各證券經營機構：

　　為進一步落實《證券經營機構營業部信息系統技術管理規范（試行）》（證監信字[1998]2 號，以下簡稱《規范》），提高行業信息系統安全管理水平，有效防范和化解技術風險，現將《〈證券經營機構營業部信息系統技術管理規范（試行）〉技術指引》（以下簡稱《指引》）印發給你們，并就有關事宜通知如下：

　　一、要在認真組織學習《規范》的基礎上，全面了解和貫徹《指引》的要求，做到有效防范技術風險，提高安全水平。

　　二、要根據《規范》及《指引》的要求，找出差距和不足，采取有效措施加以改進。

　　三、中國證監會將組織對《規范》及《指引》落實情況的檢查。對不符合要求的單位，將根據《關于證券經營機構及其營業部做好信息系統檢查工作有關事宜的通知》（證監信息字[1999]7 號）和《關于強化證券經營機構總部對所屬營業部信息系統安全檢查的通知》（證監信息字[1999]11號）等文件的規定，嚴肅處理。

中國證監會
一九九九年十一月三日

《證券經營機構營業部信息系統技術管理規范（試行）》技術指引

　　第一章　管理體系技術指引

　　第一節　組織結構

　　一、電腦中心負責制定的與信息系統相關的規章制度（[2.1.2（1）]）至少應包括如下方面：

　　1、組織機構與人員管理；

　　2、安全管理（包括病毒防范）；

　　3、文檔資料管理；

　　4、數據管理；

　　5、硬件設備管理（包括相關設備強制更換）；

　　6、軟件管理；

　　7、網絡管理；

　　8、機房管理；

　　9、運行維護管理（包括操作安全管理）；

　　10、技術事故防范與處理。

　　電腦中心還應編制涵蓋上述制度內容的工作手冊，并根據實際情況每年進行修訂。

　　二、電腦中心審核營業部電腦負責人的任職資格（[2.1.2（4）]），包括對其進行必要的獎勵和懲罰。電腦負責人任職要專崗專責，不得由業務人員兼任，也不得兼任業務職務。

　　三、電腦中心除為營業部提供技術支持外（[2.1.2（9）]），還應為本證券經營機構的其它部門提供技術支持。

　　四、電腦中心的數據管理職能 （[2.1.2（10）]）要求電腦中心要對數據實行集中管理，盡量做到異地實時備份。

　　五、對營業部信息系統的定期檢查應為每年至少一次 （[2.1.2（12）]）。定期檢查為規范性檢查，不定期檢查為專項檢查，檢查必須有文字記錄。

　　六、[2.1.3（2）]中的有關部門是指結算公司和證券通信公司。

　　七、[2.1.3（6）]中的其它重要數據至少包括：服務器系統參數配置，主要網絡設備參數配置，通信設備參數配置，智能化電源、空調的參數配置，交易系統、通信軟件及其它應用軟件的參數配置等。

　　八、電腦部在履行職能時（[2.1.3]），還要注意做好以下方面的工作：

　　1、強化安全意識，自覺遵守并監督執行安全制度的落實；

　　2、及時完成電腦中心布置的各項工作；

　　3、保持機房及配電房達到規定技術指標，并保持整潔；

　　4、負責計算機硬件、軟件、通信設備的管理與維護，建立技術檔案，保持系統處于良好的運行狀態；

　　5、負責營業部技術資料的保管與維護；

　　6、有條件的營業部應定期做好服務器的全系統備份。

　　第二節　人員管理

　　一、執行對營業部信息技術人員編制規定（[2.2.1]）時應注意：營業部總人數少于20人的，也要至少配備2名專職信息技術人員。

　　二、[2.2.4]中的關鍵技術崗位至少包括電腦部全部工作人員崗位。

　　三、電腦中心應強化對信息技術人員的管理職能（[2.2.5]），包括：

　　1、參與信息技術人員的招聘，并可行使否決權；

　　2、對信息技術人員進行必要的獎勵和懲罰；

　　3、對營業部信息技術人員每年至少進行一次技術培訓和考核，重新認定上崗資格；

　　4、有條件的證券經營機構可實行垂直管理，直接確定電腦部的人員編制和收入等。

　　四、對信息技術人員離崗應加強管理（[2.2.8]），至少達到如下要求：

　　信息技術人員離崗時必須嚴格辦理離崗手續，明確其離崗后的保密義務，退還全部技術資料，電腦中心必須派員監督交接過程。新舊工作人員應共同工作不少于5個工作日，信息系統口令必須立即更換。

　　第三節　安全管理

　　一、計算機安全管理的保障機制（[2.3.3]）包括稽核監控和安全合規獎懲等方面的內容。

　　二、計算機機房安全管理制度中要求的值班人員（[2.3.4（2）]） 必須是信息技術人員。

　　三、[2.3.5（3）] 中的“定期更換操作口令”是指至少每兩個月更換一次。

　　四、[2.3.5（8）] 中要求的技術監管系統，應在電腦中心的統一規劃下建立，并與證券經營機構的狀況相適應。

　　五、[2.3.5（8）] 中要求的“定期進行獨立的對帳”是為了防范業務風險而采取的計算機稽核手段。

　　六、操作安全制度（[2.3.5]）在執行中，應重視以下方面：

　　1、所有用戶的登錄必須具有屏蔽中斷功能；

　　2、新開用戶需經嚴格審批；

　　3、冗余用戶要及時清理，超過三個月未使用過的用戶要設置為禁止使用狀態或刪除；

　　4、數據庫管理系統的系統管理員口令應由電腦中心集中管理，并于非軟件開發商的第三處封存保管。

　　七、[2.3.6（1）]對病毒檢測的具體要求為：電腦部應指定專人負責計算機病毒防范工作，并至少每半個月及在已知敏感日期前夕，進行病毒檢測，發現病毒立即報告電腦中心病毒防范負責人，并在其指導下進行處理，同時詳細記錄病毒發作過程。

　　第四節 技術資料管理

　　一、[2.4.2]中的各級管理機構是指電腦中心和電腦部。

　　二、重要技術資料的管理必須嚴格（[2.4.4]）：

　　1、重要技術資料應有專人管理，專柜存放；

　　2、重要技術資料應有副本并異地存放。在條件允許時，應存放在銀行的保險箱內或其它符合要求的存放地點。

　　第二章 硬件設施技術指引

　　第一節 計算機機房

　　一、關于供電系統（[3.1.2]）的說明：

　　1、營業部供電方案可由下列方式構成：不間斷電源、備用發電機和雙路供電，及對以上方式的合理組合使用。如：單獨使用不間斷電源，不間斷電源和發電機配合使用，不間斷電源和雙路供電配合使用。其中雙路供電指通過不同變電所的電力線路進行供電；

　　2、備用供電系統容量和持續供電時間應保障機房設備和關鍵交易設備在斷電情況下能夠完成當天正常的交易；

　　3、不間斷電源應當定期維護保養，保證設備處于正常的工作狀態；

　　4、備用發電機應當定期啟動、檢測，保證停電時能正常發電；

　　5、機房的配電柜和不間斷電源插座應標識清楚。

　　二、對機房消防的要求（[3.1.4]）：

　　1、機房必須安裝煙感和溫感報警器及必要的滅火裝置；

　　2、機房禁止使用水噴淋裝置；

　　3、機房應采用防火材料制作的機架或機柜。有條件的營業部可采用防火、防盜門，耐火墻體，阻燃無毒的電纜。

　　第二節 遠程通信

　　一、[3.2.3]要求的重要通信線路必須建立后備線路，至少包括：

　　1、營業部行情接收系統應有通信備份，主要方式有：

　　（1）上海行情接收可采用深圳證券交易所提供的上海證券交易所行情衛星備份系統，或通過其他營業部進行接收等方式；

　　（2）深圳行情接收可采用深圳單、雙向衛星、撥號及上海證券交易所提供的深圳證券交易所行情衛星備份系統（在建），或通過其他營業部進行接收等方式。

　　2、營業部委托報盤系統應有通信備份，主要方式有：

　　（1） 上海委托可采用上海證券交易所提供的雙向衛星、DDN、雙向衛星撥號（在建）和上海證券交易所提供的公司內部席位連通備份報盤方式；

　　（2） 深圳委托可采用深圳證券交易所提供的雙向衛星、衛星伙伴備份和地面撥號、DDN等報盤方式。

　　第三節　計算機設備

　　一、 執行[3.3.1]對服務器的要求時，要注意：

　　1、行情服務器和交易服務器應有可靠的備份手段和備份系統（[3.3.1（1）]）；

　　2、服務器至少應做磁盤鏡像（[3.3.1（2）]）；

　　3、服務器應有充足的電源、內存、硬盤、網卡等備用器件（[3.3.1（3）]）。

　　第四節　局域網絡

　　一、[3.4.4]要求網絡設備應有冗余備份，主要包括：

　　1、營業部網絡的主交換機應有備份機，可做冷備份或熱備份；

　　2、網絡中的集線器和網卡都應有充足的備件。

　　二、營業部未使用的信息點，在機房端應將相應網絡線從網絡設備上斷開，待使用該信息點時再接入。

　　第三章　軟件環境技術指引

　　第一節　系統軟件

　　一、 系統軟件主要包括操作系統軟件、數據庫管理系統軟件（[4.1.1]），此外，還包括網絡管理軟件、互聯網服務器軟件以及相應的防火墻軟件等。

　　二、 正版軟件（[4.1.2]）包括兩方面的含義：

　　1、有正式授權的軟件；

　　2、軟件的使用和安裝在該軟件的合法要求范圍內。

　　三、[4.1.4] 要求的必須啟用系統軟件提供的安全審計留痕功能，應做到對成交回報、與交易所接口數據庫和交易數據庫的修改，用戶的登錄與注銷等方面的審計。審計至少應記錄操作的用戶（或地址）、時間、具體操作及結果等信息。

　　第二節　應用軟件

　　一、 [4.2.2（2）]所指的關鍵數據目前至少包括各種密碼、口令及標識項。

　　二、 在對交易業務數據進行異地備份傳輸（[4.2.2（7）]）時，必須采取數據加密的方式。

　　第三節　軟件管理

　　一、[4.3.2] 要求的安全保密設計至少應包括使用應用系統的客戶與非客戶用戶的權限劃分，客戶密碼的保密使用方法，非客戶用戶的保密責任和嚴格分工，數據的安全記錄及存放，系統設計方案、數據結構以及程序源代碼和加密算法的保密等內容。

　　二、[4.3.5] 要求的內部評審必須有電腦中心的書面認可。

　　三、軟件的使用范圍和使用權限（[4.3.6]） 要嚴格按照管理體系中軟件管理的有關制度執行。

　　四、[4.3.7] 要求的操作培訓和安全教育包括兩方面的含義：

　　1、 客戶用戶要達到熟悉軟件操作功能和對自己重要信息保密操作的要求；

　　2、 非客戶用戶要達到熟悉并嚴格履行自己的職責，不進行越權、越級或非法操作的要求。

　　五、營業部在進行軟件維護和系統參數調整時（[4.3.10]），必須經過營業部主管經理或電腦部經理的批準，對所有操作做出詳細的書面記錄并登記歸檔。

　　六、防止對應用軟件的非法修改（[4.3.11]），要從管理上和技術上采取措施。一方面要制定完善的制度并嚴格執行，另一方面要在技術上采取措施，加強對可能的非法入侵手段的監控與防范。

　　第四章　數據管理技術指引

　　第一節　交易業務數據

　　一、 關于數據備份（[5.1.6]）的說明：

　　1、交易業務數據必須進行備份，備份介質可采用硬盤、光盤和磁帶等；

　　2、每個交易日的備份數據應異地保存，即將當天的備份數據傳輸到總部、地區總部或其他營業部進行異地保存。確有困難時，可臨時保存在遠離機房的專用保險箱（滿足“六防”要求）內；

　　3、需長期保存的數據必須定期備份到光盤或其它永久性只讀介質上，并保存在異地的專用保險箱內。

　　第二節 系統數據

　　一、 對系統軟件中的系統數據，要根據營業部情況定期備份。

　　二、應用軟件的在運行版本應有備份，并異地存放。

　　第五章 技術事故的防范和處理技術指引

　　第一節 技術事故及其防范

　　一、 由于通信、電力等的故障引起系統無法運行，經啟動備用系統仍未恢復正常，導致交易中斷或造成經濟損失的事件也屬技術事故（[6.1.1]）。

　　二、 在應急計劃的制定與執行中（[6.1.4]），還應注意以下問題：

　　1、應急計劃應由證券經營機構總部電腦中心統一制定，營業部電腦部根據自身機房環境、軟硬件系統特點進行補充和完善；

　　2、在制定應急計劃中的緊急處理程序時，建議盡可能評估和確定可能發生的技術故障類別和故障點，充分借鑒以往技術事故應對步驟的經驗，具體寫出針對故障點的緊急處理程序；

　　3、一個故障點可對應多個緊急處理程序；

　　4、應制定培訓與演習計劃，包括對象、內容、組織形式和時間進度等。應急計劃要定期進行演習，并形成“演習總結報告”。

　　第二節 技術事故的處理

　　一、 在進行事故處理時（[6.2.4]）還要注意：

　　1、電腦中心和電腦部應注意總結技術事故處理的經驗與教訓，形成技術文件并及時進行交流，為今后避免或處理類似問題提供借鑒。

　　2、營業部應在事故發生的第一時間內報告電腦中心，并及時向電腦中心書面詳細報告技術事故的全部情況，包括事故原因、處理情況和改進措施。

　　3、對信息系統安全事件應立即上報中國證監會及其派出機構。

中國證監會資格考試委員會辦公室