各證券監(jiān)管辦公室���、辦事處、特派員辦事處:
為了更好地落實《證券經(jīng)營機構營業(yè)部信息系統(tǒng)技術管理規(guī)范》(以下簡稱《規(guī)范》),現(xiàn)將“證券公司及營業(yè)部����、基金管理公司主要負責人學習《規(guī)范》應知應會30條”發(fā)給你們,請迅速轉發(fā)至轄區(qū)內的各證券公司總部�、基金管理公司(信托投資公司照此通知執(zhí)行)�,并采取抽查和考試等有效方式,敦促證券公司及其營業(yè)部���、基金管理公司主要負責人落實《規(guī)范》要求���,有的放矢地加強技術工作的領導,切實防范和化解證券市場的技術風險�,保護投資者利益。
證券公司及營業(yè)部�、基金管理公司主要負責人學習《規(guī)范》應知應會30條
1、計算機管理工作組織結構的設置
證券公司及基金管理公司應設立計算機信息系統(tǒng)管理部門(以下簡稱電腦中心)����,營業(yè)部相應設立計算機工作管理部門(以下簡稱電腦部)。電腦部技術上接受電腦中心的管理����、指導和考核。
2���、信息技術人員數(shù)量設定
為保障信息系統(tǒng)的開發(fā)與運行管理質量�,證券公司營業(yè)部及基金管理公司信息技術人員編制應不少于總人數(shù)的百分之十,最低數(shù)量設定為2人���。
3����、對信息技術人員的要求
信息技術人員應具備大專以上學歷����,具有計算機基礎理論知識和專業(yè)技術經(jīng)驗����。禁止錄用劣跡或違法犯罪記錄的人員從事證券行業(yè)計算機工作。
4�、信息技術人員管理
(1)定期對信息技術人員進行業(yè)務培訓和技術培訓,不合格或未參加培訓者嚴禁上崗�;
(2)電腦中心應配合人事部門定期對信息技術人員進行考核;
(3)離崗人員必須嚴格辦理離崗手續(xù)����,明確其離崗后的保密義務,退還全部技術資料���,信息系統(tǒng)的口令必須立即更換���。
5���、營業(yè)部電腦負責人的輪換
營業(yè)部電腦負責人之間應定期或不定期輪換。
6����、安全管理組織
證券公司及基金管理公司要指定一職能部門負責公司及所屬營業(yè)部的計算機安全管理,由公司總經(jīng)理(總裁)主管計算機安全工作�,營業(yè)部負責人為營業(yè)部計算機安全工作責任人。
7�、計算機機房安全管理制度
(1)建立完整的計算機運行日志、操作記錄及其它與安全有關的資料�;
(2)交易時間內機房必須有當班值班人員;
(3)嚴禁易燃易爆和強磁物品及其它與機房工作無關的物品進入機房���。
8���、建立操作安全管理制度
(1)應采取嚴密的安全措施防止無關用戶進入系統(tǒng);
(2)數(shù)據(jù)庫管理系統(tǒng)的口令必須由電腦中心專人掌管���,并要求定期更換�。禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令;
(3)操作人員應有互不相同的用戶名���,定期更換操作口令���。嚴禁操作人員泄露自己的操作口令;
(4)必須啟用系統(tǒng)軟件提供的安全審計留痕功能���;
(5)各崗位操作權限要嚴格按崗位職責設置����。應定期檢查操作員的權限����;
(6)重要崗位的登錄過程應增加必要的限制措施����;
(7)營業(yè)部計算機信息技術人員不得擔任清算員從事結算記帳工作;
(8)建立和完善技術監(jiān)管系統(tǒng)����,定期進行獨立的對帳,核對交易數(shù)據(jù)���、清算數(shù)據(jù)�、保證金數(shù)據(jù)、證券托管數(shù)據(jù)以及會計數(shù)據(jù)的一致性和連續(xù)性����。
9、計算機病毒防范制度
(1)電腦中心應指定專人負責計算機病毒防范工作���。電腦部應定期進行病毒檢測���,發(fā)現(xiàn)病毒立即處理并報告;
(2)應采用國家許可的正版防病毒軟件并及時更新軟件版本���。
10���、技術資料管理
各級管理機構應制定技術資料的管理制度,明確執(zhí)行管理制度的責任人���,重要技術資料應有副本并異地存放�。
11�、機房供電系統(tǒng)
(1)機房應有單獨的配電柜,計算機系統(tǒng)要設有獨立于一般照明電的專用的供配電路�,其容量應有一定的余量���,建議采用雙路供電;
(2)機房應配備不間斷電源設備����,其容量應保證機房設備和關鍵交易設備在斷電情況下維持到后備電源供電。無備用發(fā)機時����,不間斷電源設備應能夠持續(xù)供電4小時以上;
(3)機房應采用獨立的直流地����、交流工作地和防雷保護地。
12�、機房環(huán)境
(1)機房的使用面積(不包括不間斷電源放置面積)不得小于30平方米;
(2)機房的操作間與設備間應作分隔�;
(3)機房宜安裝獨立空調設備���;
(4)機房應有防火���、防潮、防塵�、防盜�、防磁���、防鼠�、備用應急照明裝置等設施�。
13、機房防火
機房的防火設施不能使用水噴淋滅火設備����,應依據(jù)《規(guī)范》中所引用的有關國家標準或規(guī)定設置防火設施。
14����、遠程通信
證券公司與所屬營業(yè)部之間必須建立可靠的通信線路聯(lián)接。重要通信線路必須建立后備線路���,通信設備應建立設備備份�。
15����、服務器
服務器應具有一定的容錯特性,服務器應有備品備件���。
16�、工作站
證券公司營業(yè)部除計算機機房外,一律使用無軟驅或光驅等可卸存儲裝置的網(wǎng)絡工作站����,重要工作站應有冗余備份。
17�、系統(tǒng)軟件安全級別
系統(tǒng)軟件應達到C2級上以(含C2級)安全級別,常見的達到C2級或C2級以上的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)可參見《證券經(jīng)營機構營業(yè)部信息系統(tǒng)安全管理手冊》第45頁����。
18、交易業(yè)務處理系統(tǒng)安全要求
(1)應保證無法繞過應用界面直接查看或操作數(shù)據(jù)庫�;
(2)防止異常中斷后非法進入系統(tǒng);
(3)系統(tǒng)管理與業(yè)務操作權限要嚴格分開���;
(4)交易業(yè)務數(shù)據(jù)在通訊網(wǎng)絡上應以加密方式傳輸���。
19、軟件開發(fā)管理
開發(fā)維護人員與操作人員必須實行崗位分離����,開發(fā)環(huán)境和現(xiàn)場必須與生產(chǎn)環(huán)境和現(xiàn)場隔離�。
20、軟件管理
證券公司下屬營業(yè)部應使用統(tǒng)一的系統(tǒng)軟件和應用軟件�。
21�、數(shù)據(jù)管理
對交易業(yè)務數(shù)據(jù)和系統(tǒng)數(shù)據(jù)實行專人管理����,營業(yè)部信息技術人員不得擁有數(shù)據(jù)庫管理員操作口令。
22����、系統(tǒng)內交易數(shù)據(jù)保存
信息系統(tǒng)內應保存一年以上的交易業(yè)務數(shù)據(jù)。
23����、數(shù)據(jù)備份
(1)每個工作日結束后必須制作數(shù)據(jù)的備份并導地存放,保證系統(tǒng)發(fā)生故障時能夠快速恢復����;
(2)交易業(yè)務數(shù)據(jù)的存儲應采用只讀式數(shù)據(jù)記錄設備,交易業(yè)務數(shù)據(jù)必須定期���、完整���、真實、準確地轉儲到不可更改的介質上�,并要求集中和異地保存,保存期限至少20年;
(3)備份的數(shù)據(jù)必須指定專人負責保管����;
(4)數(shù)據(jù)保客管員必須對備份數(shù)據(jù)進行規(guī)范的登記管理�;
(5)備份數(shù)據(jù)保管地點應有防火、防熱�、防潮、防塵����、防磁、防盜設施���。
24���、備份數(shù)據(jù)的異地保存
異地保存的主要目的是避免火災、水災等災害給數(shù)據(jù)帶來損害���,所以把數(shù)據(jù)保存在同層����、同樓不能很好的規(guī)避風險�,最后保存在公司以外的其他建筑內�。目前���,有些營業(yè)部每天把數(shù)據(jù)傳輸?shù)娇偛窟M行備份也是一種很好的辦法。
25�、“三個分離”和“一個稽審”
即“業(yè)務與技術分離”、“前臺與后臺分離”���、“網(wǎng)絡與數(shù)據(jù)分離”���,要定期和不定期地進行業(yè)務技術稽審。
26����、技術事故應急計劃
(1)應急計劃必須形成文字;
(2)應急計劃應針對可能發(fā)生的故障制定緊急處理程序����;
(3)緊急處理程序應張貼在規(guī)定的地方;
(4)對執(zhí)行應急計劃的全體人員進行專項培訓���,定期進行演習����。
27、技術事故責任界定
因通信線路故障導致的技術事故���,應會同通信部門共同調查�,界定責任����。
28、出現(xiàn)技術事故時�,下列情況免責
(1)因不可抗力引發(fā)的技術事故;
(2)因軟硬件故障導致的技術事故���,經(jīng)技術專家論證���,確認信息系統(tǒng)建設和管理符合本規(guī)范要求,確屬小概率或偶發(fā)性事件�;
(3)因證券交易所原因導致的交易中斷。
29���、下列情況自負其責
因操作失誤導致的技術事故�,經(jīng)調查核實后����,負相關責任�。
30�、技術事故的事后處理
(1)公司安全管理組織應立即進行事故調查,提出書面調查報告�,必要時可組織有關專家鑒定,確定事故的原因和責任�;
(2)對調查中發(fā)現(xiàn)的技術薄弱環(huán)節(jié)����,應限期整改。
稅收法規(guī)
內控政策
津公網(wǎng)安備12010202000755號