證券有限責(zé)任公司信息技術(shù)部內(nèi)部控制制度模版

1、證券有限責(zé)任公司信息技術(shù)部內(nèi)部控制制度第一章 總則第一條 本制度的制訂目的在于確保全公司的計(jì)算機(jī)工作管理工作制度化、規(guī)范化，防止技術(shù)事故發(fā)生，保障業(yè)務(wù)系統(tǒng)的安全、高效運(yùn)行。第二條 公司信息系統(tǒng)管理工作實(shí)行集中統(tǒng)一管理原則。集中統(tǒng)一管理系指在公司系統(tǒng)內(nèi)以統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一應(yīng)用、統(tǒng)一實(shí)施、統(tǒng)一采購的方式分步實(shí)施推廣計(jì)算應(yīng)用技術(shù)，并對計(jì)算機(jī)技術(shù)應(yīng)用進(jìn)行日常運(yùn)營管理。 第二章 組織結(jié)構(gòu)第三條 公司技術(shù)管理工作實(shí)行統(tǒng)一歸口管理。公司設(shè)立信息技術(shù)部負(fù)責(zé)整個公司的技術(shù)管理工作，營業(yè)部相應(yīng)設(shè)立計(jì)算機(jī)工作管理部門（以下簡稱電腦部）負(fù)責(zé)營業(yè)部的技術(shù)管理工作。第四條 信息技術(shù)部是公司信息系統(tǒng)規(guī)劃、建設(shè)、管理的

2、主管部門。內(nèi)部應(yīng)建立職責(zé)明確、相互制約的分工體系，應(yīng)對重要崗位實(shí)行雙人雙崗，包括網(wǎng)絡(luò)管理、系統(tǒng)管理、應(yīng)用管理，另外還需設(shè)置安全管理員、安全審計(jì)員。技術(shù)部的主要職能是：（一） 負(fù)責(zé)公司信息系統(tǒng)建設(shè)的總體規(guī)劃并組織實(shí)施；（二） 負(fù)責(zé)公司信息系統(tǒng)安全管理；（三） 及時處理證券交易所及有關(guān)主管部門下發(fā)的涉及信息系統(tǒng)運(yùn)行的數(shù)據(jù)、文件和各類通知；（四） 負(fù)責(zé)營業(yè)部電腦負(fù)責(zé)人的技術(shù)資格審查；（五） 指導(dǎo)和監(jiān)督下屬營業(yè)部電腦部工作，定期或不定期的專項(xiàng)檢查；（六） 負(fù)責(zé)計(jì)算機(jī)硬件、軟件、服務(wù)的采購；（七） 負(fù)責(zé)計(jì)算機(jī)軟件的開發(fā)；（八） 審核計(jì)算機(jī)硬件設(shè)備報(bào)損、報(bào)廢；（九） 負(fù)責(zé)交易業(yè)務(wù)數(shù)據(jù)及其他重要數(shù)據(jù)的備份與

3、管理；（十） 公司授權(quán)的其他工作。第五條 電腦部負(fù)責(zé)本營業(yè)部信息系統(tǒng)日常的運(yùn)行、管理與維護(hù)。電腦部在技術(shù)上接受技術(shù)部的指導(dǎo)和監(jiān)督。電腦部的主要職能如下：（一） 強(qiáng)化安全意識，自覺遵守信息技術(shù)部下發(fā)的各項(xiàng)制度和規(guī)范；（二） 負(fù)責(zé)本營業(yè)部計(jì)算機(jī)系統(tǒng)的建設(shè)、運(yùn)營維護(hù)工作，配合技術(shù)部完成系統(tǒng)上線工作；（三） 負(fù)責(zé)本營業(yè)部計(jì)算機(jī)系統(tǒng)的安全管理工作；（四） 負(fù)責(zé)本營業(yè)部計(jì)算機(jī)信息系統(tǒng)各類技術(shù)文檔的收集、整理、分類、歸檔、備份和保存工作；（五） 負(fù)責(zé)對本營業(yè)部業(yè)務(wù)人員進(jìn)行計(jì)算機(jī)操作指導(dǎo)和計(jì)算機(jī)應(yīng)用技能培訓(xùn)。第六條 信息技術(shù)部、電腦部應(yīng)根據(jù)各自的職責(zé)建立明確的崗位責(zé)任制，確保不相容職務(wù)有效分離、相互制衡。第三

4、章 人員管理第七條 技術(shù)任職人員，必須符合以下標(biāo)準(zhǔn)：（一） 滿足監(jiān)管要求的it專業(yè)教育經(jīng)歷；（二） 具備證券行業(yè)從業(yè)人員資格證書（對新畢業(yè)或從其他行業(yè)應(yīng)聘過來的，需根據(jù)公司人力資源部門要求，在限定期限內(nèi)獲得從業(yè)資格證書）（三） 良好的道德品質(zhì)，無不良社會行為記錄。（四） 優(yōu)秀的團(tuán)隊(duì)精神；（五） 能夠積極學(xué)習(xí)業(yè)務(wù)和專業(yè)知識。第八條 技術(shù)人員必須嚴(yán)格實(shí)行公司對人員試用期的管理。在試用期表現(xiàn)特別優(yōu)秀者，可報(bào)請公司人力資源部及公司領(lǐng)導(dǎo)后方可提前轉(zhuǎn)正，但最短不能低于一個月。第九條 營業(yè)部電腦部經(jīng)理由營業(yè)部提名，信息技術(shù)部負(fù)責(zé)資格審查，營業(yè)部其他電腦人員的聘用需報(bào)公司信息技術(shù)部審核，信息技術(shù)部具有否決權(quán)。

5、第十條 其具體管理辦法按公司人力資源部相應(yīng)管理辦法執(zhí)行。第十一條 技術(shù)人員的年度考核工作在公司統(tǒng)一的考核體系下，增加專業(yè)技能考核指標(biāo)。第十二條 營業(yè)部電腦部經(jīng)理的兩天以上（含兩天）的公出需報(bào)公司技術(shù)部備案；營業(yè)部電腦部經(jīng)理休假需報(bào)公司技術(shù)部核準(zhǔn)。第十三條 營業(yè)部電腦部經(jīng)理調(diào)離工作崗位或離職，必須報(bào)公司信息技術(shù)部核準(zhǔn)，并由信息技術(shù)部監(jiān)督下辦理離崗手續(xù)。第十四條 營業(yè)部電腦部其他工作人員調(diào)離或離職，必須報(bào)公司信息技術(shù)部備案，并按交接流程履行工作交接義務(wù)。第十五條 技術(shù)人員在調(diào)離崗位或離職時，須嚴(yán)格辦理離崗手續(xù)，明確其離崗后的保密義務(wù)，退還全部技術(shù)資料、門卡和鑰匙。交接所有系統(tǒng)和設(shè)備的口令，離崗后信

6、息系統(tǒng)的口令必須立即更換。使用的計(jì)算機(jī)系統(tǒng)的用戶號要注銷，自公司批準(zhǔn)其離崗后必須與交接任人員共同工作20個工作日以上。第十六條 外來人員必須遵守行政管理部和信息技術(shù)部對公司辦公區(qū)和機(jī)房區(qū)域進(jìn)出管理要求，進(jìn)行登記和確認(rèn)，部門員工必須在指定的會客室進(jìn)行接待。第十七條 部門所有人員必須將工作用機(jī)進(jìn)行密碼鎖屏，方能離開工位，離開工位前應(yīng)檢查桌面是否放置有重要信息資料，離開前應(yīng)將重要信息資料進(jìn)行歸類存放在資料柜中。第十八條 記載有信息的紙質(zhì)資料過期不用時，應(yīng)將紙張?jiān)谒榧垯C(jī)上進(jìn)行粉碎，防止信息資料被泄漏。第十九條 員工應(yīng)該自覺學(xué)習(xí)安全知識，必須定期接受安全培訓(xùn)，信息技術(shù)部定期組織公司信息技術(shù)人員信息安全知

7、識培訓(xùn)工作。第二十條 第三方人員進(jìn)入辦公區(qū)域或機(jī)房按照xx證券辦公區(qū)域進(jìn)入管理辦法和信息技術(shù)部中心機(jī)房管理辦法的有關(guān)規(guī)定進(jìn)行約束和管理。第四章 信息系統(tǒng)管理第一節(jié) 系統(tǒng)日常管理第二十一條 負(fù)責(zé)機(jī)房環(huán)境基礎(chǔ)設(shè)施的檢查、例行維護(hù)、故障報(bào)修、配合外部維護(hù)人員進(jìn)行設(shè)備維護(hù)等機(jī)房日常工作。第二十二條 負(fù)責(zé)業(yè)務(wù)系統(tǒng)、輔助業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)的日常維護(hù)工作：包括每日的開市前的準(zhǔn)備、盤中監(jiān)控、周維護(hù)、主機(jī)病毒碼升級、收盤作業(yè)、月維護(hù)和季度維護(hù)工作；第二十三條 負(fù)責(zé)基礎(chǔ)設(shè)施、硬件、應(yīng)用的監(jiān)控配置、運(yùn)行情況的監(jiān)控，發(fā)現(xiàn)問題及時匯報(bào)。第二十四條 每日進(jìn)行開市前的各項(xiàng)準(zhǔn)備工作，按照信息技術(shù)部日常操作管理辦法進(jìn)行操作，并

8、進(jìn)行夜間清算技術(shù)支持和數(shù)據(jù)備份，同時按照數(shù)據(jù)介質(zhì)管理辦法進(jìn)行數(shù)據(jù)介質(zhì)管理工作。第二十五條 按照中心機(jī)房運(yùn)營管理辦法對中心機(jī)房進(jìn)行管理。第二十六條 按照信息技術(shù)部應(yīng)急操作手冊對事件進(jìn)行處理。第二節(jié) 應(yīng)用管理第二十七條 應(yīng)用管理員負(fù)責(zé)制定應(yīng)用管理制度，并負(fù)責(zé)應(yīng)用系統(tǒng)的上線、維護(hù)等管理工作，并負(fù)責(zé)應(yīng)用安全事件的處理。第二十八條 應(yīng)用管理員每日按時填寫應(yīng)用系統(tǒng)運(yùn)營日志。第二十九條 應(yīng)用管理員按照維護(hù)流程對業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)進(jìn)行例行維護(hù)，涉及到軟硬件變更操作須進(jìn)行系統(tǒng)變更記錄。第三十條 系統(tǒng)日常維護(hù)人員須按照應(yīng)用系統(tǒng)日常操作流程對應(yīng)用系統(tǒng)進(jìn)行日常操作。第三十一條 新系統(tǒng)上線前需要事先制訂好各項(xiàng)相關(guān)流程，

9、并與網(wǎng)絡(luò)組、系統(tǒng)日常維護(hù)組成員共同商討系統(tǒng)上線后的日常運(yùn)營維護(hù)工作。第三節(jié) 系統(tǒng)管理第三十二條 系統(tǒng)管理小組負(fù)責(zé)主機(jī)管理，數(shù)據(jù)管理及機(jī)房基礎(chǔ)設(shè)施規(guī)劃及上線管理，并制定其相關(guān)管理制度。第三十三條 每交易日對重要數(shù)據(jù)進(jìn)行備份，并對數(shù)據(jù)進(jìn)行有效性檢查，填寫系統(tǒng)維護(hù)日志等運(yùn)維記錄。第三十四條 對系統(tǒng)軟件出現(xiàn)的異常進(jìn)行跟蹤分析，查找問題原因，提出解決方案，系統(tǒng)運(yùn)營小組負(fù)責(zé)人批準(zhǔn)后，負(fù)責(zé)解決方案的實(shí)施，對于需要進(jìn)行配置變更的應(yīng)當(dāng)提交變更請求，問題解決后，應(yīng)對問題和事件進(jìn)行記錄。第三十五條 當(dāng)需要聯(lián)系外單位進(jìn)行硬件報(bào)修時，通知桌面管理組進(jìn)行聯(lián)系報(bào)修。第三十六條 定期對主機(jī)、數(shù)據(jù)庫、機(jī)房基礎(chǔ)設(shè)施進(jìn)行性能及容量

10、分析。第三十七條 定期分析監(jiān)控?cái)?shù)據(jù)、系統(tǒng)日志、應(yīng)用日志，發(fā)現(xiàn)存在的安全隱患，提出優(yōu)化和解決的辦法，確保數(shù)據(jù)的安全性。第三十八條 定期與日常管理組進(jìn)行數(shù)據(jù)交接，數(shù)據(jù)借閱、銷毀及保管嚴(yán)格按照數(shù)據(jù)介質(zhì)管理辦法進(jìn)行。第三十九條 新購置服務(wù)器應(yīng)按照服務(wù)器安裝上線流程進(jìn)行安裝配置，配置完成后移交系統(tǒng)應(yīng)用組。第四節(jié) 網(wǎng)絡(luò)管理第四十條 監(jiān)督指導(dǎo)機(jī)房維護(hù)人員對網(wǎng)絡(luò)布線配線架的管理，確保配線的合理有序。第四十一條 確保各種網(wǎng)絡(luò)應(yīng)用服務(wù)運(yùn)行的不間斷性和工作狀態(tài)良好，出現(xiàn)故障時應(yīng)及時與網(wǎng)絡(luò)工程師溝通將故障造成的損失和影響控制在最小范圍內(nèi)。第四十二條 每日監(jiān)控公司網(wǎng)絡(luò)情況，包括業(yè)務(wù)網(wǎng)、互聯(lián)網(wǎng)出口、辦公網(wǎng)流量監(jiān)控，網(wǎng)絡(luò)事

11、件的日常處理，填寫監(jiān)控日志。第四十三條 負(fù)責(zé)公司整個網(wǎng)絡(luò)系統(tǒng)日常維護(hù)工作：包括每日開市前的檢查、盤中監(jiān)控、周維護(hù)、月維護(hù)和季度維護(hù)工作。第四十四條 制訂和修訂應(yīng)急方案，指導(dǎo)和監(jiān)督系統(tǒng)維護(hù)小組日常變更工作的實(shí)施，參與各種測試工作和上線工作。第四十五條 協(xié)調(diào)電信運(yùn)營商解決線路開通與故障問題，配合外部網(wǎng)絡(luò)維護(hù)人員的維護(hù)工作。第四十六條 維護(hù)和更新網(wǎng)絡(luò)資料、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)拓?fù)涞墓芾淼母黝惣夹g(shù)資料，負(fù)責(zé)網(wǎng)絡(luò)資料的入庫管理工作。第五節(jié) 災(zāi)備管理第四十七條 負(fù)責(zé)災(zāi)備系統(tǒng)、網(wǎng)上交易系統(tǒng)的維護(hù)、與核心業(yè)務(wù)系統(tǒng)的數(shù)據(jù)同步、監(jiān)控和相關(guān)事件的處理、惡意代碼更新。第四十八條 對網(wǎng)上交易和災(zāi)備系統(tǒng)軟件出現(xiàn)的異常進(jìn)行跟蹤分

12、析，查找問題原因，提出解決方案，系統(tǒng)運(yùn)營小組負(fù)責(zé)人批準(zhǔn)后，負(fù)責(zé)解決方案的實(shí)施，對于需要進(jìn)行配置變更的應(yīng)當(dāng)提交變更請求，問題解決后，應(yīng)對問題和事件進(jìn)行記錄。第四十九條 組織災(zāi)備系統(tǒng)、網(wǎng)上交易的測試、上線、變更和容量管理工作，涉及變更的，發(fā)起變更請求，并通知測試組進(jìn)行測試。第五十條 負(fù)責(zé)災(zāi)備系統(tǒng)、網(wǎng)上交易系統(tǒng)配置資料整理與完善，并負(fù)責(zé)相關(guān)資料入庫工作。第六節(jié) 營業(yè)部管理第五十一條 營業(yè)部管理組對營業(yè)部電腦部運(yùn)營維護(hù)、制度落實(shí)等工作情況進(jìn)行定期或不定期的現(xiàn)場或非現(xiàn)場檢查。第五十二條 組織營業(yè)部電腦部的測試、上線、變更工作，收集整理營業(yè)部測試反饋記錄。第五十三條 協(xié)助營業(yè)部異常事件的處理，提交事件處理

13、報(bào)告。第五十四條 組織營業(yè)部定期參與整個公司應(yīng)急計(jì)劃演練工作，收集營業(yè)部應(yīng)急演練記錄。第五十五條 督促營業(yè)部電腦部完成營業(yè)部信息系統(tǒng)資料的登記入庫，組織營業(yè)部集中完善營業(yè)部資料庫。第五十六條 根據(jù)所屬分支機(jī)構(gòu)各個崗位每周系統(tǒng)運(yùn)營狀況報(bào)告，提交營業(yè)部系統(tǒng)運(yùn)營周報(bào)，定期匯總營業(yè)部電腦部月度工作總結(jié)，并提出合理性改進(jìn)建議。第七節(jié) 信息安全管理第五十七條 規(guī)劃部門信息安全架構(gòu)，制定安全策略并督促實(shí)施，并實(shí)時追蹤新的安全技術(shù)、安全產(chǎn)品。第五十八條 制訂和管理部門內(nèi)部事件報(bào)告流程的。第五十九條 收集、整理、規(guī)范部門各環(huán)節(jié)中使用的工作文檔、模板，匯總形成部門的標(biāo)準(zhǔn)文檔。第六十條 協(xié)調(diào)公司內(nèi)部、外部稽核審計(jì)和

14、安全檢查工作，匯總相關(guān)材料。第六十一條 每日按時填寫信息系統(tǒng)安全設(shè)備的巡檢日志。第六十二條 定期對部門安全制度進(jìn)行審核，保證公司信息系統(tǒng)安全體系穩(wěn)定運(yùn)營。第六十三條 定期檢查各個應(yīng)急計(jì)劃是否完整覆蓋整個核心系統(tǒng)，督促完善應(yīng)急計(jì)劃工作。第六十四條 定期組織信息安全培訓(xùn)，制定培訓(xùn)計(jì)劃，安排培訓(xùn)內(nèi)容。第六十五條 定期進(jìn)行信息安全巡檢與評估，并生成報(bào)告。第六十六條 在信息安全工作管理過程中，建立和健全與外部組織、內(nèi)部部門間的協(xié)調(diào)、溝通機(jī)制，并負(fù)責(zé)安全管理制度的解釋工作。第六十七條 信息系統(tǒng)安全等級保護(hù)測評周期1) 定期對報(bào)備系統(tǒng)進(jìn)行測評；2) 一級系統(tǒng)定期進(jìn)行自查；3) 三級系統(tǒng)每年邀請專業(yè)測評機(jī)構(gòu)進(jìn)

15、行測評，并在證監(jiān)局和公安局報(bào)備測評結(jié)果文件。第六十八條 系統(tǒng)測評時，部門和人員安排1) 信息技術(shù)部負(fù)責(zé)測評工作的協(xié)調(diào)與開展等事宜；2) 信息安全員配合測評機(jī)構(gòu)完成測評過程中的取證、檢查、訪談等工作，并根據(jù)測評結(jié)果提出整改方案，負(fù)責(zé)系統(tǒng)整改的實(shí)施與完善工作；3) 信息技術(shù)安全領(lǐng)導(dǎo)小組負(fù)責(zé)對信息技術(shù)部的測評工作進(jìn)行指導(dǎo)和監(jiān)督。第六十九條 測評機(jī)構(gòu)選擇遵循原則1) 中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；2) 有中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）3) 從事相關(guān)檢測評估工作兩年以上，無違法記錄；4) 工作人員僅限于中國公民；5) 法人及主要業(yè)務(wù)、技術(shù)、人員無犯罪

16、記錄；6) 使用的技術(shù)裝備、設(shè)施應(yīng)該符合信息安全等級保護(hù)管理辦法對信息產(chǎn)品安全的要求；7) 具有完整的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；8) 對國家安全、社會秩序、公共利用不構(gòu)成威脅。第七十條 測評機(jī)構(gòu)需要提供的材料，包括但不限于營業(yè)部執(zhí)照、聲明、相關(guān)證明及資質(zhì)材料。第七十一條 測評工作中的保密管理測評機(jī)構(gòu)人員在測評期間應(yīng)嚴(yán)格遵守公司各項(xiàng)安全管理制度，發(fā)現(xiàn)違反公司規(guī)定的視情況取消合同關(guān)系；與測評機(jī)構(gòu)或測評人員簽訂保密協(xié)議或保密承諾書。第七十二條 測評機(jī)構(gòu)必須在測評前必須制定技術(shù)檢測的方案，方案中必須并明確雙方的職責(zé)，確定異常的回退應(yīng)急方案，方案由公司信息安全登記保

17、護(hù)小組進(jìn)行審核。第七十三條 測評機(jī)構(gòu)在技術(shù)檢測過程中，技術(shù)部必須進(jìn)行監(jiān)督，系統(tǒng)檢測必須是在清算后和節(jié)假日進(jìn)行。第七十四條 測評方測評后需出具完整的檢測報(bào)告，測評結(jié)果必須是客觀、公正。對不符合安全標(biāo)準(zhǔn)的項(xiàng)目提出整改意見。第七十五條 對新系統(tǒng)建設(shè)，需按照信息安全等級保護(hù)管理辦法要求實(shí)施，建成后公司信息安全小組對系統(tǒng)進(jìn)行定級，技術(shù)部向相關(guān)部門進(jìn)行報(bào)備，新系統(tǒng)的測評遵循以上規(guī)定。第八節(jié) 網(wǎng)絡(luò)安全管理第七十六條 公司內(nèi)部網(wǎng)絡(luò)嚴(yán)格按照業(yè)務(wù)或應(yīng)用的需求進(jìn)行適當(dāng)分離，對安全級別為三級的業(yè)務(wù)或應(yīng)用必須采取物理隔離措施與辦公網(wǎng)進(jìn)行隔離。第七十七條 網(wǎng)絡(luò)設(shè)備和終端采用靜態(tài)ip地址分配，重要網(wǎng)段的終端設(shè)備應(yīng)將mac地

18、址與ip地址進(jìn)行捆綁，禁止未經(jīng)授權(quán)的設(shè)備接入公司網(wǎng)絡(luò)。第七十八條 使用無線網(wǎng)絡(luò)設(shè)備時，必須指定mac地址，同時要有口令認(rèn)證，對核心網(wǎng)絡(luò)需要采用加密傳輸策略。第七十九條 廣域網(wǎng)線路需要在主線路外，提供不少于二種的線路備份方案；核心網(wǎng)絡(luò)設(shè)備需采取熱備份機(jī)制。第八十條 員工在使用vpn方式從外部網(wǎng)絡(luò)訪問公司內(nèi)部網(wǎng)時，必須經(jīng)由必要程序獲得授權(quán)，明確已了解使用vpn所存在的風(fēng)險(xiǎn)，并掌握基本的防范方法。第八十一條 網(wǎng)絡(luò)管理員應(yīng)建立網(wǎng)絡(luò)狀態(tài)自動監(jiān)控機(jī)制，以確保能夠在第一時間內(nèi)發(fā)現(xiàn)網(wǎng)絡(luò)故障。第八十二條 網(wǎng)絡(luò)管理員應(yīng)定期察看網(wǎng)絡(luò)安全設(shè)備(防火墻)日志和流量分析，對異常情況應(yīng)及早進(jìn)行處理，并至少保存三個月以上的日

19、志記錄，以便對事件進(jìn)行跟蹤、追溯。第八十三條 網(wǎng)絡(luò)設(shè)備的更換和補(bǔ)丁升級均應(yīng)按照變更流程進(jìn)行操作，制定回退計(jì)劃，并做好變更后的測試工作。第八十四條 公司員工在使用內(nèi)部網(wǎng)絡(luò)時，應(yīng)遵循以下要求：1) 禁止下載與業(yè)務(wù)無關(guān)的軟件；2) 禁止訪問國家法規(guī)限制內(nèi)容的站點(diǎn)；3) 禁止在交易時間內(nèi)使用耗費(fèi)網(wǎng)絡(luò)帶寬的應(yīng)用，如：視頻會議、p2p軟件等；4) 嚴(yán)格限制在公司內(nèi)部網(wǎng)使用即時通訊軟件、網(wǎng)路游戲客戶端軟件；5) 嚴(yán)格限制使用vpn，不得將vpn口令、認(rèn)證證書交由第二人使用。6) 在互聯(lián)網(wǎng)接入方面應(yīng)達(dá)到以下安全要求：7) 對公司內(nèi)可訪問互聯(lián)網(wǎng)的終端與核心業(yè)務(wù)系統(tǒng)必須實(shí)行物理隔離；8) 對于來自互聯(lián)網(wǎng)的訪問采用

20、可靠的身份認(rèn)證、訪問控制和安全審計(jì)措施，防止非法接入和非法訪問。9) 訪問互聯(lián)網(wǎng)的終端必須安裝有防后門軟件（推薦使用微軟antispy程序）；10) 禁止終端直接接入互聯(lián)網(wǎng)，必須通過防火墻（硬件或軟件防火墻）訪問；第八十五條 網(wǎng)上委托系統(tǒng)應(yīng)達(dá)到以下安全要求：1) 通過國家權(quán)威機(jī)構(gòu)的安全認(rèn)證，重要技術(shù)產(chǎn)品通過國家權(quán)威機(jī)構(gòu)的安全測評，達(dá)到主管部門的規(guī)定要求；2) 采用可靠的技術(shù)和管理措施進(jìn)行客戶身份認(rèn)證；3) 采用有效技術(shù)措施達(dá)到防抵賴、防篡改、防竊取等功能；4) 網(wǎng)上委托服務(wù)器所在的網(wǎng)絡(luò)與內(nèi)部核心網(wǎng)絡(luò)相隔離。5) 所有可配置的網(wǎng)絡(luò)設(shè)備按最小安全訪問原則設(shè)置訪問控制權(quán)限，關(guān)閉不必要的端口及服務(wù)；6

21、) 妥善保管和定期更換網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程訪問密碼，密碼設(shè)置必須具備規(guī)定的復(fù)雜性。7) 完整保存網(wǎng)絡(luò)設(shè)備配置文件，并及時更新。第九節(jié) 應(yīng)急管理第八十六條 公司應(yīng)急管理依據(jù)國家突發(fā)公共事件總體應(yīng)急預(yù)案、國家金融突發(fā)事件應(yīng)急預(yù)案、證券、期貨市場突發(fā)事件應(yīng)急預(yù)案、中國證監(jiān)會機(jī)關(guān)突發(fā)公共衛(wèi)生事件應(yīng)急規(guī)定（暫行），結(jié)合公司工作實(shí)際，本著“誰主管誰負(fù)責(zé)、誰運(yùn)行、誰負(fù)責(zé)”的原則，充分發(fā)揮公司各方面力量，按各自的職責(zé)劃分，分級處理。第八十七條 信息系統(tǒng)應(yīng)急管理應(yīng)按照“預(yù)防為主、加強(qiáng)監(jiān)控；快速響應(yīng)、職責(zé)分明”的原則，不斷通過細(xì)化應(yīng)急預(yù)案，加強(qiáng)應(yīng)急演練，提高突發(fā)事件應(yīng)急處置能力。加強(qiáng)人員培訓(xùn)和演練，提高員工安全意識，并

22、配合風(fēng)險(xiǎn)排查，做好應(yīng)急處置的各項(xiàng)準(zhǔn)備，嚴(yán)格執(zhí)行信息系統(tǒng)監(jiān)控值班制度，確保故障和問題及早發(fā)現(xiàn)。第八十八條 詳見信息技術(shù)部應(yīng)急操作手冊、營業(yè)部信息系統(tǒng)應(yīng)急手冊。第十節(jié) 數(shù)據(jù)管理第八十九條 集中交易數(shù)據(jù)實(shí)時同步備份，由中心機(jī)房通過同步系統(tǒng)在交易期間實(shí)時同步到備份資金服務(wù)器和災(zāi)備中心；第九十條 清算數(shù)據(jù)：每日清算后，同步到本地備份服務(wù)器和災(zāi)備中心。并加密壓縮刻錄dvd光盤，存放在同城異地保管箱內(nèi)。第九十一條 各個系統(tǒng)數(shù)據(jù)同步到備機(jī)，并刻盤存放在同城異地保管箱內(nèi)。第九十二條 定期對數(shù)據(jù)的一致性進(jìn)行檢查：定期在測試環(huán)境中恢復(fù)備份數(shù)據(jù)，檢查備份數(shù)據(jù)的有效性、可用性和一致性。第九十三條 詳見數(shù)據(jù)介質(zhì)管理辦法。

23、第十一節(jié) 安全審計(jì)管理第九十四條 業(yè)務(wù)系統(tǒng)實(shí)行定期審計(jì)，每年對系統(tǒng)進(jìn)行一次全面審計(jì)，審計(jì)的依據(jù)是按照公司信息系統(tǒng)審計(jì)工作底稿，根據(jù)對系統(tǒng)檢查的結(jié)果，審計(jì)交易業(yè)務(wù)系統(tǒng)的可靠性和安全性。第九十五條 系統(tǒng)審計(jì)檢查內(nèi)容包括物理安全檢查、網(wǎng)絡(luò)安全檢查、主機(jī)安全檢查、運(yùn)用安全檢查、數(shù)據(jù)安全檢查、業(yè)務(wù)可持續(xù)性安全檢查、制度有效性檢查和執(zhí)行情況檢查等部分。第九十六條 審計(jì)人員由it總監(jiān)指派專人負(fù)責(zé)。第十二節(jié) 測試管理第九十七條 負(fù)責(zé)系統(tǒng)上線前的驗(yàn)收測試及上級主管部門安排的測試。第九十八條 測試前必須制定測試方案，編寫測試文檔。測試文檔應(yīng)包含測試人員、測試用例、測試計(jì)劃及測試過程。第九十九條 根據(jù)不同測試內(nèi)容，

24、由相關(guān)小組（應(yīng)用管理、系統(tǒng)管理等）制定測試用例及測試過程，系統(tǒng)測試組進(jìn)行匯總編寫。第一百條 部門內(nèi)測試應(yīng)該按照部門內(nèi)測試流程進(jìn)行測試，涉及其他部門的測試應(yīng)該嚴(yán)格按照部門間測試流程進(jìn)行測試。第一百零一條 測試完成后，由系統(tǒng)測試小組收集整理測試文檔，編寫測試報(bào)告，并將測試文檔進(jìn)行存檔。第十三節(jié) 變更管理第一百二條 部門的變更管理工作，是為了有效預(yù)防系統(tǒng)變更可能引發(fā)的風(fēng)險(xiǎn)，確保公司網(wǎng)絡(luò)與信息協(xié)調(diào)安全穩(wěn)定運(yùn)行，減少信息系統(tǒng)變更對系統(tǒng)服務(wù)的負(fù)面影響，規(guī)范變更的審批和控制，實(shí)現(xiàn)有效的地協(xié)商和溝通，確保變更的可追溯性。第一百二條 由于突然發(fā)生并嚴(yán)重影響或可能嚴(yán)重影響公司信息系統(tǒng)穩(wěn)定運(yùn)行，進(jìn)而影響客戶交易的緊

25、急事件所引起的變更，參照公司相關(guān)應(yīng)急手冊和預(yù)案。第一百三條 變更管理的基本要求:(一)變更申請必須經(jīng)過評估，確保變更的合理性；（二）變更必須經(jīng)過周密的計(jì)劃，確保變更實(shí)施和恢復(fù)方案的完整性和準(zhǔn)確性；（三）保證變更的透明性和各崗位間的有效溝通；（一） 確保變更有明確、完整的記錄；（五）變更實(shí)施后值班人員應(yīng)加強(qiáng)觀察和監(jiān)控，確保變更達(dá)到預(yù)期目的；（六）詳見信息技術(shù)部變更管理辦法。第十四節(jié) 采購管理第一百零四條計(jì)算機(jī)設(shè)備是包括臺式機(jī)、服務(wù)器、筆記本電腦、打印機(jī)、掃描儀、網(wǎng)絡(luò)設(shè)備、信息安全產(chǎn)品、計(jì)算機(jī)通信設(shè)備、不間斷電源、以及其他計(jì)算機(jī)輔助設(shè)備。第一百零五條公司及所屬的各機(jī)構(gòu)的設(shè)備更新、添置須根據(jù)公司固定

26、資產(chǎn)購置辦法以及有關(guān)的財(cái)務(wù)制度進(jìn)行管理外，同時應(yīng)在信息技術(shù)部（包括營業(yè)部電腦部）存檔，以便于管理和維護(hù)。第一百零六條公司采購防火墻、防毒軟件、防毒墻、應(yīng)用防火墻、網(wǎng)頁防篡改產(chǎn)品、安全審計(jì)產(chǎn)品、入侵檢測、入侵防范等信息安全產(chǎn)品時，必須具有國家有權(quán)部門出具的認(rèn)證、銷售許可證明。第一百零七條公司采購軟件在合同中應(yīng)簽署無后門隱患條款。第一百零八條 申請流程1) 各個部門需采購計(jì)算機(jī)設(shè)備時，應(yīng)提交采購申請，寫明采購設(shè)備類型和用途，以及對設(shè)備性能的基本要求；2) 對各個部門的采購申請，應(yīng)先由辦公室根據(jù)閑置計(jì)算機(jī)設(shè)備狀況進(jìn)行調(diào)配。3) 如無法調(diào)配，則由信息技術(shù)部根據(jù)業(yè)務(wù)需求確定型號和預(yù)算，報(bào)請相關(guān)使用部門，

27、由使用部門提交內(nèi)部請示，請領(lǐng)導(dǎo)審批。4) 計(jì)算機(jī)設(shè)備購置需滿足如下幾方面要求：1、高效性、可靠性、兼容性、可擴(kuò)展性；2、較好的性能價格別；3、滿足監(jiān)管部門的要求，如證監(jiān)局、公安局、第三方審計(jì)機(jī)構(gòu)等；4、良好的售后服務(wù)。5）營業(yè)部實(shí)施的工程項(xiàng)目，單項(xiàng)預(yù)算在1萬元以上的（包括1萬元）須將工程目標(biāo)、工程方案、設(shè)備清單、費(fèi)用預(yù)算以及相關(guān)部門意見、營業(yè)部經(jīng)理批示（需要資質(zhì)證明的工程必須要施工單位出具資格證書復(fù)印件）呈報(bào)公司經(jīng)紀(jì)業(yè)務(wù)部批準(zhǔn)后，由信息技術(shù)部簽署意見后再報(bào)公司領(lǐng)導(dǎo)審批。6）購置計(jì)算機(jī)設(shè)備的品牌、型號在不影響使用和性能的基礎(chǔ)上，應(yīng)盡可能統(tǒng)一，以利于計(jì)算機(jī)的維護(hù)工作。第一百零九條 采購流程（一）經(jīng)

28、領(lǐng)導(dǎo)審批后，根據(jù)采購額的不同采取不同的采購流程。（二）采購流程分別為dell采購流程；臺式機(jī)、筆記本、打印機(jī)、配件、工具、輔材等采購流程；服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、機(jī)房設(shè)備等采購流程；安全設(shè)備采購流程；正版軟件采購流程。（三）小額的采購采取直接尋價的方式進(jìn)行，尋價渠道不得少于三家。（四）大額的采購采用招標(biāo)和議價結(jié)合的方式進(jìn)行，招標(biāo)和議價過程由公司采設(shè)備采購小組完成。（五）購置計(jì)算機(jī)設(shè)備的合同（協(xié)議）中應(yīng)包含以下內(nèi)容：設(shè)備名稱、型號、標(biāo)準(zhǔn)配置、產(chǎn)地、單位、數(shù)量、單價、合計(jì)金額、交貨時間、地點(diǎn)、驗(yàn)收標(biāo)準(zhǔn)、付款時間、保運(yùn)費(fèi)、保修期限、維修服務(wù)、技術(shù)支持、培訓(xùn)及違約責(zé)任等內(nèi)容，合同中需要更詳細(xì)、明確的條

29、款和內(nèi)容可用協(xié)議的方式補(bǔ)充說明。（六）重要系統(tǒng)和設(shè)備的購置，需至少正常運(yùn)行三個月后，方可支付所余款項(xiàng)。第一百一十條設(shè)備驗(yàn)收（一）設(shè)備購置手續(xù)必須完整，由信息技術(shù)部專人負(fù)責(zé)驗(yàn)收。驗(yàn)收時必須認(rèn)真仔細(xì)，完成外觀檢查、數(shù)量清點(diǎn)、安裝測試、設(shè)備試運(yùn)行等幾個方面的驗(yàn)收程序，重要設(shè)備需要供貨商出具進(jìn)貨渠道證明。（二）根據(jù)設(shè)備裝箱單，清點(diǎn)配備的軟件、資料、保修單、說明書等，并及時向技術(shù)資料保管員辦理移交手續(xù)。第一百一十一條設(shè)備維修（一）設(shè)備由使用單位的電腦部門負(fù)責(zé)日常的管理維護(hù)，員工應(yīng)掌握基本的計(jì)算機(jī)操作常識。（二）如設(shè)備出現(xiàn)故障，需要信息技術(shù)部人員進(jìn)行維修時，應(yīng)填寫設(shè)備維修申請，其中應(yīng)如實(shí)填寫設(shè)備損壞的原因

30、，以便于查找故障。（三）對未在信息技術(shù)部（包括營業(yè)部電腦部）建立技術(shù)檔案的計(jì)算機(jī)設(shè)備，信息技術(shù)部不負(fù)責(zé)其維修。（四）在接收到設(shè)備維修申請后，信息技術(shù)部將根據(jù)具體情況安排技術(shù)人員進(jìn)行維修。（五）需要交由廠家維修的設(shè)備，應(yīng)及時辦理相關(guān)手續(xù)，同時需通知設(shè)備使用者需要的維修時間。（六）應(yīng)定期統(tǒng)計(jì)重要設(shè)備的保修期限，對即將超過保修期限的設(shè)備需及時辦理續(xù)保手續(xù)。（七）由于個人使用不當(dāng)，造成設(shè)備損壞的，應(yīng)按公司固定資產(chǎn)管理辦法進(jìn)行處理。第一百一是二條計(jì)算機(jī)設(shè)備報(bào)損、報(bào)廢（一）公司使用計(jì)算機(jī)設(shè)備的報(bào)損、報(bào)費(fèi)，經(jīng)信息技術(shù)部鑒定后，按公司固定資產(chǎn)報(bào)損、報(bào)廢流程處理。（二）營業(yè)部計(jì)算機(jī)設(shè)備報(bào)損，公司經(jīng)紀(jì)業(yè)務(wù)部批準(zhǔn)后

31、，經(jīng)信息技術(shù)部復(fù)核，方可處置。（三）信息技術(shù)部的重要設(shè)備報(bào)損、報(bào)廢，應(yīng)在確認(rèn)無法修復(fù)，或維修成本過大時，提交詳細(xì)的書面報(bào)告。（四）報(bào)損、報(bào)廢的設(shè)備由公司辦公室統(tǒng)一處置，其他部門不得任意處置。第十五節(jié) 項(xiàng)目管理第一百一十三條收集項(xiàng)目立項(xiàng)、啟動、實(shí)施、變更、測試、里程碑事件、項(xiàng)目試運(yùn)行、驗(yàn)收等過程的跟蹤、記錄，督導(dǎo)項(xiàng)目經(jīng)理提交相關(guān)項(xiàng)目資料。第一百一十四條對部門各項(xiàng)工作進(jìn)度執(zhí)行情況的進(jìn)行匯總、分析工作。第一百一十五條每周由項(xiàng)目跟蹤人在部門信息平臺對所管理的項(xiàng)目進(jìn)行匯報(bào)和說明，完成項(xiàng)目周報(bào)。第一百一十六條根據(jù)項(xiàng)目管理流程，對部門項(xiàng)目過程進(jìn)行管理，檢查部門項(xiàng)目進(jìn)展、執(zhí)行情況，督促項(xiàng)目經(jīng)理對進(jìn)度進(jìn)行控制，

32、并協(xié)助項(xiàng)目經(jīng)理制訂項(xiàng)目實(shí)施計(jì)劃進(jìn)度表。第一百一十七條參與項(xiàng)目立項(xiàng)、實(shí)施、測試、變更、驗(yàn)收的全程會議，督促項(xiàng)目負(fù)責(zé)人、跟蹤項(xiàng)目進(jìn)度。第一百一十八條開展部門短期規(guī)劃目標(biāo)的制定工作，確定下一年度工作安排匯總、評估需要開展和改進(jìn)的工作內(nèi)容。第一百一十九條詳見信息技術(shù)部項(xiàng)目管理辦法。第十六節(jié) 綜合管理第一百一二十條 負(fù)責(zé)部門資料管理制度的制訂。第一百二十一條 負(fù)責(zé)資料庫的建立、分類、維護(hù)和更新。第一百二十二條負(fù)責(zé)部門內(nèi)和部門間往來公文收發(fā)管理，主要包括公文的登記、入庫、借閱等管理。第一百二十三條負(fù)責(zé)技術(shù)管理資料的入庫管理：督促其他關(guān)人員整理制度、流程、合同、軟件產(chǎn)品授權(quán)許可、介質(zhì)等除業(yè)務(wù)數(shù)據(jù)以外的其他運(yùn)

33、營維護(hù)資料的入庫。第一百二十四條負(fù)責(zé)低值易耗品的統(tǒng)一領(lǐng)用、登記。第一百二十五條負(fù)責(zé)服務(wù)水平協(xié)議的簽訂、服務(wù)水平評估，并根據(jù)服務(wù)水平協(xié)議支付維護(hù)費(fèi)。第一百二十六條負(fù)責(zé)日常交通費(fèi)、餐費(fèi)、差旅費(fèi)的報(bào)銷，登記每次費(fèi)用，作年終預(yù)算參考。第十七節(jié) 桌面管理第一百二十七條負(fù)責(zé)公司的終端設(shè)備管理，桌面機(jī)、打印機(jī)的維護(hù)管理并制定其相關(guān)管理制度。第一百二十八條 定期對終端系統(tǒng)更新情況、殺毒軟件更新情況、終端性能及故障、根據(jù)使用者業(yè)務(wù)需求結(jié)合各終端需求進(jìn)行分析。第一百二十九條 配合機(jī)房硬件設(shè)備及各部門服務(wù)器需件報(bào)修時，進(jìn)行聯(lián)系報(bào)修并記錄變更資產(chǎn)管理表。第一百三十條 加強(qiáng)終端設(shè)備管理規(guī)范針對終端設(shè)備的配置管理，進(jìn)行支

34、持部門(技術(shù)部分運(yùn)營設(shè)備與辦公設(shè)備)、設(shè)備型號等進(jìn)行分類查詢。建立第三方電子化留痕，送往第三方時需要填寫電子化表單，填寫維護(hù)時間表，更換維護(hù)明細(xì)。到期未完成或如有變動的則及時更新并注明原因。第一百三十條 根據(jù)每月維護(hù)綜合報(bào)告制作計(jì)算機(jī)個人使用手冊常識，完善操作系統(tǒng)服務(wù)手冊并利用center進(jìn)行鏈接支持。第五章 工作報(bào)告第一百三十一條 工作計(jì)劃管理：（一）信息技術(shù)部應(yīng)根據(jù)公司發(fā)展計(jì)劃和業(yè)務(wù)需求在年度末制定出第二年度的工作計(jì)劃；（二）每個員工應(yīng)根據(jù)分配的計(jì)劃任務(wù)和自身發(fā)展制定出個人工作計(jì)劃。第一百三十二條 工作報(bào)告管理：（一）營業(yè)部電腦部經(jīng)理應(yīng)每周向信息技術(shù)部提交工作報(bào)告；（二）技術(shù)人員應(yīng)每月向其直接領(lǐng)導(dǎo)提交工作報(bào)告。（三）信息技術(shù)部應(yīng)在年末向