中国证券监督管理委员会关于发布《<证券经营机构营业部信息系统技术管理规范(试行)>技术指引》的通知
文章属性
∙【制定机关】中国证券监督管理委员会
∙【公布日期】1999.11.03
∙【文 号】证监信息字[1999]18号
∙【施行日期】1999.11.03
∙【效力等级】部门规范性文件
∙【时效性】现行有效
∙【主题分类】证券
正文
中国证券监督管理委员会关于发布《〈证券经营机构营业部
信息系统技术管理规范(试行)〉技术指引》的通知
(证监信息字〔1999〕18号)
各证券经营机构:
为进一步落实《证券经营机构营业部信息系统技术管理规范(试行)》(证监信字〔1998〕2号,以下简称《规范》),提高行业信息系统安全管理水平,有效防范和化解技术风险,现将《〈证券经营机构营业部信息系统技术管理规范(试行)〉技术指引》(以下简称《指引》)印发给你们,并就有关事宜通知如下:
一、要在认真组织学习《规范》的基础上,全面了解和贯彻《指引》的要求,做到有效防范技术风险,提高安全水平。
二、要根据《规范》及《指引》的要求,出差距和不足,采取有效措施加以改进。
三、中国证监会将组织对《规范》及《指引》落实情况的检查。对不符合要求的单位,将
根据《关于证券经营机构及其营业部做好信息系统检查工作有关事宜的通知》(证监信息字〔1999〕7号)和《关于强化证券经营机构总部对所属营业部信息系统安全检查的通知》(证监信息字〔1999〕11号)等文件的规定,严肃处理。
中国证监会
一九九九年十一月三日
《证券经营机构营业部信息系统技术
管理规范(试行)》技术指引
第一章 管理体系技术指引
第一节 组织结构
一、电脑中心负责制定的与信息系统相关的规章制度(〔2.1.2(1)〕)至少应包括如下方面:
1、组织机构与人员管理;
2、安全管理(包括病毒防范);
3、文档资料管理;
4、数据管理;
5、硬件设备管理(包括相关设备强制更换);
6、软件管理;
7、网络管理;
8、机房管理;
9、运行维护管理(包括操作安全管理);
10、技术事故防范与处理。
电脑中心还应编制涵盖上述制度内容的工作手册,并根据实际情况每年进行修订。
二、电脑中心审核营业部电脑负责人的任职资格(〔2.1.2(4)〕),包括对其进行必要的奖励和惩罚。电脑负责人任职要专岗专责,不得由业务人员兼任,也不得兼任业务职务。
三、电脑中心除为营业部提供技术支持外(〔2.1.2(9)〕),还应为本证券经营机构的其它部门提供技术支持。
四、电脑中心的数据管理职能(〔2.1.2(10)〕)要求电脑中心要对数据实行集中管理,尽量做到异地实时备份。
五、对营业部信息系统的定期检查应为每年至少一次 (〔2.1.2(12
)〕)。定期检查为规范性检查,不定期检查为专项检查,检查必须有文字记录。
六、〔2.1.3(2)〕中的有关部门是指结算公司和证券通信公司。
七、〔2.1.3(6)〕中的其它重要数据至少包括:服务器系统参数配置,主要网络设备参数配置,通信设备参数配置,智能化电源、空调的参数配置,交易系统、通信软件及其它应用软件的参数配置等。
八、电脑部在履行职能时(〔2.1.3〕),还要注意做好以下方面的工作:
1、强化安全意识,自觉遵守并监督执行安全制度的落实;
2、及时完成电脑中心布置的各项工作;
3、保持机房及配电房达到规定技术指标,并保持整洁;
4、负责计算机硬件、软件、通信设备的管理与维护,建立技术档案,保持系统处于良好的运行状态;
5、负责营业部技术资料的保管与维护;
6、有条件的营业部应定期做好服务器的全系统备份。
第二节 人员管理
一、执行对营业部信息技术人员编制规定(〔2.2.1〕)时应注意:营业部总人数少于20人的,也要至少配备2名专职信息技术人员。
二、〔2.2.4〕中的关键技术岗位至少包括电脑部全部工作人员岗位。
三、电脑中心应强化对信息技术人员的管理职能(〔2.2.5〕),包括:
1、参与信息技术人员的招聘,并可行使否决权;
2、对信息技术人员进行必要的奖励和惩罚;
3、对营业部信息技术人员每年至少进行一次技术培训和考核,重新认定上岗资格;
4、有条件的证券经营机构可实行垂直管理,直接确定电脑部的人员编制和收入等。
四、对信息技术人员离岗应加强管理(〔2.2.8〕),至少达到如下要求:
信息技术人员离岗时必须严格办理离岗手续,明确其离岗后的保密义务,退还全部技术资料,电脑中心必须派员监督交接过程。新旧工作人员应共同工作不少于5个工作日,信息系统口令必须立即更换。
第三节 安全管理
一、计算机安全管理的保障机制(〔2.3.3〕)包括稽核监控和安全合规奖惩等方面的内容。
二、计算机机房安全管理制度中要求的值班人员(〔2.3.4(2)〕)必须是信息技术人员。
三、〔2.3.5(3)〕中的“定期更换操作口令”是指至少每两个月更换一次。
四、〔2.3.5(8)〕中要求的技术监管系统,应在电脑中心的统一规划下建立,并与证券经营机构的状况相适应。
五、〔2.3.5(8)〕中要求的“定期进行独立的对帐”是为了防范业务风险而采取的计算机稽核手段。
六、操作安全制度(〔2.3.5〕)在执行中,应重视以下方面:
1、所有用户的登录必须具有屏蔽中断功能;抹茶交易所中国用户还能用吗
2、新开用户需经严格审批;
3、冗余用户要及时清理,超过三个月未使用过的用户要设置为禁止使用状态或删除;
4、数据库管理系统的系统管理员口令应由电脑中心集中管理,并于非软件开发商的第三处封存保管。
七、〔2.3.6(1)〕对病毒检测的具体要求为:电脑部应指定专人负责计算机病毒防范工作,并至少每半个月及在已知敏感日期前夕,进行病毒检测,发现病毒立即报告电脑中心病毒防范负责人,并在其指导下进行处理,同时详细记录病毒发作过程。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论