證券公司--信息系統(tǒng)管理制度匯編.doc

此資料來自 臺商訊息網(wǎng), 大量管理資料下載長城證券有限責任公司信息系統(tǒng)管理制 度 匯 編長城證券有限責任公司信息技術(shù)中心前 言隨著計算機技術(shù)的迅猛發(fā)展，信息系統(tǒng)已成為證券業(yè)各項業(yè)務(wù)順利運轉(zhuǎn)的關(guān)鍵設(shè)施，因此保證信息系統(tǒng)的正常運轉(zhuǎn)和防范技術(shù)風(fēng)險，已成為證券業(yè)工作重心之一。為了提高證券行業(yè)的整體技術(shù)水平，有效地防范和化解技術(shù)風(fēng)險，中國證監(jiān)會于1998年3月頒布了證券業(yè)的第一個技術(shù)標準 證券經(jīng)營機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行）（以下簡稱規(guī)范），將證券業(yè)的信息系統(tǒng)建設(shè)與管理工作納入了規(guī)范發(fā)展的軌道。 如何使規(guī)范落到實處，切實做到技術(shù)管理制度化、日常操作規(guī)范化，是當前證券業(yè)信息系統(tǒng)規(guī)范化建設(shè)的一項重要內(nèi)容。 為此，公司信息技術(shù)中心根據(jù)規(guī)范要求，結(jié)合公司實際情況，以公司計算機應(yīng)用管理科學(xué)化、規(guī)范化、高效、安全、實用、集中統(tǒng)一為原則，起草了長城證券有限責任公司信息系統(tǒng)管理的一系列規(guī)章制度，并廣泛征求了公司有關(guān)部門與部分營業(yè)部的意見，最終形成這本長城證券有限責任公司信息系統(tǒng)管理制度匯編（以下簡稱制度匯編）。本制度匯編分為三大部分。一是公司信息系統(tǒng)管理辦法（試行），共有18條，主要包括公司信息技術(shù)中心的工作職責、證券營業(yè)部（以下簡稱營業(yè)部）電腦部的職責、以及有關(guān)營業(yè)部搬遷、擴租、電子設(shè)備購置等事項報批程序與管理辦法等。二是公司信息系統(tǒng)管理實施細則（試行），共分12 章，主要包括計算機應(yīng)用項目立項和審批程序、應(yīng)用軟件開發(fā)管理、計算機設(shè)備購置和使用管理、網(wǎng)絡(luò)管理、機房管理、計算機設(shè)備報廢管理、耗材管理、防病毒管理、技術(shù)文檔管理以及系統(tǒng)安全保密管理等；三是營業(yè)部信息系統(tǒng)管理辦法（試行），共分 ? 章，比較詳細地制定了營業(yè)部電腦部工作職責、人員管理、崗位設(shè)置、安全及風(fēng)險防范、軟硬件設(shè)備管理、數(shù)據(jù)管理、資料管理等各項規(guī)章制度。本制度匯編由公司信息技術(shù)中心統(tǒng)一組織實施，并負責監(jiān)督、檢查相關(guān)規(guī)章制度的貫徹執(zhí)行。本制度匯編的修改、解釋權(quán)歸公司信息技術(shù)中心。本制度匯編屬公司內(nèi)部資料，應(yīng)妥善保管、注意保密。n the main terminal, and the telephone Office is responsible for providing the appropriate size adapter patch panels and electrical protection unit. (Shuttle bus) wiring (IDF) set up in the workshop on the second floor of the building, located in the District of weak electrical cabinets (well). Engine room placed inside the Cabinet, IDF placed a standard 40U cabinets for installation of network and wiring devices, management computer and telephone information. Cabinet distribution frame are made of Super five RJ45 patch panel horizontal twisted pair connections. Computer information management, admin area using the jumpers, which uses private RJ45-RJ45 soft jumpers for network devices with jumpers hopping between all switches, changes, expansion and maintenance were done quickly in the wiring closet. Twisted length Centre room is located on the second floor, outward radiation of each line (except some points may exceed) does not exceed 100 metres in length, all information for the various floors all rooms (distribution Cabinet) unified management. District workshop building distribution lines (IDF) via fiber optic cables connected to the total room cabinets. Fiber length were: workshops two IDF: total more than 1200 square meters, double the number of strands can be calculated by multiplying the average length of the number of information points are. Average level of each length of cable: L=(S1+S2)/2+L1+L2 l: average length of cable; L1: MDF cable allowance; L2: other allowances S1: minimum horizontal cable length; S2: maximum horizontal length of cable; Office building of information: a minimum of 26 meters, the longest was 92 meters, L=(28+92)/2+2.5+1=62.5 m; Total length of 62.5 m x792 = 49500-meter in each box (KFT) by 300 meters per carton; The twisted-pair cable box you want = 49500 300=165 (KFT); losses not included, each about 15 meters. Metal line slot, and metal line tube ofBeiDouW Page 31/137長城證券有限責任公司 此資料來自 臺商訊息網(wǎng), 大量管理資料下載 第一部分長城證券有限責任公司信息系統(tǒng)管理辦法（試行）第一條 為了貫徹公司“以客戶為中心，以利潤為中心，合規(guī)經(jīng)營、開拓創(chuàng)新”的經(jīng)營指導(dǎo)方針，適應(yīng)公司全面提升公司各項業(yè)務(wù)和管理水平，逐漸形成長城經(jīng)營特色，爭取使各項工作再上一個新臺階的要求，實現(xiàn)公司系統(tǒng)內(nèi)計算機技術(shù)與應(yīng)用的有效管理，充分發(fā)揮計算機技術(shù)資源的整體優(yōu)勢，特制定本管理辦法。第二條 公司計算機應(yīng)用管理工作堅持科學(xué)、規(guī)范、安全、高效、實用的原則。第三條 公司計算機應(yīng)用管理實行集中統(tǒng)一管理的原則。集中統(tǒng)一管理是指在公司系統(tǒng)內(nèi)，以統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一應(yīng)用、統(tǒng)一實施、統(tǒng)一采購的“五統(tǒng)一”方式，分步實施推廣計算機應(yīng)用技術(shù)，并對計算機應(yīng)用進行日常管理和維護。第四條 公司設(shè)立信息技術(shù)中心，下屬各營業(yè)部設(shè)立電腦部。公司計算機應(yīng)用由信息技術(shù)中心歸口管理。第五條 公司信息技術(shù)中心是全公司計算機信息系統(tǒng)規(guī)劃、管理和技術(shù)協(xié)調(diào)的主管部門。各營業(yè)部電腦部在技術(shù)上接受信息技術(shù)中心的指導(dǎo)、管理和考核，在業(yè)務(wù)及行政上接受所在營業(yè)部負責人的領(lǐng)導(dǎo)和管理。第六條 信息技術(shù)中心的主要職能是：1、 保證公司的信息技術(shù)的應(yīng)用具有前瞻性。2、 保障當前投入使用的系統(tǒng)穩(wěn)定運行。3、 結(jié)合業(yè)務(wù)發(fā)展與技術(shù)更新，及時推出高質(zhì)量的新技術(shù)應(yīng)用系統(tǒng)。4、 建立并保持高素質(zhì)的、穩(wěn)定的技術(shù)隊伍。5、 協(xié)助公司制定信息技術(shù)應(yīng)用的整體發(fā)展策略。6、 根據(jù)整體的發(fā)展策略，制定具體的年度工作規(guī)劃并組織實施。7、 制定或改進與信息系統(tǒng)相關(guān)的開發(fā)、維護及應(yīng)用的規(guī)章制度。8. 配合人力資源部，對公司及營業(yè)部電腦人員的考核、聘用、任免以及培訓(xùn)。8、 協(xié)助進行公司內(nèi)計算機軟硬件的選型招標。9、 審批營業(yè)部計算機軟硬件購置的年度預(yù)算及相應(yīng)技術(shù)鑒定，審核計算機設(shè)備的購置、報損、報廢等工作。10、 協(xié)助公司作不定期的技術(shù)審計，對營業(yè)部信息系統(tǒng)進行專項檢查。11、 完成總部的各應(yīng)用信息系統(tǒng)及交易系統(tǒng)的日常維護工作，包括通訊、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全（防黑客、防病毒、數(shù)據(jù)備份）等。12、 負責具體指導(dǎo)和監(jiān)營業(yè)部電腦部工作，對營業(yè)部提供實時技術(shù)支持和現(xiàn)場服務(wù)。13、 為公司電子商務(wù)的發(fā)展，提供充分的技術(shù)支持，維護更新公司的內(nèi)、外網(wǎng)站，保障網(wǎng)上交易等各類電子商務(wù)業(yè)務(wù)的開展。14、 技術(shù)資料的管理。15、 公司授權(quán)的其他管理職能。第七條 公司重要職能部門及營業(yè)部下屬遠程網(wǎng)點，設(shè)置計算機管理員，負責本部門計算機的日常維護管理以及與上級主管技術(shù)部門的聯(lián)絡(luò)工作。第八條 各營業(yè)部設(shè)置電腦部，負責本部門信息系統(tǒng)的建設(shè)、日常維護管理以及與公司信息技術(shù)中心的聯(lián)絡(luò)工作。具體職能為：1、 化安全意識，自覺遵守公司關(guān)于營業(yè)部信息系統(tǒng)管理的各項規(guī)章制度。2、 負責本營業(yè)部計算機信息系統(tǒng)的建設(shè)、管理和維護，確保系統(tǒng)安全運行。3、 及時處理證券交易所及有關(guān)主管部門播發(fā)的涉及信息系統(tǒng)運行的數(shù)據(jù)、文件和各類通知。4、 負責計算機硬件設(shè)備的管理和維護，保持系統(tǒng)處于良好的運行狀態(tài)。5、 負責本營業(yè)部信息系統(tǒng)的安全運行。開市之前做好系統(tǒng)的運行準備工作，開市期間實時監(jiān)控系統(tǒng)運行狀況 、處理突發(fā)事件，收市后配合清算員完成日結(jié)清算等盤后工作。6、 完整、準確地記錄計算機信息系統(tǒng)的運行日志。7、 嚴格按故障報告制度及時、準確地處理系統(tǒng)出現(xiàn)的故障。8、 負責交易業(yè)務(wù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)和其他重要數(shù)據(jù)、資料的備份及其管理。9、 根據(jù)本營業(yè)部的業(yè)務(wù)發(fā)展需求，提交應(yīng)用系統(tǒng)需求報告、軟硬件采購計劃，報公司信息技術(shù)中心審批。10、 在公司信息技術(shù)中心的安排下，承擔公司信息網(wǎng)絡(luò)系統(tǒng)建設(shè)中涉及本營業(yè)部的有關(guān)工作。11、 負責本營業(yè)部計算機信息系統(tǒng)各類文檔的收集、整理、分類、歸檔、備案。12、 負責編制營業(yè)部計算機設(shè)備的統(tǒng)計報表及協(xié)助財務(wù)部擬定本營業(yè)部計算機設(shè)備報廢、報損計劃，報公司信息技術(shù)中心審核13、 提出本營業(yè)部計算機人員技術(shù)培訓(xùn)計劃。14、 負責本營業(yè)部其他業(yè)務(wù)人員計算機應(yīng)用培訓(xùn)。15、 緊密跟蹤計算機新技術(shù)的發(fā)展，為新技術(shù)的推廣應(yīng)用做好充分的技術(shù)準備。16、 完成公司信息技術(shù)中心交辦及本營業(yè)部總經(jīng)理下達的其他工作任務(wù)。17、 各營業(yè)部電腦部經(jīng)理人選，須由所在營業(yè)部提出推薦意見上 報公司，經(jīng)公司人力資源部會同信息技術(shù)中心進行資格審查和考核，并報公司領(lǐng)導(dǎo)批準后聘任。第九條 公司各部室、中心及營業(yè)部計算機網(wǎng)絡(luò)、系統(tǒng)的新建或整體改造，必須在年初申報計劃，并附完整的整體設(shè)計方案和可行性論證報告，由信息技術(shù)中心審批。第十條 各營業(yè)部申請搬遷、擴租營業(yè)面積以及涉及公司整體項目建設(shè)，應(yīng)根據(jù)經(jīng)紀業(yè)務(wù)管理總部及財務(wù)資金總部有關(guān)上報的要求提出立項申請，在經(jīng)紀業(yè)務(wù)管理總部批準后，再向經(jīng)紀業(yè)務(wù)管理總部報送可行性分析報告與裝修預(yù)算方案，向信息技術(shù)中心報送計算機設(shè)備預(yù)算和技術(shù)方案，由經(jīng)紀業(yè)務(wù)管理總部、信息技術(shù)中心分別審核批復(fù)后，營業(yè)部方能實施。第十一條 公司各部室、中心為加強系統(tǒng)安全運轉(zhuǎn)，保證正常運營的電腦設(shè)備購置和網(wǎng)絡(luò)改造等方面的簽報，直接報送公司信息技術(shù)中心。信息技術(shù)中心將依據(jù)中國證監(jiān)會技術(shù)監(jiān)管的規(guī)范要求和公司技術(shù)發(fā)展總體綱要進行審查，在總部計劃財務(wù)部核定的營業(yè)部當年新增固定資產(chǎn)可用規(guī)模內(nèi)進行核準，并按月向財務(wù)資金總部提供清單，不再向其他部門申報。第十二條 公司設(shè)立計算機設(shè)備采購小組，具體負責公司計算機設(shè)備（包括相關(guān)工程項目）的招標、評標與購置事宜。第十三條 所有的計算機設(shè)備（包括軟件）采購均須采取招標方式，遵循嚴格、規(guī)范的招標程序，包括制定標書、發(fā)標、接標、評標，最后經(jīng)采購小組審定后報公司主管領(lǐng)導(dǎo)審批。第十四條 公司各部室、中心及營業(yè)部購置的計算機設(shè)備，凡屬于固定資產(chǎn)的，按公司固定資產(chǎn)管理辦法進行管理。第十五條 各營業(yè)部電腦部應(yīng)每季度向信息技術(shù)中心提交書面工作報告，及時反映工作動態(tài)與需解決的問題。第十六條 公司各部室、中心及營業(yè)部如有人員調(diào)離，須事先通知公司信息技術(shù)中心，以便及時清除網(wǎng)絡(luò)登錄用戶并確定是否進行相關(guān)審計。第十七條 本辦法由公司信息技術(shù)中心負責解釋。第十八條 本辦法自下發(fā)之日起執(zhí)行。此前頒布的有關(guān)規(guī)定中與本辦法不一致的，以本辦法為準。長城證券有限責任公司信息技術(shù)中心編制 共7 第5頁 （內(nèi)部資料注意保密）長城證券有限責任公司 此資料來自 臺商訊息網(wǎng), 大量管理資料下載第二部分長城證券有限責任公司信息系統(tǒng)管理實施細則（試行）目 錄第一章 總 則3第二章 信息系統(tǒng)工程項目申請、立項和審批程序 4錯誤！未定義書簽。第三章 信息系統(tǒng)安全管理制度6錯誤！未定義書簽。第四章 計算機設(shè)備（軟件）購置管理30錯誤！未定義書簽。第五章 軟件開發(fā)管理制度34錯誤！未定義書簽。第六章 計算機設(shè)備使用管理41錯誤！未定義書簽。第七章 計算機耗材及備品備件管理43錯誤！未定義書簽。第八章 計算機機房（實驗室）管理44錯誤！未定義書簽。第九章 總部機房信息系統(tǒng)緊急事故應(yīng)急處理47錯誤！未定義書簽。第十章 技術(shù)資料管理55第十一章 罰 則56 第十二章 附 則附表1 計算機應(yīng)用項目立項申請報告1附表2 計算機應(yīng)用項目驗收報告6附表3 計算機設(shè)備需求計劃表100附表4 計算機設(shè)備資金需求計劃表11附表5 計算機設(shè)備驗收單錯誤！未定義書簽。附表6 軟件項目需求報告1錯誤！未定義書簽。附表7 信息技術(shù)中心計算機用戶登錄表14錯誤！未定義書簽。附表8 計算機設(shè)備驗收單15錯誤！未定義書簽。附表9 備份介質(zhì)密封登記表16附表10 備份介質(zhì)調(diào)用申請表17附表11 計算機耗材及備品備件領(lǐng)用單 18附表12 信息技術(shù)中心總部數(shù)據(jù)備份任務(wù)一覽表 19附表13 信息技術(shù)中心總部數(shù)據(jù)備份介質(zhì)內(nèi)容變更登記表 20附表14 信息技術(shù)中心數(shù)據(jù)庫操作申請表 21附表15 信息技術(shù)中心數(shù)據(jù)庫訪問監(jiān)控報表 22第一章 總 則第一條 為加強長城證券有限責任公司（以下簡稱公司）對計算機應(yīng)用的集中統(tǒng)一管理，規(guī)范全公司系統(tǒng)的計算機應(yīng)用，保證計算機系統(tǒng)和設(shè)備的正常運轉(zhuǎn)，根據(jù)公司信息系統(tǒng)管理辦法，制訂本實施細則。第二條 本實施細則主要包括計算機應(yīng)用項目立項和審批程序、計算機設(shè)備購置和使用管理、應(yīng)用軟件開發(fā)管理、計算機設(shè)備報廢管理、耗材管理、網(wǎng)絡(luò)管理、機房管理、技術(shù)文檔的管理、系統(tǒng)安全保密管理、網(wǎng)絡(luò)防病毒管理以及技術(shù)培訓(xùn)管理等。第三條 本辦法適用于公司各部室、中心及所屬證券營業(yè)部（以下簡稱營業(yè)部）。第二章 信息系統(tǒng)工程項目申請、立項和審批程序第一條 計算機應(yīng)用項目包括計算機網(wǎng)絡(luò)系統(tǒng)新建與改造、硬件設(shè)備與系統(tǒng)軟件的購置、升級以及應(yīng)用軟件開發(fā)與升級等。第二條 凡單價超過五千元的計算機應(yīng)用項目，須填寫長城證券有限責任公司計算機應(yīng)用項目立項申請報告（見附表1），并報公司信息技術(shù)中心審批。第三條 已立項的計算機應(yīng)用項目完成后，由公司信息技術(shù)中心會同有關(guān)業(yè)務(wù)管理人員組成項目驗收小組進行驗收，驗收結(jié)果形成長城證券有限責任公司計算機應(yīng)用項目驗收報告（見附表2）。第四條 公司各部室、中心在每年的12月31日前，提出本部門下一年度的計算機應(yīng)用項目建設(shè)、購置及升級計劃，填寫計算機設(shè)備需求計劃表（見附表3）、計算機設(shè)備資金需求計劃表（見附表4）報信息技術(shù)中心。第五條 信息技術(shù)中心根據(jù)公司信息系統(tǒng)建設(shè)總體規(guī)劃和各部室、中心及營業(yè)部提交的計劃，匯總制定公司下一年度計算機應(yīng)用項目購建計劃，報請公司批準后執(zhí)行。 第六條 對于計劃外的計算機應(yīng)用項目，除特殊應(yīng)急項目特批外，其他原則上不予審批。第七條 對于投資較大、建設(shè)周期較長、涉及面廣的計算機應(yīng)用項目，信息技術(shù)中心將邀請業(yè)務(wù)需求部門、營業(yè)部電腦人員及有關(guān)專家進行技術(shù)論證和評審，原則上采用統(tǒng)一招標，統(tǒng)一推廣的方式。 第三章信息系統(tǒng)安全管理制度 總 則 第一條 為了加強對公司信息系統(tǒng)的安全管理、防范和化解各種技術(shù)風(fēng)險、保護投資者利益、維護公司的合法權(quán)益，確保公司各項業(yè)務(wù)的順利開展，根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例、證券經(jīng)營機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行）及有關(guān)規(guī)定制定本制度。 第二條 信息系統(tǒng)安全管理涉及安全管理組織建設(shè)、安全策略、系統(tǒng)環(huán)境安全、軟件安全、設(shè)備（實體）安全、網(wǎng)絡(luò)和通訊系統(tǒng)安全、用戶及權(quán)限管理、操作安全、病毒防范、系統(tǒng)備份、日志記錄、事故處理以及安全審計等內(nèi)容，公司信息技術(shù)工作應(yīng)在本制度指引下，本著“安全第一”的原則進行。 第三條 本制度適用于長城證券公司總部、各地區(qū)總部及各營業(yè)部。組織和職責 第四條 信息系統(tǒng)安全管理實行公司總裁負責的公司安全管理委員會和營業(yè)部總經(jīng)理負責的營業(yè)部安全管理小組兩級管理制度。 第五條 公司安全管理委員會下設(shè)安全工作小組作為執(zhí)行機構(gòu)，定期對公司范圍信息系統(tǒng)的安全性作出評價，必要時提出提高安全性的建議。 第六條 公司安全管理委員會的職責包括：建立健全公司各種安全制度、對安全工作小組的工作進行授權(quán)、對公司各類信息的重要性進行評估為其安全級別的制定提供依據(jù)、對安全工作小組有關(guān)報告的討論和批復(fù)、安全事故處理結(jié)果的公布、取得法律支持以解決信息系統(tǒng)入侵者的問題，以及進行安全教育和安全檢查。 第七條 營業(yè)部安全管理小組的職責包括：監(jiān)督和檢查各項安全管理制度在營業(yè)部的落實情況、定期向公司安全管理委員會提交工作報告、處理公司安全管理委員會授權(quán)的事務(wù)、配合公司安全工作小組的工作、開展計算機安全教育、保證營業(yè)部信息系統(tǒng)安全運行。安全策略第八條 計算機信息系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當遵守法律、行政法規(guī)和國家其他有關(guān)規(guī)定。第九條 對計算機信息系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時向營業(yè)部總經(jīng)理匯報，并于24小時內(nèi)向總部信息技術(shù)中心報告。第十條 通過對信息系統(tǒng)環(huán)境、軟件、硬件、網(wǎng)絡(luò)和通信、用戶和權(quán)限、規(guī)范化操作、病毒防范、備份和恢復(fù)手段以及安全審計等的有效管理，維護公司整個計算機環(huán)境的一致性。 第十一條 建立一個多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。第十二條 對公司員工進行計算機安全教育，提高員工的安全意識，是公司安全策略的重要組成部分。第十三條 營業(yè)部安全管理小組必須定期對本營業(yè)部的主要計算機信息系統(tǒng)資源配置、技術(shù)人員構(gòu)成進行登記，并報公司安全管理委員會備案。第十四條 公司安全管理委員會及營業(yè)部安全管理小組應(yīng)當對公司總部和各營業(yè)部重要崗位計算機信息系統(tǒng)的安全情況經(jīng)常進行檢查，并及時整改不安全隱患。第十五條 公司安全管理委員會應(yīng)當建立廢棄數(shù)據(jù)、介質(zhì)的處理制度。第十六條 公司總部和各營業(yè)部啟用新的應(yīng)用軟件，應(yīng)當按軟件開發(fā)管理制度（試行）中有關(guān)規(guī)定業(yè)務(wù)系統(tǒng)，并做好日志記錄。第十七條 公司安全管理委員會應(yīng)當建立嚴格的密鑰管理制度和在緊急情況下銷毀密鑰的手段和措施，以防止密鑰的失密。 安全監(jiān)督第十八條 公司安全管理委員會對公司內(nèi)部計算機信息系統(tǒng)安全保護工作行使下列監(jiān)督職權(quán)：1、監(jiān)督、檢查、指導(dǎo)計算機信息系統(tǒng)安全保護工作；2、查處危害計算機信息系統(tǒng)安全的事件；3、組織或委托有關(guān)部門對新建、改建和擴建的系統(tǒng)進行安全驗收，負責系統(tǒng)安全技術(shù)檢測工作；4、組織開展系統(tǒng)安全競賽和評比；負責通報表彰和處罰；5、履行計算機信息系統(tǒng)安全保護工作的其他監(jiān)督職責。第十九條 公司安全管理委員會發(fā)現(xiàn)影響計算機信息系統(tǒng)安全的隱患時，應(yīng)當及時通知公司各有關(guān)部門和各營業(yè)部采取安全保護措施。第二十條 公司安全管理委員會在緊急情況下，可以就涉及計算機信 息系統(tǒng)安全的特定事項發(fā)布專項通知。 安全管理第一節(jié) 信息系統(tǒng)環(huán)境的安全管理 第二十一條 信息系統(tǒng)環(huán)境的安全管理按照公司計算機房管理制度及信息系統(tǒng)環(huán)境標準執(zhí)行。第二節(jié) 軟件安全管理 第二十二條 總部信息技術(shù)中心依據(jù)公司軟件開發(fā)管理制度對系統(tǒng)軟件、應(yīng)用軟件的開發(fā)、購買、測試和使用等環(huán)節(jié)進行管理。 第二十三條 軟件的開發(fā)和采購報告必須包括安全設(shè)計的說明，其安全設(shè)計必須符合軟件開發(fā)管理制度的有關(guān)規(guī)定。 第二十四條 信息技術(shù)人員應(yīng)按照信息技術(shù)中心下發(fā)的安裝配置方法對系統(tǒng)軟件進行統(tǒng)一的安裝配置。 第二十五條 信息系統(tǒng)的安全漏洞一經(jīng)發(fā)現(xiàn)應(yīng)及時報告公司安全管理委員會。第二十六條信息技術(shù)中心應(yīng)與軟件開發(fā)商和供應(yīng)商保持聯(lián)系，及時取得并組織安裝經(jīng)過測試的安全補丁。第二十七條 軟件使用部門根據(jù)業(yè)務(wù)需要提出增添新的應(yīng)用軟件或?qū)σ延袘?yīng)用軟件提出新的功能要求，須以部門名義向信息技術(shù)中心填寫軟件需求報告表， 信息技術(shù)中心在收到軟件需求報告表（附表5）后，三天之內(nèi)給予書面答復(fù)。第二十八條 新購置的軟件需經(jīng)信息技術(shù)中心測試和試運行。試運行完成后，試用人員應(yīng)填寫軟件驗收報告表（附表6）報信息技術(shù)中心領(lǐng)導(dǎo)審核，信息技術(shù)中心在收到報告后三天內(nèi)予以回復(fù)。測試穩(wěn)定后由信息技術(shù)中心統(tǒng)一分發(fā)安裝使用。第二十九條 自行開發(fā)的應(yīng)用軟件，如源程序中需要嵌入數(shù)據(jù)庫訪問的用戶設(shè)置，應(yīng)由數(shù)據(jù)管理員得到源程序、制作安裝盤。該安裝盤與購置的應(yīng)用軟件安裝盤一并由檔案管理員保管，由應(yīng)用系統(tǒng)維護人員調(diào)用安裝。第三節(jié) 計算機及相關(guān)設(shè)備的安全管理 第三十條 總部信息技術(shù)中心配合行政部及財務(wù)部依據(jù)公司電子與通訊設(shè)備固定資產(chǎn)管理制度對計算機及相關(guān)設(shè)備的選型、采購等過程進行管理。 第三十一條 重要的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備應(yīng)放置在機房，通過計算機房管理制度保證其物理安全性。 第三十二條 重要的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備應(yīng)有備品備件，出現(xiàn)問題及時更換。 第三十三條 對服務(wù)器及其資源的管理： 1、對資源共享權(quán)限和NTFS訪問權(quán)限進行嚴格、有效的管理，不授予用戶超出需要的權(quán)限，權(quán)限的設(shè)置必須有明確的依據(jù)； 2、制定方案，對敏感資源的操作、系統(tǒng)登錄情況進行定期或不定期檢查，及時查看L系統(tǒng)日志文件，對ALERT相關(guān)日志提示作出及時響應(yīng)； 3、提供遠程訪問和對外WEB服務(wù)的服務(wù)器不存放敏感數(shù)據(jù)；4、對一些系統(tǒng)程序(如Telnet、ftp等)的使用應(yīng)加強控制；停止服務(wù)器上不必要的服務(wù)；盡量減少所使用的協(xié)議。第三十四條 對貯有重要數(shù)據(jù)的故障設(shè)備，交外單位人員修理時，公司總部及各營業(yè)部必須派專人在場監(jiān)督。第四節(jié) 網(wǎng)絡(luò)和通信系統(tǒng)的安全管理第三十五條 計算機通信系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當遵守法律、行政法規(guī)和國家其他有關(guān)規(guī)定，并建立一個多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。第三十六條 采用新的網(wǎng)絡(luò)安全軟件、設(shè)備和技術(shù)保證公司網(wǎng)絡(luò)的安全。 第三十七條 采用數(shù)據(jù)加密技術(shù)保證數(shù)據(jù)安全傳輸?？偛亢蜖I業(yè)部間業(yè)務(wù)數(shù)據(jù)的傳輸應(yīng)加密后采用數(shù)據(jù)專線進行傳輸。并采用PPP協(xié)議中PAP、CHAP相應(yīng)的認證。第三十八條 總部和營業(yè)部間業(yè)務(wù)數(shù)據(jù)的傳輸應(yīng)加密后采用數(shù)據(jù)專線進行傳輸。第三十九條 通信設(shè)備應(yīng)具有防干擾、防截取能力。主要的通信設(shè)備應(yīng)做到設(shè)備備份。第四十條 通信線路接口部分應(yīng)采取防止非法進入的安全措施。第四十一條 進行密碼設(shè)置，并進行密碼的專職保管，防范通信線路接口部分的采取非法進入。第四十二條 公司總部及營業(yè)部應(yīng)當對公司總部和各營業(yè)部通信系穩(wěn)定、安全情況進行定期檢查，并及時整改不安全隱患。第四十三條 對通信系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時向營業(yè)部總經(jīng)理匯報，并于即時與總部信息技術(shù)中心相關(guān)人員聯(lián)系，雙方合作盡快解決問題。第四十四條 總部信息技術(shù)中心設(shè)崗位職責，分別負責公司廣域網(wǎng)連接方案、網(wǎng)絡(luò)安全方案的實施，對總部局域網(wǎng)、公司廣域網(wǎng)連接、各類移動連接、Internet接入設(shè)備進行管理，以及其它保證網(wǎng)絡(luò)連接安全穩(wěn)定的日常事務(wù)性工作。第四十五條 營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負責。營業(yè)部柜臺交易系統(tǒng)管理員由營業(yè)部總經(jīng)理擔任。第四十六條 營業(yè)部與交易所的衛(wèi)星通信均應(yīng)做到伙伴備份或isdn或ddn的備份。對上海報盤應(yīng)做到總部備份。對以上備份系統(tǒng)做到定期測試，保證通信無誤。第四十七條 為了安全期間，營業(yè)部與營業(yè)部之間應(yīng)限制相互間的直接操作。第五節(jié) 數(shù)據(jù)訪問的安全管理第四十八條由于審計、數(shù)據(jù)庫故障調(diào)試等原因，需要訪問數(shù)據(jù)庫時，應(yīng)創(chuàng)建臨時用戶、賦予適當?shù)臋?quán)限，并交由審計人員、應(yīng)用系統(tǒng)維護人員使用，并在使用完畢后及時刪除該臨時用戶。在技術(shù)允許的條件下，應(yīng)限制用戶的登錄工作站。第四十九條對于涉及業(yè)務(wù)、財務(wù)方面的數(shù)據(jù)庫，應(yīng)利用數(shù)據(jù)庫系統(tǒng)的訪問跟蹤記錄功能，設(shè)置對應(yīng)用系統(tǒng)、調(diào)試用戶、超級用戶訪問數(shù)據(jù)庫的命令進行跟蹤，記錄到監(jiān)控日志文件中。定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時通報。第五節(jié) 管理員及其職責 第五十條 總部信息技術(shù)中心設(shè)系統(tǒng)管理員崗位，負責公司信息系統(tǒng)的管理，包括服務(wù)器的規(guī)劃、安裝和配置，啟動/停止系統(tǒng)和服務(wù)，對系統(tǒng)運行狀態(tài)和入侵企圖進行監(jiān)控，安裝/刪除軟件，增加/刪除/修改用戶和用戶組，對用戶/用戶組的權(quán)限進行設(shè)置和修改，以及其它保持系統(tǒng)發(fā)展和安全運行的工作。 管理員應(yīng)采取的安全措施有： 1、由于管理員組和備份組成員擁有對SAM數(shù)據(jù)庫的權(quán)限，所以必須嚴格限制管理員組和備份組成員資格，并加強對這些帳戶的審計； 2、改變Administrator帳戶名，為管理員和備份操作員創(chuàng)建專用帳號，為特定的工作建立專用的帳號，要求在執(zhí)行相應(yīng)的管理任務(wù)時使用相應(yīng)的帳號，操作結(jié)束時及時注銷； 3、關(guān)閉管理員以及特殊權(quán)限用戶的遠程訪問能力，特殊情況可以采用預(yù)設(shè)電話號碼的回撥方式； 4、管理員組、備份組成員帳戶不能用于瀏覽WEB。 第五十一條 總部信息技術(shù)中心設(shè)數(shù)據(jù)管理員崗位，負責總部數(shù)據(jù)的安全管理和維護，具體職責見信息系統(tǒng)安全管理制度第十三節(jié)“總部數(shù)據(jù)管理員職責細則”。第五十二條 總部信息技術(shù)中心設(shè)網(wǎng)絡(luò)管理員崗位，負責公司廣域網(wǎng)連接方案、網(wǎng)絡(luò)安全方案的實施，對總部局域網(wǎng)、公司廣域網(wǎng)連接、各類移動連接、Internet接入設(shè)備進行管理，以及其它保證網(wǎng)絡(luò)連接安全穩(wěn)定的日常事務(wù)性工作。 第五十三條 營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負責。營業(yè)部柜臺交易系統(tǒng)管理員由營業(yè)部總經(jīng)理擔任。 第五十四條 公司設(shè)立財務(wù)系統(tǒng)管理員崗位，財務(wù)系統(tǒng)管理員一般由財務(wù)部經(jīng)理擔任。第六節(jié) 用戶、組及其權(quán)限 第五十五條 系統(tǒng)管理員根據(jù)公司業(yè)務(wù)要求建立具有不同權(quán)限的用戶組，包括系統(tǒng)管理權(quán)限、系統(tǒng)和數(shù)據(jù)備份權(quán)限、帳號管理權(quán)限、各種數(shù)據(jù)庫訪問權(quán)限、不同的文件訪問權(quán)限、各種應(yīng)用程序使用權(quán)限、網(wǎng)絡(luò)打印權(quán)限、遠程訪問權(quán)限、Internet訪問權(quán)限等。第五十六條 總部系統(tǒng)管理員應(yīng)依據(jù)總部行政部的書面通知，完成新增/刪除用戶、分配權(quán)限的工作，并用郵件方式回復(fù)。上述通知應(yīng)包括需要新增/刪除的用戶的姓名、工作的部門、需要使用何種應(yīng)用等。第五十七條 營業(yè)部因人員新增調(diào)動、離職等需對郵件等用戶作出調(diào)整的，由營業(yè)部辦公室主任通知信息技術(shù)中心。第五十八條 營業(yè)部交易系統(tǒng)管理員新增/刪除柜臺用戶或?qū)τ脩魴?quán)限進行分配應(yīng)有文字記錄。對股票、資金等參數(shù)進行調(diào)整的非正常業(yè)務(wù)操作必須填寫書面說明，而且必須由營業(yè)部總經(jīng)理及財務(wù)部經(jīng)理共同批準后方能執(zhí)行。 第五十六條 營業(yè)部技術(shù)人員在應(yīng)用系統(tǒng)中的權(quán)限應(yīng)只限于系統(tǒng)管理，而無業(yè)務(wù)操作權(quán)限。第五十九條 對用戶及權(quán)限管理應(yīng)按以下原則執(zhí)行： 1、應(yīng)對具有系統(tǒng)管理、數(shù)據(jù)庫管理等特殊權(quán)限的用戶進行限制，包括僅允許在機房和自己的工作地點登錄，同一時間僅允許同一用戶登錄一次允許遠程訪問時必須設(shè)定回撥方式等； 2、盡可能對組而不是對用戶授權(quán)； 3、杜絕無口令的登錄帳戶，刪除GUEST帳戶； 4、對口令長度、復(fù)雜程度、有效期、重復(fù)使用的間隔等進行規(guī)定； 5、及時鎖定過期帳戶、暫停使用的帳戶、多次試圖使用無效口令登錄的帳戶，臨時授權(quán)帳戶必須及時取消； 6、一般不設(shè)公用帳戶，以保證用戶有獨立的帳戶； 7、對使用時間進行限制； 8、超時鎖定； 9、對無法設(shè)置口令的用戶及公用帳戶應(yīng)加強登錄時間、登錄地點、登錄數(shù)目的限制，對自動執(zhí)行批處理命令的用戶應(yīng)有防中斷措施； 10、權(quán)限變更或交接應(yīng)有文字記載。 第六十條 對使用公司網(wǎng)絡(luò)訪問Internet，使用打印機等的用戶實行嚴格管理。第七節(jié) 操作的規(guī)范化管理 第六十一條 總部和營業(yè)部應(yīng)分別制定操作規(guī)程，并定期修改。 第六十二條 禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令。 第六十三條 公司員工應(yīng)有互不相同的用戶名，定期兩個月更換操作口令。第六十四條 一般用戶口令長度不得少于6位，不使用小鍵盤的人員編制口令應(yīng)做到字符與數(shù)字混排，不得使用電話號碼、生日等作為口令；系統(tǒng)管理員口令不得少于10位。 第六十五條 嚴禁泄露自己的口令，必須啟用系統(tǒng)軟件提供的安全審計留痕功能。 第六十六條 各崗位操作權(quán)限要嚴格按崗位職責設(shè)置，管理員不得超越用戶職責授權(quán)。管理員應(yīng)定期檢查操作員的權(quán)限。 第六十七條 營業(yè)部總經(jīng)理應(yīng)及時審計交易系統(tǒng)柜員所做的操作，重要崗位的登錄過程應(yīng)增加必要的限制措施。 第六十八條 柜臺交易系統(tǒng)技術(shù)參數(shù)的調(diào)整由電腦部經(jīng)理負責；交易業(yè)務(wù)參數(shù)的調(diào)整由財務(wù)部經(jīng)理在履行審批手續(xù)后實施，禁止電腦技術(shù)人員調(diào)整業(yè)務(wù)參數(shù)。 第六十九條 營業(yè)部電腦技術(shù)人員可以協(xié)助但不得擔任清算員從事結(jié)算記帳工作。有關(guān)數(shù)據(jù)需打印存檔的必須使用連續(xù)的打印紙。 第七十條 建立和完善技術(shù)監(jiān)管系統(tǒng)，定期進行獨立的對帳，核對交易數(shù)據(jù)、清算數(shù)據(jù)、保證金數(shù)據(jù)、證券托管數(shù)據(jù)以及會計數(shù)據(jù)的一致性和連續(xù)性。第七十一條 對數(shù)據(jù)備份和審計記錄建立定期查驗制度。第八節(jié) 病毒防范 第七十二條 信息技術(shù)中心應(yīng)指定專人負責計算機病毒防范工作?？偛考盃I業(yè)部應(yīng)定期進行病毒檢測，發(fā)現(xiàn)病毒立即處理并報告。重要部門的計算機應(yīng)當指定專人專管計算機病毒防范工作。 第七十三條 總部和營業(yè)部必須配備公安部認可的正版防病毒軟件并及時更新軟件版本。 第七十四條 經(jīng)遠程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認無病毒后方可使用。 第七十五條 禁止運行未經(jīng)信息技術(shù)中心審核批準的軟件。 第七十六條 新系統(tǒng)安裝前應(yīng)進行病毒例行檢測，避免使用盜版軟件。 第七十七條 嚴格限制軟驅(qū)和光驅(qū)的使用，軟驅(qū)和光驅(qū)的使用按信息系統(tǒng)環(huán)境標準的有關(guān)條款執(zhí)行。第七十八條 在使用modem與外界通訊或能夠訪問Internet的計算機上應(yīng)安裝病毒實時監(jiān)控軟件。第七十九條 因計算機病毒引起的計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴重破壞等重大事故及時向信息技術(shù)中心領(lǐng)導(dǎo)及電腦安全管理小組報告。第八十條 公司總部員工須與信息技術(shù)中心簽定電腦安全承諾書后，才能領(lǐng)用和使用辦公電腦。第九節(jié) 備份第八十一條 按照信息系統(tǒng)環(huán)境標準的有關(guān)規(guī)定對系統(tǒng)進行備份。第八十二條 營業(yè)部必須對交易數(shù)據(jù)等進行備份，備份數(shù)據(jù)存放按公司技術(shù)資料管理制度和信息系統(tǒng)安全管理制度 執(zhí)行。第八十三條 系統(tǒng)管理員必須提取有關(guān)系統(tǒng)的配置參數(shù)并在修改參數(shù)后及時更新。第八十四條 必須保留軟硬件說明書、配置軟件、配置參數(shù)等技術(shù)資料，并存放于安全地點，有關(guān)事項按技術(shù)資料管理制 度及信息系統(tǒng)環(huán)境標準執(zhí)行。第八十五條 對于加密格式的數(shù)據(jù)，應(yīng)盡可能解密后備份，防范密鑰由于頻繁更換等原因可能丟失所帶來的風(fēng)險。第八十六條 數(shù)據(jù)備份在周期性方面可選擇采用以下四種方式：1、 永久性的完全備份：數(shù)據(jù)備份到存儲介質(zhì)后，將介質(zhì)密封永久保存；2、 周五做完全備份、周一至周四做增量備份；3、 定期做覆蓋方式的完全備份：在同一備份介質(zhì)上覆蓋原有備份數(shù)據(jù)；4、 定期做追加方式的完全備份：在同一備份介質(zhì)上增加最新狀態(tài)的備份；第八十七條 根據(jù)第四條中不同周期備份方式的要求，備份可選擇以下幾種存儲介質(zhì)：1、 寫的刻錄光碟（CD、DVD等），適合于永久備份；2、 磁帶，適合于所有備份策略；3、 可擦寫的其他存儲介質(zhì)（硬盤、MO等），適合于備份策略；備份介質(zhì)在備份操作前須經(jīng)過編號，編號規(guī)則見第八十九條。第八十八條 對于某個具體的備份對象，原則上應(yīng)僅選擇一種備份方式和備份介質(zhì)實施備份。同時盡可能選擇可移動的備份介質(zhì)，以利于數(shù)據(jù)備份的歸檔管理。除非應(yīng)用系統(tǒng)有特殊要求，一般情況下不采用硬盤等不可移動的備份介質(zhì)。第八十九條 備份介質(zhì)編號規(guī)則格式為：”ZB”+四位年份代碼+數(shù)據(jù)來源代碼+四位序列號 其中數(shù)據(jù)來源代碼 01代表總部數(shù)據(jù) 02代表營業(yè)部數(shù)據(jù)； 三位序列號在一個年度中從“0001”開始遞增； 如：ZB2001010001，代表本備份介質(zhì)是在總部保存的2001年總部數(shù)據(jù)的第0001號備份第九十條 備份的密封處理可移動的備份介質(zhì)在完成聯(lián)機備份操作后，如須密封處理則應(yīng)按如下步驟操作：1、 備份介質(zhì)密封登記表（見附件9），注明備份日期、內(nèi)容、操作人、復(fù)核人等相關(guān)內(nèi)容，該登記表一式兩份；2、 將備份介質(zhì)及相關(guān)的附件裝入檔案盒，同時放入一份備份介質(zhì)密封登記表，另外一份登記表貼于檔案盒封面；3、 將檔案盒封口處貼上封條，并蓋上保管部門的密封章。（注：密封章可以是公司公章、部門公章或備份專用章，應(yīng)當由除檔案管理員之外的人員保管）第九十一條備份的保管根據(jù)備份方式的不同，數(shù)據(jù)備份分如下兩種情況進行保管：1、 對于永久性的完全備份，應(yīng)保留兩份備份。在密封處理后，其中的一份交由信息技術(shù)中心檔案管理員保管（蓋信息技術(shù)中心密封章），另外一份交由總部檔案室檔案管理員保管（蓋總部檔案室密封章）；2、 于定期做覆蓋或追加方式的完全備份，應(yīng)保留一份備份。在脫機后，如保管時間超過七天，則須經(jīng)密封處理由信息技術(shù)中心檔案管理員保管；如保管時間不超過七天，則可有備份管理員鎖于臨時保管箱內(nèi)交由檔案管理員保管；3、 對于周五做完全備份、周一至周四做增量備份的方式，如采用磁帶柜備份且磁帶柜放置于安全的地點，則可將五天備份所用的磁帶一并放入磁帶柜，實現(xiàn)每日自動裝載和備份；否則仍須按情況（2）的方式進行保管。第九十二條 備份的檢查1、 對于永久性的完全備份，在密封保管前須通過數(shù)據(jù)導(dǎo)出、檢查數(shù)據(jù)完整性的復(fù)核；在密封保管后，須每隔一年進行一次數(shù)據(jù)檢查；2、 對于除永久性的完全備份以外的備份方式，應(yīng)在經(jīng)過了一到兩個備份周期后進行恢復(fù)測試；在備份正常運轉(zhuǎn)后，須每隔三個月進行一次恢復(fù)測試。第九十三條 備份介質(zhì)的調(diào)用程序因日常備份操作、檢查備份、數(shù)據(jù)查詢等要求，需要調(diào)用檔案管理員保管的備份介質(zhì)，應(yīng)分以下幾種情況執(zhí)行調(diào)用程序：1、 備份由總部檔案室保管，則須填寫備份介質(zhì)調(diào)用申請表（見附表10），由信息技術(shù)中心總經(jīng)理、公司總裁或分管信息技術(shù)中心的副總裁簽字后，從檔案管理員處領(lǐng)取，在使用完畢后按期交回；2、 備份密封后由信息技術(shù)中心檔案管理員保管，則須填寫備份介質(zhì)調(diào)用申請表（見附表10），由信息技術(shù)中心總經(jīng)理簽字后，從檔案管理員處領(lǐng)取，在使用完畢后按期交回；3、 如備份由備份管理員放置于臨時保管箱內(nèi)，則須填寫備份介質(zhì)調(diào)用申請表，由檔案管理員簽字即可領(lǐng)取。第九十四條備份介質(zhì)的銷毀對于永久性的完全備份，在密封保管后，如需要銷毀，須填寫備份介質(zhì)調(diào)用申請表，經(jīng)公司總裁或分管信息技術(shù)中心的副總裁簽字后，將備份介質(zhì)通過粉碎等方式銷毀。第十節(jié) 日志記錄 第九十五條 信息技術(shù)中心及營業(yè)部電腦部應(yīng)對系統(tǒng)配置的更改、網(wǎng)絡(luò)用戶權(quán)限的分配和更改及原因作詳細記錄，對機房管理系統(tǒng)運行情況，系統(tǒng)運行故障現(xiàn)象、時間、處理方式等進行詳細記錄。營業(yè)部交易系統(tǒng)管理員應(yīng)對增/刪除柜員、柜員權(quán)限變更情況進行記錄；財務(wù)部經(jīng)理應(yīng)對業(yè)務(wù)參數(shù)調(diào)整，更改股票、資金余額等操作進行記錄。 第九十六條 日志記錄采用標準格式，并具備相關(guān)責任人的簽字。參見附錄一。第九十九條 系統(tǒng)運行日志必須妥善保存，不得缺頁，定期存檔。 第十一節(jié) 安全事故處理及恢復(fù)第一百條 安全事故是指由于軟硬件故障、系統(tǒng)配置錯誤、操作失誤、黑客入侵、病毒、口令盜用等原因引起系統(tǒng)無法正常運行，數(shù)據(jù)或文件丟失的事件。第一百零一條 安全事故分成A、B、C三類，其中A類指對交易產(chǎn)生直接影響的事故；B類指未影響交易但造成一定經(jīng)濟損失的事故；C類指未影響交易也未造成經(jīng)濟損失，但構(gòu)成系統(tǒng)安全隱患的事故。第一百零二條 總部及各營業(yè)部應(yīng)根據(jù)計算機房管理制度及自身情況制定應(yīng)急處理流程及時更新并定期演習(xí)。第一百零三條 應(yīng)急處理流程的制定應(yīng)涵蓋通信、服務(wù)、供電、數(shù)據(jù)、設(shè)備等，同時確定演習(xí)、通報、事故分析等內(nèi)容。第一百零四條 應(yīng)急處理流程的制定應(yīng)體現(xiàn)細致、明了的原則，不得遺漏任何環(huán)節(jié)，保證逐條實施可以排除故障、恢復(fù)系統(tǒng)運行。第一百零五條 事故出現(xiàn)后應(yīng)及時處理并按公司營業(yè)部技術(shù)事故處理規(guī)定的有關(guān)規(guī)定匯報。凡隱瞞不報的，追究營業(yè)部總經(jīng)理及電腦部經(jīng)理的責任。第一百零六條 事故處理后應(yīng)及時進行分析并寫出分析報告，總部相關(guān)部門應(yīng)在此基礎(chǔ)上明確責任歸屬，并向營業(yè)部通報。 人員管理第一百零七條 系統(tǒng)管理員不能兼任柜臺及事后稽核等工作，不得參與相關(guān)軟件開發(fā)。參加過應(yīng)用系統(tǒng)開發(fā)的人員，不得擔任相應(yīng)系統(tǒng)的管理員。第一百零八條 公司安全管理委員會及營業(yè)部安全管理小組應(yīng)當加強公司總部和各營業(yè)部主要崗位工作人員的錄用、考核制度，不適宜的人員必須及時調(diào)離。第一百零九條 電腦技術(shù)人員調(diào)離時，必須移交全部技術(shù)手冊及有關(guān)資料，并更換計算機的有關(guān)口令和密鑰。涉及公司業(yè)務(wù)核心部分開發(fā)的技術(shù)人員調(diào)離原工作崗位或公司時，應(yīng)當確認對公司計算機信息系統(tǒng)安全不會造成危害后方可調(diào)離。 責 任 第一百一十條 違反本條例的規(guī)定，有下列行為之一的，由公司安全管理委員會處以警告或通報批評處分：1、違反計算機信息系統(tǒng)安全管理中有關(guān)條例，危害計算機信息系統(tǒng)安全的；2、不按照規(guī)定時間報告計算機信息系統(tǒng)中發(fā)生的案件的；3、接到公司安全管理委員會要求改進安全狀況的通知后，在限期內(nèi)拒不改進或未完成目標的；4、違反審批制度增設(shè)或更換設(shè)備、裝置的；5、拒絕、阻礙公司計算機安全管理組織實施安全檢查的；6、有危害計算機信息系統(tǒng)安全的其他行為的。第一百一十一條 計算機房不符合公司計算機房管理制度及信息系統(tǒng)環(huán)境標準有關(guān)規(guī)定的，或者在計算機機房附近施工危害計算機信息系統(tǒng)安全的，由公司安全管理委員會會同有關(guān)部門進行處理。第一百一十二條 故意輸入計算機病毒以及其他有害數(shù)據(jù)危害公司計算機信息系統(tǒng)安全的，由公司安全管理委員會處以警告或者罰款處分。第十三節(jié)信息技術(shù)中心總部數(shù)據(jù)管理員職責細則職責范圍第一百一十三條 數(shù)據(jù)管理員負責對總部應(yīng)用系統(tǒng)數(shù)據(jù)實施備份，并實行安全可靠的管理；對營業(yè)部上交的應(yīng)用系統(tǒng)數(shù)據(jù)備份進行歸檔和使用實行管理；掌握數(shù)據(jù)庫超級用戶權(quán)限，安全規(guī)范地管理數(shù)據(jù)庫系統(tǒng)的運行。第一百一十四條 制定備份策略，對數(shù)據(jù)文件和數(shù)據(jù)庫進行備份。與檔案管理員協(xié)作，妥善保管備份介質(zhì)。第一百一十五條 根據(jù)業(yè)務(wù)需求和用戶申請創(chuàng)建、刪除數(shù)據(jù)庫，修改數(shù)據(jù)庫參數(shù)設(shè)置。第一百一十六條 根據(jù)業(yè)務(wù)需求和用戶申請創(chuàng)建數(shù)據(jù)庫系統(tǒng)的登錄用戶，賦予用戶適當?shù)臄?shù)據(jù)庫權(quán)限，包括數(shù)據(jù)庫所有者權(quán)限、數(shù)據(jù)庫對象的增刪改權(quán)限等；刪除用戶；保管應(yīng)用程序中封裝的數(shù)據(jù)庫用戶的密碼。第一百一十七條 在數(shù)據(jù)庫需要進行數(shù)據(jù)和結(jié)構(gòu)方面的調(diào)整時，創(chuàng)建臨時調(diào)試用戶并交由應(yīng)用系統(tǒng)維護人員使用，并在使用完畢后及時刪除測試用戶。第一百一十八條 利用數(shù)據(jù)庫系統(tǒng)的訪問跟蹤記錄功能，設(shè)置對應(yīng)用系統(tǒng)、調(diào)試用戶、超級用戶訪問數(shù)據(jù)庫的命令進行跟蹤，記錄到監(jiān)控日志文件中；定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時通報。第一百一十九條 除上