证券公司信息系统管理制度汇编（超经典全面）.doc

*证券信息系统管理制度2010版二一年六月目 录第一章 总则3第一节 依据3第二节 目标3第三节 原则3第四节 IT投入4第二章 信息系统管理组织架构4第一节 公司IT治理委员会职能及架构4第二节 公司信息技术中心职能及架构5第三节 营业部电脑部架构7第四节 电脑人员岗位及限制7第三章 电脑人员岗位职责8第一节 电脑人员及其一般责任8第二节 公司信息技术中心岗位职责8第三节 营业部岗位职责10第四章 电脑专业人员管理13第一节 营业部电脑部负责人委派制13第二节 电脑专业人员在岗管理13第三节 电脑专业人员离岗交接15第五章 信息系统管理15第一节 机房管理16第二节 运行维护及操作安全管理17第三节 木马、病毒检测及防范20第四节 漏洞检测、修补及系统补丁21第五节 设备管理21第六节 网络通讯23第七节 软件管理26第八节 数据管理26第九节 技术文档管理28第十节 废弃数据及介质销毁制度30第十一节 技术事故防范及应急制度31第十二节 报告制度32第六章 集中交易35第一节 系统建设35第二节 运行管理37第三节 系统维护37第四节 系统评估38第五节 系统升级38第七章 网上证券业务系统管理39第一节 系统建设39第二节 网上证券系统管理43第三节 客户端程序管理45第四节 门户网站管理46第五节 互联网接入系统使用规定46第八章 灾难备份47第一节 灾备系统建设47第二节 灾备系统运行管理48第九章 附则49附件50附件1：和兴证券公司信息技术中心岗位责任制度50附件2：电脑人员考核办法61附件3：信息系统交接工作文档70附件4：机房技术要求94附件5：日常操作流程96附件6：系统运行日志117附件7：机房工作记录137附件8：应急预案应急计划148附件9：灾备系统切换应急计划186附件10：重要口令报备表189附件11：数据备份要求197附件12：系统安全与审计设置标准199附件13：广域网网络安全设置标准211附件14：核心网安全设备、网络设备配置修改审批申请212附件15：业务系统配置修改审批申请213附件16：信息安全报告附件214附件17：公司网络系统219第一章 总则第一节 依据根据中华人民共和国证券法、中华人民共和国计算机信息系统安全保护条例、证券公司管理办法、证券公司内部控制指引、证券期货经营机构信息技术治理工作指引、证券期货业信息安全保障管理暂行办法、证券公司信息系统技术管理规范、证券公司集中交易安全管理技术指引、证券营业部信息技术指引、中华人民共和国电子签名法、计算机信息网络国际联网安全保护管理办法（公安部令第33号）、互联网安全保护技术措施规定（公安部令第82号）、证券公司网上证券信息系统技术指引（征求意见稿）等有关规定，结合公司和兴证券信息技术基本管理制度，制定本制度。第二节 目标1.2. 1 最大限度地防范技术风险，保护投资者合法利益，保护公司合法权益。1.2.2 在信息系统管理及电脑人员管理过程中坚持相互独立与制衡，确保公司内部控制有效。1.2.3 加强公司信息系统优化建设和安全管理，加强电脑技术人员管理，防止数据遗失、损坏、篡改、泄露，提高系统运行安全性、可靠性和稳定性。1.2.4 通过信息技术应用增强公司的核心竞争力,使公司从信息技术投入中获得更大收益。第三节 原则1.3.1安全性原则：在信息系统设计、开发、运行、维护各环节和硬件、软件、网络、通讯、数据、管理等方面，把安全落实到信息技术管理的每一个环节、每个方面,最大限度地防范技术风险，保护投资者合法利益，保护公司合法权益。1.3.2分离制衡原则：在信息系统管理及电脑人员管理过程中坚持相互独立与制衡的原则，确保公司内部控制有效。1.3.3实用性原则：提倡学习新技术，使用新技术，结合公司实际情况，注重采用成熟的、性价比高的先进技术，在确保信息系统性能和安全的前提下，遵循高效率、低成本、易操作的实用性原则。1.3.4系统性原则：以系统的观点来管理公司信息技术管理有关的资源和活动，理解和识别管理过程中的相互关系和作用，明确每个管理过程的职责和权限。加强电脑技术人员的管理，防止数据遗失、损坏、篡改、泄露，提高系统运行的安全性、可靠性和稳定性。1.3.5 有利于实现经营目标原则：促进公司信息技术资源的最优配置，实现技术和业务的有效匹配，信息技术的应用有利于实现公司经营目标的实现。第四节 IT投入1.4.1为保证公司信息系统安全运行并能支持公司业务发展，公司近三个财政年度信息系统投入平均数额原则上应不少于最近三个财政年度平均营业收入的3%。1.4.2公司应在年初或上一年末制定公司IT 投入年度预算，经公司股东会审议通过后执行。确因市场变化或突发事件导致需新增无预算的重大IT投入，报公司审议通过后执行。1.4.3公司在制定IT 年度预算时应保障公司业务正常运转和发展所需IT 投入，并确定IT 项目投入的优先顺序以及投入的金额，IT投入应优先保证为投资者交易服务提供安全、可靠的保障。1.4.4公司根据实际情况配备足够的IT 工作人员，满足安全和岗位设置的有关要求。公司的信息技术工作人员总数原则上应不少于公司员工总人数的6。1.4.5公司为信息技术提供必需的资金支持，为信息技术人员提供履行其岗位职责所需要的岗位技能培训及业务培训。第二章 信息系统管理组织架构2.1 公司设信息技术治理委员会（IT治理委员会）、IT 总监，完善公司的治理结构，提高公司信息技术治理水平，加强公司信息技术管理与规范，保障信息系统安全运行。2.2 公司设信息技术中心对公司信息技术工作实行归口管理。第一节 公司IT治理委员会职能及架构2.1.1公司IT 治理委员会由公司董事会成员、监事会成员、经营层成员、合规总监、IT 总监、信息技术中心负责人及成员、经纪业务部、市场发展部、计划财务部、合规风控部等成员构成，其中技术部门成员不少于总人数的30%。2.1.2 IT能力是公司核心竞争力之一。有效的IT 治理可以持续巩固和提升公司IT 能力。为达到有效的IT治理，公司IT 治理委员会至少行使以下职能：1. 制定公司IT治理工作制度，拟订公司IT目标和IT治理工作计划；2. 审议公司IT发展规划；3. 审议公司年度IT工作计划和IT预算；4. 审议公司重大IT项目立项、投入和优先级；5. 审议公司IT管理制度和重要流程；6. 制订与IT治理相关的培训和教育工作计划；7. 检查所拟订和审议事项的落实和执行情况；8. 组织评估公司IT重大事项并提出处置意见；9. 向公司管理层报告IT治理状况。2.1.3 公司IT 总监职能如下：1. 组织拟定公司IT治理工作制度；2. 组织拟定公司中长期IT发展规化；3. 组织拟定公司年度IT工作计划及预算；4. 组织拟定公司信息系统安全目标、策略、方案、实施计划；5. 组织对公司IT的风险进行评估及控制；6. 组织并协调公司信息化建设工作；7. 组织拟定IT管理制度、IT建设标准；8. 组织落实IT治理委员会所制定和审议的有关事项；9. 向公司管理层和IT治理委员会报告IT重大事项，并对上报事项的真实性、完整性、及时性负责；10. 对公司信息系统的安全管理体系的有效性负技术责任。第二节 公司信息技术中心职能及架构2.1.1 公司信息技术中心职能：1. 与公司人力资源部共同制订、完善公司电脑人员管理制度，共同负责公司电脑人员的招聘、培训、考评、处罚、轮岗、离岗的管理；2. 制订、完善公司电脑信息系统管理制度，保证公司信息系统管理制度化、规范化；制订并完善电脑人员岗位责任制度并落实执行，保证技术与业务分离，关键岗位的相互分离与制衡。3. 负责公司信息系统的总体规划、实施，参与编制公司信息技术预算并落实执行。4. 负责公司信息系统的建设、软件开发、运行维护，对总部电脑系统的技术安全运行负责。5. 制订并完善信息技术系统的风险控制制度，定期或不定期检查各营业部信息技术系统的运行情况及制度执行情况，对全司信息系统进行安全评估，给出整改意见，规避技术风险；6. 负责及时上报发现的技术和业务异常。2.1.2 公司信息技术中心构架2.1.2.1公司信息技术中心设总经理、根据管理需要，可增设副总经理和总经理助理；并设总工程师岗位各一名，设安全专管员一名；2.1.2.2公司信息技术中心下设系统技术管理（简称管理）、系统运维（简称系统）、网络管理（简称网管）、非现场系统（简称非现场）和灾难备份（简称灾备）五个二级部，二级部门的变更依据公司信息技术应用情况确定。2.1.2.3 管理部负责公司设备管理，营业部电脑负责人的考评和普通电脑人员考评的检查监督、营业部信息系统安全评估、营业部系统运行支持和技术支持，并负责公司总部行情系统、prop2000系统、IST系统、证券综合管理系统、影像系统，内控系统和财务系统等的运维。管理部设二级部经理一名，目前设以下技术岗位，以后根据业务需要配置相应岗位。1. 系统及应用管理；2. 数据库管理；3. 系统审计；4. 设备管理；5. 技术文档管理。2.1.2.4系统运维部负责公司集中交易柜台系统和三方存管系统、报盘系统的运行和维护，系统运维部设二级部经理一名，目前设以下技术岗位，以后根据业务需要配置相应岗位。1. 系统管理；2. 数据库管理；3. 应用管理；4. 数据库审计； 2.1.2.5网管部负责公司总部网络和公司广域网的运行和维护，网管部设二级部经理一名，目前设以下技术岗位，以后根据业务需要配置相应岗位。1. 网络管理2. 网络监控 2.1.2.6非现场部负责公司非现场交易系统的运行和维护，非现场部设二级部经理一名，目前设以下技术岗位，以后根据业务需要配置相应岗位。1. 系统及应用管理;2. 系统审计；3. 系统、防毒审计岗职责。2.1.2.7灾备部负责公司灾备系统的运行和维护，灾备部设二级部经理一名，目前设以下技术岗位，以后根据业务需要配置相应岗位。1. 系统及应用管理；2. 数据库管理；3. 系统审计；4. 数据库审计。第三节 营业部电脑部架构2.2.1营业部应按监管部门规定和要求配备专职和兼职技术人员，确保营业部信息系统稳定运营。2.2.2营业部电脑部设负责人一名，全面负责营业部电脑部日常工作，对营业部电脑系统的安全运行负责。其他人员依据行业规定和工作需要配备。营业部电脑部目前设以下技术岗位：1、系统及应用管理。2、系统审计。3、计算机病毒防范管理。4、电脑管理。第四节 电脑人员岗位及限制2.3.1 公司对信息技术中心实行定岗、定编。2.3.2 重要岗位实行双人负责制，并加强对单人单岗的监控。2.3.3 根据工作量和人员配备，一人可兼任多个技术岗位。2.3.4兼任多个技术岗位必须遵循分离制衡原则，系统管理岗位人员不能兼任数据库管理岗位或系统审计岗位；数据库管理岗位人员不能兼任系统管理岗位或数据库审计岗位。第三章 电脑人员岗位职责第一节 电脑人员及其一般责任3.1.1.1遵纪守法，勤勉尽责，认真学习，刻苦专研技术，不断提高自身素质和业务能力，努力提高公司计算机应用水平和计算机管理水平，保障公司信息系统高效正常运行。3.1.1.2 遵守劳动纪律，工作时间坚守岗位，严格遵守公司各项制度、电脑信息管理制度和操作规程。3.1.1.3按时完成公司信息技术中心布置的各项工作，及时向公司信息技术中心反馈日常运营及交易活动中遇到的技术问题和意见。3.1.1.4积极参与社会和公司组织的各类培训,积极配合公司信息技术中心进行新技术、新系统的试验与推广应用。3.1.1.5公司信息技术中心和营业部电脑人员负责所属信息系统的安全运行，开市前作好系统运行准备，开市期间实时监控系统运行状况，收市后配合清算员完成日结清算等盘后工作。完整、准确记录信息系统运行日志，妥善处置突发事件，详细记载发生的异常事件并妥善保存有关原始资料。3.1.1.6电脑人员依据中华人民共和国保守国家秘密法、国家保密局计算机信息系统保密管理暂行规定、计算机信息系统国际联网保密管理规定对公司机密、客户机密有保密责任。第二节 公司信息技术中心岗位职责3.2.1公司信息技术中心总经理岗位职责3.2.1.1工作职责: 1. 公司信息技术中心日常管理。2. 重大信息技术项目的策划、组织。3. 编制公司信息技术系统规划。4. 制订IT系统管理制度并组织实施。5. 组织对公司信息技术中心员工考核与奖惩，参与对营业部电脑部负责人的考核与奖惩。6. 参与IT人员的招聘。7. 协调下属部门及营业部电脑部的工作。8. 指导、协调公司信息技术中心（总助）、下属部门负责人、营业部电脑部负责人的工作。9. 对系统出现的重大问题及时上报分管总裁，并提供相应的解决方案。3.2.1.2工作权限:1. 提名任免下属负责人、营业部电脑部负责人。2. 提名公司信息技术中心总经理助理人选。3. 决定公司已审定技术项目的实施。4. 组织重大信息技术项目或电子设备采购的招标。3.2.2公司总工程师岗位职责3.2.2.1工作职责:1. 负责集中交易系统建设项目的规划、论证、实施.2. 负责与集中交易相关的业务需求设计、系统开发、运营管理、技术审计、安全保障等工作的管理与组织协调。3. 参与编制公司信息技术中心管理制度。4. 对发生重大技术和业务事故及时上报公司信息技术中心总经理，并提供相应的解决方案。3.2.2.2工作权限:1. 参与重大信息技术项目的决策、组织及实施2. 参与重大项目或电子设备采购的招标3.2.3安全专管员责任1. 参与起草、修改公司信息系统管理制度2. 督促检查公司内各单位计算机信息系统的安全工作；对系统，数据库管理、网络管理和电脑专管等岗位人员的安全工作进行管理、监督和指导。3. 研究国际、国内计算机安全防范技术，拟定计算机信息系统、数据库系统安全策略配置标准、审计、补丁、病毒防范工作计划和事件处理程序。4. 指导、监督和检查计算机系统、数据库计算机信息系统安全配置、审计的配置、补丁升级、病毒库升级工作。5. 检查和指导计算机信息系统、网络通信系统和计算机机房的安全建设，督促本单位改进和完善计算机信息系统的安全保密工作。6. 定期或不定期对计算机、网络通信设备、供电系统等进行抽查，及时发现安全隐患，防患于未然。7. 协助保卫部门对计算机机房和重要设备机房所采用的防水、防火、防盗、监控、门禁等安全设施进行检查，协助有关部门处理好计算机安全事故。3.2.4 公司信息技术中心其他技术岗位根据业务需要和系统建设情况设置，具体见附件1：和兴证券公司信息技术中心岗位责任制度。第三节 营业部岗位职责3.3.1 营业部电脑部负责人岗位职责3.3.1.1工作职责 ：1. 负责营业部系统运行工作，保障营业部信息系统的安全运行。2. 部门工作效率最高化，系统故障最低，损失最小化。3. 贯彻执行公司信息技术中心工作计划及管理制度。4. 协调本部门内的各项工作按排，保证工作顺利完成，检查各项工作完成情况，考核本部门员工工作业绩，制定部门工作计划，组织制定部门的各种操作规程。5. 及时发现、解决系统出现的重大问题，对运行系统存在的问题提出改进建议或方案。3.3.1.2工作权限:1. 部门内工作的安排与人员调配；2. 考核本部门员工的工作业绩；3. 公司信息技术中心总经理授予的其它权限4. 负责部门的日常工作按排5. 负责制定部门的工作计划；6. 对营业部系统的安全运行负领导责任7. 对营业部规范经营负有约束责任。3.3.2 营业部电脑部系统及应用管理岗位职责3.3.2.1工作职责 ：1. 服从营业部电脑部负责人的日常工作安排，接受营业部电脑部负责人的管理。2. 在计算机信息系统安全方面，服从公司安全专管员、公司管理组主管的指导和管理，并对所管系统安全负责。3. 负责计算机操作系统、应用系统（非柜台）的安装、调试、升级、补丁、维护、备份和恢复等工作。4. 定期备份系统数据、系统配置参数，并不定期对系统参数、系统配置参数进行核对，防止系统数据非法生成、变更泄露、丢失与破坏。5. 做好计算机信息系统的运行、监控和维护记录，确保回报、基本面、及咨询信息及时正确更新、妥善保管有关技术资料、系统信息备份资料。6. 定期检查、备份营业部网络通信设备配置，定期更改网络通信设备口令并妥善保管。7. 负责对业务操作人员进行相关技术的培训，督促、指导业务操作人员正常使用计算机信息系统和遵守安全规范。8. 制定、修改和完善机房操作规程、技术事故应急计划及相关制度。9. 负责营业部计算机系统安全技术的实施、定期（每月一次）检查系统安全设置。10. 负责营业部超级用户及特殊用户密码定期更改、记录工作。11. 按照公司有关规章制度负责所在部门或营业部电脑设备的购置申报和管理。3.3.2.2工作权限:1. 有营业部系统及应用管理岗位权限。3.3.3 营业部系统审计岗位职责3.3.3.1工作职责 ：1. 负责电脑营业部网络操作系统审计开启、配置、调整审稽。2. 保障审稽程序、控制数据、留痕数据安全；3. 监控服务器卷和审稽数据，确保有足够的空间存储采集的审稽数据,确保审稽数据不被覆盖掉；定时存档、删除审稽文件，以防因磁盘空间耗尽造成系统崩溃；4. 定时浏览审稽数据内容，以及审稽数据是否充分有效，及时发现威胁系统安全的不良企图，做好记录并向公司报告。5. 备份当前审稽配置，包含审稽配置手工书面记录；6. 检查不可更改介质上的离线审稽文件和数据的可读性、正确性、完整性；3.3.3.2工作权限:1、 营业部系统审计岗位权限。3.3.4 营业部计算机病毒防范管理岗位职责3.3.4.1工作职责 ：1. 及时了解掌握当前计算机病毒的流行发病趋势和有效对策，及时更新、升级防毒软件。2. 负责营业部计算机病毒防范工作。定期或在病毒发作敏感日前，对系统进行病毒检查，发现病毒立即报告。3. 及时处理发现的病毒，填写书面报告作为资料存档，并向上级或有关部门报告本部门计算机病毒的发生及处理情况。4. 督促、监督系统相关人员自觉执行国家和公司有关的计算机病毒防范管理制度。3.3.4.2工作权限:1. 营业部计算机病毒防范管理岗位权限。3.3.5 营业部电脑管理岗位职责3.3.5.1工作职责:2. 服从营业部电脑部负责人的指导和管理。3. 协助营业部系统及应用管理岗位进行计算机应用程序及数据的安装调试、维护、备份和恢复等工作。4. 负责计算机网络的维护工作。5. 负责计算机工作站及相关外设日常的维护、报修和维修工作。6. 负责通讯设备的日常维护工作。7. 负责定期对强电设施的检查、报修工作。8. 负责对所在部门电脑操作人员进行辅导和监督。9. 负责股票分析系统(如钱龙)基本资料的及时更新。3.3.5.2工作权限:1. 有营业部电脑管理岗位权限。第四章 电脑专业人员管理本制度所指电脑专业人员是指公司信息技术中心（系统及应用支持、数据库管理、网络管理及网络监控、技术文档管理、系统审计、数据库审计、系统及应用管理、计算机病毒防范管理、电脑管理）和营业部（系统及应用管理、系统审计、计算机病毒防范管理、电脑管理）等岗位人员、公司信息技术中心总经理、总工程师和公司安全专管员。第一节 营业部电脑部负责人委派制4.1.1营业部电脑部负责人委派制营业部电脑部负责人实行委派制，由信息技术中心选配，公司按相关程序委派。4.1.2 营业部电脑部负责人委派程序：1. 营业部电脑部负责人由公司电脑信息中心会同人力资源部考核推荐，征求所营业部主要负责人和其他人员的意见；2. 公司信息技术中心根据公司电脑专业人员的管理规定和要求，审查候选人任职资格；3. 对符合任职资格的候选人，由公司信息技术中心会同人力资源部确定委派人选，报分管领导决定；4. 分管领导审签后，由公司发文聘任，委派到各营业部任职。4.1.3 营业部电脑部负责人委派聘期营业部电脑部负责人聘期为三年。聘任期满经考核合格后，可重新聘任委派。第二节 电脑专业人员在岗管理4.2.1 电脑人员在岗管理4.2.1.1公司公司信息技术中心电脑人员、营业部电脑部负责人由公司信息技术中心归口垂直管理。4.2.1.2公司信息技术中心电脑人员由公司信息技术中心管理、并接受所在二级部门的日常工作安排管理。4.2.1.3营业部电脑部人员由公司信息技术中心管理，并接受所在营业部的日常工作安排管理。4.2.1.4电脑专业人员在职期间与工作有关的工作成果（如软件等）其著作权归公司所有。4.2.1.5 营业部电脑部负责人应与公司签定保密协议。4.2.2 电脑人员在岗培训4.2.2.1 电脑人员应当参加公司组织的定期或不定期培训。4.2.2.2 培训内容包括：国家相关法规、公司内控制度、公司业务、重要专业技能等。4.2.3 电脑人员在岗考核4.2.3.1 公司信息技术中心电脑人员由公司信息技术中心进行考核。4.2.3.2 营业部电脑部负责人由公司信息技术中心进行考核，营业部总经理协助，营业部一般电脑人员由营业部总经理考核，营业部电脑部负责人协助，公司信息技术中心对考核进行检查监督。4.2.3.3 考核按年度或根据需要由公司信息技术中心组织实施，具体考评原则、内容、程序见附件2和兴证券电脑人员考核办法。4.2.4 电脑人员违规处罚4.2.4.1电脑人员违规或无法胜任工作的，由公司作出处罚决定，营业部有权向公司反映处罚意见。4.2.4.2公司定期、不定期对公司信息技术中心人员和营业部电脑人员的工作情况进行检查，发现违规问题，依据公司相关规定进行处罚。4.2.4.3电脑人员出现以下违纪、违规情形的，依据公司相关规定进行处罚。1. 对不服从工作安排的；2. 因失职造成技术事故以及对突发事件处理不当造成公司损失的；3. 擅自修改数据库数据（含导出数据）的；4. 使用柜台系统非法调整数据的；4.2.5 电脑人员轮岗4.2.5.1公司信息技术中心统一制定电脑人员轮岗工作计划。4.2.5.2公司信息技术中心电脑人员原则上每三年轮岗一次。4.2.5.2公司信息技术中心可定期或不定期对信息技术中心电脑人员进行岗位轮换。第三节 电脑专业人员离岗交接4.3.1 离岗申请4.3.1.1 对电脑人员进行工作调整或调离需报公司人力资源部和公司信息技术中心批准。电脑人员按规定办理离岗交接手续后方可离岗。4.3.1.2 电脑人员调离岗位要提前一个月提出申请或通知，以保证信息系统运行的连续性和安全性。4.3.2 离岗交接4.3.2.1 离岗人员必须书面承诺离岗后对公司商业秘密、客户秘密及信息系统秘密的保密责任。4.2.2.2 电脑人员离职前应办理交接手续，离岗人与接岗人员作好不少于5个工作日的交接工作，移交工作由营业部总经理或电脑部负责人或授权负责人主持。4.2.2.3 重要岗位电脑人员离岗必须与接岗人员作好所负责系统突发故障的应急演练，协助接岗人员熟悉处理突发故障的应对措施。4.3.2.4离岗人必须填写营业部信息系统交接工作文档，交出口令，交还钥匙，交回所有技术资料、工作用品和设备，接岗人应及时修改口令或由系统管理岗位人员禁止该用户。4.3.2.5 具体交接内容详见附件3营业部信息系统交接工作文档。4.3.3离岗确认4.3.3.1移交完成后，离岗人、接岗人须最后一同到经理处办理离岗确认手续。4.3.3.2离岗确认手续完成后，营业部应向公司人力资源部和电脑部提交离岗确认书和电脑人员工作交接表书面报告。4.3.4重要岗位电脑专业人员离任由公司稽核部（信息技术中心配合）对其进行离任审计。第五章 信息系统管理5.1 信息系统管理遵循技术与业务分离原则，技术部门对系统的技术配置、技术操作，技术运维及技术结果负责，业务部门对系统的业务配置、业务操作、业务运行及业务结果负责。5.2 信息系统管理遵循分级管理原则，总部系统由公司信息技术中心和相关业务部门负责，营业部系统由营业部电脑部和营业部业务部门负责。第一节 机房管理5.1.1 公司主机房、灾备机房由公司信息技术中心负责管理，营业部机房由营业部电脑部负责管理。5.1.2各机房要根据实际情况建立操作规程，张贴在合适位置，并严格遵守。5.1.3 非机房工作人员不得随意进入机房，如因工作需要，需经电脑部负责人批准并进行必要登记，由机房工作人员陪同方可入内。5.1.4 交易时间内机房必须有当班值班人员，严禁脱岗离岗。机房无人值守时，控制台应加锁，并锁门。5.1.5 所有设备应做标识，标识应有益于日常操作和维护维修，机房内各类线路要理顺整洁，定期对网络跳线进行整理。5.1.6 机房内严禁携入易燃、易爆、易腐蚀、强磁场物品。5.1.7 保持办公环境整洁，办公物品摆放整齐，安排卫生值班，每日进行清扫。5.1.8 机房建设应符合GB50174、GB2887和GB9361的要求。5.1.9 机房环境应达到以下要求：1. 操作间、设备间、UPS间相互分隔；2. 安装独立空调，采用一用一备、多用一备或多用多备的方式，主用空调单独运行时应能保证机房温度保持在21±3规定范围内； 3. 配有防火、防潮、防尘、防盗、防磁、防鼠等设施，安装监视系统和门禁系统，宜安装环境监控系统和设备监控系统；4. 防雷、接地达到国家标准要求并每年进行年检5. 配置应急照明装置；5.1.10 机房供电系统应达到以下要求：1. 有单独的配电柜和独立于一般照明电的专用供配电线路，配电容量有一定余量，采用双路供电或配备发电机； 2. UPS采用1+1冗余并联或两路UPS回路供电，容量至少满足关键设备在开市期间断电情况下的运行要求，设备供电能在不间断电源和市电间手工切换。第二节 运行维护及操作安全管理5.2.1 系统日常运行管理5.2.1.1 制定规范化的日常操作流程，并根据具体情况对日常操作流程进行补充、细化。规范操作，认真填写工作记录，关键操作使用复核机制；5.2.1.2建立完善的监控体系，对信息系统的运行环境、运行状况等进行实时监控和事后分析，并提供多种报警手段；5.2.1.2 按时认真巡视系统并填写系统运行日志，作到每日一页、每月一册、月末交资料员保管。5.2.1.3 电脑管理岗位人员必须按日结清算操作规程配合清算员完成日结清算，不得充任清算员从事日结清算工作。5.2.1.4 严禁在生产环境进行未经批准的操作；5.2.1.5 不得允许无关人员进入系统，其他单位人员（软件供应商）因工作需要进入系统时，必须有本部电脑人员在旁监督。5.2.1.6新的信息系统上线必须经过严格测试，确保新系统与在线系统不存在不兼容现象；需评估系统上线风险点，在各个风险点做好应急和备份计划，确保系统上线万无一失。5.2.2 密码管理5.2.2.1 系统密码只能由系统管理员掌握，数据库密码由数据库管理员与他人分段掌握，系统密码与数据库密码不得由同一人掌握。 5.2.2.2密码长度及其构成按行业要求执行（12位，码必须由字符、数字、符号混合构成）,禁止使用空密码。5.2.2.3密码定期或不定期更换（不得超过一月），重要密码修改后，要填写信息系统重要密码修改表备案封存。5.2.2.4 所有操作人员使用自己标识和密码操作，严禁操作人员泄漏密码。5.2.2.4用户对密码的安全性负责，将密码告知他人或因密码泄露产生的一切操作均视为用户自己的操作。5.2.2.6严禁任何人盗用密码，如有违反，一经查实，将从严处理。5.2.2.7用户在获得自己的用户密码后，应立即修改，并将其妥善保管和使用，防止他人非法拷贝。5.2.3 用户管理5.2.3.1 根据用户岗位和权限不同，以及所操作的软、硬件的不同，分类为一般用户、操作员用户、授权用户和管理员用户，各负其责，不得交互使用；各级管理员应定期或不定期检查和管理各用户的用户名设置和更新。5.2.3.2新开用户需经理批准，不使用缺省用户。5.2.3.4用户在跨部门调动或离开公司时，部门系统管理员应及时通知公司相关部门，对所赋予的各级权限和密码进行及时的调整和删除，并作文档记录。5.2.3.4 要及时清理多余用户，超过三个月未用的用户要设置为禁止状态或收回所有权限或予于删除。5.2.3.5 柜台系统中有重要操作权限的操作员必须限制其可操作的计算机。5.2.3.6 重要的系统用户必须限制其登录站点、时间，并使用密码登录，同时必须限制密码试探次数。5.2.4权限管理5.2.4.1 各岗位操作权限按需要严格遵循最小化原则设置。5.2.4.2 系统用户必须严格设置访问权限并定期检查（每月一次）。5.2.4.3 系统员每月定期对操作人员操作权限、系统用户权限，站点权限进行检查。5.2.5系统安全管理5.2.5.1 信息技术中心负责制定统一的安全策略、安全管理制度，审核和实施信息系统安全保护和安全防范技术方案，并定期或不定期进行信息系统安全检查，发现问题，督促解决；5.2.5.2系统管理员、数据库管理员、网络管理员必须按安全与审计设置标准规定对系统安全策略设置作出正确的设置，并作好配置的纸面记录，将其作为重要技术档案管理。并每月定期对相关的设置进行检查。5.2.5.4系统安全管理实行分层次管理, 可将网络路由器、网络交换机、防火墙、入侵检测产品等其它网络硬件设备所涉及的用户和密码定义为一个层次；将网络服务器、重要网络管理监控终端和工作站等定义为另一个层次，分别用策略来管理。5.2.5.5应严格坚持三分离原则，前后台分离、数据与网络分离、技术与业务分离,信息技术人员要专岗专责，不得兼任业务职务，也不得由业务人员兼任信息技术人员。5.2.6审计管理5.2.6.1公司信息技术中心、各营业部设立系统审计岗位、系统审计员和系统管理员不得由同一人担当；公司信息技术中心设数据库审计岗位，数据库审计员和数据库管理员不得由同一人担当。5.2.6.2审计员和数据库审计员必须按信息技术中心制定的审计标准开启、配置审稽，并将审计逐步调整到最佳状态,并将配置做纸面存档。5.2.6.3审计员应当每周对审计配置进行定期检查。5.2.6.4审计员应当每天浏览审计内容，发现异常情况及时向公司总部报告。5.2.6.5审计员应当经常检查系统是否有足够的空间存储采集的审稽数据,每周存档、删除审稽文件，并将存档的审计文件备份到不可更改介质上。5.2.6.6审计员每半年或一年应当对备份的审计数据做可读性、正确性、完整性检查。5.2.7 工作站管理5.2.7.1 机房外工作站必须屏蔽异常中断功能，客户区工作站必须以菜单方式供客户使用。5.2.7.2重要岗位机器必须加开机密码，密码定期更换，交系统管理员备查。5.2.7.3 机房外业务使用有盘工作站（特别是柜面系统有盘工作站）由系统管理员掌握管理员密码，系统管理员为工作人员另行创建工作站使用用户，该用户只赋予普通用户权限，不得拥有更改该工作站系统设置的权限。5.2.8 电脑人员值班管理5.2.8.1 实行值班制度，保障系统稳定运行，避免事故发生。5.2.8.2 值班时间为（夜晚值班）17：00以后至清算完成。在值班期间，不得擅离岗位，因事请假将换班事宜上报部门主管,征的同意后方可换班。5.2.8.3值班人员应自觉维护办公区和机房的安全。5.2.8.4值班人员下班时应检查确认系统、网络自动监控程序处于正常运行状态，保证系统处于24小时实时监控之中。并关闭办公区内无关工作的电灯、空调、电脑等用电设备。5.2.8.5值班人员应自觉加强安全意识，值班期间不准带无关人员进入公司办公区，严禁带无关人员进入机房。5.2.8.6值班人员应对值班时间内发生事件在值班日志中作详细记录。对较为重大的事件应以书面形式报部门领导，重大事件应及时报部门领导。第三节 木马、病毒检测及防范5.3.1计算机安全及病毒防范管理员统一组织和实施网络的计算机病毒防范工作，营业部可由系统管理员兼计算机木马、病毒防范岗。于每周及病毒发作敏感日前，升级特征库，对系统进行木马、病毒查杀。5.3.2 计算机病毒防范工作负责人要掌握常见计算机木马、病毒的防护处理知识和必要的技术技能，了解当前计算机木马、病毒的流行发病趋势和有效对策，及时更新、升级防毒软件。5.3.3 使用经过有关计算机安全产品管理认证机关许可的正版防木马、病毒软件，作为木马、病毒防范工具。5.3.4 在公司业务网、办公网分别部署企业级防木马、病毒软件，统一获取升级程序和最新病毒定义码并分发到网内各计算机，并将更新情况形成日志文件；5.3.5 一般站点应采取实时扫描机制。服务器、重要站点可以使用手工扫描机制，禁止在交易时间内对服务器、重要站点进行全面木马、病毒扫描，以免因占用系统资源，引起系统性能和稳定性下降。5.3.6 对服务器、重要站点进行病毒库升级时，应先测试通过后再进行升级,防止因误杀、冲突等原因引发事故；5.3.7 对新上线的设备必须在接入运行网络前安装防木马、杀毒软件，并进行一次全面扫描检测。进网计算机及程序安装前必须进行木马、病毒例行检查。5.3.8 发现木马、病毒要及时处理，填写书面报告作为资料存档，并向上级或有关部门报告本部门计算机木马、病毒的发生及处理情况。5.3.9 严格控制用户的网络使用权限，对使用频繁或重要文件的属性加以控制，以控制传染范围，减少病毒扩散的机会。5.3.10 U盘必须做到专网专用，关闭USB自动运行功能，业务网内非机房有盘站不安装光驱和软驱并关闭USB接口。5.3.11 远程传送数据时，不得传送自解压数据。5.3.12 上Internet网的计算机不得直接业务网络连接。5.3.13 定期备份系统软件、应用程序、重要数据。5.3.14 密切注意计算机配置参数及运行状况，发生异常及时作出判断并处理。第四节 漏洞检测、修补及系统补丁5.4.1计算机安全及病毒防范管理员统一组织和实施扫描并修补漏洞的工作，于每月定期对系统漏洞进行检测、修补及给系统打补丁。5.4.1.1系统管理员负责实施操作系统漏洞扫描及修补工作。5.4.1.2数据库管理员负责实施数据库漏洞扫描及修补工作