【正文】 營(yíng)業(yè)部信息系統(tǒng)安全運(yùn)行。安全策略第八條 計(jì)算機(jī)信息系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵守法律、行政法規(guī)和國(guó)家其他有關(guān)規(guī)定。第九條 對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，營(yíng)業(yè)部電腦人員即時(shí)向營(yíng)業(yè)部總經(jīng)理匯報(bào)，并于24小時(shí)內(nèi)向總部信息技術(shù)中心報(bào)告。第十條 通過(guò)對(duì)信息系統(tǒng)環(huán)境、軟件、硬件、網(wǎng)絡(luò)和通信、用戶和權(quán)限、規(guī)范化操作、病毒防范、備份和恢復(fù)手段以及安全審計(jì)等的有效管理，維護(hù)公司整個(gè)計(jì)算機(jī)環(huán)境的一致性。 第十一條 建立一個(gè)多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。第十二條 對(duì)公司員工進(jìn)行計(jì)算機(jī)安全教育，提高員工的安全意識(shí)，是公司安全策略的重要組成部分。第十三條 營(yíng)業(yè)部安全管理小組必須定期對(duì)本營(yíng)業(yè)部的主要計(jì)算機(jī)信息系統(tǒng)資源配置、技術(shù)人員構(gòu)成進(jìn)行登記，并報(bào)公司安全管理委員會(huì)備案。第十四條 公司安全管理委員會(huì)及營(yíng)業(yè)部安全管理小組應(yīng)當(dāng)對(duì)公司總部和各營(yíng)業(yè)部重要崗位計(jì)算機(jī)信息系統(tǒng)的安全情況經(jīng)常進(jìn)行檢查，并及時(shí)整改不安全隱患。第十五條 公司安全管理委員會(huì)應(yīng)當(dāng)建立廢棄數(shù)據(jù)、介質(zhì)的處理制度。第十六條 公司總部和各營(yíng)業(yè)部啟用新的應(yīng)用軟件，應(yīng)當(dāng)按《軟件開發(fā)管理制度（試行）》中有關(guān)規(guī)定業(yè)務(wù)系統(tǒng)，并做好日志記錄。第十七條 公司安全管理委員會(huì)應(yīng)當(dāng)建立嚴(yán)格的密鑰管理制度和在緊急情況下銷毀密鑰的手段和措施，以防止密鑰的失密。 安全監(jiān)督第十八條 公司安全管理委員會(huì)對(duì)公司內(nèi)部計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作行使下列監(jiān)督職權(quán)：監(jiān)督、檢查、指導(dǎo)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作；查處危害計(jì)算機(jī)信息系統(tǒng)安全的事件；組織或委托有關(guān)部門對(duì)新建、改建和擴(kuò)建的系統(tǒng)進(jìn)行安全驗(yàn)收，負(fù)責(zé)系統(tǒng)安全技術(shù)檢測(cè)工作；組織開展系統(tǒng)安全競(jìng)賽和評(píng)比；負(fù)責(zé)通報(bào)表彰和處罰；履行計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的其他監(jiān)督職責(zé)。第十九條 公司安全管理委員會(huì)發(fā)現(xiàn)影響計(jì)算機(jī)信息系統(tǒng)安全的隱患時(shí)，應(yīng)當(dāng)及時(shí)通知公司各有關(guān)部門和各營(yíng)業(yè)部采取安全保護(hù)措施。第二十條 公司安全管理委員會(huì)在緊急情況下，可以就涉及計(jì)算機(jī)信 息系統(tǒng)安全的特定事項(xiàng)發(fā)布專項(xiàng)通知。 安全管理第一節(jié) 信息系統(tǒng)環(huán)境的安全管理 第二十一條 信息系統(tǒng)環(huán)境的安全管理按照公司《計(jì)算機(jī)房管理制度》及《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》執(zhí)行。第二節(jié) 軟件安全管理 第二十二條 總部信息技術(shù)中心依據(jù)公司《軟件開發(fā)管理制度》對(duì)系統(tǒng)軟件、應(yīng)用軟件的開發(fā)、購(gòu)買、測(cè)試和使用等環(huán)節(jié)進(jìn)行管理。 第二十三條 軟件的開發(fā)和采購(gòu)報(bào)告必須包括安全設(shè)計(jì)的說(shuō)明，其安全設(shè)計(jì)必須符合《軟件開發(fā)管理制度》的有關(guān)規(guī)定。 第二十四條 信息技術(shù)人員應(yīng)按照信息技術(shù)中心下發(fā)的安裝配置方法對(duì)系統(tǒng)軟件進(jìn)行統(tǒng)一的安裝配置。 第二十五條 信息系統(tǒng)的安全漏洞一經(jīng)發(fā)現(xiàn)應(yīng)及時(shí)報(bào)告公司安全管理委員會(huì)。第二十六條　信息技術(shù)中心應(yīng)與軟件開發(fā)商和供應(yīng)商保持聯(lián)系，及時(shí)取得并組織安裝經(jīng)過(guò)測(cè)試的安全補(bǔ)丁。第二十七條 軟件使用部門根據(jù)業(yè)務(wù)需要提出增添新的應(yīng)用軟件或?qū)σ延袘?yīng)用軟件提出新的功能要求，須以部門名義向信息技術(shù)中心填寫《軟件需求報(bào)告表》， 信息技術(shù)中心在收到《軟件需求報(bào)告表》（附表5）后，三天之內(nèi)給予書面答復(fù)。第二十八條 新購(gòu)置的軟件需經(jīng)信息技術(shù)中心測(cè)試和試運(yùn)行。試運(yùn)行完成后，試用人員應(yīng)填寫《軟件驗(yàn)收?qǐng)?bào)告表》（附表6）報(bào)信息技術(shù)中心領(lǐng)導(dǎo)審核，信息技術(shù)中心在收到報(bào)告后三天內(nèi)予以回復(fù)。測(cè)試穩(wěn)定后由信息技術(shù)中心統(tǒng)一分發(fā)安裝使用。第二十九條 自行開發(fā)的應(yīng)用軟件，如源程序中需要嵌入數(shù)據(jù)庫(kù)訪問的用戶設(shè)置，應(yīng)由數(shù)據(jù)管理員得到源程序、制作安裝盤。該安裝盤與購(gòu)置的應(yīng)用軟件安裝盤一并由檔案管理員保管，由應(yīng)用系統(tǒng)維護(hù)人員調(diào)用安裝。第三節(jié) 計(jì)算機(jī)及相關(guān)設(shè)備的安全管理 第三十條 總部信息技術(shù)中心配合行政部及財(cái)務(wù)部依據(jù)公司《電子與通訊設(shè)備固定資產(chǎn)管理制度》對(duì)計(jì)算機(jī)及相關(guān)設(shè)備的選型、采購(gòu)等過(guò)程進(jìn)行管理。 第三十一條 重要的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備應(yīng)放置在機(jī)房，通過(guò)《計(jì)算機(jī)房管理制度》保證其物理安全性。 第三十二條 重要的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備應(yīng)有備品備件，出現(xiàn)問題及時(shí)更換。 第三十三條 對(duì)服務(wù)器及其資源的管理： 　　　　 對(duì)資源共享權(quán)限和NTFS訪問權(quán)限進(jìn)行嚴(yán)格、有效的管理，不授予用戶超出需要的權(quán)限，權(quán)限的設(shè)置必須有明確的依據(jù)； 　　　　 制定方案，對(duì)敏感資源的操作、系統(tǒng)登錄情況進(jìn)行定期或不定期檢查，及時(shí)查看L系統(tǒng)日志文件，對(duì)ALERT相關(guān)日志提示作出及時(shí)響應(yīng)； 　　　　 提供遠(yuǎn)程訪問和對(duì)外WEB服務(wù)的服務(wù)器不存放敏感數(shù)據(jù)；對(duì)一些系統(tǒng)程序(如Telnet、ftp等)的使用應(yīng)加強(qiáng)控制；停止服務(wù)器上不必要的服務(wù)；盡量減少所使用的協(xié)議。第三十四條 對(duì)貯有重要數(shù)據(jù)的故障設(shè)備，交外單位人員修理時(shí)，公司總部及各營(yíng)業(yè)部必須派專人在場(chǎng)監(jiān)督。第四節(jié) 網(wǎng)絡(luò)和通信系統(tǒng)的安全管理第三十五條 計(jì)算機(jī)通信系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵守法律、行政法規(guī)和國(guó)家其他有關(guān)規(guī)定，并建立一個(gè)多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。第三十六條 采用新的網(wǎng)絡(luò)安全軟件、設(shè)備和技術(shù)保證公司網(wǎng)絡(luò)的安全。 第三十七條 采用數(shù)據(jù)加密技術(shù)保證數(shù)據(jù)安全傳輸?？偛亢蜖I(yíng)業(yè)部間業(yè)務(wù)數(shù)據(jù)的傳輸應(yīng)加密后采用數(shù)據(jù)專線進(jìn)行傳輸。并采用PPP協(xié)議中PAP、CHAP相應(yīng)的認(rèn)證。第三十八條 總部和營(yíng)業(yè)部間業(yè)務(wù)數(shù)據(jù)的傳輸應(yīng)加密后采用數(shù)據(jù)專線進(jìn)行傳輸。第三十九條 通信設(shè)備應(yīng)具有防干擾、防截取能力。主要的通信設(shè)備應(yīng)做到設(shè)備備份。第四十條 通信線路接口部分應(yīng)采取防止非法進(jìn)入的安全措施。第四十一條 進(jìn)行密碼設(shè)置，并進(jìn)行密碼的專職保管，防范通信線路接口部分的采取非法進(jìn)入。第四十二條 公司總部及營(yíng)業(yè)部應(yīng)當(dāng)對(duì)公司總部和各營(yíng)業(yè)部通信系穩(wěn)定、安全情況進(jìn)行定期檢查，并及時(shí)整改不安全隱患。第四十三條 對(duì)通信系統(tǒng)中發(fā)生的案件，營(yíng)業(yè)部電腦人員即時(shí)向營(yíng)業(yè)部總經(jīng)理匯報(bào)，并于即時(shí)與總部信息技術(shù)中心相關(guān)人員聯(lián)系，雙方合作盡快解決問題。第四十四條 總部信息技術(shù)中心設(shè)崗位職責(zé)，分別負(fù)責(zé)公司廣域網(wǎng)連接方案、網(wǎng)絡(luò)安全方案的實(shí)施，對(duì)總部局域網(wǎng)、公司廣域網(wǎng)連接、各類移動(dòng)連接、Internet接入設(shè)備進(jìn)行管理，以及其它保證網(wǎng)絡(luò)連接安全穩(wěn)定的日常事務(wù)性工作。第四十五條 營(yíng)業(yè)部的局域網(wǎng)管理、營(yíng)業(yè)部與交易所、登記公司、公司總部的通訊連接由營(yíng)業(yè)部電腦部負(fù)責(zé)。營(yíng)業(yè)部柜臺(tái)交易系統(tǒng)管理員由營(yíng)業(yè)部總經(jīng)理?yè)?dān)任。第四十六條 營(yíng)業(yè)部與交易所的衛(wèi)星通信均應(yīng)做到伙伴備份或isdn或ddn的備份。對(duì)上海報(bào)盤應(yīng)做到總部備份。對(duì)以上備份系統(tǒng)做到定期測(cè)試，保證通信無(wú)誤。第四十七條 為了安全期間，營(yíng)業(yè)部與營(yíng)業(yè)部之間應(yīng)限制相互間的直接操作。第五節(jié) 數(shù)據(jù)訪問的安全管理第四十八條 由于審計(jì)、數(shù)據(jù)庫(kù)故障調(diào)試等原因，需要訪問數(shù)據(jù)庫(kù)時(shí)，應(yīng)創(chuàng)建臨時(shí)用戶、賦予適當(dāng)?shù)臋?quán)限，并交由審計(jì)人員、應(yīng)用系統(tǒng)維護(hù)人員使用，并在使用完畢后及時(shí)刪除該臨時(shí)用戶。在技術(shù)允許的條件下，應(yīng)限制用戶的登錄工作站。第四十九條 對(duì)于涉及業(yè)務(wù)、財(cái)務(wù)方面的數(shù)據(jù)庫(kù)，應(yīng)利用數(shù)據(jù)庫(kù)系統(tǒng)的訪問跟蹤記錄功能，設(shè)置對(duì)應(yīng)用系統(tǒng)、調(diào)試用戶、超級(jí)用戶訪問數(shù)據(jù)庫(kù)的命令進(jìn)行跟蹤，記錄到監(jiān)控日志文件中。定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時(shí)通報(bào)。第五節(jié) 管理員及其職責(zé) 　第五十條 總部信息技術(shù)中心設(shè)系統(tǒng)管理員崗位，負(fù)責(zé)公司信息系統(tǒng)的管理，包括服務(wù)器的規(guī)劃、安裝和配置，啟動(dòng)/停止系統(tǒng)和服務(wù)，對(duì)系統(tǒng)運(yùn)行狀態(tài)和入侵企圖進(jìn)行監(jiān)控，安裝/刪除軟件，增加/刪除/修改用戶和用戶組，對(duì)用戶/用戶組的權(quán)限進(jìn)行設(shè)置和修改，以及其它保持系統(tǒng)發(fā)展和安全運(yùn)行的工作。 　　　　　 管理員應(yīng)采取的安全措施有： 　　　　　由于管理員組和備份組成員擁有對(duì)SAM數(shù)據(jù)庫(kù)的權(quán)限，所以必須嚴(yán)格限制管理員組和備份組成員資格，并加強(qiáng)對(duì)這些帳戶的審計(jì)； 　　　　　改變Administrator帳戶名，為管理員和備份操作員創(chuàng)建專用帳號(hào)，為特定的工作建立專用的帳號(hào)，要求在執(zhí)行相應(yīng)的管理任務(wù)時(shí)使用相應(yīng)的帳號(hào)，操作結(jié)束時(shí)及時(shí)注銷； 　　　　　關(guān)閉管理員以及特殊權(quán)限用戶的遠(yuǎn)程訪問能力，特殊情況可以采用預(yù)設(shè)電話號(hào)碼的回?fù)芊绞剑? 　　　　　 管理員組、備份組成員帳戶不能用于瀏覽WEB。 第五十一條 總部信息技術(shù)中心設(shè)數(shù)據(jù)管理員崗位，負(fù)責(zé)總部數(shù)據(jù)的安全管理和維護(hù)，具體職責(zé)見《信息系統(tǒng)安全管理制度》第十三節(jié)“總部數(shù)據(jù)管理員職責(zé)細(xì)則”。第五十二條 總部信息技術(shù)中心設(shè)網(wǎng)絡(luò)管理員崗位，負(fù)責(zé)公司廣域網(wǎng)連接方案、網(wǎng)絡(luò)安全方案的實(shí)施，對(duì)總部局域網(wǎng)、公司廣域網(wǎng)連接、各類移動(dòng)連接、Internet接入設(shè)備進(jìn)行管理，以及其它保證網(wǎng)絡(luò)連接安全穩(wěn)定的日常事務(wù)性工作。 第五十三條 營(yíng)業(yè)部的局域網(wǎng)管理、營(yíng)業(yè)部與交易所、登記公司、公司總部的通訊連接由營(yíng)業(yè)部電腦部負(fù)責(zé)。營(yíng)業(yè)部柜臺(tái)交易系統(tǒng)管理員由營(yíng)業(yè)部總經(jīng)理?yè)?dān)任。 第五十四條 公司設(shè)立財(cái)務(wù)系統(tǒng)管理員崗位，財(cái)務(wù)系統(tǒng)管理員一般由財(cái)務(wù)部經(jīng)理?yè)?dān)任。第六節(jié) 用戶、組及其權(quán)限 第五十五條 系統(tǒng)管理員根據(jù)公司業(yè)務(wù)要求建立具有不同權(quán)限的用戶組，包括系統(tǒng)管理權(quán)限、系統(tǒng)和數(shù)據(jù)備份權(quán)限、帳號(hào)管理權(quán)限、各種數(shù)據(jù)庫(kù)訪問權(quán)限、不同的文件訪問權(quán)限、各種應(yīng)用程序使用權(quán)限、網(wǎng)絡(luò)打印權(quán)限、遠(yuǎn)程訪問權(quán)限、Internet訪問權(quán)限等。第五十六條 總部系統(tǒng)管理員應(yīng)依據(jù)總部行政部的書面通知，完成新增/刪除用戶、分配權(quán)限的工作，并用郵件方式回復(fù)。上述通知應(yīng)包括需要新增/刪除的用戶的姓名、工作的部門、需要使用何種應(yīng)用等。第五十七條 營(yíng)業(yè)部因人員新增調(diào)動(dòng)、離職等需對(duì)郵件等用戶作出調(diào)整的，由營(yíng)業(yè)部辦公室主任通知信息技術(shù)中心。第五十八條 營(yíng)業(yè)部交易系統(tǒng)管理員新增/刪除柜臺(tái)用戶或?qū)τ脩魴?quán)限進(jìn)行分配應(yīng)有文字記錄。對(duì)股票、資金等參數(shù)進(jìn)行調(diào)整的非正常業(yè)務(wù)操作必須填寫書面說(shuō)明，而且必須由營(yíng)業(yè)部總經(jīng)理及財(cái)務(wù)部經(jīng)理共同批準(zhǔn)后方能執(zhí)行。 第五十六條 營(yíng)業(yè)部技術(shù)人員在應(yīng)用系統(tǒng)中的權(quán)限應(yīng)只限于系統(tǒng)管理，而無(wú)業(yè)務(wù)操作權(quán)限。第五十九條 對(duì)用戶及權(quán)限管理應(yīng)按以下原則執(zhí)行： 　　　　　應(yīng)對(duì)具有系統(tǒng)管理、數(shù)據(jù)庫(kù)管理等特殊權(quán)限的用戶進(jìn)行限制，包括僅允許在機(jī)房和自己的工作地點(diǎn)登錄，同一時(shí)間僅允許同一用戶登錄一次允許遠(yuǎn)程訪問時(shí)必須設(shè)定回?fù)芊绞降龋? 　　　　　盡可能對(duì)組而不是對(duì)用戶授權(quán)； 　　　　　杜絕無(wú)口令的登錄帳戶，刪除GUEST帳戶； 　　　　　對(duì)口令長(zhǎng)度、復(fù)雜程度、有效期、重復(fù)使用的間隔等進(jìn)行規(guī)定； 　　　　　及時(shí)鎖定過(guò)期帳戶、暫停使用的帳戶、多次試圖使用無(wú)效口令登錄的帳戶，臨時(shí)授權(quán)帳戶必須及時(shí)取消； 　　　　　一般不設(shè)公用帳戶，以保證用戶有獨(dú)立的帳戶； 　　　　　對(duì)使用時(shí)間進(jìn)行限制； 　　　　　超時(shí)鎖定； 　　　　　對(duì)無(wú)法設(shè)置口令的用戶及公用帳戶應(yīng)加強(qiáng)登錄時(shí)間、登錄地點(diǎn)、登錄數(shù)目的限制，對(duì)自動(dòng)執(zhí)行批處理命令的用戶應(yīng)有防中斷措施； 　　　 　權(quán)限變更或交接應(yīng)有文字記載。 第六十條 對(duì)使用公司網(wǎng)絡(luò)訪問Internet，使用打印機(jī)等的用戶實(shí)行嚴(yán)格管理。第七節(jié) 操作的規(guī)范化管理 第六十一條 總部和營(yíng)業(yè)部應(yīng)分別制定操作規(guī)程，并定期修改。 第六十二條 禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫(kù)管理系統(tǒng)口令。 第六十三條 公司員工應(yīng)有互不相同的用戶名，定期兩個(gè)月更換操作口令。第六十四條 一般用戶口令長(zhǎng)度不得少于6位，不使用小鍵盤的人員編制口令應(yīng)做到字符與數(shù)字混排，不得使用電話號(hào)碼、生日等作為口令；系統(tǒng)管理員口令不得少于10位。 第六十五條 嚴(yán)禁泄露自己的口令，必須啟用系統(tǒng)軟件提供的安全審計(jì)留痕功能。 第六十六條 各崗位操作權(quán)限要嚴(yán)格按崗位職責(zé)設(shè)置，管理員不得超越用戶職責(zé)授權(quán)。管理員應(yīng)定期檢查操作員的權(quán)限。 第六十七條 營(yíng)業(yè)部總經(jīng)理應(yīng)及時(shí)審計(jì)交易系統(tǒng)柜員所做的操作，重要崗位的登錄過(guò)程應(yīng)增加必要的限制措施。 第六十八條 柜臺(tái)交易系統(tǒng)技術(shù)參數(shù)的調(diào)整由電腦部經(jīng)理負(fù)責(zé)；交易業(yè)務(wù)參數(shù)的調(diào)整由財(cái)務(wù)部經(jīng)理在履行審批手續(xù)后實(shí)施，禁止電腦技術(shù)人員調(diào)整業(yè)務(wù)參數(shù)。 第六十九條 營(yíng)業(yè)部電腦技術(shù)人員可以協(xié)助但不得擔(dān)任清算員從事結(jié)算記帳工作。有關(guān)數(shù)據(jù)需打印存檔的必須使用連續(xù)的打印紙。 第七十條 建立和完善技術(shù)監(jiān)管系統(tǒng)，定期進(jìn)行獨(dú)立的對(duì)帳，核對(duì)交易數(shù)據(jù)、清算數(shù)據(jù)、保證金數(shù)據(jù)、證券托管數(shù)據(jù)以及會(huì)計(jì)數(shù)據(jù)的一致性和連續(xù)性。第七十一條 對(duì)數(shù)據(jù)備份和審計(jì)記錄建立定期查驗(yàn)制度。第八節(jié) 病毒防范 第七十二條 信息技術(shù)中心應(yīng)指定專人負(fù)責(zé)計(jì)算機(jī)病毒防范工作?？偛考盃I(yíng)業(yè)部應(yīng)定期進(jìn)行病毒檢測(cè)，發(fā)現(xiàn)病毒立即處理并報(bào)告。重要部門的計(jì)算機(jī)應(yīng)當(dāng)指定專人專管計(jì)算機(jī)病毒防范工作。 第七十三條 總部和營(yíng)業(yè)部必須配備公安部認(rèn)可的正版防病毒軟件并及時(shí)更新軟件版本。 第七十四條 經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過(guò)檢測(cè)確認(rèn)無(wú)病毒后方可使用。 第七十五條 禁止運(yùn)行未經(jīng)信息技術(shù)中心審核批準(zhǔn)的軟件。 第七十六條 新系統(tǒng)安裝前應(yīng)進(jìn)行病毒例行檢測(cè)，避免使用盜版軟件。 第七十七條 嚴(yán)格限制軟驅(qū)和光驅(qū)的使用，軟驅(qū)和光驅(qū)的使用按《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》的有關(guān)條款執(zhí)行。第七十八條 在使用modem與外界通訊或能夠訪問Internet的計(jì)算機(jī)上應(yīng)安裝病毒實(shí)時(shí)監(jiān)控軟件。第七十九條 因計(jì)算機(jī)病毒引起的計(jì)算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時(shí)向信息技術(shù)中心領(lǐng)導(dǎo)及電腦安全管理小組報(bào)告。第八十條 公司總部員工須與信息技術(shù)中心簽定《電腦安全承諾書》后，才能領(lǐng)用和使用辦公電腦。第九節(jié) 備份第八十一條 按照《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》的有關(guān)規(guī)定對(duì)系統(tǒng)進(jìn)行備份。第八十二條 營(yíng)業(yè)部必須