发文单位：中国证券监督管理委员会 中国人民银行

发布日期：2005-3-25

执行日期：2005-3-25

前言

  本标准由全国金融标准化技术委员会提出。

  本标准由全国金融标准化技术委员会归口管理。

  本标准起草单位：中国证券监督管理委员会、国泰君安证券股份有限公司、中国银河证券有限责任公司、申银万国证券股份有限公司、长江证券有限责任公司、海通证券股份有限公司、泰阳证券有限责任公司、闽发证券有限责任公司、兴业证券股份有限公司、国信证券有限责任公司。

  本标准主要起草人：徐雅萍、陈煜涛、俞枫、金守罕、郭怡峰、陈静、沈云明、汤玉龙、彭湘林、王锦炎、刘斌、廖亚滨、万晓鹰、黄卉、徐颖。

  本标准为首次发布。

引言

  为了规范证券公司信息技术管理行为，保护投资者的合法利益，维护证券公司的合法权益，促进证券市场的健康发展，特制定本标准，以加强证券公司信息系统的优化建设和安全管理，推动信息系统建设与技术管理水平的协调发展，提高证券行业的整体信息技术应用水平。

证券公司信息技术管理规范

  1 范围

  本标准规定了证券公司信息技术管理的以下方面：

  a）信息技术管理工作中应遵循的基本原则；

  b）信息技术管理的组织架构；

  c）信息技术人员、项目和安全管理；

  d）机房和设备管理；

  e）网络通信、软件和数据；

  f）信息系统运行管理、技术事故的防范与处理。

  本标准适用于证券公司的信息技术管理工作。

  2 规范性引用文件

  下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

  GB2887电子计算机场地通用规范

  GB/T8566信息技术软件生存期过程

  GB9361计算站场地安全要求

  GB50174电子计算机机房设计规范

  GB50311建筑与建筑群综合布线系统工程设计规范

  GB50312建筑与建筑群综合布线系统工程验收规范

  CMM软件能力成熟度模型（Capacity Maturity Model）

  3 原则

  证券公司在信息技术管理工作中应遵循：

  a）安全性原则，应树立技术风险的防范意识，把安全措施落实到信息技术管理的每个环节、每个方面，应在信息系统的设计、开发、运行、维护各环节和硬件、软件、网络通讯、数据、管理各方面，贯彻安全性原则。

  b）实用性原则，应加强信息技术管理，注重采用成熟的先进技术，在确保信息系统性能和安全的前提下，遵循高效益、低成本、易操作的原则。

  c）系统化原则，将证券公司信息技术管理有关的资源和活动以系统的观点来进行管理，理解和识别管理过程中的相互关系和作用，明确每个管理过程的职责和权限。

  4 管理体系

  4.1 组织结构与职能

  4.1.1 证券公司应设立信息技术管理机构，实行信息技术工作的统一归口管理。

  4.1.2 信息技术管理机构应履行下列职责：

  a）负责信息系统的总体规划并组织实施；

  b）负责制定与信息技术相关的规章制度并落实执行；

  c）负责编制信息技术预算并落实执行；

  d）负责信息系统的建设和运行维护；

  e）协助进行信息技术人员的任职管理、培训和考核；

  f）发现技术和业务异常及时上报；

  4.2 人员管理

  4.2.1 证券公司应对信息技术管理机构实行定岗、定编、定责，明确各岗位的人员素质要求。

  4.2.2 应建立重要岗位的双人负责制，并加强对单人单岗的监控。

  4.2.3 应建立完善的保密制度，重要岗位应签订保密协议书。

  4.2.4 不应录用有犯罪或严重违规行为记录的人员从事证券公司信息技术工作。

  4.2.5 应建立信息技术人员定期培训和考核制度，不合格者禁止上岗。

  4.2.6 应定期或不定期对在信息技术重要岗位上的信息技术人员进行轮换，或实行强制休假。

  4.2.7 应建立信息技术人员的离岗制度，规范离岗手续。

  4.3 安全管理

  4.3.1 证券公司应建立信息系统安全管理组织，实施信息安全等级保护，并设立专门的安全管理员、安全审计员岗位。

  4.3.2 信息系统安全管理组织应履行下列职责：

  a）负责制定统一的安全策略；

  b）负责制定信息系统安全管理制度；

  c）负责审核和实施信息系统安全保护和安全防范技术方案；

  d）负责组织信息系统安全教育及技术培训；

  e）负责定期或不定期进行信息系统安全检查，发现问题，督促解决；

  f）负责组织信息系统安全防范、应急演练。

  4.3.3 应建立计算机病毒防范制度：

  a）统一组织和实施计算机病毒防范工作

  b）建立计算机病毒预警机制，严格执行病毒检测及报告措施。

  4.3.4 应坚持三分离原则，实现前后台分离、开发与操作分离、技术与业务分离，信息技术人员任职要专岗专责，不得由业务人员兼任，也不得兼任业务职务。

  4.4 技术文档管理

  4.4.1 技术文档是指与信息系统相关的技术文件、图表、程序与数据等。

  4.4.2 证券公司应制定技术文档管理制度，设立技术文档管理岗位。

  4.4.3 应按照统一格式对技术文档进行编写并及时更新，达到能够依靠技术文档恢复系统正常运行的要求。

  4.4.4 应根据技术文档的不同保密级别实行分级管理。

  4.4.5 应对技术文档实行有效期管理，对于超过有效期的技术文档降低保密级别，对已经失效的技术文档定期清理，并严格执行技术文档管理制度中的销毁和监销规定。

  4.4.6 技术文档的借阅、复制应履行必要的手续。

  4.4.7 重要技术文档应有副本并异地存放。

  5 机房与设备管理

  5.1 机房

  5.1.1 机房建设应符合GB50174、GB2887和GB9361的要求，防雷、接地、电磁辐射和电气特性都应达到国家标准要求。

  5.1.2 机房环境应达到以下要求：

  a）操作间与设备间分隔；

  b）安装独立的空调设备，对温度和湿度进行控制；

  c）配有防火、防潮、防尘、防盗、防磁、防鼠等设施；

  d）配置应急照明装置；

  5.1.3 机房供电系统应达到以下要求：

  a）有单独的配电柜和独立于一般照明电的专用供配电线路，配电容量有一定余量，采用双路供电或配备发电机；

  b）配备不间断电源设备，其容量至少满足关键设备在开市期间断电情况下的运行要求。

  5.1.4 机房应安装监视系统和门禁系统，宜安装环境监控系统和设备监控系统。

  5.2 设备管理

  5.2.1 证券公司应实行计算机设备集中管理，建立相应的管理制度，按有关流程办理设备的采购、登记、维护、报废等工作，对设备的整个生命周期进行管理。

  5.2.2 大宗设备采购应坚持公开、公平、公正的原则，宜采用招标、邀标等形式完成。

  5.2.3 应定期对设备进行更新和保养，经维护的设备应通过有关测试方能投入使用。

  6 网络通信

  6.1 网络建设

  6.1.1 证券公司网络的基本要求：

  a）应统一规划公司的网络；

  b）网络建设应遵循高可靠性、高安全性、高性能、可扩展性、可管理性、标准化等原则；

  c）网络承建集成商应具有国家有关部门颁发的三级以上（含三级）计算机信息系统集成资质证书；

  d）网络设备和通信带宽应保证业务需求。

  e）网络不应存在单点故障。

  6.1.2 局域网应达到以下要求：

  a）布线系统设计可参照GB50311和GB50312，采用结构化综合布线系统；

  b）针对不同业务或应用采取适当技术手段，实现网络分离，提高网络安全性；

  6.1.3 广域网应达到以下要求：：

  a）满足线路备份和网络安全的要求；

  b）网络节点间有明确的互访原则，制定和配置相应的路由策略；

  c）主干设备支持标准通信协议；

  d）与电信运营商和设备供应商签订服务协议，做到定期检修、发现故障及时响应。

  6.1.4 外部网的建设应达到以下要求：

  a）与交易所、中国登记结算公司之间的通信连接安全可靠；

  b）与外联单位的联网采用可靠的技术隔离手段，确保网络安全；

  c）建立多种通信通道，保证业务的连续性。

  6.1.5 互联网接入应达到以下要求：

  a）网上委托系统应采用至少两条线路接入互联网，采用同一个运营商的线路应通过不同的节点接入；

  b）通过防火墙等安全设备与互联网相连。

  6.2 网络管理

  6.2.1 证券公司应建立健全网络管理制度：

  a）网络管理采用统一策略；

  b）设置专职网络管理员，实行网络分级管理；

  c）网络管理员具备相应的素质和技能，持有相应的资格证书。

  6.2.2 在网络管理上应达到以下要求：

  a）配备网络管理工具，对网络进行监控、管理和维护，重要网络设备开启日志和审计功能；

  b）建立完整的网络技术文档；

  c）定期维护网络设备和线路；

  d）详细记录网络故障处理过程。

  6.2.3 通过互联网为公众提供服务，应遵循国家和行业有关规定。

  6.3 网络安全

  6.3.1 证券公司应建立健全网络安全体系，统一制定公司的网络安全策略和技术方案，网络安全策略遵循技术保护和管理保护相结合的原则。

  6.3.2 网络安全应达到以下要求：

  a）利用成熟的网络安全技术，防止非法访问、攻击和破坏计算机网络等活动；

  b）定期对公司网络进行安全检查，发现问题，及时解决，并记录存档；

  c）所有可配置的网络设备按最小安全访问原则设置访问控制权限，关闭不必要的端口及服务；

  d）妥善保管和定期更换网络设备的远程访问密码。

  6.3.3 在互联网接入方面应达到以下安全要求：

  a）对公司内可访问互联网的终端采用必要的安全措施与核心系统相隔离；

  b）对于来自互联网的访问采用可靠的身份认证、访问控制和安全审计措施，防止非法接入和非法访问。

  6.3.4 网上委托系统应达到以下安全要求：

  a）通过国家权威机构的安全认证，重要技术产品通过国家权威机构的安全测评，达到主管部门的规定要求；

  b）采用可靠的技术和管理措施进行客户身份认证；

  c）采用有效技术措施达到防抵赖、防篡改、防窃取等功能；

  d）网上委托服务器所在的网络与内部核心网络相隔离。

  7 软件

  7.1 系统软件

  7.1.1 系统软件的选用应充分考虑安全性、可靠性、稳定性和健壮性，应使用符合安全要求的正版软件。

  7.1.2 操作系统软件的使用应遵循最小功能原则及最小权限策略，关闭不必要的服务和端口。

  7.1.3 在经过充分测试的前提下，应及时安装操作系统的补丁程序。

  7.2 应用软件

  7.2.1 应用软件应符合业务运作的合法性和合规性。

  7.2.2 重要应用软件系统宜采取在线备份措施。

  7.2.3 信息揭示与分析系统应保证信息揭示的完整、准确和及时。

  7.3 软件管理

  7.3.1 应用软件开发过程应符合GB/T8566.

  7.3.2 应加强对外包或外购应用软件的质量控制，选择已建立软件质量保证体系的开发商进行合作，具体要求可参照CMM的二级标准进行。同时在开发商的选择过程中，应高度重视其信誉和品牌，不宜选择曾为证券公司违规、违法业务行为提供技术服务或技术支持的开发商。

  7.3.3 在软件总体设计时，应根据应用软件的实际用途，同步进行安全保密设计。

  7.3.4 在软件开发过程中，应同步完成相关文档手册的编写工作，保证相关资料的完整性和准确性。

  7.3.5 开发维护人员与操作人员应实行岗位分离。

  7.3.6 开发环境应与生产环境隔离。

  7.3.7 应用软件在正式投入使用前应经过内部评审，确认技术文档齐全，系统功能、测试结果和试运行结果均满足设计要求。

  7.3.8 软件使用人员应接受操作培训和安全教育。

  7.3.9 建立应用软件文档管理、版本管理及软件分发制度。

  7.3.10 应建立规范的软件维护和系统参数调整流程。

  8 数据

  8.1 数据管理

  8.1.1 数据是指证券公司在经营和管理中产生的信息资源，主要包括业务数据、系统数据和管理数据等。

  8.1.2 应建立数据管理制度，达到以下基本要求：

  a）重要数据分密级管理；

  b）建立数据访问控制机制；

  c）建立数据防篡改和防窃取机制；

  d）建立数据备份措施和异地存放措施。

  8.1.3 业务数据的管理应达到以下要求：

  a）对业务数据实施严格的安全保密管理；

  b）在线系统所保存的业务数据不少于一年；

  c）建立业务数据的离线备份制度，数据应定期、完整、准确地转储到可靠的介质上，并要求实现集中、异地存放，保存期限至少20年；

  d）备份数据不得更改，并定期进行完整性和可恢复性校验；

  e）备份数据指定专人负责保管，严格执行数据交接管理规定和登记管理规定。

  8.1.4 系统数据应以电子文档和书面文档两种形式加以保存，并实行专人管理。

  8.1.5 证券公司应统一内部数据标准，并遵循行业数据标准。

  8.2 数据安全

  8.2.1 证券公司应充分利用成熟的安全技术确保数据的保密性、完整性、可用性和可控性。

  8.2.2 信息系统设计时应同步进行数据安全设计，对重要数据在采集、传输、使用和存储过程中进行加密。

  8.2.3 应使用经国家密码管理机构认可的加密产品和加密算法。

  9 运行管理

  9.1 日常运行和系统上线

  9.1.1 证券公司应建立健全信息系统运行管理制度，建立详细的运行日志和故障日志。

  9.1.2 应制定规范化的信息系统上线流程：

  a）信息系统未经严格测试不得上线运行；

  b）评估信息系统上线风险，做好相应的应急和备份计划；

  c）信息系统通过规定流程审批后，才能获准上线。

  9.1.3 信息系统运行管理应达到以下要求：

  a）制定规范化的日常操作流程，关键操作建立复核机制；

  b）建立严格的值班工作制度和规范的故障处理流程；

  c）建立完善的监控体系，对信息系统的运行环境、运行状况等进行实时监控和事后分析，并提供多种报警手段；

  d）严禁在生产环境进行未经批准的操作；

  e）建立关键系统的配置和变更文档，确保运行环境的可恢复性；

  f）在信息系统管理和业务操作的各层面建立相应的操作权限制约机制；

  g）帐户和密码专人专用，加强对缺省帐户和密码的管理，不应为客户设置统一的、有规律的、易猜测的初始密码。

  9.1.4 机房管理应达到以下要求：

  a）建立安全保卫措施，严格执行机房进出管理制度；

  b）对机房的照明、空调、防火、门禁等机房环境系统进行定期检查，确保其处于正常工作状态；

  c）严禁易燃、易爆、强磁及其它与机房工作无关的物品进入机房；

  d）机房供电系统由专人负责管理，定期进行检修和维护。

  9.2 技术事故防范与处理

  9.2.1 技术事故是指由于通信故障、电力故障、软硬件故障和操作失误等原因引起系统无法正常运行，经启动备用系统仍未恢复正常，导致经济损失的事件。

  9.2.2 证券公司应明确技术事故防范和处理工作中的责任人和监督人，建立管理、技术和业务部门之间的协调机制，做好技术事故的防范、处理、恢复及善后工作。

  9.2.3 应建立健全技术事故防范策略，制定技术事故发生时的应急计划，并达到以下要求：

  a）应急计划针对可能发生的故障制定紧急处理程序，并形成书面文字张贴或放置在规定的地方；

  b）对执行应急计划的全体人员进行专项培训；

  c）定期演练应急计划，并不断完善。

  9.2.4 技术事故的处理：

  a）发生技术事故时，应及时按规定上报，并启动相应的应急计划。

  b）应确定故障发生的系统和范围，严格按应急计划中的紧急处理程序及时处理；

  c）应详细记录技术事故处理的过程，填写《技术事故处理报告》，包括故障现象、处理步骤、处理时间、处理结果以及原因分析等；

  d）应总结技术事故处理的经验与教训，形成技术文档并进行交流，为避免或处理类似问题提供依据。

  9.2.5 下列情况证券公司免责：

  a）因不可抗力引发的技术事故；

  b）因软硬件故障导致的技术事故，经技术专家论证，确认其信息系统建设和管理符合规范要求，确属小概率或偶发性事件；

  c）因证券交易所原因导致的交易中断。

  9.2.6 因通信线路故障、电力故障等第三方依赖的内容导致的技术事故，应会同相关部门调查，界定责任。

  9.2.7 因证券公司操作失误导致的技术事故，经调查核实后，应由证券公司负相应责任。

  9.2.8 因应用系统导致的技术事故，应会同开发单位共同分析，界定责任。