第三章 网络通信
第十九条证券营业部与所属证券公司之间,应使用不同运营商或不同介质的2条以上通信线路建立可靠通信联接,且线路带宽能够满足业务需要并留有冗余。网络通信设备应有冗余备份,避免单设备故障,并能保证发生故障时实现及时切换。
第二十条证券营业部与其他外联单位、互联网的通信线路,可根据业务需要,选择合适的通信线路、线路带宽和线路备份方式。
第二十一条证券营业部网络规范应符合所属证券公司有关的证券营业部局域网、广域网、互联网接入以及安全防护的网络建设规范。
第二十二条证券营业部局域网应采用多层网络架构,用于交易业务的核心层应部署至少两台交换机互为备份,网络接入层设备应避免使用HUB。
第二十三条证券营业部网络配置参数和IP地址段应由所属证券公司统一规划管理,证券营业部的IP地址、路由规则等网络配置按所属证券公司要求设定。
第二十四条证券营业部局域网应合理划分安全域,明确规定各安全域的功能。
(一)证券营业部网络与证券公司网络之间进行安全隔离;
(二)用于交易业务的网络与用于非交易业务的网络进行安全隔离,严格禁止交易业务网直接访问互联网;
(三)接入互联网的网络(含网上交易终端)与证券营业部其他网络进行安全隔离。
第二十五条处理交易业务的计算机终端宜专机专用,严禁接入互联网。
第二十六条证券营业部应按照所属证券公司的要求,部署正版防病毒、防木马、防恶意代码在内的系统安全防护软件,以确保信息安全。
第四章 应用系统
第二十七条证券营业部应用系统是指提供行情、开户、交易、资讯等客户服务的信息技术系统。
第二十八条证券营业部应用系统应具备足够的健壮性,系统处理能力具有一定的冗余度,行情、交易、资讯系统等关键硬件设备应通过热备、冷备等手段,避免单点故障,提高系统可用性。
第二十九条证券营业部服务器应采用双电源、双网卡等方式,提高系统可靠性。
第三十条证券营业部未经所属证券公司批准,不得擅自安装使用与业务及技术维护无关的应用软件。
第三十一条证券营业部应为客户提供2种以上行情分析系统和委托交易方式,以确保发生突发事件时能够提供持续的行情和交易服务。
第三十二条证券营业部电话委托、自助终端应能记录证券委托、撤单、银证转账、密码修改等操作的终端信息,其中电话委托应记录主叫电话号码,热自助应记录网卡物理地址,相关记录保存二十年。
第五章 管理制度
第三十三条证券营业部应执行所属证券公司的人员管理、机房管理、网络管理、设备管理、数据管理、技术文档管理、系统运维管理、应急处理等制度。每年将信息系统运行及制度执行情况报告所属证券公司并同时按监管部门的要求抄报有关单位。
第三十四条证券公司应在确保证券营业部信息系统稳定运营的前提下,至少配备一名专职和一名兼职技术人员,技术人员应具有计算机相关专业及1年以上技术岗位从业经验。
第三十五条机房管理应包括机房人员、设备出入和安全管理等环节。机房内严禁放置易燃易爆物品及强磁物品。外来人员未经允许严禁进出机房。未经许可不得挪动机房内设备、更改网络线路、私自安装软件。
第三十六条网络管理包括配置管理、访问控制、安全审计等环节。网络设备应按最小安全访问原则设置访问控制权限。路由器、交换机和防火墙等设备应根据子网安全隔离的需要限制允许登录的IP地址,严禁从公司网络以外登录。应于每一次变更后更新备份网络设备的配置信息。
第三十七条设备管理包括选型、购置、登记、保养、维修、报废等环节。关键设备应建立维护档案。
第三十八条未实现集中管理的交易数据,应指定专人负责管理,并至少每半年备份在可靠介质上,数据调阅应经审批,不得随意对外泄露。
第三十九条技术文档管理包括文档的收集、更新、保管、借阅等环节。证券营业部技术文档涵盖机房平面图、供配电图、网络拓扑图、信息点对照表、UPS电源点分布表、系统维护手册、系统使用手册、应急预案、运维日志、设备维护档案、信息技术管理制度等资料。证券营业部应根据信息技术系统的变更情况及时更新技术文档。
第六章 系统运维
第四十条 用户权限管理
(一)证券营业部用于交易业务的信息系统权限变更应执行相关审批流程,并有完整的变更记录。
(二)员工应被授予完成所承担任务所需的最小权限,重
要岗位的员工之间应形成相互制约的关系。信息技术人员不应具有任何应用系统的业务操作类权限。
(三)对与客户交易相关的系统应采取必要的措施,限
制重要岗位用户的登录,如错误登录次数限制、登录时间限制、网络地址限制等。
(四)证券营业部应建立系统用户及权限清单,定期对员工权限进行检查核对,发现越权用户要查明原因并及时调整,同时清理过期用户权限,做好记录归档。
第四十一条与交易业务相关系统和关键设备的管理员用户密码应专人管理,采用不低于12位的复合密码,每季度至少更换一次。发生人员变动时应及时更新密码。
第四十二条证券营业部在生产环境下的测试工作应在所属证券公司信息技术部门的统一管理和指导下进行,不得擅自安装测试软件。
第四十三条测试前应制定详细的测试计划,同时做好系统、数据和应用程序测试前的备份工作。测试计划应包括测试目的、测试时间、参测人员、测试用例、测试步骤等内容。测试过程中要做好详细的测试记录。
第四十四条测试结束后应有明确的测试结果,保证系统、数据和应用程序的恢复并进行恢复后的测试验证,同时总结测试经验、分析测试结果、形成测试报告。
第四十五条证券营业部应用系统变更前须制定详细的变更方案和变更应急预案,变更前做好系统和数据的备份。
第四十六条对于供电、通信、服务器、核心交换机、核心交易业务系统等关键性设备或系统的变更,证券营业部应经过严格的测试。
第四十七条除故障应急外,开市交易期间不得进行任何与交易业务相关的信息系统变更操作。
第四十八条证券营业部应建立完善的监控体系,以对信息系统的运行环境、运行状况等进行定时监控和事后分析。
第四十九条证券营业部的运行监控应落实到人,责任明确,并做好运行监控记录。
第五十条证券营业部应规范管理系统运维日志。日志内容应包括系统机房值班记录、巡视记录、故障处理记录、变更记录、测试记录、监控记录、重要设备维护记录等。日常操作及异常事件处理均应在系统运维日志中详细记录。
第五十一条证券营业部系统运维日志可采用电子文档或纸质件记录,并妥善保管,日志保留期限不少于2年。
第五十二条证券营业部应定期检查电力、空调、消防等设施,每季度选择非交易时间进行UPS电池的充放电测试,并详细记录。
第七章 安全保障
第五十三条证券营业部应加强网络安全管理,未经所属证券公司批准不得擅自对外互联或设立网站,如确有必要,应在公司统一指导下设立和管理。网上交易客户端应通过所属证券公司网站下载。
第五十四条证券营业部应加强计算机终端的管理,记录网卡地址,防止非法使用。禁止客户将自备计算机接入证券营业部网络。
第五十五条证券营业部应加强客户访问互联网的管理,防止客户利用证券营业部网络访问非法网站,出现异常应及时配合公安机关进行处理。
第五十六条证券营业部应按所属证券公司要求及时更新系统补丁、升级防病毒软件。
第五十七条证券营业部应定期进行病毒检测,发现病毒立即处理并报告。移动存储、外来电子文档、软件系统使用前应进行病毒或木马查杀。
第五十八条证券营业部应按照所属证券公司的统一要求建立相应的信息系统应急预案,对系统故障、通信和网络故障、供电系统故障、自然灾害及其他突发事件制订明确的应急处理流程。
第五十九条证券公司对应用系统重大升级或改造时,应根据实际情况要求证券营业部制定专项预案或修订应急预案。必要时应当以适当的方式告知投资者并提醒防范可能出现的风险。
第六十条证券营业部应每年至少进行两次应急演练,并留存演练记录。
第六十一条证券营业部发生影响正常业务技术故障,应立即启动应急预案、尽快恢复交易业务,并按有关要求及时上报所属证券公司和当地监管部门。
第六十二条应急事件处理完成后,应以书面形成上报所属证券公司和当地监管部门。
第八章 附则
第六十三条证券营业部新设和迁址时,经监管部门批准不提供现场交易服务的证券营业部,在保障正常运营的前提下,其信息技术系统建设和管理可参照本指引执行。
第六十四条本指引自发布之日起施行。
|