1、长城证券有限责任公司信息系统管理制 度 汇 编长城证券有限责任公司信息技术中心前 言随着计算机技术的迅猛发展，信息系统已成为证券业各项业务顺利运转的关键设施，因此保证信息系统的正常运转和防范技术风险，已成为证券业工作重心之一。为了提高证券行业的整体技术水平，有效地防范和化解技术风险，中国证监会于1998年3月颁布了证券业的第一个技术标准 证券经营机构营业部信息系统技术管理规范（试行）（以下简称规范），将证券业的信息系统建设与管理工作纳入了规范发展的轨道。 如何使规范落到实处，切实做到技术管理制度化、日常操作规范化，是当前证券业信息系统规范化建设的一项重要内容。 为此，公司信息技术中心根据规范要2、求，结合公司实际情况，以公司计算机应用管理科学化、规范化、高效、安全、实用、集中统一为原则，起草了长城证券有限责任公司信息系统管理的一系列规章制度，并广泛征求了公司有关部门与部分营业部的意见，最终形成这本长城证券有限责任公司信息系统管理制度汇编（以下简称制度汇编）。本制度汇编分为三大部分。一是公司信息系统管理办法（试行），共有18条，主要包括公司信息技术中心的工作职责、证券营业部（以下简称营业部）电脑部的职责、以及有关营业部搬迁、扩租、电子设备购置等事项报批程序与管理办法等。二是公司信息系统管理实施细则（试行），共分12 章，主要包括计算机应用项目立项和审批程序、应用软件开发管理、计算机设备购3、置和使用管理、网络管理、机房管理、计算机设备报废管理、耗材管理、防病毒管理、技术文档管理以及系统安全保密管理等；三是营业部信息系统管理办法（试行），共分 ? 章，比较详细地制定了营业部电脑部工作职责、人员管理、岗位设置、安全及风险防范、软硬件设备管理、数据管理、资料管理等各项规章制度。本制度汇编由公司信息技术中心统一组织实施，并负责监督、检查相关规章制度的贯彻执行。本制度汇编的修改、解释权归公司信息技术中心。本制度汇编属公司内部资料，应妥善保管、注意保密。第一部分长城证券有限责任公司信息系统管理办法（试行）第一条 为了贯彻公司“以客户为中心，以利润为中心，合规经营、开拓创新”的经营指导方针，适4、应公司全面提升公司各项业务和管理水平，逐渐形成长城经营特色，争取使各项工作再上一个新台阶的要求，实现公司系统内计算机技术与应用的有效管理，充分发挥计算机技术资源的整体优势，特制定本管理办法。第二条 公司计算机应用管理工作坚持科学、规范、安全、高效、实用的原则。第三条 公司计算机应用管理实行集中统一管理的原则。集中统一管理是指在公司系统内，以统一规划、统一标准、统一应用、统一实施、统一采购的“五统一”方式，分步实施推广计算机应用技术，并对计算机应用进行日常管理和维护。第四条 公司设立信息技术中心，下属各营业部设立电脑部。公司计算机应用由信息技术中心归口管理。第五条 公司信息技术中心是全公司计算机5、信息系统规划、管理和技术协调的主管部门。各营业部电脑部在技术上接受信息技术中心的指导、管理和考核，在业务及行政上接受所在营业部负责人的领导和管理。第六条 信息技术中心的主要职能是：1、 保证公司的信息技术的应用具有前瞻性。2、 保障当前投入使用的系统稳定运行。3、 结合业务发展与技术更新，及时推出高质量的新技术应用系统。4、 建立并保持高素质的、稳定的技术队伍。5、 协助公司制定信息技术应用的整体发展策略。6、 根据整体的发展策略，制定具体的年度工作规划并组织实施。7、 制定或改进与信息系统相关的开发、维护及应用的规章制度。8. 配合人力资源部，对公司及营业部电脑人员的考核、聘用、任免以及培训6、。8、 协助进行公司内计算机软硬件的选型招标。9、 审批营业部计算机软硬件购置的年度预算及相应技术鉴定，审核计算机设备的购置、报损、报废等工作。10、 协助公司作不定期的技术审计，对营业部信息系统进行专项检查。11、 完成总部的各应用信息系统及交易系统的日常维护工作，包括通讯、网络、系统、应用、安全（防黑客、防病毒、数据备份）等。12、 负责具体指导和监营业部电脑部工作，对营业部提供实时技术支持和现场服务。13、 为公司电子商务的发展，提供充分的技术支持，维护更新公司的内、外网站，保障网上交易等各类电子商务业务的开展。14、 技术资料的管理。15、 公司授权的其他管理职能。第七条 公司重要职能7、部门及营业部下属远程网点，设置计算机管理员，负责本部门计算机的日常维护管理以及与上级主管技术部门的联络工作。第八条 各营业部设置电脑部，负责本部门信息系统的建设、日常维护管理以及与公司信息技术中心的联络工作。具体职能为：1、 化安全意识，自觉遵守公司关于营业部信息系统管理的各项规章制度。2、 负责本营业部计算机信息系统的建设、管理和维护，确保系统安全运行。3、 及时处理证券交易所及有关主管部门播发的涉及信息系统运行的数据、文件和各类通知。4、 负责计算机硬件设备的管理和维护，保持系统处于良好的运行状态。5、 负责本营业部信息系统的安全运行。开市之前做好系统的运行准备工作，开市期间实时监控系统运8、行状况 、处理突发事件，收市后配合清算员完成日结清算等盘后工作。6、 完整、准确地记录计算机信息系统的运行日志。7、 严格按故障报告制度及时、准确地处理系统出现的故障。8、 负责交易业务数据、系统数据和其他重要数据、资料的备份及其管理。9、 根据本营业部的业务发展需求，提交应用系统需求报告、软硬件采购计划，报公司信息技术中心审批。10、 在公司信息技术中心的安排下，承担公司信息网络系统建设中涉及本营业部的有关工作。11、 负责本营业部计算机信息系统各类文档的收集、整理、分类、归档、备案。12、 负责编制营业部计算机设备的统计报表及协助财务部拟定本营业部计算机设备报废、报损计划，报公司信息技术中9、心审核13、 提出本营业部计算机人员技术培训计划。14、 负责本营业部其他业务人员计算机应用培训。15、 紧密跟踪计算机新技术的发展，为新技术的推广应用做好充分的技术准备。16、 完成公司信息技术中心交办及本营业部总经理下达的其他工作任务。17、 各营业部电脑部经理人选，须由所在营业部提出推荐意见上 报公司，经公司人力资源部会同信息技术中心进行资格审查和考核，并报公司领导批准后聘任。第九条 公司各部室、中心及营业部计算机网络、系统的新建或整体改造，必须在年初申报计划，并附完整的整体设计方案和可行性论证报告，由信息技术中心审批。第十条 各营业部申请搬迁、扩租营业面积以及涉及公司整体项目建设，应根10、据经纪业务管理总部及财务资金总部有关上报的要求提出立项申请，在经纪业务管理总部批准后，再向经纪业务管理总部报送可行性分析报告与装修预算方案，向信息技术中心报送计算机设备预算和技术方案，由经纪业务管理总部、信息技术中心分别审核批复后，营业部方能实施。第十一条 公司各部室、中心为加强系统安全运转，保证正常运营的电脑设备购置和网络改造等方面的签报，直接报送公司信息技术中心。信息技术中心将依据中国证监会技术监管的规范要求和公司技术发展总体纲要进行审查，在总部计划财务部核定的营业部当年新增固定资产可用规模内进行核准，并按月向财务资金总部提供清单，不再向其他部门申报。第十二条 公司设立计算机设备采购小组，11、具体负责公司计算机设备（包括相关工程项目）的招标、评标与购置事宜。第十三条 所有的计算机设备（包括软件）采购均须采取招标方式，遵循严格、规范的招标程序，包括制定标书、发标、接标、评标，最后经采购小组审定后报公司主管领导审批。第十四条 公司各部室、中心及营业部购置的计算机设备，凡属于固定资产的，按公司固定资产管理办法进行管理。第十五条 各营业部电脑部应每季度向信息技术中心提交书面工作报告，及时反映工作动态与需解决的问题。第十六条 公司各部室、中心及营业部如有人员调离，须事先通知公司信息技术中心，以便及时清除网络登录用户并确定是否进行相关审计。第十七条 本办法由公司信息技术中心负责解释。第十八条 12、本办法自下发之日起执行。此前颁布的有关规定中与本办法不一致的，以本办法为准。第二部分长城证券有限责任公司信息系统管理实施细则（试行）目 录第一章 总 则3第二章 信息系统工程项目申请、立项和审批程序 4错误！未定义书签。第三章 信息系统安全管理制度6错误！未定义书签。第四章 计算机设备（软件）购置管理30错误！未定义书签。第五章 软件开发管理制度34错误！未定义书签。第六章 计算机设备使用管理41错误！未定义书签。第七章 计算机耗材及备品备件管理43错误！未定义书签。第八章 计算机机房（实验室）管理44错误！未定义书签。第九章 总部机房信息系统紧急事故应急处理47错误！未定义书签。第十章 技术13、资料管理55第十一章 罚 则56 第十二章 附 则附表1 计算机应用项目立项申请报告1附表2 计算机应用项目验收报告6附表3 计算机设备需求计划表100附表4 计算机设备资金需求计划表11附表5 计算机设备验收单错误！未定义书签。附表6 软件项目需求报告1错误！未定义书签。附表7 信息技术中心计算机用户登录表14错误！未定义书签。附表8 计算机设备验收单15错误！未定义书签。附表9 备份介质密封登记表16附表10 备份介质调用申请表17附表11 计算机耗材及备品备件领用单 18附表12 信息技术中心总部数据备份任务一览表 19附表13 信息技术中心总部数据备份介质内容变更登记表 20附表14 14、信息技术中心数据库操作申请表 21附表15 信息技术中心数据库访问监控报表 22第一章 总 则第一条 为加强长城证券有限责任公司（以下简称公司）对计算机应用的集中统一管理，规范全公司系统的计算机应用，保证计算机系统和设备的正常运转，根据公司信息系统管理办法，制订本实施细则。第二条 本实施细则主要包括计算机应用项目立项和审批程序、计算机设备购置和使用管理、应用软件开发管理、计算机设备报废管理、耗材管理、网络管理、机房管理、技术文档的管理、系统安全保密管理、网络防病毒管理以及技术培训管理等。第三条 本办法适用于公司各部室、中心及所属证券营业部（以下简称营业部）。第二章 信息系统工程项目申请、立项和15、审批程序第一条 计算机应用项目包括计算机网络系统新建与改造、硬件设备与系统软件的购置、升级以及应用软件开发与升级等。第二条 凡单价超过五千元的计算机应用项目，须填写长城证券有限责任公司计算机应用项目立项申请报告（见附表1），并报公司信息技术中心审批。第三条 已立项的计算机应用项目完成后，由公司信息技术中心会同有关业务管理人员组成项目验收小组进行验收，验收结果形成长城证券有限责任公司计算机应用项目验收报告（见附表2）。第四条 公司各部室、中心在每年的12月31日前，提出本部门下一年度的计算机应用项目建设、购置及升级计划，填写计算机设备需求计划表（见附表3）、计算机设备资金需求计划表（见附表4）报16、信息技术中心。第五条 信息技术中心根据公司信息系统建设总体规划和各部室、中心及营业部提交的计划，汇总制定公司下一年度计算机应用项目购建计划，报请公司批准后执行。 第六条 对于计划外的计算机应用项目，除特殊应急项目特批外，其他原则上不予审批。第七条 对于投资较大、建设周期较长、涉及面广的计算机应用项目，信息技术中心将邀请业务需求部门、营业部电脑人员及有关专家进行技术论证和评审，原则上采用统一招标，统一推广的方式。 第三章信息系统安全管理制度 总 则 第一条 为了加强对公司信息系统的安全管理、防范和化解各种技术风险、保护投资者利益、维护公司的合法权益，确保公司各项业务的顺利开展，根据中华人民共和国17、计算机信息系统安全保护条例、证券经营机构营业部信息系统技术管理规范（试行）及有关规定制定本制度。 第二条 信息系统安全管理涉及安全管理组织建设、安全策略、系统环境安全、软件安全、设备（实体）安全、网络和通讯系统安全、用户及权限管理、操作安全、病毒防范、系统备份、日志记录、事故处理以及安全审计等内容，公司信息技术工作应在本制度指引下，本着“安全第一”的原则进行。 第三条 本制度适用于长城证券公司总部、各地区总部及各营业部。组织和职责 第四条 信息系统安全管理实行公司总裁负责的公司安全管理委员会和营业部总经理负责的营业部安全管理小组两级管理制度。 第五条 公司安全管理委员会下设安全工作小组作为执行18、机构，定期对公司范围信息系统的安全性作出评价，必要时提出提高安全性的建议。 第六条 公司安全管理委员会的职责包括：建立健全公司各种安全制度、对安全工作小组的工作进行授权、对公司各类信息的重要性进行评估为其安全级别的制定提供依据、对安全工作小组有关报告的讨论和批复、安全事故处理结果的公布、取得法律支持以解决信息系统入侵者的问题，以及进行安全教育和安全检查。 第七条 营业部安全管理小组的职责包括：监督和检查各项安全管理制度在营业部的落实情况、定期向公司安全管理委员会提交工作报告、处理公司安全管理委员会授权的事务、配合公司安全工作小组的工作、开展计算机安全教育、保证营业部信息系统安全运行。安全策略第19、八条 计算机信息系统的建设和应用，应当遵守法律、行政法规和国家其他有关规定。第九条 对计算机信息系统中发生的案件，营业部电脑人员即时向营业部总经理汇报，并于24小时内向总部信息技术中心报告。第十条 通过对信息系统环境、软件、硬件、网络和通信、用户和权限、规范化操作、病毒防范、备份和恢复手段以及安全审计等的有效管理，维护公司整个计算机环境的一致性。 第十一条 建立一个多层次的安全系统，在信息的安全和共享之间建立平衡。第十二条 对公司员工进行计算机安全教育，提高员工的安全意识，是公司安全策略的重要组成部分。第十三条 营业部安全管理小组必须定期对本营业部的主要计算机信息系统资源配置、技术人员构成进行20、登记，并报公司安全管理委员会备案。第十四条 公司安全管理委员会及营业部安全管理小组应当对公司总部和各营业部重要岗位计算机信息系统的安全情况经常进行检查，并及时整改不安全隐患。第十五条 公司安全管理委员会应当建立废弃数据、介质的处理制度。第十六条 公司总部和各营业部启用新的应用软件，应当按软件开发管理制度（试行）中有关规定业务系统，并做好日志记录。第十七条 公司安全管理委员会应当建立严格的密钥管理制度和在紧急情况下销毁密钥的手段和措施，以防止密钥的失密。 安全监督第十八条 公司安全管理委员会对公司内部计算机信息系统安全保护工作行使下列监督职权：1、监督、检查、指导计算机信息系统安全保护工作；2、21、查处危害计算机信息系统安全的事件；3、组织或委托有关部门对新建、改建和扩建的系统进行安全验收，负责系统安全技术检测工作；4、组织开展系统安全竞赛和评比；负责通报表彰和处罚；5、履行计算机信息系统安全保护工作的其他监督职责。第十九条 公司安全管理委员会发现影响计算机信息系统安全的隐患时，应当及时通知公司各有关部门和各营业部采取安全保护措施。第二十条 公司安全管理委员会在紧急情况下，可以就涉及计算机信 息系统安全的特定事项发布专项通知。 安全管理第一节 信息系统环境的安全管理 第二十一条 信息系统环境的安全管理按照公司计算机房管理制度及信息系统环境标准执行。第二节 软件安全管理 第二十二条 总部信22、息技术中心依据公司软件开发管理制度对系统软件、应用软件的开发、购买、测试和使用等环节进行管理。 第二十三条 软件的开发和采购报告必须包括安全设计的说明，其安全设计必须符合软件开发管理制度的有关规定。 第二十四条 信息技术人员应按照信息技术中心下发的安装配置方法对系统软件进行统一的安装配置。 第二十五条 信息系统的安全漏洞一经发现应及时报告公司安全管理委员会。第二十六条信息技术中心应与软件开发商和供应商保持联系，及时取得并组织安装经过测试的安全补丁。第二十七条 软件使用部门根据业务需要提出增添新的应用软件或对已有应用软件提出新的功能要求，须以部门名义向信息技术中心填写软件需求报告表， 信息技术中23、心在收到软件需求报告表（附表5）后，三天之内给予书面答复。第二十八条 新购置的软件需经信息技术中心测试和试运行。试运行完成后，试用人员应填写软件验收报告表（附表6）报信息技术中心领导审核，信息技术中心在收到报告后三天内予以回复。测试稳定后由信息技术中心统一分发安装使用。第二十九条 自行开发的应用软件，如源程序中需要嵌入数据库访问的用户设置，应由数据管理员得到源程序、制作安装盘。该安装盘与购置的应用软件安装盘一并由档案管理员保管，由应用系统维护人员调用安装。第三节 计算机及相关设备的安全管理 第三十条 总部信息技术中心配合行政部及财务部依据公司电子与通讯设备固定资产管理制度对计算机及相关设备的选24、型、采购等过程进行管理。 第三十一条 重要的服务器、工作站、网络设备、通讯设备应放置在机房，通过计算机房管理制度保证其物理安全性。 第三十二条 重要的服务器、工作站、网络设备、通讯设备应有备品备件，出现问题及时更换。 第三十三条 对服务器及其资源的管理： 1、对资源共享权限和NTFS访问权限进行严格、有效的管理，不授予用户超出需要的权限，权限的设置必须有明确的依据； 2、制定方案，对敏感资源的操作、系统登录情况进行定期或不定期检查，及时查看L系统日志文件，对ALERT相关日志提示作出及时响应； 3、提供远程访问和对外WEB服务的服务器不存放敏感数据；4、对一些系统程序(如Telnet、ftp等25、)的使用应加强控制；停止服务器上不必要的服务；尽量减少所使用的协议。第三十四条 对贮有重要数据的故障设备，交外单位人员修理时，公司总部及各营业部必须派专人在场监督。第四节 网络和通信系统的安全管理第三十五条 计算机通信系统的建设和应用，应当遵守法律、行政法规和国家其他有关规定，并建立一个多层次的安全系统，在信息的安全和共享之间建立平衡。第三十六条 采用新的网络安全软件、设备和技术保证公司网络的安全。 第三十七条 采用数据加密技术保证数据安全传输。总部和营业部间业务数据的传输应加密后采用数据专线进行传输。并采用PPP协议中PAP、CHAP相应的认证。第三十八条 总部和营业部间业务数据的传输应加密26、后采用数据专线进行传输。第三十九条 通信设备应具有防干扰、防截取能力。主要的通信设备应做到设备备份。第四十条 通信线路接口部分应采取防止非法进入的安全措施。第四十一条 进行密码设置，并进行密码的专职保管，防范通信线路接口部分的采取非法进入。第四十二条 公司总部及营业部应当对公司总部和各营业部通信系稳定、安全情况进行定期检查，并及时整改不安全隐患。第四十三条 对通信系统中发生的案件，营业部电脑人员即时向营业部总经理汇报，并于即时与总部信息技术中心相关人员联系，双方合作尽快解决问题。第四十四条 总部信息技术中心设岗位职责，分别负责公司广域网连接方案、网络安全方案的实施，对总部局域网、公司广域网连接27、各类移动连接、Internet接入设备进行管理，以及其它保证网络连接安全稳定的日常事务性工作。第四十五条 营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。营业部柜台交易系统管理员由营业部总经理担任。第四十六条 营业部与交易所的卫星通信均应做到伙伴备份或isdn或ddn的备份。对上海报盘应做到总部备份。对以上备份系统做到定期测试，保证通信无误。第四十七条 为了安全期间，营业部与营业部之间应限制相互间的直接操作。第五节 数据访问的安全管理第四十八条由于审计、数据库故障调试等原因，需要访问数据库时，应创建临时用户、赋予适当的权限，并交由审计人员、应用系统维护人员28、使用，并在使用完毕后及时删除该临时用户。在技术允许的条件下，应限制用户的登录工作站。第四十九条对于涉及业务、财务方面的数据库，应利用数据库系统的访问跟踪记录功能，设置对应用系统、调试用户、超级用户访问数据库的命令进行跟踪，记录到监控日志文件中。定期检查监控日志，发现异常及时通报。第五节 管理员及其职责 第五十条 总部信息技术中心设系统管理员岗位，负责公司信息系统的管理，包括服务器的规划、安装和配置，启动/停止系统和服务，对系统运行状态和入侵企图进行监控，安装/删除软件，增加/删除/修改用户和用户组，对用户/用户组的权限进行设置和修改，以及其它保持系统发展和安全运行的工作。 管理员应采取的安全措29、施有： 1、由于管理员组和备份组成员拥有对SAM数据库的权限，所以必须严格限制管理员组和备份组成员资格，并加强对这些帐户的审计； 2、改变Administrator帐户名，为管理员和备份操作员创建专用帐号，为特定的工作建立专用的帐号，要求在执行相应的管理任务时使用相应的帐号，操作结束时及时注销； 3、关闭管理员以及特殊权限用户的远程访问能力，特殊情况可以采用预设电话号码的回拨方式； 4、管理员组、备份组成员帐户不能用于浏览WEB。 第五十一条 总部信息技术中心设数据管理员岗位，负责总部数据的安全管理和维护，具体职责见信息系统安全管理制度第十三节“总部数据管理员职责细则”。第五十二条 总部信息技30、术中心设网络管理员岗位，负责公司广域网连接方案、网络安全方案的实施，对总部局域网、公司广域网连接、各类移动连接、Internet接入设备进行管理，以及其它保证网络连接安全稳定的日常事务性工作。 第五十三条 营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。营业部柜台交易系统管理员由营业部总经理担任。 第五十四条 公司设立财务系统管理员岗位，财务系统管理员一般由财务部经理担任。第六节 用户、组及其权限 第五十五条 系统管理员根据公司业务要求建立具有不同权限的用户组，包括系统管理权限、系统和数据备份权限、帐号管理权限、各种数据库访问权限、不同的文件访问权限、各种应31、用程序使用权限、网络打印权限、远程访问权限、Internet访问权限等。第五十六条 总部系统管理员应依据总部行政部的书面通知，完成新增/删除用户、分配权限的工作，并用邮件方式回复。上述通知应包括需要新增/删除的用户的姓名、工作的部门、需要使用何种应用等。第五十七条 营业部因人员新增调动、离职等需对邮件等用户作出调整的，由营业部办公室主任通知信息技术中心。第五十八条 营业部交易系统管理员新增/删除柜台用户或对用户权限进行分配应有文字记录。对股票、资金等参数进行调整的非正常业务操作必须填写书面说明，而且必须由营业部总经理及财务部经理共同批准后方能执行。 第五十六条 营业部技术人员在应用系统中的权限32、应只限于系统管理，而无业务操作权限。第五十九条 对用户及权限管理应按以下原则执行： 1、应对具有系统管理、数据库管理等特殊权限的用户进行限制，包括仅允许在机房和自己的工作地点登录，同一时间仅允许同一用户登录一次允许远程访问时必须设定回拨方式等； 2、尽可能对组而不是对用户授权； 3、杜绝无口令的登录帐户，删除GUEST帐户； 4、对口令长度、复杂程度、有效期、重复使用的间隔等进行规定； 5、及时锁定过期帐户、暂停使用的帐户、多次试图使用无效口令登录的帐户，临时授权帐户必须及时取消； 6、一般不设公用帐户，以保证用户有独立的帐户； 7、对使用时间进行限制； 8、超时锁定； 9、对无法设置口令的用33、户及公用帐户应加强登录时间、登录地点、登录数目的限制，对自动执行批处理命令的用户应有防中断措施； 10、权限变更或交接应有文字记载。 第六十条 对使用公司网络访问Internet，使用打印机等的用户实行严格管理。第七节 操作的规范化管理 第六十一条 总部和营业部应分别制定操作规程，并定期修改。 第六十二条 禁止同一人掌管操作系统口令和数据库管理系统口令。 第六十三条 公司员工应有互不相同的用户名，定期两个月更换操作口令。第六十四条 一般用户口令长度不得少于6位，不使用小键盘的人员编制口令应做到字符与数字混排，不得使用电话号码、生日等作为口令；系统管理员口令不得少于10位。 第六十五条 严禁泄露34、自己的口令，必须启用系统软件提供的安全审计留痕功能。 第六十六条 各岗位操作权限要严格按岗位职责设置，管理员不得超越用户职责授权。管理员应定期检查操作员的权限。 第六十七条 营业部总经理应及时审计交易系统柜员所做的操作，重要岗位的登录过程应增加必要的限制措施。 第六十八条 柜台交易系统技术参数的调整由电脑部经理负责；交易业务参数的调整由财务部经理在履行审批手续后实施，禁止电脑技术人员调整业务参数。 第六十九条 营业部电脑技术人员可以协助但不得担任清算员从事结算记帐工作。有关数据需打印存档的必须使用连续的打印纸。 第七十条 建立和完善技术监管系统，定期进行独立的对帐，核对交易数据、清算数据、保证35、金数据、证券托管数据以及会计数据的一致性和连续性。第七十一条 对数据备份和审计记录建立定期查验制度。第八节 病毒防范 第七十二条 信息技术中心应指定专人负责计算机病毒防范工作。总部及营业部应定期进行病毒检测，发现病毒立即处理并报告。重要部门的计算机应当指定专人专管计算机病毒防范工作。 第七十三条 总部和营业部必须配备公安部认可的正版防病毒软件并及时更新软件版本。 第七十四条 经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。 第七十五条 禁止运行未经信息技术中心审核批准的软件。 第七十六条 新系统安装前应进行病毒例行检测，避免使用盗版软件。 第七十七条 严格限制软驱和光驱的使用，软36、驱和光驱的使用按信息系统环境标准的有关条款执行。第七十八条 在使用modem与外界通讯或能够访问Internet的计算机上应安装病毒实时监控软件。第七十九条 因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向信息技术中心领导及电脑安全管理小组报告。第八十条 公司总部员工须与信息技术中心签定电脑安全承诺书后，才能领用和使用办公电脑。第九节 备份第八十一条 按照信息系统环境标准的有关规定对系统进行备份。第八十二条 营业部必须对交易数据等进行备份，备份数据存放按公司技术资料管理制度和信息系统安全管理制度 执行。第八十三条 系统管理员必须提取有关系统的配置参数并在修改参数后及时更37、新。第八十四条 必须保留软硬件说明书、配置软件、配置参数等技术资料，并存放于安全地点，有关事项按技术资料管理制 度及信息系统环境标准执行。第八十五条 对于加密格式的数据，应尽可能解密后备份，防范密钥由于频繁更换等原因可能丢失所带来的风险。第八十六条 数据备份在周期性方面可选择采用以下四种方式：1、 永久性的完全备份：数据备份到存储介质后，将介质密封永久保存；2、 周五做完全备份、周一至周四做增量备份；3、 定期做覆盖方式的完全备份：在同一备份介质上覆盖原有备份数据；4、 定期做追加方式的完全备份：在同一备份介质上增加最新状态的备份；第八十七条 根据第四条中不同周期备份方式的要求，备份可选择以下38、几种存储介质：1、 写的刻录光碟（CD、DVD等），适合于永久备份；2、 磁带，适合于所有备份策略；3、 可擦写的其他存储介质（硬盘、MO等），适合于备份策略；备份介质在备份操作前须经过编号，编号规则见第八十九条。第八十八条 对于某个具体的备份对象，原则上应仅选择一种备份方式和备份介质实施备份。同时尽可能选择可移动的备份介质，以利于数据备份的归档管理。除非应用系统有特殊要求，一般情况下不采用硬盘等不可移动的备份介质。第八十九条 备份介质编号规则格式为：”ZB”+四位年份代码+数据来源代码+四位序列号 其中数据来源代码 01代表总部数据 02代表营业部数据； 三位序列号在一个年度中从“0001”39、开始递增； 如：ZB2001010001，代表本备份介质是在总部保存的2001年总部数据的第0001号备份第九十条 备份的密封处理可移动的备份介质在完成联机备份操作后，如须密封处理则应按如下步骤操作：1、 备份介质密封登记表（见附件9），注明备份日期、内容、操作人、复核人等相关内容，该登记表一式两份；2、 将备份介质及相关的附件装入档案盒，同时放入一份备份介质密封登记表，另外一份登记表贴于档案盒封面；3、 将档案盒封口处贴上封条，并盖上保管部门的密封章。（注：密封章可以是公司公章、部门公章或备份专用章，应当由除档案管理员之外的人员保管）第九十一条备份的保管根据备份方式的不同，数据备份分如下两种40、情况进行保管：1、 对于永久性的完全备份，应保留两份备份。在密封处理后，其中的一份交由信息技术中心档案管理员保管（盖信息技术中心密封章），另外一份交由总部档案室档案管理员保管（盖总部档案室密封章）；2、 于定期做覆盖或追加方式的完全备份，应保留一份备份。在脱机后，如保管时间超过七天，则须经密封处理由信息技术中心档案管理员保管；如保管时间不超过七天，则可有备份管理员锁于临时保管箱内交由档案管理员保管；3、 对于周五做完全备份、周一至周四做增量备份的方式，如采用磁带柜备份且磁带柜放置于安全的地点，则可将五天备份所用的磁带一并放入磁带柜，实现每日自动装载和备份；否则仍须按情况（2）的方式进行保管。第41、九十二条 备份的检查1、 对于永久性的完全备份，在密封保管前须通过数据导出、检查数据完整性的复核；在密封保管后，须每隔一年进行一次数据检查；2、 对于除永久性的完全备份以外的备份方式，应在经过了一到两个备份周期后进行恢复测试；在备份正常运转后，须每隔三个月进行一次恢复测试。第九十三条 备份介质的调用程序因日常备份操作、检查备份、数据查询等要求，需要调用档案管理员保管的备份介质，应分以下几种情况执行调用程序：1、 备份由总部档案室保管，则须填写备份介质调用申请表（见附表10），由信息技术中心总经理、公司总裁或分管信息技术中心的副总裁签字后，从档案管理员处领取，在使用完毕后按期交回；2、 备份密封42、后由信息技术中心档案管理员保管，则须填写备份介质调用申请表（见附表10），由信息技术中心总经理签字后，从档案管理员处领取，在使用完毕后按期交回；3、 如备份由备份管理员放置于临时保管箱内，则须填写备份介质调用申请表，由档案管理员签字即可领取。第九十四条备份介质的销毁对于永久性的完全备份，在密封保管后，如需要销毁，须填写备份介质调用申请表，经公司总裁或分管信息技术中心的副总裁签字后，将备份介质通过粉碎等方式销毁。第十节 日志记录 第九十五条 信息技术中心及营业部电脑部应对系统配置的更改、网络用户权限的分配和更改及原因作详细记录，对机房管理系统运行情况，系统运行故障现象、时间、处理方式等进行详细记43、录。营业部交易系统管理员应对增/删除柜员、柜员权限变更情况进行记录；财务部经理应对业务参数调整，更改股票、资金余额等操作进行记录。 第九十六条 日志记录采用标准格式，并具备相关责任人的签字。参见附录一。第九十九条 系统运行日志必须妥善保存，不得缺页，定期存档。 第十一节 安全事故处理及恢复第一百条 安全事故是指由于软硬件故障、系统配置错误、操作失误、黑客入侵、病毒、口令盗用等原因引起系统无法正常运行，数据或文件丢失的事件。第一百零一条 安全事故分成A、B、C三类，其中A类指对交易产生直接影响的事故；B类指未影响交易但造成一定经济损失的事故；C类指未影响交易也未造成经济损失，但构成系统安全隐患的44、事故。第一百零二条 总部及各营业部应根据计算机房管理制度及自身情况制定应急处理流程及时更新并定期演习。第一百零三条 应急处理流程的制定应涵盖通信、服务、供电、数据、设备等，同时确定演习、通报、事故分析等内容。第一百零四条 应急处理流程的制定应体现细致、明了的原则，不得遗漏任何环节，保证逐条实施可以排除故障、恢复系统运行。第一百零五条 事故出现后应及时处理并按公司营业部技术事故处理规定的有关规定汇报。凡隐瞒不报的，追究营业部总经理及电脑部经理的责任。第一百零六条 事故处理后应及时进行分析并写出分析报告，总部相关部门应在此基础上明确责任归属，并向营业部通报。 人员管理第一百零七条 系统管理员不能兼45、任柜台及事后稽核等工作，不得参与相关软件开发。参加过应用系统开发的人员，不得担任相应系统的管理员。第一百零八条 公司安全管理委员会及营业部安全管理小组应当加强公司总部和各营业部主要岗位工作人员的录用、考核制度，不适宜的人员必须及时调离。第一百零九条 电脑技术人员调离时，必须移交全部技术手册及有关资料，并更换计算机的有关口令和密钥。涉及公司业务核心部分开发的技术人员调离原工作岗位或公司时，应当确认对公司计算机信息系统安全不会造成危害后方可调离。 责 任 第一百一十条 违反本条例的规定，有下列行为之一的，由公司安全管理委员会处以警告或通报批评处分：1、违反计算机信息系统安全管理中有关条例，危害计算46、机信息系统安全的；2、不按照规定时间报告计算机信息系统中发生的案件的；3、接到公司安全管理委员会要求改进安全状况的通知后，在限期内拒不改进或未完成目标的；4、违反审批制度增设或更换设备、装置的；5、拒绝、阻碍公司计算机安全管理组织实施安全检查的；6、有危害计算机信息系统安全的其他行为的。第一百一十一条 计算机房不符合公司计算机房管理制度及信息系统环境标准有关规定的，或者在计算机机房附近施工危害计算机信息系统安全的，由公司安全管理委员会会同有关部门进行处理。第一百一十二条 故意输入计算机病毒以及其他有害数据危害公司计算机信息系统安全的，由公司安全管理委员会处以警告或者罚款处分。第十三节信息技术中47、心总部数据管理员职责细则职责范围第一百一十三条 数据管理员负责对总部应用系统数据实施备份，并实行安全可靠的管理；对营业部上交的应用系统数据备份进行归档和使用实行管理；掌握数据库超级用户权限，安全规范地管理数据库系统的运行。第一百一十四条 制定备份策略，对数据文件和数据库进行备份。与档案管理员协作，妥善保管备份介质。第一百一十五条 根据业务需求和用户申请创建、删除数据库，修改数据库参数设置。第一百一十六条 根据业务需求和用户申请创建数据库系统的登录用户，赋予用户适当的数据库权限，包括数据库所有者权限、数据库对象的增删改权限等；删除用户；保管应用程序中封装的数据库用户的密码。第一百一十七条 在数据48、库需要进行数据和结构方面的调整时，创建临时调试用户并交由应用系统维护人员使用，并在使用完毕后及时删除测试用户。第一百一十八条 利用数据库系统的访问跟踪记录功能，设置对应用系统、调试用户、超级用户访问数据库的命令进行跟踪，记录到监控日志文件中；定期检查监控日志，发现异常及时通报。第一百一十九条 除上述数据库管理内容之外的方面，如定时任务的管理，定期检查系统日志、监控参数的设置等。数据安全管理的原则第一百二十条 数据必须是有据的，能够辨认数据的内容、用途和使用方法；必须经过合法的手续和规定的渠道采集、加工、处理和传播数据；数据应只用于明确规定的目的，未经批准不得它用；采用的数据范围应与规定用途相符49、。第一百二十一条 采用相宜的预防措施，保持数据的完整、准确、及时、可用；数据管理者应承担保存或处理数据的保护职责，防止数据的丢失、误用或破坏；特殊或重要数据，应采用多种记录手段 异地保存，免遭意外风险。第一百二十二条 数据使用者有权查阅被授权的数据，索取数据记录复制件，更正有关自身的任何不准确数据；享受有限次数规定的有问必答权利。第一百二十三条 制订必须的数据存取细则，采取措施防止数据被非法修改，堵塞管理操作的疏忽或蓄谋窃取数据的漏洞。第一百二十四条 无正当理由和有关批准手续，不得通报数据内容，不得泄漏数据给内部或外部的无关人员。第一百二十五条 不应造成可从发布的统计数据中推断出保密或敏感的信50、息。第一百二十六条 建立适当的监督、管理机制，保证与数据有关的个体和数据管理者的合法权益不被侵犯。 数据安全管理的内容第一百二十七条 完整性: 数据内容的完整性指的是保护数据免受未经授权的修改。它包括单个数据完整性和数据序列完整性。它是一系列安全性能的集合，这些性能都与数据能被系统正确提供给目标实体有关。第一百二十八条 保密性: 计算机网络系统中的信息应该根据其重要性、密级、应用需求等分别实施相应的加密措施，保密信息不得以明文形式存储和传送。应根据信息的重要性、密级规定及用途，决定操作人员的存取权限和存取方式。所有的统计信息应根据其重要程度进行密级划分，并制订相应的管理办法，确定允许对外发布和51、交流的信息指标、报批权限和手续。第一百二十九条 可用性: 可用性保证了信息是正确可用的。在营业部的电脑系统中，要对操作者进行职责授权、使用授权确认。必须对采集信息的合法性、输入信息的有效性、业务与帐务处理的正确性进行全面的确认，保证信息的有效性、合法性和正确性。要采用各种有效的技术手段与岗位责任制、行政手段、法律手段相结合的方法，确保采集、处理、存储、加工、传输及输出的数据正确可用。 数据安全管理的具体办法第一百三十条 口令及权限限制：营业部的电脑部应指定一人为第一责任人，由第一责任人掌管超级用户口令，第一责任人必须定期修改超级用户口令，如一月修改一次，并将口令密封后报公司电脑部备案。第一负责52、人应本着：使各操作员能够圆满地完成本职工作，但与各操作员工作无关的权限不能提供的原则，统一规划各操作员的使用权限，并严格按照规划分配各操作员的工作范围及权限，产生不同的毫无规律的密码，同时要求各操作员必须性地更换密码，并严禁相互泄漏密码。第一百三十一条 时间限制：对部分用户程序登录和使用时间作出限制，例如限制系统初始化只允许在某一时间内登录等。第一百三十二条 网络地址限制：利用网络地址对敏感用户程序登录和使用的工作站作出限制，如限制行情接收及转换，交易系统的后台处理及清算等程序只能在某些特定的工作站上登录、运行。第一百三十三条 系统的安全性：为防止外来非法程序的入侵，除电脑机房内，其他地方上网53、的工作站必须为无盘站，严禁未经许可的软盘直接上网使用。为防止病毒破坏数据，各营业部电脑网络必须安装正版防病毒网络软件。对于外来软盘或程序，必须先在单独的计算机上先查病毒，保证无毒的条件下才能够上网使用。第一百三十四条 数据监控：在条件许可的情况下，实施监视对策，对发生的密码输入错误、超权数据存取的情况进行监视，对连续多次无效存取进行强制结束，并进行记录，以便日后查阅分析。对连续多次无效存取进行强制结束。第一百三十五条 数据检查：每天清算后必须检查数据的正确性，如红利、红股的上帐是否正确，配股的上帐是否正常。一但发觉错误必须及时更正。建议各营业部采用的交易软件具有数据检查工具包。第一百三十六条 54、历史数据的更改：历史数据的更改必须有二个以上的人员在场，并且必须记载更改的理由、更改使用的方法及步骤，在场的人员、操作的人员以及详细指明更改的数据内容。所有在场人员必须签名并注明时间。第一百三十七条 数据备份：交易数据是公司的重要资料，保存完整的交易数据是降低经营风险、维护客户正当权益的可靠保证，可以是财务查帐清楚明了，与股民发生纠纷时有据可查，即使出现问题时也可以分清责任。并且在系统发生故障时，以保证数据、文件的恢复工作，确保在最短的时间内恢复正常工作，必须按严格地制度进行数据备份。第一百三十八条 数据保密:为防止数据的非法使用、修改、丢失，和由于数据不正当的发布而引起的对营业部不利的局面的55、产生，营业部做到以下保密措施：1、 备份的数据、打印出的数据必须指定专人负责保管，由营业部计算机房工作人员按规定的方法同数据保管负责人进行数据的交接。交接后的数据应在指定的数据保管室或指定的场所保管。2、 数据保管员必须用文件管理等方法，对数据进行登记管理。3、 禁止数据的外借，内部无权查阅和无正式批文的人员不得查阅。对于经正式批文借出的数据必须登记，并由经手人签字，便于发生数据泄漏时分清责任人。4、 数据保管员不得修改所保管的任何数据。 工作流程第一百三十九条 数据备份1、根据数据库备份的具体要求，将备份任务添加到总部数据备份任务一览表（附表12）；2、从档案管理员处领取经编号的备份介质，在56、需要新建或更改备份介质的内容时，须更新总部数据备份介质内容变更登记表（附表10）；3、 执行总部数据备份任务一览表中的各备份任务；4将备份完毕的备份介质交档案管理员保管。在备份介质内容有变更时，须将更新过的总部数据备份介质内容变更登记表（见附表9）发送档案管理员；第一百四十条 数据库设备管理1、 由应用系统维护员或开发人员提交数据库操作申请表（附表14）；1、 据管理员根据申请表的要求，新建数据库时设定数据库的名称、大小、设备文件路径等；删除数据库时检查是否已做最新状态的备份；2、 在数据库操作申请表中 “处理结果” 栏填写处理结果并签字；3、 将数据库操作申请表提交档案管理员；第一百四十一条57、 数据库用户管理1、 由应用系统维护员或开发人员提交数据库操作申请表；2、 数据管理员根据申请表的要求，新建用户时设定用户名称，赋予经批准的数据库权限；删除用户时先删除该用户的数据库权限；3、 在应用程序中需要封装数据库用户和密码时，数据管理员接收应用程序的源代码，在数据库用户设置的代码段中填入真实的用户名和密码，并编译制作安装盘；将安装盘和源代码提交档案管理员（注：提交的源代码应不含真实的数据库用户设置）；4、 在应用程序安装运行中需要输入数据库用户和密码时，由数据库管理员输入；5、 在数据库操作申请表中 “处理结果” 栏填写处理结果并签字，在“备注”栏填写具体更改的数据库权限、安装盘标记、58、输入用户和密码所在的机器名等；6、将数据库操作申请表提交档案管理员；第一百四十二条 数据库调试管理1、 由应用系统维护员或开发人员提交数据库操作申请表；2、 数据管理员根据申请表的要求，新建调试用户（优先考虑采用与操作系统用户集成的方式），设置权限；是否将调试用户的密码告知调试人员，须根据申请表的要求；3、 等待调试人员完成对数据库的调试后，删除调试用户；4、 在数据库操作申请表中 “处理结果” 栏填写处理结果、注明完成调试的日期并签字；5、 将数据库操作申请表提交档案管理员；第一百四十三条 数据库访问监控1、 安装新的数据库系统时，填写数据库访问监控报表 （附表15），注明监控设置的具体方式59、和细节；a) 期检查监控日志文件，无论是否发现异常，均须填写数据库访问监控报表；（注：监控日志文件对数据管理员应设置只读的权限，因为其中记录了数据库超级用户的操作，须由审计人员审计）；b) 将数据库操作申请表提交档案管理员；第一百四十四条 数据库管理的其他方面1、由数据管理员填写数据库操作申请表，在经过批准后执行；2、将数据库操作申请表提交档案管理员；第一百四十五条 本职责细则中档案管理员、应用系统维护员、开发人员均属信息技术中心所设岗位的人员。第四章计算机设备（软件）购置管理第一条 计算机设备主要是指硬件设备包括主机（微机、服务器、工 作站等）及外围设备（显示设备、打印设备、电源设备、机房设60、备等）、网络通讯设备（交换机、路由器、集线器、调制解调器）及存储设备等；软件是指系统软件、数据库软件、开发工具软件、开发平台软件及业务应用软件等。第二条 计算机设备（软件）的购置本着“五统一”原则，即统一规划、统一标准、统一应用、统一实施、统一采购，以发挥整体优势，节约投资，便于管理。4、 在公司系统内有广泛需求的计算机设备，由信息技术中心统一品牌、统一价格、统一定购，各单位分别实施。2、对于营业部个别需求的计算机设备，信息技术中心对需求单位上报的购置计划进行审核后，可以授权需求单位按计划自行购置。第三条 计算机硬件配置必须同时满足如下几方面要求：1、高效性、可靠性、兼容性、可扩展性；2、关键61、设备由信息技术中心通过招标方式选定机型；3、具有完善的售后服务；4、对于单价20万元以上的设备，要准备几种配置方案，经论证后确定最优方案。第四条 采购物品，应采取招标制或类似招标的办法，进行竞价采购，投标公司（或报价公司）应至少在三家以上。由信息技术中心与行政部进行此项工作，将几家公司的报价书等相关资料报主管领导审核并对不同报价进行分析，增加透明度。要坚持做到“公开、公平、公正”原则。经招标方式选定后统一购买，供各部室、中心及营业部使用。第五条 计算机设备（软件）购置合同是经济活动中的法律依据。计算机设备（软件）的购置必须遵守经济合同法的条款及有关规定，合同（协议）的签订前须报公司法律办公室审62、定，签定时必须由两人以上经办并经主管领导批准。合同（协议）要建档备案。第六条 计算机设备（软件）的购置合同（协议）应包括以下内容：设备名称、型号、配置标准、产地、单位、数量、单价、合计金额、交货时间、地点、验收标准、付款时间、运保费、保修期限、维修服务、技术支持、培训及违约责任等内容。合同中需更详细明确的条款和内容可用协议方式补充说明。第七条 合同执行过程中，如发生违约或纠纷，各单位应及时妥善处理，并上报公司法律中心与信息技术中心。第八条 购置设备（软件）手续必须完整，由专人负责验收。验收时必须认真仔细，完成外观检查、数量及配置的清点、安装调试、设备试运行等几个方面的验收程序。验收合格后及时填63、写计算机设备（软件）验收单（见附表8）。第九条 计算机设备（软件）验收合格后，电脑部门应及时办理设备（软件）入库手续。第十条 公司总部各部、中心及各地区总部、各营业部应在每年年度工作会议之前，编制下一年度的计算机设备的购置计划，报至总部计划财务部及信息技术中心审核，并由计划财务部汇总报主管总裁或副总裁审批同意后，作为正式计划下达，并在该年度之内按计划分步实施。对购置计算机设备突破费用预算的项目，必须按审批程序以书面形式向各级领导逐级申报。 第十一条 各单位编制计算机设备购置计划时，应本着节约、实用的原则，合理确定性能价格比，不要一味贪大求洋，片面追求功能先进而忽视成本控制。第十二条 各地区总部64、营业部年度计算机类设备购置计划应经总部信息技术中心、经纪业务管理总部、计划财务部共同审核。此后计划内设备购置由信息技术中心审查，计划外采购由经纪业务管理总部与信息技术中心共同审查。第十三条 各部门、中心及各地区总部、营业部在年度预算提出计算机设备购置计划时，应填写长城证券部门年度计算机需求计划表并报总部信息技术中心和计划财务部审批。公司信息技术中心和计划财务部将根据各部已有设备、业务需求和需求计划确定和下达各部、中心及地区总部、营业部下一年度的长城证券部门计算机购置额度书。第十四条 总部各部门、中心及各地区总部、营业部应严格按长城证券部门计算机购置额度书控制设备的购买，当购买设备数量或总金额65、超过当年的营业部计算机购置额度书时，应向公司财务总部及电脑工程部提出补充购买计划并说明原因。第十五条 总部各部门、中心计算机设备购置按照招标内容有总部行政部统一购置。各地区总部和营业部购买的设备应符合公司的统一选型，购买设备的合同应报信息技术中心审核型号、配置、价格和备档。服务器、路由、交换机等大型和关键设备由信息技术中心直接购买。第十六条 设备购买后应及时将购买的设备资料填写到电脑设备购买情况表中，并提交信息技术中心统一保管。第十七条 为确保计算机系统的安全运行，各部门硬件设备的使用期限不应超过规定的有效使用年限，超过使用年限内的设备仍具使用价值时，应报公司信息技术中心核准后方可继续使用。第66、十八条 新购置的设备应在测试环境下经过单机运行测试和联机测试，经测试合格后才能投入使用。新购置服务器的测试时间应不少于7天。第十九条 购入的计算机设备由信息技术中心负责组织验收并填写和邮寄售后服务登记卡。计算机设备购入或安装完毕后，须由经办人填制长城证券财务领用单和长城证券财务验收单一式三份，计划财务部、行政部、使用部门或使用个人各执一份。计划财务部和行政部应据此分别登记财务帐和实物帐，以保证帐帐相符。第五章软件开发管理制度 总 则 第一条 为加强长城证券有限责任公司计算机软件的管理，规范公司应用软件开发流程，提高项目管理水平，特制定本制度。 第二条 本制度所称软件系指计算机操作系统软件、数据67、库管理软件、营业部证券交易业务处理系统、信息揭示与分析系统以及公司其它业务处理软件。 第三条 本制度适用于长城证券有限责任公司总部、各地区总部及各营业部的计算机软件管理。 第四条 信息技术中心是公司计算机软件管理的主管部门，负责公司应用软件的统一审批、开发、测试及购置等工作。 软件购置第五条 公司总部、各地区总部及各营业部应根据业务发展需要制定软件购置计划，填写长城证券软件项目需求报告（见附表6），报总部信息技术中心审批批准后方可购买。第六条 总部各部门软件的购买由总部信息技术中心负责；营业部系统软件、交易系统、财务管理系统等软件的购买由总部信息技术中心负责组织；其它软件营业部可自行购买，但须68、报总部信息技术中心审批。第七条 软件购置应符合有关技术要求。系统软件应达到C2级以上（含C2级）安全级别；数据库管理软件应具有安全性、完整性、一致性及可恢复性保障机制；应用软件应满足安全性、可靠性、兼容性和稳定性的要求。第八条 软件购置之前应正式立项，成立由技术人员、业务人员和管 理人员共同组成的项目小组，项目小组应在同类软件产品的多家公司中进行对比，最终选定购置的软件应具有优良的性能、合理的价格、完整的文档资料和良好的售后服务。同时尽可能地要求软件开发商提供源程序，公司委派专人原盘妥善保管。第九条 软件购置后要立即填写用户售后服务登记卡并寄往软件开发商或集成商，确保软件的售后服务有效。第十条69、 软件购置应具备一切正规的手续，有正规的合同、正规的发票等。公司下属各营业部应尽量使用统一版本的系统软件和应用软件。 软件开发第十一条 如需开发应用软件，公司总部、各地区总部及各营业部应在调查研究的基础上提交项目申请并填写长城证券软件项目需求报告（见附表6），报公司信息技术中心领导审批。信息技术中心根据领导审批意见可组织人员进行软件开发。第十二条 信息技术中心软件开发实行“项目经理”负责制，项目经理应熟悉业务知识，具有较强的软件设计能力和项目管理水平。项目经理组织软件开发时，应充分考虑系统的安全性、可靠性、稳定性和扩展性。 第十三条 应用软件在开发之前，总部信息技术中心负责对软件进行可行性分析70、，并提交项目可行性分析报告和软件立项报告书，经公司领导审批后正式立项。项目小组由技术人员、业务人员和管理人员共同组成。技术人员负责软件的开发和项目管理工作；业务人员负责软件功能需求的界定和软件测试工作；管理人员负责项目的控制和监督工作。 第十四条 开发人员与操作人员必须实行岗位分离，开发环境和现场必须与生产环境和现场隔离。软件设计方案、数据结构、加密算法、源代码等技术资料严禁流入生产现场、散失和外泄。第十五条 应用软件在正式投入使用前必须经过内部评审，确认系统功能、测试结果和试运行结果均满足设计要求，相关技术文档齐全，同时规定软件的使用范围和使用权限，并经使用部门的分管领导批准。第十六条 软件71、开发过程标准化、规范化、文档化，符合GBT8566-1995信息技术软件生存期过程。信息技术中心应用软件开发统一划分为六个阶段完成。1、 行性分析与立项阶段。对项目进行可行性分析，明确项目开发目标，制定开发计划，提交项目可行性分析报告和软件立项报告书。2、 需求分析阶段。根据用户制定的业务需求，对系统进行功能需求分析，确定应用软件的各项功能模块，提交软件需求规格说明书。3、 程序设计阶段。在充分理解软件需求的基础上，提交软件总体设计说明书、数据库设计说明书和软件详细设计说明书。 4、 代码实现阶段。完成源程序的编码、编译和调试工作。 5、 测试阶段。对程序进行全面测试，并提交软件测试分析报告和72、用户手册。 6、 运行与维护阶段。在软件运行使用中，不断进行维护，并根据新的要求，对原程序进行必要的扩充与删改。 第十七条 项目经理在开发软件的各阶段，应根据信息技术中心软件开发和项目管理V1.0版技术文档的要求，组织项目成员完成以下文档的编制工作，以便对项目进行阶段性检查。1、 软件需求规格说明书2、 3、 4、 5、 6、 7、 8、 上述文档中，、和由项目经理负责完成，、和由项目小组成员共同完成。 软件测试第十八条 公司购置和开发的软件都必须经过严格测试确认合格后方可在公司内部推广使用。第十九条 软件测试工作由信息技术中心组织，测试由测试人员通过试用形式进行，对被测软件的功能进行必要的测73、试，并提交测试报告。测试期间还应对重要技术数据进行现场演示，并听取开发单位人员必要的补充说明。第二十条 软件测试分内部测试和外部测试。内部测试人员由项目开发小组成员组成，内部测试通过后方可进行外部测试。软件外部测试由信息技术中心委派，由技术人员和业务人员组成，开发人员不得为软件外部测试人员。第二十一条 软件测试按考核的技术指标分为：功能测试、性能测试、容量测试、压力测试、验收测试、灾难性及恢复测试。项目经理根据软件的重要程度组织相应的测试项目。第二十二条 购置软件的开发单位对已通过测试的软件进行修改时，应接受信息技术中心的测试，如测试不通过不得在公司内部使用修改后的软件。第二十三条 测试人员应74、根据信息技术中心软件开发和项目管理V1.0版技术文档的要求，编制软件测试文档。相关测试文档包括、，软件测试结束后，测试人员必须提交。 项目管理第二十四条 信息技术中心软件项目开发管理实行“项目经理”负责制，项目经理应遵循软件开发各阶段的技术规范和要求，对项目的进度和状态进行评估、协商和决策，并在必要时，向公司部门领导提交项目变更请求和按照审议结果调整和执行项目计划。第二十五条 项目经理应制定合理有效的项目计划和项目组织结构、控制严谨的运行体系、及时跟踪项目进度和提交项目报告。整个项目管理任务包括：1、 进度管理。对该软件项目制定开发计划，并按要求进行检查和调整；2、 源管理。对整个项目所需的人75、力、设备、配套设施等方面资源进行估算，做出合理安排和配置；3、 经费管理。应按规范的软件开发费用评估与管理方法对开发的软件项目进行管理和经费预算；4、 质量管理。应采用系统工程方法检查、评审和控制所开发软件的功能和性能。第二十六条 项目经理应根据信息技术中心软件开发和项目管理V1.0版技术文档的要求，在项目实施的各阶段提交、和。第二十七条 软件开发项目完成后必须履行正式的验收手续，由专门的验收小组按照软件项目验收规程，根据软件需求说明书和合同进行验收。项目验帐完毕后，验收小组应按照信息技术中心软件开发和项目管理V1.0版技术文档的要求，提交。验收规程如下：1、信息技术中心购置的软件由开发商向信76、息技术中心提交软件验收申请报告；信息技术中心开发的软件由项目经理提交软件验收申请报告，具体格式参照总部信息技术中心软件开发和项目管理V1.0版技术文档规范；2、公司由总部信息技术中心组织成立软件验收小组；3、验收小组对相关项目文档进行验收；4、开发单位进行软件功能演示；5、验收小组进行验收测试；6、验收小组对测试结果进行评审，并提交软件验收报告。第六章计算机设备使用管理第一条 公司各部门、中心使用的各种计算机硬件、软件及资料由公司信息技术中心指定专人保管。第二条 各部门、中心对所使用的微机、服务器、打印机、存储设备等计算机设备必须建立专人负责制，统一保管本部计算机设备相关资料，以便进行维护。第77、三条 各部、中心的硬件设备，必须按操作规程使用，未经信息技术中心相关人员同意，不得搬挪、拆卸；禁止带电接插各种电缆，开机箱；禁止拔插机器内的板卡和配件；禁止在通电状态下触摸打印头。第四条 各部、中心在使用的硬件设备或应用软件出现故障时，应立 即与信息技术中心计算机管理员联系，不得自行处理。第五条 为保证维护工作及时有效，信息技术中心指定专人进行维护 工作。各部、中心人员在向信息技术中心人员申述电脑故障时应遵循以下原则：1、 长城证券电脑设备维护申请单（见附表7），并提交给信息技术中心相关维护人员；2、 信息技术中心维护人员接收到维护申请单后，针对用户描述的故障现象于一天内答复用户，并提出维护意78、见；3、 信息技术中心维护人员应最迟在三天内解决用户故障，如因特殊原因不能如期解决应及时告知用户取得用户的谅解；4、 用户计算机故障如需更换硬件设备，信息技术中心维护人员应在维护申请单内注明更换设备名称、数量及价格，且用户需填写固定资产领用单，具体细节见计算机耗材及备品备件管理制度；5、 信息技术中心维护人员应定期整理维护申请单，并提交中心档案管理员统一管理。第六条 总部各部、中心须分别于每年的一月份和七月份，向信息技术中心填报本部计算机设备验收表（见附表8）。第七条 总部工作人员下班后必须关闭个人所用计算机设备电源后方可离去，关机时要等系统完全退出后再关闭电源。第八条 总部工作人员不得在未经79、信息技术中心相关人员允许下私自安装未经审核的软件产品。第九条 总部工作人员未经信息技术中心和行政部相关人员的同意，不得与别人私自互换电脑设备。第十条 总部工作人员所在部门经理有责任监督其计算及设备使用情况。人员调离时，应认真履行交接手续，明确交接人，并在固定资产卡片上注明。领用人员调离时因丢失损坏等原因无法交回计算及设备的固定资产，要由领用人员负责赔偿，公司保留法律追诉权。对不再继续使用的计算及设备应交回行政部保管，并在固定资产卡片上作转出登记。第十一条 对于工作站、显示器、打印机等一般电脑设备，使用人员应将保养工作落实到每日常规保养，保养内容主要是去除设备表面的灰尘、缝隙中的纸屑与大头针等杂80、物。第七章计算机耗材及备品备件管理第一条 计算机耗材及备品备件包括计算机专用电源和电缆、网络配件和终端桌椅、打印纸、色带、软盘、硬盘、内存条、墨盒、墨粉、墨水、硒鼓、视保屏、键盘、鼠标、电源插座和计算机资料等。第二条 公司本部所需计算机耗材及备品备件由信息技术中心统一购买，营业部的计算机耗材由本单位的电脑部或指定部门统一购买。第三条 计算机耗材及备品备件的发放由专人负责。领用人须填写计算机耗材及备品备件领用单（见附表11），领用部门负责人签字后方可领用，费用支出按季计入各部室、中心及营业部费用。第八章计算机机房（实验室）管理第一条 计算机房是公司信息系统的核心，为确保系统的安全、稳定运行，特制81、定计算机房管理制度。第二条 本制度适用于公司总部及各营业部计算机房的管理。第三条 计算机房实行授权管理制度，责任到人。计算机房管理人员确定办法是：公司总部由信息技术中心负责人授权专人管理，营业部由电脑部管理，电脑部经理负责。非授权人员未经许可，一律不得进入计算机房。第四条 计算机房管理人员必须具有高度的责任心和吃苦耐劳的精神,切实搞好计算机房的管理工作。第五条 非授权人员必须经过负责人或电脑部经理同意，并由计算机房管理人员陪同方可进入计算机房工作。 第六条 计算机房禁止参观。如遇特殊情况须经过总裁办和电脑中心负责人（营业部需经办公室及总经理）批准，并持有总裁办或营业部办公室证明，方可在计算机房82、管理人员的带领下参观。在参观过程中严禁对任何设备进行操作。第七条 计算机房严格执行工作记录制度。必须建立完整的计算机及其网络设备运行日志、操作记录等。第八条 凡进入计算机房工作的人员(含计算机房管理人员)，必须详细记录进入计算机房的日期、时间、工作内容、所属部门（或公司）、同行人员、离开时间等。如果在工作中发生意外情况，非授权人员应立即离开计算机房，由计算机房管理人员进行处理，同时应详细记录意外发生的时间、现象和处理结果等。第九条 计算机房管理人员应加强机房网线、电源线的管理。营业部线路图应报信息技术中心备案，每次线路变更除需立即更改自有线路图外，还应向信息技术中心提交更改通知单。第十条 计算83、机房的所有设备不得随意调整，如确因工作需要进行调整，须经过信息技术中心负责人或营业部总经理批准，由计算机房管理人员组织在非工作时间实施，其他人员不得自行进行调整。第十一条 严禁将易燃易爆、强磁物品及其它与计算机房工作无关的物品带入机房，未经安全管理程序任何技术资料（含数据）不得带出。第十二条 计算机房应张贴详细的应急处理流程和相关单位的联系电话，应急处理流程每两个月应安排一次应急事故处理演习，应急处理流程必须随系统的变化而及时更新。第十三条 计算机房管理人员每天必须按时完成定期工作，如果出现意外情况，应立即进行处理，同时在计算机房工作记录簿上详细记录；如果自己处理不了，应立即通知有关人员及时处84、理。第十四条 工作时间内计算机房必须有值班人员，值班人员一般由计算机房管理人员担任。第十五条 计算机房管理人员应于每个工作日上班前检查计算机房所有设备的运行状况，还应同时检查安全保障设备(UPS电源,防雷装置、空气开关等)的状况，确保其处于正常工作状态。UPS应于偶数月份的第一个周末安排充放电检测。第十六条 营业部计算机房工作必须遵循汇报原则，工作日志、检测报告需及时向机构管理部及电脑中心提交，出现事故应及时报告电脑中心、机构管理部及营业部总经理。第十七条 计算机房必须保持干净整洁，设备应及时清洗，整体布局应有序合理，不得在计算机房内吸烟、进食或从事其他正常工作以外的活动，避免将别针、大头针、85、纸屑等杂物掉入键盘内。第十八条 计算机房环境按公司信息系统环境标准有关规定执行，本制度相关实施细则另行制定。第十九条 机房工作人员必须定期检查系统，防范计算机病毒。凡使用外来磁盘前，都须经过检查，证明无毒后方可使用。第二十条 机房工作人员必须爱护各种机房设备，严格按操作规程操作。第二十一条 机房工作人员严禁利用计算机玩电脑游戏。第二十二条 借用机房物品、领用有关设备及配件必须经机房工作人员同意，并按规定办理登记手续。第二十三条 业务部门如需加班使用网络服务器，需事前通知信息技术中心。第九章总部机房信息系统紧急事故应急处理 总 则 第一条 计算机信息系统对技术、硬件、软件、环境要求较高，任何一个86、因素都可能导致整个系统崩溃。为保证系统正常、稳定、安全运行，确保在紧急情况下将造成的损失降至最低，特制定本制度。第二条 紧急事故应急处理制度的制定充分考虑各方面因素，对可能出现的各种情况提出相应的应急措施，保证在紧急事故出现时，系统能够尽快在尽量短的时间内恢复到事故前的正常状态。 应急工作细则第一节 紧急事故类别 第三条 意外紧急事故根据其性质可分为：硬件意外事故、软件意外事故、技术意外事故和环境意外事故。 第四条 硬件意外事故，含： 1、服务器或主机硬件损坏；2、通信线路,通信设备故障；3、网络系统设备故障； 4、供电系统(含UPS)故障； 第五条 软件意外事故，含： 1、系统软件故障； 287、应用软件故障； 3、数据库故障； 4、通信软件故障。第六条 技术意外事故，含：1、操作失误；2、计算机病毒；3、黑客入侵；4、恶意破坏。第七条 环境意外事故，含： 水灾、火灾、地震、台风、雷击等自然灾害以及其他各种因素造成的意外事故。第二节 应急措施第八条 出现硬件意外事故时应采取的应急措施：1、服务器或主机硬件损坏： （1）首先检查故障设备状况，并使其与网络环境脱离（拔掉网线）； （2）重新启动该设备，并进行故障判断，若为简单问题，应及时做好设备更换工作，不能解决的问题，因及时启用备份系统，并通知设备供应商； （3）对Netwart主服务器故障启动Standby备份，Windows NT数88、据库服务器故障启动冷备份系统； （4）设备故障恢复后，检查测试设备工作状况及数据的完整性直至正常使用。 2、通信线路，通信设备故障： （1）立即采用其他手段确认是通信线路还是通信设备故障（如用电话机或者其他工作正常的通信设备）； （2）如果是卫星通信系统故障，还应该立即检查卫星接收机和高频头以及卫星天线； （3）经确认是通信线路或卫星链路故障的话，立即联系电信局或者卫星公司进行处理； （4）如果电信局或者卫星公司不能迅速将故障处理好，则应立即将备用通信线路投入运行； （5）经确认如果是通信设备故障的话，应立即将备用设备投入运行，直到通信系统工作正常。3、网络系统设备故障： （1）网络系统设备主89、要是指交换机，集线器（HUB）路由器等，由于这些设备均有工作状态灯，所以比较容易判断其正常与否；交换机、路由器 可能出现一般的端口问题和严重的主机内部问题；可通过指示灯和内部终端仿真进行检查。交换机，集线器一般都进行开机自检，通过对开机时的指示灯可初步作出故障判断。 （2）发现有不正常的网络设备，可将其先关闭，稍等片刻再重新开启，如果还是不正常，则可确认该设备损坏； （3）更换并启用备用设备，直至工作正常。4、供电系统故障： （1）供电系统故障可分为市电停电和UPS故障两种，市电停电可由照明电源有否立即判断，UPS故障可由UPS设备工作状态灯判断； （2）遇市电故障应立即检查UPS工作正常与否90、，如果UPS没有自动运行，应立即将其投入运行，并检查计算机房设备是否工作正常； （3）在UPS故障而市电正常的情况下，应检查市电是否投入供电系统，如果没有自动投入，应立即手动投入，同时通知UPS供货商立即进行抢修； （4）如果市电与UPS同时故障或者供电线路造成所有供电中断，则应立即关闭计算机房所有设备开关，同时通知电工进行抢修，待电源恢复正常后，重新开启所有设备。第九条 出现软件意外事故时应采取的应急措施：1、系统软件故障： （1）系统软件故障指设备硬件正常，但机器不能正常进入系统工作； （2）发生系统软件故障后，可立即用系统安装时生成的系统紧急修复盘进行修复，然后重新启动机器； （3）如果91、用紧急修复盘不能使机器正常，则应立即重新安装系统，然后用备份系统将该机器其他应用系统恢复。2、应用软件故障： （1）应用软件故障指机器硬件和系统软件工作正常但上面的应用软件却不能使用或者工作不正常； （2）经确认是应用软件故障后，应立即重新安装应用软件，如果是其他公司开发的应用软件，则应马上通知该公司技术人员重新安装； （3）应用软件重新安装后，应重新启动机器，并重新启动机器，直到系统工作正常。 3、数据库故障： （1）数据库故障指系统和应用软件工作正常，但数据库中的数据不正常，或者没有； （2）出现数据库故障应立即通知数据库维护人员进行处理，直到数据库工作正常。4、通信软件故障： （1）通信92、软件故障指通信设备和通信线路均正常，但通信系统不能正常工作； （2）通讯软件故障一般由参数设置或文件被破坏引起的，对设置问题，应重新修正参数设置，如文件被破坏，应重新安装，直到通信系统工作正常。第十条 出现技术意外事故时应采取的应急措施：1、操作失误： （1）发生操作失误后应立即重新启动机器； （2）如果因操作失误造成硬件损坏，应立即将被损坏的设备用备用设备更换，同时重新安装系统及应用程序，如果该设备有备份数据的话，还应该通过备份系统将数据还原； （3）如果只是软件损坏，则应立即将损坏的软件重新安装，如果有备份数据，还应该通过备份系统将数据还原。2、病毒破坏 （1）发现计算机病毒时，应立即将可93、疑的设备与系统隔离（即将网线拔掉）； （2）立即用病毒防治软件对该设备进行查杀病毒，如果系统已经完全被破坏，则应将硬盘重新格式化，然后安装系统软件和应用软件，最后通过备份系统将数据还原； （3）系统重新安装后，还应该用计算机病毒防治软件对该设备进行一次检查，确认没有病毒后，方可将该设备投入系统运行。3、黑客攻击: （1）正在正常运行的系统突然出现原因不明的异常情况，且设备、系统均正常，用计算机病毒防治软件也没有发现病毒，则应考虑到可能有黑客入侵； （2）当怀疑系统有黑客入侵时，应首先将有问题的设备与系统隔离（拔掉网线），然后用具有防黑客的计算机病毒防治软件对机器进行检查，发现问题，用病毒防治软94、件将黑客寄生程序清除； （3）对系统所有可能成为黑客入侵薄弱环节的设备和入口进行检查，发现问题立即进行补救； （4）对防火墙进行彻底检查，堵塞任何可能的漏洞，让黑客无懈可击。4、恶意破坏: （1）正常运行的系统，在没有任何先兆的情况下突然崩溃，或者突然一些应用程序或数据库失踪，则及其可能是有人恶意破坏； （2）发现有人恶意破坏，应立即向部门领导和有关部门汇报，然后尽快找到被破坏地方，根据被破坏的程度立即想办法恢复，并将现场情况详细记录； （3）恶意破坏后的恢复，可根据被破坏情况，参照硬件意外事故和软件意外事故处理。第十一条 出现环境意外事故时应采取的应急措施：1、自然灾害： （1）水灾，火灾，95、地震，台风，雷击等自然现象造成的灾害，这种灾害造成的事故是不可抗拒的，也是不可恢复的。但如果平时对网络数据进行了经常备份，同时将备份介质安全妥善保存，也可以在灾难过后迅速重建系统，将自然灾害造成的损失降到最低； （2）发生自然灾害时，应尽快将数据备份介质转移到安全地方妥善保管； （3）灾难过后尽快将系统恢复，然后利用备份系统将系统数据恢复，使系统工作正常。2、其他环境因素造成的意外事故：除自然灾害外的其他环境意外事故可根据事故造成的破坏程度，采取相应的补救措施，其原则是尽量降低破坏所造成的损失，尽快恢复系统，使其工作正常。第十二条 其他具体细节可参考本制度后的附录。 善后工作 第十三条 事故出96、现时，应立即向总部信息技术中心、经纪业务管理总部和营业部总经理报告，报告程序参见公司内部技术风险报告制度。第十四条 应整理出完整的事故处理报告并提交总部。在报告中应详细记录故障发生的时间，设备，部位，现象，处理意见，处理结果，领导意见，事故事后分析，今后对同类事故的防范方法等。第十章 技术资料管理第一条 公司信息技术中心及各营业部必须设立一名技术资料专职管理员，全面负责本单位所有技术资料的登记保管工作。 第二条 技术资料系指与信息系统有关的技术文件、图表、程序与数据，包括随机资料、软件资料、技术图书、培训教材和资料、技术合同、网络拓扑图、网络布线图、电力布置图、硬件设计方案、卫星天线工程图及技97、术参数、网络登录底稿、用户权限分配、工作日志、信息系统建设规划、网络设计方案、软件设计方案、安全设计方案，源代码、系统配置参数、技术数据、软件及硬件设备文档等相关资料。第三条 技术资料实行分类管理。第四条 网络设计方案、网络布线图、软件设计方案、安全设计方案、源代码、系统数据说明书、系统权限配置说明书等重要技术资料应有副本并异地存放。第五条 技术资料一般不外借，以切实防止丢失和泄密；如工作需要，借阅、复制技术资料应履行必要的登记手续。第六条 技术资料应实施密期管理，只有在软硬件系统终止使用时，相关的技术资料才能进行报废并销毁。第七条 报废及销毁技术资料应分别由公司信息技术中心负责人、各营业部负98、责人批准，并登记备案。第十一章 罚 则第一条 有下列违规行为之一的，给予主管人员和其他责任人员工资总收入下浮30%至60%，期限3个月至6个月，年终考核时按公司有关规定扣减分数的经济处罚或者警告处分；造成严重后果的，给予记过至开除处分：1、未及时处理证券交易所及有关管理部门播发的涉及信息系统运行的数据、文件及通知的；2、无关人员进出机房，非计算机系统维护人员操作机房服务器或终端机的；3、计算机信息技术人员担任清算员从事结算记帐工作的；4、未定期检查操作员权限的；5、未按规定管理，致使系统受到计算机病毒侵害的。第二条 计算机应用、维护及操作人员违反规定或未经业务主管人员当面授权，擅自对帐务进行处99、理或修改、增加、删除业务数据的，给予工资总收入下浮30至60，期限3个月至6个月，年终考核时按公司有关规定扣减分数的经济处罚或者警告至记过处分；造成严重后果的，给予撤职至开除处分。第三条 未定期进行独立对帐，未核对交易数据、清算数据、保证金数据、证券托管数据，以及会计数据的一致性和连续性的，给予主管人员和其他责任人员工资总收入下浮30%至60%，期限3个月至6个月，年终考核时按公司有关规定扣减分数的经济处罚或者警告处分；造成严重后果的，给予记过至开除处分。第四条 违反规定，擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的，给予主管人员和其他责任人员记过至撤职处分。第五条 利用计算机进100、行违规、违法活动或者为违规、违法活动提供条件的，给予主管人员和其他责任人员记大过至撤职处分；造成严重后果的，给予开除处分，并依法追究法律责任。第六条 违反规定，在业务用机上使用与业务无关的软件或者利用通讯手段非法侵入其它系统和网络的，给予工资总收入下浮30至60，期限3个月至6个月，年终考核时按公司有关规定扣减分数的经济处罚或者警告至记大过处分；造成严重后果的，给予降级至开除处分。第七条 系统管理和维护人员、数据库管理和维护人员泄露自己的操作口令，扰乱信息系统管理秩序的，给予直接责任人员工资总收入下浮30%至60%，期限1个月至3个月，年终考核时按公司有关规定扣减分数的经济处罚或者警告处分；造101、成严重后果的，给予记过至开除处分。第八条 蓄意破坏计算机系统，对系统运行造成严重影响的，上报中国证监会，给予直接责任人员证券市场禁入处罚，并追究法律责任。第九条 系统管理和操作维护人员离开主机或者终端时没有按操作规程退出系统的，给予工资总收入下浮30至60，期限1个月至3个月，年终考核时按公司有关规定扣减分数的经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分。第十条 计算机系统管理和操作维护人员在工作时脱离岗位，造成系统故障的，给予工资总收入下浮30至60，期限3个月至6个月，年终考核时按公司有关规定扣减分数的经济处罚或者警告至记过处分。第十一条 违反规定将属于中国银河证券有限102、责任公司的计算机软件、文档、资料据为己有，或者借给其它单位的，给予记过至撤职处分；造成严重后果的，给予开除处分。第十二条 未按规定进行数据备份的，给予主管人员和其它直接责任人员警告至记过处分。第十三条 营业部电脑部经理疏于管理、工作懈怠，导致信息系统管理工作混乱的，给予记大过至撤职处分；造成严重后果的，给予开除处分。第十二章 附 则第一条 本细则由公司信息技术中心负责解释。第二条 本细则自下发之日起实行。附表1 计算机应用项目立项申请报告 项目编号：中国长城证券有限责任公司计算机应用项目立项申请报告项 目 名 称项 目 类 型项目起始年月业务应用部门长城证券有限责任公司信息技术中心制注：1. 103、“项目编号” 填写。2. “项目类型”包括：网络新建；网络改造；财务软件；业务软件；其他。 项 目 应 用 单 位单位名称所在地区通信地址邮政编码联 系 人联系电话一、项目立项申请报告二、项目目标和主要内容（要解决的问题和主要技术难题）三、项目可行性研究报告四、项目进度计划五、项目经费预算六、项目主要参加人员（注：在参加人员未定情况下，填写项目负责人和人数）七、业务应用部门意见 负责人签字: 年 月 日八、项目论证意见（注：重大项目要经过专家论证） 信息技术中心负责人签字： 年 月 日九、公司领导审批意见 公司领导签字： 年 月 日附表2 计算机应用项目验收报告 项目编号：中国长城证券有限责任104、公司计算机应用项目验收报告项 目 名 称 项 目 类 型 项目起始年月 业务应用部门长城证券有限责任公司信息技术中心制一、简要技术说明及主要技术性能指标二、推广应用前景三、主要技术文件目录及来源四、项目总结报告五、项目验收小组验收报告 验收小组组长（签字） 年 月 日六、项目验收小组名单七、信息技术中心审定意见 负责人签字： 年 月 日八、公司领导审批意见公司领导签字： 年 月 日附表3 计算机设备需求计划表单位名：（公章）年度：设备名称型号配置数量单价（元）总价（元）用途预期使用时间备注经办人：填表时间：附表4 计算机设备资金需求计划表 单位名：（公章） 单位：万元 项目名称 新增设备费用 105、电子运转费 其他费用 合 计 备 注负责人： 经办人： 填表时间：附表5 计算机设备验收单 编号： 设备名称设备型号数 量单 价供货单位制造厂商验收日期合同编号序 号计算机设备序列号验收说明验机人意见： 供货单位：（公章） 验收人：日期： 验收单位：（公章）验收人：日期：附表6 软件项目需求报告需求单位需求部门联 系 人 电 话 目标及作用： 现行系统状况分析：国内外同行业同类项目的发展水平：项目投资概算： 建议实施方式（自行开发、合作开发、委托开发或购买商品软件）及 理由： 项目必需的技术支持: 预期的经济和社会效益： 技术部门意见：（签字盖章） 主管单位意见： （签字盖章）附表7 电脑维护106、申请表姓名部门日期 年 月 日用户申请简述中心人员对用户申请的描述 签名： 月 日中心处理意见 签名： 月 日中心处理结果 签名： 月 日硬件设备更换纪录 签名： 月 日用户确认签名 签名： 月 日反馈中心纪录 签名： 月 日附表8 计算机设备验收单 编号： 设备名称设备型号数 量单 价供货单位制造厂商验收日期合同编号序 号计算机设备序列号验收说明 验机人意见： 供货单位：（公章） 验收人： 日期： 验收单位：（公章） 验收人： 日期：附表9 备份介质密封登记表附表10 备份介质调用申请表附表11 计算机耗材及备件领用单领用部门： 年 月 日物品名称及规格单位数 量单价金额用 途请 领实 发领107、用人： 购物人：附表12：信息技术中心总部数据备份任务一览表任务编号任务名称数据类型（数据库/文件）所在服务器数据库名/文件名备份方式代码当前使用的备份介质编号开始备份日期最近备份日期注：（一）本表中的备份方式代码和备份方式对应如下：1 星期五做完全备份，星期一至星期四做增量备份；2 定期做覆盖方式的完全备份；3 定期做追加方式的完全备份；（二）备份介质编号规则格式为：”ZB”+四位年份代码+数据来源代码+四位序列号其中数据来源代码 01代表总部数据 02代表营业部数据；三位序列号在一个年度中从“0001”开始递增；如：ZB2001010001，代表本备份介质是在总部保存的2001年总部数据的108、第0001号备份附表13：信息技术中心总部数据备份介质内容变更登记表介质编号介质类型变更日期变更方式代码具体变更内容备注注：（一）介质类型：A磁带；B刻录光盘（不可擦写）；C可擦写光盘；D软盘（二）变更方式代码：A追加备份内容；B覆盖原有备份（不影响介质中其它的备份内容）；C清除所有备份内容附表14：信息技术中心数据库操作申请表 申请日期 申请部门申请部门领导 申请人操作类型设备 用户 调试 其它操作操作具体内容操作备注设备操作新建数据库 删除数据库 修改参数设置其它 数据空间大小： 日志空间大小：用户操作新建用户 删除用户 修改权限 应用程序数据库用户封装 应用程序数据库用户输入 用户代号：109、使用者姓名：数据库权限更改：调试操作调试用户名：预计删除用户时间：年月日调试用户权限：其它操作总部数据管理员意见及操作细节说明信息技术中心领导意见公司领导意见附表15：信息技术中心数据库访问监控报表申报日期申报人监控日志检查结果中心领导签字第三部分长城证券有限责任公司证券营业部电脑系统管理制度（试行）长城证券有限责任公司证券营业部电脑系统管理制度目 录第一章 总 则4第二章 长城证券有限责任公司证券营业部电脑部工作职责5第三章 长城证券有限责任公司证券营业部电脑人员管理制度7第四章 长城证券有限责任公司证券营业部电脑部岗位职责9第五章 长城证券有限责任公司证券营业部机房安全管理制度11第六章 110、长城证券有限责任公司营业部电脑部日常工作流程16第七章 长城证券有限责任公司证券营业部安全操作制度21第八章 长城证券公司证券营业部计算机系统权限管理制度23第九章 长城证券有限责任公司证券营业部病毒防范制度27第十章 长城证券有限责任公司证券营业部设备管理制度29第十一章 长城证券有限责任公司证券营业部技术资料管理制度35第十二章 长城证券有限责任公司证券营业部软件管理制度36第十三章 长城证券有限责任公司证券营业部数据管理制度38第十四章 长城证券有限责任公司证券营业部技术事故处理规定40第十五章 附 则42附表附表一 长城证券有限责任公司 营业部系统运行日志1附表二 长城证券有限责任公司111、 营业部清算日志2附表三 长城证券有限责任公司 营业部计算机病毒报告3附表四 长城证券有限责任公司 营业部系统变动登记表4附表五 长城证券有限责任公司 营业部外部单位维护记录5附表六 长城证券有限责任公司 营业部电脑系统故障备案表6附表七 长城证券有限责任公司 营业部计算机设备报废登记表7附表八 长城证券有限责任公司 营业部数据维护记录表8第一章 总 则第一条 为提高全公司计算机信息系统管理水平，防范技术风险，保证日常业务的顺利进行，保护投资者的利益，维护公司的合法权益，特制定本制度。第二条 制定本制度的基本依据是：中华人民共和国计算机信息系统安全保护条例和中国证券监督管理委员会证券经营机构营112、业部信息系统技术管理规范（试行）。第三条 各营业部信息系统建设须遵从公司计算机应用管理科学化、规范化、高效、实用以及实行集中统一管理的原则。集中统一管理系指在公司系统内，以统一规划、统一标准、统一应用、统一实施、统一采购的“五统一”方式，分步实施推广计算机应用技术，并对计算机应用进行日常管理和维护。第四条 本制度适用范围为公司所属各证券营业部（以下简称营业部）。第二章 长城证券有限责任公司证券 营业部电脑部工作职责第一条 强化安全意识，自觉遵守公司关于营业部信息系统管理的各项规章制度。第二条 负责本营业部计算机信息系统的管理、维护和建设，确保系统安全运行。1、 保证系统数据的安全、准确、一致，113、防止数据的丢失和非法修改。2、 及时处理证券交易所及有关部门播发的涉及信息系统运行的数据、文件和各类通知。3、 负责计算机硬件设备的管理和维护，定期检查设备状况，保持系统处于良好的运行状态。4、 负责本营业部信息系统的安全运行。开市之前做好系统的运行准备工作，开市期间实时监控系统运行状况、处理突发事件，收市后配合清算员完成日结清算等盘后工作。5、 完整、准确地记录计算机信息系统的运行日志。6、 严格按故障报告制度要求，及时、准确地处理系统出现的故障，并上报公司信息技术中心。7、 负责交易业务数据、系统数据和其他重要数据、资料的备份、管理及上报。8、 根据本营业部的业务发展需求，提交应用系统需求114、报告、软硬件采购计划，报公司信息技术中心审批。9、 在公司信息技术中心的安排下，承担公司信息网络系统建设中涉及本营业部的有关工作。10、 负责本营业部计算机信息系统各类文档的收集、整理、分类、归档、备案。第三条 协助办公室编制营业部计算机设备的统计报表及协助财务部拟定本营业部计算机设备报废、报损计划。第四条 提出本营业部计算机人员技术培训计划。第五条 负责对本营业部业务人员进行计算机操作指导，协助对有关业务人员进行技术培训。第六条 紧密跟踪计算机新技术的发展，为新技术的推广应用做好充分的技术准备。第七条 严守公司机密，不得以任何方式泄露客户资料、数据。第八条 完成公司信息技术中心交办及本营业部115、总经理下达的其他工作。 第三章 长城证券有限责任公司证券营业部电脑人员管理制度第一条 营业部电脑人员在技术上由公司信息技术中心归口领导，接受信息技术中心的指导、管理和考核，在业务及行政上接受所在营业部负责人领导和监督。第二条 营业部计算机人员的聘用须报公司信息技术中心备案。第三条 各证券营业部电脑部经理人选，由所在营业部提出推荐意见上报公司，经公司人力资源部会同信息技术中心进行资格审查和考核，并报公司领导批准后聘任。第四条 营业部计算机人员编制应不少于总人数的百分之十，且最低不得少于两名专职人员。第五条 营业部计算机人员应具有大学专科以上学历，具备计算机基础理论知识和专业技术经验、较强的业务工116、作能力和再学习能力，以及良好的职业道德和服务意识。第六条 营业部计算机人员上岗前必须参加公司信息技术中心组织的资格考试，考试合格者方能上岗。资格考试成绩两年有效。第七条 营业部电脑部经理须具备计算机或相关专业大学本科以上学历，且具有2年以上证券营业部电脑部工作经验。第八条 禁止录用有犯罪或其他严重违法、违纪行为记录的人员从事计算机工作。第九条 营业部电脑部经理之间应定期或不定期轮换。轮换安排由公司人力资源部负责。第十条 营业部电脑部经理离岗时，须由公司信息技术中心与审计总部组织人员进行稽核。第十一条 计算机人员离岗时，要严格办理离岗手续，必要时可由公司信息技术中心与审计总部组织人员进行稽核。离117、岗人员应对所有技术资料、软件、设备及系统口令等作全面的交接，并同营业部签订保密协议；离岗人员工作交接后，营业部负责人应立即更改与其有关的系统口令，并清除离岗人员的计算机用户。第四章 长城证券有限责任公司证券营业部电脑岗位职责第一条 操作系统管理员 负责操作系统维护。包括系统安装、系统配置、NDS管理、权限管理。第二条 数据库管理员 负责数据库维护。包括数据库安装、参数设置及调整方法、库文件管理。第三条 网络通信管理员 负责网络交换机、路由器、MODEM、卫星通信系统、公司通信系统等安装、设置、维护、管理。第四条 电脑安全专管员 负责本营业部局域网的网络安全。包括防火墙软件或硬件的安装与维护；防118、病毒软件安装；防病毒码定时下载、更新；督导本营业部服务器及有盘站的定期病毒查杀及病毒码升级。第五条 应用软件管理员 负责交易系统软件、办公系统软件、财务系统软件等应用软件系统的安装、系统设置及维护管理。第六条 硬件维护员 负责服务器、工作站、打印机、网络设备（包括交换机、路由器、HUB、网卡、网线、网络接口、卫星通信设备、MODEM等）、大屏、电视墙及其他电脑附件设备的日常维护。第七条 资料管理员负责电脑设备固定资产及其消耗品的管理；电脑软件载体、软硬件产品的技术资料管理；数据备份载体及相应的文档管理；信息系统设计方案文档管理（包括信息系统建设规划、网络设计方案、软件设计方案、安全设计方案文档119、）；自行开发的软件资料管理（包括软件开发的源代码、软件设计说明书、使用说明书等）；系统配置参数文档管理；与营业部电脑部有关的其它文档管理（包括各种规章制度、工作日志归档、设备清单等）。第五章 长城证券有限责任公司证券营业部机房安全管理制度职 责第一条 各营业部计算机机房由各营业部的电脑部负责管理。电脑人员对机房内的系统安全和运行维护、机器设备和电力配备与维修、配件与耗材的保管、技术资料及数据文档的收存负全部责任。第二条 机房工作人员应具备高度的责任心，熟练掌握业务技术，严格遵守公司及营业部制定的各项安全、管理和保密制度，认真履行岗位职责。第三条 机房管理工作宜根据业务情况，进行软、硬件维护等方120、面的工作分工，并实行专人负责。建设规范第四条 计算机机房建设应符合计算机站场地技术条件（国标GB2887一89）、计算机站场地要求（GB9361 一88）以及证券经营机构营业部信息系统技术管理规范（试行）的有关要求。供电系统第五条 机房应有单独的配电柜，计算机系统要设有独立于一般照明电的专用配电线路，其容量应有一定的余量，建议采用双路供电（指由不同变电所提供的电力线路）。第六条 机房应配备不间断电源设备。其容量应保证机房设备和关键交易设备在断电情况下，提供不间断后备电源4小时以上。第七条 不间断电源应当定期维护保养，保证设备正常的工作状态。第八条 如配备发电机应当定期启动检测，保证停电时能正常121、发电。第九条 机房的配电柜内接线座应标注清楚，电源输出插座应与一般动力插座有明显区分与标识。接地与防雷系统第十条 机房应采用独立的工作地和防雷保护地，工作地和防雷保护地之 间的距离应大于10米。第十一条 工作地的接地电阻应小于4欧姆，防雷保护地的接地电阻应小于10欧姆。第十二条 网络关键设备、各类通信设备宜增加相应的防雷设施。第十三条 接地系统和防雷系统应请有关职能部门实行年检制度（尤其是雷电多发区）。机房环境第十四条 机房的使用面积：（不包括UPS电源放置面积）不得小于30平方米。第十五条 机房的操作间与设备间应作分隔，布局应有良好的人机工作环境，保障工作人员的安全与健康。第十六条 机房宜安122、装独立的空调设备。第十七条 机房应有防火、防潮、防尘、防盗、防磁、防鼠等设备。第十八条 机房应配备备用应急照明装置，配置温度仪、干湿度仪和烟雾报警器。值班与日常管理第十九条 证券交易时间内，机房必须安排值班人员。值班人员应严密监视系统运行情况，发现问题及时处理。第二十条 机房工作人员应定期对计算机系统进行检查，及时发现、排除故障隐患。第二十一条 机房管理制度应张贴于机房内醒目位置，各项规章制度和应急处理计划应装订成册置放在机房固定位置，以便随时查阅。第二十二条 机房值班员当日值班时，根据系统运行、维护情况，填写相应表格，并按“长城证券有限责任公司证券营业部技术资料管理制度”妥善保管。 1、机房123、值班员每天应认真填写“长城证券有限责任公司 证券营业部系统运行日志”(附表一) ，详细记录计算机软硬件系统每天的运行状况。 2、如当天有特殊业务发生时，在业务部门申请后，机房值班员应及时完成此项工作，并填写相应的内务通知单，存档。 3、在系统软硬件设备出现故障时，机房值班员应协同电脑部其他人员迅速处理，事后应及时报告营业部总经理，并认真填写“长城证券有限责任公司证券营业部电脑系统故障备案表”（附表六）。 4、在系统发生重大技术故障，影响营业部正常交易时，机房值班员应立即报告营业部总经理，协同本部及营业部其他部门迅速启动应急计划，并按“长城证券有限责任公司营业部技术事故处理制度”要求认真填写“长124、城证券有限责任公司证券营业部电脑系统故障备案表”（附表六）。 5、改动各应用系统的硬件配置、功能和参数设置等，必须经营业部主管领导批准，并相应填写“长城证券有限责任公司 证券营业部电脑部系统变动登记表”（附表四）。 6、外部单位对应用系统进行维护，必须经营业部主管领导批准，并相应填写“长城证券有限责任公司证券营业部外部单位维护记录表”（附表五）。 7、机房值班员应于每天收市后，协助营业部清算员做好当日的清算工作 ，清算完成后，对清算数据进行备份，填写“长城证券有限责任公司证券营业部清算日志”（附表二）并在电脑值班人处签字。第二十三条 严禁在生产机上进行实验性业务，交易期间不得更改系统配置，也严125、禁服务器宕机。第二十四条 未经电脑部经理同意，不准在机房设备上私自安装任何软件，严禁在机房内安装、使用游戏软件。第二十五条 所有软件在安装前，必须经过防病毒检测。无论是通过磁盘介质或网络等各种途径接收文件、程序、数据都必须经过防病毒检测。第二十六条 机房人员应做好卫生工作，保持机房整洁。第二十七条 禁止将易燃、易爆、腐蚀性、强磁性物品带入机房内。第二十八条 禁止在机房内吸烟，饮食或做与业务无关的其他事情。第二十九条 非机房工作人员不得在机房逗留或使用机房设备。第三十条 非本单位人员进入机房须经本单位负责人同意，并登记注册。第三十一条 借用机房设备、备件、工具及文件、技术资料，必须经电脑部经理同126、意并办理登记手续。第三十二条 机房值班人员每天在工作完成后，应进行退网、断电、防火安全等项检查。第三十三条 业务部门如需加班使用网络服务器等机房设备，需事前通知电脑部。第六章 长城证券有限责任公司营业部电脑部日常工作流程一、 开市前的准备工作1、8：30检查卫星通讯设备、UPS设备、网络设备工作是否正常；检查服务器，ENABLE LOGIN； 打开SQL SERVER；核对服务器时间是否正确。2、前日值班人员向当日值班员交接值班日志，说明注意事项，当日值班员需仔细核查前一日的值班日志及值班日志中标记了异常情况项的相应表格，并确保工作交接过程中没有遗漏。电脑部经理也须核对日志中记载的异常情况，处127、理后签字认可。 3、8：35 确保清空深圳委托接口库(如VSAT目录下Z_WT.DBF、Z_CJ.DBF、Z_CJ2.DBF等)； 确保清空上海委托接口库(如SSEWXOIWOUT目录下的ORDERS.DBF、WTHDRW.DBF、INQ.DBF或WEITUO.DBF、CHAXUN.DBF、CHEXIAO.DBF和REMOTEDBF目录下的QBCJ128.DBF等)； 确保清空深圳B股、上海B股委托接口库（根据各营业部的设置）； 删除SSEWXOIWIN目录下的所有DBF文件； 清空银行转帐接口库。 4、8：40 开启深圳单向、深圳高速单向、深圳双向报盘、上海单向、上海双向报盘程序，开始接受行128、情信息； 开启深圳、上海B股DDN报盘程序，确认通讯正常； 打开资讯系统通信程序； 打开银行转帐通信程序。 5、8：45 确认接收到证券信息后，开启行情分析系统转码机（钱龙、宏汇、金至典、大智慧等等），并注意核对时间、日期；进行柜台交易系统初始化处理。 6、8：50开启机房所有应用系统后台设备。 7、9：00督促有关人员开启自助委托系统。 8、在集合竞价期间（9:159:25）要特别注意： 柜台交易系统自动报盘机是否显示报盘记录； 交易所自动报盘前台机是否显示报盘记录； 钱龙转码后检查大厅各个行情揭示系统工作是否正常； 连接总部的DDN是否正常，B股委托发送是否正常。9、集合竞价结束后（9:2129、59:30）要特别注意： 交易所自动报盘前台机是否显示有成交记录； 柜台系统中是否有能查到成交回报处理显示。 10、9：25连接上海中央登记结公司接收前一日的交易信息数据库（特别注意接收到的特殊数据库如G*等，接收到后马上交给有关部门处理）。二、 开市期间1、 电脑部机房内安排值班人员监视系统运行状态，发现问题及时处理解决。2、 发生技术故障时，及时启动营业部应急计划，并按“长城证券有限责任公司证券营业部技术事故处理制度”办理。3、 打印转发来自深、沪交易所、上级单位及有关协作单位发送来的电子邮件。4、 在营业部范围内巡视检查各电脑设备运行情况，发现问题及时处理。5、 及时为其他部门提供技术支130、持。 三、收市后 1、15：00 收市后，关闭委托申报、成交回报处理工作站。 2、15：30进行行情分析系统收盘作业。3、准备好清算数据后协作助清算员进行清算工作。 4、清算结束后除做好有关每日原始数据的备份工作外，还应注意定期进行系统安全备份。（注意有时需要DISABLE LOGIN，关闭SQL SERVER）。5、 如有必要，建议进行交易系统的“冷备份”。6、备份结束后注意将备份介质异地存放。7、关闭工作站、照明电、空调。若遇节假日应关闭服务器、UPS、HUB、卫星接收机等设备。上班前一天开UPS、HUB电源、启动服务器、卫星接收机，查看系统状态。四、 填写表格 机房值班员按照“长城证券有131、限责任公司证券营业部机房安全管理制度”中“值班与日常管理”规定，根据系统运行、维护情况，每天必须填写“长城证券有限责任公司证券营业部系统运行日志”(附表一)，并根据值班日志中标记了的发生项，认真填写相应表格，且按“长城证券有限责任公司证券营业部技术资料管理制度”妥善保管。注意：1、 应做到清算数据接收完全，如果清算数据有误需及时联系交易所重发清算数据。对于一些只在当日有效次日会被覆盖的数据如ZYE*建议应将之妥善备份。2、 建议应每周至少一次接受深圳对帐库。3、 如遇卫星通讯中断，应首先与卫星公司联系，在其指导下查明原因解决问题，不可擅自关闭卫星接收机。4、 每周应至少进行一次病毒检查工作；每132、月至少一次将历史数据导出备份到只读介质中作为永久保存。第七章 长城证券有限责任公司证券营业部安全操作制度第一条 电脑部应建立完整的信息系统用户访问权限和目录、文件访问属性管理体系，并登记备案。第二条 应采取严密的安全措施防止无关人员进入系统。大户室、营业厅及开放营业区内不得留有闲置外露的网络接口和网线。严禁在客户区使用手提电脑；严禁客户用自带的计算机设备连接到营业部计算机网络上。第三条 数据库管理系统的口令必须按“长城证券有限责任公司证券营业部计算机系统权限管理制度”要求由公司信息技术中心或由其授权的有关人员保管，并定期更换。禁止电脑人员同一人既使用操作系统口令又使用数据库管理系统口令。第四条133、 操作人员应有互不相同的用户名，定期更换操作口令，严禁操作人员泄露自己的操作口令，离岗时及时关闭电脑，不允许分人代为操作。第五条 各岗位操作权限要严格按岗位职责设置，系统管理员应定期检查操作员的权限，由营业部总经理和电脑部经理审定，并报公司信息技术中心批准和备案。第六条 严格执行“长城证券有限责任公司证券营业部电脑部岗位职责”，实行业务与技术相分离。营业部电脑技术人员不得担任清算员从事结算记帐工作。第七条 在系统性能许可的情况下，应启用操作系统提供的安全审计留痕功能。至少应做到对成交回报、与交易所接口数据库和交易数据库的修改，行情数据库的修改，非客户用户的登录与注销等方面的审计。审计至少应记录134、操作的用户（或地址）、时间、具体操作及结果等信息。第八条 应启用柜台交易系统的安全审计留痕功能。第九条 新开用户需按有关规定严格审核。第十条 所有用户的登录必须具有屏蔽中断功能。第十一条 重要岗位、重要用户的登录过程应增加必要的限制措施。第十二条 系统中重要用户的登录应建立必要的限制条件。第十三条 冗余用户要按有关规定及时清理。第十四条 建立和完善技术监管系统。电脑部应协助财务、交易等业务部门定期进行对帐、核对交易数据、清算数据、保证金数据、证券托管数据以及会计数据的正确性、一致性和连续性。第十五条 对数据备份和审计记录建立定期查验制度。第八章 长城证券有限责任公司证券营业部计算机系统权限管理135、制度 管理目标为保证各证券营业部计算机信息系统的稳定和安全运行，防止各种外来的侵扰和破坏，同时为保证对内部操作人员及系统维护人员的管理、制约和监督，保障各项业务的顺利进行，特制定此管理制度。管理范围 此管理办法主要适用于各营业部现行交易系统中的各岗位用户和系统维护用户、操作系统管理员用户和数据库管理员用户等。管理内容第一条 各营业部操作系统（NOVELL、WINDOWS NT、UNIX等）管理员密码、数据库（SQL SERVER、SYBASE等）管理员密码、柜台交易系统超级用户密码由公司信息技术中心或其授权人员掌握、管理。第二条 各营业部系统维护人员首先要对计算机系统中的用户进行清理、简化，清136、除不必要的用户。对工作用户建立明细，防止任何人通过长期闲置用户进入系统。第三条 对于NOVELL系统的管理员用户ADMIN，电脑部经理应在其同一棵树下建立一个维护管理员用户，使其仅对树具有W、M、R、S权限。然后将ADMIN用户密码（密码不得少于9位）交由公司信息技术中心或其授权人员更新后封存。第四条 在日常维护中，系统维护人员使用维护管理员用户进行N0VELL系统的日常维护。如确需要使用N0VELL系统管理员用户时，须经公司信息技术中心或其授权人员批准后方可使用。每次使用后由公司信息技术中心或其授权人员对密码更新后封存。第五条 对于WINDOWS NT系统管理员用户，电脑部经理应建立一个维护137、管理员用户（一般用户），使其能够每日启动系统和进行相应的读操作。然后将管理员用户密码（密码不得少于9位）交公司信息技术中心或其授权人员更新后封存。第六条 在日常维护中，系统维护人员使用维护管理员用户进行WIND0WS NT系统的日常维护。如确需要使用WIND0WS NT系统管理员用户时，须经公司信息技术中心或其授权人员批准后方可应用。每次使用后由公司信息技术中心或其授权人员对密码更新后封存。第七条 对于SQL SERVER 数据库管理员用户、柜台交易系统超级用户，电脑部经理应将其密码（密码不得少于9位）交公司信息技术中心或其授权人员更新后封存。如确需使用SQL SERVER系统管理员用户或柜台138、交易系统超级用户时，须经公司信息技术中心或其授权人员批准后方可使用。每次使用后由公司信息技术中心或其授权人员对密码更新后封存。第八条 对于NOVELL系统。未经公司信息技术中心或其授权人员授权不得在N0VELL系统中添加任何用户、组、组织单元等信息，不得擅自修改任何用户、组、组织单元的权限。第九条 在LOGIN 目录下，须将CX、NLIST、MAP等执行文件移到其他目录中，使其他用户无法了解营业部NOVELL 网络的文件目录结构及NDS组织结构。第十条 在NOVELL 系统中，对于拥有一些较大权限的用户，如钱龙转换、数据转换、日终处理、深沪通讯等用户要指定登录时间、登录站点（网络地址和接点地址139、）。第十二条 在所有服务器工作台上禁止使用远程控制台命令。第十三条 用户登录注册底稿、用户执行的批处理文件都必须屏蔽掉F5、F8、CTRL+C CTRL+BREAK中断。第十四条 对交易系统建立的各柜台操作用户的操作权限，按照技术与业务相分离的原则和技术风险防范的要求作出明确的界定，系统维护人员须会同软件开发公司技术人员对各用户权限定义进行逐一审查。对具有交易系统管理权限和数据库修改权限的用户要特别严格审定，原则上除日结处理和初始化用户外，其他用户尽量不要使用上述权限，并且由业务人员从操作界面进入操作。第十五条 对于文件系统的授权应尽量用组的方式，将拥有相同特性的用户组织起来。但对于组的权限授140、权时需采用最低权限。在组中添加一个新用户时，必须仔细考虑该用户是否需要拥有组的所有权限。组中某些用户需要拥有较大权限时，应在仔细比较后单独授予该用户的权限。（须特别注意对委托库、成交库、行情库的W、C权限的严格控制）第十六条 在系统注册底稿中，不得有指向任何数据库开发工具（包括FOXPRO、POWERBUILDER、SQLPLUS等）的搜索路径，防止网络上其他用户直接使用数据库开发工具对交易系统数据库和交易所传输的数据库进行修改。第十七条 各营业部要根据自身工作环境，定期进行柜台用户操作人员密码的更改，防止发生密码泄露。第十八条 对用户权限定期核查，关闭（DISABLE）或删除暂时不必要的帐号141、。第十九条 及时删除离职人员不必要的帐号。第二十条 公司信息技术中心或其授权人员须对电脑部经理申请使用超级用户的情况建立日志。第二十一条 对使用超级用户的情况建立日志。第九章 长城证券有限责任公司证券营业部病毒防范制度第一条 对计算机病毒的防范应以预防为主，事后处理为辅。第二条 计算机病毒防范工作由公司信息技术中心对所辖各营业部电脑部统一协调组织实施。第三条 营业部应设一名电脑安全专管员，专门负责病毒防范的管理工作，并要求其掌握常见计算机病毒的防护处理知识和必要的技术手段，了解、跟踪当前计算机病毒的流行趋势和有效对策。第四条 营业部使用的防病毒软件，必须是经过公安部门认证的产品，对防病毒软件的142、病毒码必须及时进行升级和更新。第五条 营业部使用的所有有盘工作站，必须按规定安装防病毒软件，并起用软件的定期查毒功能，定期查毒周期不能超过一周；对易受病毒感染的机器：如经常接入INTERNET的有盘站、远程通讯用机，必须启用实时杀毒并每天查毒。第六条 各证券营业部电脑部负责计算机网络的病毒防范，要定期使用网络杀毒软件对营业部网络系统内设备进行杀毒。重要部门的计算机，如行情机、交易用机、财务用机应当做到专人、专管、专用，避免交叉使用。第七条 严禁使用来历不明的光盘、软盘、硬盘，对外来光盘、软盘、硬盘，使用前必须要进行病毒检测，确认无病毒后方可使用。第八条 如果发现工作站感染病毒，必须马上将受感染143、的工作站与计算机网络隔离，防止病毒扩散，同时迅速对网络和所有工作站进行查杀毒。第九条 各部门新增的有盘机，必须经电脑部检查后才能在营业部使用，以防随机带来的病毒。第十条 经常对硬盘上的重要数据文件进行备份，以备受病毒侵害 后，能恢复数据；凡不需再写入的软盘应置成写保护。第十一条 各部应设立上INTERNET网的专用工作站，此站严禁接入内部局域网。第十二条 严禁在与公司总部相联的通讯系统服务器上直接打开或浏览邮件。第十三条 如果病毒发作并造成损失应迅速与公司信息技术中心取得联系，并填写“长城证券有限责任公司证券营业部计算机病毒报告”(附表三)，报公司信息技术中心。第十四条 各营业部电脑部要与公司144、信息技术中心协作，每月月初搜集整理并在内部网上发布当月病毒动态，内容包括当月可能发作的病毒名称、发作日期、可能造成的危害、推荐使用的杀毒软件。第十章 长城证券有限责任公司证券营业部设备管理制度本办法所指计算机设备系指列入固定资产项目的服务器、工作站、台式机、便携机、网络设备、通信设备、打印设备及相关的周边附属设备等。本办法包括计算机设备的购置、使用、实物管理、报废管理等方面。设备购置第一条 对于在公司系统内有广泛需求的计算机设备的购置，如服务器、台式机、便携机、无盘站、大屏、UPS、网络设备、操作系统软件、数据库软件、业务软件等，由公司信息技术中心统一品牌、限价及代理商；营业部个别需求的计算机145、设备，由营业部根据长城证券有限责任公司财务管理制度的有关规定签报公司财务中心与信息技术中心，经公司财务中心与信息技术中心审批后，再自行购置；计算机设备的购置须遵从公司制订的有关技术标准和规范，关键设备必须统一机型。第二条 计算机设备购置须满足如下几方面要求：1. 高效性、可靠性、兼容性、可扩展性；2. 较好的性能价格比；3. 良好的售后服务。第三条 关键设备应备有充足的备件。第四条 凡单价在一万元以上的计算机应用项目，必须报公司信息技术中心批准并备案；费用金额在五万元以上者，须按照长城证券有限责任公司财务管理制度有关规定报公司财务中心审批；同时提交相应的应用项目立项报告，报公司信息技术中心审核146、。第五条 关键设备的购置、总金额在一万元以上的设备购置须制订规范的合同（协议）书。第六条 设备购置合同是经济活动中的法律依据。合同的制订须遵守经济合同法的条款及有关规定，合同（协议）的签订必须由两人以上经办并经主管领导批准。合同（协议）要建档备案。第七条 设备购置合同（协议）应包括以下内容：设备名称、型号、配置标准、产地、单位、数量、单价、合计金额、交货时间、地点、验收标准、付款时间、运保费、保修期限、维修服务、技术支持、培训及违约责任等内容。合同中需更详细明确的条款和内容可用协议方式补充说明。第八条 购置计算机设备时，不得交纳定金、支付预付款。第九条 合同执行过程中，如发生违约或纠纷，营业部147、应及时妥善处理，并上报公司法律中心与信息技术中心。第十条 设备购置手续必须完整，由专人负责验收。验收时必须认真仔细，完成外观检查、数量清点、安装调试、设备试运行等几个方面的验收程序。验收合格后配合办公室及时填写验收单并存档。第十一条 计算机设备验收合格后，技术部门应及时配合办公室办理设备入库手续。第十二条 随机资料、驱动程序、保修卡等应按“长城证券有限责任公司证券营业部技术资料管理制度”妥善保管。设备使用第十三条 计算机设备的使用实行专人负责制，每台设备都应设有保管人。保管人一般由使用人担当，公用设备的保管人由营业部具体指定。根据情况，保管人对设备丢失或因不当使用造成的损坏负责。第十四条 计算148、机设备的使用须严格遵照有关操作规程。第十五条 未经技术部门同意，严禁改变计算机设备的硬件配置。第十六条 未经有关主管部门批准，严禁改变计算机设备的软件设置。第十七条 设备使用中出现故障时，应立即与技术部门联系，不得自行处置。实物管理第十八条 各营业部应设立计算机设备管理员，总体负责计算机设备的实物管理。第十九条 计算机设备管理员负责为每台设备建立设备档案卡。档案卡应包括设备编号、名称、品牌、型号、系列号、配置、附属设备、保管地点、使用人或保管人、现况、维修记录、原值、来源时间等方面内容。第二十条 设备保管人应在设备档案卡上签名。设备保管人变更时，原保管人应及时向设备管理员办理注销手续。第二十一149、条 计算机设备因配置变更导致帐面值变化时，设备管理员应及时向财务部门办理变更手续，并相应变更设备档案卡。第二十二条 计算机设备的维修情况，应在档案卡中予以记录。第二十三条 计算机设备外借，须经本单位主管领导签字批准，并办理登记手续。第二十四条 每年年底前应配合办公室进行本营业部计算机设备的统计清理工作。设备报废第二十五条 计算机设备的报废应依据长城证券有限责任公司财务管理制度的有关规定，严格按照规定的权限及程序进行。第二十六条 有下列情形之一的计算机设备可提出报废申请：1. 折旧期已过，帐面已提足折旧费的计算机设备，其主要部件损坏或一次性修复费超过目前市场同类同档次产品价格30；2. 因过频使150、用自然磨损造成设备部件同步老化，硬件故障发生频繁（有维修记录），无法继续使用；3. 因雷击、火烧、爆炸、水浸、腐蚀、摔压等事故造成设备严重损坏，无法修复或一次性修复费超过目前市场同类同档次产品价格50；第二十七条 计算机设备报废要由技术部门根据第二十六条规定提出报废申请，逐台逐件填写“长城证券有限责任公司 证券营业部计算机设备报废登记表”（附表七），并附该设备的档案卡，报财会等有关部门审批。同时应呈报公司信息技术中心。第二十八条 对于计算机设备的报废审批工作应包括：1. 对申请报废的计算机设备的原固定资产管理中有关帐、卡，以及型号、编号、配置和实物现状继续逐台逐表逐卡核定，做到帐、表、物相符，151、防止差错；2. 按照财务管理办法和有关规定，合理确定报废设备的残值；3. 对存有程序、数据或资料的计算机设备的存储介质进行清除，防止失密；4. 对所报废设备提出合理的处理意见。第二十九条 经批准报废的计算机设备，由技术和财会部门根据长城证券有限责任公司财务管理制度的有关规定处理固定资产管理有关帐、卡，注销帐面价值。第十一章 长城证券有限责任公司证券营业部技术资料管理制度第一条 营业部必须设立一名技术资料专职管理员，全面负责本单位所有技术资料的登记保管工作。 第二条 技术资料系指与信息系统有关的技术文件、图表、程序与数据，包括随机资料、软件资料、技术图书、培训教材和资料、技术合同、网络拓扑图、网152、络布线图、电力布置图、硬件设计方案、卫星天线工程图及技术参数、网络登录底稿、用户权限分配、工作日志、信息系统建设规划、网络设计方案、软件设计方案、安全设计方案，源代码、系统配置参数、技术数据、软件及硬件设备文档等相关资料。第三条 技术资料实行分类管理。第四条 网络设计方案、网络布线图、软件设计方案、安全设计方案、源代码、系统数据说明书、系统权限配置说明书等重要技术资料应有副本并异地存放。第五条 技术资料一律不准外借，切实防止丢失和泄密；借阅、复制技术资料应履行必要的登记手续。第六条 技术资料应实施密期管理，只有在软硬件系统终止使用时，相关的技术资料才能进行报废并销毁。第七条 报废及销毁技术资补153、应由营业部负责人批准，并登记备案。第十二章 长城证券有限责任公司证券营业部软件管理制度第一条 各营业部使用的软件包括系统软件和应用软件，由公司信息技术中心统一选型。第二条 系统软件和应用软件的更换、升级，由公司信息技术中心统一安排。第三条 应用软件在开发或购买之前应正式立项，成立由技术人员、业务人员和管理人员共同组成的项目小组并建立软件质量担保体系。第四条 应用软件在正式投入使用前必须经过内部评审，确认系统功能、测试结果和试运行结果均满足设计要求，技术文档齐全，并经公司分管领导批准。第五条 系统开发、维护岗位必须与业务操作岗位分离，开发环境和现场必须与生产环境和现场隔离。第六条 营业部电脑人员154、不得擅自进行软件维护和系统参数调整。对应用系统的功能模块、参数设置等作任何改动，都必须得到主管领导的批准，并填写相应的“长城证券有限责任公司 证券营业部系统变动登记表”登记备案。第七条 交易时间内，不得更改软件的系统配置参数。第八条 系统软件应达到一定的安全级别（C2或C2以上），并保证其安全功能得到充分、合理的应用。第九条 系统软件、应用软件在投入使用前，应对有关技术人员或业务操作人员进行技术或操作培训，并进行安全教育。第十条 不得安装与正常业务无关的应用软件（含游戏软件），不得安装、使用盗版软件。在生产用机上，不准进行软件的试用、试运行。第十一条 安装软件时，应及时建立技术档案。技术档案应155、包括配置方法、安装档案和使用方法、故障处理等内容。自行开发应用软件的技术档案还应包括程序源代码。第十二条 应严格按“长城证券有限责任公司证券营业部技术资料管理制度”管理软件的相关资料。软件设计方案、数据结构、源代码等，严禁对外泄露。第十三章 长城证券有限责任公司证券营业部数据管理制度 营业部数据管理包括交易业务数据及财务数据管理、系统数据管理两个方面。l 交易业务、财务数据管理第一条 交易业务数据包括交易数据、清算数据和其他相关业务数据。第二条 营业部交易业务、财务数据管理由数据库管理员负责。对交易业务、财务数据实行专人管理。第三条 交易业务、财务数据属于公司机密，不得泄露，禁止外借。查阅交易156、业务、财务数据，必须经营业部总经理批准，并登记备案。第四条 每个交易日结束后，必须进行交易业务数据备份。备份应分为两个步骤进行：第一、使用合适的存储介质完成数据备份；第二、在备份服务器上使用当天交易业务数据备份进行数据恢复，以检验备份数据的正确性和完整性。每月结束后，必须对财务数据进行备份。第五条 备份数据的存放应该注意防火、防盗。建议配备防火保险柜用于备份数据的存放。第六条 应定期将交易业务数据转储到不可更改的存储介质上，进行异地存放。异地存放是指将备份数据存放到另外的建筑物内，存放地点必须有严格的防火、防盗措施。第七条 定期检查备份介质是否失效，并检查备份数据的完整性和有效性。第八条 营业157、部信息系统内应保存一年以上交易业务数据。l 系统数据管理第九条 系统数据主要包括数据字典、权限设置、存储分配、网络地址、硬件配置及其他系统配置参数。第十条 应分项建立“系统数据说明书”，详细描述计算机系统软硬件、网络管理、用户管理的规划、配置情况。第十一条 系统数据管理由操作系统管理员专人负责。操作系统管理员必须及时、准确地对系统数据进行补充、修改、核对。第十二条 电脑人员不得擅自进行系统参数调整。对系统功能模块、参数设置等作任何改动，都必须得到主管领导的批准，并相应填写“长城证券有限责任公司 证券营业部数据维护记录表”（附表八）登记备案。第十三条 “系统数据说明书”为公司机密文档，必须按“长158、城证券有限责任公司证券营业部技术资料管理制度”实施严格的安全、保密管理，防止系统数据的非法生成、变更、泄漏、丢失与破坏。第十四章 长城证券有限责任公司证券营业部技术事故处理规定第一条 技术事故是指由于硬件故障、软件故障、操作失误等原因，引起系统无法运行，导致交易中断并造成交易损失，或对客户或营业部造成经济损失的事件。第二条 技术事故的防范原则是：预防为主、处理及时，力争把事故的损失降低到最低程度。第三条 应建立健全的技术事故防范对策，制订出完善的技术事故应急计划： 1、应急计划必须形成文字，并张贴在规定的地方; 2、应急计划应针对可能发生故障的各个技术环节; 3、应急计划应定期演练，保证相关人159、员熟练掌握； 4、根据演练结果不断完善应急计划。第四条 为有效防范技术事故，必须做好系统备份工作；包括交易和行情服务器系统备份、关键网络设备备份、通讯设备备份、通讯线路备份、工作站备份等方面。第五条 应定期检查、启动备份系统，保证其处于良好的可用状态。第六条 在发生技术故障时，应快速确定故障范围，并据此启动相应的应急计划。第七条 技术故障发生后，及时做好以下工作： 1、应及时报告公司信息技术中心。对产生较大影响的技术事故还应紧急通报当地证管部门，及当地政府部门与公安部门，以便协调处理。 2、应及时与相关的系统集成商或设备供应商联系，以寻求技术、设备支持。 3、应切实做好对股民的解释与疏导工作，160、尽量避免过激情绪或行为的发生。 4、在条件许可的情况下，应尽量保护好现场，以便进行事故鉴定。 5、公司信息技术中心应及时组织事故调查，提交书面调查报告，必要时可组织有关专家进行鉴定，确定事故原因和责任。 6、有关营业部应认真总结经验教训，针对存在的薄弱环节，限期整改。并认真填写“长城证券有限责任公司证券营业部电脑系统故障备案表”（附表六）登记备案，且上报公司信息技术中心。 第十五章 附 则第一条 本制度自印发之日起执行。此前颁布的有关规定中与本制度不一致的，以本制度为准。第二条 本制度修改、解释权归公司信息技术中心。附表一：长城证券有限责任公司_营业部系统运行日志（注：附件一为广州营业部使用的161、系统运行日志，可以此为范本，根据本营业部的实际情况进行修改）附表二：长城证券有限责任公司_营业部清算日志（注：附件二为广州营业部使用的清算日志，可以此为范本，根据本营业部的实际情况进行修改）附表三：长城证券有限责任公司_营业部计算机病毒报告填报人： 填报日期：营业部名称病毒名称发作时间发作现象损失情况补救措施备注注：病毒发作后4小时内此表必须报送到公司信息技术中心。附表四：长城证券有限责任公司_营业部系统变动登记表日期：_ 填表人：_系统名称申请变动部门申请日期及时间执行日期及时间变动原因处理过程处理结果变动后系统运行状况变动执行人签字变动申请人签字电脑部经理签字营业部主管总经理意见附表五：长162、城证券有限责任公司_营业部外部单位维护记录表日期：_ 填表人：_外部单位名称维护人受维护系统名称子系统名称维护方式现场维护 远程网络维护 维护方指导，我方具体操作维护原因维护日期及时间系统变动情况维护结果维护人签字（非现场维护时由电脑部经理代签）我方配合维护人员签字电脑部经理签字营业部主管总经理意见附表六：长城证券有限责任公司_营业部电脑系统故障备案表编号：2001xxx号 故障时间2001年xx 月xx 日xx 时 xx 分故障恢复时间2001 年xx 月xx 日xx 时 xx分故障发现人故障现象故障处理过程故障原因故障责任人教训总结经济损失营业部电脑部经理意见 签字营业部总经理意见 签字（163、盖章）开发商意见 签字信息中心意见 签字注：本表仅限于内部使用，严禁泄露，可附页。附表七：长城证券有限责任公司_营业部计算机设备报废登记表登记日期： 年 月 日 登记编号： 设备名称 规格型号 出厂编号 基本配置 附件资料 设备来源 购置日期 原始价值 折旧年限 使用单位 设备编号 折旧上限 申请 报废 原因 使用 部门 意见（签字盖章） 技术 部门 意见（签字盖章） 残余价值 介质信息清除否 报废设备处理建议* 登记编号由设备所有权单位按有关编码标准自行编制。* 设备来源包括自购、调拨、租赁、赠送等。* 设备编号指本单位设备管理编号。 附表八：长城证券有限责任公司_营业部数据维护记录表日期：_ 填表人：_数据所属系统名称待维护数据名称维护日期及时间_年_月_日_时维护原因变更内容处理结果维护人签字电脑部经理签字营业部主管总经理意见注：本表所指数据，系指操作系统与应用系统设置参数、初始化参数等清算业务数据之外其他数据。