证券公司信息技术管理规范

  • 格式:doc
  • 大小:23.21 KB
  • 文档页数:12

证券公司信息技术管理规范 Norms for the Information Technology Management of Securities Companies 【发布部门】 中国人民银行,中国证券监督管理委员会 【发布日期】 2005.03.25 【实施日期】 2005.03.25 【时效性】 现行有效 【效力级别】 部门规范性文件 【法规类别】 互联网 【全文】 【法宝引证码】 CLI.4.57905 证券公司信息技术管理规范 中华人民共和国金融行业标准 JR/T0023—2004证券公司信息技术管理规范 The criterion of IT management for securites company

2005年3月25日发布 2005年3月25日实施 本标准由全国金融标准化技术委员会提出。 本标准由全国金融标准化技术委员会归口管理。 本标准起草单位:中国证券监督管理委员会、国泰君安证券股份有限公司、中国银河证券有限责任公司、申银万国证券股份有限公司、长江证券有限责任公司、海通证券股份有限公司、泰阳证券有限责任公司、闽发证券有限责任公司、兴业证券股份有限公司、国信证券有限责任公司。 本标准主要起草人:徐雅萍、陈煜涛、俞枫、金守罕、郭怡峰、陈静、沈云明、汤玉龙、彭湘林、王锦炎、刘斌、廖亚滨、万晓鹰、黄卉、徐颖。 本标准为首次发布。

引言 为了规范证券公司信息技术管理行为,保护投资者的合法利益,维护证券公司的合法权益,促进证券市场的健康发展,特制定本标准,以加强证券公司信息系统的优化建设和安全管理,推动信息系统建设与技术管理水平的协调发展,提高证券行业的整体信息技术应用水平。 证券公司信息技术管理规范 1 范围 本标准规定了证券公司信息技术管理的以下方面: a)信息技术管理工作中应遵循的基本原则; b)信息技术管理的组织架构; c)信息技术人员、项目和安全管理; d)机房和设备管理; e)网络通信、软件和数据; f)信息系统运行管理、技术事故的防范与处理。 本标准适用于证券公司的信息技术管理工作。

2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 GB2887电子计算机场地通用规范 GB/T8566信息技术软件生存期过程 GB9361计算站场地安全要求 GB50174电子计算机机房设计规范 GB50311建筑与建筑群综合布线系统工程设计规范 GB50312建筑与建筑群综合布线系统工程验收规范 CMM软件能力成熟度模型(Capacity Maturity Model) 3 原则 证券公司在信息技术管理工作中应遵循: a)安全性原则,应树立技术风险的防范意识,把安全措施落实到信息技术管理的每个环节、每个方面,应在信息系统的设计、开发、运行、维护各环节和硬件、软件、网络通讯、数据、管理各方面,贯彻安全性原则。 b)实用性原则,应加强信息技术管理,注重采用成熟的先进技术,在确保信息系统性能和安全的前提下,遵循高效益、低成本、易操作的原则。 c)系统化原则,将证券公司信息技术管理有关的资源和活动以系统的观点来进行管理,理解和识别管理过程中的相互关系和作用,明确每个管理过程的职责和权限。

4 管理体系 4.1 组织结构与职能 4.1.1 证券公司应设立信息技术管理机构,实行信息技术工作的统一归口管理。 4.1.2 信息技术管理机构应履行下列职责: a)负责信息系统的总体规划并组织实施; b)负责制定与信息技术相关的规章制度并落实执行; c)负责编制信息技术预算并落实执行; d)负责信息系统的建设和运行维护; e)协助进行信息技术人员的任职管理、培训和考核; f)发现技术和业务异常及时上报; 4.2 人员管理 4.2.1 证券公司应对信息技术管理机构实行定岗、定编、定责,明确各岗位的人员素质要求。 4.2.2 应建立重要岗位的双人负责制,并加强对单人单岗的监控。 4.2.3 应建立完善的保密制度,重要岗位应签订保密协议书。 4.2.4 不应录用有犯罪或严重违规行为记录的人员从事证券公司信息技术工作。 4.2.5 应建立信息技术人员定期培训和考核制度,不合格者禁止上岗。 4.2.6 应定期或不定期对在信息技术重要岗位上的信息技术人员进行轮换,或实行强制休假。 4.2.7 应建立信息技术人员的离岗制度,规范离岗手续。 4.3 安全管理 4.3.1 证券公司应建立信息系统安全管理组织,实施信息安全等级保护,并设立专门的安全管理员、安全审计员岗位。 4.3.2 信息系统安全管理组织应履行下列职责: a)负责制定统一的安全策略; b)负责制定信息系统安全管理制度; c)负责审核和实施信息系统安全保护和安全防范技术方案; d)负责组织信息系统安全教育及技术培训; e)负责定期或不定期进行信息系统安全检查,发现问题,督促解决; f)负责组织信息系统安全防范、应急演练。 4.3.3 应建立计算机病毒防范制度: a)统一组织和实施计算机病毒防范工作 b)建立计算机病毒预警机制,严格执行病毒检测及报告措施。 4.3.4 应坚持三分离原则,实现前后台分离、开发与操作分离、技术与业务分离,信息技术人员任职要专岗专责,不得由业务人员兼任,也不得兼任业务职务。 4.4 技术文档管理 4.4.1 技术文档是指与信息系统相关的技术文件、图表、程序与数据等。 4.4.2 证券公司应制定技术文档管理制度,设立技术文档管理岗位。 4.4.3 应按照统一格式对技术文档进行编写并及时更新,达到能够依靠技术文档恢复系统正常运行的要求。 4.4.4 应根据技术文档的不同保密级别实行分级管理。 4.4.5 应对技术文档实行有效期管理,对于超过有效期的技术文档降低保密级别,对已经失效的技术文档定期清理,并严格执行技术文档管理制度中的销毁和监销规定。 4.4.6 技术文档的借阅、复制应履行必要的手续。 4.4.7 重要技术文档应有副本并异地存放。 5 机房与设备管理 5.1 机房 5.1.1 机房建设应符合GB50174、GB2887和GB9361的要求,防雷、接地、电磁辐射和电气特性都应达到国家标准要求。 5.1.2 机房环境应达到以下要求: a)操作间与设备间分隔; b)安装独立的空调设备,对温度和湿度进行控制; c)配有防火、防潮、防尘、防盗、防磁、防鼠等设施; d)配置应急照明装置; 5.1.3 机房供电系统应达到以下要求: a)有单独的配电柜和独立于一般照明电的专用供配电线路,配电容量有一定余量,采用双路供电或配备发电机; b)配备不间断电源设备,其容量至少满足关键设备在开市期间断电情况下的运行要求。 5.1.4 机房应安装监视系统和门禁系统,宜安装环境监控系统和设备监控系统。

5.2 设备管理 5.2.1 证券公司应实行计算机设备集中管理,建立相应的管理制度,按有关流程办理设备的采购、登记、维护、报废等工作,对设备的整个生命周期进行管理。 5.2.2 大宗设备采购应坚持公开、公平、公正的原则,宜采用招标、邀标等形式完成。 5.2.3 应定期对设备进行更新和保养,经维护的设备应通过有关测试方能投入使用。 6 网络通信 6.1 网络建设 6.1.1 证券公司网络的基本要求: a)应统一规划公司的网络; b)网络建设应遵循高可靠性、高安全性、高性能、可扩展性、可管理性、标准化等原则; c)网络承建集成商应具有国家有关部门颁发的三级以上(含三级)计算机信息系统集成资质证书; d)网络设备和通信带宽应保证业务需求。 e)网络不应存在单点故障。 6.1.2 局域网应达到以下要求: a)布线系统设计可参照GB50311和GB50312,采用结构化综合布线系统; b)针对不同业务或应用采取适当技术手段,实现网络分离,提高网络安全性; 6.1.3 广域网应达到以下要求:: a)满足线路备份和网络安全的要求; b)网络节点间有明确的互访原则,制定和配置相应的路由策略; c)主干设备支持标准通信协议; d)与电信运营商和设备供应商签订服务协议,做到定期检修、发现故障及时响应。 6.1.4 外部网的建设应达到以下要求: a)与交易所、中国登记结算公司之间的通信连接安全可靠; b)与外联单位的联网采用可靠的技术隔离手段,确保网络安全; c)建立多种通信通道,保证业务的连续性。 6.1.5 互联网接入应达到以下要求: a)网上委托系统应采用至少两条线路接入互联网,采用同一个运营商的线路应通过不同的节点接入; b)通过防火墙等安全设备与互联网相连。

6.2 网络管理 6.2.1 证券公司应建立健全网络管理制度: a)网络管理采用统一策略; b)设置专职网络管理员,实行网络分级管理; c)网络管理员具备相应的素质和技能,持有相应的资格证书。 6.2.2 在网络管理上应达到以下要求: a)配备网络管理工具,对网络进行监控、管理和维护,重要网络设备开启日志和审计功能; b)建立完整的网络技术文档; c)定期维护网络设备和线路; d)详细记录网络故障处理过程。 6.2.3 通过互联网为公众提供服务,应遵循国家和行业有关规定。

6.3 网络安全 6.3.1 证券公司应建立健全网络安全体系,统一制定公司的网络安全策略和技术方案,网络安全策略遵循技术保护和管理保护相结合的原则。 6.3.2 网络安全应达到以下要求: a)利用成熟的网络安全技术,防止非法访问、攻击和破坏计算机网络等活动; b)定期对公司网络进行安全检查,发现问题,及时解决,并记录存档; c)所有可配置的网络设备按最小安全访问原则设置访问控制权限,关闭不必要的端口及服务; d)妥善保管和定期更换网络设备的远程访问密码。 6.3.3 在互联网接入方面应达到以下安全要求: a)对公司内可访问互联网的终端采用必要的安全措施与核心系统相隔离; b)对于来自互联网的访问采用可靠的身份认证、访问控制和安全审计措施,防止非法接入和非法访问。 6.3.4 网上委托系统应达到以下安全要求: a)通过国家权威机构的安全认证,重要技术产品通过国家权威机构的安全测评,达到主管部门的规定要求; b)采用可靠的技术和管理措施进行客户身份认证; c)采用有效技术措施达到防抵赖、防篡改、防窃取等功能; d)网上委托服务器所在的网络与内部核心网络相隔离。 7 软件