各证券监管办公室、办事处、特派员办事处:
为了更好地落实《证券经营机构营业部信息系统技术管理规范》(以下简称《规范》),现将“证券公司及营业部、基金管理公司主要负责人学习《规范》应知应会30条”发给你们,请迅速转发至辖区内的各证券公司总部、基金管理公司(信托投资公司照此通知执行),并采取抽查和考试等有效方式,敦促证券公司及其营业部、基金管理公司主要负责人落实《规范》要求,有的放矢地加强技术工作的领导,切实防范和化解证券市场的技术风险,保护投资者利益。
证券公司及营业部、基金管理公司主要负责人学习《规范》应知应会30条
1、计算机管理工作组织结构的设置
证券公司及基金管理公司应设立计算机信息系统管理部门(以下简称电脑中心),营业部相应设立计算机工作管理部门(以下简称电脑部)。电脑部技术上接受电脑中心的管理、指导和考核。
2、信息技术人员数量设定
为保障信息系统的开发与运行管理质量,证券公司营业部及基金管理公司信息技术人员编制应不少于总人数的百分之十,最低数量设定为2人。
3、对信息技术人员的要求
信息技术人员应具备大专以上学历,具有计算机基础理论知识和专业技术经验。禁止录用劣迹或违法犯罪记录的人员从事证券行业计算机工作。
4、信息技术人员管理
(1)定期对信息技术人员进行业务培训和技术培训,不合格或未参加培训者严禁上岗;
(2)电脑中心应配合人事部门定期对信息技术人员进行考核;
(3)离岗人员必须严格办理离岗手续,明确其离岗后的保密义务,退还全部技术资料,信息系统的口令必须立即更换。
5、营业部电脑负责人的轮换
营业部电脑负责人之间应定期或不定期轮换。
6、安全管理组织
证券公司及基金管理公司要指定一职能部门负责公司及所属营业部的计算机安全管理,由公司总经理(总裁)主管计算机安全工作,营业部负责人为营业部计算机安全工作责任人。
7、计算机机房安全管理制度
(1)建立完整的计算机运行日志、操作记录及其它与安全有关的资料;
(2)交易时间内机房必须有当班值班人员;
(3)严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。
8、建立操作安全管理制度
(1)应采取严密的安全措施防止无关用户进入系统;
(2)数据库管理系统的口令必须由电脑中心专人掌管,并要求定期更换。禁止同一人掌管操作系统口令和数据库管理系统口令;
(3)操作人员应有互不相同的用户名,定期更换操作口令。严禁操作人员泄露自己的操作口令;
(4)必须启用系统软件提供的安全审计留痕功能;
(5)各岗位操作权限要严格按岗位职责设置。应定期检查操作员的权限;
(6)重要岗位的登录过程应增加必要的限制措施;
(7)营业部计算机信息技术人员不得担任清算员从事结算记帐工作;
(8)建立和完善技术监管系统,定期进行独立的对帐,核对交易数据、清算数据、保证金数据、证券托管数据以及会计数据的一致性和连续性。
9、计算机病毒防范制度
(1)电脑中心应指定专人负责计算机病毒防范工作。电脑部应定期进行病毒检测,发现病毒立即处理并报告;
(2)应采用国家许可的正版防病毒软件并及时更新软件版本。
10、技术资料管理
各级管理机构应制定技术资料的管理制度,明确执行管理制度的责任人,重要技术资料应有副本并异地存放。
11、机房供电系统
(1)机房应有单独的配电柜,计算机系统要设有独立于一般照明电的专用的供配电路,其容量应有一定的余量,建议采用双路供电;
(2)机房应配备不间断电源设备,其容量应保证机房设备和关键交易设备在断电情况下维持到后备电源供电。无备用发机时,不间断电源设备应能够持续供电4小时以上;
(3)机房应采用独立的直流地、交流工作地和防雷保护地。
12、机房环境
(1)机房的使用面积(不包括不间断电源放置面积)不得小于30平方米;
(2)机房的操作间与设备间应作分隔;
(3)机房宜安装独立空调设备;
(4)机房应有防火、防潮、防尘、防盗、防磁、防鼠、备用应急照明装置等设施。
13、机房防火
机房的防火设施不能使用水喷淋灭火设备,应依据《规范》中所引用的有关国家标准或规定设置防火设施。
14、远程通信
证券公司与所属营业部之间必须建立可靠的通信线路联接。重要通信线路必须建立后备线路,通信设备应建立设备备份。
15、服务器
服务器应具有一定的容错特性,服务器应有备品备件。
16、工作站
证券公司营业部除计算机机房外,一律使用无软驱或光驱等可卸存储装置的网络工作站,重要工作站应有冗余备份。
17、系统软件安全级别
系统软件应达到C2级上以(含C2级)安全级别,常见的达到C2级或C2级以上的操作系统和数据库系统可参见《证券经营机构营业部信息系统安全管理手册》第45页。
18、交易业务处理系统安全要求
(1)应保证无法绕过应用界面直接查看或操作数据库;
(2)防止异常中断后非法进入系统;
(3)系统管理与业务操作权限要严格分开;
(4)交易业务数据在通讯网络上应以加密方式传输。
19、软件开发管理
开发维护人员与操作人员必须实行岗位分离,开发环境和现场必须与生产环境和现场隔离。
20、软件管理
证券公司下属营业部应使用统一的系统软件和应用软件。
21、数据管理
对交易业务数据和系统数据实行专人管理,营业部信息技术人员不得拥有数据库管理员操作口令。
22、系统内交易数据保存
信息系统内应保存一年以上的交易业务数据。
23、数据备份
(1)每个工作日结束后必须制作数据的备份并导地存放,保证系统发生故障时能够快速恢复;
(2)交易业务数据的存储应采用只读式数据记录设备,交易业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少20年;
(3)备份的数据必须指定专人负责保管;
(4)数据保客管员必须对备份数据进行规范的登记管理;
(5)备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
24、备份数据的异地保存
异地保存的主要目的是避免火灾、水灾等灾害给数据带来损害,所以把数据保存在同层、同楼不能很好的规避风险,最后保存在公司以外的其他建筑内。目前,有些营业部每天把数据传输到总部进行备份也是一种很好的办法。
25、“三个分离”和“一个稽审”
即“业务与技术分离”、“前台与后台分离”、“网络与数据分离”,要定期和不定期地进行业务技术稽审。
26、技术事故应急计划
(1)应急计划必须形成文字;
(2)应急计划应针对可能发生的故障制定紧急处理程序;
(3)紧急处理程序应张贴在规定的地方;
(4)对执行应急计划的全体人员进行专项培训,定期进行演习。
27、技术事故责任界定
因通信线路故障导致的技术事故,应会同通信部门共同调查,界定责任。
28、出现技术事故时,下列情况免责
(1)因不可抗力引发的技术事故;
(2)因软硬件故障导致的技术事故,经技术专家论证,确认信息系统建设和管理符合本规范要求,确属小概率或偶发性事件;
(3)因证券交易所原因导致的交易中断。
29、下列情况自负其责
因操作失误导致的技术事故,经调查核实后,负相关责任。
30、技术事故的事后处理
(1)公司安全管理组织应立即进行事故调查,提出书面调查报告,必要时可组织有关专家鉴定,确定事故的原因和责任;
(2)对调查中发现的技术薄弱环节,应限期整改。