《证券经营机构营业部信息系统技术管理规范（试行）》技术指引（注意：本文内容来源于中国证监会网站，由ChinaCISSP摘录整理，仅供参考。摘录者不保证内容的完全正确，关键应用应从正式渠道获得该规范文本。）第一章管理体系技术指引第一节组织结构一、电脑中心负责制定的与信息系统相关的规章制度（[2.1.2(1)]）至少应包括下方面：1、组织机构与人员管理；2、安全管理(包括病毒防范)；3、文档资料管理；4、数据管理；5、硬件设备管理（包括相关设备强制更换）；6、软件管理；7、网络管理；8、机房管理；9、运行维护管理（包括操作安全管理）；10、技术事故防范与处理。电脑中心还应编制涵盖上述制度内容的工作手册，并根据实际情况每年进行修订。二、电脑中心审核营业部电脑负责人的任职资格（[2.1.2(4)]），包括对其进行要的奖励和惩罚。电脑负责人任职要专岗专责，不得由业务人员兼任，也不得兼任业务职务。三、电脑中心除为营业部提供技术支持外（[2.1.2(9)]），还应为本证券经营机的其它部门提供技术支持。四、电脑中心的数据管理职能（[2.1.2(10)]）要求电脑中心要对数据实行集中理，尽量做到异地实时备份。五、对营业部信息系统的定期检查应为每年至少一次（[2.1.2(12)]）。定期检为规范性检查，不定期检查为专项检查，检查必须有文字记录。六、[2.1.3(2)]中的有关部门是指结算公司和证券通信公司。七、[2.1.3(6)]中的其它重要数据至少包括：服务器系统参数配置，主要网络设参数配置，通信设备参数配置，智能化电源、空调的参数配置，交易系统、通信软件及其它应用软件的参数配置等。八、电脑部在履行职能时（[2.1.3]），还要注意做好以下方面的工作：1、强化安全意识，自觉遵守并监督执行安全制度的落实；2、及时完成电脑中心布置的各项工作；3、保持机房及配电房达到规定技术指标，并保持整洁；4、负责计算机硬件、软件、通信设备的管理与维护，建立技术档案，保持系统处于良好的运行状态；5、负责营业部技术资料的保管与维护；6、有条件的营业部应定期做好服务器的全系统备份。第二节人员管理一、执行对营业部信息技术人员编制规定（[2.2.1]）时应注意：营业部总人数于20人的，也要至少配备2名专职信息技术人员。二、[2.2.4]中的关键技术岗位至少包括电脑部全部工作人员岗位。三、电脑中心应强化对信息技术人员的管理职能（[2.2.5]），包括：1、参与信息技术人员的招聘，并可行使否决权；2、对信息技术人员进行必要的奖励和惩罚；3、对营业部信息技术人员每年至少进行一次技术培训和考核，重新认定上岗资格；4、有条件的证券经营机构可实行垂直管理，直接确定电脑部的人员编制和收入等。四、对信息技术人员离岗应加强管理（[2.2.8]），至少达到如下要求：信息技术人员离岗时必须严格办理离岗手续，明确其离岗后的保密义务，退还全部技术资料，电脑中心必须派员监督交接过程。新旧工作人员应共同工作不少于5个工作日，信息系统口令必须立即更换。第三节安全管理一、计算机安全管理的保障机制（[2.3.3]）包括稽核监控和安全合规奖惩等方面的内容。二、计算机机房安全管理制度中要求的值班人员（[2.3.4(2)]）必须是信息技人员。三、[2.3.5(3)]中的“定期更换操作口令”是指至少每两个月更换一次。四、[2.3.5(8)]中要求的技术监管系统，应在电脑中心的统一规划下建立，并证券经营机构的状况相适应。五、[2.3.5(8)]中要求的“定期进行独立的对帐”是为了防范业务风险而采取计算机稽核手段。六、操作安全制度（[2.3.5]）在执行中，应重视以下方面：1、所有用户的登录必须具有屏蔽中断功能；2、新开用户需经严格审批；3、冗余用户要及时清理，超过三个月未使用过的用户要设置为禁止使用状态或删除；4、数据库管理系统的系统管理员口令应由电脑中心集中管理，并于非软件开发商的第三处封存保管。七、[2.3.6(1)]对病毒检测的具体要求为：电脑部应指定专人负责计算机病毒防范工作，并至少每半个月及在已知敏感日期前夕，进行病毒检测，发现病毒立即报告电脑中心病毒防范负责人，并在其指导下进行处理，同时详细记录病毒发作过程。第四节技术资料管理一、[2.4.2]中的各级管理机构是指电脑中心和电脑部。二、重要技术资料的管理必须严格（[2.4.4]）：1、重要技术资料应有专人管理，专柜存放；2、重要技术资料应有副本并异地存放。在条件允许时，应存放在银行的保险箱内或其它符合要求的存放地点。第二章硬件设施技术