证监信息字[1999]18号
颁布时间:1999-11-03 00:00:00.000 发文单位:中国证券监督管理委员会
各证券经营机构:
为进一步落实《证券经营机构营业部信息系统技术管理规范(试行)》(证监信字[1998]2 号,以下简称《规范》),提高行业信息系统安全管理水平,有效防范和化解技术风险,现将《〈证券经营机构营业部信息系统技术管理规范(试行)〉技术指引》(以下简称《指引》)印发给你们,并就有关事宜通知如下:
一、要在认真组织学习《规范》的基础上,全面了解和贯彻《指引》的要求,做到有效防范技术风险,提高安全水平。
二、要根据《规范》及《指引》的要求,找出差距和不足,采取有效措施加以改进。
三、中国证监会将组织对《规范》及《指引》落实情况的检查。对不符合要求的单位,将根据《关于证券经营机构及其营业部做好信息系统检查工作有关事宜的通知》(证监信息字[1999]7 号)和《关于强化证券经营机构总部对所属营业部信息系统安全检查的通知》(证监信息字[1999]11号)等文件的规定,严肃处理。
中国证监会
一九九九年十一月三日
《证券经营机构营业部信息系统技术管理规范(试行)》技术指引
第一章 管理体系技术指引
第一节 组织结构
一、电脑中心负责制定的与信息系统相关的规章制度([2.1.2(1)])至少应包括如下方面:
1、组织机构与人员管理;
2、安全管理(包括病毒防范);
3、文档资料管理;
4、数据管理;
5、硬件设备管理(包括相关设备强制更换);
6、软件管理;
7、网络管理;
8、机房管理;
9、运行维护管理(包括操作安全管理);
10、技术事故防范与处理。
电脑中心还应编制涵盖上述制度内容的工作手册,并根据实际情况每年进行修订。
二、电脑中心审核营业部电脑负责人的任职资格([2.1.2(4)]),包括对其进行必要的奖励和惩罚。电脑负责人任职要专岗专责,不得由业务人员兼任,也不得兼任业务职务。
三、电脑中心除为营业部提供技术支持外([2.1.2(9)]),还应为本证券经营机构的其它部门提供技术支持。
四、电脑中心的数据管理职能 ([2.1.2(10)])要求电脑中心要对数据实行集中管理,尽量做到异地实时备份。
五、对营业部信息系统的定期检查应为每年至少一次 ([2.1.2(12)])。定期检查为规范性检查,不定期检查为专项检查,检查必须有文字记录。
六、[2.1.3(2)]中的有关部门是指结算公司和证券通信公司。
七、[2.1.3(6)]中的其它重要数据至少包括:服务器系统参数配置,主要网络设备参数配置,通信设备参数配置,智能化电源、空调的参数配置,交易系统、通信软件及其它应用软件的参数配置等。
八、电脑部在履行职能时([2.1.3]),还要注意做好以下方面的工作:
1、强化安全意识,自觉遵守并监督执行安全制度的落实;
2、及时完成电脑中心布置的各项工作;
3、保持机房及配电房达到规定技术指标,并保持整洁;
4、负责计算机硬件、软件、通信设备的管理与维护,建立技术档案,保持系统处于良好的运行状态;
5、负责营业部技术资料的保管与维护;
6、有条件的营业部应定期做好服务器的全系统备份。
第二节 人员管理
一、执行对营业部信息技术人员编制规定([2.2.1])时应注意:营业部总人数少于20人的,也要至少配备2名专职信息技术人员。
二、[2.2.4]中的关键技术岗位至少包括电脑部全部工作人员岗位。
三、电脑中心应强化对信息技术人员的管理职能([2.2.5]),包括:
1、参与信息技术人员的招聘,并可行使否决权;
2、对信息技术人员进行必要的奖励和惩罚;
3、对营业部信息技术人员每年至少进行一次技术培训和考核,重新认定上岗资格;
4、有条件的证券经营机构可实行垂直管理,直接确定电脑部的人员编制和收入等。
四、对信息技术人员离岗应加强管理([2.2.8]),至少达到如下要求:
信息技术人员离岗时必须严格办理离岗手续,明确其离岗后的保密义务,退还全部技术资料,电脑中心必须派员监督交接过程。新旧工作人员应共同工作不少于5个工作日,信息系统口令必须立即更换。
第三节 安全管理
一、计算机安全管理的保障机制([2.3.3])包括稽核监控和安全合规奖惩等方面的内容。
二、计算机机房安全管理制度中要求的值班人员([2.3.4(2)]) 必须是信息技术人员。
三、[2.3.5(3)] 中的“定期更换操作口令”是指至少每两个月更换一次。
四、[2.3.5(8)] 中要求的技术监管系统,应在电脑中心的统一规划下建立,并与证券经营机构的状况相适应。
五、[2.3.5(8)] 中要求的“定期进行独立的对帐”是为了防范业务风险而采取的计算机稽核手段。
六、操作安全制度([2.3.5])在执行中,应重视以下方面:
1、所有用户的登录必须具有屏蔽中断功能;
2、新开用户需经严格审批;
3、冗余用户要及时清理,超过三个月未使用过的用户要设置为禁止使用状态或删除;
4、数据库管理系统的系统管理员口令应由电脑中心集中管理,并于非软件开发商的第三处封存保管。
七、[2.3.6(1)]对病毒检测的具体要求为:电脑部应指定专人负责计算机病毒防范工作,并至少每半个月及在已知敏感日期前夕,进行病毒检测,发现病毒立即报告电脑中心病毒防范负责人,并在其指导下进行处理,同时详细记录病毒发作过程。
第四节 技术资料管理
一、[2.4.2]中的各级管理机构是指电脑中心和电脑部。
二、重要技术资料的管理必须严格([2.4.4]):
1、重要技术资料应有专人管理,专柜存放;
2、重要技术资料应有副本并异地存放。在条件允许时,应存放在银行的保险箱内或其它符合要求的存放地点。
第二章 硬件设施技术指引
第一节 计算机机房
一、关于供电系统([3.1.2])的说明:
1、营业部供电方案可由下列方式构成:不间断电源、备用发电机和双路供电,及对以上方式的合理组合使用。如:单独使用不间断电源,不间断电源和发电机配合使用,不间断电源和双路供电配合使用。其中双路供电指通过不同变电所的电力线路进行供电;
2、备用供电系统容量和持续供电时间应保障机房设备和关键交易设备在断电情况下能够完成当天正常的交易;
3、不间断电源应当定期维护保养,保证设备处于正常的工作状态;
4、备用发电机应当定期启动、检测,保证停电时能正常发电;
5、机房的配电柜和不间断电源插座应标识清楚。
二、对机房消防的要求([3.1.4]):
1、机房必须安装烟感和温感报警器及必要的灭火装置;
2、机房禁止使用水喷淋装置;
3、机房应采用防火材料制作的机架或机柜。有条件的营业部可采用防火、防盗门,耐火墙体,阻燃无毒的电缆。
第二节 远程通信
一、[3.2.3]要求的重要通信线路必须建立后备线路,至少包括:
1、营业部行情接收系统应有通信备份,主要方式有:
(1)上海行情接收可采用深圳证券交易所提供的上海证券交易所行情卫星备份系统,或通过其他营业部进行接收等方式;
(2)深圳行情接收可采用深圳单、双向卫星、拨号及上海证券交易所提供的深圳证券交易所行情卫星备份系统(在建),或通过其他营业部进行接收等方式。
2、营业部委托报盘系统应有通信备份,主要方式有:
(1) 上海委托可采用上海证券交易所提供的双向卫星、DDN、双向卫星拨号(在建)和上海证券交易所提供的公司内部席位连通备份报盘方式;
(2) 深圳委托可采用深圳证券交易所提供的双向卫星、卫星伙伴备份和地面拨号、DDN等报盘方式。
第三节 计算机设备
一、 执行[3.3.1]对服务器的要求时,要注意:
1、行情服务器和交易服务器应有可靠的备份手段和备份系统([3.3.1(1)]);
2、服务器至少应做磁盘镜像([3.3.1(2)]);
3、服务器应有充足的电源、内存、硬盘、网卡等备用器件([3.3.1(3)])。
第四节 局域网络
一、[3.4.4]要求网络设备应有冗余备份,主要包括:
1、营业部网络的主交换机应有备份机,可做冷备份或热备份;
2、网络中的集线器和网卡都应有充足的备件。
二、营业部未使用的信息点,在机房端应将相应网络线从网络设备上断开,待使用该信息点时再接入。
第三章 软件环境技术指引
第一节 系统软件
一、 系统软件主要包括操作系统软件、数据库管理系统软件([4.1.1]),此外,还包括网络管理软件、互联网服务器软件以及相应的防火墙软件等。
二、 正版软件([4.1.2])包括两方面的含义:
1、有正式授权的软件;
2、软件的使用和安装在该软件的合法要求范围内。
三、[4.1.4] 要求的必须启用系统软件提供的安全审计留痕功能,应做到对成交回报、与交易所接口数据库和交易数据库的修改,用户的登录与注销等方面的审计。审计至少应记录操作的用户(或地址)、时间、具体操作及结果等信息。
第二节 应用软件
一、 [4.2.2(2)]所指的关键数据目前至少包括各种密码、口令及标识项。
二、 在对交易业务数据进行异地备份传输([4.2.2(7)])时,必须采取数据加密的方式。
第三节 软件管理
一、[4.3.2] 要求的安全保密设计至少应包括使用应用系统的客户与非客户用户的权限划分,客户密码的保密使用方法,非客户用户的保密责任和严格分工,数据的安全记录及存放,系统设计方案、数据结构以及程序源代码和加密算法的保密等内容。
二、[4.3.5] 要求的内部评审必须有电脑中心的书面认可。
三、软件的使用范围和使用权限([4.3.6]) 要严格按照管理体系中软件管理的有关制度执行。
四、[4.3.7] 要求的操作培训和安全教育包括两方面的含义:
1、 客户用户要达到熟悉软件操作功能和对自己重要信息保密操作的要求;
2、 非客户用户要达到熟悉并严格履行自己的职责,不进行越权、越级或非法操作的要求。
五、营业部在进行软件维护和系统参数调整时([4.3.10]),必须经过营业部主管经理或电脑部经理的批准,对所有操作做出详细的书面记录并登记归档。
六、防止对应用软件的非法修改([4.3.11]),要从管理上和技术上采取措施。一方面要制定完善的制度并严格执行,另一方面要在技术上采取措施,加强对可能的非法入侵手段的监控与防范。
第四章 数据管理技术指引
第一节 交易业务数据
一、 关于数据备份([5.1.6])的说明:
1、交易业务数据必须进行备份,备份介质可采用硬盘、光盘和磁带等;
2、每个交易日的备份数据应异地保存,即将当天的备份数据传输到总部、地区总部或其他营业部进行异地保存。确有困难时,可临时保存在远离机房的专用保险箱(满足“六防”要求)内;
3、需长期保存的数据必须定期备份到光盘或其它永久性只读介质上,并保存在异地的专用保险箱内。
第二节 系统数据
一、 对系统软件中的系统数据,要根据营业部情况定期备份。
二、应用软件的在运行版本应有备份,并异地存放。
第五章 技术事故的防范和处理技术指引
第一节 技术事故及其防范
一、 由于通信、电力等的故障引起系统无法运行,经启动备用系统仍未恢复正常,导致交易中断或造成经济损失的事件也属技术事故([6.1.1])。
二、 在应急计划的制定与执行中([6.1.4]),还应注意以下问题:
1、应急计划应由证券经营机构总部电脑中心统一制定,营业部电脑部根据自身机房环境、软硬件系统特点进行补充和完善;
2、在制定应急计划中的紧急处理程序时,建议尽可能评估和确定可能发生的技术故障类别和故障点,充分借鉴以往技术事故应对步骤的经验,具体写出针对故障点的紧急处理程序;
3、一个故障点可对应多个紧急处理程序;
4、应制定培训与演习计划,包括对象、内容、组织形式和时间进度等。应急计划要定期进行演习,并形成“演习总结报告”。
第二节 技术事故的处理
一、 在进行事故处理时([6.2.4])还要注意:
1、电脑中心和电脑部应注意总结技术事故处理的经验与教训,形成技术文件并及时进行交流,为今后避免或处理类似问题提供借鉴。
2、营业部应在事故发生的第一时间内报告电脑中心,并及时向电脑中心书面详细报告技术事故的全部情况,包括事故原因、处理情况和改进措施。
3、对信息系统安全事件应立即上报中国证监会及其派出机构。
中国证监会资格考试委员会办公室