證監(jiān)會(huì)關(guān)于發(fā)布證券公司及營(yíng)業(yè)部基金管理公司主要負(fù)責(zé)人學(xué)習(xí)〈規(guī)范〉應(yīng)知應(yīng)會(huì)30條的通知

證監(jiān)信息字[1999]27號(hào)

頒布時(shí)間：1999-12-15 00:00:00.000　發(fā)文單位：證監(jiān)會(huì)

各證券監(jiān)管辦公室、辦事處、特派員辦事處：

　　為了更好地落實(shí)《證券經(jīng)營(yíng)機(jī)構(gòu)營(yíng)業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范》（以下簡(jiǎn)稱《規(guī)范》），現(xiàn)將“證券公司及營(yíng)業(yè)部、基金管理公司主要負(fù)責(zé)人學(xué)習(xí)《規(guī)范》應(yīng)知應(yīng)會(huì)30條”發(fā)給你們，請(qǐng)迅速轉(zhuǎn)發(fā)至轄區(qū)內(nèi)的各證券公司總部、基金管理公司（信托投資公司照此通知執(zhí)行），并采取抽查和考試等有效方式，敦促證券公司及其營(yíng)業(yè)部、基金管理公司主要負(fù)責(zé)人落實(shí)《規(guī)范》要求，有的放矢地加強(qiáng)技術(shù)工作的領(lǐng)導(dǎo)，切實(shí)防范和化解證券市場(chǎng)的技術(shù)風(fēng)險(xiǎn)，保護(hù)投資者利益。

　　證券公司及營(yíng)業(yè)部、基金管理公司主要負(fù)責(zé)人學(xué)習(xí)《規(guī)范》應(yīng)知應(yīng)會(huì)30條

　　1、計(jì)算機(jī)管理工作組織結(jié)構(gòu)的設(shè)置

　　證券公司及基金管理公司應(yīng)設(shè)立計(jì)算機(jī)信息系統(tǒng)管理部門（以下簡(jiǎn)稱電腦中心），營(yíng)業(yè)部相應(yīng)設(shè)立計(jì)算機(jī)工作管理部門（以下簡(jiǎn)稱電腦部）。電腦部技術(shù)上接受電腦中心的管理、指導(dǎo)和考核。

　　2、信息技術(shù)人員數(shù)量設(shè)定

　　為保障信息系統(tǒng)的開發(fā)與運(yùn)行管理質(zhì)量，證券公司營(yíng)業(yè)部及基金管理公司信息技術(shù)人員編制應(yīng)不少于總?cè)藬?shù)的百分之十，最低數(shù)量設(shè)定為2人。

　　3、對(duì)信息技術(shù)人員的要求

　　信息技術(shù)人員應(yīng)具備大專以上學(xué)歷，具有計(jì)算機(jī)基礎(chǔ)理論知識(shí)和專業(yè)技術(shù)經(jīng)驗(yàn)。禁止錄用劣跡或違法犯罪記錄的人員從事證券行業(yè)計(jì)算機(jī)工作。

　　4、信息技術(shù)人員管理

　?。?）定期對(duì)信息技術(shù)人員進(jìn)行業(yè)務(wù)培訓(xùn)和技術(shù)培訓(xùn)，不合格或未參加培訓(xùn)者嚴(yán)禁上崗；

　?。?）電腦中心應(yīng)配合人事部門定期對(duì)信息技術(shù)人員進(jìn)行考核；

　　（3）離崗人員必須嚴(yán)格辦理離崗手續(xù)，明確其離崗后的保密義務(wù)，退還全部技術(shù)資料，信息系統(tǒng)的口令必須立即更換。

　　5、營(yíng)業(yè)部電腦負(fù)責(zé)人的輪換

　　營(yíng)業(yè)部電腦負(fù)責(zé)人之間應(yīng)定期或不定期輪換。

　　6、安全管理組織

　　證券公司及基金管理公司要指定一職能部門負(fù)責(zé)公司及所屬營(yíng)業(yè)部的計(jì)算機(jī)安全管理，由公司總經(jīng)理（總裁）主管計(jì)算機(jī)安全工作，營(yíng)業(yè)部負(fù)責(zé)人為營(yíng)業(yè)部計(jì)算機(jī)安全工作責(zé)任人。

　　7、計(jì)算機(jī)機(jī)房安全管理制度

　?。?）建立完整的計(jì)算機(jī)運(yùn)行日志、操作記錄及其它與安全有關(guān)的資料；

　　（2）交易時(shí)間內(nèi)機(jī)房必須有當(dāng)班值班人員；

　?。?）嚴(yán)禁易燃易爆和強(qiáng)磁物品及其它與機(jī)房工作無關(guān)的物品進(jìn)入機(jī)房。

　　8、建立操作安全管理制度

　?。?）應(yīng)采取嚴(yán)密的安全措施防止無關(guān)用戶進(jìn)入系統(tǒng)；

　?。?）數(shù)據(jù)庫(kù)管理系統(tǒng)的口令必須由電腦中心專人掌管，并要求定期更換。禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫(kù)管理系統(tǒng)口令；

　　（3）操作人員應(yīng)有互不相同的用戶名，定期更換操作口令。嚴(yán)禁操作人員泄露自己的操作口令；

　?。?）必須啟用系統(tǒng)軟件提供的安全審計(jì)留痕功能；

　?。?）各崗位操作權(quán)限要嚴(yán)格按崗位職責(zé)設(shè)置。應(yīng)定期檢查操作員的權(quán)限；

　?。?）重要崗位的登錄過程應(yīng)增加必要的限制措施；

　?。?）營(yíng)業(yè)部計(jì)算機(jī)信息技術(shù)人員不得擔(dān)任清算員從事結(jié)算記帳工作；

　?。?）建立和完善技術(shù)監(jiān)管系統(tǒng)，定期進(jìn)行獨(dú)立的對(duì)帳，核對(duì)交易數(shù)據(jù)、清算數(shù)據(jù)、保證金數(shù)據(jù)、證券托管數(shù)據(jù)以及會(huì)計(jì)數(shù)據(jù)的一致性和連續(xù)性。

　　9、計(jì)算機(jī)病毒防范制度

　?。?）電腦中心應(yīng)指定專人負(fù)責(zé)計(jì)算機(jī)病毒防范工作。電腦部應(yīng)定期進(jìn)行病毒檢測(cè)，發(fā)現(xiàn)病毒立即處理并報(bào)告；

　?。?）應(yīng)采用國(guó)家許可的正版防病毒軟件并及時(shí)更新軟件版本。

　　10、技術(shù)資料管理

　　各級(jí)管理機(jī)構(gòu)應(yīng)制定技術(shù)資料的管理制度，明確執(zhí)行管理制度的責(zé)任人，重要技術(shù)資料應(yīng)有副本并異地存放。

　　11、機(jī)房供電系統(tǒng)

　?。?）機(jī)房應(yīng)有單獨(dú)的配電柜，計(jì)算機(jī)系統(tǒng)要設(shè)有獨(dú)立于一般照明電的專用的供配電路，其容量應(yīng)有一定的余量，建議采用雙路供電；

　?。?）機(jī)房應(yīng)配備不間斷電源設(shè)備，其容量應(yīng)保證機(jī)房設(shè)備和關(guān)鍵交易設(shè)備在斷電情況下維持到后備電源供電。無備用發(fā)機(jī)時(shí)，不間斷電源設(shè)備應(yīng)能夠持續(xù)供電4小時(shí)以上；

　　（3）機(jī)房應(yīng)采用獨(dú)立的直流地、交流工作地和防雷保護(hù)地。

　　12、機(jī)房環(huán)境

　?。?）機(jī)房的使用面積（不包括不間斷電源放置面積）不得小于30平方米；

　　（2）機(jī)房的操作間與設(shè)備間應(yīng)作分隔；

　　（3）機(jī)房宜安裝獨(dú)立空調(diào)設(shè)備；

　?。?）機(jī)房應(yīng)有防火、防潮、防塵、防盜、防磁、防鼠、備用應(yīng)急照明裝置等設(shè)施。

　　13、機(jī)房防火

　　機(jī)房的防火設(shè)施不能使用水噴淋滅火設(shè)備，應(yīng)依據(jù)《規(guī)范》中所引用的有關(guān)國(guó)家標(biāo)準(zhǔn)或規(guī)定設(shè)置防火設(shè)施。

　　14、遠(yuǎn)程通信

　　證券公司與所屬營(yíng)業(yè)部之間必須建立可靠的通信線路聯(lián)接。重要通信線路必須建立后備線路，通信設(shè)備應(yīng)建立設(shè)備備份。

　　15、服務(wù)器

　　服務(wù)器應(yīng)具有一定的容錯(cuò)特性，服務(wù)器應(yīng)有備品備件。

　　16、工作站

　　證券公司營(yíng)業(yè)部除計(jì)算機(jī)機(jī)房外，一律使用無軟驅(qū)或光驅(qū)等可卸存儲(chǔ)裝置的網(wǎng)絡(luò)工作站，重要工作站應(yīng)有冗余備份。

　　17、系統(tǒng)軟件安全級(jí)別

　　系統(tǒng)軟件應(yīng)達(dá)到C2級(jí)上以（含C2級(jí)）安全級(jí)別，常見的達(dá)到C2級(jí)或C2級(jí)以上的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)可參見《證券經(jīng)營(yíng)機(jī)構(gòu)營(yíng)業(yè)部信息系統(tǒng)安全管理手冊(cè)》第45頁。

　　18、交易業(yè)務(wù)處理系統(tǒng)安全要求

　　（1）應(yīng)保證無法繞過應(yīng)用界面直接查看或操作數(shù)據(jù)庫(kù)；

　　（2）防止異常中斷后非法進(jìn)入系統(tǒng)；

　　（3）系統(tǒng)管理與業(yè)務(wù)操作權(quán)限要嚴(yán)格分開；

　?。?）交易業(yè)務(wù)數(shù)據(jù)在通訊網(wǎng)絡(luò)上應(yīng)以加密方式傳輸。

　　19、軟件開發(fā)管理

　　開發(fā)維護(hù)人員與操作人員必須實(shí)行崗位分離，開發(fā)環(huán)境和現(xiàn)場(chǎng)必須與生產(chǎn)環(huán)境和現(xiàn)場(chǎng)隔離。

　　20、軟件管理

　　證券公司下屬營(yíng)業(yè)部應(yīng)使用統(tǒng)一的系統(tǒng)軟件和應(yīng)用軟件。

　　21、數(shù)據(jù)管理

　　對(duì)交易業(yè)務(wù)數(shù)據(jù)和系統(tǒng)數(shù)據(jù)實(shí)行專人管理，營(yíng)業(yè)部信息技術(shù)人員不得擁有數(shù)據(jù)庫(kù)管理員操作口令。

　　22、系統(tǒng)內(nèi)交易數(shù)據(jù)保存

　　信息系統(tǒng)內(nèi)應(yīng)保存一年以上的交易業(yè)務(wù)數(shù)據(jù)。

　　23、數(shù)據(jù)備份

　　（1）每個(gè)工作日結(jié)束后必須制作數(shù)據(jù)的備份并導(dǎo)地存放，保證系統(tǒng)發(fā)生故障時(shí)能夠快速恢復(fù)；

　?。?）交易業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)應(yīng)采用只讀式數(shù)據(jù)記錄設(shè)備，交易業(yè)務(wù)數(shù)據(jù)必須定期、完整、真實(shí)、準(zhǔn)確地轉(zhuǎn)儲(chǔ)到不可更改的介質(zhì)上，并要求集中和異地保存，保存期限至少20年；

　?。?）備份的數(shù)據(jù)必須指定專人負(fù)責(zé)保管；

　?。?）數(shù)據(jù)?？凸軉T必須對(duì)備份數(shù)據(jù)進(jìn)行規(guī)范的登記管理；

　?。?）備份數(shù)據(jù)保管地點(diǎn)應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。

　　24、備份數(shù)據(jù)的異地保存

　　異地保存的主要目的是避免火災(zāi)、水災(zāi)等災(zāi)害給數(shù)據(jù)帶來損害，所以把數(shù)據(jù)保存在同層、同樓不能很好的規(guī)避風(fēng)險(xiǎn)，最后保存在公司以外的其他建筑內(nèi)。目前，有些營(yíng)業(yè)部每天把數(shù)據(jù)傳輸?shù)娇偛窟M(jìn)行備份也是一種很好的辦法。

　　25、“三個(gè)分離”和“一個(gè)稽審”

　　即“業(yè)務(wù)與技術(shù)分離”、“前臺(tái)與后臺(tái)分離”、“網(wǎng)絡(luò)與數(shù)據(jù)分離”，要定期和不定期地進(jìn)行業(yè)務(wù)技術(shù)稽審。

　　26、技術(shù)事故應(yīng)急計(jì)劃

　?。?）應(yīng)急計(jì)劃必須形成文字；

　?。?）應(yīng)急計(jì)劃應(yīng)針對(duì)可能發(fā)生的故障制定緊急處理程序；

　　（3）緊急處理程序應(yīng)張貼在規(guī)定的地方；

　　（4）對(duì)執(zhí)行應(yīng)急計(jì)劃的全體人員進(jìn)行專項(xiàng)培訓(xùn)，定期進(jìn)行演習(xí)。

　　27、技術(shù)事故責(zé)任界定

　　因通信線路故障導(dǎo)致的技術(shù)事故，應(yīng)會(huì)同通信部門共同調(diào)查，界定責(zé)任。

　　28、出現(xiàn)技術(shù)事故時(shí)，下列情況免責(zé)

　?。?）因不可抗力引發(fā)的技術(shù)事故；

　　（2）因軟硬件故障導(dǎo)致的技術(shù)事故，經(jīng)技術(shù)專家論證，確認(rèn)信息系統(tǒng)建設(shè)和管理符合本規(guī)范要求，確屬小概率或偶發(fā)性事件；