)第一章总则第一条为加强证券公司证券营业部信息技术管理,防范技术风险,保障证券市场平稳运行,依据《中华人民共和国证券法》、中国证监会规章和中国证券业协会自律规则的有关规定,制定本指引。
第二条证券公司应全面负责证券营业部信息技术的管理,统一制定证券营业部信息技术的建设、运维、安全等相关管理制度,并督促证券营业部有效执行。
第三条证券公司应遵循信息系统安全性、实用性、可操作性等原则,统一规划和建设证券营业部的信息系统。
第四条根据证券营业部是否提供现场交易服务和是否部署与现场交易服务相关的信息系统,证券营业部的信息系统建设模式可以区分为:A型模式:在营业场所内部署与现场交易服务相关的信息系统为客户提供现场交易服务。
采用该类型信息系统建设模式的证券营业部,以下简称为“A型证券营业部”。
作为其他证券营业部网络通信汇聚节点,且所连接的证券营业部中提供现场交易服务的证券营业部,视同为“A型证券营业部”。
B型模式:在营业场所内未部署与现场交易服务相关的信息系统,但依托公司总部或其他证券营业部的信息系统为客户提供现场交易服务。
采用该类型信息系统建设模式的证券营业部,以下简称为“B型证券营业部”。
C型模式:在营业场所内未部署与现场交易服务相关的信息系统且不提供现场交易服务。
采用该类型信息系统建设模式的证券营业部,以下简称为“C型证券营业部”。
证券公司可根据自身状况和业务发展需要,自主选择证券营业部信息系统建设模式。
第五条证券公司应为A型证券营业部至少配备一名专职技术人员、B型证券营业部至少配备一名兼职技术人员,并制定顶岗、备岗等相关制度,确保在交易时间内有技术人员值守。
专职技术人员和兼职技术人员应具有计算机相关专业学历或从事信息技术工作1年以上。
第二章系统建设第六条A型证券营业部应设机房。
B型和C型证券营业部可不设机房,但网络及通信等设备应集中放置和管理。
第七条机房选址应满足如下要求:(一)选择具备可靠供电的场所;(二)远离强震源、强磁场源和强噪声源,远离电磁干扰源或实施有效电磁干扰防护;(三)远离产生粉尘、油烟、有害气体以及具有腐蚀性、易燃、易爆物品的工厂、仓库等场所;(四)符合当地抗震强度要求;(五)符合当地消防主管部门的消防安全要求;(六)尽量避免低洼地带。
《证券期货经营机构信息技术治理工作指引(试行)》解读
《证券期货经营机构信息技术治理工作指引(试行)》解读主讲人:刘云清重要提示只有完成课程学习并通过课程测验后,才能获得相应培训学时。
请您回答题目描述为在今后的培训中确认您的身份,请认真回答以下问题。
开始测试1.在去年全年中,您参加的由单位举办的行业培训活动总计有多长时间?(B)A、10小时以内B、10-30小时C、30-80小时D、80-200小时E、200小时以上2.在繁忙的工作之余,您通常采用以下什么方法来放松身心?()A、运动B、读书,听音乐,看电影C、和朋友聚会D、参观,浏览E、其他方式目录第一部分指引的起草说明第二部分《证券期货经营机构信息技术治理工作指引(试行)》解读第一章总则第二章 IT原则和治理目标第三章 IT治理组织和工作机制第四章 IT架构与IT基础设施第五章 IT应用第六章 IT投入第七章 IT人力资源第八章 IT安全和风险控制第九章附则第三部分小结与案例第一部分指引的起草说明一、IT治理理论的产生背景和引入证券业的情况1.IT治理产生背景上世纪90年代末开始逐渐发展起来的一门管理科学,主要研究在高度信息化的时代,如何将企业的IT资产转化为企业的重要战略资产之一。
2.IT治理核心三个关键的问题:(1)需要制定哪些IT决策(2)应该由谁来制定这些IT决策(3)如何制定和监控这些IT决策3.IT治理引入证券业二、《指引》起草过程从2006年开始,中国证券业协会信息技术委员会着手起草该指引。
并与期货业协会共同研究,针对期货公司的情况,对指引内容错了相应的修改和增减。
2008年8月3人由中国证券业协会联合中国期货业协会共同发布了该指引。
第二部分《证券期货经营机构信息技术治理工作指引(试行)》解读第一章总则第一条为加强证券期货经营机构信息技术管理与规范,完善各机构的治理结构,提高证券期货经营机构信息技术治理水平,保障信息系统安全运行,特制定本指引。
解读:本条提出了制定本指引的目的1.加强经营机构信息技术管理与规范;2.完善各机构的治理结构;3.提高经营机构IT治理水平;4.保障信息系统安全运行。
中国证券监督管理委员会关于发布《<证券经营机构营业部信息系统技术管理规范(试行)>技术指引》的通知
中国证券监督管理委员会关于发布《<证券经营机构营业部信息系统技术管理规范(试行)>技术指引》的通知文章属性•【制定机关】中国证券监督管理委员会•【公布日期】1999.11.03•【文号】证监信息字[1999]18号•【施行日期】1999.11.03•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】证券正文中国证券监督管理委员会关于发布《〈证券经营机构营业部信息系统技术管理规范(试行)〉技术指引》的通知(证监信息字〔1999〕18号)各证券经营机构:为进一步落实《证券经营机构营业部信息系统技术管理规范(试行)》(证监信字〔1998〕2号,以下简称《规范》),提高行业信息系统安全管理水平,有效防范和化解技术风险,现将《〈证券经营机构营业部信息系统技术管理规范(试行)〉技术指引》(以下简称《指引》)印发给你们,并就有关事宜通知如下:一、要在认真组织学习《规范》的基础上,全面了解和贯彻《指引》的要求,做到有效防范技术风险,提高安全水平。
二、要根据《规范》及《指引》的要求,找出差距和不足,采取有效措施加以改进。
三、中国证监会将组织对《规范》及《指引》落实情况的检查。
对不符合要求的单位,将根据《关于证券经营机构及其营业部做好信息系统检查工作有关事宜的通知》(证监信息字〔1999〕7号)和《关于强化证券经营机构总部对所属营业部信息系统安全检查的通知》(证监信息字〔1999〕11号)等文件的规定,严肃处理。
中国证监会一九九九年十一月三日《证券经营机构营业部信息系统技术管理规范(试行)》技术指引第一章管理体系技术指引第一节组织结构一、电脑中心负责制定的与信息系统相关的规章制度(〔2.1.2(1)〕)至少应包括如下方面:1、组织机构与人员管理;2、安全管理(包括病毒防范);3、文档资料管理;4、数据管理;5、硬件设备管理(包括相关设备强制更换);6、软件管理;7、网络管理;8、机房管理;9、运行维护管理(包括操作安全管理);10、技术事故防范与处理。
中国证券管理委员会关于发布《证券经营机构营业部信息系统技术管
中国证券管理委员会关于发布《证券经营机构营业部信息系统技术管理规范(试行)》的通知【法规类别】证券综合规定【发文字号】证监信字[1998]2号【失效依据】本篇法规已被《中国证券监督管理委员会公告(2009)8号--关于废止部分证券期货规章的决定(第八批)》(发布日期:2009年4月10日实施日期:2009年4月10日)废止【发布部门】中国证券监督管理委员会【发布日期】1998.03.09【实施日期】1998.03.09【时效性】失效【效力级别】XE0303中国证券监督管理委员会关于发布《证券经营机构营业部信息系统技术管理规范(试行)》的通告(1998年3月5日证监信字〔1998〕2号)各证券经营机构:为加强证券经营机构营业部信息系统安全管理,减少和防范市场技术风险,促进证券市场健康发展,我会制定了《证券经营机构营业部信息系统技术管理规范(试行)》(以下简称《规范》),现予以发布实施,并就有关要求通知如下:一、各证券经营机构要充分认识实施《规范》的必要性和重要性,各单位主要负责人要认真组织学习,亲自抓《规范》的实施落实工作。
二、《规范》适用于依法成立的证券经营机构。
已制定的地方性管理规定及各证券经营机构内部规章制度须根据本《规范》作相应修订。
三、本《规范》从发布之日起实施,工作分两个阶段进行:第一阶段,今年上半年要根据《规范》要求,建立健全内部管理制度和组织机构;第二阶段,1999年6月30日前要完成更新与调试营业部信息系统软、硬件工作,达到《规范》要求。
各证券经营机构要结合本单位实际安排好工作进度。
四、本《规范》将纳入证券经营机构年检范围,对不符合《规范》要求的营业部,中国证监会将要求其限期整改,并追究该证券经营机构及其营业部主要领导者的责任。
五、年内中国证监会将组织检查落实情况,并适时安排培训和技术交流。
证券经营机构营业部信息系统技术管理规范(试行)目录目录第一章总则第一节目标第二节原则第三节制定与实施第二章管理体系第一节组织结构第二节人员管理第三节安全管理第四节技术资料管理第三章硬件设施第一节计算机机房第二节远程通信第三节计算机设备第四节局域网络第五节电子交易设备第六条设备管理第四章软件环境第一节系统软件第二节应用软件第三节软件管理第五章数据管理第一节交易业务数据第二节系统数据第六章技术事故的防范与处理第一节技术事故及其防范第二节技术事故的处理第一章总则第一节目标1.1.1最大程度地防范技术操作风险,保护投资者利益,维护证券经营机构的合法权益,促进证券市场健康发展。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《证券经营机构营业部信息系统技术管理规范(试行)》技术指引(注意:本文内容来源于中国证监会网站,由ChinaCISSP摘录整理,仅供参考。
摘录者不保证内容的完全正确,关键应用应从正式渠道获得该规范文本。
)第一章管理体系技术指引第一节组织结构一、电脑中心负责制定的与信息系统相关的规章制度([2.1.2(1)])至少应包括下方面:1、组织机构与人员管理;2、安全管理(包括病毒防范);3、文档资料管理;4、数据管理;5、硬件设备管理(包括相关设备强制更换);6、软件管理;7、网络管理;8、机房管理;9、运行维护管理(包括操作安全管理);10、技术事故防范与处理。
电脑中心还应编制涵盖上述制度内容的工作手册,并根据实际情况每年进行修订。
二、电脑中心审核营业部电脑负责人的任职资格([2.1.2(4)]),包括对其进行要的奖励和惩罚。
电脑负责人任职要专岗专责,不得由业务人员兼任,也不得兼任业务职务。
三、电脑中心除为营业部提供技术支持外([2.1.2(9)]),还应为本证券经营机的其它部门提供技术支持。
四、电脑中心的数据管理职能([2.1.2(10)])要求电脑中心要对数据实行集中理,尽量做到异地实时备份。
五、对营业部信息系统的定期检查应为每年至少一次([2.1.2(12)])。
定期检为规范性检查,不定期检查为专项检查,检查必须有文字记录。
六、[2.1.3(2)]中的有关部门是指结算公司和证券通信公司。
七、[2.1.3(6)]中的其它重要数据至少包括:服务器系统参数配置,主要网络设参数配置,通信设备参数配置,智能化电源、空调的参数配置,交易系统、通信软件及其它应用软件的参数配置等。
八、电脑部在履行职能时([2.1.3]),还要注意做好以下方面的工作:1、强化安全意识,自觉遵守并监督执行安全制度的落实;2、及时完成电脑中心布置的各项工作;3、保持机房及配电房达到规定技术指标,并保持整洁;4、负责计算机硬件、软件、通信设备的管理与维护,建立技术档案,保持系统处于良好的运行状态;5、负责营业部技术资料的保管与维护;6、有条件的营业部应定期做好服务器的全系统备份。
第二节人员管理一、执行对营业部信息技术人员编制规定([2.2.1])时应注意:营业部总人数于20人的,也要至少配备2名专职信息技术人员。
二、[2.2.4]中的关键技术岗位至少包括电脑部全部工作人员岗位。
三、电脑中心应强化对信息技术人员的管理职能([2.2.5]),包括:1、参与信息技术人员的招聘,并可行使否决权;2、对信息技术人员进行必要的奖励和惩罚;3、对营业部信息技术人员每年至少进行一次技术培训和考核,重新认定上岗资格;4、有条件的证券经营机构可实行垂直管理,直接确定电脑部的人员编制和收入等。
四、对信息技术人员离岗应加强管理([2.2.8]),至少达到如下要求:信息技术人员离岗时必须严格办理离岗手续,明确其离岗后的保密义务,退还全部技术资料,电脑中心必须派员监督交接过程。
新旧工作人员应共同工作不少于5个工作日,信息系统口令必须立即更换。
第三节安全管理一、计算机安全管理的保障机制([2.3.3])包括稽核监控和安全合规奖惩等方面的内容。
二、计算机机房安全管理制度中要求的值班人员([2.3.4(2)])必须是信息技人员。
三、[2.3.5(3)] 中的“定期更换操作口令”是指至少每两个月更换一次。
四、[2.3.5(8)] 中要求的技术监管系统,应在电脑中心的统一规划下建立,并证券经营机构的状况相适应。
五、[2.3.5(8)] 中要求的“定期进行独立的对帐”是为了防范业务风险而采取计算机稽核手段。
六、操作安全制度([2.3.5])在执行中,应重视以下方面:1、所有用户的登录必须具有屏蔽中断功能;2、新开用户需经严格审批;3、冗余用户要及时清理,超过三个月未使用过的用户要设置为禁止使用状态或删除;4、数据库管理系统的系统管理员口令应由电脑中心集中管理,并于非软件开发商的第三处封存保管。
七、[2.3.6(1)]对病毒检测的具体要求为:电脑部应指定专人负责计算机病毒防范工作,并至少每半个月及在已知敏感日期前夕,进行病毒检测,发现病毒立即报告电脑中心病毒防范负责人,并在其指导下进行处理,同时详细记录病毒发作过程。
第四节技术资料管理一、[2.4.2]中的各级管理机构是指电脑中心和电脑部。
二、重要技术资料的管理必须严格([2.4.4]):1、重要技术资料应有专人管理,专柜存放;2、重要技术资料应有副本并异地存放。
在条件允许时,应存放在银行的保险箱内或其它符合要求的存放地点。
第二章硬件设施技术指引第一节计算机机房一、关于供电系统([3.1.2])的说明:1、营业部供电方案可由下列方式构成:不间断电源、备用发电机和双路供电,及对以上方式的合理组合使用。
如:单独使用不间断电源,不间断电源和发电机配合使用,不间断电源和双路供电配合使用。
其中双路供电指通过不同变电所的电力线路进行供电;2、备用供电系统容量和持续供电时间应保障机房设备和关键交易设备在断电情况下能够完成当天正常的交易;3、不间断电源应当定期维护保养,保证设备处于正常的工作状态;4、备用发电机应当定期启动、检测,保证停电时能正常发电;5、机房的配电柜和不间断电源插座应标识清楚。
二、对机房消防的要求([3.1.4]):1、机房必须安装烟感和温感报警器及必要的灭火装置;2、机房禁止使用水喷淋装置;3、机房应采用防火材料制作的机架或机柜。
有条件的营业部可采用防火、防盗门,耐火墙体,阻燃无毒的电缆。
第二节远程通信一、[3.2.3]要求的重要通信线路必须建立后备线路,至少包括:1、营业部行情接收系统应有通信备份,主要方式有:(1)上海行情接收可采用深圳证券交易所提供的上海证券交易所行情卫星备份系统,或通过其他营业部进行接收等方式;(2)深圳行情接收可采用深圳单、双向卫星、拨号及上海证券交易所提供的深圳证券交易所行情卫星备份系统(在建),或通过其他营业部进行接收等方式。
2、营业部委托报盘系统应有通信备份,主要方式有:(1)上海委托可采用上海证券交易所提供的双向卫星、DDN、双向卫星拨号(在建)和上海证券交易所提供的公司内部席位连通备份报盘方式;(2)深圳委托可采用深圳证券交易所提供的双向卫星、卫星伙伴备份和地面拨号、DDN等报盘方式。
第三节计算机设备一、执行[3.3.1]对服务器的要求时,要注意:1、行情服务器和交易服务器应有可靠的备份手段和备份系统([3.3.1(1)]);2、服务器至少应做磁盘镜像([3.3.1(2)]);3、服务器应有充足的电源、内存、硬盘、网卡等备用器件([3.3.1(3)])。
第四节局域网络一、[3.4.4]要求网络设备应有冗余备份,主要包括:1、营业部网络的主交换机应有备份机,可做冷备份或热备份;2、网络中的集线器和网卡都应有充足的备件。
二、营业部未使用的信息点,在机房端应将相应网络线从网络设备上断开,待使该信息点时再接入。
第三章软件环境技术指引第一节系统软件一、系统软件主要包括操作系统软件、数据库管理系统软件([4.1.1]),此外,包括网络管理软件、互联网服务器软件以及相应的防火墙软件等。
二、正版软件([4.1.2])包括两方面的含义:1、有正式授权的软件;2、软件的使用和安装在该软件的合法要求范围内。
三、[4.1.4] 要求的必须启用系统软件提供的安全审计留痕功能,应做到对成交报、与交易所接口数据库和交易数据库的修改,用户的登录与注销等方面的审计。
审计至少应记录操作的用户(或地址)、时间、具体操作及结果等信息。
第二节应用软件一、 [4.2.2(2)]所指的关键数据目前至少包括各种密码、口令及标识项。
二、在对交易业务数据进行异地备份传输([4.2.2(7)])时,必须采取数据加的方式。
第三节软件管理一、[4.3.2] 要求的安全保密设计至少应包括使用应用系统的客户与非客户用户的权限划分,客户密码的保密使用方法,非客户用户的保密责任和严格分工,数据的安全记录及存放,系统设计方案、数据结构以及程序源代码和加密算法的保密等内容。
二、[4.3.5] 要求的内部评审必须有电脑中心的书面认可。
三、软件的使用范围和使用权限([4.3.6])要严格按照管理体系中软件管理的关制度执行。
四、[4.3.7] 要求的操作培训和安全教育包括两方面的含义:1、客户用户要达到熟悉软件操作功能和对自己重要信息保密操作的要求;2、非客户用户要达到熟悉并严格履行自己的职责,不进行越权、越级或非法操作的要求。
五、营业部在进行软件维护和系统参数调整时([4.3.10]),必须经过营业部主经理或电脑部经理的批准,对所有操作做出详细的书面记录并登记归档。
六、防止对应用软件的非法修改([4.3.11]),要从管理上和技术上采取措施。
一方面要制定完善的制度并严格执行,另一方面要在技术上采取措施,加强对可能的非法入侵手段的监控与防范。
第四章数据管理技术指引第一节交易业务数据一、关于数据备份([5.1.6])的说明:1、交易业务数据必须进行备份,备份介质可采用硬盘、光盘和磁带等;2、每个交易日的备份数据应异地保存,即将当天的备份数据传输到总部、地区总部或其他营业部进行异地保存。
确有困难时,可临时保存在远离机房的专用保险箱(满足“六防”要求)内;3、需长期保存的数据必须定期备份到光盘或其它永久性只读介质上,并保存在异地的专用保险箱内。
第二节系统数据一、对系统软件中的系统数据,要根据营业部情况定期备份。
二、应用软件的在运行版本应有备份,并异地存放。
第五章技术事故的防范和处理技术指引第一节技术事故及其防范一、由于通信、电力等的故障引起系统无法运行,经启动备用系统仍未恢复正常,导致交易中断或造成经济损失的事件也属技术事故([6.1.1])。
二、在应急计划的制定与执行中([6.1.4]),还应注意以下问题:1、应急计划应由证券经营机构总部电脑中心统一制定,营业部电脑部根据自身机房环境、软硬件系统特点进行补充和完善;2、在制定应急计划中的紧急处理程序时,建议尽可能评估和确定可能发生的技术故障类别和故障点,充分借鉴以往技术事故应对步骤的经验,具体写出针对故障点的紧急处理程序;3、一个故障点可对应多个紧急处理程序;4、应制定培训与演习计划,包括对象、内容、组织形式和时间进度等。
应急计划要定期进行演习,并形成“演习总结报告”。
第二节技术事故的处理一、在进行事故处理时([6.2.4])还要注意:1、电脑中心和电脑部应注意总结技术事故处理的经验与教训,形成技术文件并及时进行交流,为今后避免或处理类似问题提供借鉴。
2、营业部应在事故发生的第一时间内报告电脑中心,并及时向电脑中心书面详细报告技术事故的全部情况,包括事故原因、处理情况和改进措施。