各证券公司:
为配合证券公司风险处置工作、防范证券公司信息系统风险,在充分征求行业意见的基础上,我会制定了《进入风险处置程序证券公司信息系统交接技术指引》,现印发给你们,请遵照执行。
中国证券监督管理委员会
二六年四月二十一日
进入风险处置程序证券公司信息系统托管交接工作技术指引
第一章 总则
第一条 为保护证券投资者合法权益,维护国家经济安全和证券市场秩序,妥善处置证券公司风险,根据证券法、公司法、破产法等相关法律,以及证券公司风险处置条例,制定本指引。
第二条 本指引适用于在中华人民共和国境内设立的证券公司,因出现重大风险,或者违法违规经营等情形,由中国证监会指定其他机构对该证券公司进行托管的情况。
第三条 本指引以防范风险为核心,以维护被托管机构信息系统的正常交易、结算系统安全和社会稳定为前提。
第四条 托管机构应参照本指引制定信息技术托管方案,方案应涵盖被托管机构现有的、与托管工作相关的、影响信息系统安全运行的相关内容。
第五条 信息技术托管按照不同时期的工作特点可分为准备期、交接期、稳定期。
第六条 托管机构在对被托管机构信息系统托管过程中,当地证监局、证监会现场工作组、行政清理工作组(清算组)应当加强对被托管机构信息系统维护和建设的监督、指导和协调工作,有关部门和单位应配合和协作。
第二章 管理原则
第七条 防范风险原则:托管期间,各方必须顾全大局,严明纪律,按照统一部署,做好信息系统的风险防范工作。
第八条 责任制原则:托管期间,各项技术与技术管理工作责任必须落实到人。托管与被托管双方实行“托管方监督,被托管方执行”的一般原则。对重要操作的授权和执行,履行双重签字的程序。
第九条 规范化原则:托管期间,对被托管机构信息技术的管理应采取流程化、规范化的管理模式,各方应严格按照本指引或托管方有关规定执行相应流程,对本指引和托管方未做规定的,沿用被托管机构原有的相关制度执行。
第十条 报告制原则:托管期间,各方应按照有关规定,实行严格的报告制度。
第十一条 保密原则:在托管机构未进场前,应当做好保密工作,未经证监会同意不得公开被托管机构的名称及托管时间;托管期间,各方应保守被托管机构自身及客户的商业秘密。
第三章 组织架构
第一节 组织设置
第十二条 托管机构应在托管工作组下设托管信息技术组(以下简称技术组)。负责统一管理被托管机构的信息技术工作。
第十三条 技术组应在被托管机构总部、区域中心、各分支营业部及其所属服务部设置现场技术岗位,负责现场的运维、协调和监督工作。
第十四条 被托管机构的信息技术部门(以下简称被托管技术方)应服从托管机构的要求,做好本职以及托管方要求的各项工作。
第二节 职责划分
第十五条 技术组主要职责:
1.负责制定信息技术的托管方案,对信息技术托管工作进行总体安排、部署;
2.负责对信息技术托管中出现的风险事项进行风险评估、提出应急预案并对发生的风险事项及时研究处理;
3.负责对托管范围内的信息技术人员的管理和考核;
4.监督托管范围内信息系统资产、文档、合同、数据资料等的管理;
5.发现托管范围内的技术和业务异常时,及时上报并完成托管工作组安排的任务;
6.配合其他托管工作。
第十六条 现场技术岗位主要职责:
1.落实技术组要求的各项工作;
2.负责监督被托管机构信息系统的日常运行、管理和维护;
3.负责检查被托管机构信息系统数据的完整性和备份数据的安全性;
4.负责组织被托管机构信息系统的安全防范和应急演练;
5.负责检查应急预案的可行性;
6.为被托管机构提供必要的技术支持;
7.负责被托管机构信息系统异常的上报和处理工作;
8.配合其他的托管工作。
第十七条 被托管技术方主要职责:
1.落实技术组要求的各项工作;
2.按照技术组的要求做好本职工作,保证交易、清算等信息系统的正常运行;
3.妥善保管其占有和管理的所有财产、资料和其他物品;
4.配合其他的托管工作。
第四章 托管工作
第一节 准备期
第十八条 准备期是指证监会宣布被托管机构的处置日前,证监局及托管机构为托管工作做相应准备的时期。
第十九条 托管机构在准备期的主要技术管理责任是组建参与托管的技术队伍,完成相关制度和文档的准备,对技术队伍进行业务、技术和有关托管政策培训;采集相关技术资料,完成托管技术准备。
第二十条 托管机构在准备期应做好以下技术相关工作:
1.成立技术组:托管机构应成立由信息技术骨干组成的技术组,并明确其工作职责及要求。
2.制定信息系统托管方案:技术组应根据本指引制定信息系统托管方案,对托管工作进行总体安排、部署,包括制定信息技术托管工作管理制度、托管工作流程、交接清单等。
3.获取相关资料:当地证监局加强对辖区高风险证券公司的摸底调查工作,要求以月报或季报形式上报《信息技术组织架构及人员情况表》(表1)、《总部信息系统情况表》(表2)、《企业主干网情况表》(表3)、《交易系统整体情况表》(表4)等相关技术资料,以便托管机构提前作好托管准备;在满足保密管理的前提下,托管机构应与相关信息系统供应商取得联系,获取相关技术资料。
4.组织托管队伍:托管机构应根据拟被托管机构的营业部、服务部数量及信息系统状况,分别设置总部、区域中心、各营业部、服务部现场技术岗位。
5.培训托管人员:托管机构应对现场技术岗位人员进行技术培训和交接培训。技术培训应涵盖交接中将涉及到的主要技术问题,包括各项管理细则、各相关系统的密码和权限的修改、数据备份、参数设置等。交接培训主要包括:交接操作流程、交接要点及异常情况的处理等。
6.准备工具:为了便于顺利开展托管工作,技术组应根据拟被托管机构的设备情况,制定托管工作所需设备清单,如:手提电脑、光盘、移动硬盘、必要的软件、保险柜、托管文档及相关表格等,并作好相应准备。
7.整理主要相关单位的联系方式:技术组应根据拟被托管机构信息系统的情况,整理出《交接日相关单位联系方式汇总表》(表20),表中应包括主要应用系统的开发商及设备供应商、线路运营商、当地证券业协会、当地证监局、深沪交易所等相关单位的联系方式,以便能及时获得支持。
8.初步评估风险:技术组应根据了解到的拟被托管机构信息系统的情况,对照中国证监会颁布的《证券公司信息技术管理规范》、深沪交易所相关技术管理规范及托管机构技术管理制度的要求,对被托管机构信息系统进行初步风险评估,形成初步风险评估报告。对较为严重的风险情况,技术组应及时报告托管工作组。
9.制定初步的应急预案:技术组应针对所了解的被托管机构信息系统的风险,制定初步的应急预案。
第二节 交接期
第二十一条 交接期是指证监会宣布被托管机构处置日起,托管机构进入被托管机构进行各项交接工作的时期。
第二十二条 托管机构在准备期的主要技术管理责任是向被托管机构的技术总部、中心机房、备份机房及各营业部派出技术人员,对所有的系统、数据、系统用户、权限密码、技术文档、合同、设备等进行登记,对备份数据、技术文档进行封存,对系统用户权限和密码进行审查,并按照审慎原则对重要的系统密码进行接收。
第二十三条 技术组进入被托管机构后,首先应与被托管技术方进行充分沟通,核实被托管机构信息技术管理、信息系统、信息技术人员等方面的情况,并根据实际情况对准备期所作的方案进行调整后,按照交接工作流程与被托管机构完成相关交接工作。
第二十四条 交接工作包括管理交接和系统交接。系统交接按总部、区域中心及营业部、服务部分别进行。
第二十五条 管理交接包括以下工作:
1.人员交流:技术组应向被托管技术方介绍交接方案,明确双方职责及托管工作要求。
2.印章交接:被托管技术方如有部门印章,应将印章移交给托管机构,并填写相关交接表,由托管机构安排专人实施统一管理。
3.人员情况登记:被托管技术方应如实填写《人员基本情况登记表》(表5)、《人员基本情况汇总表》(表6),表中应包括在处置日前半年内离开的信息技术人员。
4.管理制度交接:技术组应向被托管技术方公布托管工作管理制度,说明托管工作管理制度中未涵盖的内容按被托管机构原制度执行,并要求被托技术方提交原信息技术管理制度。
5.核对系统情况:技术组应与被托管技术方逐一核对信息系统情况,完善《交接日信息系统情况登记表》(表7),以便双方能毫无遗漏地作好各系统交接工作。
第二十六条 系统交接包括以下工作:
1.系统备份:系统备份应包括对各应用系统进行全备份,对操作系统的重要系统目录、配置文件、重要的系统文件进行备份,对网络、安全设备的配置文件进行备份等,应用系统的全备份包括应用软件、数据库、参数配置文件、运行日志等,交接完后应填写《交接日系统备份登记表》(表8)。
2.密码交接:密码交接应包括操作系统、数据库、应用系统、网络安全设备等的超级用户密码,及应用系统后台用户密码的交接, 交接完后应填写《交接日密码设置修改登记表》(表10)。在进行密码修改前,应对所有系统的用户权限及参数文件进行备份。在更改用户密码后,应检查应用系统相关配置中使用相应用户用于业务处理的情况,对配置文件中相应用户的密码进行修改,并及时作好相应测试,确保系统能正常运行。
3.用户权限核查:在核查各系统用户及其权限前,应备份用户权限配置文件,并在进行核查操作时详细记录操作过程,核查工作主要包括:A、停用不必要用户,系统运行一段时间后,确认不必要时删除。B、按最小权限原则进行权限调整。C、用户设置采用专人专户。D、如果存在使用超级用户用于后台处理的情况,建立具有所需权限的用户替代超级用户,并修改相应的配置文件。核查完用户权限后,应填写《交接日系统用户权限登记表》(表11)和《交接日员工操作权限登记表》(表12)。
4.当前数据备份:应备份各系统中至处置日的所有当前数据和历史数据,及交易所当日下发的清算文件、证券余额对账文件等,并逐项填写《交接日数据备份登记表》(表14),备份完成后应检查备份数据的完整性、可读性,并作好备份数据的异地备份。
5.核查历史数据:现场技术岗位应检查被托管机构总部、区域中心信息系统和所有营业部柜台系统自系统建设或开业至今的所有历史数据的备份情况,包括存放位置及备份方式,并对备份数据进行有效性、完整性、连续性检查,填写《交接日历史数据备份登记表》(表15)。(如发现存在原始数据篡改、删除等问题,应该立即上报托管工作组处理)
6.技术资料交接:需交接的资料至少应包括以下各项:系统运行维护日志;应急预案;各系统技术文档;信息系统设备清单;信息系统合同及合同执行情况;各系统运行维护费用支付方式、支付情况;各系统开发商、设备供应商、电信部门、电力部门、物业部门、合作银行等单位的联系方式。交接完成后须分别填写《交接日系统硬件台账》(表16)、《交接日系统软件台账》(表17)、《交接日技术资料登记表》(表18)、《交接日信息技术合同台账》(表19)、《交接日相关单位联系方式汇总表》(表20)、《交接日通讯线路资料表》(表21)。
7.设备清查:应根据被托管方提供的固定资产台账,由托管双方共同对电子类设备进行清查,清查时应记录设备状况、所用系统及存放地点,完善《交接日系统硬件台账》(表16)、《交接日系统软件台账》(表17)等相关表单。
8.组织全面查杀病毒及木马:在进行系统交接后,技术组应负责组织被托管机构信息技术人员进行全网病毒查杀,具体流程要求如下:A、升级系统补丁及杀毒软件。B、将局域网与公司主干网断开,对每台机器进行断网病毒查杀后方可恢复网络连接。C、做好杀毒情况汇总、上报工作,并填写《交接日系统防病毒检查表》(表22)。
9.由专业的信息安全技术人员对被托管机构信息系统进行完整、全面的安全评估,找出潜在技术风险,并提出整改方案,在规定时间内监督被托管方完成。
10.系统全面联调检测:在进行系统交接及病毒清查、软件升级和安全检查后,为了确保系统正常运行,技术组应组织被托管机构进行所有系统的联网调试,及时解决系统中存在的问题,并填写《交接日系统检测登记表》(表23)。
第二十七条 交接工作中应注意的事项:
1.技术组和现场技术岗位应严格按照交接流程规定的时间和要求,有序逐项开展交接,不得擅自违反。
2.若无法在规定的时间内完成交接,或无法获得要求的交接内容,现场技术岗位当日应将情况反馈至技术组,由技术组上报至托管工作组。
3.交接工作完成之后,技术组应负责对交接工作整体情况进行总结,以书面形式向托管工作组汇报。
4.技术组应根据各类交接清单形成《交接日信息技术工作交接汇总表》(表24),并将各类交接清单作为该表的附件,经托管工作组批准后,一同分别报送当地证监局、托管工作组、被托管公司及营业部留存。
5.在交接过程中应注意防范风险,做好数据和软件的备份,确保系统正常运行。
第二十八条 交接中异常情况的处理:
1.密码修改异常:如果对超级用户(包括等效超级用户)及后台用户进行密码修改后,进行相应测试时,发现系统不能正常运行,且确认为因修改密码引起,在取得系统开发商技术支持后仍不能更改成功,则恢复原密码,同时应填写《系统故障风险登记表》(表39)上报至技术组。
2.无法获得原有超级用户密码:因相应技术人员已离开被托管机构而无法获得密码,则应上报托管工作组,由托管工作组与被托管机构采取措施,联系相应技术人员。若因被托管机构信息技术人员忘记超级用户密码或无法联系上相应技术人员,则上报托管工作组,经托管工作组同意后,使用解密工具或联系系统开发商及其他技术机构进行密码破解,破解成功后,及时修改密码,同时应填写《系统故障风险登记表》(表39)上报至技术组。
3.停用用户异常:在停用等效超级用户及认为不必要的用户后,发现系统运行异常,则恢复相应用户,并要求相应用户进行密码修改,同时应填写《系统故障风险登记表》(表39)上报至技术组。若修改密码异常,则参照超级用户密码修改异常处理流程进行处理。
4.权限修改异常:修改用户权限后,发现系统运行异常,则增加相应所需权限,并填写《系统故障风险登记表》(表39)上报至技术组。
5.数据备份异常:在使用应用系统的备份功能进行数据备份不成功时,寻求开发维护人员支持,若仍不能成功,则直接进行文件备份或目录备份,并填写《系统故障风险登记表》(表39)上报至技术组。
6.历史备份数据移交异常:在历史备份数据的移交过程中,如果出现历史备份数据不全、无历史备份数据、因备份介质损坏无法读取历史备份数据、因资料不全无法读取数据以及其他无法确认历史数据的完整性和有效性的异常情况,须填写《系统故障风险登记表》(表39)上报至技术组。
7.数据查询异常:在进行数据查询时,发现数据含义不清且无说明文档,或数据不全,应填写《系统故障风险登记表》(表39)上报至技术组。
8.数据上传异常:在营业部将数据上交总部时,如果内部网络不能上传文件,则采用快递方式,同时填写《系统故障风险登记表》(表39)上报至技术组。
9.重要资料交接异常:在交接过程中被托管机构如不能按交接要求提供重要相关资料,则应填写《系统故障风险登记表》(表39)上报至技术组。
10.清查病毒异常:因查杀病毒引起系统不正常时,联系开发商重装系统,并应填写《系统故障风险登记表》(表39)上报至技术组。
第三节 稳定期
第二十九条 稳定期是指托管机构已与被托管机构完成交接工作,双方共同维持信息系统稳定运行的时期。
第三十条 托管机构在稳定期的主要技术管理责任是对系统进行风险检查,消除系统隐患,按照规范要求组织好系统的运行,确保系统稳定运行;同时按照托管工作的进度要求,做好客户保证金第三方存管的系统准备和上线组织。
第三十一条 稳定期在系统运行维护过程中应注意以下事项:
1.操作人员必须严格遵守信息应用系统的操作规程,操作用户须专人专用,严禁泄露操作口令,严禁越权操作,操作口令应定期更换,并满足口令强度要求。
2.各岗位操作权限应根据岗位职责严格按最小化原则进行设置,并定期进行检查修改。
3.交易期间,除经技术组审批不得不进行的故障处理外,严禁任何人以任何理由直接登录数据库进行操作,严禁参数修改。
4.尽量启用系统软件提供的安全审计留痕功能,并记录好运行日志。
5.信息系统上线前需进行全面测试,评估上线风险,做好相应的应急和备份计划,并通过规定流程审批获准后才能上线运行,
6.完善规范化的日常操作流程,关键操作建立复核机制。
7.建立关键系统的配置和变更文档,及时作好参数备份,确保运行环境的可恢复性。
8.加强值班管理,作好实时监控。
9.开市交易期间,禁止对总部端数据进行大批量的数据查询和统计,防止系统堵塞而影响正常业务。
第三十二条 技术组在稳定期应及时对被托管机构的信息系统进行风险评估,形成信息系统整体风险评估报告,向托管工作组报告。
第三十三条 信息系统整体风险评估报告应包括对信息系统技术模式、运行状况及技术管理状况的评估。
第三十四条 对信息系统技术模式的评估应包括以下几方面:1、网络拓扑结构:重点关注交易网、办公网、互联网之间的隔离情况及安全策略。2、应用系统技术架构:重点关注前后台分离、传输加密、系统漏洞及缺陷等情况。3、系统环境:如周边控制、安全措施等情况。
第三十五条 对信息系统运行状况的评估应包括以下几方面:
1.对关键设备备份情况进行评估:关键设备备份情况应包括关键服务器、主干路由器、主干交换机、工作站等设备的备份情况;重要通信线路备份及带宽情况;交易所报盘线路“天地”备份情况等。
2.对系统设备性能状况进行评估:应根据《信息技术日报表》(表41)、《系统运行维护记录表》(表30)、《系统软件台账》(表33)、《系统硬件台账》(表32),评估被托管机构信息系统主要设备状况及资源使用情况。
3.对故障应急处理能力进行评估:应对已有的应急资源、应急能力进行评估,应急资源包括应急人员、应急设施(备)、装备和物资等,应急能力包括现有人员的技术、经验和接受的培训等。
第三十六条 对技术管理状况进行评估是指根据被托管机构的管理制度、工作流程、技术资料、人员分工及现有系统用户使用情况等,评估被托管信息系统的管理状况。
第三十七条 托管各期的详细工作要求及具体操作步骤请参照《交接工作流程表汇总》(附件二)。
第三十八条 在托管期,为了保证系统的稳定运行,原则上不进行新的系统建设,如有特殊需要,应遵照《新系统建设管理细则》(附件一)进行。
第三十九条 技术组要对被托管方在托管前开始进行的在建系统进行清理,根据轻重缓急和资金投入及业务需求情况提出续建、缓建、终止建设的意见并报托管工作组,由托管工作组确定是否续建、缓建、终止建设;托管组将需要终止的项目移交给清算组处理。
第四十条 对于涉及到交易所、登记结算公司、银行等出现交易结算规则、接口变动等导致的系统建设,技术组应提出变更方案,报托管工作组审批,由技术组组织实施。
第四十一条 对因客户结算保证金存管方式变化导致的系统建设,托管工作组应会同存管银行向中国证监会提交有关协议文本、业务方案及技术方案等申请材料,通过审批后,由托管工作组组织实施。
第四十二条 新的系统建设应本着实用、安全、系统化的原则进行。
第四十三条 新系统的上线和运行管理应遵循证监会颁布的《证券公司信息技术管理规范》的要求。
第五章 应急预案及应急处理
第四十四条 为科学应对被托管机构信息系统突发故障事件,建立健全信息系统故障应急响应机制,有效预防、及时控制和最大限度地消除突发故障事件的危害和影响,应制定被托管机构信息系统故障应急预案。
第四十五条 技术组负责应急预案的全面管理及故障应急处理的全面组织和协调工作并负责监督应急预案的制定、实施与演练,负责检查应急预案的可行性,对发生的问题做出分析、判断,并提供技术支持和指导。被托管机构技术人员执行相应技术处理。
第四十六条 技术组应对被托管机构的应急预案进行检查审核,组织被托管技术方对应急预案进行优化、补充、完善。应急预案制定与管理原则如下:
1.应急预案应涵盖被托管机构各信息系统的所有关键环节可能发生的故障,且须重点考虑供电系统、服务器系统、通信系统、网络系统、交易系统、数据备份等。
2.应急预案应根据被托管机构信息系统的现状,按科学、实用原则制定。
3.应定期、不定期(至少一季度一次)根据应急预案进行专项培训演练,以不断提高故障判断及故障处理的快速反应能力,力争将故障的影响和损失降低到最小程度。进行应急演习时,应做好演习前的备份和演习后的恢复工作。
4.对主用系统进行变更时,须同步对备份系统进行更新,以确保主从系统的参数设置一致,以便发生故障时从系统能正常启用。
5.每次演习结束后应及时进行总结,根据演习情况对应急预案进行进一步完善。
6.关键设备及系统的应急计划须张贴在系统所在的显要位置。
7.信息系统发生故障时,应及时按预定分工密切配合,尽快按应急预案处理。
第四十七条 当发生技术故障时,应及时启动系统故障应急预案,如应急预案中未涵盖该故障的应急处理方案,由技术组临时制定应急预案并组织执行。技术故障处置原则如下:
1.当发生一般技术故障时,在保障交易和尽量保证交易资料的安全完整的前提下,可继续开展全部或部分主要业务,同时按应急预案进行故障处理,尽快排除故障。
2.当发生重大技术故障时,在按应急预案处理故障的同时,应立即按报告制度中紧急事件的报告方式向技术组报告,并与系统开发商、设备提供商、以及各协作方及时取得联系,同时对客户进行解释,寻求各方面的支持和援助,尽量缩短排除故障的时间,尽快恢复正常交易。
第四十八条 技术组须对应急预案的实施全过程进行监督检查,督促被托管机构技术人员按预案指定的操作步骤及时进行应急处理。
第四十九条 故障处理完成后,技术组须组织现场技术岗位填写《系统故障风险登记表》(表39)备案,并整理故障处理过程中的各种相关信息,记录好相应日志,对故障处置情况进行认真分析原因,对及时性、有效性进行综合评估,提出相应的纠正和改进措施,进行演习验证后对应急预案进行相应修改,并填写《纠正预防措施实施验证记录表》(表40)备案。
第五十条 为了确保出现故障时能及时得到相关单位支持,应急预案中应整理所有相关单位的联系方式,包括被托管机构的各部门联系电话,托管机构所有托管人员联系电话,以及线路运营商、深沪交易所、深沪通讯公司、登记公司、设备供应商、软件开发商、系统集成商、物业公司、电业局、当地证监局、合作银行以及其它相关单位的联系方式,具体内容参考《交接日相关单位联系方式汇总表》(表20)。
附件一:管理细则汇总
(一)机房安全管理细则
1.本办法适用于被托管机构信息技术机房的管理。
2.现场技术岗位和被托管技术方共同做好本部门机房的运行维护和安全管理工作,现场技术岗位行使监督职能。
3.工作时间内机房必须有当班人员值班。加强对机房运行环境的安全巡视,定期检查UPS后备电源电池的充放电情况,保证工作中电能的正常供应。
4.托管期间,加强安全保卫措施,严格执行机房进出审核登记制度,无关人员未经批准不得进入机房。被托管机构非机房工作人员获现场技术岗位批准后方可进入机房。因工作需要进入机房的人员,需在《机房人员出入登记表》(表25)进行登记后方可进入。
5.托管期间,被托管机构机房设备进出,必须填写《机房设备出入登记表》(表26),获现场技术岗位批准后方可进出。
6.加强与物业、电信等与系统运行环境关系密切的单位的沟通联系,防范突发事件,起到预警效应。
7.电脑设备分类规范摆放,设备连接线要捆扎整齐,禁止摆放与业务无关的东西。保持机房内的清洁卫生,定期打扫。
8.禁止在机房内吸烟,不得携带易燃、易爆、易腐蚀、强磁及其他与机房工作无关的物品进入机房。
(二)用户管理细则
1.本办法范围适用于所有系统的用户及密码管理,其中超级用户包括操作系统、网络设备、数据库、应用系统等范围。
2.按照“三分离、一稽审”规范要求,用户及密码的管理工作由托管机构派驻各现场的负责人、业务人员及现场技术岗位共同进行。
3.禁止被托管技术方掌管以上所述范围的各类超级用户密码。
4.用户管理。托管机构派驻到各分支总部、营业部的现场负责人管理数据库的超级用户;托管机构派驻现场业务人员管理柜台系统的超级用户;现场技术岗位管理网络设备、操作系统的超级用户;其他应用系统的超级用户根据岗位责任由托管工作组派驻的相关人员管理。
5.托管开始时,被托管技术方填报《交接前系统超级用户密码登记表》(表9)提交托管机构。
6.各系统用户管理人负责各自所掌控密码的产生、修改工作,操作记录上报托管工作组。密码按要求定期进行修改,修改记录报托管工作组备案。操作修改工作需登录《交接日密码设置修改登记表》(表10)。
7.日常维护中,被托管机构信息技术人员如需使用超级用户,须由用户管理人用超级用户登录相应系统,被托管机构信息技术人员执行相应操作,密码掌控人进行监督。操作完成后,用户管理人负责安全退出。
8.所有操作人员应有互不相同的用户名,操作时使用各自的用户名,并定期更换密码,以防密码泄露。
(三)权限管理细则
1.本办法所指权限包括操作系统、数据库和应用系统等。
2.权限设置应遵从最小化原则。
3.权限设定和修改流程按照由申请部门提出需求,填写《权限设置修改登记表》(表28)经超级用户密码掌控人同意并上报托管工作组批准后,方可实施权限修改。
4.修改权限时,由超级用户密码掌控人登录相应系统,被托管机构信息技术人员执行设置操作,超级用户密码掌控人依照《权限设置修改登记表》(表28)内容进行操作监督,并复核修改内容。
5.权限设置完毕后,超级用户密码掌控人负责安全退出超级用户登录。
6.操作权限严格按岗位职责设置,密码掌控人要定期检查操作员的权限。
(四)数据安全管理细则
1.本办法所指数据为交易和清算数据。财务数据依照财务相关规定执行。
2.托管期间,每日数据备份内容应涵盖A股交易数据、B股交易数据、债券交易数据、三板交易数据、权证交易数据、开放式基金系统数据、银证通系统数据、AB股和三板行情数据、清算数据等。
3.托管期内由被托管机构相关人员进行每日数据备份,现场技术岗位对备份过程进行监督。如原备份方式属不规范操作,现场技术岗位应规范数据备份方式,被托管机构人员遵照执行。数据备份操作需登录《每日数据备份登记表》(表29)。
4.被托管机构必须对每日数据进行异地备份,现场技术岗位对异地备份进行监督。
5.托管期内每日备份数据由被托管技术方以周为单位定时上报技术组,现场技术岗位实施监督。
6.数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。实施严格的安全保密管理,严禁泄露数据内容。
7.托管期内,如对交易等数据进行维护,参照《系统运行维护管理细则》(附件一)执行。
(五)报告办法
1.信息技术采取日报告制度,现场技术岗位每日16:00前向技术组汇报其所在部门信息技术整体情况,报告格式参照《信息技术日报表》(表41)进行,日报中应涵盖系统运行、设备维护、人员管理、故障处理以及其它涉及信息技术方面的内容。
2.对于紧急发生的事故和问题,现场技术岗位可采取随时口头向技术组汇报的方式。
3.当日若发生系统故障或升级,则《信息技术日报表》(表41)应将《系统故障风险登记表》(表39)作为附件,一并上报。
4.所有故障报告遵从由现场技术岗位向技术组、技术组向托管工作组逐级上报的原则进行。
(六)病毒防范管理细则
1.自托管之日起,现场技术岗位应定期组织被托管机构信息技术人员对所管辖的系统进行全面的杀毒工作;托管当日(或次日)应组织对整个系统进行一次全面杀毒。
2.所有有盘工作站必须安装防病毒软件,并随时进行版本升级;病毒查杀须在断网情况下进行。
3.病毒查杀情况需登录《系统防病毒检查表》(表38)。
4.现场技术岗位的病毒防范工作包括:所管辖系统计算机病毒的防范工作,掌握常见计算机病毒的防范处理知识和必要的技术手段,督促并指导对发现的病毒进行查杀,及时向技术组报告病毒的发生、处理情况;
5.严禁使用未经授权的软硬件,对于来路不明、内容不详的档案资料,应在使用前进行查毒杀毒,确认无病毒后方可使用。
6.需要使用文件共享时,必须加上共享密码并控制文件读取权限。
(七)技术文档管理细则
1.本办法所指的技术文档是指与信息系统相关的技术文件、线路分布、图表、程序、参考书籍与数据等,包括信息系统建设规划、网络设计方案、软件设计方案、安全设计方案、源代码、系统配置参数、软件版本、技术数据及相关技术、工程资料、信息技术合同、账款支付、系统运行费用等。
2.现场技术岗位应配备用于存放技术资料的保管箱或保管柜等物件。
3.被托管机构将所有技术文档归类整理,并填写《交接日技术资料登记表》(表18)、《交接日信息技术合同台账》(表19)、《交接日通讯线路资料表》(表21)等,一并交现场技术岗位进行核查和管理。
4.现场技术岗位应对重要技术文档建立副本,并做到异地存放。
5.所有存放的软件应附带相关的详细书面文档。设备随机资料必须建立详尽的台账记录。
6.托管期内新增加的技术文档必须在《技术资料登记表》(表34)、《信息技术合同台账》(表35)等中记录。
7.托管期内,技术文档的借阅、复制,应获得现场技术岗位同意并予以登记。未经批准,不得随意借阅给他人。
8.资料保管人员应有高度的责任心,对保管的技术文档经常进行整理和重新归档。保管文档的地方应有必要的防潮、防霉、防鼠、防盗、防火等条件。
(八)信息技术人员管理细则
1.本办法适用于被托管机构信息技术人员。
2.托管工作组对被托管机构信息技术人员实施全面管理,技术组对被托管机构信息技术人员实施技术管理。
3.被托管机构信息技术人员须服从托管机构要求,遵守托管期间所有规章制度,做好托管期间信息技术安全保障工作。
4.被托管机构信息技术人员须严格遵守职业道德规范,即:根据三分离一稽审制度,严禁参与相关业务操作;严禁为部门违规提供技术支持或协同违规;严禁编制虚假单据和提供虚假交易数据;严禁向外泄露公司技术机密和提供重要文档资料等违规行为。
5.托管期间,被托管信息技术人员未经托管工作组批准,不得擅自离岗。因特殊原因需调离岗位时,应经技术组上报托管工作组批准并进行离任审计后,按照相关制度办理手续,方可离岗。
6.其它人事管理遵照托管工作组相关规定执行。
(九)软硬件设备管理细则
1.交接日被托管技术方向托管机构提供与托管信息系统相关的《交接日系统硬件台账》(表16)与《交接日系统软件台账》(表17)。
2.托管当日(次日),现场技术岗位依据设备台账对被托管机构部门进行设备全面清查,对账实不符的设备由被托管机构人员进行说明。清查情况上报技术组。
3.托管期间原则上不购置新的电脑设备和进行软件升级和更换,但下列情况例外:
4.设备损坏且无替代,直接影响交易的正常进行;
5.软件如不更换或升级时将影响到交易系统的正常运行;
6.交易所强制要求的系统升级涉及到的软硬件;
7.其它影响到交易正常进行的事件需要购买设备。
8.若发生上述情况而需购置或调配设备和软件时,被托管技术方填写《软硬件设备采购申请表》(表36),经现场技术岗位审核后报技术组审批;
9.得到同意购买批复后,按照托管期财务管理制度要求实施采购,并回复《软硬件设备采购申请表》(表36)。软硬件设备的日常维护及安装调试参见《系统运行维护管理细则》。购买后须填报《系统硬件台账》(表32)或《系统软件台账》(表33)。
10. 托管期内不报废软件。
11. 软硬件设备发生故障后立即报现场技术岗位,在征得其同意后进行修理,并同时做好维修记录。
12. 现场技术岗位要加强对UPS、发电机等后备式电源的监督管理,保证正常的设备供电。
13. 软硬件设备的日常管理沿用被托管机构设备管理细则。
(十)网络管理细则
1.被托管机构信息技术人员提供所有完整详细的网络布线、配线、网络拓扑、网络设备的网络地址、硬件配置及其配置参数等网络设计和网络工程资料,供现场技术岗位查阅。
2.自托管开始日起,被托管机构的交易网络必须与其办公网络、互联网络严格分离。
3.托管期间,原则上禁止广域网络的改造。确因工作需要,被托管技术方须填写《网络改造申请表》(表31),现场技术岗位审核后,上报技术组批准,方可实施。
4.托管期间,现场技术岗位须严格管理各种网络设备的口令、地址及网络配置信息,并且督促被托管技术方做好相关维护记录。
5.修改网络配置时,被托管技术方填报《系统运行维护记录表》(表30),经现场技术岗位同意,现场技术岗位用超级用户密码登录,被托管技术方进行修改操作,现场技术岗位根据记录表进行核查。修改完成后,现场技术岗位负责安全退出。
6.远程登录用户或跨网存取用户须通过IP地址限制、端口限制的方法进行访问控制。设备接入公司内网时须进行病毒清查及相关安全设置(如:升级补丁、禁用服务端口等)。
7.安装系统时,须遵守最小权限原则,禁用不用的服务和端口。严禁擅自安装双网卡机器进行跨网操作,或通过插拔网线改变机器接入网络的方式。
8.发现病毒侵入或黑客攻击,应及时采取措施进行隔离,同时执行报告制度。
9.认真做好网络设备的清洁保养工作,定期对户外的网络通信设备、线路进行检查,确保网络通信的安全、畅通。
(十一)系统安全管理细则
1.必须启用柜台软件提供的安全日志留痕功能;
2.现场技术岗位每日要对系统安全日志进行查阅,发现问题及时处理和上报;查阅情况和问题处理情况需在机房运行日志中记录;
3.严格执行密码管理细则和权限管理细则;
4.严格执行“三分离、一稽审”,做到技术与业务分离、前台与后台分离、网络与数据分离以及不定期地进行业务技术稽审。
(十二)系统运行维护管理细则
1.托管期内,现场技术岗位督促和管理被托管技术方做好系统日常运维工作,督促被托管技术方按照技术组要求做好包括系统程序、配置文件和参数、操作系统和应用系统运行日志以及变更的系统等在内的相应备份工作。
2.系统维护遵从被托管技术方负责具体操作,维护操作完成后,记录相应的处理情况和结果,现场技术岗位进行监督和复核的方式进行。
3.被托管技术方每日必须完整填写系统运行日志,日志中应涵盖系统操作项目、运行结果、异常情况、问题处理结果等内容。
4.被托管技术方完成托管工作组要求的其它日报及各项表单;现场技术岗位负责核阅。
5.对交易和系统数据进行维护时,由申请部门提出需求,并填写《系统数据维护记录表》(表37),经现场技术岗位或技术组批准后,进行实施。
6.进行系统升级、网络和设备维护时,由申请部门提出需求,并填写《系统运行维护记录表》(表30),经现场技术岗位或技术组批准后,进行实施。操作完成后,被托管技术方须对系统进行全面测试,测试情况登录《系统运行维护记录表》(表30),并上报技术组备案。
7.新系统启用前必须经过严格的上线测试,并经技术组批准后方可启用。
8.系统出现故障或遭受任何影响时,应立即启动应急预案,填写《系统故障风险登记表》(表39),并上报技术组。
9.应定期或不定期对应急预案进行演练,不断修改和完善应急预案。进行应急演习时,要做好系统及数据的备份和恢复工作。
10. 部门的需求给予及时的响应和技术支持。
(十三)新系统建设管理细则
1.新系统建设方案系统建设必须坚持高安全性、高可靠性和标准化的原则。
2.除提交通常的系统建设方案外,还须提交专门的方案详细说明新建系统对现有运行系统可能带来的影响。
3.新建系统涉及到现有系统的改造情况下,应用系统各开发商应积极配合。
4.新建应用系统原则上应使用现有网络设备,如确实需要,请参照网络管理细则(附件一)执行。
5.如果需要和外单位新建联网,应采用可靠的技术隔离手段,确保安全可靠。
6.系统软件要求:
(1) 系统软件的选用应充分考虑安全性、可靠性、稳定性和健壮性,应使用符合安全要求的软件。
(2) 操作系统软件的使用应遵循最小功能原则及最小权限策略,关闭不必要的服务和端口。
(3) 在经过充分测试的前提下,应及时安装操作系统的补丁程序。
7.应用软件要求:
(1)应用软件未经严格测试不得上线。
(2)做好相应的应急和备份计划,重要应用软件系统宜采取在线备份措施。
(3)执行规范化的信息系统上线流程,评估系统上线风险,应针对可能影响到现有运行系统的风险专门进行评估。
文章来源:中国证券监督管理委员会
广州国保科技有限公司专注为国保密30年,集研发、生产、销售于一体,服务于国家党政军机关、企事业单位等涉密部门,是中央政府及各省市政府采购中标供应商,是党的十五大到十九大会议会务专用保密设备服务商。同时为华为、苹果、迪士尼、阿里巴巴、腾讯等众多500强企业提供高品质保密服务。旗下涉密安全产品:保密柜、手机屏蔽柜、保险柜、密码锁文件柜、档案文件柜、碎纸机等获得客户的高度认可,引领保密行业发展。想要了解更多详情,请点击官方网站:https://www.guub.cn/ 。
上一篇:《司法部 国家保密局关于印发《国家司法考试保密工作规定》的通知》
推荐阅读:
•《手机屏蔽柜怎么选?》
正品保证
优质服务
急速物流
售后无忧
