证券公司信息技术管理规范样本
证券有限责任公司信息技术部内部控制制度模版
证券有限责任公司信息技术部内部控制制度第一章总则第一条本制度的制订目的在于确保全公司的计算机工作管理工作制度化、规范化,防止技术事故发生,保障业务系统的安全、高效运行。
第二条公司信息系统管理工作实行集中统一管理原则。
集中统一管理系指在公司系统内以统一规划、统一标准、统一应用、统一实施、统一采购的方式分步实施推广计算应用技术,并对计算机技术应用进行日常运营管理。
第二章组织结构第三条公司技术管理工作实行统一归口管理。
公司设立信息技术部负责整个公司的技术管理工作,营业部相应设立计算机工作管理部门(以下简称电脑部)负责营业部的技术管理工作。
第四条信息技术部是公司信息系统规划、建设、管理的主管部门。
内部应建立职责明确、相互制约的分工体系,应对重要岗位实行双人双岗,包括网络管理、系统管理、应用管理,另外还需设置安全管理员、安全审计员。
技术部的主要职能是:(一)负责公司信息系统建设的总体规划并组织实施;(二)负责公司信息系统安全管理;(三)及时处理证券交易所及有关主管部门下发的涉及信息系统运行的数据、文件和各类通知;(四)负责营业部电脑负责人的技术资格审查;(五)指导和监督下属营业部电脑部工作,定期或不定期的专项检查;(六)负责计算机硬件、软件、服务的采购;(七)负责计算机软件的开发;(八)审核计算机硬件设备报损、报废;(九)负责交易业务数据及其他重要数据的备份与管理;(十)公司授权的其他工作。
第五条电脑部负责本营业部信息系统日常的运行、管理与维护。
电脑部在技术上接受技术部的指导和监督。
电脑部的主要职能如下:(一)强化安全意识,自觉遵守信息技术部下发的各项制度和规范;(二)负责本营业部计算机系统的建设、运营维护工作,配合技术部完成系统上线工作;(三)负责本营业部计算机系统的安全管理工作;(四)负责本营业部计算机信息系统各类技术文档的收集、整理、分类、归档、备份和保存工作;(五)负责对本营业部业务人员进行计算机操作指导和计算机应用技能培训。
证券公司证券信息技术管理制度模版
证券公司证券信息技术管理制度模版一、引言证券公司是金融市场重要的参与者。
随着市场化进程不断深入,证券公司的经营面临着越来越多的挑战和机遇。
在保证资金安全的同时,提高证券信息技术管理是提升业务效率、提高服务水平、缩短交易链路的有效途径。
本文是一份证券公司证券信息技术管理制度模板,旨在帮助证券公司规范证券信息技术管理,保证业务的安全和高效。
二、证券信息技术管理的目标要有效的管理证券信息技术,需要确立明确的目标。
该制度的目标如下:1.保证客户资金和证券的安全;2.提高证券公司的业务效率和经营效益;3.提高客户服务水平和满意度。
三、证券信息技术管理的内容1. 系统开发和维护管理1.1 开发环境的建设1.2 系统开发规范1.3 变更管理流程1.4 版本控制流程1.5 系统代码安全流程1.6 数据库管理流程1.7 系统维护管理流程2. 网络和系统安全管理2.1 网络安全管理2.2 系统安全管理2.3 可疑交易监控3.1 数据库安全管理3.2 数据库备份和恢复流程3.3 存储管理3.4 数据库容量规划4. 其他管理4.1 软件使用管理4.2 软件采购审批流程4.3 手机和移动终端管理4.4 工作站硬件设备管理四、系统开发和维护管理1.1 开发环境的建设证券公司应建立完善的系统开发环境,确保研发人员能够进行高效的研发工作。
其中,开发环境包括硬件设备、软件工具、数据库等。
1.2 系统开发规范证券公司应建立系统开发规范,规定系统开发的流程、文件规范、编码规范和测试流程等。
1.3 变更管理流程证券公司应建立变更管理流程,规定变更范围、变更内容、变更流程和变更审核流程等。
1.4 版本控制流程证券公司应建立版本控制流程,规定版本控制流程、版本命名规范、版本归档规范和版本库权限管理规范等。
1.5 系统代码安全流程证券公司应建立系统代码安全流程,规定代码安全审查流程、代码存储安全管理规范和代码备份规范等。
证券公司应建立数据库管理流程,规定数据库访问权限管理、数据库备份和恢复流程等。
证券有限责任公司营业部信息系统技术规范模版
证券有限责任公司营业部信息系统技术规范第一章总则第一条为保证系统的安全稳定运行,根据主管和监管部门的要求制订本规范。
本规范作为《xx证券营业部信息技术管理制度》的组成部分,目的在于规范化、标准化营业部信息系统建设和维护过程。
第二条营业部信息系统除满足本规范的规定外,还应当满足当地有关部门的规定。
第三条本管理规范由公司技术部负责解释。
第四条本规范与此前颁布的有关规定不一致的,以本规范为准。
第二章基础环境第五条营业部选址时,应遵照中国证券业协会《证券营业部信息技术指引》中的机房选址要求的规定执行。
第六条营业部新建、搬迁和改造,机房承包和网络系统集成商选择时,系统集成商必须具有工信部(原信息产业部)颁发的系统集成贰级(含贰级)以上资质或建设部颁发的建筑智能化工程专业承包贰级(含贰级)以上资质。
第七条机房新建、搬迁和改造时,机房承包和网络系统集成商选择时,最少邀请三家(含三家)以上集成商参与招投标,对集成商进行比较,选择方案设计合理、信用好、价格优的集成商。
第八条机房建设方案应报送信息技术部进行审批,材料中应至少包括两家(含两家)集成商的建设方案、报价、集成商资质说明、集成商的优势等情况进行说明。
第九条机房建设验收前,应报告技术部系统建设情况,包括系统工程资料等,由技术部对建设情况进行现场或非现场的评估,方可进行验收。
第十条机房建设除了遵照监管部门和中国证券业协会《证券营业部信息技术指引》的要求外,特别需要注意以下事项:环境要求1.营业部机房的墙面、地面和房顶须做防尘处理,密封安装孔和桥架孔等,机房的外墙体具备一定的强度,如实墙、加固的轻钢龙骨墙体等,并一直延伸到屋顶。
2.新建或改造的营业部机房,地面铺设地砖,可不做吊顶和防静电地板。
3.机房门禁:机房设备间要安装防火防盗门,同时安装简单门禁系统:包括电子吸锁、单门控制器、出门按钮、刷卡器,使用UPS供电,准备2-4张进出卡,门禁管理软件安装在普通电脑上。
证券营业部信息技术管理制度范本【最新范本模板】
证券营业部信息技术文档管理制度第一章总则第一条为指导公司营业部建立完善的信息技术文档管理体系,规范信息技术文档的管理工作,根据中国证监会颁发的《证券经营机构营业部信息系统技术管理规范(试行)》及有关规定,结合公司的具体情况特制定本制度。
第二条技术文档管理的目的是确保营业部内的技术资料得到全面的记录和妥善的保管,并能够被迅速准确的查阅和使用,确保能够依靠存留的技术文档恢复系统的正常运转.第三条本制度所涉及的营业部信息技术文档主要指营业部内与通讯及计算机系统有关的书籍、技术资料、图表、程序与数据。
具体包括:软件系统技术文档、网络系统技术文档、服务器技术文档、弱电系统技术文档、电源系统技术文档、应急计划技术文档以及信息技术设备随机资料、技术图书、技术合同、培训教材与资料、系统配置参数、设备和基建工程的技术数据及相关技术文档等.第四条技术文档可用纸、磁带、磁盘、光盘等多种介质为载体记录和存放。
第二章信息技术文档的内容第五条软件系统技术文档软件系统技术文档应包括营业部系统软件、应用软件的各类资料。
具体应包括以下几点:(一)营业部软件系统组成说明;(二)营业部各类软件配置、安装、使用操作说明书,软件开发者对系统安全功能的测试报告和安全承诺书;(三)软件设计方案、数据结构、加密算法、源代码等开发资料;(四)国家认可测评认证证书;(五)软件升级、维护和系统参数的调整测试记录;(六)软件的使用范围和使用权限。
第六条网络技术文档网络技术文档应包括网络系统的整体概况描述、各类网络设备的功能描述、设置描述和连接描述.具体包括以下几点:(一)营业部网络系统总体结构说明,网络结构的拓扑图,VLAN设置的说明,网络安全设计方案;(二)主干交换机的技术说明。
包括主干交换机的品牌型号、主干交换机的地址(IP地址和MAC地址)、交换机的安放位置、主干交换机上配置的各模块的技术说明、主干交换机(包括配置的模块)各端口的连接说明(包括与备份交换机的连接、与服务器的连接、与二级交换机的连接、与工作站的连接等);(三)二级交换机(或集线器)的技术说明.包括所有二级交换机(或集线器)的品牌型号、地址(IP地址和MAC地址)、安放位置、各端口的连接说明(包括与主干交换机的连接、与工作站的连接);(四)网络配置的操作说明.包括交换机(主干交换机和二级交换机)冗余设置的操作说明、VLAN设置的操作说明等。
证券有限责任公司分支机构信息技术管理办法模版
证券有限责任公司分支机构信息技术管理办法第一章总则第一条为加强营业部信息系统建设和管理,防范技术风险,保障信息系统平稳运行,依据《证券公司信息技术管理规范》、《证券营业部信息技术指引》等自律规则的有关规定,以及《xx证券分支机构管理办法》、《xx证券信息技术部制度》制定本办法。
第二条信息技术部(以下简称技术部)依照安全性、实用性、可操作性原则,统一规划和建设分支机构信息系统,加强对分支机构信息技术的安全管理。
规范信息技术工作流程和操作规范,确保公司信息系统对业务的全面支撑。
第三条分支机构信息技术管理以保障运行安全,促进技术服务为基本原则,推行运维管理标准化、成本管理精细化、系统运行高效化,确保公司信息系统对业务的全面支撑。
第四条本办法适用了公司所属全部分支机构,信息技术部对分支机构执行本制度的情况进行指导和监督。
第二章岗位设置与职责第五条信息技术部是公司信息技术的归口管理单位,负责分支机构信息技术工作的指导、监督和检查。
第六条分支机构负责人为所辖机构及下属营业部信息系统安全运营第一负责人,信息技术部对分支机构负责人的考核提出考评意见。
第七条分公司(以经纪业务为主)和直管营业部设立电脑部,负责分公司和直管营业部信息技术工作的管理,并指导和监督下属分管营业部的信息技术工作。
第八条分公司(不以经纪业务为主)和分管营业部设立电脑岗,负责本部信息技术工作的管理。
第九条分支机构电脑部的主要职责:(一)负责分公司(直管营业部)信息系统的运维工作,防范并及时处理各类异常事件,提高信息系统的持续服务能力。
(二)负责提出分公司(直管营业部)及所辖网点的信息系统建设方案,并根据方案中的角色安排做好系统实施工作;(三)收集汇总分公司(直管营业部)及所辖网点的信息资产和技术资料,协助相关部门编制计算机设备的统计报表、拟定计算机设备更新和报废计划,并上报公司相关部门审核;(四)组织制定分公司(直管营业部)及所辖网点的信息系统年度预算工作并对预算执行情况进行跟踪。
证券股份有限公司分支机构信息技术管理办法模版
证券股份有限公司分支机构信息技术管理办法第一章总则第一条为加强公司分支机构信息技术工作管理,提高系统运行的安全性、可靠性与稳定性,防范信息系统风险,加强信息技术工作对公司经营发展的支持和保障,根据中国证监会、证券业协会《证券公司内部控制指引》、《证券公司信息技术管理规范》、《证券公司证券营业部信息技术指引》等有关规定,制定本办法。
第二条本办法适用于证券股份有限公司(以下简称“公司”)所属各营业部的信息技术管理工作,其它分支机构的信息技术管理工作参照本办法执行。
第三条本办法为营业部信息技术工作的基本制度,并作为信息技术部进行信息系统现场检查和营业部自查的依据。
第二章管理体系第四条公司信息技术工作实行统一归口管理。
信息技术部是公司信息技术工作的归口管理部门,负责管理和指导营业部信息系统的建设和运维工作。
第五条根据证券营业部是否提供现场交易服务和是否部署与现场交易服务相关的信息系统,证券营业部的信息系统建设模式可以分为:A型模式:在营业场所内部署与现场交易服务相关的信息系统为客户提供现场交易服务。
采用该类型信息系统建设模式的证券营业部,简称为A型营业部。
部署证券公司网上交易站点的证券营业部,或作为其他证券营业部网络通信汇聚节点且所连接的证券营业部中提供现场交易的证券营业部,视同为A型营业部。
B型模式:在营业场所内未部署与现场交易服务相关的信息系统,但依托公司总部或其他证券营业部的信息系统为客户提供现场交易服务。
采用该类型信息系统建设模式的证券营业部,简称为B型营业部。
C型模式:在营业场所内未部署与现场交易服务相关的信息系统且不提供现场交易服务。
采用该类型信息系统建设模式的证券营业部,简称为C型营业部。
第六条A型营业部设IT部,负责营业部信息系统的日常运行、管理和维护。
B、C 型营业部有上联营业部的,其信息技术工作纳入上联营业部管理。
第七条为保障信息系统运行与技术服务管理质量,A型营业部应配置一名专职IT 经理和一名IT备份岗;B型营业部应配置一名兼职IT,兼职IT应以营业部IT工作为主,在确保交易安全的情况下可以兼职其它岗位工作;C型营业部应指定一名IT工作联系人,协助处理本营业部IT相关工作。
证券经营机构营业部信息系统技术管理规范
证券经营机构营业部信息系统技术管理规范证券经营机构营业部信息系统技术管理规范第一章总则第一节目标1.1.1最大程度地防范技术操作风险,保护投资者利益,维护证券经营机构的合法权益,促进证券市场健康发展。
1.1.2充分吸收国外先进经验和国内计算机信息技术应用成果,推动信息系统建设与技术管理水平的协调发展,提高证券行业的整体技术水平。
1.1.3指导证券经营机构下属证券营业部(以下简称营业部)加强计算机信息系统的优化建设和安全管理,加强计算机信息技术人员的管理,防止数据遗失、损坏、篡改、泄漏,提高系统运行的安全性、可靠性与稳定性。
第二节原则1.2.1安全性原则。
营业部在信息系统的设计、开发、运行、维护各环节和硬件、软件、网络通讯、数据、管理制度各方面,都必须贯彻安全性原则。
应当把安全措施落实到信息技术管理的每个环节、每个方面,1 应当使从业人员牢固树立技术风险的防范意识。
1.2.2实用性原则。
营业部应当加强信息技术管理,注重采用先进成熟技术。
在确保系统安全的前提下,力求避免因不切实际地提高系统安全级别而造成投资浪费1 避免因引用任何未经消化吸收的境外安全保密技术和设备而对信息技术管理造成消极影响。
1.2.3可操作性原则。
信息技术管理规范必须具有可操作性。
营业部根据本规范细化与完善其信息技术管理制度时,也应当力求简单明确,便于对照检查,便于操作。
第三节制定与实施1.3.1根据《中华人民共和国计算机信息系统安全保护条例》及有关规定,结合我国证券业具体情况,制定本规范。
1.3.2本规范由中国证券监督管理委员会发布和监督实施。
1.3.3本规范原则上每两年修订一次。
1.3.4本规范由中国证券监督管理委员会负责解释。
第二章管理体系第一节组织结构2.1.1各证券经营机构计算机信息技术工作必须实行统一归口管理,建立健全组织机构。
证券经营机构应设立计算机信息系统管理部门(以下称电脑中心),营业部相应设立计算机工作管理部门(以下称电脑部)。
证券有限责任公司信息技术治理管理办法模版
证券有限责任公司信息技术治理管理办法第一章总则第一条为加强公司信息技术管理与规范,保持信息系统与业务目标的一致性,合理利用IT资源,有效管理IT风险,确保信息系统的建设和运行安全稳定,根据《证券期货经营机构信息技术治理工作指引》(试行)的要求,制定本办法。
第二条做好信息技术治理工作是公司全体员工的共同责任,公司全体员工应严格遵守信息技术治理方面的相关制度规定。
公司各部门、各分支机构应在符合信息技术治理相关制度规定的前提下开展经营管理活动。
第三条信息技术治理(IT治理)是指公司在运用信息技术(以下简称IT)过程中,制定的有关IT决策权分配和责任承担的框架,主要包括在IT原则、IT架构、IT基础设施、IT应用和IT投入5个方面制定相关制度并建立有效的工作机制,实现IT决策的责任和权力的有效分配与控制,提高IT资源的有效性、可用性和安全性。
第四条公司IT治理的原则是:按照IT治理的方法论,循序渐进地推进IT治理,即在业务目标的驱动下,制定IT战略,并保证IT战略与业务战略目标的匹配;挖掘业务需求,完善信息系统建设,使IT真正为业务提升、管理创新贡献价值;实施IT项目管理与风险管理;保证IT的合理投入,进行IT绩效评估。
第五条本办法适用于公司总部及所有营业部。
全资子公司的IT治理工作可纳入公司统筹实施。
第二章IT治理目标与IT规划第六条IT治理作为公司治理的重要组成部分,是公司信息系统的基础性建设,利用IT增强公司的核心竞争力,使公司从IT投入中获得更大收益。
IT治理的具体目标是:(一)以公司战略和业务需求为导向,不断完善信息技术体系,实现IT治理水平的整体提升;(二)持续优化和完善IT基础架构,满足业务和信息技术不断发展的要求,实现技术和业务的有效匹配;(三)在经营管理和技术支持之间建立建设性关系,确保公司总体战略和信息技术战略得到有效执行,实现IT资源的最优配置;(四)在IT决策过程中实行部门间联合决策和公司管理层统筹决策机制,本着结合需求、适度前瞻、统一领导、通力合作的原则,保证IT决策高效、职责划分清晰。
证券经营机构营业部信息系统技术管理规范
证券经营机构营业部信息系统技术管理规范证券经营机构营业部信息系统技术管理规范第一章总则第一节目标1.1.1最大程度地防范技术操作风险,保护投资者利益,维护证券经营机构的合法权益,促进证券市场健康发展。
1.1.2充分吸收国外先进经验和国内计算机信息技术应用成果,推动信息系统建设与技术管理水平的协调发展,提高证券行业的整体技术水平。
1.1.3指导证券经营机构下属证券营业部(以下简称营业部)加强计算机信息系统的优化建设和安全管理,加强计算机信息技术人员的管理,防止数据遗失、损坏、篡改、泄漏,提高系统运行的安全性、可靠性与稳定性。
第二节原则1.2.1安全性原则。
营业部在信息系统的设计、开发、运行、维护各环节和硬件、软件、网络通讯、数据、管理制度各方面,都必须贯彻安全性原则。
应当把安全措施落实到信息技术管理的每个环节、每个方面,1 应当使从业人员牢固树立技术风险的防范意识。
1.2.2实用性原则。
营业部应当加强信息技术管理,注重采用先进成熟技术。
在确保系统安全的前提下,力求避免因不切实际地提高系统安全级别而造成投资浪费 1 避免因引用任何未经消化吸收的境外安全保密技术和设备而对信息技术管理造成消极影响。
1.2.3可操作性原则。
信息技术管理规范必须具有可操作性。
营业部根据本规范细化与完善其信息技术管理制度时,也应当力求简单明确,便于对照检查,便于操作。
第三节制定与实施1.3.1根据《中华人民共和国计算机信息系统安全保护条例》及有关规定,结合我国证券业具体情况,制定本规范。
1.3.2本规范由中国证券监督管理委员会发布和监督实施。
1.3.3本规范原则上每两年修订一次。
1.3.4本规范由中国证券监督管理委员会负责解释。
第二章管理体系第一节组织结构2.1.1各证券经营机构计算机信息技术工作必须实行统一归口管理,建立健全组织机构。
证券经营机构应设立计算机信息系统管理部门(以下称电脑中心),营业部相应设立计算机工作管理部门(以下称电脑部)。
证券经营机构营业部信息系统技术管理规范(试行)
证券经营机构营业部信息系统技术管理规范第一章总则第一节目标1.1.1最大程度地防范技术操作风险,保护投资者利益,维护证券经营机构的合法权益,促进证券市场健康发展。
1.1.2充分吸收国外先进经验和国内计算机信息技术应用成果,推动信息系统建设与技术管理水平的协调发展,提高证券行业的整体技术水平。
1.1.3指导证券经营机构下属证券营业部(以下简称营业部)加强计算机信息系统的优化建设和安全管理,加强计算机信息技术人员的管理,防止数据遗失、损坏、篡改、泄漏,提高系统运行的安全性、可靠性与稳定性。
第二节原则1.2.1安全性原则。
营业部在信息系统的设计、开发、运行、维护各环节和硬件、软件、网络通讯、数据、管理制度各方面,都必须贯彻安全性原则。
应当把安全措施落实到信息技术管理的每个环节、每个方面,1 应当使从业人员牢固树立技术风险的防范意识。
1.2.2实用性原则。
营业部应当加强信息技术管理,注重采用先进成熟技术。
在确保系统安全的前提下,力求避免因不切实际地提高系统安全级别而造成投资浪费1 避免因引用任何未经消化吸收的境外安全保密技术和设备而对信息技术管理造成消极影响。
1.2.3可操作性原则。
信息技术管理规范必须具有可操作性。
营业部根据本规范细化与完善其信息技术管理制度时,也应当力求简单明确,便于对照检查,便于操作。
第三节制定与实施1.3.1根据《中华人民共和国计算机信息系统安全保护条例》及有关规定,结合我国证券业具体情况,制定本规范。
1.3.2本规范由中国证券监督管理委员会发布和监督实施。
1.3.3本规范原则上每两年修订一次。
1.3.4本规范由中国证券监督管理委员会负责解释。
第二章管理体系第一节组织结构2.1.1各证券经营机构计算机信息技术工作必须实行统一归口管理,建立健全组织机构。
证券经营机构应设立计算机信息系统管理部门(以下称电脑中心),营业部相应设立计算机工作管理部门(以下称电脑部)。
2.1.2电脑中心是证券经营机构信息系统规划、建设、管理的主管部门。
证 券有限责任公司信息技术数据管理办法
ⅩⅩ证券有限责任公司信息技术数据管理办法第一条为加强ⅩⅩ证券有限责任公司的数据管理,促进公司在数据管理上的规范化、标准化,特制定本办法。
第二条本办法适用于ⅩⅩ证券有限责任公司总部及各分支机构的数据管理。
第三条本办法中管理的数据包括公司总部、各分支机构的业务、管理系统相关数据,具体分为以下几类:1、业务数据,各生产系统相关数据;2、管理系统数据,各管理系统相关数据;3、其它需要纳入管理范围的数据。
第四条本办法中管理的数据,均须选择合适的备份策略进行备份。
第五条对于实时性、完整性要求较高的数据,采用专业的备份软件实时备份或采取具有容错功能的方案(如双机热备份、群集等)来保证数据的安全,其他数据则选用备份介质做某个时点状态的备份。
本办法中所指的备份均为采用备份介质的备份。
第六条根据保留时间的区别,备份分为临时备份和永久备份两种。
临时备份用于变动频繁的在线数据丢失时进行数据的恢复,在数据发生较大变动时须进行更新,临时备份的数据的保留时间,由各系统另行规定。
永久备份则是需要保留一年或一年以上的数据。
第七条永久备份至少保留两份,保证一份数据异地存放,以防止备份数据同时损坏或丢失。
第八条备份一般采用完全备份的方式,以保证数据的可用性,易于管理和恢复。
对于容量较大的数据,可考虑采用增量备份的方式,采用增量备份时,应能确保数据恢复使用的需要。
第九条备份介质可选用可读写光盘、只读光盘、磁带、硬盘、活动硬盘等,使用前须作编号。
编号规则如下:1、格式为:四位系统代码+三位机构代码+四位年份代码+四位序列号。
2、系统代码:四位系统名称的汉语拼音缩写,尽量做到容易分辨,如:集中交易系统 jzjy等。
3、机构代码:总部为ZB0,其他各分支机构为所在城市的拼音缩写加上分支机构排号,如北京二部为BJ2。
4、四位序列号:在一个年度中从“0001”开始递增;如:ZB020010001,代表本备份介质是在总部保存的2001年的第0001号备份。
中国证券经营机构营业部信息系统技术管理规范(试行)
中国证券经营机构营业部信息系统技术管理规范(试行)(注意:本文内容来源于中国证监会网站,由ChinaCISSP摘录整理,仅供参考。
摘录者不保证内容的完全正确,关键应用应从正式渠道获得该规范文本。
)目录第一章总则第一节目标第二节原则第三节制定与实施第二章管理体系第一节组织结构第二节人员管理第三节安全管理第四节技术资料管理第三章硬件设施第一节计算机机房第二节远程通信第三节计算机设备第四节局域网络第五节电子交易设备第六节设备管理第四章软件环境第一节系统软件第二节应用软件第三节软件管理第五章数据管理第一节交易业务数据第二节系统数据第六章技术事故的防范与处理第一节技术事故及其防范第二节技术事故的处理第一章总则第一节目标1.1.1 最大程度地防范技术操作风险,保护投资者利益,维护证券经营机构的合法权益,促进证券市场健康发展。
1.1.2 充分吸收国外先进经验和国内计算机信息技术应用成果,推动信息系统建设与技术管理水平的协调发展,提高证券行业的整体技术水平。
1.1.3 指导证券经营机构下属证券营业部(以下简称营业部)加强计算机信息系统的优化建设和安全管理,加强计算机信息技术人员的管理,防止数据遗失、损坏、篡改、泄漏,提高系统运行的安全性、可靠性与稳定性。
第二节原则1.2.1 安全性原则。
营业部在信息系统的设计、开发、运行、维护各环节和硬件、软件、网络通讯、数据、管理制度各方面,都必须贯彻安全性原则。
应当把安全措施落实到信息技术管理的每个环节、每个方面;应当使从业人员牢固树立技术风险的防范意识。
1.2.2 实用性原则。
营业部应当加强信息技术管理,注重采用先进成熟技术。
在保障系统安全的前提下,力求避免因不切实际地提高系统安全级别而造成投资浪费;避免因引用任何未经消化吸收的境外安全保密技术和设备而对信息技术管理造成消极影响。
1.2.3 可操作性原则。
信息技术管理规范必须具有可操作性。
营业部根据本规范细化与完善其信息技术管理制度时,也应当力求简单明确,便于对照检查,便于操作。
证券股份有限公司第三方信息安全管理规范模版
证券股份有限公司第三方信息安全管理规范模版证券股份有限公司第三方信息安全管理规范模版第一章总则为确保证券股份有限公司和第三方在信息系统运营和信息资源利用过程中的安全,提升信息安全服务水平,保障客户信息安全和合规性,制定本规范。
第二章安全管理要求2.1 信息系统安全审计与监控2.1.1 第三方应对证券股份有限公司委派的信息安全审计进行积极配合,并且必须会配合证券股份有限公司实现对其系统的监控操作。
2.1.2 第三方应当主动发现系统中异常情况,并及时通知证券股份有限公司,并配合进行溯源分析。
2.2 硬件安全管理2.2.1 第三方应保证其使用的硬件设备安全、可靠,遵守相关安全管理规范与标准。
2.2.2 第三方应按照安全相关规范和标准对硬件设备和相关资源进行评估,确保其符合安全要求。
2.3 软件安全管理2.3.1 第三方应按照制度管理规范,完善软件的研发、审查、测试和验证等流程。
2.3.2 个人用户的软件基础环境必须定期的进行扫描和治理。
2.4 数据安全管理2.4.1 第三方应严格遵守司法法律相关规定,保护客户数据隐私。
2.4.2 第三方应当完善数据备份、存储、监控、防护、灾难恢复等科学合理的安全管理制度。
2.5 安全事件管理2.5.1 第三方应对安全事件处理程序进行梳理和规范化。
2.5.2 第三方应当对安全事件进行分类和分级,并按照实际情况及时采取相应的应急措施。
2.6 信息安全教育和意识2.6.1 第三方应加强员工信息安全意识教育,提升安全意识和法制道德准则意识,防止人为误操作和不正当使用信息资源。
第三章备份与灾难恢复3.1 备份3.1.1 第三方必须按照规定手段备份重要数据,保证数据备份可靠性,数据备份状态应定期检查,并能提供检查记录。
3.1.2 第三方应遵守相关规定,对数据备份进行分类、存储、备份和还原,保证其安全可靠。
3.2 灾难恢复3.2.1 第三方应建立完整的灾难恢复规划和应急预案,保证恢复能力和时效。
证券股份有限公司分支机构信息技术管理办法
证券股份有限公司分支机构信息技术管理办法证券股份有限公司分支机构信息技术管理办法第一章总则第一条本办法是为了规范证券股份有限公司分支机构的信息技术管理,保障证券市场的安全稳定运行,提升分支机构的信息化水平,维护公司的声誉和利益,制定的。
第二条本办法适用于证券股份有限公司的各个分支机构,包括总部和各省、市、县、乡镇等分支机构。
第三条分支机构应当根据本办法制定相关管理制度,并定期进行评估和更新。
第四条本办法所称信息技术,是指计算机、网络、通讯等先进技术在证券业务中的应用和运营管理。
第五条分支机构应当根据公司信息技术管理的总体要求,制定本办法具体实施细则。
第二章信息系统管理第六条分支机构应当采用公司统一规划和建设的信息系统,不得私自采购和使用未经公司认定的信息技术产品。
第七条分支机构应当对信息系统进行维护和管理,确保系统的安全、稳定、高效运行,并定期备份系统数据。
第八条分支机构应当建立系统日志、操作日志、安全日志等日志记录机制,记录系统的运行状况和异常情况,并定期对日志进行审计和分析,及时排除异常。
第九条分支机构应当对系统的使用权限进行管理,根据不同职责和权限设置不同的访问权限。
对于未经授权的访问和操作行为,应当及时发现并采取有效措施进行处置。
第十条分支机构应当对重要的业务系统和数据进行备份和灾备管理,确保业务连续性和数据安全。
第三章网络安全管理第十一条分支机构应当建立网络安全管理制度,包括但不限于网络安全策略、网络监控与防御、网络事件响应等。
第十二条分支机构应当购买专业的防火墙、入侵检测、反病毒等安全设备,并严格执行相关安全策略和规范。
第十三条分支机构应当建立安全审计机制,对网络访问、操作、应用等行为进行审计和分析,及时发现和处理安全隐患和恶意攻击行为。
第十四条分支机构应当建立安全响应机制,对网络安全事件进行快速响应和处理,并及时上报公司网络安全部门。
第十五条分支机构应当定期开展网络安全培训和演练,提升员工对网络安全的意识和保护能力。
证券有限责任公司信息技术部内部控制制度模版
证券有限责任公司信息技术部内部控制制度第一章总则第一条本制度的制订目的在于确保全公司的计算机工作管理工作制度化、规范化,防止技术事故发生,保障业务系统的安全、高效运行。
第二条公司信息系统管理工作实行集中统一管理原则。
集中统一管理系指在公司系统内以统一规划、统一标准、统一应用、统一实施、统一采购的方式分步实施推广计算应用技术,并对计算机技术应用进行日常运营管理。
第二章组织结构第三条公司技术管理工作实行统一归口管理。
公司设立信息技术部负责整个公司的技术管理工作,营业部相应设立计算机工作管理部门(以下简称电脑部)负责营业部的技术管理工作。
第四条信息技术部是公司信息系统规划、建设、管理的主管部门。
内部应建立职责明确、相互制约的分工体系,应对重要岗位实行双人双岗,包括网络管理、系统管理、应用管理,另外还需设置安全管理员、安全审计员。
技术部的主要职能是:(一)负责公司信息系统建设的总体规划并组织实施;(二)负责公司信息系统安全管理;(三)及时处理证券交易所及有关主管部门下发的涉及信息系统运行的数据、文件和各类通知;(四)负责营业部电脑负责人的技术资格审查;(五)指导和监督下属营业部电脑部工作,定期或不定期的专项检查;(六)负责计算机硬件、软件、服务的采购;(七)负责计算机软件的开发;(八)审核计算机硬件设备报损、报废;(九)负责交易业务数据及其他重要数据的备份与管理;(十)公司授权的其他工作。
第五条电脑部负责本营业部信息系统日常的运行、管理与维护。
电脑部在技术上接受技术部的指导和监督。
电脑部的主要职能如下:(一)强化安全意识,自觉遵守信息技术部下发的各项制度和规范;(二)负责本营业部计算机系统的建设、运营维护工作,配合技术部完成系统上线工作;(三)负责本营业部计算机系统的安全管理工作;(四)负责本营业部计算机信息系统各类技术文档的收集、整理、分类、归档、备份和保存工作;(五)负责对本营业部业务人员进行计算机操作指导和计算机应用技能培训。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Norms for the Information Technology Management of Securities Companies【发布部门】中华人民共和国人民银行,中华人民共和国证券监督管理委员会【发布日期】.03.25【实行日期】.03.25 【时效性】现行有效【效力级别】部门规范性文献【法规类别】互联网【全文】【法宝引证码】CLI.4.57905证券公司信息技术管理规范中华人民共和国金融行业原则JR/T0023—证券公司信息技术管理规范The criterion of IT management for securites company3月25日发布3月25日实行本原则由全国金融原则化技术委员会提出。
本原则由全国金融原则化技术委员会归口管理。
本原则起草单位:中华人民共和国证券监督管理委员会、国泰君安证券股份有限公司、中华人民共和国银河证券有限责任公司、申银万国证券股份有限公司、长江证券有限责任公司、海通证券股份有限公司、泰阳证券有限责任公司、闽发证券有限责任公司、兴业证券股份有限公司、国信证券有限责任公司。
本原则重要起草人:徐雅萍、陈煜涛、俞枫、金守罕、郭怡峰、陈静、沈云明、汤玉龙、彭湘林、王锦炎、刘斌、廖亚滨、万晓鹰、黄卉、徐颖。
本原则为初次发布。
为了规范证券公司信息技术管理行为,保护投资者合法利益,维护证券公司合法权益,增进证券市场健康发展,特制定本原则,以加强证券公司信息系统优化建设和安全管理,推动信息系统建设与技术管理水平协调发展,提高证券行业整体信息技术应用水平。
证券公司信息技术管理规范本原则规定了证券公司信息技术管理如下方面:a)信息技术管理工作中应遵循基本原则;b)信息技术管理组织架构;c)信息技术人员、项目和安全管理;d)机房和设备管理;e)网络通信、软件和数据;f)信息系统运营管理、技术事故防范与解决。
本原则合用于证券公司信息技术管理工作。
下列文献中条款通过本原则引用而成为本原则条款。
凡是注日期引用文献,其随后所有修改单(不涉及勘误内容)或修订版均不合用于本原则,然而,勉励依照本原则达到合同各方研究与否可使用这些文献最新版本。
凡是不注日期引用文献,其最新版本合用于本原则。
GB2887电子计算机场地通用规范GB/T8566信息技术软件生存期过程GB9361计算站场地安全规定GB50174电子计算机机房设计规范GB50311建筑与建筑群综合布线系统工程设计规范GB50312建筑与建筑群综合布线系统工程验收规范CMM软件能力成熟度模型(Capacity Maturity Model)证券公司在信息技术管理工作中应遵循:a)安全性原则,应树立技术风险防范意识,把安全办法贯彻到信息技术管理每个环节、每个方面,应在信息系统设计、开发、运营、维护各环节和硬件、软件、网络通讯、数据、管理各方面,贯彻安全性原则。
b)实用性原则,应加强信息技术管理,注重采用成熟先进技术,在保证信息系统性能和安全前提下,遵循高效益、低成本、易操作原则。
c)系统化原则,将证券公司信息技术管理关于资源和活动以系统观点来进行管理,理解和辨认管理过程中互有关系和作用,明确每个管理过程职责和权限。
4.1组织构造与职能4.1.14.1.2a)负责信息系统总体规划并组织实行;b)负责制定与信息技术有关规章制度并贯彻执行;c)负责编制信息技术预算并贯彻执行;d)负责信息系统建设和运营维护;e)协助进行信息技术人员任职管理、培训和考核;f)发现技术和业务异常及时上报;4.2人员管理4.2.1证券公司应对信息技术管理机构实行定岗、定编、定责,明确各岗位人员素质规定。
4.2.2应建立重要岗位双人负责制,并加强对单人单岗监控。
4.2.3应建立完善保密制度,重要岗位应订立保密合同书。
4.2.4不应录取有犯罪或严重违规行为记录人员从事证券公司信息技术工作。
4.2.5应建立信息技术人员定期培训和考核制度,不合格者禁止上岗。
4.2.6应定期或不定期对在信息技术重要岗位上信息技术人员进行轮换,或实行强制休假。
4.2.7应建立信息技术人员离岗制度,规范离岗手续。
4.3安全管理4.3.1并设立专门安全管理员、安全审计员岗位。
4.3.2信息系统安全管理组织应履行下列职责:a)负责制定统一安全方略;b)负责制定信息系统安全管理制度;c)负责审核和实行信息系统安全保护和安全防范技术方案;d)负责组织信息系统安全教诲及技术培训;e)负责定期或不定期进行信息系统安全检查,发现问题,督促解决;f)负责组织信息系统安全防范、应急演习。
4.3.3应建立计算机病毒防范制度:a)统一组织和实行计算机病毒防范工作b)建立计算机病毒预警机制,严格执行病毒检测及报告办法。
4.3.4应坚持三分离原则,实现4.4技术文档管理4.4.1技术文档是指与信息系统有关技术文献、图表、程序与数据等。
4.4.2证券公司应制定技术文档管理制度,设立技术文档管理岗位。
4.4.3应按照统一格式对技术文档进行编写并及时更新,达到可以依托技术文档恢复系统正常运营规定。
4.4.4应依照技术文档不同保密级别实行分级管理。
4.4.5应对技术文档实行有效期管理,对于超过有效期技术文档减少保密级别,对已经失效技术文档定期清理,并严格执行技术文档管理制度中销毁和监销规定。
4.4.6技术文档借阅、复制应履行必要手续。
4.4.7重要技术文档应有副本并异地存储。
5.1机房5.1.1机房建设应符合GB50174、GB2887和GB9361规定,防雷、接地、电磁辐射和电气特性都应达到国标规定。
5.1.2机房环境应达到如下规定:a)操作间与设备间分隔;b)安装独立空调设备,对温度和湿度进行控制;c)配有防火、防潮、防尘、防盗、防磁、防鼠等设施;d)配备应急照明装置;5.1.3机房供电系统应达到如下规定:a)有单独配电柜和独立于普通照明电专用供配电线路,配电容量有一定余量,采用双路供电或配备发电机;b)配备不间断电源设备,其容量至少满足核心设备在开市期间断电状况下运营规定。
5.1.4机房应安装监视系统和门禁系统,宜安装环境监控系统和设备监控系统。
5.2设备管理5.2.1证券公司应实行计算机设备集中管理,建立相应管理制度,按关于流程办理设备采购、登记、维护、报废等工作,对设备整个生命周期进行管理。
5.2.2大宗设备采购应坚持公开、公平、公正原则,宜采用招标、邀标等形式完毕。
5.2.3应定期对设备进行更新和保养,经维护设备应通过关于测试方能投入使用。
6.1网络建设6.1.1证券公司网络基本规定:a)应统一规划公司网络;b)网络建设应遵循高可靠性、高安全性、高性能、可扩展性、可管理性、原则化等原则;c)网络承建集成商应具备国家关于部门颁发三级以上(含三级)计算机信息系统集成资质证书;d)网络设备和通信带宽应保证业务需求。
e)网络不应存在单点故障。
6.1.2局域网应达到如下规定:a)布线系统设计可参照GB50311和GB50312,采用构造化综合布线系统;b)针对不同业务或应用采用恰当技术手段,实现网络分离,提高网络安全性;6.1.3广域网应达到如下规定::a)满足线路备份和网络安全规定;b)网络节点间有明确互访原则,制定和配备相应路由方略;c)主干设备支持原则通信合同;d)与电信运营商和设备供应商订立服务合同,做到定期检修、发现故障及时响应。
6.1.4外部网建设应达到如下规定:a)与交易所、中华人民共和国登记结算公司之间通信连接安全可靠;b)与外联单位联网采用可靠技术隔离手段,保证网络安全;c)建立各种通信通道,保证业务持续性。
6.1.5互联网接入应达到如下规定:a)网上委托系统应采用至少两条线路接入互联网,采用同一种运营商线路应通过不同节点接入;b)通过防火墙等安全设备与互联网相连。
6.2网络管理6.2.1证券公司应建立健全网络管理制度:a)网络管理采用统一方略;b)设立专职网络管理员,实行网络分级管理;c)网络管理员具备相应素质和技能,持有相应资格证书。
6.2.2在网络管理上应达到如下规定:a)配备网络管理工具,对网络进行监控、管理和维护,重要网络设备启动日记和审计功能;b)建立完整网络技术文档;c)定期维护网络设备和线路;d)详细记录网络故障解决过程。
6.2.3通过互联网为公众提供服务,应遵循国家和行业关于规定。
6.3网络安全6.3.1证券公司应建立健全网络安全体系,统一制定公司网络安全方略和技术方案,网络安全方略遵循技术保护和管理保护相结合原则。
6.3.2网络安全应达到如下规定:a)运用成熟网络安全技术,防止非法访问、袭击和破坏计算机网络等活动;b)定期对公司网络进行安全检查,发现问题,及时解决,并记录存档;c)所有可配备网络设备按最小安全访问原则设立访问控制权限,关闭不必要端口及服务;d)妥善保管和定期更换网络设备远程访问密码。
6.3.3在互联网接入方面应达到如下安全规定:a)对公司内可访问互联网终端采用必要安全办法与核心系统相隔离;b)对于来自互联网访问采用可靠身份认证、访问控制和安全审计办法,防止非法接入和非法访问。
6.3.4网上委托系统应达到如下安全规定:a)通过国家权威机构安全认证,重要技术产品通过国家权威机构安全测评,达到主管部门规定规定;b)采用可靠技术和管理办法进行客户身份认证;c)采用有效技术办法达到防抵赖、防篡改、防窃取等功能;d)网上委托服务器所在网络与内部核心网络相隔离。
7.1系统软件7.1.1系统软件选用应充分考虑安全性、可靠性、稳定性和健壮性,应使用符合安全规定正版软件。
7.1.2操作系统软件使用应遵循最小功能原则及最小权限方略,关闭不必要服务和端口。
7.1.3在通过充分测试前提下,应及时安装操作系统补丁程序。
7.2应用软件7.2.2重要应用软件系统宜采用在线备份办法。
7.2.3信息揭示与分析系统应保证信息揭示完整、精确和及时。
7.3软件管理7.3.1应用软件开发过程应符合GB/T8566。
7.3.2应加强对外包或外购应用软件质量控制,选取已建立软件质量保证体系开发商进行合伙,详细规定可参照CMM二级原则进行。
同步在开发商选取过程中,应高度注重其信誉和品牌,不适当选取曾为证券公司违规、违法业务行为提供技术服务或技术支持开发商。
7.3.3在软件总体设计时,应依照应用软件实际用途,同步进行安全保密设计。
7.3.4在软件开发过程中,应同步完毕有关文档手册编写工作,保证有关资料完整性和精确性。
7.3.5开发维护人员与操作人员应实行岗位分离。
7.3.6开发环境应与生产环境隔离。
7.3.77.3.8软件使用人员应接受操作培训和安全教诲。
7.3.9建立应用软件文档管理、版本管理及软件分发制度。
7.3.10应建立规范软件维护和系统参数调节流程。