證券公司信息技術管理規范Norms for the Information Technology Management of Securities Companies【發布部門】 中國人民銀行，中國證券監督管理委員會【發布日期】 2005.03.25【實施日期】 2005.03.25【時效性】 現行有效【效力級別】 部門規范性文件【法規類別】 互聯網【全文】【法寶引證碼】 CLI.4.57905 證券公司信息技術管理規范中華人民共和國金融行業標準JR/T00232004證券公司信息技術管理規范The criterion of IT management for securites company2005年3月25日發布2005年3月25日實施本標準由全國金融標準化技術委員會提出。本標準由全國金融標準化技術委員會歸口管理。本標準起草單位：中國證券監督管理委員會、國泰君安證券股份有限公司、中國銀河證券有限責任公司、申銀萬國證券股份有限公司、長江證券有限責任公司、海通證券股份有限公司、泰陽證券有限責任公司、閩發證券有限責任公司、興業證券股份有限公司、國信證券有限責任公司。本標準主要起草人：徐雅萍、陳煜濤、俞楓、金守罕、郭怡峰、陳靜、沈云明、湯玉龍、彭湘林、王錦炎、劉斌、廖亞濱、萬曉鷹、黃卉、徐穎。本標準為首次發布。引言為了規范證券公司信息技術管理行為，保護投資者的合法利益，維護證券公司的合法權益，促進證券市場的健康發展，特制定本標準，以加強證券公司信息系統的優化建設和安全管理，推動信息系統建設與技術管理水平的協調發展，提高證券行業的整體信息技術應用水平。證券公司信息技術管理規范1范圍本標準規定了證券公司信息技術管理的以下方面：a）信息技術管理工作中應遵循的基本原則；b）信息技術管理的組織架構；c）信息技術人員、項目和安全管理；d）機房和設備管理；e）網絡通信、軟件和數據；f）信息系統運行管理、技術事故的防范與處理。本標準適用于證券公司的信息技術管理工作。2規范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB2887電子計算機場地通用規范GB/T8566信息技術軟件生存期過程GB9361計算站場地安全要求GB50174電子計算機機房設計規范GB50311建筑與建筑群綜合布線系統工程設計規范GB50312建筑與建筑群綜合布線系統工程驗收規范CMM軟件能力成熟度模型（Capacity Maturity Model）3原則證券公司在信息技術管理工作中應遵循：a）安全性原則，應樹立技術風險的防范意識，把安全措施落實到信息技術管理的每個環節、每個方面，應在信息系統的設計、開發、運行、維護各環節和硬件、軟件、網絡通訊、數據、管理各方面，貫徹安全性原則。b）實用性原則，應加強信息技術管理，注重采用成熟的先進技術，在確保信息系統性能和安全的前提下，遵循高效益、低成本、易操作的原則。c）系統化原則，將證券公司信息技術管理有關的資源和活動以系統的觀點來進行管理，理解和識別管理過程中的相互關系和作用，明確每個管理過程的職責和權限。4管理體系4.1組織結構與職能4.1.1證券公司應設立信息技術管理機構，實行信息技術工作的統一歸口管理。4.1.2信息技術管理機構應履行下列職責：a）負責信息系統的總體規劃并組織實施；b）負責制定與信息技術相關的規章制度并落實執行；c）負責編制信息技術預算并落實執行；d）負責信息系統的建設和運行維護；e）協助進行信息技術人員的任職管理、培訓和考核；f）發現技術和業務異常及時上報；4.2人員管理4.2.1證券公司應對信息技術管理機構實行定崗、定編、定責，明確各崗位的人員素質要求。4.2.2應建立重要崗位的雙人負責制，并加強對單人單崗的監控。4.2.3應建立完善的保密制度，重要崗位應簽訂保密協議書。4.2.4不應錄用有犯罪或嚴重違規行為記錄的人員從事證券公司信息技術工作。4.2.5應建立信息技術人員定期培訓和考核制度，不合格者禁止上崗。4.2.6應定期或不定期對在信息技術重要崗位上的信息技術人員進行輪換，或實行強制休假。4.2.7應建立信息技術人員的離崗制度，規范離崗手續。4.3安全管理4.3.1證券公司應建立信息系統安全管理組織，實施信息安全等級保護，并設立專門的安全管理員、安全審計員崗位。4.3.2信息系統安全管理組織應履行下列職責：a）負責制定統一的安全策略；b）負責制定信息系統安全管理制度；c）負責審核和實施信息系統安全保護和安全防范技術方案；d）負責組織信息系統安全教育及技術培訓；e）負責定期或不定期進行信息系統安全檢查，發現問題，督促解決；f）負責組織信息系統安全防范、應急演練。4.3.3應建立計算機病毒防范制度：a）統一組織和實施計算機病毒防范工作b）建立計算機病毒預警機制，嚴格執行病毒檢測及報告措施。4.3.4應堅持三分離原則，實現前后臺分離、開發與操作分離、技術與業務分離，信息技術人員任職要專崗專責，不得由業務人員兼任，也不得兼任業務職務。4.4技術文檔管理4.4.1技術文檔是指與信息系統相關的技術文件、圖表、程序與數據等。4.4.2證券公司應制定技術文檔管理制度，設立技術文檔管理崗位。4.4.3應按照統一格式對技術文檔進行編寫并及時更新，達到能夠依靠技術文檔恢復系統正常運行的要求。4.4.4應根據技術文檔的不同保密級別實行分級管理。4.4.5應對技術文檔實行有效期管理，對于超過有效期的技術文檔降低保密級別，對已經失效的技術文檔定期清理，并嚴格執行技術文檔管理制度中的銷毀和監銷規定。4.4.6技術文檔的借閱、復制應履行必要的手續。4.4.7重要技術文檔應有副本并異地存放。5機房與設備管理5.1機房5.1.1機房建設應符合GB50174、GB2887和GB9361的要求，防雷、接地、電磁輻射和電氣特性都應達到國家標準要求。5.1.2機房環境應達到以下要求：a）操作間與設備間分隔；b）安裝獨立的空調設備，對溫度和濕度進行控制；c）配有防火、防潮、防塵、防盜、防磁、防鼠等設施；d）配置應急照明裝置；5.1.3機房供電系統應達到以下要求：a）有單獨的配電柜和獨立于一般照明電的專用供配電線路，配電容量有一定余量，采用雙路供電或配備發電機；b）配備不間斷電源設備，其容量至少滿足關鍵設備在開市期間斷電情況下的運行要求。5.1.4機房應安裝監視系統和門禁系統，宜安裝環境監控系統和設備監控系統。5.2設備管理5.2.1證券公司應實行計算機設備集中管理，建立相應的管理制度，按有關流程辦理設備的采購、登記、維護、報廢等工作，對設備的整個生命周期進行管理。5.2.2大宗設備采購應堅持公開、公平、公正的原則，宜采用招標、邀標等形式完成。5.2.3應定期對設備進行更新和保養，經維護的設備應通過有關測試方能投入使用。6網絡通信6.1網絡建設6.1.1證券公司網絡的基本要求：a）應統一規劃公司的網絡；b）網絡建設應遵循高可靠性、高安全性、高性能、可擴展性、可管理性、標準化等原則；c）網絡承建集成商應具有國家有關部門頒發的三級以上（含三級）計算機信息系統集成資質證書；d）網絡設備和通信帶寬應保證業務需求。e）網絡不應存在單點故障。6.1.2局域網應達到以下要求：a）布線系統設計可參照GB50311和GB50312，采用結構化綜合布線系統；b）針對不同業務或應用采取適當技術手段，實現網絡分離，提高網絡安全性；6.1.3廣域網應達到以下要求：a）滿足線路備份和網絡安全的要求；b）網絡節點間有明確的互訪原則，制定和配置相應的路由策略；c）主干設備支持標準通信協議；d）與電信運營商和設備供應商簽訂服務協議，做到定期檢修、發現故障及時響應。6.1.4外部網的建設應達到以下要求：a）與交易所、中國登記結算公司之間的通信連接安全可靠；b）與外聯單位的聯網采用可靠的技術隔離手段，確保網絡安全；c）建立多種通信通道，保證業務的連續性。6.1.5互聯網接入應達到以下要求：a）網上委托系統應采用至少兩條線路接入互聯網，采用同一個運營商的線路應通過不同的節點接入；b）通過防火墻等安全設備與互聯網相連。6.2網絡管理6.2.1證券公司應建立健全網絡管理制度：a）網絡管理采用統一策略；b）設置專職網絡管理員，實行網絡分級管理；c）網絡管理員具備相應的素質和技能，持有相應的資格證書。6.2.2在網絡管理上應達到以下要求：a）配備網絡管理工具，對網絡進行監控、管理和維護，重要網絡設備開啟日志和審計功能；b）建立完整的網絡技術文檔；c）定期維護網絡設備和線路；d）詳細記錄網絡故障處理過程。6.2.3通過互聯網為公眾提供服務，應遵循國家和行業有關規定。6.3網絡安全6.3.1證券公司應建立健全網絡安全體系，統一制定公司的網絡安全策略和技術方案，網絡安全策略遵循技術保護和管理保護相結合的原則。6.3.2網絡安全應達到以下要求：a）利用成熟的網絡安全技術，防止非法訪問、攻擊和破壞計算機網絡等活動；b）定期對公司網絡進行安全檢查，發現問題，及時解決，并記錄存檔；c）所有可配置的網絡設備按最小安全訪問原則設置訪問控制權限，關閉不必要的端口及服務；d）妥善保管和定期更換網絡設備的遠程訪問密碼。6.3.3在互聯網接入方面應達到以下安全要求：a）對公司內可訪問互聯網的終端采用必要的安全措施與核心系統相隔離；b）對于來自互聯網的訪問采用可靠的身份認證、訪問控制和安全審計措施，防止非法接入和非法訪問。6.3.4網上委托系統應達到以下安全要求：a）通過國家權威機構的安全認證，重要技術產品通過國家權威機構的安全測評，達到主管部門的規定要求；b）采用可靠的技術和管理措施進行客戶身份認證；c）采用有效技術措施達到防抵賴、防篡改、防竊取等功能；d）網上委托服務器所在的網絡與內部核心網絡相隔離。7軟件7.1系統軟件7.1.1系統軟件的選用應充分考慮安全性、可靠性、穩定性和健壯性，應使用符合安全要求的正版軟件。7.1.2操作系統軟件的使用應遵循最小功能原則及最小權限策略，關閉不必要的服務和端口。7.1.3在經過充分測試的前提下，應及時安裝操作系統的補丁程序。7.2應用軟件7.2.1應用軟件應符合業務運作的合法性和合規性。7.2.2重要應用軟件系統宜采取在線備份措施。7.2.3信息揭示與分析系統應保證信息揭示的完整、準確和及時。7.3軟件管理7.3.1應用軟件開發過程應符合GB/T8566。7.3.2應加強對外包或外購應用軟件的質量控制，選擇已建立軟件質量保證體系的開發商進行合作，具體要求可參照CMM的二級標準進行。同時在開發商的選擇過程中，應高度重視其信譽和品牌，不宜選擇曾為證券公司違規、違法業務行為提供技術服務或技術支持的開發商。7.3.3在軟件總體設計時，應根據應用軟件的實際用途，同步進行安全保密設計。7.3.4在軟件開發過程中，應同步完成相關文檔手冊的編寫工作，保證相關資料的完整性和準確性。7.3.5開發維護人員與操作人員應實行崗位分離。7.3.6開發環境應與生產環境隔離。7.3.7應用軟件在正式投入使用前應經過內部評審，確認技術文檔齊全，系統功能、測試結果和試運行結果均滿足設計要求。7.3.8軟件使用人員應接受操作培訓和安全教育。7.3.9建立應用軟件文檔管理、版本管理及軟件分發制度。7.3.10應建立規范的軟件維護和系統參數調整流程。8數據8.1數據管理8.1.1數據是指證券公司在經營和管理中產生的信息資源，主要包括業務數據、系統數據和管理數據等。8.1.2應建立數據管理制度，達到以下基本要求：a）重要數據分密級管理；b）建立數據訪問控制機制；c）建立數據防篡改和防竊取機制；d）建立數據備份措施和異地存放措施。8.1.3業務數據的管理應達到以下要求：a）對業務數據實施嚴格的安全保密管理；b）在線系統所保存的業務數據不少于一年；c）建立業務數據的離線備份制度，數據應定期、完整、準確地轉儲到可靠的介質上，并要求實現集中、異地存放，保存期限至少20年；d）備份數據不得更改，并定期進行完整性和可恢復性校驗；e）備份數據指定專人負責保管，嚴格執行數據交接管理規定和登記管理規定。8.1.4系統數據應以電子文檔和書面文檔兩種形式加以保存，并實行專人管理。8.1.5證券公司應統一內部數據標準，并遵循行業數據標準。8.2數據安全8.2.1證券公司應充分利用成熟的安全技術確保數據的保密性、完整性、可用性和可控性。8.2.2信息系統設計時應同步進行數據安全設計，對重要數據在采集、傳輸、使用和存儲過程中進行加密。8.2.3應使用經國家密碼管理機構認可的加密產品和加密算法。9運行管理9.1日常運行和系統上線9.1.1證券公司應建立健全信息系統運行管理制度，建立詳細的運行日志和故障日志。9.1.2應制定規范化的信息系統上線流程：a）信息系統未經嚴格測試不得上線運行；b）評估信息系統上線風險，做好相應的應急和備份計劃；c）信息系統通過規定流程審批后，才能獲準上線。9.1.3信息系統運行管理應達到以下要求：a）制定規范化的日常操作流程，關鍵操作建立復核機制；b）建立嚴格的值班工作制度和規范的故障處理流程；c）建立完善的監控體系，對信息系統的運行環境、運行狀況等進行實時監控和事后分析，并提供多種報警手段；d）嚴禁在生產環境進行未經批準的操作；e）建立關鍵系統的配置和變更文檔，確保運行環境的可恢復性；f）在信息系統管理和業務操作的各層面建立相應的操作權限制約機制；g）帳戶和密碼專人專用，加強對缺省帳戶和密碼的管理，不應為客戶設置統一的、有規律的、易猜測的初始密碼。9.1.4機房管理應達到以下要求：a）建立安全保衛措施，嚴格執行機房進出管理制度；b）對機房的照明、空調、防火、門禁等機房環境系統進行定期檢查，確保其處于正常工作狀態；c）嚴禁易燃、易爆、強磁及其它與機房工作無關的物品進入機房；d）機房供電系統由專人負責管理，定期進行檢修和維護。9.2技術事故防范與處理9.2.1技術事故是指由于通信故障、電力故障、軟硬件