一、各證券經營機構要充分認識實施《規范》的必要性和重要性，各單位主要負責人要認真組織學習，親自抓《規范》的實施落實工作。

　二、《規范》適用于依法成立的證券經營機構。已制定的地方性管理規定及各證券經營機構內部規章制度須根據本《規范》作相應修訂。

　三、本《規范》從發布之日起實施，工作分兩個階段進行：第一階段，今年上半年要根據《規范》要求，建立健全內部管理制度和組織機構；第二階段，１９９９年６月３０日前要完成更新與調試營業部信息系統軟、硬件工作，達到《規范》要求。各證券經營機構要結合本單位實際安排好工作進度。

　四、本《規范》將納入證券經營機構年檢范圍，對不符合《規范》要求的營業部，中國證監會將要求其限期整改，并追究該證券經營機構及其營業部主要領導者的責任。

　五、年內中國證監會將組織檢查落實情況，并適時安排培訓和技術交流。

　　　　　　 證券經營機構營業部信息系統技術管理規范（試行）

　　　　　　　　　　　　　　　　目　　錄

目錄
第一章　總則
　　第一節　目標
　　第二節　原則
　　第三節　制定與實施
第二章　管理體系
　　第一節　組織結構
　　第二節　人員管理
　　第三節　安全管理
　　第四節　技術資料管理
第三章　硬件設施
　　第一節　計算機機房
　　第二節　遠程通信
　　第三節　計算機設備
　　第四節　局域網絡
　　第五節　電子交易設備
　　第六條　設備管理
第四章　軟件環境
　　第一節　系統軟件
　　第二節　應用軟件
　　第三節　軟件管理
第五章　數據管理
　　第一節　交易業務數據
　　第二節　系統數據
第六章　技術事故的防范與處理
　　第一節　技術事故及其防范
　　第二節　技術事故的處理

　　　　　　　　　　　　　　第一章　總則

　第一節　目標
　　１．１．１　最大程度地防范技術操作風險，保護投資者利益，維護證券經營機構的合法權益，促進證券市場健康發展。
　　１．１．２　充分吸收國外先進經驗和國內計算機信息技術應用成果，推動信息系統建設與技術管理水平的協調發展，提高證券行業的整體技術水平。
　　１．１．３　指導證券經營機構下屬證券營業部（以下簡稱營業部）加強計算機信息系統的優化建設和安全管理，加強計算機信息技術人員的管理，防止數據遺失、損壞、篡改、泄漏，提高系統運行的安全性、可靠性與穩定性。

　第二節　原則
　　１．２．１　安全性原則。營業部在信息系統的設計、開發、運行、維護各環節和硬件、軟件、網絡通訊、數據、管理制度各方面，都必須貫徹安全性原則。應當把安全措施落實到信息技術管理的每個環節、每個方面；應當使從業人員牢固樹立技術風險的防范意識。
　　１．２．２　實用性原則。營業部應當加強信息技術管理，注重采用先進成熟技術。在確保系統安全的前提下，力求避免因不切實際地提高系統安全級別而造成投資浪費；避免因引用任何未經消化吸收的境外安全保密技術和設備而對信息技術管理造成消極影響。
　　１．２．３　可操作性原則。信息技術管理規范必須具有可操作性。營業部根據本規范細化與完善其信息技術管理制度時，也應當力求簡單明確，便于對照檢查，便于操作。

　第三節　制定與實施
　　１．３．１　根據《中華人民共和國計算機信息系統安全保護條例》及有關規定，結合我國證券業具體情況，制定本規范。
　　１．３．２　本規范由中國證券監督管理委員會發布和監督實施。
　　１．３．３　本規范原則上每兩年修訂一次。
　　１．３．４　本規范由中國證券監督管理委員會負責解釋。

　　　　　　　　　　　　　第二章　管理體系

　第一節　組織結構
　　２．１．１　各證券經營機構計算機信息技術工作必須實行統一歸口管理，建立健全組織機構。證券經營機構應設立計算機信息系統管理部門（以下稱電腦中心），營業部相應設立計算機工作管理部門（以下稱電腦部）。
　　２．１．２　電腦中心是證券經營機構信息系統規劃、建設、管理的主管部門。電腦中心內部應建立職責明確、相互制約的分工體系，可設置運行、開發、管理等工作部門。電腦中心的主要職能是：
　　（１）負責制定與信息系統相關的規章制度；
　　（２）負責信息系統建設的總體規劃并組織實施；
　　（３）根據證券經營機構業務目標與計劃制定計算機工作計劃并組織實施；
　　（４）審核營業部電腦負責人的任職資格；
　　（５）負責信息技術人員的培訓與考核；
　　（６）負責計算機硬件與軟件的選型；
　　（７）審核計算機硬件設備的購置、報損、報廢；
　　（８）負責計算機軟件的開發與購買；
　　（９）保障信息系統安全運行，為營業部提供技術支持；
　　（１０）負責交易業務數據及其它重要數據的備份管理；
　　（１１）負責技術資料的管理；
　　（１２）負責對營業部的信息系統進行定期或不定期的專項檢查；
　　（１３）指導和監督電腦部工作；
　　（１４）跟蹤研究信息技術的發展；
　　（１５）公司授權的其它管理職能。
　　２．１．３　電腦部負責本營業部信息系統日常的運行、管理與維護。電腦部在技術上接受電腦中心的管理、指導和考核。電腦部的主要職能是：
　　（１）負責本營業部信息系統的安全運行。開市之前做好系統的運行準備工作，開市期間實時監控系統的運行狀況，收市以后配合清算員完成日結清算等盤后工作；
　　（２）及時處理證券交易所及有關部門播發的涉及信息系統運行的數據與文件；
　　（３）負責對本營業部業務人員進行計算機操作指導，協助電腦中心對有關業務人員進行技術培訓；
　　（４）完整、準確地記錄信息系統的運行日志，詳細記載發生異常時的現象、時間、處理方式等內容并妥善保存有關原始資料，發生技術事故及時報告；
　　（５）負責計算機硬件設備的管理和維護，保持系統處于良好的運行狀態；
　　（６）負責交易業務數據及其它重要數據的備份；
　　（７）根據營業部業務發展的要求，提交軟件需求報告及硬件采購計劃；
　　（８）編制營業部計算機設備的維修、報損、報廢計劃，報電腦中心審核；
　　（９）處理經電腦中心核準的其它事務。

　第二節　人員管理
　　２．２．１　為保障信息系統的開發與運行管理質量，證券經營機構營業部信息技術人員編制應不少于總人數的百分之十。
　　２．２．２　信息技術人員應具備大專以上學歷，具有計算機基礎理論知識和專業技術經驗，較強的業務工作能力和再學習能力、良好的職業道德和服務意識，富有敬業精神和團隊合作精神。
　　２．２．３　禁止錄用有犯罪或其他嚴重違法行為記錄的人員從事證券行業計算機工作。
　　２．２．４　關鍵技術崗位必須經過嚴格考核，合格后方可上崗。
　　２．２．５　電腦中心應配合人事部門定期對信息技術人員進行考核。
　　２．２．６　定期對信息技術人員進行業務培訓和技術培訓，不合格或未參加培訓者嚴禁上崗。
　　２．２．７　營業部電腦負責人之間應定期或不定期輪換。
　　２．２．８　離崗人員必須嚴格辦理離崗手續，明確其離崗后的保密義務，退還全部技術資料。信息系統的口令必須立即更換。

　第三節　安全管理
　　２．３．１　建立計算機安全管理組織，證券經營機構要指定一職能部門負責公司及所屬營業部的計算機安全管理。由公司總經理（總裁）主管計算機安全工作，營業部負責人為營業部計算機安全工作責任人。
　　２．３．２　計算機安全管理組織的主要任務是：制定計算機安全管理制度，廣泛開展計算機安全教育，定期或不定期進行計算機安全檢查，保證計算機系統安全運行。
　　２．３．３　計算機安全管理的主要內容包括安全防范設施和安全保障機制，以有效降低系統風險和操作風險，預防不法分子利用計算機作案。
　　２．３．４　建立計算機機房安全管理制度
　　（１）建立完整的計算機運行日志、操作記錄及其它與安全有關的資料；
　　（２）交易時間內機房必須有當班值班人員；
　　（３）定期檢查安全保障設備，確保其處于正常工作狀態；
　　（４）建立并嚴格執行機房進出管理制度，無關人員未經安全責任人批準嚴禁進出機房；
　　（５）嚴禁易燃易爆和強磁物品及其它與機房工作無關的物品進入機房。
　　２．３．５　建立操作安全管理制度
　　（１）應采取嚴密的安全措施防止無關用戶進入系統；
　　（２）數據庫管理系統的口令必須由電腦中心專人掌管，并要求定期更換。禁止同一人掌管操作系統口令和數據庫管理系統口令；
　　（３）操作人員應有互不相同的用戶名，定期更換操作口令。嚴禁操作人員泄露自己的操作口令；
　　（４）必須啟用系統軟件提供的安全審計留痕功能；
　　（５）各崗位操作權限要嚴格按崗位職責設置。應定期檢查操作員的權限；
　　（６）重要崗位的登錄過程應增加必要的限制措施；
　　（７）營業部計算機信息技術人員不得擔任清算員從事結算記帳工作；
　　（８）建立和完善技術監管系統，定期進行獨立的對帳，核對交易數據、清算數據、保證金數據、證券托管數據以及會計數據的一致性和連續性。
　　（９）對數據備份和審計記錄建立定期查驗制度。
　　２．３．６建立計算機病毒防范制度
　　（１）電腦中心應指定專人負責計算機病毒防范工作。電腦部應定期進行病毒檢測，發現病毒立即處理并報告；
　　（２）新系統安裝前應進行病毒例行檢測；
　　（３）經遠程通信傳送的程序或數據，必須經過檢測確認無病毒后方可使用；
　　（４）禁止運行未經電腦中心審核批準的軟件；
　　（５）應采用國家許可的正版防病毒軟件并及時更新軟件版本。

　第四節　技術資料管理
　　２．４．１　技術資料是指與信息系統有關的技術文件、圖表、程序與數據，包括信息系統建設規劃、網絡設計方案、軟件設計方案、安全設計方案、源代碼、系統配置參數、技術數據及相關技術資料。
　　２．４．２　各級管理機構應制定技術資料的管理制度，明確執行管理制度的責任人。
　　２．４．３　借閱、復制技術資料應履行必要的手續。
　　２．４．４　重要技術資料應有副本并異地存放。
　　２．４．５　技術資料應實施密期管理辦法。
　　２．４．６　報廢的技術資料應有嚴格的銷毀和監銷制度。

　　　　　　　　　　　　　第三章　硬件設施

　第一節　計算機機房
　　３．１．１　計算機機房建設應符合國標ＧＢ２８８７－８９《計算機場地技術條件》和ＧＢ９３６１－８８《計算站場地安全要求》。
　　３．１．２　供電系統
　　（１）機房應有單獨的配電柜，計算機系統要設有獨立于一般照明電的專用的供配電線路，其容量應有一定的余量，建議采用雙路供電；
　　（２）機房應配備不間斷電源設備，其容量應保證機房設備和關鍵交易設備在斷電情況下維持到后備電源供電。無備用發電機時，不間斷電源設備應能夠持續供電４小時以上。
　　３．１．３　接地與防雷系統
　　（１）機房應采用獨立的工作地和防雷保護地。工作地和防雷保護地之間的距離應大于１０米；
　　（２）工作地的接地電阻應小于４歐姆，防雷保護地的接地電阻應小于１０歐姆；
　　（３）各類通信線路和設備宜增加相應的防雷設施。
　　３．１．４　機房環境
　　（１）機房的使用面積（不包括不間斷電源放置面積）不得小于３０平方米；
　　（２）機房的操作間與設備間應作分隔，布局應有良好的人機工作環境，保障工作人員的安全與健康；
　　（３）機房宜安裝獨立空調設備；
　　（４）機房應有防火、防潮、防塵、防盜、防磁、防鼠等設施；
　　（５）機房應配置備用應急照明裝置。

　第二節　遠程通信
　　３．２．１　證券經營機構與所屬營業部之間必須建立可靠的通信線路聯接。
　　３．２．２　營業部與交易所之間的通信聯接必須安全可靠。
　　３．２．３　重要通信線路必須建立后備線路。
　　３．２．４　通信線路接口部分應采取防止非法進入的安全措施。
　　３．２．５　通信設備應具有防干擾、防截取能力，具有加密傳輸功能。
　　３．２．６　通信設備應建立設備備份。

　第三節　計算機設備
　　３．３．１　服務器
　　（１）服務器應具有充分的可靠性和充足的容量；
　　（２）服務器應具有一定的容錯特性，宜采用鏡像、陣列、雙機、群集等容錯技術；
　　（３）服務器應有備品備件。
　　３．３．２　工作站
　　（１）工作站應具有良好的性能及可靠性；
　　（２）除計算機機房外，一律使用無軟驅或光驅等可卸存儲裝置的網絡工作站；
　　（３）重要工作站應有冗余備份。
　　３．３．３　數據存儲設備
　　（１）應配備安全可靠的數據備份設備；
　　（２）交易業務數據的存儲應采用只讀式數據記錄設備。

　第四節　局域網絡
　　３．４．１　布線系統設計可參照ＣＥＣＳ７２：９７《建筑與建筑群綜合布線系統工程設計規范》。在現行技術條件下，不宜繼續使用同軸細纜。
　　３．４．２　網絡結構應合理可靠。
　　３．４．３　網絡設備應兼具技術先進性和產品成熟性。
　　３．４．４　網絡設備應有冗余備份。
　　３．４．５　通信速率應保證正常業務開展的需要。

　第五節　電子交易設備
　　３．５．１　營業部配備的電子交易系統必須達到一定的安全級別。
　　３．５．２　客戶操作電子交易設備應有嚴格的身份識別機制。
　　３．５．３　應采取適當措施，保證設備完好率不低于百分之九十。
　　３．５．４　各種形式的遠程交易系統必須采取嚴格的安全措施。
　　３．５．５　營業部交易場所應配備行情揭示設備，完整、準確、及時地顯示行情信息。

　第六節　設備管理
　　３．６．１　電腦中心統一管理證券經營機構及下屬營業部的計算機設備。
　　３．６．２　計算機設備的選型、購置、登記、保養、維修、報廢等必須嚴格按規定手續辦理，重大設備應建立維護檔案。
　　３．６．３　選用的計算機設備必須經過技術論證，符合國家有關標準的規定，滿足可靠性與兼容性要求。
　　３．６．４　新購置的設備應經過測試，測試合格后方能投入使用。
　　３．６．５　必須定期對計算機設備進行專業維護保養。
　　３．６．６　未經電腦中心或電腦部許可，不得擅自開拆設備或調換設備配件。

　　　　　　　　　　　　　第四章　軟件環境

　第一節　系統軟件
　　４．１．１　營業部使用的系統軟件主要包括操作系統軟件和數據庫管理軟件。系統軟件的選用應充分考慮軟件的安全性、可靠性、穩定性和健壯性。
　　４．１．２　應使用正版軟件。
　　４．１．３　系統軟件應具備如下功能：
　　（１）身份驗證功能，防止非法用戶隨意進入系統；
　　（２）訪問控制功能，防止系統中出現越權訪問；
　　（３）故障恢復功能，能夠自動或在人工干預下從故障狀態恢復到正常狀態而不致造成系統混亂和數據丟失；
　　（４）安全保護功能，對信息的交換、傳輸、存儲提供安全保護；
　　（５）安全審計功能，便于應用系統建立訪問用戶資源的審計記錄；
　　（６）分權制約功能，支持對操作員和管理員的權限分離與相互制約。
　　４．１．４　必須啟用系統軟件提供的安全審計留痕功能。
　　４．１．５　系統軟件應達到Ｃ２級以上（含Ｃ２級）安全級別。
　　４．１．６　數據庫管理軟件除上述功能要求外，還應具有數據庫的安全性、完整性、一致性及可恢復性保障機制。

　第二節　應用軟件
　　４．２．１　營業部應用軟件包括營業部證券交易業務處理系統、信息揭示與分析系統及其它業務處理系統等。
　　４．２．２　營業部交易業務處理系統必須具有如下特性：
　　（１）自動記錄全部操作過程；
　　（２）關鍵數據不得以明碼存放；
　　（３）無法繞過應用界面直接查看或操作數據庫；
　　（４）系統管理與業務操作權限嚴格分開；
　　（５）防止異常中斷后非法進入系統；
　　（６）提供超時鍵盤鎖定功能；
　　（７）交易業務數據在通信網絡上以加密方式傳輸；
　　（８）應存儲一年以上完整的系統運行記錄與交易清算記錄；
　　（９）提供系統運行狀態監控模塊；
　　（１０）提供數據接口，滿足稽核、審計及技術監控的要求；
　　（１１）其它有助于控制業務操作風險的功能特性。
　　４．２．３　信息揭示與分析系統必須保證信息揭示的完整、準確、及時。

　第三節　軟件管理
　　４．３．１　應用軟件在開發或購買之前應正式立項，成立由技術人員、業務人員和管理人員共同組成的項目小組并建立軟件質量保證體系。
　　４．３．２　根據應用系統對安全的要求，同步進行安全保密設計。
　　４．３．３　軟件開發過程應符合ＧＢ／Ｔ８５６６－１９９５《信息技術軟件生存期過程》。
　　４．３．４　開發維護人員與操作人員必須實行崗位分離，開發環境和現場必須與生產環境和現場隔離。軟件設計方案、數據結構、加密算法、源代碼等技術資料嚴禁流入生產現場、散失和外泄。
　　４．３．５　應用軟件在正式投入使用前必須經過內部評審，確認系統功能、測試結果和試運行結果均滿足設計要求，技術文檔齊全，并經證券經營機構分管領導批準。
　　４．３．６　應規定軟件的使用范圍和使用權限。
　　４．３．７　軟件使用人員應經過適當的操作培訓和安全教育。
　　４．３．８　建立應用軟件的文檔管理制度、版本管理制度及軟件分發制度，防止軟件的盜用、誤用、流失及越權使用。
　　４．３．９　證券經營機構下屬營業部應使用統一的系統軟件和應用軟件。
　　４．３．１０　營業部信息技術人員不得擅自進行軟件維護和系統參數調整。
　　４．３．１１　應采取有效措施，防止對應用軟件的非法修改。

　　　　　　　　　　　　　第五章　數據管理

　第一節　交易業務數據
　　５．１．１　交易業務數據主要包括交易數據、清算數據及其它相關數據。
　　５．１．２　應建立交易業務數據管理制度，對交易業務數據實施嚴格的安全保密管理。
　　５．１．３　電腦中心設置數據庫管理員崗位，對交易業務數據實行專人管理。營業部信息技術人員不得擁有數據庫管理員操作口令。
　　５．１．４　營業部信息系統內應保存一年以上的交易業務數據。
　　５．１．５　電腦中心應建立營業部交易業務數據映象并定期和不定期與營業部交易業務數據進行核對，防止使用過程中產生誤操作或被非法篡改。
　　５．１．６　數據備份：
　　（１）每個工作日結束后必須制作數據的備份并異地存放，保證系統發生故障時能夠快速恢復；
　　（２）交易業務數據必須定期、完整、真實、準確地轉儲到不可更改的介質上，并要求集中和異地保存，保存期限至少２０年；
　　（３）備份的數據必須指定專人負責保管，由營業部計算機信息技術人員按規定的方法同數據保管員進行數據的交接。交接后的備份數據應在指定的數據保管室或指定的場所保管；
　　（４）數據保管員必須對備份數據進行規范的登記管理；
　　（５）備份數據不得更改；
　　（６）備份數據保管地點應防火、防熱、防潮、防塵、防磁、防盜設施。
　　５．１．７　數據保密：
　　（１）數據不得泄露，禁止外借；
　　（２）數據應僅用于明確規定的目的，未經批準不得它用；
　　（３）無正當理由和有關批準手續，不得查閱客戶資料。經正式批件查閱數據時必須登記，并由查閱人簽字；
　　（４）保密數據不得以明碼形式存儲和傳輸；
　　（５）根據數據的保密規定和用途，確定數據使用人員的存取權限、存取方式和審批手續。
　　５．１．８　交易業務數據不得隨意更改。

　第二節　系統數據
　　５．２．１　系統數據主要包括數據字典、權限設置、存貯分配、網絡地址、硬件配置及其它系統配置參數。
　　５．２．２　應制定系統數據管理制度，對系統數據實施嚴格的安全與保密管理，防止系統數據的非法生成、變更、泄漏、丟失與破壞。
　　５．２．３　設置系統管理員崗位，對系統數據實行專人管理。
　　５．２．４　系統數據不得泄露。
　　５．２．５　電腦中心應保存營業部的系統數據，并定期進行核對。

　　　　　　　　　　第六章　技術事故的防范與處理

　第一節　技術事故及其防范
　　６．１．１　技術事故是指由于硬件故障、軟件故障和操作失誤等原因引起系統無法運行，經啟動備用系統仍未恢復正常，導致交易中斷并造成經濟損失的事件。
　　６．１．２　技術事故的防范原則是：預防為主、處理及時，力爭把事故的損失降低到最小程度。
　　６．１．３　建立健全技術事故的防范對策，嚴格按本規范要求建設、管理信息系統的硬件設施和軟件環境，定期進行事故防范演習，針對薄弱環節不斷改進完善。
　　６．１．４　制定技術事故發生時的應急計劃：
　　（１）應急計劃必須形成文字；
　　（２）應急計劃應針對可能發生的故障制定緊急處理程序；
　　（３）緊急處理程序應張貼在規定的地方；
　　（４）對執行應急計劃的全體人員進行專項培訓，定期進行演習；
　　（５）根據演習結果不斷完善應急計劃。

　第二節　技術事故的處理
　　６．２．１　下列情況營業部免責：
　　（１）因不可抗力引發的技術事故；
　　（２）因軟硬件故障導致的技術事故，經技術專家論證，確認營業部信息系統建設和管理符合本規范要求，確屬小概率或偶發性事件；
　　（３）因證券交易所原因導致的交易中斷。
　　６．２．２　因通信線路故障導致的技術事故，應會同通信部門共同調查，界定責任。
　　６．２．３　因營業部操作失誤導致的技術事故，經調查核實后，營業部負相關責任。
　　６．２．４　技術事故的事后處理：
　　（１）證券經營機構安全管理組織應立即進行事故調查，提出書面調查報告，必要時可組織有關專家鑒定，確定事故的原因和責任；
　　（２）對調查中發現的技術薄弱環節，應限期整改。