1、长城证券计算机管理制度长城证券有限责任公司信息系统管理制 度 汇 编长城证券有限责任公司信息技术中心前 言随着计算机技术的迅猛发展,信息系统已成为证券业各项业务顺利运转的关键设施,因此保证信息系统的正常运转和防范技术风险,已成为证券业工作重心之一。为了提高证券行业的整体技术水平,有效地防范和化解技术风险,中国证监会于1998年3月颁布了证券业的第一个技术标准 证券经营机构营业部信息系统技术管理规范(试行)(以下简称规范),将证券业的信息系统建设与管理工作纳入了规范发展的轨道。 如何使规范落到实处,切实做到技术管理制度化、日常操作规范化,是当前证券业信息系统规范化建设的一项重要内容。 为此,公司
2、信息技术中心根据规范要求,结合公司实际情况,以公司计算机应用管理科学化、规范化、高效、安全、实用、集中统一为原则,起草了长城证券有限责任公司信息系统管理的一系列规章制度,并广泛征求了公司有关部门与部分营业部的意见,最终形成这本长城证券有限责任公司信息系统管理制度汇编(以下简称制度汇编)。本制度汇编分为三大部分。一是公司信息系统管理办法(试行),共有18条,主要包括公司信息技术中心的工作职责、证券营业部(以下简称营业部)电脑部的职责、以及有关营业部搬迁、扩租、电子设备购置等事项报批程序与管理办法等。二是公司信息系统管理实施细则(试行),共分12 章,主要包括计算机应用项目立项和审批程序、应用软件
3、开发管理、计算机设备购置和使用管理、网络管理、机房管理、计算机设备报废管理、耗材管理、防病毒管理、技术文档管理以及系统安全保密管理等;三是营业部信息系统管理办法(试行),共分 ? 章,比较详细地制定了营业部电脑部工作职责、人员管理、岗位设置、安全及风险防范、软硬件设备管理、数据管理、资料管理等各项规章制度。本制度汇编由公司信息技术中心统一组织实施,并负责监督、检查相关规章制度的贯彻执行。本制度汇编的修改、解释权归公司信息技术中心。本制度汇编属公司内部资料,应妥善保管、注意保密。第一部分长城证券有限责任公司信息系统管理办法(试行)第一条 为了贯彻公司“以客户为中心,以利润为中心,合规经营、开拓创
4、新”的经营指导方针,适应公司全面提升公司各项业务和管理水平,逐渐形成长城经营特色,争取使各项工作再上一个新台阶的要求,实现公司系统内计算机技术与应用的有效管理,充分发挥计算机技术资源的整体优势,特制定本管理办法。第二条 公司计算机应用管理工作坚持科学、规范、安全、高效、实用的原则。第三条 公司计算机应用管理实行集中统一管理的原则。集中统一管理是指在公司系统内,以统一规划、统一标准、统一应用、统一实施、统一采购的“五统一”方式,分步实施推广计算机应用技术,并对计算机应用进行日常管理和维护。第四条 公司设立信息技术中心,下属各营业部设立电脑部。公司计算机应用由信息技术中心归口管理。第五条 公司信息
5、技术中心是全公司计算机信息系统规划、管理和技术协调的主管部门。各营业部电脑部在技术上接受信息技术中心的指导、管理和考核,在业务及行政上接受所在营业部负责人的领导和管理。第六条 信息技术中心的主要职能是:1、 保证公司的信息技术的应用具有前瞻性。2、 保障当前投入使用的系统稳定运行。3、 结合业务发展与技术更新,及时推出高质量的新技术应用系统。4、 建立并保持高素质的、稳定的技术队伍。5、 协助公司制定信息技术应用的整体发展策略。6、 根据整体的发展策略,制定具体的年度工作规划并组织实施。7、 制定或改进与信息系统相关的开发、维护及应用的规章制度。8. 配合人力资源部,对公司及营业部电脑人员的考
6、核、聘用、任免以及培训。8、 协助进行公司内计算机软硬件的选型招标。9、 审批营业部计算机软硬件购置的年度预算及相应技术鉴定,审核计算机设备的购置、报损、报废等工作。10、 协助公司作不定期的技术审计,对营业部信息系统进行专项检查。11、 完成总部的各应用信息系统及交易系统的日常维护工作,包括通讯、网络、系统、应用、安全(防黑客、防病毒、数据备份)等。12、 负责具体指导和监营业部电脑部工作,对营业部提供实时技术支持和现场服务。13、 为公司电子商务的发展,提供充分的技术支持,维护更新公司的内、外网站,保障网上交易等各类电子商务业务的开展。14、 技术资料的管理。15、 公司授权的其他管理职能
7、。第七条 公司重要职能部门及营业部下属远程网点,设置计算机管理员,负责本部门计算机的日常维护管理以及与上级主管技术部门的联络工作。第八条 各营业部设置电脑部,负责本部门信息系统的建设、日常维护管理以及与公司信息技术中心的联络工作。具体职能为:1、 化安全意识,自觉遵守公司关于营业部信息系统管理的各项规章制度。2、 负责本营业部计算机信息系统的建设、管理和维护,确保系统安全运行。3、 及时处理证券交易所及有关主管部门播发的涉及信息系统运行的数据、文件和各类通知。4、 负责计算机硬件设备的管理和维护,保持系统处于良好的运行状态。5、 负责本营业部信息系统的安全运行。开市之前做好系统的运行准备工作,
8、开市期间实时监控系统运行状况 、处理突发事件,收市后配合清算员完成日结清算等盘后工作。6、 完整、准确地记录计算机信息系统的运行日志。7、 严格按故障报告制度及时、准确地处理系统出现的故障。8、 负责交易业务数据、系统数据和其他重要数据、资料的备份及其管理。9、 根据本营业部的业务发展需求,提交应用系统需求报告、软硬件采购计划,报公司信息技术中心审批。10、 在公司信息技术中心的安排下,承担公司信息网络系统建设中涉及本营业部的有关工作。11、 负责本营业部计算机信息系统各类文档的收集、整理、分类、归档、备案。12、 负责编制营业部计算机设备的统计报表及协助财务部拟定本营业部计算机设备报废、报损
9、计划,报公司信息技术中心审核13、 提出本营业部计算机人员技术培训计划。14、 负责本营业部其他业务人员计算机应用培训。15、 紧密跟踪计算机新技术的发展,为新技术的推广应用做好充分的技术准备。16、 完成公司信息技术中心交办及本营业部总经理下达的其他工作任务。17、 各营业部电脑部经理人选,须由所在营业部提出推荐意见上 报公司,经公司人力资源部会同信息技术中心进行资格审查和考核,并报公司领导批准后聘任。第九条 公司各部室、中心及营业部计算机网络、系统的新建或整体改造,必须在年初申报计划,并附完整的整体设计方案和可行性论证报告,由信息技术中心审批。第一十条 各营业部申请搬迁、扩租营业面积以及涉
10、及公司整体项目建设,应根据经纪业务管理总部及财务资金总部有关上报的要求提出立项申请,在经纪业务管理总部批准后,再向经纪业务管理总部报送可行性分析报告与装修预算方案,向信息技术中心报送计算机设备预算和技术方案,由经纪业务管理总部、信息技术中心分别审核批复后,营业部方能实施。第一十一条 公司各部室、中心为加强系统安全运转,保证正常运营的电脑设备购置和网络改造等方面的签报,直接报送公司信息技术中心。信息技术中心将依据中国证监会技术监管的规范要求和公司技术发展总体纲要进行审查,在总部计划财务部核定的营业部当年新增固定资产可用规模内进行核准,并按月向财务资金总部提供清单,不再向其他部门申报。第一十二条
11、公司设立计算机设备采购小组,具体负责公司计算机设备(包括相关工程项目)的招标、评标与购置事宜。第一十三条 所有的计算机设备(包括软件)采购均须采取招标方式,遵循严格、规范的招标程序,包括制定标书、发标、接标、评标,最后经采购小组审定后报公司主管领导审批。第一十四条 公司各部室、中心及营业部购置的计算机设备,凡属于固定资产的,按公司固定资产管理办法进行管理。第一十五条 各营业部电脑部应每季度向信息技术中心提交书面工作报告,及时反映工作动态与需解决的问题。第一十六条 公司各部室、中心及营业部如有人员调离,须事先通知公司信息技术中心,以便及时清除网络登录用户并确定是否进行相关审计。第一十七条 本办法
12、由公司信息技术中心负责解释。第一十八条 本办法自下发之日起执行。此前颁布的有关规定中与本办法不一致的,以本办法为准。第二部分长城证券有限责任公司信息系统管理实施细则(试行) 第十二章 附 则附表9 备份介质密封登记表 16附表10 备份介质调用申请表 17附表11 计算机耗材及备品备件领用单 18附表12 信息技术中心总部数据备份任务一览表 19附表13 信息技术中心总部数据备份介质内容变更登记表 20附表14 信息技术中心数据库操作申请表 21附表15 信息技术中心数据库访问监控报表 22第一章 总 则第一条 为加强长城证券有限责任公司(以下简称公司)对计算机应用的集中统一管理,规范全公司系
13、统的计算机应用,保证计算机系统和设备的正常运转,根据公司信息系统管理办法,制订本实施细则。第二条 本实施细则主要包括计算机应用项目立项和审批程序、计算机设备购置和使用管理、应用软件开发管理、计算机设备报废管理、耗材管理、网络管理、机房管理、技术文档的管理、系统安全保密管理、网络防病毒管理以及技术培训管理等。第三条 本办法适用于公司各部室、中心及所属证券营业部(以下简称营业部)。第二章 信息系统工程项目申请、立项和审批程序第一条 计算机应用项目包括计算机网络系统新建与改造、硬件设备与系统软件的购置、升级以及应用软件开发与升级等。第二条 凡单价超过五千元的计算机应用项目,须填写长城证券有限责任公司
14、计算机应用项目立项申请报告(见附表1),并报公司信息技术中心审批。第三条 已立项的计算机应用项目完成后,由公司信息技术中心会同有关业务管理人员组成项目验收小组进行验收,验收结果形成长城证券有限责任公司计算机应用项目验收报告(见附表2)。第四条 公司各部室、中心在每年的12月31日前,提出本部门下一年度的计算机应用项目建设、购置及升级计划,填写计算机设备需求计划表(见附表3)、计算机设备资金需求计划表(见附表4)报信息技术中心。第五条 信息技术中心根据公司信息系统建设总体规划和各部室、中心及营业部提交的计划,汇总制定公司下一年度计算机应用项目购建计划,报请公司批准后执行。 第六条 对于计划外的计
15、算机应用项目,除特殊应急项目特批外,其他原则上不予审批。第七条 对于投资较大、建设周期较长、涉及面广的计算机应用项目,信息技术中心将邀请业务需求部门、营业部电脑人员及有关专家进行技术论证和评审,原则上采用统一招标,统一推广的方式。 第三章信息系统安全管理制度 总 则 第一条 为了加强对公司信息系统的安全管理、防范和化解各种技术风险、保护投资者利益、维护公司的合法权益,确保公司各项业务的顺利开展,根据中华人民共和国计算机信息系统安全保护条例、证券经营机构营业部信息系统技术管理规范(试行)及有关规定制定本制度。 第二条 信息系统安全管理涉及安全管理组织建设、安全策略、系统环境安全、软件安全、设备(
16、实体)安全、网络和通讯系统安全、用户及权限管理、操作安全、病毒防范、系统备份、日志记录、事故处理以及安全审计等内容,公司信息技术工作应在本制度指引下,本着“安全第一”的原则进行。 第三条 本制度适用于长城证券公司总部、各地区总部及各营业部。组织和职责 第四条 信息系统安全管理实行公司总裁负责的公司安全管理委员会和营业部总经理负责的营业部安全管理小组两级管理制度。 第五条 公司安全管理委员会下设安全工作小组作为执行机构,定期对公司范围信息系统的安全性作出评价,必要时提出提高安全性的建议。 第六条 公司安全管理委员会的职责包括:建立健全公司各种安全制度、对安全工作小组的工作进行授权、对公司各类信息
17、的重要性进行评估为其安全级别的制定提供依据、对安全工作小组有关报告的讨论和批复、安全事故处理结果的公布、取得法律支持以解决信息系统入侵者的问题,以及进行安全教育和安全检查。 第七条 营业部安全管理小组的职责包括:监督和检查各项安全管理制度在营业部的落实情况、定期向公司安全管理委员会提交工作报告、处理公司安全管理委员会授权的事务、配合公司安全工作小组的工作、开展计算机安全教育、保证营业部信息系统安全运行。安全策略第八条 计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。第九条 对计算机信息系统中发生的案件,营业部电脑人员即时向营业部总经理汇报,并于24小时内向总部信息技术中心
18、报告。第十条 通过对信息系统环境、软件、硬件、网络和通信、用户和权限、规范化操作、病毒防范、备份和恢复手段以及安全审计等的有效管理,维护公司整个计算机环境的一致性。 第十一条 建立一个多层次的安全系统,在信息的安全和共享之间建立平衡。第十二条 对公司员工进行计算机安全教育,提高员工的安全意识,是公司安全策略的重要组成部分。第十三条 营业部安全管理小组必须定期对本营业部的主要计算机信息系统资源配置、技术人员构成进行登记,并报公司安全管理委员会备案。第十四条 公司安全管理委员会及营业部安全管理小组应当对公司总部和各营业部重要岗位计算机信息系统的安全情况经常进行检查,并及时整改不安全隐患。第十五条
19、公司安全管理委员会应当建立废弃数据、介质的处理制度。第十六条 公司总部和各营业部启用新的应用软件,应当按软件开发管理制度(试行)中有关规定业务系统,并做好日志记录。第十七条 公司安全管理委员会应当建立严格的密钥管理制度和在紧急情况下销毁密钥的手段和措施,以防止密钥的失密。 安全监督第十八条 公司安全管理委员会对公司内部计算机信息系统安全保护工作行使下列监督职权:1、监督、检查、指导计算机信息系统安全保护工作;2、查处危害计算机信息系统安全的事件;3、组织或委托有关部门对新建、改建和扩建的系统进行安全验收,负责系统安全技术检测工作;4、组织开展系统安全竞赛和评比;负责通报表彰和处罚;5、履行计算
20、机信息系统安全保护工作的其他监督职责。第十九条 公司安全管理委员会发现影响计算机信息系统安全的隐患时,应当及时通知公司各有关部门和各营业部采取安全保护措施。第二十条 公司安全管理委员会在紧急情况下,可以就涉及计算机信 息系统安全的特定事项发布专项通知。 安全管理第一节 信息系统环境的安全管理 第二十一条 信息系统环境的安全管理按照公司计算机房管理制度及信息系统环境标准执行。第二节 软件安全管理 第二十二条 总部信息技术中心依据公司软件开发管理制度对系统软件、应用软件的开发、购买、测试和使用等环节进行管理。 第二十三条 软件的开发和采购报告必须包括安全设计的说明,其安全设计必须符合软件开发管理制
21、度的有关规定。 第二十四条 信息技术人员应按照信息技术中心下发的安装配置方法对系统软件进行统一的安装配置。 第二十五条 信息系统的安全漏洞一经发现应及时报告公司安全管理委员会。第二十六条信息技术中心应与软件开发商和供应商保持联系,及时取得并组织安装经过测试的安全补丁。第二十七条 软件使用部门根据业务需要提出增添新的应用软件或对已有应用软件提出新的功能要求,须以部门名义向信息技术中心填写软件需求报告表, 信息技术中心在收到软件需求报告表(附表5)后,三天之内给予书面答复。第二十八条 新购置的软件需经信息技术中心测试和试运行。试运行完成后,试用人员应填写软件验收报告表(附表6)报信息技术中心领导审
22、核,信息技术中心在收到报告后三天内予以回复。测试稳定后由信息技术中心统一分发安装使用。第二十九条 自行开发的应用软件,如源程序中需要嵌入数据库访问的用户设置,应由数据管理员得到源程序、制作安装盘。该安装盘与购置的应用软件安装盘一并由档案管理员保管,由应用系统维护人员调用安装。第三节 计算机及相关设备的安全管理 第三十条 总部信息技术中心配合行政部及财务部依据公司电子与通讯设备固定资产管理制度对计算机及相关设备的选型、采购等过程进行管理。 第三十一条 重要的服务器、工作站、网络设备、通讯设备应放置在机房,通过计算机房管理制度保证其物理安全性。 第三十二条 重要的服务器、工作站、网络设备、通讯设备
23、应有备品备件,出现问题及时更换。 第三十三条 对服务器及其资源的管理: 1、对资源共享权限和NTFS访问权限进行严格、有效的管理,不授予用户超出需要的权限,权限的设置必须有明确的依据; 2、制定方案,对敏感资源的操作、系统登录情况进行定期或不定期检查,及时查看L系统日志文件,对ALERT相关日志提示作出及时响应; 3、提供远程访问和对外WEB服务的服务器不存放敏感数据;4、对一些系统程序(如Telnet、ftp等)的使用应加强控制;停止服务器上不必要的服务;尽量减少所使用的协议。第三十四条 对贮有重要数据的故障设备,交外单位人员修理时,公司总部及各营业部必须派专人在场监督。第四节 网络和通信系
24、统的安全管理第三十五条 计算机通信系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定,并建立一个多层次的安全系统,在信息的安全和共享之间建立平衡。第三十六条 采用新的网络安全软件、设备和技术保证公司网络的安全。 第三十七条 采用数据加密技术保证数据安全传输。总部和营业部间业务数据的传输应加密后采用数据专线进行传输。并采用PPP协议中PAP、CHAP相应的认证。第三十八条 总部和营业部间业务数据的传输应加密后采用数据专线进行传输。第三十九条 通信设备应具有防干扰、防截取能力。主要的通信设备应做到设备备份。第四十条 通信线路接口部分应采取防止非法进入的安全措施。第四十一条 进行密码设置,并
25、进行密码的专职保管,防范通信线路接口部分的采取非法进入。第四十二条 公司总部及营业部应当对公司总部和各营业部通信系稳定、安全情况进行定期检查,并及时整改不安全隐患。第四十三条 对通信系统中发生的案件,营业部电脑人员即时向营业部总经理汇报,并于即时与总部信息技术中心相关人员联系,双方合作尽快解决问题。第四十四条 总部信息技术中心设岗位职责,分别负责公司广域网连接方案、网络安全方案的实施,对总部局域网、公司广域网连接、各类移动连接、Internet接入设备进行管理,以及其它保证网络连接安全稳定的日常事务性工作。第四十五条 营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑
26、部负责。营业部柜台交易系统管理员由营业部总经理担任。第四十六条 营业部与交易所的卫星通信均应做到伙伴备份或isdn或ddn的备份。对上海报盘应做到总部备份。对以上备份系统做到定期测试,保证通信无误。第四十七条 为了安全期间,营业部与营业部之间应限制相互间的直接操作。第五节 数据访问的安全管理第四十八条 由于审计、数据库故障调试等原因,需要访问数据库时,应创建临时用户、赋予适当的权限,并交由审计人员、应用系统维护人员使用,并在使用完毕后及时删除该临时用户。在技术允许的条件下,应限制用户的登录工作站。第四十九条 对于涉及业务、财务方面的数据库,应利用数据库系统的访问跟踪记录功能,设置对应用系统、调
27、试用户、超级用户访问数据库的命令进行跟踪,记录到监控日志文件中。定期检查监控日志,发现异常及时通报。第五节 管理员及其职责 第五十条 总部信息技术中心设系统管理员岗位,负责公司信息系统的管理,包括服务器的规划、安装和配置,启动/停止系统和服务,对系统运行状态和入侵企图进行监控,安装/删除软件,增加/删除/修改用户和用户组,对用户/用户组的权限进行设置和修改,以及其它保持系统发展和安全运行的工作。 管理员应采取的安全措施有: 1、由于管理员组和备份组成员拥有对SAM数据库的权限,所以必须严格限制管理员组和备份组成员资格,并加强对这些帐户的审计; 2、改变Administrator帐户名,为管理员
28、和备份操作员创建专用帐号,为特定的工作建立专用的帐号,要求在执行相应的管理任务时使用相应的帐号,操作结束时及时注销; 3、关闭管理员以及特殊权限用户的远程访问能力,特殊情况可以采用预设电话号码的回拨方式; 4、管理员组、备份组成员帐户不能用于浏览WEB。 第五十一条 总部信息技术中心设数据管理员岗位,负责总部数据的安全管理和维护,具体职责见信息系统安全管理制度第十三节“总部数据管理员职责细则”。第五十二条 总部信息技术中心设网络管理员岗位,负责公司广域网连接方案、网络安全方案的实施,对总部局域网、公司广域网连接、各类移动连接、Internet接入设备进行管理,以及其它保证网络连接安全稳定的日常
29、事务性工作。 第五十三条 营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。营业部柜台交易系统管理员由营业部总经理担任。 第五十四条 公司设立财务系统管理员岗位,财务系统管理员一般由财务部经理担任。第六节 用户、组及其权限 第五十五条 系统管理员根据公司业务要求建立具有不同权限的用户组,包括系统管理权限、系统和数据备份权限、帐号管理权限、各种数据库访问权限、不同的文件访问权限、各种应用程序使用权限、网络打印权限、远程访问权限、Internet访问权限等。第五十六条 总部系统管理员应依据总部行政部的书面通知,完成新增/删除用户、分配权限的工作,并用邮件方式回复。
30、上述通知应包括需要新增/删除的用户的姓名、工作的部门、需要使用何种应用等。第五十七条 营业部因人员新增调动、离职等需对邮件等用户作出调整的,由营业部办公室主任通知信息技术中心。第五十八条 营业部交易系统管理员新增/删除柜台用户或对用户权限进行分配应有文字记录。对股票、资金等参数进行调整的非正常业务操作必须填写书面说明,而且必须由营业部总经理及财务部经理共同批准后方能执行。 第五十六条 营业部技术人员在应用系统中的权限应只限于系统管理,而无业务操作权限。第五十九条 对用户及权限管理应按以下原则执行: 1、应对具有系统管理、数据库管理等特殊权限的用户进行限制,包括仅允许在机房和自己的工作地点登录,
31、同一时间仅允许同一用户登录一次允许远程访问时必须设定回拨方式等; 2、尽可能对组而不是对用户授权; 3、杜绝无口令的登录帐户,删除GUEST帐户; 4、对口令长度、复杂程度、有效期、重复使用的间隔等进行规定; 5、及时锁定过期帐户、暂停使用的帐户、多次试图使用无效口令登录的帐户,临时授权帐户必须及时取消; 6、一般不设公用帐户,以保证用户有独立的帐户; 7、对使用时间进行限制; 8、超时锁定; 9、对无法设置口令的用户及公用帐户应加强登录时间、登录地点、登录数目的限制,对自动执行批处理命令的用户应有防中断措施; 10、权限变更或交接应有文字记载。 第六十条 对使用公司网络访问Internet,使用打印机等的用户实行严格管理。第七节 操作的规范化管理 第六十一条 总部和营业部应分别制定操作规程,并定期修改。 第六十二条 禁止同一人掌
