一、各證券經(jīng)營機(jī)構(gòu)要充分認(rèn)識實施《規(guī)范》的必要性和重要性，各單位主要負(fù)責(zé)人要認(rèn)真組織學(xué)習(xí)，親自抓《規(guī)范》的實施落實工作。

　二、《規(guī)范》適用于依法成立的證券經(jīng)營機(jī)構(gòu)。已制定的地方性管理規(guī)定及各證券經(jīng)營機(jī)構(gòu)內(nèi)部規(guī)章制度須根據(jù)本《規(guī)范》作相應(yīng)修訂。

　三、本《規(guī)范》從發(fā)布之日起實施，工作分兩個階段進(jìn)行：第一階段，今年上半年要根據(jù)《規(guī)范》要求，建立健全內(nèi)部管理制度和組織機(jī)構(gòu)；第二階段，１９９９年６月３０日前要完成更新與調(diào)試營業(yè)部信息系統(tǒng)軟、硬件工作，達(dá)到《規(guī)范》要求。各證券經(jīng)營機(jī)構(gòu)要結(jié)合本單位實際安排好工作進(jìn)度。

　四、本《規(guī)范》將納入證券經(jīng)營機(jī)構(gòu)年檢范圍，對不符合《規(guī)范》要求的營業(yè)部，中國證監(jiān)會將要求其限期整改，并追究該證券經(jīng)營機(jī)構(gòu)及其營業(yè)部主要領(lǐng)導(dǎo)者的責(zé)任。

　五、年內(nèi)中國證監(jiān)會將組織檢查落實情況，并適時安排培訓(xùn)和技術(shù)交流。

　　　　　　 證券經(jīng)營機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行）

　　　　　　　　　　　　　　　　目　　錄

目錄
第一章　總則
　　第一節(jié)　目標(biāo)
　　第二節(jié)　原則
　　第三節(jié)　制定與實施
第二章　管理體系
　　第一節(jié)　組織結(jié)構(gòu)
　　第二節(jié)　人員管理
　　第三節(jié)　安全管理
　　第四節(jié)　技術(shù)資料管理
第三章　硬件設(shè)施
　　第一節(jié)　計算機(jī)機(jī)房
　　第二節(jié)　遠(yuǎn)程通信
　　第三節(jié)　計算機(jī)設(shè)備
　　第四節(jié)　局域網(wǎng)絡(luò)
　　第五節(jié)　電子交易設(shè)備
　　第六條　設(shè)備管理
第四章　軟件環(huán)境
　　第一節(jié)　系統(tǒng)軟件
　　第二節(jié)　應(yīng)用軟件
　　第三節(jié)　軟件管理
第五章　數(shù)據(jù)管理
　　第一節(jié)　交易業(yè)務(wù)數(shù)據(jù)
　　第二節(jié)　系統(tǒng)數(shù)據(jù)
第六章　技術(shù)事故的防范與處理
　　第一節(jié)　技術(shù)事故及其防范
　　第二節(jié)　技術(shù)事故的處理

　　　　　　　　　　　　　　第一章　總則

　第一節(jié)　目標(biāo)
　　１．１．１　最大程度地防范技術(shù)操作風(fēng)險，保護(hù)投資者利益，維護(hù)證券經(jīng)營機(jī)構(gòu)的合法權(quán)益，促進(jìn)證券市場健康發(fā)展。
　　１．１．２　充分吸收國外先進(jìn)經(jīng)驗和國內(nèi)計算機(jī)信息技術(shù)應(yīng)用成果，推動信息系統(tǒng)建設(shè)與技術(shù)管理水平的協(xié)調(diào)發(fā)展，提高證券行業(yè)的整體技術(shù)水平。
　　１．１．３　指導(dǎo)證券經(jīng)營機(jī)構(gòu)下屬證券營業(yè)部（以下簡稱營業(yè)部）加強(qiáng)計算機(jī)信息系統(tǒng)的優(yōu)化建設(shè)和安全管理，加強(qiáng)計算機(jī)信息技術(shù)人員的管理，防止數(shù)據(jù)遺失、損壞、篡改、泄漏，提高系統(tǒng)運行的安全性、可靠性與穩(wěn)定性。

　第二節(jié)　原則
　　１．２．１　安全性原則。營業(yè)部在信息系統(tǒng)的設(shè)計、開發(fā)、運行、維護(hù)各環(huán)節(jié)和硬件、軟件、網(wǎng)絡(luò)通訊、數(shù)據(jù)、管理制度各方面，都必須貫徹安全性原則。應(yīng)當(dāng)把安全措施落實到信息技術(shù)管理的每個環(huán)節(jié)、每個方面；應(yīng)當(dāng)使從業(yè)人員牢固樹立技術(shù)風(fēng)險的防范意識。
　　１．２．２　實用性原則。營業(yè)部應(yīng)當(dāng)加強(qiáng)信息技術(shù)管理，注重采用先進(jìn)成熟技術(shù)。在確保系統(tǒng)安全的前提下，力求避免因不切實際地提高系統(tǒng)安全級別而造成投資浪費；避免因引用任何未經(jīng)消化吸收的境外安全保密技術(shù)和設(shè)備而對信息技術(shù)管理造成消極影響。
　　１．２．３　可操作性原則。信息技術(shù)管理規(guī)范必須具有可操作性。營業(yè)部根據(jù)本規(guī)范細(xì)化與完善其信息技術(shù)管理制度時，也應(yīng)當(dāng)力求簡單明確，便于對照檢查，便于操作。

　第三節(jié)　制定與實施
　　１．３．１　根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》及有關(guān)規(guī)定，結(jié)合我國證券業(yè)具體情況，制定本規(guī)范。
　　１．３．２　本規(guī)范由中國證券監(jiān)督管理委員會發(fā)布和監(jiān)督實施。
　　１．３．３　本規(guī)范原則上每兩年修訂一次。
　　１．３．４　本規(guī)范由中國證券監(jiān)督管理委員會負(fù)責(zé)解釋。

　　　　　　　　　　　　　第二章　管理體系

　第一節(jié)　組織結(jié)構(gòu)
　　２．１．１　各證券經(jīng)營機(jī)構(gòu)計算機(jī)信息技術(shù)工作必須實行統(tǒng)一歸口管理，建立健全組織機(jī)構(gòu)。證券經(jīng)營機(jī)構(gòu)應(yīng)設(shè)立計算機(jī)信息系統(tǒng)管理部門（以下稱電腦中心），營業(yè)部相應(yīng)設(shè)立計算機(jī)工作管理部門（以下稱電腦部）。
　　２．１．２　電腦中心是證券經(jīng)營機(jī)構(gòu)信息系統(tǒng)規(guī)劃、建設(shè)、管理的主管部門。電腦中心內(nèi)部應(yīng)建立職責(zé)明確、相互制約的分工體系，可設(shè)置運行、開發(fā)、管理等工作部門。電腦中心的主要職能是：
　　（１）負(fù)責(zé)制定與信息系統(tǒng)相關(guān)的規(guī)章制度；
　　（２）負(fù)責(zé)信息系統(tǒng)建設(shè)的總體規(guī)劃并組織實施；
　　（３）根據(jù)證券經(jīng)營機(jī)構(gòu)業(yè)務(wù)目標(biāo)與計劃制定計算機(jī)工作計劃并組織實施；
　　（４）審核營業(yè)部電腦負(fù)責(zé)人的任職資格；
　　（５）負(fù)責(zé)信息技術(shù)人員的培訓(xùn)與考核；
　　（６）負(fù)責(zé)計算機(jī)硬件與軟件的選型；
　　（７）審核計算機(jī)硬件設(shè)備的購置、報損、報廢；
　　（８）負(fù)責(zé)計算機(jī)軟件的開發(fā)與購買；
　　（９）保障信息系統(tǒng)安全運行，為營業(yè)部提供技術(shù)支持；
　　（１０）負(fù)責(zé)交易業(yè)務(wù)數(shù)據(jù)及其它重要數(shù)據(jù)的備份管理；
　　（１１）負(fù)責(zé)技術(shù)資料的管理；
　　（１２）負(fù)責(zé)對營業(yè)部的信息系統(tǒng)進(jìn)行定期或不定期的專項檢查；
　　（１３）指導(dǎo)和監(jiān)督電腦部工作；
　　（１４）跟蹤研究信息技術(shù)的發(fā)展；
　　（１５）公司授權(quán)的其它管理職能。
　　２．１．３　電腦部負(fù)責(zé)本營業(yè)部信息系統(tǒng)日常的運行、管理與維護(hù)。電腦部在技術(shù)上接受電腦中心的管理、指導(dǎo)和考核。電腦部的主要職能是：
　　（１）負(fù)責(zé)本營業(yè)部信息系統(tǒng)的安全運行。開市之前做好系統(tǒng)的運行準(zhǔn)備工作，開市期間實時監(jiān)控系統(tǒng)的運行狀況，收市以后配合清算員完成日結(jié)清算等盤后工作；
　　（２）及時處理證券交易所及有關(guān)部門播發(fā)的涉及信息系統(tǒng)運行的數(shù)據(jù)與文件；
　　（３）負(fù)責(zé)對本營業(yè)部業(yè)務(wù)人員進(jìn)行計算機(jī)操作指導(dǎo)，協(xié)助電腦中心對有關(guān)業(yè)務(wù)人員進(jìn)行技術(shù)培訓(xùn)；
　　（４）完整、準(zhǔn)確地記錄信息系統(tǒng)的運行日志，詳細(xì)記載發(fā)生異常時的現(xiàn)象、時間、處理方式等內(nèi)容并妥善保存有關(guān)原始資料，發(fā)生技術(shù)事故及時報告；
　　（５）負(fù)責(zé)計算機(jī)硬件設(shè)備的管理和維護(hù)，保持系統(tǒng)處于良好的運行狀態(tài)；
　　（６）負(fù)責(zé)交易業(yè)務(wù)數(shù)據(jù)及其它重要數(shù)據(jù)的備份；
　　（７）根據(jù)營業(yè)部業(yè)務(wù)發(fā)展的要求，提交軟件需求報告及硬件采購計劃；
　　（８）編制營業(yè)部計算機(jī)設(shè)備的維修、報損、報廢計劃，報電腦中心審核；
　　（９）處理經(jīng)電腦中心核準(zhǔn)的其它事務(wù)。

　第二節(jié)　人員管理
　　２．２．１　為保障信息系統(tǒng)的開發(fā)與運行管理質(zhì)量，證券經(jīng)營機(jī)構(gòu)營業(yè)部信息技術(shù)人員編制應(yīng)不少于總?cè)藬?shù)的百分之十。
　　２．２．２　信息技術(shù)人員應(yīng)具備大專以上學(xué)歷，具有計算機(jī)基礎(chǔ)理論知識和專業(yè)技術(shù)經(jīng)驗，較強(qiáng)的業(yè)務(wù)工作能力和再學(xué)習(xí)能力、良好的職業(yè)道德和服務(wù)意識，富有敬業(yè)精神和團(tuán)隊合作精神。
　　２．２．３　禁止錄用有犯罪或其他嚴(yán)重違法行為記錄的人員從事證券行業(yè)計算機(jī)工作。
　　２．２．４　關(guān)鍵技術(shù)崗位必須經(jīng)過嚴(yán)格考核，合格后方可上崗。
　　２．２．５　電腦中心應(yīng)配合人事部門定期對信息技術(shù)人員進(jìn)行考核。
　　２．２．６　定期對信息技術(shù)人員進(jìn)行業(yè)務(wù)培訓(xùn)和技術(shù)培訓(xùn)，不合格或未參加培訓(xùn)者嚴(yán)禁上崗。
　　２．２．７　營業(yè)部電腦負(fù)責(zé)人之間應(yīng)定期或不定期輪換。
　　２．２．８　離崗人員必須嚴(yán)格辦理離崗手續(xù)，明確其離崗后的保密義務(wù)，退還全部技術(shù)資料。信息系統(tǒng)的口令必須立即更換。

　第三節(jié)　安全管理
　　２．３．１　建立計算機(jī)安全管理組織，證券經(jīng)營機(jī)構(gòu)要指定一職能部門負(fù)責(zé)公司及所屬營業(yè)部的計算機(jī)安全管理。由公司總經(jīng)理（總裁）主管計算機(jī)安全工作，營業(yè)部負(fù)責(zé)人為營業(yè)部計算機(jī)安全工作責(zé)任人。
　　２．３．２　計算機(jī)安全管理組織的主要任務(wù)是：制定計算機(jī)安全管理制度，廣泛開展計算機(jī)安全教育，定期或不定期進(jìn)行計算機(jī)安全檢查，保證計算機(jī)系統(tǒng)安全運行。
　　２．３．３　計算機(jī)安全管理的主要內(nèi)容包括安全防范設(shè)施和安全保障機(jī)制，以有效降低系統(tǒng)風(fēng)險和操作風(fēng)險，預(yù)防不法分子利用計算機(jī)作案。
　　２．３．４　建立計算機(jī)機(jī)房安全管理制度
　　（１）建立完整的計算機(jī)運行日志、操作記錄及其它與安全有關(guān)的資料；
　　（２）交易時間內(nèi)機(jī)房必須有當(dāng)班值班人員；
　　（３）定期檢查安全保障設(shè)備，確保其處于正常工作狀態(tài)；
　　（４）建立并嚴(yán)格執(zhí)行機(jī)房進(jìn)出管理制度，無關(guān)人員未經(jīng)安全責(zé)任人批準(zhǔn)嚴(yán)禁進(jìn)出機(jī)房；
　　（５）嚴(yán)禁易燃易爆和強(qiáng)磁物品及其它與機(jī)房工作無關(guān)的物品進(jìn)入機(jī)房。
　　２．３．５　建立操作安全管理制度
　　（１）應(yīng)采取嚴(yán)密的安全措施防止無關(guān)用戶進(jìn)入系統(tǒng)；
　　（２）數(shù)據(jù)庫管理系統(tǒng)的口令必須由電腦中心專人掌管，并要求定期更換。禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令；
　　（３）操作人員應(yīng)有互不相同的用戶名，定期更換操作口令。嚴(yán)禁操作人員泄露自己的操作口令；
　　（４）必須啟用系統(tǒng)軟件提供的安全審計留痕功能；
　　（５）各崗位操作權(quán)限要嚴(yán)格按崗位職責(zé)設(shè)置。應(yīng)定期檢查操作員的權(quán)限；
　　（６）重要崗位的登錄過程應(yīng)增加必要的限制措施；
　　（７）營業(yè)部計算機(jī)信息技術(shù)人員不得擔(dān)任清算員從事結(jié)算記帳工作；
　　（８）建立和完善技術(shù)監(jiān)管系統(tǒng)，定期進(jìn)行獨立的對帳，核對交易數(shù)據(jù)、清算數(shù)據(jù)、保證金數(shù)據(jù)、證券托管數(shù)據(jù)以及會計數(shù)據(jù)的一致性和連續(xù)性。
　　（９）對數(shù)據(jù)備份和審計記錄建立定期查驗制度。
　　２．３．６建立計算機(jī)病毒防范制度
　　（１）電腦中心應(yīng)指定專人負(fù)責(zé)計算機(jī)病毒防范工作。電腦部應(yīng)定期進(jìn)行病毒檢測，發(fā)現(xiàn)病毒立即處理并報告；
　　（２）新系統(tǒng)安裝前應(yīng)進(jìn)行病毒例行檢測；
　　（３）經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認(rèn)無病毒后方可使用；
　　（４）禁止運行未經(jīng)電腦中心審核批準(zhǔn)的軟件；
　　（５）應(yīng)采用國家許可的正版防病毒軟件并及時更新軟件版本。

　第四節(jié)　技術(shù)資料管理
　　２．４．１　技術(shù)資料是指與信息系統(tǒng)有關(guān)的技術(shù)文件、圖表、程序與數(shù)據(jù)，包括信息系統(tǒng)建設(shè)規(guī)劃、網(wǎng)絡(luò)設(shè)計方案、軟件設(shè)計方案、安全設(shè)計方案、源代碼、系統(tǒng)配置參數(shù)、技術(shù)數(shù)據(jù)及相關(guān)技術(shù)資料。
　　２．４．２　各級管理機(jī)構(gòu)應(yīng)制定技術(shù)資料的管理制度，明確執(zhí)行管理制度的責(zé)任人。
　　２．４．３　借閱、復(fù)制技術(shù)資料應(yīng)履行必要的手續(xù)。
　　２．４．４　重要技術(shù)資料應(yīng)有副本并異地存放。
　　２．４．５　技術(shù)資料應(yīng)實施密期管理辦法。
　　２．４．６　報廢的技術(shù)資料應(yīng)有嚴(yán)格的銷毀和監(jiān)銷制度。

　　　　　　　　　　　　　第三章　硬件設(shè)施

　第一節(jié)　計算機(jī)機(jī)房
　　３．１．１　計算機(jī)機(jī)房建設(shè)應(yīng)符合國標(biāo)ＧＢ２８８７－８９《計算機(jī)場地技術(shù)條件》和ＧＢ９３６１－８８《計算站場地安全要求》。
　　３．１．２　供電系統(tǒng)
　　（１）機(jī)房應(yīng)有單獨的配電柜，計算機(jī)系統(tǒng)要設(shè)有獨立于一般照明電的專用的供配電線路，其容量應(yīng)有一定的余量，建議采用雙路供電；
　　（２）機(jī)房應(yīng)配備不間斷電源設(shè)備，其容量應(yīng)保證機(jī)房設(shè)備和關(guān)鍵交易設(shè)備在斷電情況下維持到后備電源供電。無備用發(fā)電機(jī)時，不間斷電源設(shè)備應(yīng)能夠持續(xù)供電４小時以上。
　　３．１．３　接地與防雷系統(tǒng)
　　（１）機(jī)房應(yīng)采用獨立的工作地和防雷保護(hù)地。工作地和防雷保護(hù)地之間的距離應(yīng)大于１０米；
　　（２）工作地的接地電阻應(yīng)小于４歐姆，防雷保護(hù)地的接地電阻應(yīng)小于１０歐姆；
　　（３）各類通信線路和設(shè)備宜增加相應(yīng)的防雷設(shè)施。
　　３．１．４　機(jī)房環(huán)境
　　（１）機(jī)房的使用面積（不包括不間斷電源放置面積）不得小于３０平方米；
　　（２）機(jī)房的操作間與設(shè)備間應(yīng)作分隔，布局應(yīng)有良好的人機(jī)工作環(huán)境，保障工作人員的安全與健康；
　　（３）機(jī)房宜安裝獨立空調(diào)設(shè)備；
　　（４）機(jī)房應(yīng)有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施；
　　（５）機(jī)房應(yīng)配置備用應(yīng)急照明裝置。

　第二節(jié)　遠(yuǎn)程通信
　　３．２．１　證券經(jīng)營機(jī)構(gòu)與所屬營業(yè)部之間必須建立可靠的通信線路聯(lián)接。
　　３．２．２　營業(yè)部與交易所之間的通信聯(lián)接必須安全可靠。
　　３．２．３　重要通信線路必須建立后備線路。
　　３．２．４　通信線路接口部分應(yīng)采取防止非法進(jìn)入的安全措施。
　　３．２．５　通信設(shè)備應(yīng)具有防干擾、防截取能力，具有加密傳輸功能。
　　３．２．６　通信設(shè)備應(yīng)建立設(shè)備備份。

　第三節(jié)　計算機(jī)設(shè)備
　　３．３．１　服務(wù)器
　　（１）服務(wù)器應(yīng)具有充分的可靠性和充足的容量；
　　（２）服務(wù)器應(yīng)具有一定的容錯特性，宜采用鏡像、陣列、雙機(jī)、群集等容錯技術(shù)；
　　（３）服務(wù)器應(yīng)有備品備件。
　　３．３．２　工作站
　　（１）工作站應(yīng)具有良好的性能及可靠性；
　　（２）除計算機(jī)機(jī)房外，一律使用無軟驅(qū)或光驅(qū)等可卸存儲裝置的網(wǎng)絡(luò)工作站；
　　（３）重要工作站應(yīng)有冗余備份。
　　３．３．３　數(shù)據(jù)存儲設(shè)備
　　（１）應(yīng)配備安全可靠的數(shù)據(jù)備份設(shè)備；
　　（２）交易業(yè)務(wù)數(shù)據(jù)的存儲應(yīng)采用只讀式數(shù)據(jù)記錄設(shè)備。

　第四節(jié)　局域網(wǎng)絡(luò)
　　３．４．１　布線系統(tǒng)設(shè)計可參照ＣＥＣＳ７２：９７《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范》。在現(xiàn)行技術(shù)條件下，不宜繼續(xù)使用同軸細(xì)纜。
　　３．４．２　網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)合理可靠。
　　３．４．３　網(wǎng)絡(luò)設(shè)備應(yīng)兼具技術(shù)先進(jìn)性和產(chǎn)品成熟性。
　　３．４．４　網(wǎng)絡(luò)設(shè)備應(yīng)有冗余備份。
　　３．４．５　通信速率應(yīng)保證正常業(yè)務(wù)開展的需要。

　第五節(jié)　電子交易設(shè)備
　　３．５．１　營業(yè)部配備的電子交易系統(tǒng)必須達(dá)到一定的安全級別。
　　３．５．２　客戶操作電子交易設(shè)備應(yīng)有嚴(yán)格的身份識別機(jī)制。
　　３．５．３　應(yīng)采取適當(dāng)措施，保證設(shè)備完好率不低于百分之九十。
　　３．５．４　各種形式的遠(yuǎn)程交易系統(tǒng)必須采取嚴(yán)格的安全措施。
　　３．５．５　營業(yè)部交易場所應(yīng)配備行情揭示設(shè)備，完整、準(zhǔn)確、及時地顯示行情信息。

　第六節(jié)　設(shè)備管理
　　３．６．１　電腦中心統(tǒng)一管理證券經(jīng)營機(jī)構(gòu)及下屬營業(yè)部的計算機(jī)設(shè)備。
　　３．６．２　計算機(jī)設(shè)備的選型、購置、登記、保養(yǎng)、維修、報廢等必須嚴(yán)格按規(guī)定手續(xù)辦理，重大設(shè)備應(yīng)建立維護(hù)檔案。
　　３．６．３　選用的計算機(jī)設(shè)備必須經(jīng)過技術(shù)論證，符合國家有關(guān)標(biāo)準(zhǔn)的規(guī)定，滿足可靠性與兼容性要求。
　　３．６．４　新購置的設(shè)備應(yīng)經(jīng)過測試，測試合格后方能投入使用。
　　３．６．５　必須定期對計算機(jī)設(shè)備進(jìn)行專業(yè)維護(hù)保養(yǎng)。
　　３．６．６　未經(jīng)電腦中心或電腦部許可，不得擅自開拆設(shè)備或調(diào)換設(shè)備配件。

　　　　　　　　　　　　　第四章　軟件環(huán)境

　第一節(jié)　系統(tǒng)軟件
　　４．１．１　營業(yè)部使用的系統(tǒng)軟件主要包括操作系統(tǒng)軟件和數(shù)據(jù)庫管理軟件。系統(tǒng)軟件的選用應(yīng)充分考慮軟件的安全性、可靠性、穩(wěn)定性和健壯性。
　　４．１．２　應(yīng)使用正版軟件。
　　４．１．３　系統(tǒng)軟件應(yīng)具備如下功能：
　　（１）身份驗證功能，防止非法用戶隨意進(jìn)入系統(tǒng)；
　　（２）訪問控制功能，防止系統(tǒng)中出現(xiàn)越權(quán)訪問；
　　（３）故障恢復(fù)功能，能夠自動或在人工干預(yù)下從故障狀態(tài)恢復(fù)到正常狀態(tài)而不致造成系統(tǒng)混亂和數(shù)據(jù)丟失；
　　（４）安全保護(hù)功能，對信息的交換、傳輸、存儲提供安全保護(hù)；
　　（５）安全審計功能，便于應(yīng)用系統(tǒng)建立訪問用戶資源的審計記錄；
　　（６）分權(quán)制約功能，支持對操作員和管理員的權(quán)限分離與相互制約。
　　４．１．４　必須啟用系統(tǒng)軟件提供的安全審計留痕功能。
　　４．１．５　系統(tǒng)軟件應(yīng)達(dá)到Ｃ２級以上（含Ｃ２級）安全級別。
　　４．１．６　數(shù)據(jù)庫管理軟件除上述功能要求外，還應(yīng)具有數(shù)據(jù)庫的安全性、完整性、一致性及可恢復(fù)性保障機(jī)制。

　第二節(jié)　應(yīng)用軟件
　　４．２．１　營業(yè)部應(yīng)用軟件包括營業(yè)部證券交易業(yè)務(wù)處理系統(tǒng)、信息揭示與分析系統(tǒng)及其它業(yè)務(wù)處理系統(tǒng)等。
　　４．２．２　營業(yè)部交易業(yè)務(wù)處理系統(tǒng)必須具有如下特性：
　　（１）自動記錄全部操作過程；
　　（２）關(guān)鍵數(shù)據(jù)不得以明碼存放；
　　（３）無法繞過應(yīng)用界面直接查看或操作數(shù)據(jù)庫；
　　（４）系統(tǒng)管理與業(yè)務(wù)操作權(quán)限嚴(yán)格分開；
　　（５）防止異常中斷后非法進(jìn)入系統(tǒng)；
　　（６）提供超時鍵盤鎖定功能；
　　（７）交易業(yè)務(wù)數(shù)據(jù)在通信網(wǎng)絡(luò)上以加密方式傳輸；
　　（８）應(yīng)存儲一年以上完整的系統(tǒng)運行記錄與交易清算記錄；
　　（９）提供系統(tǒng)運行狀態(tài)監(jiān)控模塊；
　　（１０）提供數(shù)據(jù)接口，滿足稽核、審計及技術(shù)監(jiān)控的要求；
　　（１１）其它有助于控制業(yè)務(wù)操作風(fēng)險的功能特性。
　　４．２．３　信息揭示與分析系統(tǒng)必須保證信息揭示的完整、準(zhǔn)確、及時。

　第三節(jié)　軟件管理
　　４．３．１　應(yīng)用軟件在開發(fā)或購買之前應(yīng)正式立項，成立由技術(shù)人員、業(yè)務(wù)人員和管理人員共同組成的項目小組并建立軟件質(zhì)量保證體系。
　　４．３．２　根據(jù)應(yīng)用系統(tǒng)對安全的要求，同步進(jìn)行安全保密設(shè)計。
　　４．３．３　軟件開發(fā)過程應(yīng)符合ＧＢ／Ｔ８５６６－１９９５《信息技術(shù)軟件生存期過程》。
　　４．３．４　開發(fā)維護(hù)人員與操作人員必須實行崗位分離，開發(fā)環(huán)境和現(xiàn)場必須與生產(chǎn)環(huán)境和現(xiàn)場隔離。軟件設(shè)計方案、數(shù)據(jù)結(jié)構(gòu)、加密算法、源代碼等技術(shù)資料嚴(yán)禁流入生產(chǎn)現(xiàn)場、散失和外泄。
　　４．３．５　應(yīng)用軟件在正式投入使用前必須經(jīng)過內(nèi)部評審，確認(rèn)系統(tǒng)功能、測試結(jié)果和試運行結(jié)果均滿足設(shè)計要求，技術(shù)文檔齊全，并經(jīng)證券經(jīng)營機(jī)構(gòu)分管領(lǐng)導(dǎo)批準(zhǔn)。
　　４．３．６　應(yīng)規(guī)定軟件的使用范圍和使用權(quán)限。
　　４．３．７　軟件使用人員應(yīng)經(jīng)過適當(dāng)?shù)牟僮髋嘤?xùn)和安全教育。
　　４．３．８　建立應(yīng)用軟件的文檔管理制度、版本管理制度及軟件分發(fā)制度，防止軟件的盜用、誤用、流失及越權(quán)使用。
　　４．３．９　證券經(jīng)營機(jī)構(gòu)下屬營業(yè)部應(yīng)使用統(tǒng)一的系統(tǒng)軟件和應(yīng)用軟件。
　　４．３．１０　營業(yè)部信息技術(shù)人員不得擅自進(jìn)行軟件維護(hù)和系統(tǒng)參數(shù)調(diào)整。
　　４．３．１１　應(yīng)采取有效措施，防止對應(yīng)用軟件的非法修改。

　　　　　　　　　　　　　第五章　數(shù)據(jù)管理

　第一節(jié)　交易業(yè)務(wù)數(shù)據(jù)
　　５．１．１　交易業(yè)務(wù)數(shù)據(jù)主要包括交易數(shù)據(jù)、清算數(shù)據(jù)及其它相關(guān)數(shù)據(jù)。
　　５．１．２　應(yīng)建立交易業(yè)務(wù)數(shù)據(jù)管理制度，對交易業(yè)務(wù)數(shù)據(jù)實施嚴(yán)格的安全保密管理。
　　５．１．３　電腦中心設(shè)置數(shù)據(jù)庫管理員崗位，對交易業(yè)務(wù)數(shù)據(jù)實行專人管理。營業(yè)部信息技術(shù)人員不得擁有數(shù)據(jù)庫管理員操作口令。
　　５．１．４　營業(yè)部信息系統(tǒng)內(nèi)應(yīng)保存一年以上的交易業(yè)務(wù)數(shù)據(jù)。
　　５．１．５　電腦中心應(yīng)建立營業(yè)部交易業(yè)務(wù)數(shù)據(jù)映象并定期和不定期與營業(yè)部交易業(yè)務(wù)數(shù)據(jù)進(jìn)行核對，防止使用過程中產(chǎn)生誤操作或被非法篡改。
　　５．１．６　數(shù)據(jù)備份：
　　（１）每個工作日結(jié)束后必須制作數(shù)據(jù)的備份并異地存放，保證系統(tǒng)發(fā)生故障時能夠快速恢復(fù)；
　　（２）交易業(yè)務(wù)數(shù)據(jù)必須定期、完整、真實、準(zhǔn)確地轉(zhuǎn)儲到不可更改的介質(zhì)上，并要求集中和異地保存，保存期限至少２０年；
　　（３）備份的數(shù)據(jù)必須指定專人負(fù)責(zé)保管，由營業(yè)部計算機(jī)信息技術(shù)人員按規(guī)定的方法同數(shù)據(jù)保管員進(jìn)行數(shù)據(jù)的交接。交接后的備份數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或指定的場所保管；
　　（４）數(shù)據(jù)保管員必須對備份數(shù)據(jù)進(jìn)行規(guī)范的登記管理；
　　（５）備份數(shù)據(jù)不得更改；
　　（６）備份數(shù)據(jù)保管地點應(yīng)防火、防熱、防潮、防塵、防磁、防盜設(shè)施。
　　５．１．７　數(shù)據(jù)保密：
　　（１）數(shù)據(jù)不得泄露，禁止外借；
　　（２）數(shù)據(jù)應(yīng)僅用于明確規(guī)定的目的，未經(jīng)批準(zhǔn)不得它用；
　　（３）無正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得查閱客戶資料。經(jīng)正式批件查閱數(shù)據(jù)時必須登記，并由查閱人簽字；
　　（４）保密數(shù)據(jù)不得以明碼形式存儲和傳輸；
　　（５）根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定數(shù)據(jù)使用人員的存取權(quán)限、存取方式和審批手續(xù)。
　　５．１．８　交易業(yè)務(wù)數(shù)據(jù)不得隨意更改。

　第二節(jié)　系統(tǒng)數(shù)據(jù)
　　５．２．１　系統(tǒng)數(shù)據(jù)主要包括數(shù)據(jù)字典、權(quán)限設(shè)置、存貯分配、網(wǎng)絡(luò)地址、硬件配置及其它系統(tǒng)配置參數(shù)。
　　５．２．２　應(yīng)制定系統(tǒng)數(shù)據(jù)管理制度，對系統(tǒng)數(shù)據(jù)實施嚴(yán)格的安全與保密管理，防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。
　　５．２．３　設(shè)置系統(tǒng)管理員崗位，對系統(tǒng)數(shù)據(jù)實行專人管理。
　　５．２．４　系統(tǒng)數(shù)據(jù)不得泄露。
　　５．２．５　電腦中心應(yīng)保存營業(yè)部的系統(tǒng)數(shù)據(jù)，并定期進(jìn)行核對。

　　　　　　　　　　第六章　技術(shù)事故的防范與處理

　第一節(jié)　技術(shù)事故及其防范
　　６．１．１　技術(shù)事故是指由于硬件故障、軟件故障和操作失誤等原因引起系統(tǒng)無法運行，經(jīng)啟動備用系統(tǒng)仍未恢復(fù)正常，導(dǎo)致交易中斷并造成經(jīng)濟(jì)損失的事件。
　　６．１．２　技術(shù)事故的防范原則是：預(yù)防為主、處理及時，力爭把事故的損失降低到最小程度。
　　６．１．３　建立健全技術(shù)事故的防范對策，嚴(yán)格按本規(guī)范要求建設(shè)、管理信息系統(tǒng)的硬件設(shè)施和軟件環(huán)境，定期進(jìn)行事故防范演習(xí)，針對薄弱環(huán)節(jié)不斷改進(jìn)完善。
　　６．１．４　制定技術(shù)事故發(fā)生時的應(yīng)急計劃：
　　（１）應(yīng)急計劃必須形成文字；
　　（２）應(yīng)急計劃應(yīng)針對可能發(fā)生的故障制定緊急處理程序；
　　（３）緊急處理程序應(yīng)張貼在規(guī)定的地方；
　　（４）對執(zhí)行應(yīng)急計劃的全體人員進(jìn)行專項培訓(xùn)，定期進(jìn)行演習(xí)；
　　（５）根據(jù)演習(xí)結(jié)果不斷完善應(yīng)急計劃。

　第二節(jié)　技術(shù)事故的處理
　　６．２．１　下列情況營業(yè)部免責(zé)：
　　（１）因不可抗力引發(fā)的技術(shù)事故；
　　（２）因軟硬件故障導(dǎo)致的技術(shù)事故，經(jīng)技術(shù)專家論證，確認(rèn)營業(yè)部信息系統(tǒng)建設(shè)和管理符合本規(guī)范要求，確屬小概率或偶發(fā)性事件；
　　（３）因證券交易所原因?qū)е碌慕灰字袛唷?br/>　　６．２．２　因通信線路故障導(dǎo)致的技術(shù)事故，應(yīng)會同通信部門共同調(diào)查，界定責(zé)任。
　　６．２．３　因營業(yè)部操作失誤導(dǎo)致的技術(shù)事故，經(jīng)調(diào)查核實后，營業(yè)部負(fù)相關(guān)責(zé)任。
　　６．２．４　技術(shù)事故的事后處理：
　　（１）證券經(jīng)營機(jī)構(gòu)安全管理組織應(yīng)立即進(jìn)行事故調(diào)查，提出書面調(diào)查報告，必要時可組織有關(guān)專家鑒定，確定事故的原因和責(zé)任；
　　（２）對調(diào)查中發(fā)現(xiàn)的技術(shù)薄弱環(huán)節(jié)，應(yīng)限期整改。