营业部信息技术工作巡查制度.docx

1、营业部信息技术工作巡查制度营业部信息技术工作巡查制度为了加强对营业部信息技术工作的管理，保证有关管理制度、规范的真正落实，保障营业部的信息系统正常、稳定、安全运行，防范技术风险，特制定本制度。信息技术部技术管理经理代表信息技术部定期或不定期对营业部信息技术工作进行检查，检查结果作为营业部信息技术工作、营业部信息技术人员日常工作和技术任职资格考核的一项主要指标，也作为信息技术人员聘用、晋级的依据之一。第一条 巡查办法1、信息技术部技术管理经理负责所管辖的营业部信息系统和技术工作的检查，对营业部信息系统和技术工作每半年?至少进行一次现场工作检查,根据光大证券营业部信息技术巡查表内容逐项具体检查、填

2、写。2、信息技术部信息技术经理组织营业部信息系统进行非现场检查，非现场检查采取营业部自查方式，每年至少一次，并作为营业部基础技术资料存档。营业部根据信息技术经理的组织，对光大证券营业部技术自查表（可根据情况改变）内容逐项具体检查、填写。 3、现场检查采取不预先通知的方式、在非交易时间进行，检查时营业部信息技术负责人必须在场，检查记录表须经信息技术管理经理、营业部信息技术负责人签字认可，对于其中不同意见可以书面表达。检查结果及时知会营业部总经理（涉及信息技术人员工作状态不宜直接面对营业部的除外），检查的书面记录信息技术部和营业部各保存一份。4、检查项目必须按照附件1内容，逐项、认真落实，不得走形

3、式。第二条 现场检查内容1、 现场检查分抽查和重点检查两部分，每家营业部每年应进行一次重点检查，重点检查内容见附件1。2、 现场检查主要内容包括：1） 制度方面：各项制度细化、执行情况（包括：中国证监会、当地监管部门、公司有关部门下发的技术管理制度）2） 安全方面：各项安全措施（交易安全、数据安全、网络安全）、应急备份方案、演习计划等落实、执行情况。3） 人员方面：信息技术人员稳定情况、工作状态等。3、经信息技术部同意，信息技术管理经理可根据当时具体情况临时增加检查内容。第三条 自查内容自查的重点是营业部信息系统的基础工作建设，可根据各地区情况制定光大证券营业部技术自查表，内容参照中国证券会下

4、发的营业部、服务部信息技术安全状况非现场检查项目（见附件2）。第四条 对检查结果的处理及相关责任1、 信息技术管理经理根据检查结果，对营业部存在的技术问题出具整改报告，经信息技术部领导批准后发送营业部，并抄送经纪业务总部；2、 整改报告必须明确整改内容、整改要求、整改时间、验收时间等；3、 营业部整改项目的验收由信息技术管理经理负责，验收报告由信息技术部、营业部妥善保存；4、 因营业部未进行整改或未按要求进行整改而发生的责任技术事故营业部负全部责任，信息技术管理经理免除责任；5、 因信息技术管理经理未检查到安全隐患而发生的事故，根据事故责任的大小，信息技术管理经理负相应连带责任；第五条 其他1

5、、 为保证信息技术管理经理有效工作，经与经纪业务总部协商，营业部信息技术负责人的日常工作考核的30%由信息技术部评分，原则上信息技术部的上述评分以及信息技术人员的技术任职资格日常工作考核主要参考信息技术管理经理考核意见，详细内容见分支机构信息技术负责人管理办法。2、 本办法解释、修订和监督执行由信息技术部负责。3、 本办法自颁布之日起实施。附件1 营业部信息技术巡查表（分重点检查和一般检查项目两部分）营 业 部 信 息 技 术 巡 查 表序号内容状况描述改进建议一、重点检查项目1客户利息支付抽查交易统计数据抽查并与财务核对国债回购抽查对2二级帐户的使用情况抽查3数据库系统关键存储过程、库表情况

6、检查（提交时间、数据安全性）4机房消防设备定期检测、维护就绪情况（工程方提供证明）5机房供电保障状况（双路供电及发电机、与照明分离等）6UPS定期检测状况（UPS保证关键设备正常运行时间）7重要生产设备上病毒定期检查和不必要文件存储情况8应急计划演习情况9故障恢复和应急处理过程记录归档情况10备份数据定期检查情况（完整性、有效性）11关键设备的维护技术档案12局域网和公网隔离情况及方法13柜台系统柜员权限修改审批、复核和监督流程14柜台系统参数配置、备份和修改、复核备案情况15操作系统参数配置、备份和修改、复核备案情况16核心工作站（不同系统通讯机）应用软件备份情况178：30前专人检查网络线

7、路和电脑通讯情况18深、沪行情备份、故障处理及恢复19深、沪委托备份、故障处理及恢复20备份设备就绪情况定期检测及备案21深、沪市场通讯中断处理及系统恢复22营业部网路系统主干设备备份情况23服务器备份情况24资金服务器故障处理及时间25交易服务器故障处理及时间26周边系统故障处理及时间（包括通讯平台、转换、网上交易、银证系统、电话委托等）27技术人员操作日志检查（柜员操作、系统维护、数据库操作等）28技术人员工作状态二、一般检查项目（抽查）1日常电脑工作记录2安全管理制度落实3机房管理制度落实4电脑操作人员的权限情况5电脑岗位与清算岗位分离6柜台交易系统不同岗位操作权限7系统网络权限设置是否

8、合理（遵循最小原则）8防雷设施、防静电设施9营业部详细应急计划并落实到每一个岗位10电力、通讯、应用、安保等紧急联系通讯录11及时将柜台交易数据刻录在只读光盘及备份不同介质并异地存放 12计算机技术资料档案管理情况（关键应用技术文档应可随时备查）13关键操作系统、数据库系统、应用软件为正版软件14临时测试用户、离职人员是否做及时销户清理15营业部关键操作系统、数据库系统超级用户密码管理、交易柜台柜员密码管理16定期做股份对帐，并进行差错处理17根据要求NOVELL审计留痕18交易相关应用软件报信息技术部备案19电脑运行日志记录情况20核心网络设备的密码设置21网络登录批处理防止异常中断措施22

9、所有不用信息节点与交换机物理上脱离检查人员 信息技术人员 总经理 注：1、定期操作的要有周期时间；2、测试、演习或检查的要有详细记录。附件2 营业部、服务部信息技术安全状况非现场检查项目证券营业部、服务部信息系统安全状况非现场检查项目一、管理部分1、建立了以下哪些管理制度？信息技术人员管理制度） 设备管理制度 系统网络管理制度 软件管理制度 数据管理制度 机房安全管理制度 病毒防范制度 技术资料管理制度 操作安全管理制度2、对安全制度的执行情况进行检查的方法是：定期，周期是 天 不定期 不检查3、本单位总人数 人，信息技术人员人数 人。 4、电脑部信息技术人员是否不兼作清算业务工作？是 否5、

10、信息技术开发人员与操作人员是否实行岗位分离？是 否6、简述信息技术人员需要办理的离岗手续。（100字以内）7、过去一年内，对信息技术人员进行了哪些有关信息系统安全的统一培训和考核？（100字以内）8、柜台交易系统的数据库管理系统口令由 部门掌管。9、柜台交易系统的数据库管理系统口令更换周期是：1周 1个月 2个月 2个月以上10、网络设备口令掌管人姓名 ，网络操作系统口令掌管人姓名 。 11、网络设备和操作系统口令的更换周期是：1周 1个月 2个月 2个月以上12、柜台交易系统的数据库管理系统口令的掌管人姓名 。13、操作人员是否定期更换操作口令？是，周期是 天 否14、使用柜台交易系统的各岗

11、位是否有不同的操作权限？是（若是，请提供权限列表） 否15、是否定期对操作员的权限进行检查？是，周期是 天 否16、请简述机房出入管理制度。（100字以内）17、是否有如下的记录？机房人员的值班记录 完整的计算机运行日志、操作记录18、机房是否有单独的配电柜？ 是 否19、机房是否有专用的供配电线路？ 是 否20、机房是否采用双路供电？ 是 否21、机房供电系统容量是否有一定的余量？是 否22、采用何种措施以保证机房设备和关键交易设备在断电情况下能维持运行？不间断电源，功率是 ，供电时间 备用发电机 其它：_23、如何维护保养不间断电源？（100字以内）24、如何检测备用发电机？定期，周期是

12、天 不定期 不检测 没有备用发电机25、机房使用面积（不包括不间断电源放置面积）是 平方米。26、机房是否有独立的空调设备？ 是 否27、机房的操作间是否与设备间相互分隔？ 是 否28、机房是否采用独立的直流地？ 是 否29、机房是否采用独立的交流工作地？ 是 否30、机房是否有独立的防雷保护地？ 是 否31、直流地和防雷保护地之间的距离 米,直流地的接地电阻 欧姆，交流工作地的接地电阻 欧姆，防雷保护地的接地电阻 欧姆。32、请说明机房各类通信线路和设备的防雷设施。（200字内）33、采用哪些机房环境保护设施？（200字以内）34、机房是否有备用应急照明装置？是 否35、简述技术资料的管理制

13、度。（200字以内）36、简述公司对计算机设备的选型、购置的规定。（200字以内）37、新设备是否经过测试合格后才能投入使用?是 否38、关键设备的维护是否建立档案？是 否39、请简述密码管理制度。（150字以内）40、对病毒可能侵入系统的哪些途径有严格的控制？（列举5个）41、安装了哪些国家认可的防、杀病毒软件产品？（100字以内）42、是否定期进行检查和清除病毒工作？ 是 否43、是否对检查和清除病毒工作进行详细记录？是 否44、是否指定专人负责计算机病毒防范工作？是 否45、是否在新系统安装前进行病毒检测？是 否46、是否有书面的技术事故应急计划？是（请简述行情服务器的书面应急计划，20

14、0字以内） 否47、对应急计划进行演习的频率为： 每月 每季每半年每年不定期 不演习没有应急计划48、是否对故障恢复和应急处理过程有具体的记录？是 否 没发生过二、数据部分1、客户可以对下列数据进行哪些操作？1) 成交数据 读 修改 删除 增加 不能操作2) 资金数据 读 修改 删除 增加 不能操作3) 行情数据 读 修改 删除 增加 不能操作4) 股份数据 读 修改 删除 增加 不能操作5) 委托数据 读 修改 删除 增加 不能操作2、简述系统管理员权限管理措施。（100字以内）3、客户终端间接访问交易、资金数据的措施是 。4、交易记录联机保存的期限为： 半年 一年 两年其它： 。5、定期对

15、离线备份交易数据进行完整性检测的具体措施是什么？（100字以内）6、定期对在线存储数据进行完整性检测的具体措施是什么？（100字以内）7、在传输过程中对业务数据有哪些完整性保障措施？（100字以内）8、如何保证产生的包含关键数据的临时文件被及时删除？（50字以内）9、客户密码数据的存储方式为： 加密 明文 其它： 。10、是否有关键数据在公网上进行加密传输？是，加密方法是否没有关键数据在公网上传输11、说明存储和传输的关键数据加密强度。（50字以内）12、审计数据包含下列哪些信息？ 操作时间操作人员 操作对象操作结果 无审计数据13、审计数据的转存周期为： 一周（5）一月（5） 两月（3）一季

16、（3） 不转存（1） 无审计数据（0）其它： 。14、采用的数据备份措施是：双机热备份介质冷备份其它：。15、是否对交易业务数据进行了每日备份？ 是（请简述备份步骤，100字以内） 否16、备份数据存放地点采取哪些防灾措施？（100字以内）17、是否制定了详尽可行的备份恢复方案？是（请简述备份恢复方案，100字以内） 否18、是否对备份恢复方案进行过测试并留有记录？是 否19、备份数据的存储介质为： 磁盘磁带 光磁盘（）其它： 。20、备份数据是否异地存放？是，存放地点为： 。 否21、是否对业务数据的不可用、丢失等意外事故有书面的应急计划？是（请简述应急计划，100字以内） 否22、对业务数

17、据的不可用、丢失等意外事故应急计划的演习频率： 每月 每季每半年每年不定期 不演习没有应急计划23、数据恢复和应急处理过程是否有具体的记录？是 否没发生过三、网络部分如果没有以下检查项涉及的设备，则不回答。1、选用或采购的网络安全设备是否经过了国家信息安全认证？是，设备和认证证书编号分别是：_ 否2、是否做到了对主要的网络设备由公司总部进行统一选型？是 否3、是否有网络设备参数配置清单？是 否4、是否有网络安全设备参数配置清单？是 否5、路由器是否设置了控制端口密码？全部设置 部分设置 没有设置 6、交换机是否设置了控制端口密码？全部设置 部分设置 没有设置7、路由器是否设置了远程登录控制密码

18、？全部设置 部分设置 没有设置8、交换机是否设置了远程登录控制密码？全部设置 部分设置 没有设置9、防火墙等网络安全设备是否设置了登录密码？全部设置 部分设置 没有设置 10、路由器的密码设置做到：口令长度1-7位） 口令长度大于等于8位 没有具体含义有具体的含义 数字和字母不混用 数字和字母混用11、交换机的密码设置做到：口令长度1-7位 口令长度大于等于8位） 没有具体含义有具体的含义 数字和字母不混用 数字和字母混用12、防火墙等网络安全设备的密码设置做到：口令长度1-7位 口令长度大于等于8位 没有具体含义有具体的含义 数字和字母不混用 数字和字母混用13、路由器的密码更换周期为：1周

19、 1个月 2个月 2个月以上 不更换14、交换机的密码更换周期为：1周 1个月 2个月 2个月以上 不更换15、防火墙等网络安全设备的密码更换周期为：1周 1个月 2个月 2个月以上 不更换16、设定的路由器身份鉴别失败的最高次数为 次。17、设定的交换机身份鉴别失败的最高次数为 次。18、核心网络设备的密码是否互相不重复？是 否19、对网络配置进行修改的授权方法和记录方式有哪些？（100字以内）20、是否对路由器的配置修改进行记录？是 否21、是否对交换机的配置修改进行记录？是 否22、是否对防火墙的配置修改进行记录？是 否23、对路由器设置的安全访问控制权限有哪些？（50字以内）24、对交

20、换机设置的安全访问控制权限有哪些？（50字以内）25、对防火墙设置的安全访问控制权限有哪些？（50字以内）26、路由器关闭了哪些用户所不用的服务和远程操作命令？（50字以内）27、交换机关闭了哪些用户所不用的服务和远程操作命令？（50字以内）28、防火墙关闭了哪些用户所不用的服务和远程操作命令？（50字以内）29、当关键网络设备发生故障后是否有自动恢复运行的措施？是 否30、当关键网络设备发生故障后是否有手工恢复运行的措施？是 否31、控制台是否提供了会话保护功能？是 否32、对非管理用的网络工作站是否都禁用了软驱和光驱？是 否33、是否做到禁止其它部门网线私自接入交易服务器所在网段？是 否3

21、4、局域网是否采用了结构化综合布线？是 否35、是否对远程通信线路的接线端子定期进行维护检查？是，周期是 天 否36、是否对本地通信线路定期进行维护？是，周期是 天 否37、与交易所的通信线路是否有备份？是（请简述情况，100字以内） 否38、与银行的通信线路是否有备份？是（请简述情况，100字以内） 否（0）39、与公网的通信通道是否有备份？是（请简述情况，100字以内） 否（0）40、公司总部与营业部的远程通信线路是否有备份线路？是（请简述情况，100字以内） 否（1）41、对网络设备可能受到物理篡改或破坏有监视能力的软件和设备有哪些？（100字以内）42、在局域网中重要子网之间采用的技术

22、隔离机制为： VLAN 路由器访问控制列表 中间件 其它： 43、营业部局域网与公司总部网络的联接采用了哪些技术隔离机制？（50字以内）44、局域网与交易所的联接采用了哪些技术隔离机制？（50字以内）45、局域网与银行的联接采用了哪些技术隔离机制？（50字以内）46、局域网与公网的联接采用了哪些技术隔离机制？（50字以内）47、与电话委托的连接端口采取了哪些防止非法进入及越权访问的防范措施？（50字以内）48、与远程大户室的连接端口采取了哪些防止非法进入及越权访问的防范措施？（100字以内）49、内部办公接入的连接端口采取了哪些防止非法进入及越权访问的防范措施？（50字以内）50、局域网与公司

23、网站的联接端口采取了哪些防止非法进入及越权访问的防范措施？（50字以内）51、是否提供了客户使用营业部内客户终端访问Internet服务?是 否52、针对客户使用营业部内客户终端访问Internet服务采取了哪些隔离的措施? 不提供此项服务 没有措施 物理隔离 划分网段 身份认证 控制下载 访问控制 其它： 。53、针对客户使用营业部内客户终端访问Internet制定了哪些管理制度?（50字以内）54、配备使用哪些网管工具监视和管理网络运行？（50字以内）55、对网络系统的实时监控措施有：硬件工具： 软件工具： 无 56、对网络系统的实时监控措施是否正常启用？ 是（请简述监测报告，100字以内

24、） 否57、对网络系统的入侵检测措施有：硬件工具： 软件工具： 无 58、对网络系统的入侵检测措施是否正常启用？ 是（请简述检测报告，100字以内） 否59、对路由器、交换机、防火墙等重要网络设备的安全漏洞检测措施有：硬件工具： 软件工具： 无 60、对路由器、交换机、防火墙等重要网络设备是否定期进行安全漏洞检测？是（请简述检测报告，100字以内） 否61、路由器、交换机、防火墙等重要网络设备检测出的安全漏洞是否及时进行修补？是（请简述检测报告，100字以内） 否62、关键交换机的备份方式为：备份机 双机热备份 备件 不备份63、关键路由器的备份方式为：备份机 双机热备份 备件 不备份64、重

25、要的工作站的备份方式为：备份机 双机热备份 备件 不备份65、防火墙的备份方式为：备份机 双机负载均衡 不备份66、对网络是否有专项的书面技术事故应急计划？是（请简述书面应急计划，200字以内） 否67、对网络故障恢复和应急处理计划的演习频率：每月 每季每半年每年不定期 不演习）没有应急计划68、对网络故障恢复和应急处理过程是否有具体的记录？是 否 没发生过四、应用部分1、所有核心应用软件的投入使用是否都经过了公司总部的批准？是 否2、应用软件是否得到了开发者的安全承诺书（如，功能完备性保障，杜绝后门程序的协议）？是 否3、进行交易、资金、银行转账等业务处理时，是否要求用户输入账号和口令？是

26、否4、交易、资金、银行转账的客户口令长度为：口令长度1-5位 口令长度6-8位 口令长度大于8位5、柜台交易软件身份鉴别失败最多重试次数是 次，银证转账身份鉴别失败最多重试次数是 次。6、不同角色的用户在交易系统中是否有不同的权限和操作界面？是 否7、银证转账系统采用了哪些方法保证数据的一致性？ 自动查询 自动冲正 对帐 其它： 8、交易（委托、回报）、银证转账系统如何过滤及处理重复数据？（200字以内）9、网上委托或远程委托如何防止传输数据被恶意截取并重发？（200字以内）10、交易、银证转帐软件记录了哪些信息来保证数据不可抵赖性？（50字以内）11、以下哪些系统自动建立了日志（包括每次会话

27、建立的日期、时间、地点、用户名等信息）？交易系统 银证转帐系统 监控系统 财务系统 办公自化系统12、请说明交易、银证转帐系统具体有哪些审计功能？（50字以内）13、应用软件采取哪些措施保证用户的操作不被别人看到？进入系统时输入的密码不显示明文 在规定时间内没有操作自动退出提供手工锁定键盘功能 其它： 。14、请说明业务应用软件的具体容错办法。（100字以内）15、应用软件开发过程中是否进行了安全控制并留有安全设计文档？是 否16、是否有应用软件开发者提供的应用软件安全功能说明书?是 否17、应用软件开发者是否提供应用系统设计文件(设计书,设计说明书或设计手册等) ?是 否18、是否有应用软件开发者提供的系统安全功能测试报告?是 否19、是否有应用软件安装和启动过程的操作说明书?是 否2