【文章內(nèi)容簡(jiǎn)介】 對(duì)交易數(shù)據(jù)等進(jìn)行備份，備份數(shù)據(jù)存放按公司《技術(shù)資料管理制度》和《信息系統(tǒng)安全管理制度》 執(zhí)行。第八十三條 系統(tǒng)管理員必須提取有關(guān)系統(tǒng)的配置參數(shù)并在修改參數(shù)后及時(shí)更新。第八十四條 必須保留軟硬件說(shuō)明書(shū)、配置軟件、配置參數(shù)等技術(shù)資料，并存放于安全地點(diǎn)，有關(guān)事項(xiàng)按《技術(shù)資料管理制 度》及《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》執(zhí)行。第八十五條 對(duì)于加密格式的數(shù)據(jù)，應(yīng)盡可能解密后備份，防范密鑰由于頻繁更換等原因可能丟失所帶來(lái)的風(fēng)險(xiǎn)。第八十六條 數(shù)據(jù)備份在周期性方面可選擇采用以下四種方式： 永久性的完全備份：數(shù)據(jù)備份到存儲(chǔ)介質(zhì)后，將介質(zhì)密封永久保存； 周五做完全備份、周一至周四做增量備份； 定期做覆蓋方式的完全備份：在同一備份介質(zhì)上覆蓋原有備份數(shù)據(jù)； 定期做追加方式的完全備份：在同一備份介質(zhì)上增加最新?tīng)顟B(tài)的備份；第八十七條 根據(jù)第四條中不同周期備份方式的要求，備份可選擇以下幾種存儲(chǔ)介質(zhì)： 寫(xiě)的刻錄光碟（CD、DVD等），適合于永久備份； 磁帶，適合于所有備份策略； 可擦寫(xiě)的其他存儲(chǔ)介質(zhì)（硬盤、MO等），適合于備份策略；備份介質(zhì)在備份操作前須經(jīng)過(guò)編號(hào)，編號(hào)規(guī)則見(jiàn)第八十九條。第八十八條 對(duì)于某個(gè)具體的備份對(duì)象，原則上應(yīng)僅選擇一種備份方式和備份介質(zhì)實(shí)施備份。同時(shí)盡可能選擇可移動(dòng)的備份介質(zhì)，以利于數(shù)據(jù)備份的歸檔管理。除非應(yīng)用系統(tǒng)有特殊要求，一般情況下不采用硬盤等不可移動(dòng)的備份介質(zhì)。第八十九條 備份介質(zhì)編號(hào)規(guī)則格式為：”ZB”+四位年份代碼+數(shù)據(jù)來(lái)源代碼+四位序列號(hào) 其中數(shù)據(jù)來(lái)源代碼 01代表總部數(shù)據(jù) 02代表營(yíng)業(yè)部數(shù)據(jù)； 三位序列號(hào)在一個(gè)年度中從“0001”開(kāi)始遞增； 如：ZB2001010001，代表本備份介質(zhì)是在總部保存的2001年總部數(shù)據(jù)的第0001號(hào)備份第九十條 備份的密封處理可移動(dòng)的備份介質(zhì)在完成聯(lián)機(jī)備份操作后，如須密封處理則應(yīng)按如下步驟操作： 《備份介質(zhì)密封登記表》（見(jiàn)附件9），注明備份日期、內(nèi)容、操作人、復(fù)核人等相關(guān)內(nèi)容，該登記表一式兩份； 將備份介質(zhì)及相關(guān)的附件裝入檔案盒，同時(shí)放入一份《備份介質(zhì)密封登記表》，另外一份登記表貼于檔案盒封面； 將檔案盒封口處貼上封條，并蓋上保管部門的密封章。（注：密封章可以是公司公章、部門公章或備份專用章，應(yīng)當(dāng)由除檔案管理員之外的人員保管）第九十一條 備份的保管根據(jù)備份方式的不同，數(shù)據(jù)備份分如下兩種情況進(jìn)行保管： 對(duì)于永久性的完全備份，應(yīng)保留兩份備份。在密封處理后，其中的一份交由信息技術(shù)中心檔案管理員保管（蓋信息技術(shù)中心密封章），另外一份交由總部檔案室檔案管理員保管（蓋總部檔案室密封章）； 于定期做覆蓋或追加方式的完全備份，應(yīng)保留一份備份。在脫機(jī)后，如保管時(shí)間超過(guò)七天，則須經(jīng)密封處理由信息技術(shù)中心檔案管理員保管；如保管時(shí)間不超過(guò)七天，則可有備份管理員鎖于臨時(shí)保管箱內(nèi)交由檔案管理員保管； 對(duì)于周五做完全備份、周一至周四做增量備份的方式，如采用磁帶柜備份且磁帶柜放置于安全的地點(diǎn)，則可將五天備份所用的磁帶一并放入磁帶柜，實(shí)現(xiàn)每日自動(dòng)裝載和備份；否則仍須按情況（2）的方式進(jìn)行保管。第九十二條 備份的檢查 對(duì)于永久性的完全備份，在密封保管前須通過(guò)數(shù)據(jù)導(dǎo)出、檢查數(shù)據(jù)完整性的復(fù)核；在密封保管后，須每隔一年進(jìn)行一次數(shù)據(jù)檢查； 對(duì)于除永久性的完全備份以外的備份方式，應(yīng)在經(jīng)過(guò)了一到兩個(gè)備份周期后進(jìn)行恢復(fù)測(cè)試；在備份正常運(yùn)轉(zhuǎn)后，須每隔三個(gè)月進(jìn)行一次恢復(fù)測(cè)試。第九十三條 備份介質(zhì)的調(diào)用程序因日常備份操作、檢查備份、數(shù)據(jù)查詢等要求，需要調(diào)用檔案管理員保管的備份介質(zhì)，應(yīng)分以下幾種情況執(zhí)行調(diào)用程序： 備份由總部檔案室保管，則須填寫(xiě)《備份介質(zhì)調(diào)用申請(qǐng)表》（見(jiàn)附表10），由信息技術(shù)中心總經(jīng)理、公司總裁或分管信息技術(shù)中心的副總裁簽字后，從檔案管理員處領(lǐng)取，在使用完畢后按期交回； 備份密封后由信息技術(shù)中心檔案管理員保管，則須填寫(xiě)《備份介質(zhì)調(diào)用申請(qǐng)表》（見(jiàn)附表10），由信息技術(shù)中心總經(jīng)理簽字后，從檔案管理員處領(lǐng)取，在使用完畢后按期交回； 如備份由備份管理員放置于臨時(shí)保管箱內(nèi)，則須填寫(xiě)《備份介質(zhì)調(diào)用申請(qǐng)表》，由檔案管理員簽字即可領(lǐng)取。第九十四條 備份介質(zhì)的銷毀對(duì)于永久性的完全備份，在密封保管后，如需要銷毀，須填寫(xiě)《備份介質(zhì)調(diào)用申請(qǐng)表》，經(jīng)公司總裁或分管信息技術(shù)中心的副總裁簽字后，將備份介質(zhì)通過(guò)粉碎等方式銷毀。第十節(jié) 日志記錄 第九十五條 信息技術(shù)中心及營(yíng)業(yè)部電腦部應(yīng)對(duì)系統(tǒng)配置的更改、網(wǎng)絡(luò)用戶權(quán)限的分配和更改及原因作詳細(xì)記錄，對(duì)機(jī)房管理系統(tǒng)運(yùn)行情況，系統(tǒng)運(yùn)行故障現(xiàn)象、時(shí)間、處理方式等進(jìn)行詳細(xì)記錄。營(yíng)業(yè)部交易系統(tǒng)管理員應(yīng)對(duì)增/刪除柜員、柜員權(quán)限變更情況進(jìn)行記錄；財(cái)務(wù)部經(jīng)理應(yīng)對(duì)業(yè)務(wù)參數(shù)調(diào)整，更改股票、資金余額等操作進(jìn)行記錄。 第九十六條 日志記錄采用標(biāo)準(zhǔn)格式，并具備相關(guān)責(zé)任人的簽字。參見(jiàn)附錄一。第九十九條 系統(tǒng)運(yùn)行日志必須妥善保存，不得缺頁(yè)，定期存檔。 第十一節(jié) 安全事故處理及恢復(fù)第一百條 安全事故是指由于軟硬件故障、系統(tǒng)配置錯(cuò)誤、操作失誤、黑客入侵、病毒、口令盜用等原因引起系統(tǒng)無(wú)法正常運(yùn)行，數(shù)據(jù)或文件丟失的事件。第一百零一條 安全事故分成A、B、C三類，其中A類指對(duì)交易產(chǎn)生直接影響的事故；B類指未影響交易但造成一定經(jīng)濟(jì)損失的事故；C類指未影響交易也未造成經(jīng)濟(jì)損失，但構(gòu)成系統(tǒng)安全隱患的事故。第一百零二條 總部及各營(yíng)業(yè)部應(yīng)根據(jù)《計(jì)算機(jī)房管理制度》及自身情況制定《應(yīng)急處理流程》及時(shí)更新并定期演習(xí)。第一百零三條 《應(yīng)急處理流程》的制定應(yīng)涵蓋通信、服務(wù)、供電、數(shù)據(jù)、設(shè)備等，同時(shí)確定演習(xí)、通報(bào)、事故分析等內(nèi)容。第一百零四條 《應(yīng)急處理流程》的制定應(yīng)體現(xiàn)細(xì)致、明了的原則，不得遺漏任何環(huán)節(jié)，保證逐條實(shí)施可以排除故障、恢復(fù)系統(tǒng)運(yùn)行。第一百零五條 事故出現(xiàn)后應(yīng)及時(shí)處理并按公司《營(yíng)業(yè)部技術(shù)事故處理規(guī)定》的有關(guān)規(guī)定匯報(bào)。凡隱瞞不報(bào)的，追究營(yíng)業(yè)部總經(jīng)理及電腦部經(jīng)理的責(zé)任。第一百零六條 事故處理后應(yīng)及時(shí)進(jìn)行分析并寫(xiě)出分析報(bào)告，總部相關(guān)部門應(yīng)在此基礎(chǔ)上明確責(zé)任歸屬，并向營(yíng)業(yè)部通報(bào)。 人員管理第一百零七條 系統(tǒng)管理員不能兼任柜臺(tái)及事后稽核等工作，不得參與相關(guān)軟件開(kāi)發(fā)。參加過(guò)應(yīng)用系統(tǒng)開(kāi)發(fā)的人員，不得擔(dān)任相應(yīng)系統(tǒng)的管理員。第一百零八條 公司安全管理委員會(huì)及營(yíng)業(yè)部安全管理小組應(yīng)當(dāng)加強(qiáng)公司總部和各營(yíng)業(yè)部主要崗位工作人員的錄用、考核制度，不適宜的人員必須及時(shí)調(diào)離。第一百零九條 電腦技術(shù)人員調(diào)離時(shí)，必須移交全部技術(shù)手冊(cè)及有關(guān)資料，并更換計(jì)算機(jī)的有關(guān)口令和密鑰。涉及公司業(yè)務(wù)核心部分開(kāi)發(fā)的技術(shù)人員調(diào)離原工作崗位或公司時(shí)，應(yīng)當(dāng)確認(rèn)對(duì)公司計(jì)算機(jī)信息系統(tǒng)安全不會(huì)造成危害后方可調(diào)離。 責(zé) 任 第一百一十條 違反本條例的規(guī)定，有下列行為之一的，由公司安全管理委員會(huì)處以警告或通報(bào)批評(píng)處分：違反計(jì)算機(jī)信息系統(tǒng)安全管理中有關(guān)條例，危害計(jì)算機(jī)信息系統(tǒng)安全的；不按照規(guī)定時(shí)間報(bào)告計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件的；接到公司安全管理委員會(huì)要求改進(jìn)安全狀況的通知后，在限期內(nèi)拒不改進(jìn)或未完成目標(biāo)的；違反審批制度增設(shè)或更換設(shè)備、裝置的；拒絕、阻礙公司計(jì)算機(jī)安全管理組織實(shí)施安全檢查的；有危害計(jì)算機(jī)信息系統(tǒng)安全的其他行為的。第一百一十一條 計(jì)算機(jī)房不符合公司《計(jì)算機(jī)房管理制度》及《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》有關(guān)規(guī)定的，或者在計(jì)算機(jī)機(jī)房附近施工危害計(jì)算機(jī)信息系統(tǒng)安全的，由公司安全管理委員會(huì)會(huì)同有關(guān)部門進(jìn)行處理。第一百一十二條 故意輸入計(jì)算機(jī)病毒以及其他有害數(shù)據(jù)危害公司計(jì)算機(jī)信息系統(tǒng)安全的，由公司安全管理委員會(huì)處以警告或者罰款處分。第十三節(jié) 信息技術(shù)中心總部數(shù)據(jù)管理員職責(zé)細(xì)則職責(zé)范圍第一百一十三條 數(shù)據(jù)管理員負(fù)責(zé)對(duì)總部應(yīng)用系統(tǒng)數(shù)據(jù)實(shí)施備份，并實(shí)行安全可靠的管理；對(duì)營(yíng)業(yè)部上交的應(yīng)用系統(tǒng)數(shù)據(jù)備份進(jìn)行歸檔和使用實(shí)行管理；掌握數(shù)據(jù)庫(kù)超級(jí)用戶權(quán)限，安全規(guī)范地管理數(shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行。第一百一十四條 制定備份策略，對(duì)數(shù)據(jù)文件和數(shù)據(jù)庫(kù)進(jìn)行備份。與檔案管理員協(xié)作，妥善保管備份介質(zhì)。第一百一十五條 根據(jù)業(yè)務(wù)需求和用戶申請(qǐng)創(chuàng)建、刪除數(shù)據(jù)庫(kù)，修改數(shù)據(jù)庫(kù)參數(shù)設(shè)置。第一百一十六條 根據(jù)業(yè)務(wù)需求和用戶申請(qǐng)創(chuàng)建數(shù)據(jù)庫(kù)系統(tǒng)的登錄用戶，賦予用戶適當(dāng)?shù)臄?shù)據(jù)庫(kù)權(quán)限，包括數(shù)據(jù)庫(kù)所有者權(quán)限、數(shù)據(jù)庫(kù)對(duì)象的增刪改權(quán)限等；刪除用戶；保管應(yīng)用程序中封裝的數(shù)據(jù)庫(kù)用戶的密碼。第一百一十七條 在數(shù)據(jù)庫(kù)需要進(jìn)行數(shù)據(jù)和結(jié)構(gòu)方面的調(diào)整時(shí)，創(chuàng)建臨時(shí)調(diào)試用戶并交由應(yīng)用系統(tǒng)維護(hù)人員使用，并在使用完畢后及時(shí)刪除測(cè)試用戶。第一百一十八條 利用數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)跟蹤記錄功能，設(shè)置對(duì)應(yīng)用系統(tǒng)、調(diào)試用戶、超級(jí)用戶訪問(wèn)數(shù)據(jù)庫(kù)的命令進(jìn)行跟蹤，記錄到監(jiān)控日志文件中；定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時(shí)通報(bào)。第一百一十九條 除上述數(shù)據(jù)庫(kù)管理內(nèi)容之外的方面，如定時(shí)任務(wù)的管理，定期檢查系統(tǒng)日志、監(jiān)控參數(shù)的設(shè)置等。數(shù)據(jù)安全管理的原則第一百二十條 數(shù)據(jù)必須是有據(jù)的，能夠辨認(rèn)數(shù)據(jù)的內(nèi)容、用途和使用方法；必須經(jīng)過(guò)合法的手續(xù)和規(guī)定的渠道采集、加工、處理和傳播數(shù)據(jù)；數(shù)據(jù)應(yīng)只用于明確規(guī)定的目的，未經(jīng)批準(zhǔn)不得它用；采用的數(shù)據(jù)范圍應(yīng)與規(guī)定用途相符。第一百二十一條 采用相宜的預(yù)防措施，保持?jǐn)?shù)據(jù)的完整、準(zhǔn)確、及時(shí)、可用；數(shù)據(jù)管理者應(yīng)承擔(dān)保存或處理數(shù)據(jù)的保護(hù)職責(zé)，防止數(shù)據(jù)的丟失、誤用或破壞；特殊或重要數(shù)據(jù)，應(yīng)采用多種記錄手段 異地保存，免遭意外風(fēng)險(xiǎn)。第一百二十二條 數(shù)據(jù)使用者有權(quán)查閱被授權(quán)的數(shù)據(jù)，索取數(shù)據(jù)記錄復(fù)制件，更正有關(guān)自身的任何不準(zhǔn)確數(shù)據(jù)；享受有限次數(shù)規(guī)定的有問(wèn)必答權(quán)利。第一百二十三條 制訂必須的數(shù)據(jù)存取細(xì)則，采取措施防止數(shù)據(jù)被非法修改，堵塞管理操作的疏忽或蓄謀竊取數(shù)據(jù)的漏洞。第一百二十四條 無(wú)正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得通報(bào)數(shù)據(jù)內(nèi)容，不得泄漏數(shù)據(jù)給內(nèi)部或外部的無(wú)關(guān)人員。第一百二十五條 不應(yīng)造成可從發(fā)布的統(tǒng)計(jì)數(shù)據(jù)中推斷出保密或敏感的信息。第一百二十六條 建立適當(dāng)?shù)谋O(jiān)督、管理機(jī)制，保證與數(shù)據(jù)有關(guān)的個(gè)體和數(shù)據(jù)管理者的合法權(quán)益不被侵犯。 數(shù)據(jù)安全管理的內(nèi)容第一百二十七條 完整性: 數(shù)據(jù)內(nèi)容的完整性指的是保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的修改。它包括單個(gè)數(shù)據(jù)完整性和數(shù)據(jù)序列完整性。它是一系列安全性能的集合，這些性能都與數(shù)據(jù)能被系統(tǒng)正確提供給目標(biāo)實(shí)體有關(guān)。第一百二十八條 保密性: 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的信息應(yīng)該根據(jù)其重要性、密級(jí)、應(yīng)用需求等分別實(shí)施相應(yīng)的加密措施，保密信息不得以明文形式存儲(chǔ)和傳送。應(yīng)根據(jù)信息的重要性、密級(jí)規(guī)定及用途，決定操作人員的存取權(quán)限和存取方式。所有的統(tǒng)計(jì)信息應(yīng)根據(jù)其重要程度進(jìn)行密級(jí)劃分，并制訂相應(yīng)的管理辦法，確定允許對(duì)外發(fā)布和交流的信息指標(biāo)、報(bào)批權(quán)限和手續(xù)。第一百二十九條 可用性: 可用性保證了信息是正確可用的。在營(yíng)業(yè)部的電腦系統(tǒng)中，要對(duì)操作者進(jìn)行職責(zé)授權(quán)、使用授權(quán)確認(rèn)。必須對(duì)采集信息的合法性、輸入信息的有效性、業(yè)務(wù)與帳務(wù)處理的正確性進(jìn)行全面的確認(rèn)，保證信息的有效性、合法性和正確性。要采用各種有效的技術(shù)手段與崗位責(zé)任制、行政手段、法律手段相結(jié)合的方法，確保采集、處理、存儲(chǔ)、加工、傳輸及輸出的數(shù)據(jù)正確可用。 數(shù)據(jù)安全管理的具體辦法第一百三十條 口令及權(quán)限限制：營(yíng)業(yè)部的電腦部應(yīng)指定一人為第一責(zé)任人，由第一責(zé)任人掌管超級(jí)用戶口令，第一責(zé)任人必須定期修改超級(jí)用戶口令，如一月修改一次，并將口令密封后報(bào)公司電腦部備案。第一負(fù)責(zé)人應(yīng)本著：使各操作員能夠圓滿地完成本職工作，但與各操作員工作無(wú)關(guān)的權(quán)限不能提供的原則，統(tǒng)一規(guī)劃各操作員的使用權(quán)限，并嚴(yán)格按照規(guī)劃分配各操作員的工作范圍及權(quán)限，產(chǎn)生不同的毫無(wú)規(guī)律的密碼，同時(shí)要求各操作員必須性地更換密碼，并嚴(yán)禁相互泄漏密碼。第一百三十一條 時(shí)間限制：對(duì)部分用戶程序登錄和使用時(shí)間作出限制，例如限制系統(tǒng)初始化只允許在某一時(shí)間內(nèi)登錄等。第一百三十二條 網(wǎng)絡(luò)地址限制：利用網(wǎng)絡(luò)地址對(duì)敏感用戶程序登錄和使用的工作站作出限制，如限制行情接收及轉(zhuǎn)換，交易系統(tǒng)的后臺(tái)處理及清算等程序只能在某些特定的工作站上登錄、運(yùn)行。第一百三十三條 系統(tǒng)的安全性：為防止外來(lái)非法程序的入侵，除電腦機(jī)房?jī)?nèi)，其他地方上網(wǎng)的工作站必須為無(wú)盤站，嚴(yán)禁未經(jīng)許可的軟盤直接上網(wǎng)使用。為防止病毒破壞數(shù)據(jù)，各營(yíng)業(yè)部電腦網(wǎng)絡(luò)必須安裝正版防病毒網(wǎng)絡(luò)軟件。對(duì)于外來(lái)軟盤或程序，必須先在單獨(dú)的計(jì)算機(jī)上先查病毒，保證無(wú)毒的條件下才能夠上網(wǎng)使用。第一百三十四條 數(shù)據(jù)監(jiān)控：在條件許可的情況下，實(shí)施監(jiān)視對(duì)策，對(duì)發(fā)生的密碼輸入錯(cuò)誤、超權(quán)數(shù)據(jù)存取的情況進(jìn)行監(jiān)視，對(duì)連續(xù)多次無(wú)效存取進(jìn)行強(qiáng)制結(jié)束，并進(jìn)行記錄，以便日后查閱分析。對(duì)連續(xù)多次無(wú)效存取進(jìn)行強(qiáng)制結(jié)束。第一百三十五條 數(shù)據(jù)檢查：每天清算后必須檢查數(shù)據(jù)的正確性，如紅利、紅股的上帳是否正確，配股的上帳是否正常。一但發(fā)覺(jué)錯(cuò)誤必須及時(shí)更正。建議各營(yíng)業(yè)部采用的交易軟件具有數(shù)據(jù)檢查工具包。第一百三十六條 歷史數(shù)據(jù)的更改：歷史數(shù)據(jù)的更改必須有二個(gè)以上的人員在場(chǎng)，并且必須記載更改的理由、更改使用的方法及步驟，在場(chǎng)的人員、操作的人員以及詳細(xì)指明更改的數(shù)據(jù)內(nèi)容。所有在場(chǎng)人員必須簽名并注明時(shí)間。第一百三十七條 數(shù)據(jù)備份：交易數(shù)據(jù)是公司的重要資料，保存完整的交易數(shù)據(jù)是降低經(jīng)營(yíng)風(fēng)險(xiǎn)、維護(hù)客戶正當(dāng)權(quán)益的可靠保證，可以是財(cái)務(wù)查帳清楚明了，與股民發(fā)生糾紛時(shí)有據(jù)可查，即使出現(xiàn)問(wèn)題時(shí)也可以分清責(zé)任。并且在系統(tǒng)發(fā)生故障時(shí)，以保證數(shù)據(jù)、文件的恢復(fù)工作，確保在最短的時(shí)間內(nèi)恢復(fù)正常工作，必須按嚴(yán)格地制度進(jìn)行數(shù)據(jù)備份。第一百三十八條 數(shù)據(jù)保密:為防止數(shù)據(jù)的非法使用、修改、丟失，和由于數(shù)據(jù)不正當(dāng)?shù)陌l(fā)布而引起的對(duì)營(yíng)業(yè)部不利的局面的產(chǎn)生，營(yíng)業(yè)部做到以下保密措施： 備份的數(shù)據(jù)、打印出的數(shù)據(jù)必須指定專人負(fù)責(zé)保管，由營(yíng)業(yè)部計(jì)算機(jī)房工作人員按規(guī)定的方法同數(shù)據(jù)保管負(fù)責(zé)人進(jìn)行數(shù)據(jù)的交接。交接后的數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或指定的場(chǎng)所保管。 數(shù)據(jù)保管員必須用文件管理等方法，對(duì)數(shù)據(jù)進(jìn)行登記