证券公司信息系统管理实施细则
证券股份有限公司信息系统权限管理办法
证券股份有限公司信息系统权限管理办法(注:本文所涉证券股份有限公司为虚构公司,仅作示范用途)第一章总则为规范证券股份有限公司(以下简称“公司”)信息系统使用权限管理,保障公司信息技术资源安全,提高信息化管理水平,制定本办法。
第二章权限管理第一节基本原则1.权限管理应遵循最小授权原则,根据岗位职责和工作需要,合理确定用户权限,不得超越职权范围,不得随意赋权或降权,不得滥用权限。
2.权限授权应当经过审批后实施,并记录授权审批意见和授权相关信息。
3.权限变更、撤销应当及时、准确地反映在系统中,并记录变更原因及审核意见。
4.权限管理工作要做到实时监控、随时调整,及时发现、处理权限异常情况。
第二节权限管理责任人1.董事会负责确认公司的信息系统使用范围和风险承受能力,并确定信息系统权限的安全控制策略。
2.信息中心部门是公司信息系统管理的主管部门,负责制定权限管理制度,制定权限分配方案并监督执行,并负责权限审核、变更、清理等工作。
3.各部门应当按照权限管理制度的要求做好权限管理工作,并对本部门的用户权限进行管理和监督。
第三节权限管理制度1.公司应制定完整的权限管理制度,包括权限分级设定、权限审批流程、权限变更流程、权限清理规定等。
并按照制度要求做好各项管理工作。
2.公司应采用科学、合理、可靠的技术手段,对权限进行有效控制,建立权限管理追溯机制,实现按需授权、精细化管理。
3.公司应严格落实权限审批制度,确保权限授权具备审批流程、审批人员、审批记录等完整信息,并按照流程进行审批。
第四节权限分级设定1.权限分级设定应根据用户的职能、级别、工作任务等因素进行科学、合理、可行的划分,共分为五个级别。
2.权限分级设定应具有明显区别性,能够区分不同职务的权限范围,做到顶层授权与基层授权相分离,反映出对信息资源的重视程度和对风险管控的要求。
3.权限分级设定应当审慎确定,具有可行性和实践意义,避免因权限过高或过低带来不必要的风险。
证券公司信息技术管理规定(草案)
证券公司信息技术管理规定(草案V1.72)第一章总则第一条【立法目的和依据】为保障证券公司信息系统安全运行,加强证券公司信息安全管理,防范和化解信息技术风险,提高行业信息安全水平,支持证券业务发展,根据《中华人民共和国证券法》、《证券公司监督管理条例》、《证券期货业信息安全保障管理办法》(已公开征求意见)等有关法律法规制定本规定。
第二条【适用范围】本规定适用于在中华人民共和国境内依法设立的证券公司。
第三条【责任主体及原则】证券公司是信息技术管理工作的责任主体,对本机构信息系统安全运行承担责任,实行“谁运行、谁负责,谁使用、谁负责”原则。
第四条【会机关监管职责】中国证监会负责制定、修订证券公司信息技术相关法规,牵头对证券公司信息技术相关新应用、新情况、新问题进行研究,并牵头对行业发生的重大安全事件进行调查处理。
第五条【证监局监管职责】证监局负责辖区证券公司信息系统监管,证券公司分支机构信息系统由分支机构所在地证监局负责监管。
证券公司分支机构所在地和证券公司住所地证监局之间应建立有效的信息沟通和监管协作机制,有效防范、化解和处置分支机构的信息技术风险、重大异常情况和突发事件,协调配合做好有关分支机构的信息技术检查、信息安全事件处置等事项。
第六条【信息技术定义】本规定中的证券公司信息技术(英文:Information Technology,简称IT)是指证券公司在核准的业务范围内,管理和处理业务活动期间产生的账户、交易、清算、财务、服务等方面信息所采用的各种计算机、通信、软件工程等技术的统称。
第二章信息技术治理第七条【信息技术治理】信息技术治理是指证券公司在运用信息技术过程中,制定的有关信息技术决策权分配和责任承担的框架。
第八条【责任分工】证券公司法定代表人对证券公司信息安全及信息技术管理负最终责任,证券公司章程应明确以下事项:(一)证券公司信息技术管理的组织架构和决策机构;(二)证券公司董事长、总经理、分管信息技术的高级管理人员、信息技术管理部门负责人在信息技术管理工作中的职责分工。
证券公司信息技术管理规定(草案)
证券公司信息技术管理规定(草案V1.72)第一章总则第一条【立法目的和依据】为保障证券公司信息系统安全运行,加强证券公司信息安全管理,防范和化解信息技术风险,提高行业信息安全水平,支持证券业务发展,根据《中华人民共和国证券法》、《证券公司监督管理条例》、《证券期货业信息安全保障管理办法》(已公开征求意见)等有关法律法规制定本规定。
第二条【适用范围】本规定适用于在中华人民共和国境内依法设立的证券公司。
第三条【责任主体及原则】证券公司是信息技术管理工作的责任主体,对本机构信息系统安全运行承担责任,实行“谁运行、谁负责,谁使用、谁负责”原则。
第四条【会机关监管职责】中国证监会负责制定、修订证券公司信息技术相关法规,牵头对证券公司信息技术相关新应用、新情况、新问题进行研究,并牵头对行业发生的重大安全事件进行调查处理。
第五条【证监局监管职责】证监局负责辖区证券公司信息系统监管,证券公司分支机构信息系统由分支机构所在地证监局负责监管。
证券公司分支机构所在地和证券公司住所地证监局之间应建立有效的信息沟通和监管协作机制,有效防范、化解和处置分支机构的信息技术风险、重大异常情况和突发事件,协调配合做好有关分支机构的信息技术检查、信息安全事件处置等事项。
第六条【信息技术定义】本规定中的证券公司信息技术(英文:Information Technology,简称IT)是指证券公司在核准的业务范围内,管理和处理业务活动期间产生的账户、交易、清算、财务、服务等方面信息所采用的各种计算机、通信、软件工程等技术的统称。
第二章信息技术治理第七条【信息技术治理】信息技术治理是指证券公司在运用信息技术过程中,制定的有关信息技术决策权分配和责任承担的框架。
第八条【责任分工】证券公司法定代表人对证券公司信息安全及信息技术管理负最终责任,证券公司章程应明确以下事项:(一)证券公司信息技术管理的组织架构和决策机构;(二)证券公司董事长、总经理、分管信息技术的高级管理人员、信息技术管理部门负责人在信息技术管理工作中的职责分工。
证券公司管理系统信息技术管理系统要求规范
Norms for the Information Technology Management of Securities panies【实施日期】2005.03.25【时效性】现行有效【效力级别】部门规X性文件【法规类别】互联网【全文】【法宝引证码】CLI.4.57905证券公司信息技术管理规X中华人民某某国金融行业标准JR/T0023—2004证券公司信息技术管理规XThe criterion of IT management for securites pany2005年3月25日发布2005年3月25日实施本标准由全国金融标准化技术委员会提出。
本标准由全国金融标准化技术委员会归口管理。
本标准起草单位:中国证券监视管理委员会、国泰君安证券股份某某、中国银河证券某某公司、申银万国证券股份某某、长江证券某某公司、海通证券股份某某、泰阳证券某某公司、闽发证券某某公司、兴业证券股份某某、国信证券某某公司。
本标准主要起草人:徐雅萍、陈煜涛、俞枫、金守罕、郭怡峰、陈静、沈云明、汤玉龙、彭湘林、王锦炎、X斌、廖亚滨、万晓鹰、黄卉、徐颖。
本标准为首次发布。
为了规X证券公司信息技术管理行为,保护投资者的合法利益,维护证券公司的合法权益,促进证券市场的健康开展,特制定本标准,以加强证券公司信息系统的优化建设和安全管理,推动信息系统建设与技术管理水平的协调开展,提高证券行业的整体信息技术应用水平。
证券公司信息技术管理规X本标准规定了证券公司信息技术管理的以下方面:a〕信息技术管理工作中应遵循的根本原如此;b〕信息技术管理的组织架构;c〕信息技术人员、项目和安全管理;d〕机房和设备管理;e〕网络通信、软件和数据;f〕信息系统运行管理、技术事故的防X与处理。
本标准适用于证券公司的信息技术管理工作。
如下文件中的条款通过本标准的引用而成为本标准的条款。
但凡注日期的引用文件,其随后所有的修改单〔不包括勘误的内容〕或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
证券公司重要信息系统容量管理标准
标题:证券公司重要信息系统容量管理标准1. 引言证券公司作为金融行业中的重要组成部分,拥有大量的信息系统来支撑业务运营和客户服务。
信息系统的稳定性和性能对证券公司的业务运营至关重要。
而信息系统的容量管理则是保障信息系统稳定性和性能的重要手段之一。
本文将从容量管理的概念、目的、原则、标准和实施等方面进行较为详细的介绍,旨在帮助证券公司加强对重要信息系统容量管理的认识和实际操作。
2. 容量管理概念容量管理是指根据需求规划、部署和维护信息技术资源,确保系统在预期负载下达到所需的性能水平。
具体来说,容量管理包括对硬件、软件、网络以及其他相关资源(如存储资源、数据库等)的监控、评估和规划。
3. 容量管理的目的(1)保障信息系统性能:通过对系统容量进行有效管理,能够保证信息系统在正常业务负载下的良好性能;(2)提高资源利用率:通过合理规划和调整资源配置,能够提高系统资源的利用率,降低成本;(3)预防故障:通过对系统容量的监控和预测,能够及时发现并预防系统性能问题和故障的发生。
4. 容量管理的原则(1)全面性:容量管理应该覆盖所有与系统性能相关的资源,涵盖硬件、软件、网络、存储等方面;(2)周期性:容量管理是一个长期的过程,需要定期对系统进行评估和规划;(3)预测性:容量管理不仅要对当前系统负载进行监控和管理,还需要通过预测未来业务需求来进行资源规划;(4)灵活性:容量管理需要具有一定的灵活性,能够根据业务需求和技术发展进行调整。
5. 容量管理的标准(1)系统容量规划标准:根据业务需求和未来发展规划,制定并实施系统容量规划标准,包括硬件配置、系统性能指标等;(2)系统容量监控标准:建立系统容量监控机制,对系统负载、性能指标等进行实时监控,并对异常情况进行预警和处理;(3)系统容量预测标准:通过历史数据和未来业务需求进行系统容量预测,为系统资源配置提供依据;(4)系统容量调整标准:根据监控和预测结果,及时进行系统资源调整和优化。
证券股份有限公司分支机构信息技术管理办法
证券股份有限公司分支机构信息技术管理办法证券股份有限公司分支机构信息技术管理办法第一章总则第一条本办法是为了规范证券股份有限公司分支机构的信息技术管理,保障证券市场的安全稳定运行,提升分支机构的信息化水平,维护公司的声誉和利益,制定的。
第二条本办法适用于证券股份有限公司的各个分支机构,包括总部和各省、市、县、乡镇等分支机构。
第三条分支机构应当根据本办法制定相关管理制度,并定期进行评估和更新。
第四条本办法所称信息技术,是指计算机、网络、通讯等先进技术在证券业务中的应用和运营管理。
第五条分支机构应当根据公司信息技术管理的总体要求,制定本办法具体实施细则。
第二章信息系统管理第六条分支机构应当采用公司统一规划和建设的信息系统,不得私自采购和使用未经公司认定的信息技术产品。
第七条分支机构应当对信息系统进行维护和管理,确保系统的安全、稳定、高效运行,并定期备份系统数据。
第八条分支机构应当建立系统日志、操作日志、安全日志等日志记录机制,记录系统的运行状况和异常情况,并定期对日志进行审计和分析,及时排除异常。
第九条分支机构应当对系统的使用权限进行管理,根据不同职责和权限设置不同的访问权限。
对于未经授权的访问和操作行为,应当及时发现并采取有效措施进行处置。
第十条分支机构应当对重要的业务系统和数据进行备份和灾备管理,确保业务连续性和数据安全。
第三章网络安全管理第十一条分支机构应当建立网络安全管理制度,包括但不限于网络安全策略、网络监控与防御、网络事件响应等。
第十二条分支机构应当购买专业的防火墙、入侵检测、反病毒等安全设备,并严格执行相关安全策略和规范。
第十三条分支机构应当建立安全审计机制,对网络访问、操作、应用等行为进行审计和分析,及时发现和处理安全隐患和恶意攻击行为。
第十四条分支机构应当建立安全响应机制,对网络安全事件进行快速响应和处理,并及时上报公司网络安全部门。
第十五条分支机构应当定期开展网络安全培训和演练,提升员工对网络安全的意识和保护能力。
长城证券责任公司信息系统管理制度汇编
长城证券有限责任公司信息系统管理制度汇编长城证券有限责任公司要求,求了公司有关部门与部分营业部的意见,最终形成这本《长城证券有限责任公司信息系统管理制度汇编》(以下简称《制度汇编》)。
本《制度汇编》分为三大部分。
一是公司信息系统管理办法(试行),共有18条,主要包括公司信息技术中心的工作职责、证券营业部(以下简称营业部)电脑部的职责、以及有关营业部搬迁、扩租、电子设备购置等事项报批程序与管理办法等。
二是公司信息系统管理实施细则(试行),共分12 章,主要包括计算机应用项目立项和审批程序、应用软件开发管理、计算机设备购置和使用管理、网络管理、机房管理、计算机设备报废管理、耗材管理、防病毒管理、技术文档管理以及系统安全保密管理等;三是营业部信息系统管理办法(试行),共分 ? 章,比较详细地制定了营业部电脑部工作职责、人员管理、岗位设置、安全及风险防范、软硬件设备管理、数据管理、资第一部分长城证券有限责任公司信息系统管理办法(试行)应用由信息技术中心归口管理。
第五条公司信息技术中心是全公司计算机信息系统规划、管理和技术协调的主管部门。
各营业部电脑部在技术上接受信息技术中心的指导、管理和考核,在业务及行政上接受所在营业部负责人的领导和管理。
第六条信息技术中心的主要职能是:1、保证公司的信息技术的应用具有前瞻性。
2、保障当前投入使用的系统稳定运行。
10、协助公司作不定期的技术审计,对营业部信息系统进行专项检查。
11、完成总部的各应用信息系统及交易系统的日常维护工作,包括通讯、网络、系统、应用、安全(防黑客、防病毒、数据备份)等。
12、负责具体指导和监营业部电脑部工作,对营业部提供实时技术支持和现场服务。
13、为公司电子商务的发展,提供充分的技术支持,维护更新公司的内、外网站,保障网上交易等各类电子商务业务的开展。
4、负责计算机硬件设备的管理和维护,保持系统处于良好的运行状态。
5、负责本营业部信息系统的安全运行。
证券公司内部系统管理制度
第一章总则第一条为加强证券公司内部系统管理,确保公司业务安全、高效、稳定运行,根据《中华人民共和国证券法》、《证券公司管理办法》等相关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于证券公司所有内部系统,包括但不限于交易系统、信息管理系统、财务系统、客户服务系统等。
第三条证券公司内部系统管理应遵循以下原则:1. 安全可靠:确保系统稳定运行,防止系统故障和数据泄露,保障公司业务安全。
2. 高效便捷:优化系统功能,提高业务处理速度,提升员工工作效率。
3. 规范统一:建立健全内部系统管理制度,实现系统管理的规范化和统一化。
4. 持续改进:根据业务发展和技术进步,不断优化系统功能和性能。
第二章系统安全与保密第四条证券公司应建立健全系统安全管理制度,包括:1. 确定系统安全等级,制定相应的安全策略和措施。
2. 对系统进行定期安全检查,及时发现和消除安全隐患。
3. 对系统进行备份和恢复,确保数据安全。
4. 加强系统用户权限管理,严格控制用户访问权限。
第五条证券公司应建立健全系统保密制度,包括:1. 确定系统保密等级,制定相应的保密措施。
2. 对系统数据进行加密处理,防止数据泄露。
3. 加强对系统日志和审计信息的监控,确保保密信息不被非法访问。
第三章系统运维与维护第六条证券公司应建立健全系统运维管理制度,包括:1. 制定系统运维规范,明确运维流程和职责。
2. 对系统进行定期巡检,及时发现和解决系统故障。
3. 对系统进行升级和优化,提高系统性能。
4. 对系统进行故障排查和修复,确保系统稳定运行。
第七条证券公司应建立健全系统维护制度,包括:1. 制定系统维护计划,明确维护任务和时间。
2. 对系统进行定期维护,确保系统正常运行。
3. 对系统进行性能优化,提高系统处理能力。
4. 对系统进行数据清理,确保数据准确性和完整性。
第四章考核与奖惩第八条证券公司对内部系统管理人员进行考核,考核内容包括:1. 系统安全、保密制度的执行情况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统管理实施细则第一章总则第一条为加强AA证券有限责任公司(以下简称公司)对计算机应用的集中统一管理,规范全公司系统的计算机应用,保证计算机系统和设备的正常运转,根据公司《信息系统管理办法》,制订本实施细则。
第二条本实施细则主要包括计算机应用项目立项和审批程序、计算机设备购置和使用管理、应用软件开发管理、计算机设备报废管理、耗材管理、网络管理、机房管理、技术文档的管理、系统安全保密管理、网络防病毒管理以及技术培训管理等。
第三条本办法适用于公司各部室、中心及所属证券营业部(以下简称营业部)。
第二章信息系统工程项目申请、立项和审批程序第一条计算机应用项目包括计算机网络系统新建与改造、硬件设备与系统软件的购置、升级以及应用软件开发与升级等。
第二条凡单价超过五千元的计算机应用项目,须填写《AA证券有限责任公司计算机应用项目立项申请报告》(见附表1),并报公司信息技术中心审批。
第三条已立项的计算机应用项目完成后,由公司信息技术中心会同有关业务管理人员组成项目验收小组进行验收,验收结果形成《AA证券有限责任公司计算机应用项目验收报告》(见附表2)。
第四条公司各部室、中心在每年的12月31日前,提出本部门下一年度的计算机应用项目建设、购置及升级计划,填写《计算机设备需求计划表》(见附表3)、《计算机设备资金需求计划表》(见附表4)报信息技术中心。
第五条信息技术中心根据公司信息系统建设总体规划和各部室、中心及营业部提交的计划,汇总制定公司下一年度计算机应用项目购建计划,报请公司批准后执行。
第六条对于计划外的计算机应用项目,除特殊应急项目特批外,其他原则上不予审批。
第七条对于投资较大、建设周期较长、涉及面广的计算机应用项目,信息技术中心将邀请业务需求部门、营业部电脑人员及有关专家进行技术论证和评审,原则上采用统一招标,统一推广的方式。
第三章信息系统安全管理制度总则第一条为了加强对公司信息系统的安全管理、防范和化解各种技术风险、保护投资者利益、维护公司的合法权益,确保公司各项业务的顺利开展,根据《中华人民共和国计算机信息系统安全保护条例》、《证券经营机构营业部信息系统技术管理规范(试行)》及有关规定制定本制度。
第二条信息系统安全管理涉及安全管理组织建设、安全策略、系统环境安全、软件安全、设备(实体)安全、网络和通讯系统安全、用户及权限管理、操作安全、病毒防范、系统备份、日志记录、事故处理以及安全审计等内容,公司信息技术工作应在本制度指引下,本着“安全第一”的原则进行。
第三条本制度适用于AA证券公司总部、各地区总部及各营业部。
组织和职责第四条信息系统安全管理实行公司总裁负责的公司安全管理委员会和营业部总经理负责的营业部安全管理小组两级管理制度。
第五条公司安全管理委员会下设安全工作小组作为执行机构,定期对公司范围信息系统的安全性作出评价,必要时提出提高安全性的建议。
第六条公司安全管理委员会的职责包括:建立健全公司各种安全制度、对安全工作小组的工作进行授权、对公司各类信息的重要性进行评估为其安全级别的制定提供依据、对安全工作小组有关报告的讨论和批复、安全事故处理结果的公布、取得法律支持以解决信息系统入侵者的问题,以及进行安全教育和安全检查。
第七条营业部安全管理小组的职责包括:监督和检查各项安全管理制度在营业部的落实情况、定期向公司安全管理委员会提交工作报告、处理公司安全管理委员会授权的事务、配合公司安全工作小组的工作、开展计算机安全教育、保证营业部信息系统安全运行。
安全策略第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条对计算机信息系统中发生的案件,营业部电脑人员即时向营业部总经理汇报,并于24小时内向总部信息技术中心报告。
第十条通过对信息系统环境、软件、硬件、网络和通信、用户和权限、规范化操作、病毒防范、备份和恢复手段以及安全审计等的有效管理,维护公司整个计算机环境的一致性。
第十一条建立一个多层次的安全系统,在信息的安全和共享之间建立平衡。
第十二条对公司员工进行计算机安全教育,提高员工的安全意识,是公司安全策略的重要组成部分。
第十三条营业部安全管理小组必须定期对本营业部的主要计算机信息系统资源配置、技术人员构成进行登记,并报公司安全管理委员会备案。
第十四条公司安全管理委员会及营业部安全管理小组应当对公司总部和各营业部重要岗位计算机信息系统的安全情况经常进行检查,并及时整改不安全隐患。
第十五条公司安全管理委员会应当建立废弃数据、介质的处理制度。
第十六条公司总部和各营业部启用新的应用软件,应当按《软件开发管理制度(试行)》中有关规定业务系统,并做好日志记录。
第十七条公司安全管理委员会应当建立严格的密钥管理制度和在紧急情况下销毁密钥的手段和措施,以防止密钥的失密。
安全监督第十八条公司安全管理委员会对公司内部计算机信息系统安全保护工作行使下列监督职权:1、监督、检查、指导计算机信息系统安全保护工作;2、查处危害计算机信息系统安全的事件;3、组织或委托有关部门对新建、改建和扩建的系统进行安全验收,负责系统安全技术检测工作;4、组织开展系统安全竞赛和评比;负责通报表彰和处罚;5、履行计算机信息系统安全保护工作的其他监督职责。
第十九条公司安全管理委员会发现影响计算机信息系统安全的隐患时,应当及时通知公司各有关部门和各营业部采取安全保护措施。
第二十条公司安全管理委员会在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通知。
安全管理第一节信息系统环境的安全管理第二十一条信息系统环境的安全管理按照公司《计算机房管理制度》及《信息系统环境标准》执行。
第二节软件安全管理第二十二条总部信息技术中心依据公司《软件开发管理制度》对系统软件、应用软件的开发、购买、测试和使用等环节进行管理。
第二十三条软件的开发和采购报告必须包括安全设计的说明,其安全设计必须符合《软件开发管理制度》的有关规定。
第二十四条信息技术人员应按照信息技术中心下发的安装配置方法对系统软件进行统一的安装配置。
第二十五条信息系统的安全漏洞一经发现应及时报告公司安全管理委员会。
第二十六条信息技术中心应与软件开发商和供应商保持联系,及时取得并组织安装经过测试的安全补丁。
第二十七条软件使用部门根据业务需要提出增添新的应用软件或对已有应用软件提出新的功能要求,须以部门名义向信息技术中心填写《软件需求报告表》,信息技术中心在收到《软件需求报告表》(附表5)后,三天之内给予书面答复。
第二十八条新购置的软件需经信息技术中心测试和试运行。
试运行完成后,试用人员应填写《软件验收报告表》(附表6)报信息技术中心领导审核,信息技术中心在收到报告后三天内予以回复。
测试稳定后由信息技术中心统一分发安装使用。
第二十九条自行开发的应用软件,如源程序中需要嵌入数据库访问的用户设置,应由数据管理员得到源程序、制作安装盘。
该安装盘与购置的应用软件安装盘一并由档案管理员保管,由应用系统维护人员调用安装。
第三节计算机及相关设备的安全管理第三十条总部信息技术中心配合行政部及财务部依据公司《电子与通讯设备固定资产管理制度》对计算机及相关设备的选型、采购等过程进行管理。
第三十一条重要的服务器、工作站、网络设备、通讯设备应放置在机房,通过《计算机房管理制度》保证其物理安全性。
第三十二条重要的服务器、工作站、网络设备、通讯设备应有备品备件,出现问题及时更换。
第三十三条对服务器及其资源的管理:1、对资源共享权限和NTFS访问权限进行严格、有效的管理,不授予用户超出需要的权限,权限的设置必须有明确的依据;2、制定方案,对敏感资源的操作、系统登录情况进行定期或不定期检查,及时查看L系统日志文件,对ALERT相关日志提示作出及时响应;3、提供远程访问和对外WEB服务的服务器不存放敏感数据;4、对一些系统程序(如Telnet、ftp等)的使用应加强控制;停止服务器上不必要的服务;尽量减少所使用的协议。
第三十四条对贮有重要数据的故障设备,交外单位人员修理时,公司总部及各营业部必须派专人在场监督。
第四节网络和通信系统的安全管理第三十五条计算机通信系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定,并建立一个多层次的安全系统,在信息的安全和共享之间建立平衡。
第三十六条采用新的网络安全软件、设备和技术保证公司网络的安全。
第三十七条采用数据加密技术保证数据安全传输。
总部和营业部间业务数据的传输应加密后采用数据专线进行传输。
并采用PPP协议中PAP、CHAP相应的认证。
第三十八条总部和营业部间业务数据的传输应加密后采用数据专线进行传输。
第三十九条通信设备应具有防干扰、防截取能力。
主要的通信设备应做到设备备份。
第四十条通信线路接口部分应采取防止非法进入的安全措施。
第四十一条进行密码设置,并进行密码的专职保管,防范通信线路接口部分的采取非法进入。
第四十二条公司总部及营业部应当对公司总部和各营业部通信系稳定、安全情况进行定期检查,并及时整改不安全隐患。
第四十三条对通信系统中发生的案件,营业部电脑人员即时向营业部总经理汇报,并于即时与总部信息技术中心相关人员联系,双方合作尽快解决问题。
第四十四条总部信息技术中心设岗位职责,分别负责公司广域网连接方案、网络安全方案的实施,对总部局域网、公司广域网连接、各类移动连接、Internet接入设备进行管理,以及其它保证网络连接安全稳定的日常事务性工作。
第四十五条营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。
营业部柜台交易系统管理员由营业部总经理担任。
第四十六条营业部与交易所的卫星通信均应做到伙伴备份或isdn 或ddn的备份。
对上海报盘应做到总部备份。
对以上备份系统做到定期测试,保证通信无误。
第四十七条为了安全期间,营业部与营业部之间应限制相互间的直接操作。
第五节数据访问的安全管理第四十八条由于审计、数据库故障调试等原因,需要访问数据库时,应创建临时用户、赋予适当的权限,并交由审计人员、应用系统维护人员使用,并在使用完毕后及时删除该临时用户。
在技术允许的条件下,应限制用户的登录工作站。
第四十九条对于涉及业务、财务方面的数据库,应利用数据库系统的访问跟踪记录功能,设置对应用系统、调试用户、超级用户访问数据库的命令进行跟踪,记录到监控日志文件中。
定期检查监控日志,发现异常及时通报。
第五节管理员及其职责第五十条总部信息技术中心设系统管理员岗位,负责公司信息系统的管理,包括服务器的规划、安装和配置,启动/停止系统和服务,对系统运行状态和入侵企图进行监控,安装/删除软件,增加/删除/修改用户和用户组,对用户/用户组的权限进行设置和修改,以及其它保持系统发展和安全运行的工作。
管理员应采取的安全措施有:1、由于管理员组和备份组成员拥有对SAM数据库的权限,所以必须严格限制管理员组和备份组成员资格,并加强对这些帐户的审计;2、改变Administrator帐户名,为管理员和备份操作员创建专用帐号,为特定的工作建立专用的帐号,要求在执行相应的管理任务时使用相应的帐号,操作结束时及时注销;3、关闭管理员以及特殊权限用户的远程访问能力,特殊情况可以采用预设电话号码的回拨方式;4、管理员组、备份组成员帐户不能用于浏览WEB。