【正文】 的正確性進(jìn)行全面的確認(rèn)，保證信息的有效性、合法性和正確性。第一百二十九條 可用性: 可用性保證了信息是正確可用的。應(yīng)根據(jù)信息的重要性、密級(jí)規(guī)定及用途，決定操作人員的存取權(quán)限和存取方式。它是一系列安全性能的集合，這些性能都與數(shù)據(jù)能被系統(tǒng)正確提供給目標(biāo)實(shí)體有關(guān)。 數(shù)據(jù)安全管理的內(nèi)容第一百二十七條 完整性: 數(shù)據(jù)內(nèi)容的完整性指的是保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的修改。第一百二十五條 不應(yīng)造成可從發(fā)布的統(tǒng)計(jì)數(shù)據(jù)中推斷出保密或敏感的信息。第一百二十三條 制訂必須的數(shù)據(jù)存取細(xì)則，采取措施防止數(shù)據(jù)被非法修改，堵塞管理操作的疏忽或蓄謀竊取數(shù)據(jù)的漏洞。第一百二十一條 采用相宜的預(yù)防措施，保持?jǐn)?shù)據(jù)的完整、準(zhǔn)確、及時(shí)、可用；數(shù)據(jù)管理者應(yīng)承擔(dān)保存或處理數(shù)據(jù)的保護(hù)職責(zé)，防止數(shù)據(jù)的丟失、誤用或破壞；特殊或重要數(shù)據(jù)，應(yīng)采用多種記錄手段 異地保存，免遭意外風(fēng)險(xiǎn)。第一百一十九條 除上述數(shù)據(jù)庫管理內(nèi)容之外的方面，如定時(shí)任務(wù)的管理，定期檢查系統(tǒng)日志、監(jiān)控參數(shù)的設(shè)置等。第一百一十七條 在數(shù)據(jù)庫需要進(jìn)行數(shù)據(jù)和結(jié)構(gòu)方面的調(diào)整時(shí)，創(chuàng)建臨時(shí)調(diào)試用戶并交由應(yīng)用系統(tǒng)維護(hù)人員使用，并在使用完畢后及時(shí)刪除測(cè)試用戶。第一百一十五條 根據(jù)業(yè)務(wù)需求和用戶申請(qǐng)創(chuàng)建、刪除數(shù)據(jù)庫，修改數(shù)據(jù)庫參數(shù)設(shè)置。第一百一十四條 制定備份策略，對(duì)數(shù)據(jù)文件和數(shù)據(jù)庫進(jìn)行備份。第一百一十二條 故意輸入計(jì)算機(jī)病毒以及其他有害數(shù)據(jù)危害公司計(jì)算機(jī)信息系統(tǒng)安全的，由公司安全管理委員會(huì)處以警告或者罰款處分。 責(zé) 任 第一百一十條 違反本條例的規(guī)定，有下列行為之一的，由公司安全管理委員會(huì)處以警告或通報(bào)批評(píng)處分：違反計(jì)算機(jī)信息系統(tǒng)安全管理中有關(guān)條例，危害計(jì)算機(jī)信息系統(tǒng)安全的；不按照規(guī)定時(shí)間報(bào)告計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件的；接到公司安全管理委員會(huì)要求改進(jìn)安全狀況的通知后，在限期內(nèi)拒不改進(jìn)或未完成目標(biāo)的；違反審批制度增設(shè)或更換設(shè)備、裝置的；拒絕、阻礙公司計(jì)算機(jī)安全管理組織實(shí)施安全檢查的；有危害計(jì)算機(jī)信息系統(tǒng)安全的其他行為的。第一百零九條 電腦技術(shù)人員調(diào)離時(shí)，必須移交全部技術(shù)手冊(cè)及有關(guān)資料，并更換計(jì)算機(jī)的有關(guān)口令和密鑰。參加過應(yīng)用系統(tǒng)開發(fā)的人員，不得擔(dān)任相應(yīng)系統(tǒng)的管理員。第一百零六條 事故處理后應(yīng)及時(shí)進(jìn)行分析并寫出分析報(bào)告，總部相關(guān)部門應(yīng)在此基礎(chǔ)上明確責(zé)任歸屬，并向營業(yè)部通報(bào)。第一百零五條 事故出現(xiàn)后應(yīng)及時(shí)處理并按公司《營業(yè)部技術(shù)事故處理規(guī)定》的有關(guān)規(guī)定匯報(bào)。第一百零三條 《應(yīng)急處理流程》的制定應(yīng)涵蓋通信、服務(wù)、供電、數(shù)據(jù)、設(shè)備等，同時(shí)確定演習(xí)、通報(bào)、事故分析等內(nèi)容。第一百零一條 安全事故分成A、B、C三類，其中A類指對(duì)交易產(chǎn)生直接影響的事故；B類指未影響交易但造成一定經(jīng)濟(jì)損失的事故；C類指未影響交易也未造成經(jīng)濟(jì)損失，但構(gòu)成系統(tǒng)安全隱患的事故。第九十九條 系統(tǒng)運(yùn)行日志必須妥善保存，不得缺頁，定期存檔。 第九十六條 日志記錄采用標(biāo)準(zhǔn)格式，并具備相關(guān)責(zé)任人的簽字。第十節(jié) 日志記錄 第九十五條 信息技術(shù)中心及營業(yè)部電腦部應(yīng)對(duì)系統(tǒng)配置的更改、網(wǎng)絡(luò)用戶權(quán)限的分配和更改及原因作詳細(xì)記錄，對(duì)機(jī)房管理系統(tǒng)運(yùn)行情況，系統(tǒng)運(yùn)行故障現(xiàn)象、時(shí)間、處理方式等進(jìn)行詳細(xì)記錄。第九十三條 備份介質(zhì)的調(diào)用程序因日常備份操作、檢查備份、數(shù)據(jù)查詢等要求，需要調(diào)用檔案管理員保管的備份介質(zhì)，應(yīng)分以下幾種情況執(zhí)行調(diào)用程序： 備份由總部檔案室保管，則須填寫《備份介質(zhì)調(diào)用申請(qǐng)表》（見附表10），由信息技術(shù)中心總經(jīng)理、公司總裁或分管信息技術(shù)中心的副總裁簽字后，從檔案管理員處領(lǐng)取，在使用完畢后按期交回； 備份密封后由信息技術(shù)中心檔案管理員保管，則須填寫《備份介質(zhì)調(diào)用申請(qǐng)表》（見附表10），由信息技術(shù)中心總經(jīng)理簽字后，從檔案管理員處領(lǐng)取，在使用完畢后按期交回； 如備份由備份管理員放置于臨時(shí)保管箱內(nèi)，則須填寫《備份介質(zhì)調(diào)用申請(qǐng)表》，由檔案管理員簽字即可領(lǐng)取。在脫機(jī)后，如保管時(shí)間超過七天，則須經(jīng)密封處理由信息技術(shù)中心檔案管理員保管；如保管時(shí)間不超過七天，則可有備份管理員鎖于臨時(shí)保管箱內(nèi)交由檔案管理員保管； 對(duì)于周五做完全備份、周一至周四做增量備份的方式，如采用磁帶柜備份且磁帶柜放置于安全的地點(diǎn)，則可將五天備份所用的磁帶一并放入磁帶柜，實(shí)現(xiàn)每日自動(dòng)裝載和備份；否則仍須按情況（2）的方式進(jìn)行保管。（注：密封章可以是公司公章、部門公章或備份專用章，應(yīng)當(dāng)由除檔案管理員之外的人員保管）第九十一條 備份的保管根據(jù)備份方式的不同，數(shù)據(jù)備份分如下兩種情況進(jìn)行保管： 對(duì)于永久性的完全備份，應(yīng)保留兩份備份。除非應(yīng)用系統(tǒng)有特殊要求，一般情況下不采用硬盤等不可移動(dòng)的備份介質(zhì)。第八十八條 對(duì)于某個(gè)具體的備份對(duì)象，原則上應(yīng)僅選擇一種備份方式和備份介質(zhì)實(shí)施備份。第八十五條 對(duì)于加密格式的數(shù)據(jù)，應(yīng)盡可能解密后備份，防范密鑰由于頻繁更換等原因可能丟失所帶來的風(fēng)險(xiǎn)。第八十三條 系統(tǒng)管理員必須提取有關(guān)系統(tǒng)的配置參數(shù)并在修改參數(shù)后及時(shí)更新。第九節(jié) 備份第八十一條 按照《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》的有關(guān)規(guī)定對(duì)系統(tǒng)進(jìn)行備份。第七十九條 因計(jì)算機(jī)病毒引起的計(jì)算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時(shí)向信息技術(shù)中心領(lǐng)導(dǎo)及電腦安全管理小組報(bào)告。 第七十七條 嚴(yán)格限制軟驅(qū)和光驅(qū)的使用，軟驅(qū)和光驅(qū)的使用按《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》的有關(guān)條款執(zhí)行。 第七十五條 禁止運(yùn)行未經(jīng)信息技術(shù)中心審核批準(zhǔn)的軟件。 第七十三條 總部和營業(yè)部必須配備公安部認(rèn)可的正版防病毒軟件并及時(shí)更新軟件版本?？偛考盃I業(yè)部應(yīng)定期進(jìn)行病毒檢測(cè)，發(fā)現(xiàn)病毒立即處理并報(bào)告。第七十一條 對(duì)數(shù)據(jù)備份和審計(jì)記錄建立定期查驗(yàn)制度。有關(guān)數(shù)據(jù)需打印存檔的必須使用連續(xù)的打印紙。 第六十八條 柜臺(tái)交易系統(tǒng)技術(shù)參數(shù)的調(diào)整由電腦部經(jīng)理負(fù)責(zé)；交易業(yè)務(wù)參數(shù)的調(diào)整由財(cái)務(wù)部經(jīng)理在履行審批手續(xù)后實(shí)施，禁止電腦技術(shù)人員調(diào)整業(yè)務(wù)參數(shù)。管理員應(yīng)定期檢查操作員的權(quán)限。 第六十五條 嚴(yán)禁泄露自己的口令，必須啟用系統(tǒng)軟件提供的安全審計(jì)留痕功能。 第六十三條 公司員工應(yīng)有互不相同的用戶名，定期兩個(gè)月更換操作口令。第七節(jié) 操作的規(guī)范化管理 第六十一條 總部和營業(yè)部應(yīng)分別制定操作規(guī)程，并定期修改。第五十九條 對(duì)用戶及權(quán)限管理應(yīng)按以下原則執(zhí)行： 　　　　　應(yīng)對(duì)具有系統(tǒng)管理、數(shù)據(jù)庫管理等特殊權(quán)限的用戶進(jìn)行限制，包括僅允許在機(jī)房和自己的工作地點(diǎn)登錄，同一時(shí)間僅允許同一用戶登錄一次允許遠(yuǎn)程訪問時(shí)必須設(shè)定回?fù)芊绞降龋? 　　　　　盡可能對(duì)組而不是對(duì)用戶授權(quán)； 　　　　　杜絕無口令的登錄帳戶，刪除GUEST帳戶； 　　　　　對(duì)口令長度、復(fù)雜程度、有效期、重復(fù)使用的間隔等進(jìn)行規(guī)定； 　　　　　及時(shí)鎖定過期帳戶、暫停使用的帳戶、多次試圖使用無效口令登錄的帳戶，臨時(shí)授權(quán)帳戶必須及時(shí)取消； 　　　　　一般不設(shè)公用帳戶，以保證用戶有獨(dú)立的帳戶； 　　　　　對(duì)使用時(shí)間進(jìn)行限制； 　　　　　超時(shí)鎖定； 　　　　　對(duì)無法設(shè)置口令的用戶及公用帳戶應(yīng)加強(qiáng)登錄時(shí)間、登錄地點(diǎn)、登錄數(shù)目的限制，對(duì)自動(dòng)執(zhí)行批處理命令的用戶應(yīng)有防中斷措施； 　　　 　權(quán)限變更或交接應(yīng)有文字記載。對(duì)股票、資金等參數(shù)進(jìn)行調(diào)整的非正常業(yè)務(wù)操作必須填寫書面說明，而且必須由營業(yè)部總經(jīng)理及財(cái)務(wù)部經(jīng)理共同批準(zhǔn)后方能執(zhí)行。第五十七條 營業(yè)部因人員新增調(diào)動(dòng)、離職等需對(duì)郵件等用戶作出調(diào)整的，由營業(yè)部辦公室主任通知信息技術(shù)中心。第五十六條 總部系統(tǒng)管理員應(yīng)依據(jù)總部行政部的書面通知，完成新增/刪除用戶、分配權(quán)限的工作，并用郵件方式回復(fù)。 第五十四條 公司設(shè)立財(cái)務(wù)系統(tǒng)管理員崗位，財(cái)務(wù)系統(tǒng)管理員一般由財(cái)務(wù)部經(jīng)理擔(dān)任。 第五十三條 營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負(fù)責(zé)。 第五十一條 總部信息技術(shù)中心設(shè)數(shù)據(jù)管理員崗位，負(fù)責(zé)總部數(shù)據(jù)的安全管理和維護(hù)，具體職責(zé)見《信息系統(tǒng)安全管理制度》第十三節(jié)“總部數(shù)據(jù)管理員職責(zé)細(xì)則”。第五節(jié) 管理員及其職責(zé) 　第五十條 總部信息技術(shù)中心設(shè)系統(tǒng)管理員崗位，負(fù)責(zé)公司信息系統(tǒng)的管理，包括服務(wù)器的規(guī)劃、安裝和配置，啟動(dòng)/停止系統(tǒng)和服務(wù)，對(duì)系統(tǒng)運(yùn)行狀態(tài)和入侵企圖進(jìn)行監(jiān)控，安裝/刪除軟件，增加/刪除/修改用戶和用戶組，對(duì)用戶/用戶組的權(quán)限進(jìn)行設(shè)置和修改，以及其它保持系統(tǒng)發(fā)展和安全運(yùn)行的工作。第四十九條 對(duì)于涉及業(yè)務(wù)、財(cái)務(wù)方面的數(shù)據(jù)庫，應(yīng)利用數(shù)據(jù)庫系統(tǒng)的訪問跟蹤記錄功能，設(shè)置對(duì)應(yīng)用系統(tǒng)、調(diào)試用戶、超級(jí)用戶訪問數(shù)據(jù)庫的命令進(jìn)行跟蹤，記錄到監(jiān)控日志文件中。第五節(jié) 數(shù)據(jù)訪問的安全管理第四十八條 由于審計(jì)、數(shù)據(jù)庫故障調(diào)試等原因，需要訪問數(shù)據(jù)庫時(shí)，應(yīng)創(chuàng)建臨時(shí)用戶、賦予適當(dāng)?shù)臋?quán)限，并交由審計(jì)人員、應(yīng)用系統(tǒng)維護(hù)人員使用，并在使用完畢后及時(shí)刪除該臨時(shí)用戶。對(duì)以上備份系統(tǒng)做到定期測(cè)試，保證通信無誤。第四十六條 營業(yè)部與交易所的衛(wèi)星通信均應(yīng)做到伙伴備份或isdn或ddn的備份。第四十五條 營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負(fù)責(zé)。第四十三條 對(duì)通信系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時(shí)向營業(yè)部總經(jīng)理匯報(bào)，并于即時(shí)與總部信息技術(shù)中心相關(guān)人員聯(lián)系，雙方合作盡快解決問題。第四十一條 進(jìn)行密碼設(shè)置，并進(jìn)行密碼的專職保管，防范通信線路接口部分的采取非法進(jìn)入。主要的通信設(shè)備應(yīng)做到設(shè)備備份。第三十八條 總部和營業(yè)部間業(yè)務(wù)數(shù)據(jù)的傳輸應(yīng)加密后采用數(shù)據(jù)專線進(jìn)行傳輸。總部和營業(yè)部間業(yè)務(wù)數(shù)據(jù)的傳輸應(yīng)加密后采用數(shù)據(jù)專線進(jìn)行傳輸。第三十六條 采用新的網(wǎng)絡(luò)安全軟件、設(shè)備和技術(shù)保證公司網(wǎng)絡(luò)的安全。第三十四條 對(duì)貯有重要數(shù)據(jù)的故障設(shè)備，交外單位人員修理時(shí)，公司總部及各營業(yè)部必須派專人在場監(jiān)督。 第三十二條 重要的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備應(yīng)有備品備件，出現(xiàn)問題及時(shí)更換。第三節(jié) 計(jì)算機(jī)及相關(guān)設(shè)備的安全管理 第三十條 總部信息技術(shù)中心配合行政部及財(cái)務(wù)部依據(jù)公司《電子與通訊設(shè)備固定資產(chǎn)管理制度》對(duì)計(jì)算機(jī)及相關(guān)設(shè)備的選型、采購等過程進(jìn)行管理。第二十九條 自行開發(fā)的應(yīng)用軟件，如源程序中需要嵌入數(shù)據(jù)庫訪問的用戶設(shè)置，應(yīng)由數(shù)據(jù)管理員得到源程序、制作安裝盤。試運(yùn)行完成后，試用人員應(yīng)填寫《軟件驗(yàn)收?qǐng)?bào)告表》（附表6）報(bào)信息技術(shù)中心領(lǐng)導(dǎo)審核，信息技術(shù)中心在收到報(bào)告后三天內(nèi)予以回復(fù)。第二十七條 軟件使用部門根據(jù)業(yè)務(wù)需要提出增添新的應(yīng)用軟件或?qū)σ延袘?yīng)用軟件提出新的功能要求，須以部門名義向信息技術(shù)中心填寫《軟件需求報(bào)告表》， 信息技術(shù)中心在收到《軟件需求報(bào)告表》（附表5）后，三天之內(nèi)給予書面答復(fù)。 第二十五條 信息系統(tǒng)的安全漏洞一經(jīng)發(fā)現(xiàn)應(yīng)及時(shí)報(bào)告公司安全管理委員會(huì)。 第二十三條 軟件的開發(fā)和采購報(bào)告必須包括安全設(shè)計(jì)的說明，其安全設(shè)計(jì)必須符合《軟件開發(fā)管理制度》的有關(guān)規(guī)定。 安全管理第一節(jié) 信息系統(tǒng)環(huán)境的安全管理 第二十一條 信息系統(tǒng)環(huán)境的安全管理按照公司《計(jì)算機(jī)房管理制度》及《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》執(zhí)行。第十九條 公司安全管理委員會(huì)發(fā)現(xiàn)影響計(jì)算機(jī)信息系統(tǒng)安全的隱患時(shí)，應(yīng)當(dāng)及時(shí)通知公司各有關(guān)部門和各營業(yè)部采取安全保護(hù)措施。第十七條 公司安全管理委員會(huì)應(yīng)當(dāng)建立嚴(yán)格的密鑰管理制度和在緊急情況下銷毀密鑰的手段和措施，以防止密鑰的失密。第十五條 公司安全管理委員會(huì)應(yīng)當(dāng)建立廢棄數(shù)據(jù)、介質(zhì)的處理制度。第十三條 營業(yè)部安全管理小組必須定期對(duì)本營業(yè)部的主要計(jì)算機(jī)信息系統(tǒng)資源配置、技術(shù)人員構(gòu)成進(jìn)行登記，并報(bào)公司安全管理委員會(huì)備案。 第十一條 建立一個(gè)多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。第九條 對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時(shí)向營業(yè)部總經(jīng)理匯報(bào)，并于24小時(shí)內(nèi)向總部信息技術(shù)中心報(bào)告。 第七條 營業(yè)部安全管理小組的職責(zé)包括：監(jiān)督和檢查各項(xiàng)安全管理制度在營業(yè)部的落實(shí)情況、定期向公司安全管理委員會(huì)提交工作報(bào)告、處理公司安全管理委員會(huì)授權(quán)的事務(wù)、配合公司安全工作小組的工作、開展計(jì)算機(jī)安全教育、保證營業(yè)部信息系統(tǒng)安全運(yùn)行。 第五條 公司安全管理委員會(huì)下設(shè)安全工作小組作為執(zhí)行機(jī)構(gòu)，定期對(duì)公司范圍信息系統(tǒng)的安全性作出評(píng)價(jià)，必要時(shí)提出提高安全性的建議。 第三條 本制度適用于長城證券公司總部、各地區(qū)總部及各營業(yè)部。 第三章　　信息系統(tǒng)安全管理制度 總 則 第一條 為了加強(qiáng)對(duì)公司信息系統(tǒng)的安全管理、防范和化解各種技術(shù)風(fēng)險(xiǎn)、保護(hù)投資者利益、維護(hù)公司的合法權(quán)益，確保公司各項(xiàng)業(yè)務(wù)的順利開展，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《證券經(jīng)營機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范（試行）》及有關(guān)規(guī)定制定本制度。 第六條 對(duì)于計(jì)劃外的計(jì)算機(jī)應(yīng)用項(xiàng)目，除特殊應(yīng)急項(xiàng)目特批外，其他原則上不予審批。第四條 公司各部室、中心在每年的12月31日前，提出本部門下一年度的計(jì)算機(jī)應(yīng)用項(xiàng)目建設(shè)、購置及升級(jí)計(jì)劃，填寫《計(jì)算機(jī)設(shè)備需求計(jì)劃表》（見附表3）、《計(jì)算機(jī)設(shè)備資金需求計(jì)劃表》（見附表4）報(bào)信息技術(shù)中心。第二條 凡單價(jià)超過五千元的計(jì)算機(jī)應(yīng)用項(xiàng)目，須填寫《長城證券有限責(zé)任公司計(jì)算機(jī)應(yīng)用項(xiàng)目立項(xiàng)申請(qǐng)報(bào)告》（見附表1），并報(bào)公司信息技術(shù)中心審批。第三條 本辦法適用于公司各部室、中心及所屬證券營業(yè)部（以下簡稱營業(yè)部）。附表9 備份介質(zhì)密封登記表 16附表10 備份介質(zhì)調(diào)用申請(qǐng)表 17附表11 計(jì)算機(jī)耗材及備品備件領(lǐng)用單 18附表12 信息技術(shù)中心總部數(shù)據(jù)備份任務(wù)一覽表