一、要在認真組織學習《規(guī)范》的基礎上，全面了解和貫徹《指引》的要求，做到有效防范技術風險，提高安全水平。

　二、要根據(jù)《規(guī)范》及《指引》的要求，找出差距和不足，采取有效措施加以改進。

　三、中國證監(jiān)會將組織對《規(guī)范》及《指引》落實情況的檢查。對不符合要求的單位，將根據(jù)《關于證券經(jīng)營機構及其營業(yè)部做好信息系統(tǒng)檢查工作有關事宜的通知》（證監(jiān)信息字〔１９９９〕７號）和《關于強化證券經(jīng)營機構總部對所屬營業(yè)部信息系統(tǒng)安全檢查的通知》（證監(jiān)信息字〔１９９９〕１１號）等文件的規(guī)定，嚴肅處理。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　中國證監(jiān)會
　　　　　　　　　　　　　　　　　　　　　　　　　　一九九九年十一月三日
　　　　　　　　　　《證券經(jīng)營機構營業(yè)部信息系統(tǒng)技術
　　　　　　　　　　　 管理規(guī)范（試行）》技術指引

　　　　　　　　　　　第一章　管理體系技術指引

　　　　　　　　　　　　　第一節(jié)　組織結構

　一、電腦中心負責制定的與信息系統(tǒng)相關的規(guī)章制度（〔２．１．２（１）〕）至少應包括如下方面：
　　１、組織機構與人員管理；
　　２、安全管理（包括病毒防范）；
　　３、文檔資料管理；
　　４、數(shù)據(jù)管理；
　　５、硬件設備管理（包括相關設備強制更換）；
　　６、軟件管理；
　　７、網(wǎng)絡管理；
　　８、機房管理；
　　９、運行維護管理（包括操作安全管理）；
　　１０、技術事故防范與處理。
　　電腦中心還應編制涵蓋上述制度內容的工作手冊，并根據(jù)實際情況每年進行修訂。

　二、電腦中心審核營業(yè)部電腦負責人的任職資格（〔２．１．２（４）〕），包括對其進行必要的獎勵和懲罰。電腦負責人任職要專崗專責，不得由業(yè)務人員兼任，也不得兼任業(yè)務職務。

　三、電腦中心除為營業(yè)部提供技術支持外（〔２．１．２（９）〕），還應為本證券經(jīng)營機構的其它部門提供技術支持。

　四、電腦中心的數(shù)據(jù)管理職能（〔２．１．２（１０）〕）要求電腦中心要對數(shù)據(jù)實行集中管理，盡量做到異地實時備份。

　五、對營業(yè)部信息系統(tǒng)的定期檢查應為每年至少一次 （〔２．１．２（１２
）〕）。定期檢查為規(guī)范性檢查，不定期檢查為專項檢查，檢查必須有文字記錄。

　六、〔２．１．３（２）〕中的有關部門是指結算公司和證券通信公司。

　七、〔２．１．３（６）〕中的其它重要數(shù)據(jù)至少包括：服務器系統(tǒng)參數(shù)配置，主要網(wǎng)絡設備參數(shù)配置，通信設備參數(shù)配置，智能化電源、空調的參數(shù)配置，交易系統(tǒng)、通信軟件及其它應用軟件的參數(shù)配置等。

　八、電腦部在履行職能時（〔２．１．３〕），還要注意做好以下方面的工作：
　　１、強化安全意識，自覺遵守并監(jiān)督執(zhí)行安全制度的落實；
　　２、及時完成電腦中心布置的各項工作；
　　３、保持機房及配電房達到規(guī)定技術指標，并保持整潔；
　　４、負責計算機硬件、軟件、通信設備的管理與維護，建立技術檔案，保持系統(tǒng)處于良好的運行狀態(tài)；
　　５、負責營業(yè)部技術資料的保管與維護；
　　６、有條件的營業(yè)部應定期做好服務器的全系統(tǒng)備份。

　　　　　　　　　　　　　第二節(jié)　人員管理

　一、執(zhí)行對營業(yè)部信息技術人員編制規(guī)定（〔２．２．１〕）時應注意：營業(yè)部總人數(shù)少于２０人的，也要至少配備２名專職信息技術人員。

　二、〔２．２．４〕中的關鍵技術崗位至少包括電腦部全部工作人員崗位。

　三、電腦中心應強化對信息技術人員的管理職能（〔２．２．５〕），包括：
　　１、參與信息技術人員的招聘，并可行使否決權；
　　２、對信息技術人員進行必要的獎勵和懲罰；
　　３、對營業(yè)部信息技術人員每年至少進行一次技術培訓和考核，重新認定上崗資格；
　　４、有條件的證券經(jīng)營機構可實行垂直管理，直接確定電腦部的人員編制和收入等。

　四、對信息技術人員離崗應加強管理（〔２．２．８〕），至少達到如下要求：
　　信息技術人員離崗時必須嚴格辦理離崗手續(xù)，明確其離崗后的保密義務，退還全部技術資料，電腦中心必須派員監(jiān)督交接過程。新舊工作人員應共同工作不少于５個工作日，信息系統(tǒng)口令必須立即更換。

　　　　　　　　　　　　　第三節(jié)　安全管理

　一、計算機安全管理的保障機制（〔２．３．３〕）包括稽核監(jiān)控和安全合規(guī)獎懲等方面的內容。

　二、計算機機房安全管理制度中要求的值班人員（〔２．３．４（２）〕）必須是信息技術人員。

　三、〔２．３．５（３）〕中的“定期更換操作口令”是指至少每兩個月更換一次。

　四、〔２．３．５（８）〕中要求的技術監(jiān)管系統(tǒng)，應在電腦中心的統(tǒng)一規(guī)劃下建立，并與證券經(jīng)營機構的狀況相適應。

　五、〔２．３．５（８）〕中要求的“定期進行獨立的對帳”是為了防范業(yè)務風險而采取的計算機稽核手段。

　六、操作安全制度（〔２．３．５〕）在執(zhí)行中，應重視以下方面：
　　１、所有用戶的登錄必須具有屏蔽中斷功能；
　　２、新開用戶需經(jīng)嚴格審批；
　　３、冗余用戶要及時清理，超過三個月未使用過的用戶要設置為禁止使用狀態(tài)或刪除；
　　４、數(shù)據(jù)庫管理系統(tǒng)的系統(tǒng)管理員口令應由電腦中心集中管理，并于非軟件開發(fā)商的第三處封存保管。

　七、〔２．３．６（１）〕對病毒檢測的具體要求為：電腦部應指定專人負責計算機病毒防范工作，并至少每半個月及在已知敏感日期前夕，進行病毒檢測，發(fā)現(xiàn)病毒立即報告電腦中心病毒防范負責人，并在其指導下進行處理，同時詳細記錄病毒發(fā)作過程。

　　　　　　　　　　　　第四節(jié)　技術資料管理

　一、〔２．４．２〕中的各級管理機構是指電腦中心和電腦部。

　二、重要技術資料的管理必須嚴格（〔２．４．４〕）：
　　１、重要技術資料應有專人管理，專柜存放；
　　２、重要技術資料應有副本并異地存放。在條件允許時，應存放在銀行的保險箱內或其它符合要求的存放地點。

　　　　　　　　　　　第二章　配件設施技術指引

　　　　　　　　　　　　 第一節(jié)　計算機機房

　一、關于供電系統(tǒng)（〔３．１．２〕）的說明：
　　１、營業(yè)部供電方案可由下列方式構成：不間斷電源、備用發(fā)電機和雙路供電，及對以上方式的合理組合使用。如：單獨使用不間斷電源，不間斷電源和發(fā)電機配合使用，不間斷電源和雙路供電配合使用。其中雙路供電指通過不同變電所的電力線路進行供電；
　　２、備用供電系統(tǒng)容量和持續(xù)供電時間應保障機房設備和關鍵交易設備在斷電情況下能夠完成當天正常的交易；
　　３、不間斷電源應當定期維護保養(yǎng)，保證設備處于正常的工作狀態(tài)；
　　４、備用發(fā)電機應當定期啟動、檢測，保證停電時能正常發(fā)電；
　　５、機房的配電柜和不間斷電源插座應標識清楚。

　二、對機房消防的要求（〔３．１．４〕）：
　　１、機房必須安裝煙感和溫感報警器及必要的滅火裝置；
　　２、機房禁止使用水噴淋裝置；
　　３、機房應采用防火材料制作的機架或機柜。有條件的營業(yè)部可采用防火、防盜門，耐火墻體，阻燃無毒的電纜。

　　　　　　　　　　　　　第二節(jié)　遠程通信

　一、〔３．２．３〕要求的重要通信線路必須建立后備線路，至少包括：
　　１、營業(yè)部行情接收系統(tǒng)應有通信備份，主要方式有：
　　（１）上海行情接收可采用深圳證券交易所提供的上海證券交易所行情衛(wèi)星備份系統(tǒng)，或通過其他營業(yè)部進行接收等方式；
　　（２）深圳行情接收可采用深圳單、雙向衛(wèi)星、撥號及上海證券交易所提供的深圳證券交易所行情衛(wèi)星備份系統(tǒng)（在建），或通過其他營業(yè)部進行接收等方式。
　　２、營業(yè)部委托報盤系統(tǒng)應有通信備份，主要方式有：
　　（１）上海委托可采用上海證券交易所提供的雙向衛(wèi)星、ＤＤＮ、雙向衛(wèi)星撥號（在建）和上海證券交易所提供的公司內部席位連通備份報盤方式；
　　（２）深圳委托可采用深圳證券交易所提供的雙向衛(wèi)星、衛(wèi)星伙伴備份和地面撥號、ＤＤＮ等報盤方式。

　　　　　　　　　　　　 第三節(jié)　計算機設備

　一、執(zhí)行〔３．３．１〕對服務器的要求時，要注意：
　　１、行情服務器和交易服務器應有可靠的備份手段和備份系統(tǒng)（〔３．３．１（１）〕）；
　　２、服務器至少應做磁盤鏡像（〔３．３．１（２）〕）；
　　３、服務器應有充足的電源、內存、硬盤、網(wǎng)卡等備用器件（〔３．３．１（３）〕）。

　　　　　　　　　　　　　第四節(jié)　局域網(wǎng)絡

　一、〔３．４．４〕要求網(wǎng)絡設備應有冗余備份，主要包括：
　　１、營業(yè)部網(wǎng)絡的主交換機應有備份機，可做冷備份或熱備份；
　　２、網(wǎng)絡中的集線器和網(wǎng)卡都應有充足的備件。

　二、營業(yè)部未使用的信息點，在機房端應將相應網(wǎng)絡線從網(wǎng)絡設備上斷開，待使用該信息點時再接入。

　　　　　　　　　　　第三章　軟件環(huán)境技術指引

　　　　　　　　　　　　　第一節(jié)　系統(tǒng)軟件

　一、系統(tǒng)軟件主要包括操作系統(tǒng)軟件、數(shù)據(jù)庫管理系統(tǒng)軟件（〔４．１．１〕），此外，還包括網(wǎng)絡管理軟件、互聯(lián)網(wǎng)服務器軟件以及相應的防火墻軟件等。

　二、正版軟件（〔４．１．２〕）包括兩方面的含義：
　　１、有正式授權的軟件；
　　２、軟件的使用和安裝在該軟件的合法要求范圍內。

　三、〔４．１．４〕要求的必須啟用系統(tǒng)軟件提供的安全審計留痕功能，應做到對成交回報、與交易所接口數(shù)據(jù)庫和交易數(shù)據(jù)庫的修改，用戶的登錄與注銷等方面的審計。審計至少應記錄操作的用戶（或地址）、時間、具體操作及結果等信息。

　　　　　　　　　　　　　第二節(jié)　應用軟件

　一、〔４．２．２（２）〕所指的關鍵數(shù)據(jù)目前至少包括各種密碼、口令及標識項。

　二、在對交易業(yè)務數(shù)據(jù)進行異地備份傳輸（〔４．２．２（７）〕）時，必須采取數(shù)據(jù)加密的方式。

　　　　　　　　　　　　　第三節(jié)　軟件管理

　一、〔４．３．２〕要求的安全保密設計至少應包括使用應用系統(tǒng)的客戶與非客戶用戶的權限劃分，客戶密碼的保密使用方法，非客戶用戶的保密責任和嚴格分工，數(shù)據(jù)的安全記錄及存放，系統(tǒng)設計方案、數(shù)據(jù)結構以及程序源代碼和加密算法的保密等內容。

　二、〔４．３．５〕要求的內部評審必須有電腦中心的書面認可。

　三、軟件的使用范圍和使用權限（〔４．３．６〕）要嚴格按照管理體系中軟件管理的有關制度執(zhí)行。

　四、〔４．３．７〕 要求的操作培訓和安全教育包括兩方面的含義：
　　１、客戶用戶要達到熟悉軟件操作功能和對自己重要信息保密操作的要求；
　　２、非客戶用戶要達到熟悉并嚴格履行自己的職責，不進行越權、越級或非法操作的要求。

　五、營業(yè)部在進行軟件維護和系統(tǒng)參數(shù)調整時（〔４．３．１０〕），必須經(jīng)過營業(yè)部主管經(jīng)理或電腦部經(jīng)理的批準，對所有操作做出詳細的書面記錄并登記歸檔。

　六、防止對應用軟件的非法修改（〔４．３．１１〕），要從管理上和技術上采取措施。一方面要制定完善的制度并嚴格執(zhí)行，另一方面要在技術上采取措施，加強對可能的非法入侵手段的監(jiān)控與防范。

　　　　　　　　　　　第四章　數(shù)據(jù)管理技術指引

　　　　　　　　　　　　第一節(jié)　交易業(yè)務數(shù)據(jù)

　一、關于數(shù)據(jù)備份（〔５．１．６〕）的說明：
　　１、交易業(yè)務數(shù)據(jù)必須進行備份，備份介質可采用硬盤、光盤和磁帶等；
　　２、每個交易日的備份數(shù)據(jù)應異地保存，即將當天的備份數(shù)據(jù)傳輸?shù)娇偛俊⒌貐^(qū)總部或其他營業(yè)部進行異地保存。確有困難時，可臨時保存在遠離機房的專用保險箱（滿足“六防”要求）內；
　　３、需長期保存的數(shù)據(jù)必須定期備份到光盤或其它永久性只讀介質上，并保存在異地的專用保險箱內。

　　　　　　　　　　　　　第二節(jié)　系統(tǒng)數(shù)據(jù)

　一、對系統(tǒng)軟件中的系統(tǒng)數(shù)據(jù)，要根據(jù)營業(yè)部情況定期備份。

　二、應用軟件的在運行版本應有備份，并異地存放。

　　　　　　　　第五章　技術事故的防范和處理技術指引

　　　　　　　　　　　第一節(jié)　技術事故及其防范

　一、由于通信、電力等的故障引起系統(tǒng)無法運行，經(jīng)啟動備用系統(tǒng)仍未恢復正常，導致交易中斷或造成經(jīng)濟損失的事件也屬技術事故（〔６．１．１〕）。

　二、在應急計劃的制定與執(zhí)行中（〔６．１．４〕），還應注意以下問題：
　　１、應急計劃應由證券經(jīng)營機構總部電腦中心統(tǒng)一制定，營業(yè)部電腦部根據(jù)自身機房環(huán)境、軟硬件系統(tǒng)特點進行補充和完善；
　　２、在制定應急計劃中的緊急處理程序時，建議盡可能評估和確定可能發(fā)生的技術故障類別和故障點，充分借鑒以往技術事故應對步驟的經(jīng)驗，具體寫出針對故障點的緊急處理程序；
　　３、一個故障點可對應多個緊急處理程序；
　　４、應制定培訓與演習計劃，包括對象、內容、組織形式和時間進度等。應急計劃要定期進行演習，并形成“演習總結報告”。

　　　　　　　　　　　 第二節(jié)　技術事故的處理

　一、在進行事故處理時（〔６．２．４〕）還要注意：
　　１、電腦中心和電腦部應注意總結技術事故處理的經(jīng)驗與教訓，形成技術文件并及時進行交流，為今后避免或處理類似問題提供借鑒。
　　２、營業(yè)部應在事故發(fā)生的第一時間內報告電腦中心，并及時向電腦中心書面詳細報告技術事故的全部情況，包括事故原因、處理情況和改進措施。
　　３、對信息系統(tǒng)安全事件應立即上報中國證監(jiān)會及其派出機構。