【正文】 傳輸。第四十五條 營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負(fù)責(zé)。第四十九條 對于涉及業(yè)務(wù)、財務(wù)方面的數(shù)據(jù)庫，應(yīng)利用數(shù)據(jù)庫系統(tǒng)的訪問跟蹤記錄功能，設(shè)置對應(yīng)用系統(tǒng)、調(diào)試用戶、超級用戶訪問數(shù)據(jù)庫的命令進行跟蹤，記錄到監(jiān)控日志文件中。 第五十四條 公司設(shè)立財務(wù)系統(tǒng)管理員崗位，財務(wù)系統(tǒng)管理員一般由財務(wù)部經(jīng)理擔(dān)任。第五十九條 對用戶及權(quán)限管理應(yīng)按以下原則執(zhí)行： 　　　　　應(yīng)對具有系統(tǒng)管理、數(shù)據(jù)庫管理等特殊權(quán)限的用戶進行限制，包括僅允許在機房和自己的工作地點登錄，同一時間僅允許同一用戶登錄一次允許遠程訪問時必須設(shè)定回?fù)芊绞降龋? 　　　　　盡可能對組而不是對用戶授權(quán)； 　　　　　杜絕無口令的登錄帳戶，刪除GUEST帳戶； 　　　　　對口令長度、復(fù)雜程度、有效期、重復(fù)使用的間隔等進行規(guī)定； 　　　　　及時鎖定過期帳戶、暫停使用的帳戶、多次試圖使用無效口令登錄的帳戶，臨時授權(quán)帳戶必須及時取消； 　　　　　一般不設(shè)公用帳戶，以保證用戶有獨立的帳戶； 　　　　　對使用時間進行限制； 　　　　　超時鎖定； 　　　　　對無法設(shè)置口令的用戶及公用帳戶應(yīng)加強登錄時間、登錄地點、登錄數(shù)目的限制，對自動執(zhí)行批處理命令的用戶應(yīng)有防中斷措施； 　　　 　權(quán)限變更或交接應(yīng)有文字記載。管理員應(yīng)定期檢查操作員的權(quán)限?？偛考盃I業(yè)部應(yīng)定期進行病毒檢測，發(fā)現(xiàn)病毒立即處理并報告。第七十九條 因計算機病毒引起的計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時向信息技術(shù)中心領(lǐng)導(dǎo)及電腦安全管理小組報告。第八十八條 對于某個具體的備份對象，原則上應(yīng)僅選擇一種備份方式和備份介質(zhì)實施備份。第九十三條 備份介質(zhì)的調(diào)用程序因日常備份操作、檢查備份、數(shù)據(jù)查詢等要求，需要調(diào)用檔案管理員保管的備份介質(zhì)，應(yīng)分以下幾種情況執(zhí)行調(diào)用程序： 備份由總部檔案室保管，則須填寫《備份介質(zhì)調(diào)用申請表》（見附表10），由信息技術(shù)中心總經(jīng)理、公司總裁或分管信息技術(shù)中心的副總裁簽字后，從檔案管理員處領(lǐng)取，在使用完畢后按期交回； 備份密封后由信息技術(shù)中心檔案管理員保管，則須填寫《備份介質(zhì)調(diào)用申請表》（見附表10），由信息技術(shù)中心總經(jīng)理簽字后，從檔案管理員處領(lǐng)取，在使用完畢后按期交回； 如備份由備份管理員放置于臨時保管箱內(nèi)，則須填寫《備份介質(zhì)調(diào)用申請表》，由檔案管理員簽字即可領(lǐng)取。第一百零一條 安全事故分成A、B、C三類，其中A類指對交易產(chǎn)生直接影響的事故；B類指未影響交易但造成一定經(jīng)濟損失的事故；C類指未影響交易也未造成經(jīng)濟損失，但構(gòu)成系統(tǒng)安全隱患的事故。參加過應(yīng)用系統(tǒng)開發(fā)的人員，不得擔(dān)任相應(yīng)系統(tǒng)的管理員。第一百一十四條 制定備份策略，對數(shù)據(jù)文件和數(shù)據(jù)庫進行備份。第一百二十一條 采用相宜的預(yù)防措施，保持?jǐn)?shù)據(jù)的完整、準(zhǔn)確、及時、可用；數(shù)據(jù)管理者應(yīng)承擔(dān)保存或處理數(shù)據(jù)的保護職責(zé)，防止數(shù)據(jù)的丟失、誤用或破壞；特殊或重要數(shù)據(jù)，應(yīng)采用多種記錄手段 異地保存，免遭意外風(fēng)險。它是一系列安全性能的集合，這些性能都與數(shù)據(jù)能被系統(tǒng)正確提供給目標(biāo)實體有關(guān)。 數(shù)據(jù)安全管理的具體辦法第一百三十條 口令及權(quán)限限制：營業(yè)部的電腦部應(yīng)指定一人為第一責(zé)任人，由第一責(zé)任人掌管超級用戶口令，第一責(zé)任人必須定期修改超級用戶口令，如一月修改一次，并將口令密封后報公司電腦部備案。對連續(xù)多次無效存取進行強制結(jié)束。第一百三十八條 數(shù)據(jù)保密:為防止數(shù)據(jù)的非法使用、修改、丟失，和由于數(shù)據(jù)不正當(dāng)?shù)陌l(fā)布而引起的對營業(yè)部不利的局面的產(chǎn)生，營業(yè)部做到以下保密措施： 備份的數(shù)據(jù)、打印出的數(shù)據(jù)必須指定專人負(fù)責(zé)保管，由營業(yè)部計算機房工作人員按規(guī)定的方法同數(shù)據(jù)保管負(fù)責(zé)人進行數(shù)據(jù)的交接。第四章　計算機設(shè)備（軟件）購置管理第一條 計算機設(shè)備主要是指硬件設(shè)備包括主機（微機、服務(wù)器、工 作站等）及外圍設(shè)備（顯示設(shè)備、打印設(shè)備、電源設(shè)備、機房設(shè)備等）、網(wǎng)絡(luò)通訊設(shè)備（交換機、路由器、集線器、調(diào)制解調(diào)器）及存儲設(shè)備等；軟件是指系統(tǒng)軟件、數(shù)據(jù)庫軟件、開發(fā)工具軟件、開發(fā)平臺軟件及業(yè)務(wù)應(yīng)用軟件等。經(jīng)招標(biāo)方式選定后統(tǒng)一購買，供各部室、中心及營業(yè)部使用。驗收時必須認(rèn)真仔細(xì)，完成外觀檢查、數(shù)量及配置的清點、安裝調(diào)試、設(shè)備試運行等幾個方面的驗收程序。第十三條 各部門、中心及各地區(qū)總部、營業(yè)部在年度預(yù)算提出計算機設(shè)備購置計劃時，應(yīng)填寫《長城證券部門年度計算機需求計劃表》并報總部信息技術(shù)中心和計劃財務(wù)部審批。第十八條 新購置的設(shè)備應(yīng)在測試環(huán)境下經(jīng)過單機運行測試和聯(lián)機測試，經(jīng)測試合格后才能投入使用。 第四條 信息技術(shù)中心是公司計算機軟件管理的主管部門，負(fù)責(zé)公司應(yīng)用軟件的統(tǒng)一審批、開發(fā)、測試及購置等工作。第十條 軟件購置應(yīng)具備一切正規(guī)的手續(xù)，有正規(guī)的合同、正規(guī)的發(fā)票等。技術(shù)人員負(fù)責(zé)軟件的開發(fā)和項目管理工作；業(yè)務(wù)人員負(fù)責(zé)軟件功能需求的界定和軟件測試工作；管理人員負(fù)責(zé)項目的控制和監(jiān)督工作。 需求分析階段。 運行與維護階段。內(nèi)部測試人員由項目開發(fā)小組成員組成，內(nèi)部測試通過后方可進行外部測試。第二十五條 項目經(jīng)理應(yīng)制定合理有效的項目計劃和項目組織結(jié)構(gòu)、控制嚴(yán)謹(jǐn)?shù)倪\行體系、及時跟蹤項目進度和提交項目報告。項目驗帳完畢后，驗收小組應(yīng)按照信息技術(shù)中心《》技術(shù)文檔的要求，提交技術(shù)開發(fā)(改造)項目成果鑒定書。第六條 總部各部、中心須分別于每年的一月份和七月份，向信息技術(shù)中心填報本部《計算機設(shè)備驗收表》（見附表8）。第十一條 對于工作站、顯示器、打印機等一般電腦設(shè)備，使用人員應(yīng)將保養(yǎng)工作落實到每日常規(guī)保養(yǎng)，保養(yǎng)內(nèi)容主要是去除設(shè)備表面的灰塵、縫隙中的紙屑與大頭針等雜物。計算機房管理人員確定辦法是：公司總部由信息技術(shù)中心負(fù)責(zé)人授權(quán)專人管理，營業(yè)部由電腦部管理，電腦部經(jīng)理負(fù)責(zé)。必須建立完整的計算機及其網(wǎng)絡(luò)設(shè)備運行日志、操作記錄等。第十三條 計算機房管理人員每天必須按時完成定期工作，如果出現(xiàn)意外情況，應(yīng)立即進行處理，同時在計算機房工作記錄簿上詳細(xì)記錄；如果自己處理不了，應(yīng)立即通知有關(guān)人員及時處理。凡使用外來磁盤前，都須經(jīng)過檢查，證明無毒后方可使用。 應(yīng)急工作細(xì)則第一節(jié) 緊急事故類別 第三條 意外緊急事故根據(jù)其性質(zhì)可分為：硬件意外事故、軟件意外事故、技術(shù)意外事故和環(huán)境意外事故。 　?。?）發(fā)現(xiàn)有不正常的網(wǎng)絡(luò)設(shè)備，可將其先關(guān)閉，稍等片刻再重新開啟，如果還是不正常，則可確認(rèn)該設(shè)備損壞； 　（3）更換并啟用備用設(shè)備，直至工作正常。網(wǎng)絡(luò)系統(tǒng)設(shè)備故障： 　　 （1）網(wǎng)絡(luò)系統(tǒng)設(shè)備主要是指交換機，集線器（HUB）路由器等，由于這些設(shè)備均有工作狀態(tài)燈，所以比較容易判斷其正常與否；交換機、路由器 可能出現(xiàn)一般的端口問題和嚴(yán)重的主機內(nèi)部問題；可通過指示燈和內(nèi)部終端仿真進行檢查。為保證系統(tǒng)正常、穩(wěn)定、安全運行，確保在緊急情況下將造成的損失降至最低，特制定本制度。第十八條 計算機房環(huán)境按公司《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》有關(guān)規(guī)定執(zhí)行，本制度相關(guān)實施細(xì)則另行制定。第十一條 嚴(yán)禁將易燃易爆、強磁物品及其它與計算機房工作無關(guān)的物品帶入機房，未經(jīng)安全管理程序任何技術(shù)資料（含數(shù)據(jù)）不得帶出。在參觀過程中嚴(yán)禁對任何設(shè)備進行操作。第二條 　 本制度適用于公司總部及各營業(yè)部計算機房的管理。領(lǐng)用人員調(diào)離時因丟失損壞等原因無法交回計算及設(shè)備的固定資產(chǎn)，要由領(lǐng)用人員負(fù)責(zé)賠償，公司保留法律追訴權(quán)。第五條 為保證維護工作及時有效，信息技術(shù)中心指定專人進行維護 工作。第二十六條 項目經(jīng)理應(yīng)根據(jù)信息技術(shù)中心《》技術(shù)文檔的要求，在項目實施的各階段提交項目合作開發(fā)書、項目開發(fā)計劃書、項目開發(fā)計劃書、項目開發(fā)周進度報告、項目開發(fā)月進度報告、技術(shù)開發(fā)(改造)項目驗收申請書和項目總結(jié)報告。相關(guān)測試文檔包括測試計劃、測試用例、測試日志、測試分析報告，軟件測試結(jié)束后，測試人員必須提交測試分析報告。測試期間還應(yīng)對重要技術(shù)數(shù)據(jù)進行現(xiàn)場演示，并聽取開發(fā)單位人員必要的補充說明。 測試階段。 行性分析與立項階段。 第十三條 應(yīng)用軟件在開發(fā)之前，總部信息技術(shù)中心負(fù)責(zé)對軟件進行可行性分析，并提交《項目可行性分析報告》和《軟件立項報告書》，經(jīng)公司領(lǐng)導(dǎo)審批后正式立項。同時盡可能地要求軟件開發(fā)商提供源程序，公司委派專人原盤妥善保管。 第二條 本制度所稱軟件系指計算機操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟件、營業(yè)部證券交易業(yè)務(wù)處理系統(tǒng)、信息揭示與分析系統(tǒng)以及公司其它業(yè)務(wù)處理軟件。第十六條 設(shè)備購買后應(yīng)及時將購買的設(shè)備資料填寫到《電腦設(shè)備購買情況表》中，并提交信息技術(shù)中心統(tǒng)一保管。第十二條 各地區(qū)總部、營業(yè)部年度計算機類設(shè)備購置計劃應(yīng)經(jīng)總部信息技術(shù)中心、經(jīng)紀(jì)業(yè)務(wù)管理總部、計劃財務(wù)部共同審核。第七條 合同執(zhí)行過程中，如發(fā)生違約或糾紛，各單位應(yīng)及時妥善處理，并上報公司法律中心與信息技術(shù)中心。由信息技術(shù)中心與行政部進行此項工作，將幾家公司的報價書等相關(guān)資料報主管領(lǐng)導(dǎo)審核并對不同報價進行分析，增加透明度。 工作流程第一百三十九條 數(shù)據(jù)備份　根據(jù)數(shù)據(jù)庫備份的具體要求，將備份任務(wù)添加到《總部數(shù)據(jù)備份任務(wù)一覽表》（附表12）； 從檔案管理員處領(lǐng)取經(jīng)編號的備份介質(zhì)，在需要新建或更改備份介質(zhì)的內(nèi)容時，須更新《總部數(shù)據(jù)備份介質(zhì)內(nèi)容變更登記表》（附表10）； 執(zhí)行《總部數(shù)據(jù)備份任務(wù)一覽表》中的各備份任務(wù)；4． 將備份完畢的備份介質(zhì)交檔案管理員保管。第一百三十七條 數(shù)據(jù)備份：交易數(shù)據(jù)是公司的重要資料，保存完整的交易數(shù)據(jù)是降低經(jīng)營風(fēng)險、維護客戶正當(dāng)權(quán)益的可靠保證，可以是財務(wù)查帳清楚明了，與股民發(fā)生糾紛時有據(jù)可查，即使出現(xiàn)問題時也可以分清責(zé)任。對于外來軟盤或程序，必須先在單獨的計算機上先查病毒，保證無毒的條件下才能夠上網(wǎng)使用。必須對采集信息的合法性、輸入信息的有效性、業(yè)務(wù)與帳務(wù)處理的正確性進行全面的確認(rèn)，保證信息的有效性、合法性和正確性。 數(shù)據(jù)安全管理的內(nèi)容第一百二十七條 完整性: 數(shù)據(jù)內(nèi)容的完整性指的是保護數(shù)據(jù)免受未經(jīng)授權(quán)的修改。第一百一十九條 除上述數(shù)據(jù)庫管理內(nèi)容之外的方面，如定時任務(wù)的管理，定期檢查系統(tǒng)日志、監(jiān)控參數(shù)的設(shè)置等。第一百一十二條 故意輸入計算機病毒以及其他有害數(shù)據(jù)危害公司計算機信息系統(tǒng)安全的，由公司安全管理委員會處以警告或者罰款處分。第一百零六條 事故處理后應(yīng)及時進行分析并寫出分析報告，總部相關(guān)部門應(yīng)在此基礎(chǔ)上明確責(zé)任歸屬，并向營業(yè)部通報。第九十九條 系統(tǒng)運行日志必須妥善保存，不得缺頁，定期存檔。在脫機后，如保管時間超過七天，則須經(jīng)密封處理由信息技術(shù)中心檔案管理員保管；如保管時間不超過七天，則可有備份管理員鎖于臨時保管箱內(nèi)交由檔案管理員保管； 對于周五做完全備份、周一至周四做增量備份的方式，如采用磁帶柜備份且磁帶柜放置于安全的地點，則可將五天備份所用的磁帶一并放入磁帶柜，實現(xiàn)每日自動裝載和備份；否則仍須按情況（2）的方式進行保管。第八十五條 對于加密格式的數(shù)據(jù)，應(yīng)盡可能解密后備份，防范密鑰由于頻繁更換等原因可能丟失所帶來的風(fēng)險。 第七十七條 嚴(yán)格限制軟驅(qū)和光驅(qū)的使用，軟驅(qū)和光驅(qū)的使用按《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》的有關(guān)條款執(zhí)行。第七十一條 對數(shù)據(jù)備份和審計記錄建立定期查驗制度。 第六十五條 嚴(yán)禁泄露自己的口令，必須啟用系統(tǒng)軟件提供的安全審計留痕功能。對股票、資金等參數(shù)進行調(diào)整的非正常業(yè)務(wù)操作必須填寫書面說明，而且必須由營業(yè)部總經(jīng)理及財務(wù)部經(jīng)理共同批準(zhǔn)后方能執(zhí)行。 第五十三條 營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負(fù)責(zé)。第五節(jié) 數(shù)據(jù)訪問的安全管理第四十八條 由于審計、數(shù)據(jù)庫故障調(diào)試等原因，需要訪問數(shù)據(jù)庫時，應(yīng)創(chuàng)建臨時用戶、賦予適當(dāng)?shù)臋?quán)限，并交由審計人員、應(yīng)用系統(tǒng)維護人員使用，并在使用完畢后及時刪除該臨時用戶。第四十三條 對通信系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時向營業(yè)部總經(jīng)理匯報，并于即時與總部信息技術(shù)中心相關(guān)人員聯(lián)系，雙方合作盡快解決問題?？偛亢蜖I業(yè)部間業(yè)務(wù)數(shù)據(jù)的傳輸應(yīng)加密后采用數(shù)據(jù)專線進行傳輸。第三節(jié) 計算機及相關(guān)設(shè)備的安全管理 第三十條 總部信息技術(shù)中心配合行政部及財務(wù)部依據(jù)公司《電子與通訊設(shè)備固定資產(chǎn)管理制度》對計算機及相關(guān)設(shè)備的選型、采購等過程進行管理。 第二十五條 信息系統(tǒng)的安全漏洞一經(jīng)發(fā)現(xiàn)應(yīng)及時報告公司安全管理委員會。第十七條 公司安全管理委員會應(yīng)當(dāng)建立嚴(yán)格的密鑰管理制度和在緊急情況下銷毀密鑰的手段和措施，以防止密鑰的失密。第九條 對計算機信息系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時向營業(yè)部總經(jīng)理匯報，并于24小時內(nèi)向總部信息技術(shù)中心報告。 第三章　　信息系統(tǒng)安全管理制度 總 則 第一條 為了加強對公司信息系統(tǒng)的安全管理、防范和化解各種技術(shù)風(fēng)險、保護投資者利益、維護公司的合法權(quán)益，確保公司各項業(yè)務(wù)的順利開展，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《證券經(jīng)營機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行）》及有關(guān)規(guī)定制定本制度。第三條 本辦法適用于公司各部室、中心及所屬證券營業(yè)部（以下簡稱營業(yè)部）。第六章 計算機設(shè)備使用管理 41。第十六條 公司各部室、中心及營業(yè)部如有人員調(diào)離，須事先通知公司信息技術(shù)中心，以便及時清除網(wǎng)絡(luò)登錄用戶并確定是否進行相關(guān)審計。第九條 公司各部室、中心及營業(yè)部計算機網(wǎng)絡(luò)、系統(tǒng)的新建或整體改造，必須在年初申報計劃，并附完整的整體設(shè)計方案和可行性論證報告，由信息技術(shù)中心審批。 根據(jù)本營業(yè)部的業(yè)務(wù)發(fā)展需求，提交應(yīng)用系統(tǒng)需求報告、軟硬件采購計劃，報公司信息技術(shù)中心審批。 負(fù)責(zé)本營業(yè)部計算機信