各證券經(jīng)營(yíng)機(jī)構(gòu)：

　　為進(jìn)一步落實(shí)《證券經(jīng)營(yíng)機(jī)構(gòu)營(yíng)業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行）》（證監(jiān)信字[1998]2 號(hào)，以下簡(jiǎn)稱(chēng)《規(guī)范》），提高行業(yè)信息系統(tǒng)安全管理水平，有效防范和化解技術(shù)風(fēng)險(xiǎn)，現(xiàn)將《〈證券經(jīng)營(yíng)機(jī)構(gòu)營(yíng)業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行）〉技術(shù)指引》（以下簡(jiǎn)稱(chēng)《指引》）印發(fā)給你們，并就有關(guān)事宜通知如下：

　　一、要在認(rèn)真組織學(xué)習(xí)《規(guī)范》的基礎(chǔ)上，全面了解和貫徹《指引》的要求，做到有效防范技術(shù)風(fēng)險(xiǎn)，提高安全水平。

　　二、要根據(jù)《規(guī)范》及《指引》的要求，找出差距和不足，采取有效措施加以改進(jìn)。

　　三、中國(guó)證監(jiān)會(huì)將組織對(duì)《規(guī)范》及《指引》落實(shí)情況的檢查。對(duì)不符合要求的單位，將根據(jù)《關(guān)于證券經(jīng)營(yíng)機(jī)構(gòu)及其營(yíng)業(yè)部做好信息系統(tǒng)檢查工作有關(guān)事宜的通知》（證監(jiān)信息字[1999]7 號(hào)）和《關(guān)于強(qiáng)化證券經(jīng)營(yíng)機(jī)構(gòu)總部對(duì)所屬營(yíng)業(yè)部信息系統(tǒng)安全檢查的通知》（證監(jiān)信息字[1999]11號(hào)）等文件的規(guī)定，嚴(yán)肅處理。

中國(guó)證監(jiān)會(huì)
一九九九年十一月三日

《證券經(jīng)營(yíng)機(jī)構(gòu)營(yíng)業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行）》技術(shù)指引

　　第一章　管理體系技術(shù)指引

　　第一節(jié)　組織結(jié)構(gòu)

　　一、電腦中心負(fù)責(zé)制定的與信息系統(tǒng)相關(guān)的規(guī)章制度（[2.1.2（1）]）至少應(yīng)包括如下方面：

　　1、組織機(jī)構(gòu)與人員管理；

　　2、安全管理（包括病毒防范）；

　　3、文檔資料管理；

　　4、數(shù)據(jù)管理；

　　5、硬件設(shè)備管理（包括相關(guān)設(shè)備強(qiáng)制更換）；

　　6、軟件管理；

　　7、網(wǎng)絡(luò)管理；

　　8、機(jī)房管理；

　　9、運(yùn)行維護(hù)管理（包括操作安全管理）；

　　10、技術(shù)事故防范與處理。

　　電腦中心還應(yīng)編制涵蓋上述制度內(nèi)容的工作手冊(cè)，并根據(jù)實(shí)際情況每年進(jìn)行修訂。

　　二、電腦中心審核營(yíng)業(yè)部電腦負(fù)責(zé)人的任職資格（[2.1.2（4）]），包括對(duì)其進(jìn)行必要的獎(jiǎng)勵(lì)和懲罰。電腦負(fù)責(zé)人任職要專(zhuān)崗專(zhuān)責(zé)，不得由業(yè)務(wù)人員兼任，也不得兼任業(yè)務(wù)職務(wù)。

　　三、電腦中心除為營(yíng)業(yè)部提供技術(shù)支持外（[2.1.2（9）]），還應(yīng)為本證券經(jīng)營(yíng)機(jī)構(gòu)的其它部門(mén)提供技術(shù)支持。

　　四、電腦中心的數(shù)據(jù)管理職能 （[2.1.2（10）]）要求電腦中心要對(duì)數(shù)據(jù)實(shí)行集中管理，盡量做到異地實(shí)時(shí)備份。

　　五、對(duì)營(yíng)業(yè)部信息系統(tǒng)的定期檢查應(yīng)為每年至少一次 （[2.1.2（12）]）。定期檢查為規(guī)范性檢查，不定期檢查為專(zhuān)項(xiàng)檢查，檢查必須有文字記錄。

　　六、[2.1.3（2）]中的有關(guān)部門(mén)是指結(jié)算公司和證券通信公司。

　　七、[2.1.3（6）]中的其它重要數(shù)據(jù)至少包括：服務(wù)器系統(tǒng)參數(shù)配置，主要網(wǎng)絡(luò)設(shè)備參數(shù)配置，通信設(shè)備參數(shù)配置，智能化電源、空調(diào)的參數(shù)配置，交易系統(tǒng)、通信軟件及其它應(yīng)用軟件的參數(shù)配置等。

　　八、電腦部在履行職能時(shí)（[2.1.3]），還要注意做好以下方面的工作：

　　1、強(qiáng)化安全意識(shí)，自覺(jué)遵守并監(jiān)督執(zhí)行安全制度的落實(shí)；

　　2、及時(shí)完成電腦中心布置的各項(xiàng)工作；

　　3、保持機(jī)房及配電房達(dá)到規(guī)定技術(shù)指標(biāo)，并保持整潔；

　　4、負(fù)責(zé)計(jì)算機(jī)硬件、軟件、通信設(shè)備的管理與維護(hù)，建立技術(shù)檔案，保持系統(tǒng)處于良好的運(yùn)行狀態(tài)；

　　5、負(fù)責(zé)營(yíng)業(yè)部技術(shù)資料的保管與維護(hù)；

　　6、有條件的營(yíng)業(yè)部應(yīng)定期做好服務(wù)器的全系統(tǒng)備份。

　　第二節(jié)　人員管理

　　一、執(zhí)行對(duì)營(yíng)業(yè)部信息技術(shù)人員編制規(guī)定（[2.2.1]）時(shí)應(yīng)注意：營(yíng)業(yè)部總?cè)藬?shù)少于20人的，也要至少配備2名專(zhuān)職信息技術(shù)人員。

　　二、[2.2.4]中的關(guān)鍵技術(shù)崗位至少包括電腦部全部工作人員崗位。

　　三、電腦中心應(yīng)強(qiáng)化對(duì)信息技術(shù)人員的管理職能（[2.2.5]），包括：

　　1、參與信息技術(shù)人員的招聘，并可行使否決權(quán)；

　　2、對(duì)信息技術(shù)人員進(jìn)行必要的獎(jiǎng)勵(lì)和懲罰；

　　3、對(duì)營(yíng)業(yè)部信息技術(shù)人員每年至少進(jìn)行一次技術(shù)培訓(xùn)和考核，重新認(rèn)定上崗資格；

　　4、有條件的證券經(jīng)營(yíng)機(jī)構(gòu)可實(shí)行垂直管理，直接確定電腦部的人員編制和收入等。

　　四、對(duì)信息技術(shù)人員離崗應(yīng)加強(qiáng)管理（[2.2.8]），至少達(dá)到如下要求：

　　信息技術(shù)人員離崗時(shí)必須嚴(yán)格辦理離崗手續(xù)，明確其離崗后的保密義務(wù)，退還全部技術(shù)資料，電腦中心必須派員監(jiān)督交接過(guò)程。新舊工作人員應(yīng)共同工作不少于5個(gè)工作日，信息系統(tǒng)口令必須立即更換。

　　第三節(jié)　安全管理

　　一、計(jì)算機(jī)安全管理的保障機(jī)制（[2.3.3]）包括稽核監(jiān)控和安全合規(guī)獎(jiǎng)懲等方面的內(nèi)容。

　　二、計(jì)算機(jī)機(jī)房安全管理制度中要求的值班人員（[2.3.4（2）]） 必須是信息技術(shù)人員。

　　三、[2.3.5（3）] 中的“定期更換操作口令”是指至少每?jī)蓚€(gè)月更換一次。

　　四、[2.3.5（8）] 中要求的技術(shù)監(jiān)管系統(tǒng)，應(yīng)在電腦中心的統(tǒng)一規(guī)劃下建立，并與證券經(jīng)營(yíng)機(jī)構(gòu)的狀況相適應(yīng)。

　　五、[2.3.5（8）] 中要求的“定期進(jìn)行獨(dú)立的對(duì)帳”是為了防范業(yè)務(wù)風(fēng)險(xiǎn)而采取的計(jì)算機(jī)稽核手段。

　　六、操作安全制度（[2.3.5]）在執(zhí)行中，應(yīng)重視以下方面：

　　1、所有用戶(hù)的登錄必須具有屏蔽中斷功能；

　　2、新開(kāi)用戶(hù)需經(jīng)嚴(yán)格審批；

　　3、冗余用戶(hù)要及時(shí)清理，超過(guò)三個(gè)月未使用過(guò)的用戶(hù)要設(shè)置為禁止使用狀態(tài)或刪除；

　　4、數(shù)據(jù)庫(kù)管理系統(tǒng)的系統(tǒng)管理員口令應(yīng)由電腦中心集中管理，并于非軟件開(kāi)發(fā)商的第三處封存保管。

　　七、[2.3.6（1）]對(duì)病毒檢測(cè)的具體要求為：電腦部應(yīng)指定專(zhuān)人負(fù)責(zé)計(jì)算機(jī)病毒防范工作，并至少每半個(gè)月及在已知敏感日期前夕，進(jìn)行病毒檢測(cè)，發(fā)現(xiàn)病毒立即報(bào)告電腦中心病毒防范負(fù)責(zé)人，并在其指導(dǎo)下進(jìn)行處理，同時(shí)詳細(xì)記錄病毒發(fā)作過(guò)程。

　　第四節(jié) 技術(shù)資料管理

　　一、[2.4.2]中的各級(jí)管理機(jī)構(gòu)是指電腦中心和電腦部。

　　二、重要技術(shù)資料的管理必須嚴(yán)格（[2.4.4]）：

　　1、重要技術(shù)資料應(yīng)有專(zhuān)人管理，專(zhuān)柜存放；

　　2、重要技術(shù)資料應(yīng)有副本并異地存放。在條件允許時(shí)，應(yīng)存放在銀行的保險(xiǎn)箱內(nèi)或其它符合要求的存放地點(diǎn)。

　　第二章 硬件設(shè)施技術(shù)指引

　　第一節(jié) 計(jì)算機(jī)機(jī)房

　　一、關(guān)于供電系統(tǒng)（[3.1.2]）的說(shuō)明：

　　1、營(yíng)業(yè)部供電方案可由下列方式構(gòu)成：不間斷電源、備用發(fā)電機(jī)和雙路供電，及對(duì)以上方式的合理組合使用。如：?jiǎn)为?dú)使用不間斷電源，不間斷電源和發(fā)電機(jī)配合使用，不間斷電源和雙路供電配合使用。其中雙路供電指通過(guò)不同變電所的電力線(xiàn)路進(jìn)行供電；

　　2、備用供電系統(tǒng)容量和持續(xù)供電時(shí)間應(yīng)保障機(jī)房設(shè)備和關(guān)鍵交易設(shè)備在斷電情況下能夠完成當(dāng)天正常的交易；

　　3、不間斷電源應(yīng)當(dāng)定期維護(hù)保養(yǎng)，保證設(shè)備處于正常的工作狀態(tài)；

　　4、備用發(fā)電機(jī)應(yīng)當(dāng)定期啟動(dòng)、檢測(cè)，保證停電時(shí)能正常發(fā)電；

　　5、機(jī)房的配電柜和不間斷電源插座應(yīng)標(biāo)識(shí)清楚。

　　二、對(duì)機(jī)房消防的要求（[3.1.4]）：

　　1、機(jī)房必須安裝煙感和溫感報(bào)警器及必要的滅火裝置；

　　2、機(jī)房禁止使用水噴淋裝置；

　　3、機(jī)房應(yīng)采用防火材料制作的機(jī)架或機(jī)柜。有條件的營(yíng)業(yè)部可采用防火、防盜門(mén)，耐火墻體，阻燃無(wú)毒的電纜。

　　第二節(jié) 遠(yuǎn)程通信

　　一、[3.2.3]要求的重要通信線(xiàn)路必須建立后備線(xiàn)路，至少包括：

　　1、營(yíng)業(yè)部行情接收系統(tǒng)應(yīng)有通信備份，主要方式有：

　?。?）上海行情接收可采用深圳證券交易所提供的上海證券交易所行情衛(wèi)星備份系統(tǒng)，或通過(guò)其他營(yíng)業(yè)部進(jìn)行接收等方式；

　?。?）深圳行情接收可采用深圳單、雙向衛(wèi)星、撥號(hào)及上海證券交易所提供的深圳證券交易所行情衛(wèi)星備份系統(tǒng)（在建），或通過(guò)其他營(yíng)業(yè)部進(jìn)行接收等方式。

　　2、營(yíng)業(yè)部委托報(bào)盤(pán)系統(tǒng)應(yīng)有通信備份，主要方式有：

　?。?） 上海委托可采用上海證券交易所提供的雙向衛(wèi)星、DDN、雙向衛(wèi)星撥號(hào)（在建）和上海證券交易所提供的公司內(nèi)部席位連通備份報(bào)盤(pán)方式；

　?。?） 深圳委托可采用深圳證券交易所提供的雙向衛(wèi)星、衛(wèi)星伙伴備份和地面撥號(hào)、DDN等報(bào)盤(pán)方式。

　　第三節(jié)　計(jì)算機(jī)設(shè)備

　　一、 執(zhí)行[3.3.1]對(duì)服務(wù)器的要求時(shí)，要注意：

　　1、行情服務(wù)器和交易服務(wù)器應(yīng)有可靠的備份手段和備份系統(tǒng)（[3.3.1（1）]）；

　　2、服務(wù)器至少應(yīng)做磁盤(pán)鏡像（[3.3.1（2）]）；

　　3、服務(wù)器應(yīng)有充足的電源、內(nèi)存、硬盤(pán)、網(wǎng)卡等備用器件（[3.3.1（3）]）。

　　第四節(jié)　局域網(wǎng)絡(luò)

　　一、[3.4.4]要求網(wǎng)絡(luò)設(shè)備應(yīng)有冗余備份，主要包括：

　　1、營(yíng)業(yè)部網(wǎng)絡(luò)的主交換機(jī)應(yīng)有備份機(jī)，可做冷備份或熱備份；

　　2、網(wǎng)絡(luò)中的集線(xiàn)器和網(wǎng)卡都應(yīng)有充足的備件。

　　二、營(yíng)業(yè)部未使用的信息點(diǎn)，在機(jī)房端應(yīng)將相應(yīng)網(wǎng)絡(luò)線(xiàn)從網(wǎng)絡(luò)設(shè)備上斷開(kāi)，待使用該信息點(diǎn)時(shí)再接入。

　　第三章　軟件環(huán)境技術(shù)指引

　　第一節(jié)　系統(tǒng)軟件

　　一、 系統(tǒng)軟件主要包括操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)軟件（[4.1.1]），此外，還包括網(wǎng)絡(luò)管理軟件、互聯(lián)網(wǎng)服務(wù)器軟件以及相應(yīng)的防火墻軟件等。

　　二、 正版軟件（[4.1.2]）包括兩方面的含義：

　　1、有正式授權(quán)的軟件；

　　2、軟件的使用和安裝在該軟件的合法要求范圍內(nèi)。

　　三、[4.1.4] 要求的必須啟用系統(tǒng)軟件提供的安全審計(jì)留痕功能，應(yīng)做到對(duì)成交回報(bào)、與交易所接口數(shù)據(jù)庫(kù)和交易數(shù)據(jù)庫(kù)的修改，用戶(hù)的登錄與注銷(xiāo)等方面的審計(jì)。審計(jì)至少應(yīng)記錄操作的用戶(hù)（或地址）、時(shí)間、具體操作及結(jié)果等信息。

　　第二節(jié)　應(yīng)用軟件

　　一、 [4.2.2（2）]所指的關(guān)鍵數(shù)據(jù)目前至少包括各種密碼、口令及標(biāo)識(shí)項(xiàng)。

　　二、 在對(duì)交易業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份傳輸（[4.2.2（7）]）時(shí)，必須采取數(shù)據(jù)加密的方式。

　　第三節(jié)　軟件管理

　　一、[4.3.2] 要求的安全保密設(shè)計(jì)至少應(yīng)包括使用應(yīng)用系統(tǒng)的客戶(hù)與非客戶(hù)用戶(hù)的權(quán)限劃分，客戶(hù)密碼的保密使用方法，非客戶(hù)用戶(hù)的保密責(zé)任和嚴(yán)格分工，數(shù)據(jù)的安全記錄及存放，系統(tǒng)設(shè)計(jì)方案、數(shù)據(jù)結(jié)構(gòu)以及程序源代碼和加密算法的保密等內(nèi)容。

　　二、[4.3.5] 要求的內(nèi)部評(píng)審必須有電腦中心的書(shū)面認(rèn)可。

　　三、軟件的使用范圍和使用權(quán)限（[4.3.6]） 要嚴(yán)格按照管理體系中軟件管理的有關(guān)制度執(zhí)行。

　　四、[4.3.7] 要求的操作培訓(xùn)和安全教育包括兩方面的含義：

　　1、 客戶(hù)用戶(hù)要達(dá)到熟悉軟件操作功能和對(duì)自己重要信息保密操作的要求；

　　2、 非客戶(hù)用戶(hù)要達(dá)到熟悉并嚴(yán)格履行自己的職責(zé)，不進(jìn)行越權(quán)、越級(jí)或非法操作的要求。

　　五、營(yíng)業(yè)部在進(jìn)行軟件維護(hù)和系統(tǒng)參數(shù)調(diào)整時(shí)（[4.3.10]），必須經(jīng)過(guò)營(yíng)業(yè)部主管經(jīng)理或電腦部經(jīng)理的批準(zhǔn)，對(duì)所有操作做出詳細(xì)的書(shū)面記錄并登記歸檔。

　　六、防止對(duì)應(yīng)用軟件的非法修改（[4.3.11]），要從管理上和技術(shù)上采取措施。一方面要制定完善的制度并嚴(yán)格執(zhí)行，另一方面要在技術(shù)上采取措施，加強(qiáng)對(duì)可能的非法入侵手段的監(jiān)控與防范。

　　第四章　數(shù)據(jù)管理技術(shù)指引

　　第一節(jié)　交易業(yè)務(wù)數(shù)據(jù)

　　一、 關(guān)于數(shù)據(jù)備份（[5.1.6]）的說(shuō)明：

　　1、交易業(yè)務(wù)數(shù)據(jù)必須進(jìn)行備份，備份介質(zhì)可采用硬盤(pán)、光盤(pán)和磁帶等；

　　2、每個(gè)交易日的備份數(shù)據(jù)應(yīng)異地保存，即將當(dāng)天的備份數(shù)據(jù)傳輸?shù)娇偛?、地區(qū)總部或其他營(yíng)業(yè)部進(jìn)行異地保存。確有困難時(shí)，可臨時(shí)保存在遠(yuǎn)離機(jī)房的專(zhuān)用保險(xiǎn)箱（滿(mǎn)足“六防”要求）內(nèi)；

　　3、需長(zhǎng)期保存的數(shù)據(jù)必須定期備份到光盤(pán)或其它永久性只讀介質(zhì)上，并保存在異地的專(zhuān)用保險(xiǎn)箱內(nèi)。

　　第二節(jié) 系統(tǒng)數(shù)據(jù)

　　一、 對(duì)系統(tǒng)軟件中的系統(tǒng)數(shù)據(jù)，要根據(jù)營(yíng)業(yè)部情況定期備份。

　　二、應(yīng)用軟件的在運(yùn)行版本應(yīng)有備份，并異地存放。

　　第五章 技術(shù)事故的防范和處理技術(shù)指引

　　第一節(jié) 技術(shù)事故及其防范

　　一、 由于通信、電力等的故障引起系統(tǒng)無(wú)法運(yùn)行，經(jīng)啟動(dòng)備用系統(tǒng)仍未恢復(fù)正常，導(dǎo)致交易中斷或造成經(jīng)濟(jì)損失的事件也屬技術(shù)事故（[6.1.1]）。

　　二、 在應(yīng)急計(jì)劃的制定與執(zhí)行中（[6.1.4]），還應(yīng)注意以下問(wèn)題：

　　1、應(yīng)急計(jì)劃應(yīng)由證券經(jīng)營(yíng)機(jī)構(gòu)總部電腦中心統(tǒng)一制定，營(yíng)業(yè)部電腦部根據(jù)自身機(jī)房環(huán)境、軟硬件系統(tǒng)特點(diǎn)進(jìn)行補(bǔ)充和完善；

　　2、在制定應(yīng)急計(jì)劃中的緊急處理程序時(shí)，建議盡可能評(píng)估和確定可能發(fā)生的技術(shù)故障類(lèi)別和故障點(diǎn)，充分借鑒以往技術(shù)事故應(yīng)對(duì)步驟的經(jīng)驗(yàn)，具體寫(xiě)出針對(duì)故障點(diǎn)的緊急處理程序；

　　3、一個(gè)故障點(diǎn)可對(duì)應(yīng)多個(gè)緊急處理程序；

　　4、應(yīng)制定培訓(xùn)與演習(xí)計(jì)劃，包括對(duì)象、內(nèi)容、組織形式和時(shí)間進(jìn)度等。應(yīng)急計(jì)劃要定期進(jìn)行演習(xí)，并形成“演習(xí)總結(jié)報(bào)告”。

　　第二節(jié) 技術(shù)事故的處理

　　一、 在進(jìn)行事故處理時(shí)（[6.2.4]）還要注意：

　　1、電腦中心和電腦部應(yīng)注意總結(jié)技術(shù)事故處理的經(jīng)驗(yàn)與教訓(xùn)，形成技術(shù)文件并及時(shí)進(jìn)行交流，為今后避免或處理類(lèi)似問(wèn)題提供借鑒。

　　2、營(yíng)業(yè)部應(yīng)在事故發(fā)生的第一時(shí)間內(nèi)報(bào)告電腦中心，并及時(shí)向電腦中心書(shū)面詳細(xì)報(bào)告技術(shù)事故的全部情況，包括事故原因、處理情況和改進(jìn)措施。

　　3、對(duì)信息系統(tǒng)安全事件應(yīng)立即上報(bào)中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)。

中國(guó)證監(jiān)會(huì)資格考試委員會(huì)辦公室