【正文】 第 0001 號備份 第九十條 備份的密封處理 可移動的備份介質(zhì)在完成聯(lián)機(jī)備份操作后，如須密封處理則應(yīng)按如下步驟操作： 《備份介質(zhì)密封登記表》（見附件 9），注明備份 日期、內(nèi)容、操作人、復(fù)核人等相關(guān)內(nèi)容，該登記表一式兩份； 長城證券有限責(zé)任公司 此資料來自 臺商訊息網(wǎng) , 大量管理資料下載 長城證券有限責(zé)任公司信息技術(shù)中心編制 共 58 第 19 頁 （ 內(nèi)部資料注意保密 ） 將備份介質(zhì)及相關(guān)的附件裝入檔案盒，同時放入一份《備份介質(zhì)密封登記表》，另外一份登記表貼于檔案盒封面； 將檔案盒封口處貼上封條，并蓋上保管部門的密封章。同時盡可能選擇可移動的備份介質(zhì)，以利于數(shù)據(jù)備份的歸檔管理。 第八十六條 數(shù)據(jù)備份在周期性方面可選擇采用以下四種方式： 永久性的完全備份：數(shù)據(jù)備份到存儲介質(zhì)后，將介質(zhì)密封永久保存； 周五做完全備份、周一至周四做增量備份； 定期做覆蓋方式的完全備份：在同一備份介質(zhì)上覆蓋原有備份數(shù)據(jù)； 定期做追加方式的 完全備份：在同一備份介質(zhì)上增加最新狀態(tài)的備份； 第八十七條 根據(jù)第四條中不同周期備份方式的要求，備份可選擇以下幾種存儲介質(zhì)： 寫的刻錄光碟（ CD、 DVD等），適合于永久備份； 磁帶，適合于所有備份策略； 可擦寫的其他存儲介質(zhì)（硬盤、 MO 等），適合于備份策略； 備份介質(zhì)在備份操作前須經(jīng)過編號，編號規(guī)則見 第八十九條 。 第八十四條 必須保留軟硬件說明書、配置軟件、配置參數(shù)等技術(shù)資料，并存放于安全地點(diǎn)，有關(guān)事項(xiàng)按《技術(shù)資料管理制 長城證券有限責(zé)任公司 此資料來自 臺商訊息網(wǎng) , 大量管理資料下載 長城證券有限責(zé)任公司信息技術(shù)中心編制 共 58 第 18 頁 （ 內(nèi)部資料注意保密 ） 度》及《信息系統(tǒng)環(huán)境標(biāo)準(zhǔn)》執(zhí)行。 第八十二條 營業(yè)部必須對交易數(shù)據(jù)等進(jìn)行備份，備份數(shù)據(jù)存放按公司《技術(shù)資料管理制度》和《信息系統(tǒng)安全管理制度》 執(zhí)行。 第八十條 公司總部員工須與信息技術(shù)中心簽定 《電腦安全承諾書》后，才能領(lǐng)用和使用辦公電腦。 第七十八條 在使用 modem與外界通訊或能夠訪問 Inter的計算機(jī)上應(yīng)安 裝病毒實(shí)時監(jiān)控軟件。 第七十六條 新系統(tǒng)安裝前應(yīng)進(jìn)行病毒例行檢測，避免使用盜版軟件。 第七十四條 經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認(rèn)無病毒后方可使用。重要部門的計算機(jī)應(yīng)當(dāng)指定專人專管計算機(jī)病 毒防范工作。 第八節(jié) 病毒防范 第七十二條 信息技術(shù)中心應(yīng)指定專人負(fù)責(zé)計算機(jī)病毒防范工作。 第七十條 建立和完善技術(shù)監(jiān)管系統(tǒng)，定期進(jìn)行獨(dú)立的對帳，核對交易數(shù)據(jù)、清算數(shù)據(jù)、保證金數(shù)據(jù)、證券托管數(shù)據(jù)以及會計數(shù)據(jù)的一致性和連續(xù)性。 第六十九條 營業(yè)部電腦技術(shù)人員可以協(xié)助但不得擔(dān)任清算員從事結(jié)算記帳工作。 第六十七條 營業(yè)部總經(jīng)理應(yīng)及時審計交易系統(tǒng)柜員所做的操作，重要崗位的登錄過程應(yīng)增加必要的限制措施。 第六十六條 各崗位操作權(quán)限要嚴(yán)格按崗位職責(zé)設(shè)置，管理員不得超越用戶職責(zé)授權(quán)。 第六十四條 一般用戶口令長度不得少于 6位，不使用小鍵盤的人員編制口令應(yīng)做到字符與數(shù)字混排，不得使用電話號碼、生 長城證券有限責(zé)任公司 此資料來自 臺商訊息網(wǎng) , 大量管理資料下載 長城證券有限責(zé)任公司信息技術(shù)中心編制 共 58 第 16 頁 （ 內(nèi)部資料注意保密 ） 日等作為口令；系統(tǒng)管理員口令不得少于 10位。 第六十二條 禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令。 第六十條 對使用公司網(wǎng)絡(luò)訪問 Inter，使用打印機(jī)等的用戶實(shí)行嚴(yán)格管理。 第五十六條 營業(yè)部技術(shù)人員在應(yīng)用系統(tǒng)中的權(quán)限應(yīng)只限于系統(tǒng)管理，而無業(yè)務(wù)操作權(quán)限。 第五十八條 營業(yè)部交易系統(tǒng)管理員新增 /刪除柜臺用戶或?qū)τ脩魴?quán)限進(jìn)行分配應(yīng)有文 字記錄。上述通知應(yīng)包括需要新增 /刪除的用戶的姓名、工作的部門、需要使用何種應(yīng)用等。 第六節(jié) 用戶、組及其權(quán)限 第五十五條 系統(tǒng)管理員根據(jù)公司業(yè)務(wù)要求建立具有不同權(quán)限的用戶組，包括系統(tǒng)管理權(quán)限、系統(tǒng)和數(shù)據(jù)備 份權(quán)限、帳號管理權(quán)限、各種數(shù)據(jù)庫訪問權(quán)限、不同的文件訪問權(quán)限、各種應(yīng)用程序使用權(quán)限、網(wǎng)絡(luò)打印權(quán)限、遠(yuǎn)程訪問權(quán)限、Inter訪問權(quán)限等。營業(yè)部柜臺交易系統(tǒng)管理員由營業(yè)部總經(jīng)理擔(dān)任。 第五十二條 總部信息技術(shù)中心設(shè)網(wǎng)絡(luò)管理員崗位，負(fù)責(zé)公司廣域網(wǎng)連接方案、網(wǎng)絡(luò)安全方 案的實(shí)施，對總部局域網(wǎng)、公司廣域網(wǎng)連接、各類移動連接、 Inter接入設(shè)備進(jìn)行管理，以及其它保證網(wǎng)絡(luò)連接安全穩(wěn)定的日常事務(wù)性工作。 管理員應(yīng)采取的安全措施有： 由于管理員組和備份組成員擁有對 SAM數(shù)據(jù)庫的權(quán)限，所以必須嚴(yán)格限制管理員組和備份組成員資格，并加強(qiáng)對這些帳戶的審計； 改變 Administrator帳戶名，為管理員和備份操作員創(chuàng)建專用帳號，為特定的工作建立專用的帳號，要求在執(zhí)行相應(yīng)的管理任務(wù)時使用相應(yīng)的帳號， 操作結(jié)束時及時注銷； 關(guān)閉管理員以及特殊權(quán)限用戶的遠(yuǎn)程訪問能力，特殊情況可以采用預(yù)設(shè)電話號碼的回?fù)芊绞剑? 管理員組、備份組成員帳戶不能用于瀏覽 WEB。定期檢查監(jiān)控日志，發(fā)現(xiàn)異常及時通報。在技術(shù)允許的條件下，應(yīng)限制用戶的登錄工作站。 第四十七條 為了安全期間，營業(yè)部與營業(yè)部之間應(yīng)限制相互間的直接操作。對上海報盤應(yīng)做到總部備份。營業(yè)部柜臺交易系統(tǒng)管理員由營業(yè)部總經(jīng)理擔(dān)任。 長城證券有限責(zé)任公司 此資料來自 臺商訊息網(wǎng) , 大量管理資料下載 長城證券有限責(zé)任公司信息技術(shù)中心編制 共 58 第 12 頁 （ 內(nèi)部資料注意保密 ） 第四十四條 總部信息技術(shù)中心設(shè)崗位職責(zé)，分別負(fù)責(zé)公司廣域網(wǎng)連接方案、網(wǎng)絡(luò)安全方案的實(shí)施，對總部局域網(wǎng)、公司廣域網(wǎng)連接、各類移動連接、 Inter接 入設(shè)備進(jìn)行管理，以及其它保證網(wǎng)絡(luò)連接安全穩(wěn)定的日常事務(wù)性工作。 第四十二條 公司總部及營業(yè)部應(yīng)當(dāng) 對 公司總部和各營業(yè)部通信系穩(wěn)定、安全 情況進(jìn)行 定期 檢查， 并 及時整改不安全隱患。 第四十條 通信線路接口部分應(yīng)采取防止 非法進(jìn)入的安全措施。 第三十九條 通信設(shè)備應(yīng)具有防干擾、防截取能力。并采用 PPP協(xié)議中 PAP、 CHAP相應(yīng)的認(rèn)證。 第三十七條 采用數(shù)據(jù)加密技術(shù)保證數(shù)據(jù)安全傳輸。 第四節(jié) 網(wǎng)絡(luò)和通信系統(tǒng)的安全管理 第三十五條 計算機(jī) 通信 系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵守法律、行 政法規(guī)和國家其他有關(guān)規(guī)定 ，并建立一個多層次的安全系統(tǒng)，在信息的安全和共享之間建立平衡。 第三十三條 對服務(wù)器及其資源的管理： 對資源共享權(quán)限和 NTFS訪問權(quán)限進(jìn)行嚴(yán)格、有效的管理，不授予用戶超出需要的權(quán)限，權(quán)限的設(shè)置必須有明確的依據(jù)； 制 定方案，對敏感資源的操作、系統(tǒng)登錄情況進(jìn)行定期或不定期檢查，及時查看 L系統(tǒng)日志文件，對 ALERT相關(guān)日志提示作出及時響應(yīng)； 提供遠(yuǎn)程訪問和對外 WEB服務(wù)的服務(wù)器不存放敏感數(shù)據(jù)； 對一些系統(tǒng)程序 (如 Tel、 ftp等 )的使用應(yīng)加強(qiáng)控制；停止服務(wù)器上不必要的服務(wù)；盡量減少所使用的協(xié)議。 第三十一條 重要的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備應(yīng)放置在機(jī)房，通過《計算機(jī)房管理制度》保證其物理安全性。該安裝盤與購置的應(yīng)用軟件安裝盤一并由檔案管理員保管，由應(yīng)用系統(tǒng)維護(hù)人員調(diào)用安裝。測試穩(wěn)定后由信息技術(shù)中心統(tǒng)一分發(fā)安裝使用。 第二十八條 新購置的軟件需經(jīng)信息技術(shù)中心測試和試運(yùn)行。 第二十六條 信息技術(shù)中心應(yīng)與軟件開發(fā)商和供應(yīng)商保持聯(lián)系，及時取得并組織安裝經(jīng)過測試的安全補(bǔ)丁。 第二十四條 信息技術(shù)人員應(yīng)按照信息技術(shù)中心下發(fā)的安裝配置方法對系統(tǒng)軟件進(jìn)行統(tǒng)一的安裝配置。 第二節(jié) 軟件安全管理 第二十二條 總部信息技術(shù)中心依據(jù)公司《軟件開發(fā)管理制度》對系統(tǒng)軟件、應(yīng)用軟件的開發(fā)、購買、測試和使用等環(huán)節(jié)進(jìn)行管理。 第二十條 公司安全管理委員會 在緊急情況下，可以就涉及計算機(jī)信 息系統(tǒng)安 全的特定事項(xiàng)發(fā)布專項(xiàng) 通知 。 安全監(jiān)督 第十八條 公司安全管理委員會 對 公司內(nèi)部 計算機(jī)信息系 統(tǒng)安全保護(hù)工作行使下列監(jiān)督職權(quán)： 監(jiān)督、檢查、指導(dǎo)計算機(jī)信息系統(tǒng)安全保護(hù)工作； 查處危害計算機(jī)信息系統(tǒng)安全的 事件； 組織或委托有關(guān)部門對新建、改建和擴(kuò)建的系統(tǒng)進(jìn)行安全驗(yàn)收，負(fù)責(zé)系統(tǒng)安全技術(shù)檢測工作； 組織開展系統(tǒng)安全競賽和評比；負(fù)責(zé)通報表彰和處罰； 履行計算機(jī)信息系統(tǒng)安全保護(hù)工作的其他監(jiān)督職責(zé)。 第十六條 公司總部和各營業(yè)部 啟用新的應(yīng)用軟件，應(yīng)當(dāng)按 《軟件開發(fā)管理制度（試行）》 中有關(guān) 規(guī)定業(yè)務(wù)系統(tǒng)，并做好日志記錄。 長城證券有限責(zé)任公司 此資料來自 臺商訊息網(wǎng) , 大量管理資料下載 長城證券有限責(zé)任公司信息技術(shù)中心編制 共 58 第 8 頁 （ 內(nèi)部資料注意保密 ） 第十四條 公司安全管理委員會及營業(yè)部安全管理小組應(yīng)當(dāng) 對 公司總部和各 營業(yè)部 重要崗位計算機(jī)信息系統(tǒng)的安全情況經(jīng)常進(jìn)行檢查， 并 及時整改不安全隱患。 第十二條 對公司員工進(jìn)行計算機(jī)安全教育，提高員工的安全意識，是公司安全策略的重要組成部分。 第十條 通過對信息系 統(tǒng)環(huán)境、軟件、硬件、網(wǎng)絡(luò)和通信、用戶和權(quán)限、規(guī)范化操作、病毒防范、備份和恢復(fù)手段以及安全審計等的有效管理，維護(hù)公司整個計算機(jī)環(huán)境的一致性。 安全策略 第八條 計算機(jī)信息系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵守法律、行政法規(guī)和國家其他有關(guān)規(guī)定。 第六條 公司安全管理委員會的職責(zé)包括：建立健全公司各種安全制 長城證券有限責(zé)任公司 此資料來自 臺商訊息網(wǎng) , 大量管理資料下載 長城證券有限責(zé)任公司信息技術(shù)中心編制 共 58 第 7 頁 （ 內(nèi)部資料注意保密 ） 度、對安全工作小組的工作進(jìn)行授權(quán)、對公司各類信息的重要性進(jìn)行評估為其安全級別的制定提供依據(jù)、對安全工作小組有關(guān)報告的討論和批復(fù)、安全事故處理結(jié)果的公布、取得法律支持以解決信息系統(tǒng)入侵者的問 題，以及進(jìn)行安全教育和安全檢查。 組織和職責(zé) 第四條 信息系統(tǒng)安全管理實(shí)行公司總裁負(fù)責(zé)的公司安全管理委員會和營業(yè)部總經(jīng)理負(fù)責(zé)的營業(yè)部安全管理小組兩級管理制度。 第二條 信息系統(tǒng)安全管理涉及安全管理組織建設(shè)、安全策略、系統(tǒng)環(huán)境安全、軟件安全、設(shè)備（實(shí)體）安全、網(wǎng)絡(luò)和通訊系統(tǒng)安全、用戶及權(quán)限管理、操作安全、病毒防范、系統(tǒng)備份、日志記錄、事故處理以及安全審計等內(nèi)容，公司信息技術(shù)工作應(yīng)在本制度指引下，本著“安全第一”的原則進(jìn)行。 第七條 對于投資較大、建設(shè)周期較長、涉及面廣的計算機(jī)應(yīng)用項(xiàng)目，信息技術(shù)中心將邀請業(yè)務(wù)需求部門、營業(yè)部電腦人員及有關(guān)專家進(jìn)行技術(shù)論證和評審，原則上采用統(tǒng)一招標(biāo)，統(tǒng)一推廣的方式。 第五條 信息技術(shù)中心根據(jù)公司信息系統(tǒng)建設(shè)總體規(guī)劃和各部室、中心及營業(yè)部提交的計劃，匯總制定公司下一年度計算機(jī)應(yīng)用項(xiàng)目購建計劃，報請 公司批準(zhǔn)后執(zhí)行。 第三條 已立項(xiàng)的計算機(jī)應(yīng)用項(xiàng)目完成后，由公司信息技術(shù)中心會同有關(guān)業(yè)務(wù)管理人員組成項(xiàng)目驗(yàn)收小組進(jìn)行驗(yàn)收，驗(yàn)收結(jié)果形成《長城證券有限責(zé)任公司計算機(jī)應(yīng)用項(xiàng)目驗(yàn)收報告》（ 見附表 2）。 長城證券有限責(zé)任公司 此資料來自 臺商訊息網(wǎng) , 大量管理資料下載 長城證券有限責(zé)任公司信息技術(shù)中心編制 共 58 第 4 頁 （ 內(nèi)部資料注意保密 ） 第二章 信息系統(tǒng)工程項(xiàng)目申請、立項(xiàng)和審批程序 第一條 計算機(jī)應(yīng) 用項(xiàng)目包括計算機(jī)網(wǎng)絡(luò)系統(tǒng)新建與改造、硬件設(shè)備與系統(tǒng)軟件的購置、升級以及應(yīng)用軟件開發(fā)與升級等。 第二條 本實(shí)施細(xì)則主要包括計算機(jī)應(yīng)用項(xiàng)目立項(xiàng)和審批程序、計算 機(jī)設(shè)備購置和使用管理、應(yīng)用軟件開發(fā)管理、計算機(jī)設(shè)備報廢管理、耗材管理、網(wǎng)絡(luò)管理、機(jī)房管理、技術(shù)文檔的管理、系統(tǒng)安全保密管理、 網(wǎng)絡(luò)防病毒管理以 及技術(shù)培訓(xùn)管理等。 附表 8 計算機(jī)設(shè)備驗(yàn)收單 ............... 15 錯誤 !未定義書簽。 附表 6 軟件項(xiàng)目需求報告 ................ 1 錯誤 !未定義書簽。 第九