【文章內容簡介】 對交易數據等進行備份，備份數據存放按公司《技術資料管理制度》和《信息系統(tǒng)安全管理制度》 執(zhí)行。第八十三條 系統(tǒng)管理員必須提取有關系統(tǒng)的配置參數并在修改參數后及時更新。第八十四條 必須保留軟硬件說明書、配置軟件、配置參數等技術資料，并存放于安全地點，有關事項按《技術資料管理制 度》及《信息系統(tǒng)環(huán)境標準》執(zhí)行。第八十五條 對于加密格式的數據，應盡可能解密后備份，防范密鑰由于頻繁更換等原因可能丟失所帶來的風險。第八十六條 數據備份在周期性方面可選擇采用以下四種方式： 永久性的完全備份：數據備份到存儲介質后，將介質密封永久保存； 周五做完全備份、周一至周四做增量備份； 定期做覆蓋方式的完全備份：在同一備份介質上覆蓋原有備份數據； 定期做追加方式的完全備份：在同一備份介質上增加最新狀態(tài)的備份；第八十七條 根據第四條中不同周期備份方式的要求，備份可選擇以下幾種存儲介質： 寫的刻錄光碟（CD、DVD等），適合于永久備份； 磁帶，適合于所有備份策略； 可擦寫的其他存儲介質（硬盤、MO等），適合于備份策略；備份介質在備份操作前須經過編號，編號規(guī)則見第八十九條。第八十八條 對于某個具體的備份對象，原則上應僅選擇一種備份方式和備份介質實施備份。同時盡可能選擇可移動的備份介質，以利于數據備份的歸檔管理。除非應用系統(tǒng)有特殊要求，一般情況下不采用硬盤等不可移動的備份介質。第八十九條 備份介質編號規(guī)則格式為：”ZB”+四位年份代碼+數據來源代碼+四位序列號 其中數據來源代碼 01代表總部數據 02代表營業(yè)部數據； 三位序列號在一個年度中從“0001”開始遞增； 如：ZB2001010001，代表本備份介質是在總部保存的2001年總部數據的第0001號備份第九十條 備份的密封處理可移動的備份介質在完成聯(lián)機備份操作后，如須密封處理則應按如下步驟操作： 《備份介質密封登記表》（見附件9），注明備份日期、內容、操作人、復核人等相關內容，該登記表一式兩份； 將備份介質及相關的附件裝入檔案盒，同時放入一份《備份介質密封登記表》，另外一份登記表貼于檔案盒封面； 將檔案盒封口處貼上封條，并蓋上保管部門的密封章。（注：密封章可以是公司公章、部門公章或備份專用章，應當由除檔案管理員之外的人員保管）第九十一條 備份的保管根據備份方式的不同，數據備份分如下兩種情況進行保管： 對于永久性的完全備份，應保留兩份備份。在密封處理后，其中的一份交由信息技術中心檔案管理員保管（蓋信息技術中心密封章），另外一份交由總部檔案室檔案管理員保管（蓋總部檔案室密封章）； 于定期做覆蓋或追加方式的完全備份，應保留一份備份。在脫機后，如保管時間超過七天，則須經密封處理由信息技術中心檔案管理員保管；如保管時間不超過七天，則可有備份管理員鎖于臨時保管箱內交由檔案管理員保管； 對于周五做完全備份、周一至周四做增量備份的方式，如采用磁帶柜備份且磁帶柜放置于安全的地點，則可將五天備份所用的磁帶一并放入磁帶柜，實現(xiàn)每日自動裝載和備份；否則仍須按情況（2）的方式進行保管。第九十二條 備份的檢查 對于永久性的完全備份，在密封保管前須通過數據導出、檢查數據完整性的復核；在密封保管后，須每隔一年進行一次數據檢查； 對于除永久性的完全備份以外的備份方式，應在經過了一到兩個備份周期后進行恢復測試；在備份正常運轉后，須每隔三個月進行一次恢復測試。第九十三條 備份介質的調用程序因日常備份操作、檢查備份、數據查詢等要求，需要調用檔案管理員保管的備份介質，應分以下幾種情況執(zhí)行調用程序： 備份由總部檔案室保管，則須填寫《備份介質調用申請表》（見附表10），由信息技術中心總經理、公司總裁或分管信息技術中心的副總裁簽字后，從檔案管理員處領取，在使用完畢后按期交回； 備份密封后由信息技術中心檔案管理員保管，則須填寫《備份介質調用申請表》（見附表10），由信息技術中心總經理簽字后，從檔案管理員處領取，在使用完畢后按期交回； 如備份由備份管理員放置于臨時保管箱內，則須填寫《備份介質調用申請表》，由檔案管理員簽字即可領取。第九十四條 備份介質的銷毀對于永久性的完全備份，在密封保管后，如需要銷毀，須填寫《備份介質調用申請表》，經公司總裁或分管信息技術中心的副總裁簽字后，將備份介質通過粉碎等方式銷毀。第十節(jié) 日志記錄 第九十五條 信息技術中心及營業(yè)部電腦部應對系統(tǒng)配置的更改、網絡用戶權限的分配和更改及原因作詳細記錄，對機房管理系統(tǒng)運行情況，系統(tǒng)運行故障現(xiàn)象、時間、處理方式等進行詳細記錄。營業(yè)部交易系統(tǒng)管理員應對增/刪除柜員、柜員權限變更情況進行記錄；財務部經理應對業(yè)務參數調整，更改股票、資金余額等操作進行記錄。 第九十六條 日志記錄采用標準格式，并具備相關責任人的簽字。參見附錄一。第九十九條 系統(tǒng)運行日志必須妥善保存，不得缺頁，定期存檔。 第十一節(jié) 安全事故處理及恢復第一百條 安全事故是指由于軟硬件故障、系統(tǒng)配置錯誤、操作失誤、黑客入侵、病毒、口令盜用等原因引起系統(tǒng)無法正常運行，數據或文件丟失的事件。第一百零一條 安全事故分成A、B、C三類，其中A類指對交易產生直接影響的事故；B類指未影響交易但造成一定經濟損失的事故；C類指未影響交易也未造成經濟損失，但構成系統(tǒng)安全隱患的事故。第一百零二條 總部及各營業(yè)部應根據《計算機房管理制度》及自身情況制定《應急處理流程》及時更新并定期演習。第一百零三條 《應急處理流程》的制定應涵蓋通信、服務、供電、數據、設備等，同時確定演習、通報、事故分析等內容。第一百零四條 《應急處理流程》的制定應體現(xiàn)細致、明了的原則，不得遺漏任何環(huán)節(jié)，保證逐條實施可以排除故障、恢復系統(tǒng)運行。第一百零五條 事故出現(xiàn)后應及時處理并按公司《營業(yè)部技術事故處理規(guī)定》的有關規(guī)定匯報。凡隱瞞不報的，追究營業(yè)部總經理及電腦部經理的責任。第一百零六條 事故處理后應及時進行分析并寫出分析報告，總部相關部門應在此基礎上明確責任歸屬，并向營業(yè)部通報。 人員管理第一百零七條 系統(tǒng)管理員不能兼任柜臺及事后稽核等工作，不得參與相關軟件開發(fā)。參加過應用系統(tǒng)開發(fā)的人員，不得擔任相應系統(tǒng)的管理員。第一百零八條 公司安全管理委員會及營業(yè)部安全管理小組應當加強公司總部和各營業(yè)部主要崗位工作人員的錄用、考核制度，不適宜的人員必須及時調離。第一百零九條 電腦技術人員調離時，必須移交全部技術手冊及有關資料，并更換計算機的有關口令和密鑰。涉及公司業(yè)務核心部分開發(fā)的技術人員調離原工作崗位或公司時，應當確認對公司計算機信息系統(tǒng)安全不會造成危害后方可調離。 責 任 第一百一十條 違反本條例的規(guī)定，有下列行為之一的，由公司安全管理委員會處以警告或通報批評處分：違反計算機信息系統(tǒng)安全管理中有關條例，危害計算機信息系統(tǒng)安全的；不按照規(guī)定時間報告計算機信息系統(tǒng)中發(fā)生的案件的；接到公司安全管理委員會要求改進安全狀況的通知后，在限期內拒不改進或未完成目標的；違反審批制度增設或更換設備、裝置的；拒絕、阻礙公司計算機安全管理組織實施安全檢查的；有危害計算機信息系統(tǒng)安全的其他行為的。第一百一十一條 計算機房不符合公司《計算機房管理制度》及《信息系統(tǒng)環(huán)境標準》有關規(guī)定的，或者在計算機機房附近施工危害計算機信息系統(tǒng)安全的，由公司安全管理委員會會同有關部門進行處理。第一百一十二條 故意輸入計算機病毒以及其他有害數據危害公司計算機信息系統(tǒng)安全的，由公司安全管理委員會處以警告或者罰款處分。第十三節(jié) 信息技術中心總部數據管理員職責細則職責范圍第一百一十三條 數據管理員負責對總部應用系統(tǒng)數據實施備份，并實行安全可靠的管理；對營業(yè)部上交的應用系統(tǒng)數據備份進行歸檔和使用實行管理；掌握數據庫超級用戶權限，安全規(guī)范地管理數據庫系統(tǒng)的運行。第一百一十四條 制定備份策略，對數據文件和數據庫進行備份。與檔案管理員協(xié)作，妥善保管備份介質。第一百一十五條 根據業(yè)務需求和用戶申請創(chuàng)建、刪除數據庫，修改數據庫參數設置。第一百一十六條 根據業(yè)務需求和用戶申請創(chuàng)建數據庫系統(tǒng)的登錄用戶，賦予用戶適當的數據庫權限，包括數據庫所有者權限、數據庫對象的增刪改權限等；刪除用戶；保管應用程序中封裝的數據庫用戶的密碼。第一百一十七條 在數據庫需要進行數據和結構方面的調整時，創(chuàng)建臨時調試用戶并交由應用系統(tǒng)維護人員使用，并在使用完畢后及時刪除測試用戶。第一百一十八條 利用數據庫系統(tǒng)的訪問跟蹤記錄功能，設置對應用系統(tǒng)、調試用戶、超級用戶訪問數據庫的命令進行跟蹤，記錄到監(jiān)控日志文件中；定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時通報。第一百一十九條 除上述數據庫管理內容之外的方面，如定時任務的管理，定期檢查系統(tǒng)日志、監(jiān)控參數的設置等。數據安全管理的原則第一百二十條 數據必須是有據的，能夠辨認數據的內容、用途和使用方法；必須經過合法的手續(xù)和規(guī)定的渠道采集、加工、處理和傳播數據；數據應只用于明確規(guī)定的目的，未經批準不得它用；采用的數據范圍應與規(guī)定用途相符。第一百二十一條 采用相宜的預防措施，保持數據的完整、準確、及時、可用；數據管理者應承擔保存或處理數據的保護職責，防止數據的丟失、誤用或破壞；特殊或重要數據，應采用多種記錄手段 異地保存，免遭意外風險。第一百二十二條 數據使用者有權查閱被授權的數據，索取數據記錄復制件，更正有關自身的任何不準確數據；享受有限次數規(guī)定的有問必答權利。第一百二十三條 制訂必須的數據存取細則，采取措施防止數據被非法修改，堵塞管理操作的疏忽或蓄謀竊取數據的漏洞。第一百二十四條 無正當理由和有關批準手續(xù)，不得通報數據內容，不得泄漏數據給內部或外部的無關人員。第一百二十五條 不應造成可從發(fā)布的統(tǒng)計數據中推斷出保密或敏感的信息。第一百二十六條 建立適當的監(jiān)督、管理機制，保證與數據有關的個體和數據管理者的合法權益不被侵犯。 數據安全管理的內容第一百二十七條 完整性: 數據內容的完整性指的是保護數據免受未經授權的修改。它包括單個數據完整性和數據序列完整性。它是一系列安全性能的集合，這些性能都與數據能被系統(tǒng)正確提供給目標實體有關。第一百二十八條 保密性: 計算機網絡系統(tǒng)中的信息應該根據其重要性、密級、應用需求等分別實施相應的加密措施，保密信息不得以明文形式存儲和傳送。應根據信息的重要性、密級規(guī)定及用途，決定操作人員的存取權限和存取方式。所有的統(tǒng)計信息應根據其重要程度進行密級劃分，并制訂相應的管理辦法，確定允許對外發(fā)布和交流的信息指標、報批權限和手續(xù)。第一百二十九條 可用性: 可用性保證了信息是正確可用的。在營業(yè)部的電腦系統(tǒng)中，要對操作者進行職責授權、使用授權確認。必須對采集信息的合法性、輸入信息的有效性、業(yè)務與帳務處理的正確性進行全面的確認，保證信息的有效性、合法性和正確性。要采用各種有效的技術手段與崗位責任制、行政手段、法律手段相結合的方法，確保采集、處理、存儲、加工、傳輸及輸出的數據正確可用。 數據安全管理的具體辦法第一百三十條 口令及權限限制：營業(yè)部的電腦部應指定一人為第一責任人，由第一責任人掌管超級用戶口令，第一責任人必須定期修改超級用戶口令，如一月修改一次，并將口令密封后報公司電腦部備案。第一負責人應本著：使各操作員能夠圓滿地完成本職工作，但與各操作員工作無關的權限不能提供的原則，統(tǒng)一規(guī)劃各操作員的使用權限，并嚴格按照規(guī)劃分配各操作員的工作范圍及權限，產生不同的毫無規(guī)律的密碼，同時要求各操作員必須性地更換密碼，并嚴禁相互泄漏密碼。第一百三十一條 時間限制：對部分用戶程序登錄和使用時間作出限制，例如限制系統(tǒng)初始化只允許在某一時間內登錄等。第一百三十二條 網絡地址限制：利用網絡地址對敏感用戶程序登錄和使用的工作站作出限制，如限制行情接收及轉換，交易系統(tǒng)的后臺處理及清算等程序只能在某些特定的工作站上登錄、運行。第一百三十三條 系統(tǒng)的安全性：為防止外來非法程序的入侵，除電腦機房內，其他地方上網的工作站必須為無盤站，嚴禁未經許可的軟盤直接上網使用。為防止病毒破壞數據，各營業(yè)部電腦網絡必須安裝正版防病毒網絡軟件。對于外來軟盤或程序，必須先在單獨的計算機上先查病毒，保證無毒的條件下才能夠上網使用。第一百三十四條 數據監(jiān)控：在條件許可的情況下，實施監(jiān)視對策，對發(fā)生的密碼輸入錯誤、超權數據存取的情況進行監(jiān)視，對連續(xù)多次無效存取進行強制結束，并進行記錄，以便日后查閱分析。對連續(xù)多次無效存取進行強制結束。第一百三十五條 數據檢查：每天清算后必須檢查數據的正確性，如紅利、紅股的上帳是否正確，配股的上帳是否正常。一但發(fā)覺錯誤必須及時更正。建議各營業(yè)部采用的交易軟件具有數據檢查工具包。第一百三十六條 歷史數據的更改：歷史數據的更改必須有二個以上的人員在場，并且必須記載更改的理由、更改使用的方法及步驟，在場的人員、操作的人員以及詳細指明更改的數據內容。所有在場人員必須簽名并注明時間。第一百三十七條 數據備份：交易數據是公司的重要資料，保存完整的交易數據是降低經營風險、維護客戶正當權益的可靠保證，可以是財務查帳清楚明了，與股民發(fā)生糾紛時有據可查，即使出現(xiàn)問題時也可以分清責任。并且在系統(tǒng)發(fā)生故障時，以保證數據、文件的恢復工作，確保在最短的時間內恢復正常工作，必須按嚴格地制度進行數據備份。第一百三十八條 數據保密:為防止數據的非法使用、修改、丟失，和由于數據不正當的發(fā)布而引起的對營業(yè)部不利的局面的產生，營業(yè)部做到以下保密措施： 備份的數據、打印出的數據必須指定專人負責保管，由營業(yè)部計算機房工作人員按規(guī)定的方法同數據保管負責人進行數據的交接。交接后的數據應在指定的數據保管室或指定的場所保管。 數據保管員必須用文件管理等方法，對數據進行登記