【正文】 后報公司電腦部備案。必須對采集信息的合法性、輸入信息的有效性、業(yè)務與帳務處理的正確性進行全面的確認，保證信息的有效性、合法性和正確性。第一百二十九條 可用性: 可用性保證了信息是正確可用的。應根據(jù)信息的重要性、密級規(guī)定及用途，決定操作人員的存取權限和存取方式。它是一系列安全性能的集合，這些性能都與數(shù)據(jù)能被系統(tǒng)正確提供給目標實體有關。 數(shù)據(jù)安全管理的內(nèi)容第一百二十七條 完整性: 數(shù)據(jù)內(nèi)容的完整性指的是保護數(shù)據(jù)免受未經(jīng)授權的修改。第一百二十五條 不應造成可從發(fā)布的統(tǒng)計數(shù)據(jù)中推斷出保密或敏感的信息。第一百二十三條 制訂必須的數(shù)據(jù)存取細則，采取措施防止數(shù)據(jù)被非法修改，堵塞管理操作的疏忽或蓄謀竊取數(shù)據(jù)的漏洞。第一百二十一條 采用相宜的預防措施，保持數(shù)據(jù)的完整、準確、及時、可用；數(shù)據(jù)管理者應承擔保存或處理數(shù)據(jù)的保護職責，防止數(shù)據(jù)的丟失、誤用或破壞；特殊或重要數(shù)據(jù)，應采用多種記錄手段 異地保存，免遭意外風險。第一百一十九條 除上述數(shù)據(jù)庫管理內(nèi)容之外的方面，如定時任務的管理，定期檢查系統(tǒng)日志、監(jiān)控參數(shù)的設置等。第一百一十七條 在數(shù)據(jù)庫需要進行數(shù)據(jù)和結構方面的調(diào)整時，創(chuàng)建臨時調(diào)試用戶并交由應用系統(tǒng)維護人員使用，并在使用完畢后及時刪除測試用戶。第一百一十五條 根據(jù)業(yè)務需求和用戶申請創(chuàng)建、刪除數(shù)據(jù)庫，修改數(shù)據(jù)庫參數(shù)設置。第一百一十四條 制定備份策略，對數(shù)據(jù)文件和數(shù)據(jù)庫進行備份。第一百一十二條 故意輸入計算機病毒以及其他有害數(shù)據(jù)危害公司計算機信息系統(tǒng)安全的，由公司安全管理委員會處以警告或者罰款處分。 責 任 第一百一十條 違反本條例的規(guī)定，有下列行為之一的，由公司安全管理委員會處以警告或通報批評處分：違反計算機信息系統(tǒng)安全管理中有關條例，危害計算機信息系統(tǒng)安全的；不按照規(guī)定時間報告計算機信息系統(tǒng)中發(fā)生的案件的；接到公司安全管理委員會要求改進安全狀況的通知后，在限期內(nèi)拒不改進或未完成目標的；違反審批制度增設或更換設備、裝置的；拒絕、阻礙公司計算機安全管理組織實施安全檢查的；有危害計算機信息系統(tǒng)安全的其他行為的。第一百零九條 電腦技術人員調(diào)離時，必須移交全部技術手冊及有關資料，并更換計算機的有關口令和密鑰。參加過應用系統(tǒng)開發(fā)的人員，不得擔任相應系統(tǒng)的管理員。第一百零六條 事故處理后應及時進行分析并寫出分析報告，總部相關部門應在此基礎上明確責任歸屬，并向營業(yè)部通報。第一百零五條 事故出現(xiàn)后應及時處理并按公司《營業(yè)部技術事故處理規(guī)定》的有關規(guī)定匯報。第一百零三條 《應急處理流程》的制定應涵蓋通信、服務、供電、數(shù)據(jù)、設備等，同時確定演習、通報、事故分析等內(nèi)容。第一百零一條 安全事故分成A、B、C三類，其中A類指對交易產(chǎn)生直接影響的事故；B類指未影響交易但造成一定經(jīng)濟損失的事故；C類指未影響交易也未造成經(jīng)濟損失，但構成系統(tǒng)安全隱患的事故。第九十九條 系統(tǒng)運行日志必須妥善保存，不得缺頁，定期存檔。 第九十六條 日志記錄采用標準格式，并具備相關責任人的簽字。第十節(jié) 日志記錄 第九十五條 信息技術中心及營業(yè)部電腦部應對系統(tǒng)配置的更改、網(wǎng)絡用戶權限的分配和更改及原因作詳細記錄，對機房管理系統(tǒng)運行情況，系統(tǒng)運行故障現(xiàn)象、時間、處理方式等進行詳細記錄。第九十三條 備份介質(zhì)的調(diào)用程序因日常備份操作、檢查備份、數(shù)據(jù)查詢等要求，需要調(diào)用檔案管理員保管的備份介質(zhì)，應分以下幾種情況執(zhí)行調(diào)用程序： 備份由總部檔案室保管，則須填寫《備份介質(zhì)調(diào)用申請表》（見附表10），由信息技術中心總經(jīng)理、公司總裁或分管信息技術中心的副總裁簽字后，從檔案管理員處領取，在使用完畢后按期交回； 備份密封后由信息技術中心檔案管理員保管，則須填寫《備份介質(zhì)調(diào)用申請表》（見附表10），由信息技術中心總經(jīng)理簽字后，從檔案管理員處領取，在使用完畢后按期交回； 如備份由備份管理員放置于臨時保管箱內(nèi)，則須填寫《備份介質(zhì)調(diào)用申請表》，由檔案管理員簽字即可領取。在脫機后，如保管時間超過七天，則須經(jīng)密封處理由信息技術中心檔案管理員保管；如保管時間不超過七天，則可有備份管理員鎖于臨時保管箱內(nèi)交由檔案管理員保管； 對于周五做完全備份、周一至周四做增量備份的方式，如采用磁帶柜備份且磁帶柜放置于安全的地點，則可將五天備份所用的磁帶一并放入磁帶柜，實現(xiàn)每日自動裝載和備份；否則仍須按情況（2）的方式進行保管。（注：密封章可以是公司公章、部門公章或備份專用章，應當由除檔案管理員之外的人員保管）第九十一條 備份的保管根據(jù)備份方式的不同，數(shù)據(jù)備份分如下兩種情況進行保管： 對于永久性的完全備份，應保留兩份備份。除非應用系統(tǒng)有特殊要求，一般情況下不采用硬盤等不可移動的備份介質(zhì)。第八十八條 對于某個具體的備份對象，原則上應僅選擇一種備份方式和備份介質(zhì)實施備份。第八十五條 對于加密格式的數(shù)據(jù)，應盡可能解密后備份，防范密鑰由于頻繁更換等原因可能丟失所帶來的風險。第八十三條 系統(tǒng)管理員必須提取有關系統(tǒng)的配置參數(shù)并在修改參數(shù)后及時更新。第九節(jié) 備份第八十一條 按照《信息系統(tǒng)環(huán)境標準》的有關規(guī)定對系統(tǒng)進行備份。第七十九條 因計算機病毒引起的計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴重破壞等重大事故及時向信息技術中心領導及電腦安全管理小組報告。 第七十七條 嚴格限制軟驅(qū)和光驅(qū)的使用，軟驅(qū)和光驅(qū)的使用按《信息系統(tǒng)環(huán)境標準》的有關條款執(zhí)行。 第七十五條 禁止運行未經(jīng)信息技術中心審核批準的軟件。 第七十三條 總部和營業(yè)部必須配備公安部認可的正版防病毒軟件并及時更新軟件版本?？偛考盃I業(yè)部應定期進行病毒檢測，發(fā)現(xiàn)病毒立即處理并報告。第七十一條 對數(shù)據(jù)備份和審計記錄建立定期查驗制度。有關數(shù)據(jù)需打印存檔的必須使用連續(xù)的打印紙。 第六十八條 柜臺交易系統(tǒng)技術參數(shù)的調(diào)整由電腦部經(jīng)理負責；交易業(yè)務參數(shù)的調(diào)整由財務部經(jīng)理在履行審批手續(xù)后實施，禁止電腦技術人員調(diào)整業(yè)務參數(shù)。管理員應定期檢查操作員的權限。 第六十五條 嚴禁泄露自己的口令，必須啟用系統(tǒng)軟件提供的安全審計留痕功能。 第六十三條 公司員工應有互不相同的用戶名，定期兩個月更換操作口令。第七節(jié) 操作的規(guī)范化管理 第六十一條 總部和營業(yè)部應分別制定操作規(guī)程，并定期修改。第五十九條 對用戶及權限管理應按以下原則執(zhí)行： 　　　　　應對具有系統(tǒng)管理、數(shù)據(jù)庫管理等特殊權限的用戶進行限制，包括僅允許在機房和自己的工作地點登錄，同一時間僅允許同一用戶登錄一次允許遠程訪問時必須設定回撥方式等； 　　　　　盡可能對組而不是對用戶授權； 　　　　　杜絕無口令的登錄帳戶，刪除GUEST帳戶； 　　　　　對口令長度、復雜程度、有效期、重復使用的間隔等進行規(guī)定； 　　　　　及時鎖定過期帳戶、暫停使用的帳戶、多次試圖使用無效口令登錄的帳戶，臨時授權帳戶必須及時取消； 　　　　　一般不設公用帳戶，以保證用戶有獨立的帳戶； 　　　　　對使用時間進行限制； 　　　　　超時鎖定； 　　　　　對無法設置口令的用戶及公用帳戶應加強登錄時間、登錄地點、登錄數(shù)目的限制，對自動執(zhí)行批處理命令的用戶應有防中斷措施； 　　　 　權限變更或交接應有文字記載。對股票、資金等參數(shù)進行調(diào)整的非正常業(yè)務操作必須填寫書面說明，而且必須由營業(yè)部總經(jīng)理及財務部經(jīng)理共同批準后方能執(zhí)行。第五十七條 營業(yè)部因人員新增調(diào)動、離職等需對郵件等用戶作出調(diào)整的，由營業(yè)部辦公室主任通知信息技術中心。第五十六條 總部系統(tǒng)管理員應依據(jù)總部行政部的書面通知，完成新增/刪除用戶、分配權限的工作，并用郵件方式回復。 第五十四條 公司設立財務系統(tǒng)管理員崗位，財務系統(tǒng)管理員一般由財務部經(jīng)理擔任。 第五十三條 營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負責。 第五十一條 總部信息技術中心設數(shù)據(jù)管理員崗位，負責總部數(shù)據(jù)的安全管理和維護，具體職責見《信息系統(tǒng)安全管理制度》第十三節(jié)“總部數(shù)據(jù)管理員職責細則”。第五節(jié) 管理員及其職責 　第五十條 總部信息技術中心設系統(tǒng)管理員崗位，負責公司信息系統(tǒng)的管理，包括服務器的規(guī)劃、安裝和配置，啟動/停止系統(tǒng)和服務，對系統(tǒng)運行狀態(tài)和入侵企圖進行監(jiān)控，安裝/刪除軟件，增加/刪除/修改用戶和用戶組，對用戶/用戶組的權限進行設置和修改，以及其它保持系統(tǒng)發(fā)展和安全運行的工作。第四十九條 對于涉及業(yè)務、財務方面的數(shù)據(jù)庫，應利用數(shù)據(jù)庫系統(tǒng)的訪問跟蹤記錄功能，設置對應用系統(tǒng)、調(diào)試用戶、超級用戶訪問數(shù)據(jù)庫的命令進行跟蹤，記錄到監(jiān)控日志文件中。第五節(jié) 數(shù)據(jù)訪問的安全管理第四十八條 由于審計、數(shù)據(jù)庫故障調(diào)試等原因，需要訪問數(shù)據(jù)庫時，應創(chuàng)建臨時用戶、賦予適當?shù)臋嘞?，并交由審計人員、應用系統(tǒng)維護人員使用，并在使用完畢后及時刪除該臨時用戶。對以上備份系統(tǒng)做到定期測試，保證通信無誤。第四十六條 營業(yè)部與交易所的衛(wèi)星通信均應做到伙伴備份或isdn或ddn的備份。第四十五條 營業(yè)部的局域網(wǎng)管理、營業(yè)部與交易所、登記公司、公司總部的通訊連接由營業(yè)部電腦部負責。第四十三條 對通信系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時向營業(yè)部總經(jīng)理匯報，并于即時與總部信息技術中心相關人員聯(lián)系，雙方合作盡快解決問題。第四十一條 進行密碼設置，并進行密碼的專職保管，防范通信線路接口部分的采取非法進入。主要的通信設備應做到設備備份。第三十八條 總部和營業(yè)部間業(yè)務數(shù)據(jù)的傳輸應加密后采用數(shù)據(jù)專線進行傳輸?？偛亢蜖I業(yè)部間業(yè)務數(shù)據(jù)的傳輸應加密后采用數(shù)據(jù)專線進行傳輸。第三十六條 采用新的網(wǎng)絡安全軟件、設備和技術保證公司網(wǎng)絡的安全。第三十四條 對貯有重要數(shù)據(jù)的故障設備，交外單位人員修理時，公司總部及各營業(yè)部必須派專人在場監(jiān)督。 第三十二條 重要的服務器、工作站、網(wǎng)絡設備、通訊設備應有備品備件，出現(xiàn)問題及時更換。第三節(jié) 計算機及相關設備的安全管理 第三十條 總部信息技術中心配合行政部及財務部依據(jù)公司《電子與通訊設備固定資產(chǎn)管理制度》對計算機及相關設備的選型、采購等過程進行管理。第二十九條 自行開發(fā)的應用軟件，如源程序中需要嵌入數(shù)據(jù)庫訪問的用戶設置，應由數(shù)據(jù)管理員得到源程序、制作安裝盤。試運行完成后，試用人員應填寫《軟件驗收報告表》（附表6）報信息技術中心領導審核，信息技術中心在收到報告后三天內(nèi)予以回復。第二十七條 軟件使用部門根據(jù)業(yè)務需要提出增添新的應用軟件或?qū)σ延袘密浖岢鲂碌墓δ芤螅氁圆块T名義向信息技術中心填寫《軟件需求報告表》， 信息技術中心在收到《軟件需求報告表》（附表5）后，三天之內(nèi)給予書面答復。 第二十五條 信息系統(tǒng)的安全漏洞一經(jīng)發(fā)現(xiàn)應及時報告公司安全管理委員會。 第二十三條 軟件的開發(fā)和采購報告必須包括安全設計的說明，其安全設計必須符合《軟件開發(fā)管理制度》的有關規(guī)定。 安全管理第一節(jié) 信息系統(tǒng)環(huán)境的安全管理 第二十一條 信息系統(tǒng)環(huán)境的安全管理按照公司《計算機房管理制度》及《信息系統(tǒng)環(huán)境標準》執(zhí)行。第十九條 公司安全管理委員會發(fā)現(xiàn)影響計算機信息系統(tǒng)安全的隱患時，應當及時通知公司各有關部門和各營業(yè)部采取安全保護措施。第十七條 公司安全管理委員會應當建立嚴格的密鑰管理制度和在緊急情況下銷毀密鑰的手段和措施，以防止密鑰的失密。第十五條 公司安全管理委員會應當建立廢棄數(shù)據(jù)、介質(zhì)的處理制度。第十三條 營業(yè)部安全管理小組必須定期對本營業(yè)部的主要計算機信息系統(tǒng)資源配置、技術人員構成進行登記，并報公司安全管理委員會備案。 第十一條 建立一個多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。第九條 對計算機信息系統(tǒng)中發(fā)生的案件，營業(yè)部電腦人員即時向營業(yè)部總經(jīng)理匯報，并于24小時內(nèi)向總部信息技術中心報告。 第七條 營業(yè)部安全管理小組的職責包括：監(jiān)督和檢查各項安全管理制度在營業(yè)部的落實情況、定期向公司安全管理委員會提交工作報告、處理公司安全管理委員會授權的事務、配合公司安全工作小組的工作、開展計算機安全教育、保證營業(yè)部信息系統(tǒng)安全運行。 第五條 公司安全管理委員會下設安全工作小組作為執(zhí)行機構，定期對公司范圍信息系統(tǒng)的安全性作出評價，必要時提出提高安全性的建議。 第三條 本制度適用于長城證券公司總部、各地區(qū)總部及各營業(yè)部。 第三章　　信息系統(tǒng)安全管理制度 總 則 第一條 為了加強對公司信息系統(tǒng)的安全管理、防范和化解各種技術風險、保護投資者利益、維護公司的合法權益，確保公司各項業(yè)務的順利開展，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《證券經(jīng)營機構營業(yè)部信息系統(tǒng)技術管理規(guī)范（試行）》及有關規(guī)定制定本制度。 第六條 對于計劃外的計算機應用項目，除特殊應急項目特批外，其他原則上不予審批。第四條 公司各部室、中心在每年的12月31日前，提出本部門下一年度的計算機應用項目建設、購置及升級計劃，填寫《計算機設備需求計劃表》（見附表3）、《計算機設備資金需求計劃表》（見附表4）報信息技術中心。第二條 凡單價超過五千元的計算機應用項目，須填寫《長城證券有限責任公司計算機應用項目立項申請報告》（見附表1），并報公司信息技術中心審批。第三條 本辦法適用于公司各部室、中心及所屬證券營業(yè)部（以下簡稱營業(yè)部）。附表9 備份介質(zhì)密封登記表 16附表10 備份介質(zhì)調(diào)用申請表 17附表11 計算機耗材及備品備件領用單