为加强证券经营机构营业部信息系统安全管理，减少和防范市场技术风险，促进证券市场健康发展，我会制定了《证券经营机构营业部信息系统技术管理规范(试行)》(以下简称《规范》)，现予以发布实施，并就有关要求通知如下：

　　一、各证券经营机构要充分认识实施《规范》的必要性和重要性，各单位主要负责人要认真组织学习，亲自抓《规范》的实施落实工作。

　　二、《规范》适用于依法成立的证券经营机构。已制定的地方性管理规定及各证券经营机构内部规章制度须根据本《规范》作相应修订。

　　三、本《规范》从发布之日起实施，工作分两个阶段进行：第一阶段，今年上半年要根据《规范》要求，建立健全内部管理制度和组织机构；第二阶段，1999年6月30日前要完成更新与调试营业部信息系统软、硬件工作，达到《规范》要求。各证券经营机构要结合本单位实际安排好工作进度。

　　四、本《规范》将纳入证券经营机构年检范围，对不符合《规范》要求的营业部，中国证监会将要求其限期整改，并追究该证券经营机构及其营业部主要领导者的责任。

　　111最大程度地防范技术操作风险，保护投资者利益，维护证券经营机构的合法权益，促进证券市场健康发展。

　　112充分吸收国外先进经验和国内计算机信息技术应用成果，推动信息系统建设与技术管理水平的协调发展，提高证券行业的整体技术水平。

　　113指导证券经营机构下属证券营业部(以下简称营业部)加强计算机信息系统的优化建设和安全管理，加强计算机信息技术人员的管理，防止数据遗失XK星空app体育、损坏、篡改、泄漏，提高系统运行的安全性、可靠性与稳定性。

　　121安全性原则。营业部在信息系统的设计、开发、运行、维护各环节和硬件、软件、网络通讯、数据、管理制度各方面，都必须贯彻安全性原则。应当把安全措施落实到信息技术管理的每个环节、每个方面；应当使从业人员牢固树立技术风险的防范意识。

　　122实用性原则。营业部应当加强信息技术管理，注重采用先进成熟技术。在确保系统安全的前提下，力求避免因不切实际地提高系统安全级别而造成投资浪费；避免因引用任何未经消化吸收的境外安全保密技术和设备而对信息技术管理造成消极影响。

　　123可操作性原则。信息技术管理规范必须具有可操作性。营业部根据本规范细化与完善其信息技术管理制度时，也应当力求简单明确，便于对照检查，便于操作。

　　131根据《中华人民共和国计算机信息系统安全保护条例》及有关规定，结合我国证券业具体情况，制定本规范XK星空app体育。

　　211各证券经营机构计算机信息技术工作必须实行统一归口管理，建立健全组织机构。证券经营机构应设立计算机信息系统管理部门(以下称电脑中心)，营业部相应设立计算机工作管理部门(以下称电脑部).

　　212电脑中心是证券经营机构信息系统规划、建设、管理的主管部门。电脑中心内部应建立职责明确、相互制约的分工体系，可设置运行、开发、管理等工作部门。电脑中心的主要职能是：

　　213电脑部负责本营业部信息系统日常的运行、管理与维护。电脑部在技术上接受电脑中心的管理、指导和考核。电脑部的主要职能是：

　　(1)负责本营业部信息系统的安全运行，开市之前做好系统的运行准备工作，开市期间实时监控系统的运行状况，收市以后配合清算员完成日结清算等盘后工作；

　　(3)负责对本营业部业务人员进行计算机操作指导，协助电脑中心对有关业务人员进行技术培训；

　　(4)完整、准确地记录信息系统的运行日志，详细记载发生异常时的现象、时间、处理方式等内容并妥善保存有关原始资料，发生技术事故及时报告；

　　221为保障信息系统的开发与运行管理质量，证券经营机构营业部信息技术人员编制应不少于总人数的百分之十。

　　222信息技术人员应具备大专以上学历，具有计算机基础理论知识和专业技术经验、较强的业务工作能力和再学习能力、良好的职业道德和服务意识，富有敬业精神和团队合作精神。

　　223禁止录用有犯罪或其他严重违法行为记录的人员从事证券行业计算机工作。

　　226定期对信息技术人员进行业务培训和技术培训，不合格或未参加培训者严禁上岗。

　　228离岗人员必须严格办理离岗手续，明确其离岗后的保密义务，退还全部技术资料。信息系统的口令必须立即更换。

　　231建立计算机安全管理组织，证券经营机构要指定一职能部门负责公司及所属营业部的计算机安全管理。由公司总经理(总裁)主管计算机安全工作，营业部负责人为营业部计算机安全工作责任人。

　　232计算机安全管理组织的主要任务是：制定计算机安全管理制度，广泛开展计算机安全教育，定期或不定期进行计算机安全检查，保证计算机系统安全运行。

　　233计算机安全管理的主要内容包括安全防范设施和安全保障机制，以有效降低系统风险和操作风险，预防不法分子利用计算机作案。

　　(4)建立并严格执行机房进出管理制度，无关人员未经安全责任人批准严禁进出机房；

　　(2)数据库管理系统的口令必须由电脑中心专人掌管，并要求定期更换。禁止同一人掌管操作系统口令和数据库管理系统口令；

　　(3)操作人员应有互不相同的用户名，定期更换操作口令。严禁操作人员泄露自己的操作口令；

　　(8)建立和完善技术监管系统，定期进行独立的对账，核对交易数据、清算数据、保证金数据、证券托管数据以及会计数据的一致性和连续性；

　　(1)电脑中心应指定专人负责计算机病毒防范工作。电脑部应定期进行病毒检测，发现病毒立即处理并报告；

　　241技术资料是指与信息系统有关的技术文件、图表、程序与数据，包括信息系统建设规划、网络设计方案、软件设计方案、安全设计方案、源代码、系统配置参数、技术数据及相关技术资料。

　　242各级管理机构应制定技术资料的管理制度，明确执行管理制度的责任人。

　　311计算机机房建设应符合国标GB2887-89《计算站场地技术条件》和GB9361-88《计算站场地安全要求》.

　　(1)机房应有单独的配电柜，计算机系统要设有独立于一般照明电的专用的供配电线路，其容量应有一定的余量，建议采用双路供电；

　　(2)机房应配备不间断电源设备，其容量应保证机房设备和关键交易设备在断电情况下维持到后备电源供电。无备用发电机时，不间断电源设备应能够持续供电4小时以上。

　　(1)机房应采用独立的工作地和防雷保护地。工作地和防雷保护地之间的距离应大于10米；

　　(2)工作地的接地电阻应小于4欧姆，防雷保护地的接地电阻应小于10欧姆；

　　(2)机房的操作间与设备间应作分隔，布局应有良好的人机工作环境，保障工作人员的安全与健康；

　　321证券经营机构与所属营业部之间必须建立可靠的通信线营业部与交易所之间的通信联接必须安全可靠。

　　323重要通信线路必须建立后备线通信线路接口部分应采取防止非法进入的安全措施。

　　(2)服务器应具有一定的容错特性，宜采用镜像、阵列、双机、群集等容错技术；

　　341布线系统设计可参照CECS72∶97《建筑与建筑群综合布线系统工程设计规范》.在现行技术条件下，不宜继续使用同轴细缆。

　　355营业部交易场所应配备行情揭示设备，完整、准确、及时地显示行情信息。

　　363选用的计算机设备必须经过技术论证，符合国家有关标准的规定，满足可靠性与兼容性要求。

　　411营业部使用的系统软件主要包括操作系统软件和数据库管理软件。系统软件的选用应充分考虑软件的安全性、可靠性、稳定性和健壮性。

　　(3)故障恢复功能，能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混乱和数据丢失；

　　416数据库管理软件除上述功能要求外，还应具有数据库的安全性、完整性、一致性及可恢复性保障机制。

　　421营业部应用软件包括营业部证券交易业务处理系统、信息揭示与分析系统及其它业务处理系统等。

　　431应用软件在开发或购买之前应正式立项，成立由技术人员、业务人员和管理人员共同组成的项目小组并建立软件质量保证体系。

　　433软件开发过程应符合GB/T8566-1995《信息技术软件生存期过程》.

　　434开发维护人员与操作人员必须实行岗位分离，开发环境和现场必须与生产环境和现场隔离。软件设计方案、数据结构、加密算法、源代码等技术资料严禁流入生产现场、散失和外泄。

　　435应用软件在正式投入使用前必须经过内部评审，确认系统功能、测试结果和试运行结果均满足设计要求，技术文档齐全，并经证券经营机构分管领导批准。

　　438建立应用软件的文档管理制度、版本管理制度及软件分发制度，防止软件的盗用、误用、流失及越权使用。

　　513电脑中心设置数据库管理员岗位，对交易业务数据实行专人管理。营业部信息技术人员不得拥有数据库管理员操作口令。

　　515电脑中心应建立营业部交易业务数据映象并定期和不定期与营业部交易业务数据进行核对，防止使用过程中产生误操作或被非法篡改。

　　(1)每个工作日结束后必须制作数据的备份并异地存放，保证系统发生故障时能够快速恢复；

　　(2)交易业务数据必须定期、完整、真实、准确地转储到不可更改的介质上，并要求集中和异地保存，保存期限至少20年；

　　(3)备份的数据必须指定专人负责保管，由营业部计算机信息技术人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管；

　　(3)无正当理由和有关批准手续，不得查阅客户资料。经正式批件查阅数据时必须登记，并由查阅人签字；

　　(5)根据数据的保密规定和用途，确定数据使用人员的存取权限、存取方式和审批手续.

　　521系统数据主要包括数据字典、权限设置、存贮分配、网络地址、硬件配置及其它系统配置参数。

　　611技术事故是指由于硬件故障、软件故障和操作失误等原因引起系统无法运行，经启动备用系统仍未恢复正常，导致交易中断并造成经济损失的事件。

　　613建立健全技术事故的防范对策，严格按本规范要求建设、管理信息系统的硬件设施和软件环境，定期进行事故防范演习，针对薄弱环节不断改进完善。

　　(2)因软硬件故障导致的技术事故，经技术专家论证，确认营业部信息系统建设和管理符合本规范要求，确属小概率或偶发性事件；

　　622因通信线路故障导致的技术事故，应会同通信部门共同调查，界定责任。

　　623因营业部操作失误导致的技术事故，经调查核实后，营业部负相关责任。

　　(1)证券经营机构安全管理组织应立即进行事故调查XK星空app体育，提出书面调查报告，必要时可组织有关专家鉴定，确定事故的原因和责任；星空体育官方网站星空体育官方网站星空体育官方网站