證券經(jīng)營(yíng)機(jī)構(gòu)營(yíng)業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行）

第一章　總　則

第一節(jié)　目　標(biāo)

1　11　最大程度地防范技術(shù)操作風(fēng)險(xiǎn)，保護(hù)投資者利益，維護(hù)證券經(jīng)營(yíng)機(jī)構(gòu)的合法權(quán)益，促進(jìn)證券市場(chǎng)健康發(fā)展。

112　充分吸收國(guó)外先進(jìn)經(jīng)驗(yàn)和國(guó)內(nèi)計(jì)算機(jī)信息技術(shù)應(yīng)用成果，推動(dòng)信息系統(tǒng)建設(shè)與技術(shù)管理水平的協(xié)調(diào)發(fā)展，提高證券行業(yè)的整體技術(shù)水平。

113　指導(dǎo)證券經(jīng)營(yíng)機(jī)構(gòu)下屬證券營(yíng)業(yè)部(以下簡(jiǎn)稱營(yíng)業(yè)部)加強(qiáng)計(jì)算機(jī)信息系統(tǒng)的優(yōu)化建設(shè)和安全管理，加強(qiáng)計(jì)算機(jī)信息技術(shù)人員的管理，防止數(shù)據(jù)遺失、損壞、篡改、泄漏，提高系統(tǒng)運(yùn)行的安全性、可靠性與穩(wěn)定性。

第二節(jié)　原　則

121　安全性原則。營(yíng)業(yè)部在信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、運(yùn)行、維護(hù)各環(huán)節(jié)和硬件、軟件、網(wǎng)絡(luò)通訊、數(shù)據(jù)、管理制度各方面，都必須貫徹安全性原則。應(yīng)當(dāng)把安全措施落實(shí)到信息技術(shù)管理的每個(gè)環(huán)節(jié)、每個(gè)方面;應(yīng)當(dāng)使從業(yè)人員牢固樹(shù)立技術(shù)風(fēng)險(xiǎn)的防范意識(shí)。

122　實(shí)用性原則。營(yíng)業(yè)部應(yīng)當(dāng)加強(qiáng)信息技術(shù)管理，注重采用先進(jìn)成熟技術(shù)。在確保系統(tǒng)安全的前提下，力求避免因不切實(shí)際地提高系統(tǒng)安全級(jí)別而造成投資浪費(fèi);避免因引用任何未經(jīng)消化吸收的境外安全保密技術(shù)和設(shè)備而對(duì)信息技術(shù)管理造成消極影響。

123　可操作性原則。信息技術(shù)管理規(guī)范必須具有可操作性。營(yíng)業(yè)部根據(jù)本規(guī)范細(xì)化與完善其信息技術(shù)管理制度時(shí)，也應(yīng)當(dāng)力求簡(jiǎn)單明確，便于對(duì)照檢查，便于操作。

第三節(jié)　制定與實(shí)施

131　根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》及有關(guān)規(guī)定，結(jié)合我國(guó)證券業(yè)具體情況，制定本規(guī)范。

132　本規(guī)范由中國(guó)證券監(jiān)督管理委員會(huì)發(fā)布和監(jiān)督實(shí)施。

133　本規(guī)范原則上每?jī)赡晷抻喴淮巍?/p>

134　本規(guī)范由中國(guó)證券監(jiān)督管理委員會(huì)負(fù)責(zé)解釋。

第二章　管理體系

第一節(jié)　組織結(jié)構(gòu)

211　各證券經(jīng)營(yíng)機(jī)構(gòu)計(jì)算機(jī)信息技術(shù)工作必須實(shí)行統(tǒng)一歸口管理，建立健全組織機(jī)構(gòu)。證券經(jīng)營(yíng)機(jī)構(gòu)應(yīng)設(shè)立計(jì)算機(jī)信息系統(tǒng)管理部門(mén)(以下稱電腦中心)，營(yíng)業(yè)部相應(yīng)設(shè)立計(jì)算機(jī)工作管理部門(mén)(以下稱電腦部).

212　電腦中心是證券經(jīng)營(yíng)機(jī)構(gòu)信息系統(tǒng)規(guī)劃、建設(shè)、管理的主管部門(mén)。電腦中心內(nèi)部應(yīng)建立職責(zé)明確、相互制約的分工體系，可設(shè)置運(yùn)行、開(kāi)發(fā)、管理等工作部門(mén)。電腦中心的主要職能是：

(1)負(fù)責(zé)制定與信息系統(tǒng)相關(guān)的規(guī)章制度;

(2)負(fù)責(zé)信息系統(tǒng)建設(shè)的總體規(guī)劃并組織實(shí)施;

(3)根據(jù)證券經(jīng)營(yíng)機(jī)構(gòu)業(yè)務(wù)目標(biāo)與計(jì)劃制定計(jì)算機(jī)工作計(jì)劃并組織實(shí)施;

(4)審核營(yíng)業(yè)部電腦負(fù)責(zé)人的任職資格;

(5)負(fù)責(zé)信息技術(shù)人員的培訓(xùn)與考核;

(6)負(fù)責(zé)計(jì)算機(jī)硬件與軟件的選型;

(7)審核計(jì)算機(jī)硬件設(shè)備的購(gòu)置、報(bào)損、報(bào)廢;

(8)負(fù)責(zé)計(jì)算機(jī)軟件的開(kāi)發(fā)與購(gòu)買(mǎi);

(9)保障信息系統(tǒng)安全運(yùn)行，為營(yíng)業(yè)部提供技術(shù)支持;

(10)負(fù)責(zé)交易業(yè)務(wù)數(shù)據(jù)及其它重要數(shù)據(jù)的備份管理;

(11)負(fù)責(zé)技術(shù)資料的管理;

(12)負(fù)責(zé)對(duì)營(yíng)業(yè)部的信息系統(tǒng)進(jìn)行定期或不定期的專項(xiàng)檢查;

(13)指導(dǎo)和監(jiān)督電腦部工作;

(14)跟蹤研究信息技術(shù)的發(fā)展;

(15)公司授權(quán)的其它管理職能。

213　電腦部負(fù)責(zé)本營(yíng)業(yè)部信息系統(tǒng)日常的運(yùn)行、管理與維護(hù)。電腦部在技術(shù)上接受電腦中心的管理、指導(dǎo)和考核。電腦部的主要職能是：

(1)負(fù)責(zé)本營(yíng)業(yè)部信息系統(tǒng)的安全運(yùn)行，開(kāi)市之前做好系統(tǒng)的運(yùn)行準(zhǔn)備工作，開(kāi)市期間實(shí)時(shí)監(jiān)控系統(tǒng)的運(yùn)行狀況，收市以后配合清算員完成日結(jié)清算等盤(pán)后工作;

(2)及時(shí)處理證券交易所及有關(guān)部門(mén)播發(fā)的涉及信息系統(tǒng)運(yùn)行的數(shù)據(jù)與文件;

(3)負(fù)責(zé)對(duì)本營(yíng)業(yè)部業(yè)務(wù)人員進(jìn)行計(jì)算機(jī)操作指導(dǎo)，協(xié)助電腦中心對(duì)有關(guān)業(yè)務(wù)人員進(jìn)行技術(shù)培訓(xùn);

(4)完整、準(zhǔn)確地記錄信息系統(tǒng)的運(yùn)行日志，詳細(xì)記載發(fā)生異常時(shí)的現(xiàn)象、時(shí)間、處理方式等內(nèi)容并妥善保存有關(guān)原始資料，發(fā)生技術(shù)事故及時(shí)報(bào)告;

(5)負(fù)責(zé)計(jì)算機(jī)硬件設(shè)備的管理和維護(hù)，保持系統(tǒng)處于良好的運(yùn)行狀態(tài);

(6)負(fù)責(zé)交易業(yè)務(wù)數(shù)據(jù)及其它重要數(shù)據(jù)的備份;

(7)根據(jù)營(yíng)業(yè)部業(yè)務(wù)發(fā)展的要求，提交軟件需求報(bào)告及硬件采購(gòu)計(jì)劃;

(8)編制營(yíng)業(yè)部計(jì)算機(jī)設(shè)備的維修、報(bào)損、報(bào)廢計(jì)劃，報(bào)電腦中心審核;

(9)處理經(jīng)電腦中心核準(zhǔn)的其它事務(wù)。

第二節(jié)　人員管理

221　為保障信息系統(tǒng)的開(kāi)發(fā)與運(yùn)行管理質(zhì)量，證券經(jīng)營(yíng)機(jī)構(gòu)營(yíng)業(yè)部信息技術(shù)人員編制應(yīng)不少于總?cè)藬?shù)的百分之十。

222　信息技術(shù)人員應(yīng)具備大專以上學(xué)歷，具有計(jì)算機(jī)基礎(chǔ)理論知識(shí)和專業(yè)技術(shù)經(jīng)驗(yàn)、較強(qiáng)的業(yè)務(wù)工作能力和再學(xué)習(xí)能力、良好的職業(yè)道德和服務(wù)意識(shí)，富有敬業(yè)精神和團(tuán)隊(duì)合作精神。

223　禁止錄用有犯罪或其他嚴(yán)重違法行為記錄的人員從事證券行業(yè)計(jì)算機(jī)工作。

224　關(guān)鍵技術(shù)崗位必須經(jīng)過(guò)嚴(yán)格考核，合格后方可上崗。

225　電腦中心應(yīng)配合人事部門(mén)定期對(duì)信息技術(shù)人員進(jìn)行考核。

226　定期對(duì)信息技術(shù)人員進(jìn)行業(yè)務(wù)培訓(xùn)和技術(shù)培訓(xùn)，不合格或未參加培訓(xùn)者嚴(yán)禁上崗。

227　營(yíng)業(yè)部電腦負(fù)責(zé)人之間應(yīng)定期或不定期輪換。

228　離崗人員必須嚴(yán)格辦理離崗手續(xù)，明確其離崗后的保密義務(wù)，退還全部技術(shù)資料。信息系統(tǒng)的口令必須立即更換。

第三節(jié)　安全管理

231　建立計(jì)算機(jī)安全管理組織，證券經(jīng)營(yíng)機(jī)構(gòu)要指定一職能部門(mén)負(fù)責(zé)公司及所屬營(yíng)業(yè)部的計(jì)算機(jī)安全管理。由公司總經(jīng)理(總裁)主管計(jì)算機(jī)安全工作，營(yíng)業(yè)部負(fù)責(zé)人為營(yíng)業(yè)部計(jì)算機(jī)安全工作責(zé)任人。

232　計(jì)算機(jī)安全管理組織的主要任務(wù)是：制定計(jì)算機(jī)安全管理制度，廣泛開(kāi)展計(jì)算機(jī)安全教育，定期或不定期進(jìn)行計(jì)算機(jī)安全檢查，保證計(jì)算機(jī)系統(tǒng)安全運(yùn)行。

233　計(jì)算機(jī)安全管理的主要內(nèi)容包括安全防范設(shè)施和安全保障機(jī)制，以有效降低系統(tǒng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)，預(yù)防不法分子利用計(jì)算機(jī)作案。

234　建立計(jì)算機(jī)機(jī)房安全管理制度

(1)建立完整的計(jì)算機(jī)運(yùn)行日志、操作記錄及其它與安全有關(guān)的資料;

(2)交易時(shí)間內(nèi)機(jī)房必須有當(dāng)班值班人員;

(3)定期檢查安全保障設(shè)備，確保其處于正常工作狀態(tài);

(4)建立并嚴(yán)格執(zhí)行機(jī)房進(jìn)出管理制度，無(wú)關(guān)人員未經(jīng)安全責(zé)任人批準(zhǔn)嚴(yán)禁進(jìn)出機(jī)房;

(5)嚴(yán)禁易燃易爆和強(qiáng)磁物品及其它與機(jī)房工作無(wú)關(guān)的物品進(jìn)入機(jī)房。

235　建立操作安全管理制度

(1)應(yīng)采取嚴(yán)密的安全措施防止無(wú)關(guān)用戶進(jìn)入系統(tǒng);

(2)數(shù)據(jù)庫(kù)管理系統(tǒng)的口令必須由電腦中心專人掌管，并要求定期更換。禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫(kù)管理系統(tǒng)口令;

(3)操作人員應(yīng)有互不相同的用戶名，定期更換操作口令。嚴(yán)禁操作人員泄露自己的操作口令;

(4)必須啟用系統(tǒng)軟件提供的安全審計(jì)留痕功能;

(5)各崗位操作權(quán)限要嚴(yán)格按崗位職責(zé)設(shè)置。應(yīng)定期檢查操作員的權(quán)限;

(6)重要崗位的登錄過(guò)程應(yīng)增加必要的限制措施;

(7)營(yíng)業(yè)部計(jì)算機(jī)信息技術(shù)人員不得擔(dān)任清算員從事結(jié)算記賬工作;

(8)建立和完善技術(shù)監(jiān)管系統(tǒng)，定期進(jìn)行獨(dú)立的對(duì)賬，核對(duì)交易數(shù)據(jù)、清算數(shù)據(jù)、保證金數(shù)據(jù)、證券托管數(shù)據(jù)以及會(huì)計(jì)數(shù)據(jù)的一致性和連續(xù)性;

(9)對(duì)數(shù)據(jù)備份和審計(jì)記錄建立定期查驗(yàn)制度。

236　建立計(jì)算機(jī)病毒防范制度

(1)電腦中心應(yīng)指定專人負(fù)責(zé)計(jì)算機(jī)病毒防范工作。電腦部應(yīng)定期進(jìn)行病毒檢測(cè)，發(fā)現(xiàn)病毒立即處理并報(bào)告;

(2)新系統(tǒng)安裝前應(yīng)進(jìn)行病毒例行檢測(cè);

(3)經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過(guò)檢測(cè)確認(rèn)無(wú)病毒后方可使用;

(4)禁止運(yùn)行未經(jīng)電腦中心審核批準(zhǔn)的軟件;

(5)應(yīng)采用國(guó)家許可的正版防病毒軟件并及時(shí)更新軟件版本。

第四節(jié)　技術(shù)資料管理

241　技術(shù)資料是指與信息系統(tǒng)有關(guān)的技術(shù)文件、圖表、程序與數(shù)據(jù)，包括信息系統(tǒng)建設(shè)規(guī)劃、網(wǎng)絡(luò)設(shè)計(jì)方案、軟件設(shè)計(jì)方案、安全設(shè)計(jì)方案、源代碼、系統(tǒng)配置參數(shù)、技術(shù)數(shù)據(jù)及相關(guān)技術(shù)資料。

242　各級(jí)管理機(jī)構(gòu)應(yīng)制定技術(shù)資料的管理制度，明確執(zhí)行管理制度的責(zé)任人。

243　借閱、復(fù)制技術(shù)資料應(yīng)履行必要的手續(xù)。

244　重要技術(shù)資料應(yīng)有副本并異地存放。

245　技術(shù)資料應(yīng)實(shí)施密期管理辦法。

246　報(bào)廢的技術(shù)資料應(yīng)有嚴(yán)格的銷(xiāo)毀和監(jiān)銷(xiāo)制度。

第三章　硬件設(shè)施

第一節(jié)　計(jì)算機(jī)機(jī)房

311　計(jì)算機(jī)機(jī)房建設(shè)應(yīng)符合國(guó)標(biāo)GB2887-89《計(jì)算站場(chǎng)地技術(shù)條件》和GB9361-88《計(jì)算站場(chǎng)地安全要求》.

312　供電系統(tǒng)

(1)機(jī)房應(yīng)有單獨(dú)的配電柜，計(jì)算機(jī)系統(tǒng)要設(shè)有獨(dú)立于一般照明電的專用的供配電線路，其容量應(yīng)有一定的余量，建議采用雙路供電;

(2)機(jī)房應(yīng)配備不間斷電源設(shè)備，其容量應(yīng)保證機(jī)房設(shè)備和關(guān)鍵交易設(shè)備在斷電情況下維持到后備電源供電。無(wú)備用發(fā)電機(jī)時(shí)，不間斷電源設(shè)備應(yīng)能夠持續(xù)供電4小時(shí)以上。

313　接地與防雷系統(tǒng)

(1)機(jī)房應(yīng)采用獨(dú)立的工作地和防雷保護(hù)地。工作地和防雷保護(hù)地之間的距離應(yīng)大于10米;

(2)工作地的接地電阻應(yīng)小于4歐姆，防雷保護(hù)地的接地電阻應(yīng)小于10歐姆;

(3)各類通信線路和設(shè)備宜增加相應(yīng)的防雷設(shè)施。

314　機(jī)房環(huán)境

(1)機(jī)房的使用面積(不包括不間斷電源放置面積)不得小于30平方米;

(2)機(jī)房的操作間與設(shè)備間應(yīng)作分隔，布局應(yīng)有良好的人機(jī)工作環(huán)境，保障工作人員的安全與健康;

(3)機(jī)房宜安裝獨(dú)立空調(diào)設(shè)備;

(4)機(jī)房應(yīng)有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施;

(5)機(jī)房應(yīng)配置備用應(yīng)急照明裝置。

第二節(jié)　遠(yuǎn)程通信

321　證券經(jīng)營(yíng)機(jī)構(gòu)與所屬營(yíng)業(yè)部之間必須建立可靠的通信線路聯(lián)接。

322　營(yíng)業(yè)部與交易所之間的通信聯(lián)接必須安全可靠。

323　重要通信線路必須建立后備線路。

324　通信線路接口部分應(yīng)采取防止非法進(jìn)入的安全措施。

325　通信設(shè)備應(yīng)具有防干擾、防截取能力，具有加密傳輸功能。

326　通信設(shè)備應(yīng)建立設(shè)備備份。

第三節(jié)　計(jì)算機(jī)設(shè)備

331　服務(wù)器

(1)服務(wù)器應(yīng)具有充分的可靠性和充足的容量;

(2)服務(wù)器應(yīng)具有一定的容錯(cuò)特性，宜采用鏡像、陣列、雙機(jī)、群集等容錯(cuò)技術(shù);

(3)服務(wù)器應(yīng)有備品備件。

332　工作站

(1)工作站應(yīng)具有良好的性能及可靠性;

(2)除計(jì)算機(jī)機(jī)房外，一律使用無(wú)軟驅(qū)或光驅(qū)等可卸存儲(chǔ)裝置的網(wǎng)絡(luò)工作站;

(3)重要工作站應(yīng)有冗余備份。

333　數(shù)據(jù)存儲(chǔ)設(shè)備

(1)應(yīng)配備安全可靠的數(shù)據(jù)備份設(shè)備;

(2)交易業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)應(yīng)采用只讀式數(shù)據(jù)記錄設(shè)備。

第四節(jié)　局域網(wǎng)絡(luò)

341　布線系統(tǒng)設(shè)計(jì)可參照CECS72∶97《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》. 在現(xiàn)行技術(shù)條件下，不宜繼續(xù)使用同軸細(xì)纜。

342　網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)合理可靠。

343　網(wǎng)絡(luò)設(shè)備應(yīng)兼具技術(shù)先進(jìn)性和產(chǎn)品成熟性。

344　網(wǎng)絡(luò)設(shè)備應(yīng)有冗余備份。

345　通信速率應(yīng)保證正常業(yè)務(wù)開(kāi)展的需要。

第五節(jié)　電子交易設(shè)備

351　營(yíng)業(yè)部配備的電子交易系統(tǒng)必須達(dá)到一定的安全級(jí)別。

352　客戶操作電子交易設(shè)備應(yīng)有嚴(yán)格的身份識(shí)別機(jī)制。

353　應(yīng)采取適當(dāng)措施，保證設(shè)備完好率不低于百分之九十。

354　各種形式的遠(yuǎn)程交易系統(tǒng)必須采取嚴(yán)格的安全措施。

355　營(yíng)業(yè)部交易場(chǎng)所應(yīng)配備行情揭示設(shè)備，完整、準(zhǔn)確、及時(shí)地顯示行情信息。

第六節(jié)　設(shè)備管理

361　電腦中心統(tǒng)一管理證券經(jīng)營(yíng)機(jī)構(gòu)及下屬營(yíng)業(yè)部的計(jì)算機(jī)設(shè)備。

362　計(jì)算機(jī)設(shè)備的選型、購(gòu)置、登記、保養(yǎng)、維修、報(bào)廢等必須嚴(yán)格按規(guī)定手續(xù)辦理，重大設(shè)備應(yīng)建立維護(hù)檔案。

363　選用的計(jì)算機(jī)設(shè)備必須經(jīng)過(guò)技術(shù)論證，符合國(guó)家有關(guān)標(biāo)準(zhǔn)的規(guī)定，滿足可靠性與兼容性要求。

364　新購(gòu)置的設(shè)備應(yīng)經(jīng)過(guò)測(cè)試，測(cè)試合格后方能投入使用。

365　必須定期對(duì)計(jì)算機(jī)設(shè)備進(jìn)行專業(yè)維護(hù)保養(yǎng)。

366　未經(jīng)電腦中心或電腦部許可，不得擅自開(kāi)拆設(shè)備或調(diào)換設(shè)備配件。

第四章　軟件環(huán)境

第一節(jié)　系統(tǒng)軟件

411　營(yíng)業(yè)部使用的系統(tǒng)軟件主要包括操作系統(tǒng)軟件和數(shù)據(jù)庫(kù)管理軟件。系統(tǒng)軟件的選用應(yīng)充分考慮軟件的安全性、可靠性、穩(wěn)定性和健壯性。

412　應(yīng)使用正版軟件。

413　系統(tǒng)軟件應(yīng)具備如下功能：

(1)身份驗(yàn)證功能，防止非法用戶隨意進(jìn)入系統(tǒng);

(2)訪問(wèn)控制功能，防止系統(tǒng)中出現(xiàn)越權(quán)訪問(wèn);

(3)故障恢復(fù)功能，能夠自動(dòng)或在人工干預(yù)下從故障狀態(tài)恢復(fù)到正常狀態(tài)而不致造成系統(tǒng)混亂和數(shù)據(jù)丟失;

(4)安全保護(hù)功能，對(duì)信息的交換、傳輸、存儲(chǔ)提供安全保護(hù);

(5)安全審計(jì)功能，便于應(yīng)用系統(tǒng)建立訪問(wèn)用戶資源的審計(jì)記錄;

(6)分權(quán)制約功能，支持對(duì)操作員和管理員的權(quán)限分離與相互制約。

414　必須啟用系統(tǒng)軟件提供的安全審計(jì)留痕功能。

415　系統(tǒng)軟件應(yīng)達(dá)到C2級(jí)以上(含C2級(jí))安全級(jí)別。

416　數(shù)據(jù)庫(kù)管理軟件除上述功能要求外，還應(yīng)具有數(shù)據(jù)庫(kù)的安全性、完整性、一致性及可恢復(fù)性保障機(jī)制。

第二節(jié)　應(yīng)用軟件

421　營(yíng)業(yè)部應(yīng)用軟件包括營(yíng)業(yè)部證券交易業(yè)務(wù)處理系統(tǒng)、信息揭示與分析系統(tǒng)及其它業(yè)務(wù)處理系統(tǒng)等。

422　營(yíng)業(yè)部交易業(yè)務(wù)處理系統(tǒng)必須具有如下特性：

(1)自動(dòng)記錄全部操作過(guò)程;

(2)關(guān)鍵數(shù)據(jù)不得以明碼存放;

(3)無(wú)法繞過(guò)應(yīng)用界面直接查看或操作數(shù)據(jù)庫(kù);

(4)系統(tǒng)管理與業(yè)務(wù)操作權(quán)限嚴(yán)格分開(kāi);

(5)防止異常中斷后非法進(jìn)入系統(tǒng);

(6)提供超時(shí)鍵盤(pán)鎖定功能;

(7)交易業(yè)務(wù)數(shù)據(jù)在通信網(wǎng)絡(luò)上以加密方式傳輸;

(8)應(yīng)存儲(chǔ)一年以上完整的系統(tǒng)運(yùn)行記錄與交易清算記錄;

(9)提供系統(tǒng)運(yùn)行狀態(tài)監(jiān)控模塊;

(10)提供數(shù)據(jù)接口，滿足稽核、審計(jì)及技術(shù)監(jiān)控的要求;

(11)其它有助于控制業(yè)務(wù)操作風(fēng)險(xiǎn)的功能特性。

423　信息揭示與分析系統(tǒng)必須保證信息揭示的完整、準(zhǔn)確、及時(shí)。

第三節(jié)　軟件管理

431　應(yīng)用軟件在開(kāi)發(fā)或購(gòu)買(mǎi)之前應(yīng)正式立項(xiàng)，成立由技術(shù)人員、業(yè)務(wù)人員和管理人員共同組成的項(xiàng)目小組并建立軟件質(zhì)量保證體系。

432　根據(jù)應(yīng)用系統(tǒng)對(duì)安全的要求，同步進(jìn)行安全保密設(shè)計(jì)。

433　軟件開(kāi)發(fā)過(guò)程應(yīng)符合GB/T8566-1995《信息技術(shù)軟件生存期過(guò)程》.

434　開(kāi)發(fā)維護(hù)人員與操作人員必須實(shí)行崗位分離，開(kāi)發(fā)環(huán)境和現(xiàn)場(chǎng)必須與生產(chǎn)環(huán)境和現(xiàn)場(chǎng)隔離。軟件設(shè)計(jì)方案、數(shù)據(jù)結(jié)構(gòu)、加密算法、源代碼等技術(shù)資料嚴(yán)禁流入生產(chǎn)現(xiàn)場(chǎng)、散失和外泄。

435　應(yīng)用軟件在正式投入使用前必須經(jīng)過(guò)內(nèi)部評(píng)審，確認(rèn)系統(tǒng)功能、測(cè)試結(jié)果和試運(yùn)行結(jié)果均滿足設(shè)計(jì)要求，技術(shù)文檔齊全，并經(jīng)證券經(jīng)營(yíng)機(jī)構(gòu)分管領(lǐng)導(dǎo)批準(zhǔn)。

436　應(yīng)規(guī)定軟件的使用范圍和使用權(quán)限。

437　軟件使用人員應(yīng)經(jīng)過(guò)適當(dāng)?shù)牟僮髋嘤?xùn)和安全教育。

438　建立應(yīng)用軟件的文檔管理制度、版本管理制度及軟件分發(fā)制度，防止軟件的盜用、誤用、流失及越權(quán)使用。

439　證券經(jīng)營(yíng)機(jī)構(gòu)下屬營(yíng)業(yè)部應(yīng)使用統(tǒng)一的系統(tǒng)軟件和應(yīng)用軟件。

4310　營(yíng)業(yè)部信息技術(shù)人員不得擅自進(jìn)行軟件維護(hù)和系統(tǒng)參數(shù)調(diào)整。

4311　應(yīng)采取有效措施，防止對(duì)應(yīng)用軟件的非法修改。

第五章　數(shù)據(jù)管理

第一節(jié)　交易業(yè)務(wù)數(shù)據(jù)

511　交易業(yè)務(wù)數(shù)據(jù)主要包括交易數(shù)據(jù)、清算數(shù)據(jù)及其它相關(guān)數(shù)據(jù)。

512　應(yīng)建立交易業(yè)務(wù)數(shù)據(jù)管理制度，對(duì)交易業(yè)務(wù)數(shù)據(jù)實(shí)施嚴(yán)格的安全保密管理。

513　電腦中心設(shè)置數(shù)據(jù)庫(kù)管理員崗位，對(duì)交易業(yè)務(wù)數(shù)據(jù)實(shí)行專人管理。營(yíng)業(yè)部信息技術(shù)人員不得擁有數(shù)據(jù)庫(kù)管理員操作口令。

514　營(yíng)業(yè)部信息系統(tǒng)內(nèi)應(yīng)保存一年以上的交易業(yè)務(wù)數(shù)據(jù)。

515　電腦中心應(yīng)建立營(yíng)業(yè)部交易業(yè)務(wù)數(shù)據(jù)映象并定期和不定期與營(yíng)業(yè)部交易業(yè)務(wù)數(shù)據(jù)進(jìn)行核對(duì)，防止使用過(guò)程中產(chǎn)生誤操作或被非法篡改。

516　數(shù)據(jù)備份：

(1)每個(gè)工作日結(jié)束后必須制作數(shù)據(jù)的備份并異地存放，保證系統(tǒng)發(fā)生故障時(shí)能夠快速恢復(fù);

(2)交易業(yè)務(wù)數(shù)據(jù)必須定期、完整、真實(shí)、準(zhǔn)確地轉(zhuǎn)儲(chǔ)到不可更改的介質(zhì)上，并要求集中和異地保存，保存期限至少20年;

(3)備份的數(shù)據(jù)必須指定專人負(fù)責(zé)保管，由營(yíng)業(yè)部計(jì)算機(jī)信息技術(shù)人員按規(guī)定的方法同數(shù)據(jù)保管員進(jìn)行數(shù)據(jù)的交接。交接后的備份數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或指定的場(chǎng)所保管;

(4)數(shù)據(jù)保管員必須對(duì)備份數(shù)據(jù)進(jìn)行規(guī)范的登記管理;

(5)備份數(shù)據(jù)不得更改;

(6)備份數(shù)據(jù)保管地點(diǎn)應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。

517　數(shù)據(jù)保密：

(1)數(shù)據(jù)不得泄露，禁止外借;

(2)數(shù)據(jù)應(yīng)僅用于明確規(guī)定的目的，未經(jīng)批準(zhǔn)不得它用;

(3)無(wú)正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得查閱客戶資料。經(jīng)正式批件查閱數(shù)據(jù)時(shí)必須登記，并由查閱人簽字;

(4)保密數(shù)據(jù)不得以明碼形式存儲(chǔ)和傳輸;

(5)根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定數(shù)據(jù)使用人員的存取權(quán)限、存取方式和審批手續(xù).

518　交易業(yè)務(wù)數(shù)據(jù)不得隨意更改。

第二節(jié)　系統(tǒng)數(shù)據(jù)

521　系統(tǒng)數(shù)據(jù)主要包括數(shù)據(jù)字典、權(quán)限設(shè)置、存貯分配、網(wǎng)絡(luò)地址、硬件配置及其它系統(tǒng)配置參數(shù)。

522　應(yīng)制定系統(tǒng)數(shù)據(jù)管理制度，對(duì)系統(tǒng)數(shù)據(jù)實(shí)施嚴(yán)格的安全與保密管理，防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。

523　設(shè)置系統(tǒng)管理員崗位，對(duì)系統(tǒng)數(shù)據(jù)實(shí)行專人管理。

524　系統(tǒng)數(shù)據(jù)不得泄露。

525　電腦中心應(yīng)保存營(yíng)業(yè)部的系統(tǒng)數(shù)據(jù)，并定期進(jìn)行核對(duì)。

第六章　技術(shù)事故的防范與處理

第一節(jié)　技術(shù)事故及其防范

611　技術(shù)事故是指由于硬件故障、軟件故障和操作失誤等原因引起系統(tǒng)無(wú)法運(yùn)行，經(jīng)啟動(dòng)備用系統(tǒng)仍未恢復(fù)正常，導(dǎo)致交易中斷并造成經(jīng)濟(jì)損失的事件。

612　技術(shù)事故的防范原則是：預(yù)防為主、處理及時(shí)，力爭(zhēng)把事故的損失降低到最小程度。

613　建立健全技術(shù)事故的防范對(duì)策，嚴(yán)格按本規(guī)范要求建設(shè)、管理信息系統(tǒng)的硬件設(shè)施和軟件環(huán)境，定期進(jìn)行事故防范演習(xí)，針對(duì)薄弱環(huán)節(jié)不斷改進(jìn)完善。

614　制定技術(shù)事故發(fā)生時(shí)的應(yīng)急計(jì)劃：

(1)應(yīng)急計(jì)劃必須形成文字;

(2)應(yīng)急計(jì)劃應(yīng)針對(duì)可能發(fā)生的故障制定緊急處理程序;

(3)緊急處理程序應(yīng)張貼在規(guī)定的地方;

(4)對(duì)執(zhí)行應(yīng)急計(jì)劃的全體人員進(jìn)行專項(xiàng)培訓(xùn)，定期進(jìn)行演習(xí);

(5)根據(jù)演習(xí)結(jié)果不斷完善應(yīng)急計(jì)劃。

第二節(jié)　技術(shù)事故的處理

621　下列情況營(yíng)業(yè)部免責(zé)：

(1)因不可抗力引發(fā)的技術(shù)事故;

(2)因軟硬件故障導(dǎo)致的技術(shù)事故，經(jīng)技術(shù)專家論證，確認(rèn)營(yíng)業(yè)部信息系統(tǒng)建設(shè)和管理符合本規(guī)范要求，確屬小概率或偶發(fā)性事件;

(3)因證券交易所原因?qū)е碌慕灰字袛唷?/p>

622　因通信線路故障導(dǎo)致的技術(shù)事故，應(yīng)會(huì)同通信部門(mén)共同調(diào)查，界定責(zé)任。

623　因營(yíng)業(yè)部操作失誤導(dǎo)致的技術(shù)事故，經(jīng)調(diào)查核實(shí)后，營(yíng)業(yè)部負(fù)相關(guān)責(zé)任。

624　技術(shù)事故的事后處理：

(1)證券經(jīng)營(yíng)機(jī)構(gòu)安全管理組織應(yīng)立即進(jìn)行事故調(diào)查，提出書(shū)面調(diào)查報(bào)告，必要時(shí)可組織有關(guān)專家鑒定，確定事故的原因和責(zé)任;

(2)對(duì)調(diào)查中發(fā)現(xiàn)的技術(shù)薄弱環(huán)節(jié)，應(yīng)限期整改。