證券經(jīng)營機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行）

第一章　總　則

第一節(jié)　目　標(biāo)

1　11　最大程度地防范技術(shù)操作風(fēng)險，保護(hù)投資者利益，維護(hù)證券經(jīng)營機構(gòu)的合法權(quán)益，促進(jìn)證券市場健康發(fā)展。

112　充分吸收國外先進(jìn)經(jīng)驗和國內(nèi)計算機信息技術(shù)應(yīng)用成果，推動信息系統(tǒng)建設(shè)與技術(shù)管理水平的協(xié)調(diào)發(fā)展，提高證券行業(yè)的整體技術(shù)水平。

113　指導(dǎo)證券經(jīng)營機構(gòu)下屬證券營業(yè)部(以下簡稱營業(yè)部)加強計算機信息系統(tǒng)的優(yōu)化建設(shè)和安全管理，加強計算機信息技術(shù)人員的管理，防止數(shù)據(jù)遺失、損壞、篡改、泄漏，提高系統(tǒng)運行的安全性、可靠性與穩(wěn)定性。

第二節(jié)　原　則

121　安全性原則。營業(yè)部在信息系統(tǒng)的設(shè)計、開發(fā)、運行、維護(hù)各環(huán)節(jié)和硬件、軟件、網(wǎng)絡(luò)通訊、數(shù)據(jù)、管理制度各方面，都必須貫徹安全性原則。應(yīng)當(dāng)把安全措施落實到信息技術(shù)管理的每個環(huán)節(jié)、每個方面;應(yīng)當(dāng)使從業(yè)人員牢固樹立技術(shù)風(fēng)險的防范意識。

122　實用性原則。營業(yè)部應(yīng)當(dāng)加強信息技術(shù)管理，注重采用先進(jìn)成熟技術(shù)。在確保系統(tǒng)安全的前提下，力求避免因不切實際地提高系統(tǒng)安全級別而造成投資浪費;避免因引用任何未經(jīng)消化吸收的境外安全保密技術(shù)和設(shè)備而對信息技術(shù)管理造成消極影響。

123　可操作性原則。信息技術(shù)管理規(guī)范必須具有可操作性。營業(yè)部根據(jù)本規(guī)范細(xì)化與完善其信息技術(shù)管理制度時，也應(yīng)當(dāng)力求簡單明確，便于對照檢查，便于操作。

第三節(jié)　制定與實施

131　根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》及有關(guān)規(guī)定，結(jié)合我國證券業(yè)具體情況，制定本規(guī)范。

132　本規(guī)范由中國證券監(jiān)督管理委員會發(fā)布和監(jiān)督實施。

133　本規(guī)范原則上每兩年修訂一次。

134　本規(guī)范由中國證券監(jiān)督管理委員會負(fù)責(zé)解釋。

第二章　管理體系

第一節(jié)　組織結(jié)構(gòu)

211　各證券經(jīng)營機構(gòu)計算機信息技術(shù)工作必須實行統(tǒng)一歸口管理，建立健全組織機構(gòu)。證券經(jīng)營機構(gòu)應(yīng)設(shè)立計算機信息系統(tǒng)管理部門(以下稱電腦中心)，營業(yè)部相應(yīng)設(shè)立計算機工作管理部門(以下稱電腦部).

212　電腦中心是證券經(jīng)營機構(gòu)信息系統(tǒng)規(guī)劃、建設(shè)、管理的主管部門。電腦中心內(nèi)部應(yīng)建立職責(zé)明確、相互制約的分工體系，可設(shè)置運行、開發(fā)、管理等工作部門。電腦中心的主要職能是：

(1)負(fù)責(zé)制定與信息系統(tǒng)相關(guān)的規(guī)章制度;

(2)負(fù)責(zé)信息系統(tǒng)建設(shè)的總體規(guī)劃并組織實施;

(3)根據(jù)證券經(jīng)營機構(gòu)業(yè)務(wù)目標(biāo)與計劃制定計算機工作計劃并組織實施;

(4)審核營業(yè)部電腦負(fù)責(zé)人的任職資格;

(5)負(fù)責(zé)信息技術(shù)人員的培訓(xùn)與考核;

(6)負(fù)責(zé)計算機硬件與軟件的選型;

(7)審核計算機硬件設(shè)備的購置、報損、報廢;

(8)負(fù)責(zé)計算機軟件的開發(fā)與購買;

(9)保障信息系統(tǒng)安全運行，為營業(yè)部提供技術(shù)支持;

(10)負(fù)責(zé)交易業(yè)務(wù)數(shù)據(jù)及其它重要數(shù)據(jù)的備份管理;

(11)負(fù)責(zé)技術(shù)資料的管理;

(12)負(fù)責(zé)對營業(yè)部的信息系統(tǒng)進(jìn)行定期或不定期的專項檢查;

(13)指導(dǎo)和監(jiān)督電腦部工作;

(14)跟蹤研究信息技術(shù)的發(fā)展;

(15)公司授權(quán)的其它管理職能。

213　電腦部負(fù)責(zé)本營業(yè)部信息系統(tǒng)日常的運行、管理與維護(hù)。電腦部在技術(shù)上接受電腦中心的管理、指導(dǎo)和考核。電腦部的主要職能是：

(1)負(fù)責(zé)本營業(yè)部信息系統(tǒng)的安全運行，開市之前做好系統(tǒng)的運行準(zhǔn)備工作，開市期間實時監(jiān)控系統(tǒng)的運行狀況，收市以后配合清算員完成日結(jié)清算等盤后工作;

(2)及時處理證券交易所及有關(guān)部門播發(fā)的涉及信息系統(tǒng)運行的數(shù)據(jù)與文件;

(3)負(fù)責(zé)對本營業(yè)部業(yè)務(wù)人員進(jìn)行計算機操作指導(dǎo)，協(xié)助電腦中心對有關(guān)業(yè)務(wù)人員進(jìn)行技術(shù)培訓(xùn);

(4)完整、準(zhǔn)確地記錄信息系統(tǒng)的運行日志，詳細(xì)記載發(fā)生異常時的現(xiàn)象、時間、處理方式等內(nèi)容并妥善保存有關(guān)原始資料，發(fā)生技術(shù)事故及時報告;

(5)負(fù)責(zé)計算機硬件設(shè)備的管理和維護(hù)，保持系統(tǒng)處于良好的運行狀態(tài);

(6)負(fù)責(zé)交易業(yè)務(wù)數(shù)據(jù)及其它重要數(shù)據(jù)的備份;

(7)根據(jù)營業(yè)部業(yè)務(wù)發(fā)展的要求，提交軟件需求報告及硬件采購計劃;

(8)編制營業(yè)部計算機設(shè)備的維修、報損、報廢計劃，報電腦中心審核;

(9)處理經(jīng)電腦中心核準(zhǔn)的其它事務(wù)。

第二節(jié)　人員管理

221　為保障信息系統(tǒng)的開發(fā)與運行管理質(zhì)量，證券經(jīng)營機構(gòu)營業(yè)部信息技術(shù)人員編制應(yīng)不少于總?cè)藬?shù)的百分之十。

222　信息技術(shù)人員應(yīng)具備大專以上學(xué)歷，具有計算機基礎(chǔ)理論知識和專業(yè)技術(shù)經(jīng)驗、較強的業(yè)務(wù)工作能力和再學(xué)習(xí)能力、良好的職業(yè)道德和服務(wù)意識，富有敬業(yè)精神和團(tuán)隊合作精神。

223　禁止錄用有犯罪或其他嚴(yán)重違法行為記錄的人員從事證券行業(yè)計算機工作。

224　關(guān)鍵技術(shù)崗位必須經(jīng)過嚴(yán)格考核，合格后方可上崗。

225　電腦中心應(yīng)配合人事部門定期對信息技術(shù)人員進(jìn)行考核。

226　定期對信息技術(shù)人員進(jìn)行業(yè)務(wù)培訓(xùn)和技術(shù)培訓(xùn)，不合格或未參加培訓(xùn)者嚴(yán)禁上崗。

227　營業(yè)部電腦負(fù)責(zé)人之間應(yīng)定期或不定期輪換。

228　離崗人員必須嚴(yán)格辦理離崗手續(xù)，明確其離崗后的保密義務(wù)，退還全部技術(shù)資料。信息系統(tǒng)的口令必須立即更換。

第三節(jié)　安全管理

231　建立計算機安全管理組織，證券經(jīng)營機構(gòu)要指定一職能部門負(fù)責(zé)公司及所屬營業(yè)部的計算機安全管理。由公司總經(jīng)理(總裁)主管計算機安全工作，營業(yè)部負(fù)責(zé)人為營業(yè)部計算機安全工作責(zé)任人。

232　計算機安全管理組織的主要任務(wù)是：制定計算機安全管理制度，廣泛開展計算機安全教育，定期或不定期進(jìn)行計算機安全檢查，保證計算機系統(tǒng)安全運行。

233　計算機安全管理的主要內(nèi)容包括安全防范設(shè)施和安全保障機制，以有效降低系統(tǒng)風(fēng)險和操作風(fēng)險，預(yù)防不法分子利用計算機作案。

234　建立計算機機房安全管理制度

(1)建立完整的計算機運行日志、操作記錄及其它與安全有關(guān)的資料;

(2)交易時間內(nèi)機房必須有當(dāng)班值班人員;

(3)定期檢查安全保障設(shè)備，確保其處于正常工作狀態(tài);

(4)建立并嚴(yán)格執(zhí)行機房進(jìn)出管理制度，無關(guān)人員未經(jīng)安全責(zé)任人批準(zhǔn)嚴(yán)禁進(jìn)出機房;

(5)嚴(yán)禁易燃易爆和強磁物品及其它與機房工作無關(guān)的物品進(jìn)入機房。

235　建立操作安全管理制度

(1)應(yīng)采取嚴(yán)密的安全措施防止無關(guān)用戶進(jìn)入系統(tǒng);

(2)數(shù)據(jù)庫管理系統(tǒng)的口令必須由電腦中心專人掌管，并要求定期更換。禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令;

(3)操作人員應(yīng)有互不相同的用戶名，定期更換操作口令。嚴(yán)禁操作人員泄露自己的操作口令;

(4)必須啟用系統(tǒng)軟件提供的安全審計留痕功能;

(5)各崗位操作權(quán)限要嚴(yán)格按崗位職責(zé)設(shè)置。應(yīng)定期檢查操作員的權(quán)限;

(6)重要崗位的登錄過程應(yīng)增加必要的限制措施;

(7)營業(yè)部計算機信息技術(shù)人員不得擔(dān)任清算員從事結(jié)算記賬工作;

(8)建立和完善技術(shù)監(jiān)管系統(tǒng)，定期進(jìn)行獨立的對賬，核對交易數(shù)據(jù)、清算數(shù)據(jù)、保證金數(shù)據(jù)、證券托管數(shù)據(jù)以及會計數(shù)據(jù)的一致性和連續(xù)性;

(9)對數(shù)據(jù)備份和審計記錄建立定期查驗制度。

236　建立計算機病毒防范制度

(1)電腦中心應(yīng)指定專人負(fù)責(zé)計算機病毒防范工作。電腦部應(yīng)定期進(jìn)行病毒檢測，發(fā)現(xiàn)病毒立即處理并報告;

(2)新系統(tǒng)安裝前應(yīng)進(jìn)行病毒例行檢測;

(3)經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認(rèn)無病毒后方可使用;

(4)禁止運行未經(jīng)電腦中心審核批準(zhǔn)的軟件;

(5)應(yīng)采用國家許可的正版防病毒軟件并及時更新軟件版本。

第四節(jié)　技術(shù)資料管理

241　技術(shù)資料是指與信息系統(tǒng)有關(guān)的技術(shù)文件、圖表、程序與數(shù)據(jù)，包括信息系統(tǒng)建設(shè)規(guī)劃、網(wǎng)絡(luò)設(shè)計方案、軟件設(shè)計方案、安全設(shè)計方案、源代碼、系統(tǒng)配置參數(shù)、技術(shù)數(shù)據(jù)及相關(guān)技術(shù)資料。

242　各級管理機構(gòu)應(yīng)制定技術(shù)資料的管理制度，明確執(zhí)行管理制度的責(zé)任人。

243　借閱、復(fù)制技術(shù)資料應(yīng)履行必要的手續(xù)。

244　重要技術(shù)資料應(yīng)有副本并異地存放。

245　技術(shù)資料應(yīng)實施密期管理辦法。

246　報廢的技術(shù)資料應(yīng)有嚴(yán)格的銷毀和監(jiān)銷制度。

第三章　硬件設(shè)施

第一節(jié)　計算機機房

311　計算機機房建設(shè)應(yīng)符合國標(biāo)GB2887-89《計算站場地技術(shù)條件》和GB9361-88《計算站場地安全要求》.

312　供電系統(tǒng)

(1)機房應(yīng)有單獨的配電柜，計算機系統(tǒng)要設(shè)有獨立于一般照明電的專用的供配電線路，其容量應(yīng)有一定的余量，建議采用雙路供電;

(2)機房應(yīng)配備不間斷電源設(shè)備，其容量應(yīng)保證機房設(shè)備和關(guān)鍵交易設(shè)備在斷電情況下維持到后備電源供電。無備用發(fā)電機時，不間斷電源設(shè)備應(yīng)能夠持續(xù)供電4小時以上。

313　接地與防雷系統(tǒng)

(1)機房應(yīng)采用獨立的工作地和防雷保護(hù)地。工作地和防雷保護(hù)地之間的距離應(yīng)大于10米;

(2)工作地的接地電阻應(yīng)小于4歐姆，防雷保護(hù)地的接地電阻應(yīng)小于10歐姆;

(3)各類通信線路和設(shè)備宜增加相應(yīng)的防雷設(shè)施。

314　機房環(huán)境

(1)機房的使用面積(不包括不間斷電源放置面積)不得小于30平方米;

(2)機房的操作間與設(shè)備間應(yīng)作分隔，布局應(yīng)有良好的人機工作環(huán)境，保障工作人員的安全與健康;

(3)機房宜安裝獨立空調(diào)設(shè)備;

(4)機房應(yīng)有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施;

(5)機房應(yīng)配置備用應(yīng)急照明裝置。

第二節(jié)　遠(yuǎn)程通信

321　證券經(jīng)營機構(gòu)與所屬營業(yè)部之間必須建立可靠的通信線路聯(lián)接。

322　營業(yè)部與交易所之間的通信聯(lián)接必須安全可靠。

323　重要通信線路必須建立后備線路。

324　通信線路接口部分應(yīng)采取防止非法進(jìn)入的安全措施。

325　通信設(shè)備應(yīng)具有防干擾、防截取能力，具有加密傳輸功能。

326　通信設(shè)備應(yīng)建立設(shè)備備份。

第三節(jié)　計算機設(shè)備

331　服務(wù)器

(1)服務(wù)器應(yīng)具有充分的可靠性和充足的容量;

(2)服務(wù)器應(yīng)具有一定的容錯特性，宜采用鏡像、陣列、雙機、群集等容錯技術(shù);

(3)服務(wù)器應(yīng)有備品備件。

332　工作站

(1)工作站應(yīng)具有良好的性能及可靠性;

(2)除計算機機房外，一律使用無軟驅(qū)或光驅(qū)等可卸存儲裝置的網(wǎng)絡(luò)工作站;

(3)重要工作站應(yīng)有冗余備份。

333　數(shù)據(jù)存儲設(shè)備

(1)應(yīng)配備安全可靠的數(shù)據(jù)備份設(shè)備;

(2)交易業(yè)務(wù)數(shù)據(jù)的存儲應(yīng)采用只讀式數(shù)據(jù)記錄設(shè)備。

第四節(jié)　局域網(wǎng)絡(luò)

341　布線系統(tǒng)設(shè)計可參照CECS72∶97《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范》. 在現(xiàn)行技術(shù)條件下，不宜繼續(xù)使用同軸細(xì)纜。

342　網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)合理可靠。

343　網(wǎng)絡(luò)設(shè)備應(yīng)兼具技術(shù)先進(jìn)性和產(chǎn)品成熟性。

344　網(wǎng)絡(luò)設(shè)備應(yīng)有冗余備份。

345　通信速率應(yīng)保證正常業(yè)務(wù)開展的需要。

第五節(jié)　電子交易設(shè)備

351　營業(yè)部配備的電子交易系統(tǒng)必須達(dá)到一定的安全級別。

352　客戶操作電子交易設(shè)備應(yīng)有嚴(yán)格的身份識別機制。

353　應(yīng)采取適當(dāng)措施，保證設(shè)備完好率不低于百分之九十。

354　各種形式的遠(yuǎn)程交易系統(tǒng)必須采取嚴(yán)格的安全措施。

355　營業(yè)部交易場所應(yīng)配備行情揭示設(shè)備，完整、準(zhǔn)確、及時地顯示行情信息。

第六節(jié)　設(shè)備管理

361　電腦中心統(tǒng)一管理證券經(jīng)營機構(gòu)及下屬營業(yè)部的計算機設(shè)備。

362　計算機設(shè)備的選型、購置、登記、保養(yǎng)、維修、報廢等必須嚴(yán)格按規(guī)定手續(xù)辦理，重大設(shè)備應(yīng)建立維護(hù)檔案。

363　選用的計算機設(shè)備必須經(jīng)過技術(shù)論證，符合國家有關(guān)標(biāo)準(zhǔn)的規(guī)定，滿足可靠性與兼容性要求。

364　新購置的設(shè)備應(yīng)經(jīng)過測試，測試合格后方能投入使用。

365　必須定期對計算機設(shè)備進(jìn)行專業(yè)維護(hù)保養(yǎng)。

366　未經(jīng)電腦中心或電腦部許可，不得擅自開拆設(shè)備或調(diào)換設(shè)備配件。

第四章　軟件環(huán)境

第一節(jié)　系統(tǒng)軟件

411　營業(yè)部使用的系統(tǒng)軟件主要包括操作系統(tǒng)軟件和數(shù)據(jù)庫管理軟件。系統(tǒng)軟件的選用應(yīng)充分考慮軟件的安全性、可靠性、穩(wěn)定性和健壯性。

412　應(yīng)使用正版軟件。

413　系統(tǒng)軟件應(yīng)具備如下功能：

(1)身份驗證功能，防止非法用戶隨意進(jìn)入系統(tǒng);

(2)訪問控制功能，防止系統(tǒng)中出現(xiàn)越權(quán)訪問;

(3)故障恢復(fù)功能，能夠自動或在人工干預(yù)下從故障狀態(tài)恢復(fù)到正常狀態(tài)而不致造成系統(tǒng)混亂和數(shù)據(jù)丟失;

(4)安全保護(hù)功能，對信息的交換、傳輸、存儲提供安全保護(hù);

(5)安全審計功能，便于應(yīng)用系統(tǒng)建立訪問用戶資源的審計記錄;

(6)分權(quán)制約功能，支持對操作員和管理員的權(quán)限分離與相互制約。

414　必須啟用系統(tǒng)軟件提供的安全審計留痕功能。

415　系統(tǒng)軟件應(yīng)達(dá)到C2級以上(含C2級)安全級別。

416　數(shù)據(jù)庫管理軟件除上述功能要求外，還應(yīng)具有數(shù)據(jù)庫的安全性、完整性、一致性及可恢復(fù)性保障機制。

第二節(jié)　應(yīng)用軟件

421　營業(yè)部應(yīng)用軟件包括營業(yè)部證券交易業(yè)務(wù)處理系統(tǒng)、信息揭示與分析系統(tǒng)及其它業(yè)務(wù)處理系統(tǒng)等。

422　營業(yè)部交易業(yè)務(wù)處理系統(tǒng)必須具有如下特性：

(1)自動記錄全部操作過程;

(2)關(guān)鍵數(shù)據(jù)不得以明碼存放;

(3)無法繞過應(yīng)用界面直接查看或操作數(shù)據(jù)庫;

(4)系統(tǒng)管理與業(yè)務(wù)操作權(quán)限嚴(yán)格分開;

(5)防止異常中斷后非法進(jìn)入系統(tǒng);

(6)提供超時鍵盤鎖定功能;

(7)交易業(yè)務(wù)數(shù)據(jù)在通信網(wǎng)絡(luò)上以加密方式傳輸;

(8)應(yīng)存儲一年以上完整的系統(tǒng)運行記錄與交易清算記錄;

(9)提供系統(tǒng)運行狀態(tài)監(jiān)控模塊;

(10)提供數(shù)據(jù)接口，滿足稽核、審計及技術(shù)監(jiān)控的要求;

(11)其它有助于控制業(yè)務(wù)操作風(fēng)險的功能特性。

423　信息揭示與分析系統(tǒng)必須保證信息揭示的完整、準(zhǔn)確、及時。

第三節(jié)　軟件管理

431　應(yīng)用軟件在開發(fā)或購買之前應(yīng)正式立項，成立由技術(shù)人員、業(yè)務(wù)人員和管理人員共同組成的項目小組并建立軟件質(zhì)量保證體系。

432　根據(jù)應(yīng)用系統(tǒng)對安全的要求，同步進(jìn)行安全保密設(shè)計。

433　軟件開發(fā)過程應(yīng)符合GB/T8566-1995《信息技術(shù)軟件生存期過程》.

434　開發(fā)維護(hù)人員與操作人員必須實行崗位分離，開發(fā)環(huán)境和現(xiàn)場必須與生產(chǎn)環(huán)境和現(xiàn)場隔離。軟件設(shè)計方案、數(shù)據(jù)結(jié)構(gòu)、加密算法、源代碼等技術(shù)資料嚴(yán)禁流入生產(chǎn)現(xiàn)場、散失和外泄。

435　應(yīng)用軟件在正式投入使用前必須經(jīng)過內(nèi)部評審，確認(rèn)系統(tǒng)功能、測試結(jié)果和試運行結(jié)果均滿足設(shè)計要求，技術(shù)文檔齊全，并經(jīng)證券經(jīng)營機構(gòu)分管領(lǐng)導(dǎo)批準(zhǔn)。

436　應(yīng)規(guī)定軟件的使用范圍和使用權(quán)限。

437　軟件使用人員應(yīng)經(jīng)過適當(dāng)?shù)牟僮髋嘤?xùn)和安全教育。

438　建立應(yīng)用軟件的文檔管理制度、版本管理制度及軟件分發(fā)制度，防止軟件的盜用、誤用、流失及越權(quán)使用。

439　證券經(jīng)營機構(gòu)下屬營業(yè)部應(yīng)使用統(tǒng)一的系統(tǒng)軟件和應(yīng)用軟件。

4310　營業(yè)部信息技術(shù)人員不得擅自進(jìn)行軟件維護(hù)和系統(tǒng)參數(shù)調(diào)整。

4311　應(yīng)采取有效措施，防止對應(yīng)用軟件的非法修改。

第五章　數(shù)據(jù)管理

第一節(jié)　交易業(yè)務(wù)數(shù)據(jù)

511　交易業(yè)務(wù)數(shù)據(jù)主要包括交易數(shù)據(jù)、清算數(shù)據(jù)及其它相關(guān)數(shù)據(jù)。

512　應(yīng)建立交易業(yè)務(wù)數(shù)據(jù)管理制度，對交易業(yè)務(wù)數(shù)據(jù)實施嚴(yán)格的安全保密管理。

513　電腦中心設(shè)置數(shù)據(jù)庫管理員崗位，對交易業(yè)務(wù)數(shù)據(jù)實行專人管理。營業(yè)部信息技術(shù)人員不得擁有數(shù)據(jù)庫管理員操作口令。

514　營業(yè)部信息系統(tǒng)內(nèi)應(yīng)保存一年以上的交易業(yè)務(wù)數(shù)據(jù)。

515　電腦中心應(yīng)建立營業(yè)部交易業(yè)務(wù)數(shù)據(jù)映象并定期和不定期與營業(yè)部交易業(yè)務(wù)數(shù)據(jù)進(jìn)行核對，防止使用過程中產(chǎn)生誤操作或被非法篡改。

516　數(shù)據(jù)備份：

(1)每個工作日結(jié)束后必須制作數(shù)據(jù)的備份并異地存放，保證系統(tǒng)發(fā)生故障時能夠快速恢復(fù);

(2)交易業(yè)務(wù)數(shù)據(jù)必須定期、完整、真實、準(zhǔn)確地轉(zhuǎn)儲到不可更改的介質(zhì)上，并要求集中和異地保存，保存期限至少20年;

(3)備份的數(shù)據(jù)必須指定專人負(fù)責(zé)保管，由營業(yè)部計算機信息技術(shù)人員按規(guī)定的方法同數(shù)據(jù)保管員進(jìn)行數(shù)據(jù)的交接。交接后的備份數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或指定的場所保管;

(4)數(shù)據(jù)保管員必須對備份數(shù)據(jù)進(jìn)行規(guī)范的登記管理;

(5)備份數(shù)據(jù)不得更改;

(6)備份數(shù)據(jù)保管地點應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。

517　數(shù)據(jù)保密：

(1)數(shù)據(jù)不得泄露，禁止外借;

(2)數(shù)據(jù)應(yīng)僅用于明確規(guī)定的目的，未經(jīng)批準(zhǔn)不得它用;

(3)無正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得查閱客戶資料。經(jīng)正式批件查閱數(shù)據(jù)時必須登記，并由查閱人簽字;

(4)保密數(shù)據(jù)不得以明碼形式存儲和傳輸;

(5)根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定數(shù)據(jù)使用人員的存取權(quán)限、存取方式和審批手續(xù).

518　交易業(yè)務(wù)數(shù)據(jù)不得隨意更改。

第二節(jié)　系統(tǒng)數(shù)據(jù)

521　系統(tǒng)數(shù)據(jù)主要包括數(shù)據(jù)字典、權(quán)限設(shè)置、存貯分配、網(wǎng)絡(luò)地址、硬件配置及其它系統(tǒng)配置參數(shù)。

522　應(yīng)制定系統(tǒng)數(shù)據(jù)管理制度，對系統(tǒng)數(shù)據(jù)實施嚴(yán)格的安全與保密管理，防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。

523　設(shè)置系統(tǒng)管理員崗位，對系統(tǒng)數(shù)據(jù)實行專人管理。

524　系統(tǒng)數(shù)據(jù)不得泄露。

525　電腦中心應(yīng)保存營業(yè)部的系統(tǒng)數(shù)據(jù)，并定期進(jìn)行核對。

第六章　技術(shù)事故的防范與處理

第一節(jié)　技術(shù)事故及其防范

611　技術(shù)事故是指由于硬件故障、軟件故障和操作失誤等原因引起系統(tǒng)無法運行，經(jīng)啟動備用系統(tǒng)仍未恢復(fù)正常，導(dǎo)致交易中斷并造成經(jīng)濟(jì)損失的事件。

612　技術(shù)事故的防范原則是：預(yù)防為主、處理及時，力爭把事故的損失降低到最小程度。

613　建立健全技術(shù)事故的防范對策，嚴(yán)格按本規(guī)范要求建設(shè)、管理信息系統(tǒng)的硬件設(shè)施和軟件環(huán)境，定期進(jìn)行事故防范演習(xí)，針對薄弱環(huán)節(jié)不斷改進(jìn)完善。

614　制定技術(shù)事故發(fā)生時的應(yīng)急計劃：

(1)應(yīng)急計劃必須形成文字;

(2)應(yīng)急計劃應(yīng)針對可能發(fā)生的故障制定緊急處理程序;

(3)緊急處理程序應(yīng)張貼在規(guī)定的地方;

(4)對執(zhí)行應(yīng)急計劃的全體人員進(jìn)行專項培訓(xùn)，定期進(jìn)行演習(xí);

(5)根據(jù)演習(xí)結(jié)果不斷完善應(yīng)急計劃。

第二節(jié)　技術(shù)事故的處理

621　下列情況營業(yè)部免責(zé)：

(1)因不可抗力引發(fā)的技術(shù)事故;

(2)因軟硬件故障導(dǎo)致的技術(shù)事故，經(jīng)技術(shù)專家論證，確認(rèn)營業(yè)部信息系統(tǒng)建設(shè)和管理符合本規(guī)范要求，確屬小概率或偶發(fā)性事件;

(3)因證券交易所原因?qū)е碌慕灰字袛唷?/p>

622　因通信線路故障導(dǎo)致的技術(shù)事故，應(yīng)會同通信部門共同調(diào)查，界定責(zé)任。

623　因營業(yè)部操作失誤導(dǎo)致的技術(shù)事故，經(jīng)調(diào)查核實后，營業(yè)部負(fù)相關(guān)責(zé)任。

624　技術(shù)事故的事后處理：

(1)證券經(jīng)營機構(gòu)安全管理組織應(yīng)立即進(jìn)行事故調(diào)查，提出書面調(diào)查報告，必要時可組織有關(guān)專家鑒定，確定事故的原因和責(zé)任;

(2)對調(diào)查中發(fā)現(xiàn)的技術(shù)薄弱環(huán)節(jié)，應(yīng)限期整改。