基金管理有限公司信息技术管理制度.docx

资源描述

1、X基金管理有限公司信息技术管理制度第一章总则第一条为保护投资者利益，最大程度地防范技术操作风险，保障X基金管理有限公司（下称“公司”）业务的顺利开展，遵照中华人民共和国证券投资基金法、中华人民共和国国家标准计算机信息系统安全保护等级划分准则、中华人民共和国计算机信息系统安全保护条例、证券投资基金管理公司内部控制指导意见、证券期货业信息安全保障管理办法、证券期货业信息系统运维管理规范、证券期货业信息安全事件报告与调查处理办法，X基金管理有限公司章程、X基金管理有限公司内部控制大纲，特制订本制度。第一节目标第二条保护投资者利益，保护公司的合法权益，最大程度地防范技术操作风险，促进技术进

2、步，保障公司信息系统长期、稳定、健康的发展。第三条充分融合国外先进经验和国内计算机信息技术应用的成果，促进技术进步，提高公司的技术水平，推动公司信息系统建设与技术管理水平的协调发展。第四条指导公司加强优化建设和安全管理，加强计算机信息技术人员的管理，防止数据资料遗失、损坏、篡改、泄漏，提高系统运行的安全性、可靠性与稳定性。第二节原则第五条安全性安全性涵盖于公司所有信息系统的设计、开发、运行、维护各阶段，涉及硬件、软件、网络通信、数据资料、日常管理制度各方面。公司所有员工有责任牢固树立技术风险的防范意识，把安全工作贯彻落实到每个环节中。第六条实用性在保障公司信息系统安全的前提下，力求

3、避免因不切实际地提高系统安全级别而造成投资浪费，避免引用任何未经消化吸收的境外安全保密技术和设备，强调公司信息技术管理的重要性，确立采用先进成熟技术的重要性。第七条可操作性本制度力求简单明确，使各部门能够有所依据，便于对照检查，建立完善的信息系统及技术管理制度。第二章管理组织体系第一节组织结构第八条本公司设立技术管理部，统一管理公司的信息技术工作，建立健全组织机构。第九条本公司技术管理部组织结构图如下：第十条技术管理部负责公司信息系统的规划、建设和管理，其职能为：（一）负责制定与信息系统相关的规章制度；（二）协助编制公司年度信息技术的费用支出和投资预算；（三）负责公司信息系统建设的

4、总体规划并组织实施；（四）针对开放式基金业务，进行相关信息系统的开发；（五）负责信息系统的运行维护和安全管理；（六）负责有关信息技术资产的审核及管理，并参与购置工作；（七）审核所有由外对内及由内对外的电子数据接口；（八）负责交易业务数据及其它重要数据的备份管理；（九）负责公司员工的计算机操作指导和技术培训；（十）订立公司在信息技术方面的长远策略；（十一）负责对公司的信息系统进行定期或不定期的专项检查；（十二）跟踪研究信息技术的发展；（十三）公司授权的其它管理职能。第十一条技术管理部可根据业务需要，确定部门内设组织形式及岗位职责。第十二条技术管理部应定期与其它业务部门进行沟通，做好支持保障工

5、作。第二节人员管理第十三条为每位技术管理部的员工制订职权和责任，并应需要不断作出修改，与员工保持沟通，令整个部门的每位成员都很清晰了解互相之间的岗位，不推卸，不逃避。第十四条信息技术人员必需定期进行必要的培训。第十五条每个职责安排一位主要的及一位辅助的员工负责，实行双岗双责。第十六条信息技术人员应具备大专以上学历，具有计算机基础理论知识和专业技术经验、较强的业务工作能力和再学习能力、良好的职业道德和服务意识，富有敬业精神和团队合作精神。禁止录用有严重违纪违规记录的人员从事公司的计算机工作。第十七条信息技术人员相关岗位之间应定期或不定期轮换。第十八条离岗人员必须严格办理离岗手续，明

6、确其离岗后的保密义务，退还全部技术资料。信息系统的口令必须立即更换。第三节安全管理第十九条为健全计算机安全管理，由公司领导主管计算机安全工作，技术管理部负责人为公司计算机安全工作责任人，各部门负责人同时为本部门计算机安全工作责任人。第二十条计算机安全管理的主要任务是：制定计算机安全管理制度，广泛开展计算机安全教育，定期或不定期进行计算机安全检查，保证计算机系统安全运行。第二十一条计算机安全管理包括对内及对外的安全防范设施和安全保障机制，以有效降低系统风险和操作风险，预防不法分子利用计算机作案及盗用机密资料。计算机安全管理实体安全管理运行安全管理操作安全管理权限管理计算机病毒防范邮

7、件服务管理变动控制管理内部网及互联网使用管理t使用管理远程访问管理计算机机房安全管理门禁管理网络安全管理技术数据管理设备和媒体安全管理第二十二条公司实行实体安全和运行安全的防御体系保障计算机信息资源的安全，具体内容如下图所示。图一.计算机安全管理图第二十三条安全管理制度（一）为保证办公环境与外界充分隔离，保护公司所属资源的安全，应建立门禁系统，限制无关人员进入办公区和使用公司的计算机设备；（二）为保证计算机机房的安全，应实行严格的机房日常管理，建立完善的监控体系，并对人员及设备的出入进行统一规范和管理；（三）严格网络管理，实行内外网分离，防止外部人员接入或侵入公司内部网；（四）设备安

8、全管理是计算机信息系统设备的安全保护，做好设备的防毁、防盗，防止电磁信息辐射泄漏和干扰以及电源保护；媒体安全管理是做到信息载体如磁盘、磁带、光盘媒体上信息资料的安全和媒体本身的安全；（五）技术数据资料是保障信息系统正常运行的基础，为保证其完整性和安全性，技术管理部统一管理公司所有的技术数据，对技术数据的保存、借阅、报废实行严格管理, 及定期作还原测试；（六）为保证系统操作安全，应采取严密的安全措施防止无关用户进入系统，重要岗位的登录过程应增加必要的限制措施，操作人员必须有独立口令且必须定期更换；（七）各业务岗位操作权限要严格按岗位职责设置，应定期检查操作员的权限，员工离职、调换岗位时，及时删除

9、或更改操作权限，并记录备案，从事营业操作及系统开发人员要有明确的分工。计算机信息技术人员不得担任业务岗位职责；（八）任何员工不得擅自对业务系统、办公自动化环境、硬件配置、网络配置等进行改变，如有需要，应向技术管理部提出变动申请，由所属部门确认，由技术管理部负责实施变动，并记录实施的变动；（九）公司要建立一套灵活及可靠的防范计算机病毒系统，保证公司所有信息系统的正常运行，所有员工必须遵守，未经许可不可安装或下载外来的软件；（十）员工在使用公司提供的电子邮件服务时，应注意设定邮箱登录口令，不得泄露公司秘密，不得发送垃圾邮件和内容不健康的邮件，影响公司的声誉；（十一）公司采取过滤装置，杜绝与业务无关

10、的活动，员工应合理使用互联网和企业内部网，遵守国家法律法规和公司制度；（十二）任何需远程访问公司内部信息资源的员工，应向技术管理部申请，在得到授权后方可进行远程访问，每次通过核实程序才可进入；（十三）技术管理部应指定专人负责计算机病毒防范工作。技术管理部应定期进行病毒检测，发现病毒立即处理并报告；（十四）公司建立信息技术系统定期稽核检查制度及实施细则。一是对信息技术系统本身进行技术层面的检查，发现问题及时堵塞漏洞；二是对信息技术系统的管理以及相应制度的执行进行检查，保证安全制度的严格执行并不断完善相关规章。第二十四条计算机机房安全管理（一）机房管理工作实行轮换值班制度，交易时间内机房必须有值

11、班人员。（二）本公司员工进出机房须使用机房门禁IC卡管理。通常情况下，只有技术管理部工作人员有权使用IC卡进入机房。（三）机房门禁IC卡持有人必须保管好自己的IC卡，IC卡只限本人使用，不得借给他人。（四）非技术管理部持卡人进入机房工作，须机房管理人陪同，并遵守有关工作规程和相关规章制度，认真履行自己的职责，不得损坏机房内的任何网络和设备，不得读取与自己工作无关的数据。非经批准，不得随意变动运行设备上的开关，不得改变机房内的网络布线结构。（五）公司外人员需要进入机房检修机器设备、网络线路、空调设备、电力和电话线路等系统时，必须事先书面报告技术管理部负责人，经审核同意后，由机房系统管理员陪同，方

12、可进入机房施工或检查。如对系统运行可能造成影响，技术管理部应事先报信息技术分管领导同意，并进行妥善安排。施工完成后，由机房系统管理员进行检查并做书面记录，确保系统的正常运行。（六）公司外人员需要进入机房参观时，必须事先书面报告技术管理部负责人，经批准同意后，由公司内相关人员和机房系统管理员陪同方可进入机房。（七）公司外人员进入机房完成检修维护工作后，都应在机房工作日志上登记检查结果、维护内容和操作结果，并签字确认，由机房系统管理员负责监督检查。（八）日常清洁人员进入机房进行清扫时，必须经机房系统管理员同意，并监督其进行清洁工作。机房清洁工作只能在非交易时段内进行，特殊清洁工作应该由技术管理部统

13、一安排和监督执行。（九）日常值班人员负责检查机房内所有机器设备、防水防火等安全设施是否正常运行，并在机房工作日志上作相应纪录。（十）技术管理部机房系统管理员应当保管好机房进出记录和机房工作日志，每月定期汇总和检查，如发现有异常情况，应立即报告技术管理部负责人。（十一）摆设在机房内的所有设备由技术管理部统一管理，严禁任何人擅自更改设备的位置、状态、配线及上面的标签。非机房系统管理员严禁接触机房设备。（十二）严禁擅自在开市交易期间对机房内正在运行的设备进行任何操作。任何对于运行系统技术状态的更改必须通过技术管理部负责人的批准且应安排在非交易时间进行。（十三）严禁在机房内的计算机上运行与工作无关的程

14、序，严禁在机房内的计算机上运行未经严格测试的软件程序。第二十五条计算机安全操作管理（一）公司信息系统的超级用户口令应当由技术管理部主管掌管，同时，为保证对意外情况的处理，该口令应当封存后交给监察稽核部保管，并定期检查和定期更换。禁止同一人掌管应用系统口令、操作系统口令和数据库管理系统口令。（二）公司网络系统在连接外部网络时，应当设置防火墙。不允许开通直接切入公司计算机系统的接口，防止非法侵入。（三）应当采取严密的安全措施防止无关用户进入系统，业务系统管理员、操作人员应有互不相同的用户名，并在系统中设置定期更换操作口令。严禁操作人员泄露自己的操作口令。（四）操作权限应严格根据岗位职责设置。技术

15、管理部应定期检查所有操作人员的权限，启用系统软件提供的安全审计留痕功能，重要岗位的登录过程应增加必要的限制措施，并保留所有的操作记录。（五）各岗位操作权限的设置、修改、删除等工作必须通过申请，经部门负责人和技术管理部负责人审核批准后，方可实施。（六）技术管理部应对数据备份和审计记录建立定期查验制度。第三章硬件设施第一节计算机机房建设第二十六条计算机机房建设应符合国际GB 50174-2008电子信息系统机房设计规范、GB/T 2887-2011计算机场地通用规范和GB/T 9361-2011计算机场地安全要求。第二十七条供电系统（一）机房应有单独的配电柜，计算机系统要设有独立于一般照明

16、电的专用的供配电线路，其容量应有一定的余量，采用双路供电；（二）机房应配备不间断电源设备(UPS)，其容量应保证机房设备和关键交易设备在断电情况下维持到后备电源供电。无备用发电机时，不间断电源设备应能够持续供电4小时以上。（三）机房UPS电源有明显标识，为机房设备供电。严禁擅自在UPS电源上使用其他电器。测试电源应与工作电源相分离。第二十八条接地与防雷系统（一）机房应采用独立的直流地、交流工作地和防雷保护地。采用统一接地体；（二）符合接地电阻应小于4欧姆；（三）各类通信线路和设备需增加相应的防雷设施。第二十九条机房环境（一）机房的使用面积（不包括不间断电源放置面积）不得小于30平方米；（二

17、）机房的操作间与设备间应作分隔，布局应有良好的人机工作环境，保障工作人员的安全与健康；（三）机房须安装独立空调设备；（四）机房应有防火、防潮、防尘、防盗、防磁、防鼠等设施；（五）机房应配置备用应急照明装置；（六）机房禁止使用水喷淋消防设备；（七）机房应配备直线电话。第二节通讯管理第三十条公司与交易所之间及其它重要的通信线路必须建立可靠的通信线路连接，同时建立备份线路。第三十一条公司与托管行、交易所及其它第三方的通信必须安全可靠。第三十二条公司所有的通信线路接口应进行控制，尽量选取由内接出外的接口及采取防止非法进入措施。第三十三条通信设备应具有防干扰、防截取能力，具有加密传输功能。第三

18、十四条重要的通信设备应建立设备备份。第三节计算机设备第三十五条服务器（一）服务器应具有充分的可靠性和充足的容量；（二）服务器应具有一定的容错特性，宜采用镜像、阵列、双机、群集、电源冗余、网卡热插拔等容错技术；（三）对核心业务服务器实行双机热备份；（四）服务器应有备品备件。第三十六条工作站（一）工作站应具有良好的性能及可靠性；（二）对交易用及其它重要的工作站应有冗余备份；（三）为提高效率及共享性，采用统一办公室软件，所有安装及购买统一处理；（四）严禁技术管理部以外的人员修改和删除网络上的任何设置,不得未经申请安装或下载任何软件。第三十七条数据存储设备（一）应配备安全可靠及互相兼容的数

19、据备份设备；（二）核心业务数据的存储应采用多处备份，并进行异地存放；（三）所有储存资料必须有统一档案记录。第四节局域网络第三十八条网络的基本要求（一）应统一规划公司的网络；（二）布线系统设计应参照GB50311建筑与建筑群综合布线系统工程设计规范和GB50312建筑与建筑群综合布线系统工程施工及验收规范。在现行技术条件下，应使用超5类双绞线；（三）网络建设应遵循高可靠性、高安全性、高性能、可扩展性、可管理性、标准化等原则；（四）网络承建集成商应具有国家有关部门颁发的三级以上（含三级）计算机信息系统集成资质证书；（五）网络设备和通信带宽应保证业务需求；（六）网络不应存在单点故障。第三十九条

20、局域网应达到以下要求：（一）布线系统设计可参照GB50311和GB50312，采用结构化综合布线系统；（二）针对不同业务或应用采取适当技术手段，实现网络分离，提高网络安全性。第四十条广域网应达到以下要求：（一）满足线路备份和网络安全的要求；（二）网络节点间有明确的互访原则，制定和配置相应的路由策略；（三）主干设备支持标准通信协议；（四）与电信运营商和设备供应商签订服务协议，做到定期检修、发现故障及时响应。第四十一条外部网的建设应达到以下要求：（一）与交易所、中国登记结算公司之间的通信连接安全可靠；（二）与外联单位的联网采用可靠的技术隔离手段，确保网络安全；（三）建立多种通信通道，保证业务的

21、连续性。第四十二条互联网接入应达到以下要求：（一）网上交易系统应采用至少两条线路接入互联网，采用同一个运营商的线路应通过不同的节点接入；（二）通过防火墙等安全设备与互联网相连。第四十三条整体要求（一）网络结构应合理可靠；（二）网络设备应兼具技术先进性和产品成熟性；（三）网络主要设备应有冗余备份；（四）因应业务用户工作组的实际需求，划分高性能的虚拟局域网(VLAN)；（五）通信速率应保证正常业务开展的需要；（六）对接入局域网进行严格控制，为防止非法接入，应将空闲的信息点关闭；（七）采用代理服务器形成防火墙，设立内容过滤，入侵检测等功能，实现防火墙内外网络系统的隔离，阻止外界非法入侵公司内部网

22、。第五节计算机设备管理第四十四条技术管理部统一管理公司所有的计算机设备。第四十五条计算机设备的选型、购置、登记、保养、维修、报废等必须严格按规定手续办理，重大设备应建立维护档案。第四十六条计算机设备的发放由技术管理部负责，各部门申请计算机设备时应向技术管理部提出申请，由技术管理部负责审核。第四十七条公司采购计算机设备金额较大的，条件允许时应采用招标方式。第四十八条选用的计算机设备必须经过技术论证，符合国家有关标准的规定，满足可靠性与兼容性要求，任何购置的设备，应经过测试，测试合格后方能投入使用。第四十九条定期对计算机设备进行专业维护保养，保障设备安全稳定运行，对核心业务系统要求设

23、备供货商提供7X24小时维护及现场存放后备配件。第五十条员工不得擅自移动接入到网络中的设备，如有需要，应遵循变动控制管理。第五十一条公司所有计算机设备，必须经过部门负责人授权才能携带出办公区。携带该设备的员工应负责该设备上的资料安全、病毒防护及该设备自身的安全。第五十二条未经技术管理部许可，不得擅自开拆设备或调换设备配件。第四章软件环境第一节基本原则第五十三条公司使用的软件主要包括系统软件、业务应用软件和办公自动化等软件。软件的选用应充分考虑软件的实用性、安全性、可靠性、稳定性、可扩展性和健康性。第五十四条须使用正版软件，本公司购置的软件不得复制给其它单位或个人。第五十五条公司

24、使用的软件，应具备如下功能：（一）身份验证功能，防止非法用户随意进入系统；（二）访问控制功能，防止系统中出现越权访问；（三）故障恢复功能，能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混乱和资料丢失；（四）安全保护功能，对信息的交换、传输、存储提供安全保护；（五）安全审计功能，便于建立应用系统访问用户资源的审计记录；（六）分权制约功能，支持对操作员和管理员的权限分离与相互制约。第五十六条系统软件运行时，必须启用其安全审计留痕功能。第五十七条数据库管理系统软件除上述功能要求外，还应具有数据库的安全性、完整性、一致性及可恢复性保障机制。第五十八条系统软件应达到C2级以上（含C2

25、级）安全级别。第五十九条信息技术系统设计、软件开发等技术人员不得介入实际的业务操作。用户使用的密码口令要定期更换，不得向他人透露。第二节业务应用软件第六十条业务应用软件主要包括资讯系统、投资交易管理系统、交易系统、基金核算系统等；针对开放式基金业务，还有过户登记系统、销售系统及客户服务系统等。第六十一条公司所有的业务应用软件应具有如下特性：（一）自动记录全部操作过程；（二）关键数据不得以明码存放；（三）无法绕过应用接口直接查看或操作数据库；（四）系统管理与业务操作权限严格分开；（五）防止异常中断后非法进入系统；（六）提供超时键盘锁定功能；（七）交易数据在通信网路上以加密方式传输；（八）

26、提供系统运行状态监控模块；（九）应存储一年以上完整的系统运行记录与交易清算记录；（十）提供数据接口，满足二次开发、稽核、审计及技术监控的要求；（十一）符合中国证监会的有关要求，包括系统运行记录与交易清算记录存盘；（十二）其它有助于控制业务操作风险的功能特性。第三节软件管理第六十二条公司一般须选用购买成熟的、商业化的系统软件、业务应用软件和办公自动化系统软件产品；如果没有满足业务需求的业务应用软件，可采用外包的形式或自行开发。软件的保管由技术管理部负责。第六十三条业务应用软件在开发前应由相关业务部门提出申请，订立系统功能要求，报技术管理部审核并经公司领导同意后，成立由公司领导、技术人员和业

27、务人员以及监察稽核人员共同组成的项目小组，经过包括项目立项、需求分析、概要设计、详细设计、软件编码、单元测试、系统联调、整体测试、系统试运行、系统正式上线十个部分。整个程序由技术人员负责，和业务人员共同对应用软件的质量进行控制。第六十四条软件外包（一）开发费用较大时，在条件允许时应采取招标方式确定软件开发商；（二）项目小组作为公司代表与软件开发商进行协商，确定功能需求和开发费用；（三）签订外包合同时，必须同时与软件开发商签订软件及保护责任，今后的维护服务合同；（四）项目小组负责与软件开发商联络，协调开发过程，保证开发进度和质量；（五）对外包开发软件进行严格的测试，包括单元测试、集成测试、系统

28、测试等三个阶段，并形成完整的测试报告。个别软件可能需要进行点对点测试及压力测试等等；（六）应用软件在正式投入使用前必须经过验收，确认系统功能、测试结果和试运行结果均满足设计要求，技术文档齐全，并经公司批准才可使用；（七）项目小组负责对外包软件的验收，并形成验收报告，业务人员及技术人员应有各自的验收标准，以保证软件在功能上及运行上的完整及稳定性。第六十五条自行开发（一）项目小组包括业务及技术人员，制定全面的功能要求；（二）项目小组负责编制系统需求、系统分析和代码编写；（三）项目小组应做好开发的费用预算，报公司批准，在开发过程中严格控制费用；（四）自行开发的应用软件正式投入使用前，应进行严格的测

29、试，得到各方的确认无误、稳定后方可投入使用；（五）项目结束后，应编制项目完成报告，用户手册。第六十六条应用系统的安全要求（一）根据应用系统对安全的要求，应同步进行安全保密设计；（二）软件开发过程应符合GB/T8566-2007信息技术软件生存周期过程；（三）开发维护人员与操作人员必须实行岗位分离，开发环境和现场必须与生产环境和现场隔离；（四）软件设计方案、数据结构、加密算法、源代码等技术数据严禁流入生产现场、散失和泄露；（五）应用软件在正式投入使用前必须经过内部评审，确认系统功能、测试结果和试运行结果均满足设计要求，技术文档齐全，并经公司批准；（六）应规定软件的使用范围和使用权限；（七）软件

30、使用前，操作人员应经过适当的培训和安全教育；（八）建立应用软件的文档管理制度、版本管理制度及软件分发制度，防止软件的盗用、误用、流失及越权使用；（九）应用软件的升级和安装由技术人员负责，并遵守变动控制管理制度。系统升级时要有完善的整体变更控制及考虑到过往存盘的备份的共存性；（十）应采取有效措施，防止对应用软件的非法修改。第五章数据管理第一节交易业务数据第六十七条公司的重要资料包括业务数据和计算机系统数据。其中，交易业务数据主要包括交易数据、清算数据、客户资料及其它相关资料。系统数据主要包括数据字典、权限设置、存储分配、网络地址、硬件配置及其它系统配置参数。第六十八条公司对业务数据和系统

31、数据实行严格的管理。第六十九条对交易业务数据的管理包括：（一）业务数据的接收、导入、存储、备份均由信息技术人员进行，信息技术人员不得擅自查看交易业务数据；（二）对业务数据应严格保密；（三）技术管理部对业务数据实行专人管理。第七十条数据资料备份（一）每个工作日清算前必须制作交易数据的完整备份，清算后必须将完整备份妥善保存，清算后的备份应存放于另外一个安全的处所，保证系统发生故障时能够快速恢复。对于重要数据，系统必须达到实时备份；（二）严禁篡改数据、保证数据的原始状态并确保数据安全；（三）从服务器中删除的交易业务历史资料应保留两个永久备份，一份由技术管理部本地保管，一份由技术管理部异地集中存放

32、，并简要注明资料内容、基本的格式或阅读方式，保存期限不少于年；（四）每个月底必须制作服务器交易业务数据的完整备份在不可更改的光盘上，交异地集中存放，保存期限不少于年；（五）备份的数据必须指定专人负责保管及保存完整的储存清单；（六）数据保管员必须对备份数据进行规范的登记管理；（七）备份后的数据不得更改；（八）备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施；（九）公司可以向第三方采购数据管理系统。拟采购的数据管理系统应保证数据的安全性和保密性，并不得损害基金份额持有人利益。第七十一条资料保密（一）资料不得泄露，禁止外借；（二）资料应严格限制于明确规定的目的，未经批准不得它用；（三）无

33、正当理由和有关批准手续，不得查阅投资资料。经正式批准查阅资料时必须登记，并由查阅人签字；（四）保密资料不得以明码形式存储和传输；（五）根据资料的保密规定和用途，确定资料使用人员的存取权限、存取方式和审批手续；（六）公司对所有电话全面录音，对所有电子邮件进行监控，与投资有关人员的移动电话在工作时间集中管理，录音纪录保留年；（七）交易业务数据不得更改。第二节系统数据第七十二条系统数据主要包括数据字典、权限设置、存储分配、网络地址、硬件配置及其它系统配置参数，系统数据的管理包括：（一）设置系统管理员岗位，对系统数据实行专人管理；（二）系统管理员应每月对系统数据库进行检查，根据需要进行更改，但必须

34、遵守变动控制管理，及定期测试备份的复原功能；（三）系统数据不得泄露，除系统管理员和技术管理部负责人外，公司其它员工均无权查看和修改系统数据。备份数据和历史数据必须由专人保管，只有经相关部门及公司领导同意后方可借用；（四）任何查看或试图修改系统数据的非授权行为均视为对公司计算机系统的恶意破坏，一经发现，报公司处置；（五）为保证系统数据的配置正确，系统管理员应编制系统配置说明书；（六）为保证系统数据的安全，系统管理员应定期对系统数据进行备份，并编制有关备份文档。第六章技术事故的防范与处理第一节技术事故的防范第七十三条技术事故是指由于硬件故障、软件故障和操作失误等原因引起系统无法运行，经启动备

35、用系统仍未恢复正常，导致交易中断并造成经济损失的事件。第七十四条技术事故的防范原则是：预防为主、处理及时，力争把事故的损失降低到最小程度。建立健全技术事故的防范对策，严格按本规范要求建设、管理信息系统的硬件设施和软件环境，定期进行事故防范演习，针对薄弱环节不断改进完善。第二节技术事故的现场处理第七十五条尽最大可能保证事故现场的可恢复性、由有经验的操作人员进行处理、记录处理技术事故的每一步操作。对无法处理的技术事故，请示上级领导指示处理。第七十六条技术事故的事后处理：（一）各部门应立即进行事故调查，提出书面调查报告，必要时可组织有关专家鉴定，确定事故的原因和责任；（二）对调查中发现的技术

36、薄弱环节，应限期整改。第三节技术事故的报告流程第七十七条公司计算机信息系统如遇突发技术故障，技术管理部工作人员应该首先向技术管理部负责人汇报。对于重要情况，技术管理部负责人要及时向分管信息技术的公司领导汇报。对于日常运行过程中发生的一般事故，由技术人员及时处理，并做相应记录。对于信息系统运行中出现的重大事故，由公司领导统一指挥、积极应对，通过迅速、果断、有效的措施进行应急事故处理。重要应急事故处理结束后，应急处置相关工作人员应该将事故原因分析及处理结果写成书面报告，上报相关部门及公司领导审阅。第七十八条信息安全事件的报告公司应按照证券期货业信息安全事件报告与调查处理办法规定的报告条件、报

37、告时限、报告内容、报告部门等要求，向相关主管部门进行事件报告、事件总结报告等，并遵照执行主管部门的指导与善后处理的意见。第四节免责原则第七十九条下列情况技术管理部免责：（一）因不可抗力引发的技术事故；（二）因软硬件故障导致的技术事故，经技术专家论证，确认公司信息系统建设和管理符合要求，确属小概率或偶发性事件；（三）因证券交易所原因导致的交易中断；（四）因业务人员操作失误，经相关部门及公司领导调查核实后，由业务人员及所属部门承担相关责任。第五节应急计划第八十条技术管理部应根据公司的具体情况，制定技术事故发生时的应急计划，并报公司领导备案。应急计划应针对可能发生的故障制定紧急处理程序，必须形成文字并由业务人员积极参与制成。公司应对执行应急计划的全体人员进行专项培训，定期进行演习，根据演习结果不断完善应急计划。应急计划最少一年检查一次并修订，遇有业务上的重大改变应急计划应尽快修改以配合现实的状况。第七章附则第八十一条本制度依据现行的法律法规的有关规定而制定，公司将适时根据有关法律法规的要求和公司业务的发展做进一步的调整和完善；如遇有关法律、法规作出调整与本制度不一致时，公司依据新的法律、法规的规定执行。第八十二条本制度由公司董事会批准后生效。第八十三条本制度自发布之日起实行。26

展开阅读全文