【正文】 急預案。第二十二條 托管機構在準備期的主要技術管理責任是向被托管機構的技術總部、中心機房、備份機房及各營業(yè)部派出技術人員，對所有的系統(tǒng)、數(shù)據(jù)、系統(tǒng)用戶、權限密碼、技術文檔、合同、設備等進行登記，對備份數(shù)據(jù)、技術文檔進行封存，對系統(tǒng)用戶權限和密碼進行審查，并按照審慎原則對重要的系統(tǒng)密碼進行接收。第二十四條 交接工作包括管理交接和系統(tǒng)交接。第二十五條 管理交接包括以下工作：1． 人員交流：技術組應向被托管技術方介紹交接方案，明確雙方職責及托管工作要求。3． 人員情況登記：被托管技術方應如實填寫《人員基本情況登記表》（表）、《人員基本情況匯總表》（表），表中應包括在處置日前半年內(nèi)離開的信息技術人員。5． 核對系統(tǒng)情況：技術組應與被托管技術方逐一核對信息系統(tǒng)情況，完善《交接日信息系統(tǒng)情況登記表》（表），以便雙方能毫無遺漏地作好各系統(tǒng)交接工作。2． 密碼交接：密碼交接應包括操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、網(wǎng)絡安全設備等的超級用戶密碼，及應用系統(tǒng)后臺用戶密碼的交接, 交接完后應填寫《交接日密碼設置修改登記表》（表）。在更改用戶密碼后，應檢查應用系統(tǒng)相關配置中使用相應用戶用于業(yè)務處理的情況，對配置文件中相應用戶的密碼進行修改，并及時作好相應測試，確保系統(tǒng)能正常運行。、按最小權限原則進行權限調(diào)整。、如果存在使用超級用戶用于后臺處理的情況，建立具有所需權限的用戶替代超級用戶，并修改相應的配置文件。4． 當前數(shù)據(jù)備份：應備份各系統(tǒng)中至處置日的所有當前數(shù)據(jù)和歷史數(shù)據(jù)，及交易所當日下發(fā)的清算文件、證券余額對賬文件等，并逐項填寫《交接日數(shù)據(jù)備份登記表》（表），備份完成后應檢查備份數(shù)據(jù)的完整性、可讀性，并作好備份數(shù)據(jù)的異地備份。（如發(fā)現(xiàn)存在原始數(shù)據(jù)篡改、刪除等問題，應該立即上報托管工作組處理）6． 技術資料交接：需交接的資料至少應包括以下各項：系統(tǒng)運行維護日志；應急預案；各系統(tǒng)技術文檔；信息系統(tǒng)設備清單；信息系統(tǒng)合同及合同執(zhí)行情況；各系統(tǒng)運行維護費用支付方式、支付情況；各系統(tǒng)開發(fā)商、設備供應商、電信部門、電力部門、物業(yè)部門、合作銀行等單位的聯(lián)系方式。 7． 設備清查：應根據(jù)被托管方提供的固定資產(chǎn)臺賬，由托管雙方共同對電子類設備進行清查，清查時應記錄設備狀況、所用系統(tǒng)及存放地點,完善《交接日系統(tǒng)硬件臺賬》（表）、《交接日系統(tǒng)軟件臺賬》（表）等相關表單。、將局域網(wǎng)與公司主干網(wǎng)斷開，對每臺機器進行斷網(wǎng)病毒查殺后方可恢復網(wǎng)絡連接。9． 由專業(yè)的信息安全技術人員對被托管機構信息系統(tǒng)進行完整、全面的安全評估，找出潛在技術風險，并提出整改方案，在規(guī)定時間內(nèi)監(jiān)督被托管方完成。第二十七條 交接工作中應注意的事項：1． 技術組和現(xiàn)場技術崗位應嚴格按照交接流程規(guī)定的時間和要求，有序逐項開展交接，不得擅自違反。3． 交接工作完成之后，技術組應負責對交接工作整體情況進行總結，以書面形式向托管工作組匯報。5． 在交接過程中應注意防范風險，做好數(shù)據(jù)和軟件的備份，確保系統(tǒng)正常運行。2． 無法獲得原有超級用戶密碼：因相應技術人員已離開被托管機構而無法獲得密碼，則應上報托管工作組，由托管工作組與被托管機構采取措施，聯(lián)系相應技術人員。3． 停用用戶異常：在停用等效超級用戶及認為不必要的用戶后，發(fā)現(xiàn)系統(tǒng)運行異常，則恢復相應用戶，并要求相應用戶進行密碼修改，同時應填寫《系統(tǒng)故障風險登記表》（表）上報至技術組。4． 權限修改異常：修改用戶權限后，發(fā)現(xiàn)系統(tǒng)運行異常，則增加相應所需權限，并填寫《系統(tǒng)故障風險登記表》（表）上報至技術組。6． 歷史備份數(shù)據(jù)移交異常：在歷史備份數(shù)據(jù)的移交過程中，如果出現(xiàn)歷史備份數(shù)據(jù)不全、無歷史備份數(shù)據(jù)、因備份介質(zhì)損壞無法讀取歷史備份數(shù)據(jù)、因資料不全無法讀取數(shù)據(jù)以及其他無法確認歷史數(shù)據(jù)的完整性和有效性的異常情況，須填寫《系統(tǒng)故障風險登記表》（表）上報至技術組。8． 數(shù)據(jù)上傳異常：在營業(yè)部將數(shù)據(jù)上交總部時，如果內(nèi)部網(wǎng)絡不能上傳文件，則采用快遞方式，同時填寫《系統(tǒng)故障風險登記表》（表）上報至技術組。10． 清查病毒異常：因查殺病毒引起系統(tǒng)不正常時，聯(lián)系開發(fā)商重裝系統(tǒng)，并應填寫《系統(tǒng)故障風險登記表》（表）上報至技術組。第三十條 托管機構在穩(wěn)定期的主要技術管理責任是對系統(tǒng)進行風險檢查，消除系統(tǒng)隱患，按照規(guī)范要求組織好系統(tǒng)的運行，確保系統(tǒng)穩(wěn)定運行；同時按照托管工作的進度要求，做好客戶保證金第三方存管的系統(tǒng)準備和上線組織。2． 各崗位操作權限應根據(jù)崗位職責嚴格按最小化原則進行設置，并定期進行檢查修改。4． 盡量啟用系統(tǒng)軟件提供的安全審計留痕功能，并記錄好運行日志。7． 建立關鍵系統(tǒng)的配置和變更文檔，及時作好參數(shù)備份，確保運行環(huán)境的可恢復性。9． 開市交易期間，禁止對總部端數(shù)據(jù)進行大批量的數(shù)據(jù)查詢和統(tǒng)計，防止系統(tǒng)堵塞而影響正常業(yè)務。第三十三條 信息系統(tǒng)整體風險評估報告應包括對信息系統(tǒng)技術模式、運行狀況及技術管理狀況的評估。、應用系統(tǒng)技術架構：重點關注前后臺分離、傳輸加密、系統(tǒng)漏洞及缺陷等情況。第三十五條 對信息系統(tǒng)運行狀況的評估應包括以下幾方面：1． 對關鍵設備備份情況進行評估:關鍵設備備份情況應包括關鍵服務器、主干路由器、主干交換機、工作站等設備的備份情況；重要通信線路備份及帶寬情況；交易所報盤線路“天地”備份情況等。3． 對故障應急處理能力進行評估:應對已有的應急資源、應急能力進行評估，應急資源包括應急人員、應急設施（備）、裝備和物資等，應急能力包括現(xiàn)有人員的技術、經(jīng)驗和接受的培訓等。第三十七條 托管各期的詳細工作要求及具體操作步驟請參照《交接工作流程表匯總》（附件二）。第三十九條 技術組要對被托管方在托管前開始進行的在建系統(tǒng)進行清理，根據(jù)輕重緩急和資金投入及業(yè)務需求情況提出續(xù)建、緩建、終止建設的意見并報托管工作組，由托管工作組確定是否續(xù)建、緩建、終止建設；托管組將需要終止的項目移交給清算組處理。第四十一條 對因客戶結算保證金存管方式變化導致的系統(tǒng)建設，托管工作組應會同存管銀行向中國證監(jiān)會提交有關協(xié)議文本、業(yè)務方案及技術方案等申請材料，通過審批后，由托管工作組組織實施。第四十三條 新系統(tǒng)的上線和運行管理應遵循證監(jiān)會頒布的《證券公司信息技術管理規(guī)范》的要求。第四十五條 技術組負責應急預案的全面管理及故障應急處理的全面組織和協(xié)調(diào)工作并負責監(jiān)督應急預案的制定、實施與演練，負責檢查應急預案的可行性，對發(fā)生的問題做出分析、判斷，并提供技術支持和指導。第四十六條 技術組應對被托管機構的應急預案進行檢查審核，組織被托管技術方對應急預案進行優(yōu)化、補充、完善。2． 應急預案應根據(jù)被托管機構信息系統(tǒng)的現(xiàn)狀，按科學、實用原則制定。進行應急演習時，應做好演習前的備份和演習后的恢復工作。5． 每次演習結束后應及時進行總結，根據(jù)演習情況對應急預案進行進一步完善。7． 信息系統(tǒng)發(fā)生故障時，應及時按預定分工密切配合，盡快按應急預案處理。技術故障處置原則如下：1． 當發(fā)生一般技術故障時，在保障交易和盡量保證交易資料的安全完整的前提下，可繼續(xù)開展全部或部分主要業(yè)務，同時按應急預案進行故障處理，盡快排除故障。第四十八條 技術組須對應急預案的實施全過程進行監(jiān)督檢查，督促被托管機構技術人員按預案指定的操作步驟及時進行應急處理。第五十條 為了確保出現(xiàn)故障時能及時得到相關單位支持，應急預案中應整理所有相關單位的聯(lián)系方式，包括被托管機構的各部門聯(lián)系電話，托管機構所有托管人員聯(lián)系電話，以及線路運營商、深滬交易所、深滬通訊公司、登記公司、設備供應商、軟件開發(fā)商、系統(tǒng)集成商、物業(yè)公司、電業(yè)局、當?shù)刈C監(jiān)局、合作銀行以及其它相關單位的聯(lián)系方式，具體內(nèi)容參考《交接日相關單位聯(lián)系方式匯總表》（表）。2. 現(xiàn)場技術崗位和被托管技術方共同做好本部門機房的運行維護和安全管理工作，現(xiàn)場技術崗位行使監(jiān)督職能。加強對機房運行環(huán)境的安全巡視，定期檢查后備電源電池的充放電情況，保證工作中電能的正常供應。被托管機構非機房工作人員獲現(xiàn)場技術崗位批準后方可進入機房。5. 托管期間，被托管機構機房設備進出，必須填寫《機房設備出入登記表》（表），獲現(xiàn)場技術崗位批準后方可進出。7. 電腦設備分類規(guī)范擺放，設備連接線要捆扎整齊，禁止擺放與業(yè)務無關的東西。8. 禁止在機房內(nèi)吸煙，不得攜帶易燃、易爆、易腐蝕、強磁及其他與機房工作無關的物品進入機房。2． 按照“三分離、一稽審”規(guī)范要求，用戶及密碼的管理工作由托管機構派駐各現(xiàn)場的負責人、業(yè)務人員及現(xiàn)場技術崗位共同進行。4． 用戶管理。5． 托管開始時，被托管技術方填報《交接前系統(tǒng)超級用戶密碼登記表》（表）提交托管機構。密碼按要求定期進行修改，修改記錄報托管工作組備案。7． 日常維護中，被托管機構信息技術人員如需使用超級用戶，須由用戶管理人用超級用戶登錄相應系統(tǒng)，被托管機構信息技術人員執(zhí)行相應操作，密碼掌控人進行監(jiān)督。8． 所有操作人員應有互不相同的用戶名，操作時使用各自的用戶名，并定期更換密碼，以防密碼泄露。2． 權限設置應遵從最小化原則。4． 修改權限時，由超級用戶密碼掌控人登錄相應系統(tǒng)，被托管機構信息技術人員執(zhí)行設置操作，超級用戶密碼掌控人依照《權限設置修改登記表》（表）內(nèi)容進行操作監(jiān)督，并復核修改內(nèi)容。6． 操作權限嚴格按崗位職責設置，密碼掌控人要定期檢查操作員的權限。財務數(shù)據(jù)依照財務相關規(guī)定執(zhí)行。3． 托管期內(nèi)由被托管機構相關人員進行每日數(shù)據(jù)備份，現(xiàn)場技術崗位對備份過程進行監(jiān)督。數(shù)據(jù)備份操作需登錄《每日數(shù)據(jù)備份登記表》（表）。5． 托管期內(nèi)每日備份數(shù)據(jù)由被托管技術方以周為單位定時上報技術組，現(xiàn)場技術崗位實施監(jiān)督。實施嚴格的安全保密管理，嚴禁泄露數(shù)據(jù)內(nèi)容。（五）報告辦法1． 信息技術采取日報告制度，現(xiàn)場技術崗位每日：前向技術組匯報其所在部門信息技術整體情況，報告格式參照《信息技術日報表》（表）進行，日報中應涵蓋系統(tǒng)運行、設備維護、人員管理、故障處理以及其它涉及信息技術方面的內(nèi)容。3． 當日若發(fā)生系統(tǒng)故障或升級，則《信息技術日報表》（表）應將《系統(tǒng)故障風險登記表》（表）作為附件，一并上報。（六）病毒防范管理細則1． 自托管之日起，現(xiàn)場技術崗位應定期組織被托管機構信息技術人員對所管轄的系統(tǒng)進行全面的殺毒工作；托管當日（或次日）應組織對整個系統(tǒng)進行一次全面殺毒。3． 病毒查殺情況需登錄《系統(tǒng)防病毒檢查表》（表）。6． 需要使用文件共享時，必須加上共享密碼并控制文件讀取權限。2． 現(xiàn)場技術崗位應配備用于存放技術資料的保管箱或保管柜等物件。4． 現(xiàn)場技術崗位應對重要技術文檔建立副本，并做到異地存放。設備隨機資料必須建立詳盡的臺賬記錄。7． 托管期內(nèi)，技術文檔的借閱、復制，應獲得現(xiàn)場技術崗位同意并予以登記。8． 資料保管人員應有高度的責任心，對保管的技術文檔經(jīng)常進行整理和重新歸檔。（八）信息技術人員管理細則1． 本辦法適用于被托管機構信息技術人員。3． 被托管機構信息技術人員須服從托管機構要求，遵守托管期間所有規(guī)章制度，做好托管期間信息技術安全保障工作。5． 托管期間，被托管信息技術人員未經(jīng)托管工作組批準，不得擅自離崗。6． 其它人事管理遵照托管工作組相關規(guī)定執(zhí)行。2． 托管當日（次日），現(xiàn)場技術崗位依據(jù)設備臺賬對被托管機構部門進行設備全面清查，對賬實不符的設備由被托管機構人員進行說明。3． 托管期間原則上不購置新的電腦設備和進行軟件升級和更換，但下列情況例外：4． 設備損壞且無替代，直接影響交易的正常進行；5． 軟件如不更換或升級時將影響到交易系統(tǒng)的正常運行；6． 交易所強制要求的系統(tǒng)升級涉及到的軟硬件；7． 其它影響到交易正常進行的事件需要購買設備。軟硬件設備的日常維護及安裝調(diào)試參見《系統(tǒng)運行維護管理細則》。. 托管期內(nèi)不報廢軟件。. 現(xiàn)場技術崗位要加強對、發(fā)電機等后備式電源的監(jiān)督管理，保證正常的設備供電。（十）網(wǎng)絡管理細則1． 被托管機構信息技術人員提供所有完整詳細的網(wǎng)絡布線、配線、網(wǎng)絡拓撲、網(wǎng)絡設備的網(wǎng)絡地址、硬件配置及其配置參數(shù)等網(wǎng)絡設計和網(wǎng)絡工程資料，供現(xiàn)場技術崗位查閱。3． 托管期間，原則上禁止廣域網(wǎng)絡的改造。4． 托管期間，現(xiàn)場技術崗位須嚴格管理各種網(wǎng)絡設備的口令、地址及網(wǎng)絡配置信息，并且督促被托管技術方做好相關維護記錄。修改完成后，現(xiàn)場技術崗位負責安全退出。設備接入公司內(nèi)網(wǎng)時須進行病毒清查及相關安全設置（如：升級補丁、禁用服務端口等）。嚴禁擅自安裝雙網(wǎng)卡機器進行跨網(wǎng)操作，或通過插拔網(wǎng)線改變機器接入網(wǎng)絡的方式。9． 認真做好網(wǎng)絡設備的清潔保養(yǎng)工作，定期對戶外的網(wǎng)絡通信設備、線路進行檢查，確保網(wǎng)絡通信的安全、暢通。（十二）系統(tǒng)運行維護管理細則1． 托管期內(nèi)，現(xiàn)場技術崗位督促和管理被托管技術方做好系統(tǒng)日常運維工作，督促被托管技術方按照技術組要求做好包括系統(tǒng)程序、配置文件和參數(shù)、操作系統(tǒng)和應用系統(tǒng)運行日志以及變更的系統(tǒng)等在內(nèi)的相應備份工作。3． 被托管技術方每日必須完整填寫系統(tǒng)運行日志，日志中應涵蓋系統(tǒng)操作項目、運行結果、異常情況、問題處理結果等內(nèi)容。5． 對交易和系統(tǒng)數(shù)據(jù)進行維護時，由申請部門提出需求，并填寫《系統(tǒng)數(shù)據(jù)維護記錄表》（表），經(jīng)現(xiàn)場技術崗位或技術組批準后，進行實施。操作完成后，被托管技術方須對系統(tǒng)進行全面測試，測試情況登錄《系統(tǒng)運行維護記錄表》（表），并上報技術組備案。8． 系統(tǒng)出現(xiàn)故障或遭受任何影響時，應立即啟動應急預案，填寫《系統(tǒng)故障風險登記表》（表），并上報技術組。進行應急演習時，要做好系統(tǒng)及數(shù)據(jù)的備份和恢復工作。（十三）新系統(tǒng)建設管理細則1． 新系統(tǒng)建設方案系統(tǒng)建設必須堅持高安全性、高可靠性和標準化的原則。3． 新建系統(tǒng)涉及到現(xiàn)有系統(tǒng)的改造情況下，應用系統(tǒng)各開發(fā)商應積極配合。5． 如果需要和外單位新建聯(lián)網(wǎng)，應采用可靠的技術隔離手段，確保安全可靠。() 操作系統(tǒng)軟件的使用應遵循最小功能原則及最小權限策略，關閉不必要的服務和端口。7． 應用軟件要求：（）應用軟件未經(jīng)嚴格測試不得上線。（）執(zhí)行規(guī)范化的信息系統(tǒng)上線流程，評估系統(tǒng)上線風險,應針對可能影響到現(xiàn)有運行系統(tǒng)的風險專門進行評估。