(2012年12月3日修订发布)
第一章 总则
第一条 为加强证券公司证券营业部信息技术管理,防范技术风险,保障证券市场平稳运行,依据《中华人民共和国证券法》、中国证监会规章和中国证券业协会自律规则的有关规定,制定本指引。
第二条 证券公司应全面负责证券营业部信息技术管理,统一制定证券营业部信息技术建设、运维、安全等管理制度,并督促证券营业部有效执行。
第三条 证券公司应遵循安全性、实用性、可操作性等原则,统一规划和建设证券营业部的信息系统。
第四条 根据证券营业部是否提供现场交易服务和是否部署与现场交易服务相关的信息系统,证券营业部的信息系统建设模式可以分为:
A型模式:在营业场所内部署与现场交易服务相关的信息系统为客户提供现场交易服务。采用该类型信息系统建设模式的证券营业部,在本指引中简称为A型证券营业部。部署证券公司网上交易站点的证券营业部,或作为其他证券营业部网络通信汇聚节点且所连接的证券营业部中提供现场交易的证券营业部,视同为A型证券营业部。
B型模式:在营业场所内未部署与现场交易服务相关的信息系统,但依托公司总部或其他证券营业部的信息系统为客户提供现场交易服务。采用该类型信息系统建设模式的证券营业部,在本指引中简称为B型证券营业部。
C型模式:在营业场所内未部署与现场交易服务相关的信息系统且不提供现场交易服务。采用该类型信息系统建设模式的证券营业部,在本指引中简称为C型证券营业部。
证券公司可根据自身状况和业务发展需要,自主选择证券营业部信息系统建设模式。
第二章 系统建设
第五条 A型证券营业部应设机房。B型和C型证券营业部可不设机房,但网络及通信等设备应集中放置和管理。
第六条 机房选址应满足如下要求:
(一)选择具备可靠供电的场所;
(二)远离强震源、强磁场源和强噪声源,远离电磁干扰源或实施有效电磁干扰防护;
(三)远离产生粉尘、油烟、有害气体以及具有腐蚀性、易燃、易爆物品的工厂、仓库等场所;
(四)符合当地抗震强度要求;
(五)符合当地消防主管部门的消防安全要求;
(六)尽量避免低洼地带。
第七条 机房建设应满足以下要求:
(一)尽量避让建筑物顶层、地下室、用水设备的下层或隔壁以及易漏雨、易渗水和易遭雷击的区域,避开易发生火灾危险的区域;
(二)选择通信设施健全,相对安全、易于管理的区域;
(三)避让主干电力电缆穿越场所,避让供水、消防管网经过;
(四)设备放置处应考虑地面承重,应尽量选择有主干墙、承重墙的位置放置,必要时应进行地面加固;
(五)应配备应急照明装置;
(六)应配备防火防盗门等有效安保设施。
第八条 机房应采用可靠的综合接地系统或独立接地系统,防止雷电对机房设施造成损坏。
第九条 机房应具备独立空调系统,使机房温度保持在23℃±5℃范围内。
第十条 机房供电应满足如下要求:
(一)应具有独立于一般照明电的专用供电线路,设有独立的配电柜或配电箱。相关电器设备、电线应与机柜用电负载相适应,并留有余量。
(二)应配置UPS电源,并不得将与业务无关的设备接入UPS电源。市电插座与UPS插座应严格区分,插座面板应有提示性的标识或标签。
第十一条 A型和B型证券营业部应至少配备一种持续供电方式,在市电中断情况下,保证不低于25%的现场交易终端或同等支持能力的其他交易终端在交易时间内持续工作,满足证券营业部客户现场交易需要。
第十二条 证券营业部配备或租用发电机的,发电机应安装在具有良好通风的场地内,并远离易燃易爆物品。
第十三条 证券营业部采用结构化综合布线系统的,综合布线应符合《建筑与建筑群综合布线工程系统设计规范》(GBT/T 50311)要求。
第十四条 证券公司与证券营业部之间应采用至少2条不同运营商或不同介质的通信线路,建立安全、可靠通信连接,且线路带宽能够满足证券营业部业务需要并留有冗余。网络通信设备应有冗余备份,保证发生故障时实现及时切换。
A型和B型证券营业部的通信线路中应有一条为地面数据专线。
第十五条 证券营业部与其他外联单位、互联网建立通信线路的,证券公司可根据业务需要,要求证券营业部选择合适的通信线路、线路带宽和线路备份方式。
第十六条 证券公司应制定证券营业部局域网、公司广域网、互联网接入以及安全防护的网络建设规范,并统一规划管理证券营业部网络配置参数和IP地址段。
第十七条 证券公司应确保证券营业部局域网与公司广域网、互联网实现有效隔离。
第十八条 证券公司应根据业务需要,合理划分证券营业部局域网安全域,确定各安全域的功能定位,在各安全域之间采取安全措施实现有效隔离。
第十九条 证券公司应对证券营业部与客户建立的网络连接进行审批,对连接方式进行统一规划和管理,并采取安全措施,实现有效隔离。
第二十条 证券公司应确保证券营业部部署防病毒、防木马、防恶意代码等系统安全防护软件,保护证券营业部信息系统安全。
第二十一条 证券公司可根据需要在证券营业部中部署电话委托接入设备,并确保安全稳定运行。
第二十二条 证券公司应确保证券营业部提供行情、开户、交易、资讯等客户服务的信息系统,具备足够的健壮性,系统处理能力具有一定的冗余度,并采用热备或冷备等手段,避免单点故障,提高系统可用性。
第二十三条 证券公司应确保A型和B型证券营业部提供至少2种相互独立的行情揭示系统、委托方式。
第二十四条 证券公司应对证券营业部安装使用的应用软件进行统一管理,证券营业部不得擅自安装与业务及技术维护无关的应用软件。
第三章 运维管理
第二十五条 证券公司应为A型证券营业部至少配备一名专职技术人员、B型证券营业部至少配备一名兼职技术人员,并制定顶岗、备岗等相关制度,确保在交易时间内有技术人员值守。专职技术人员和兼职技术人员应具有计算机相关专业学历或从事信息技术工作1年以上。
第二十六条 证券公司应加强证券营业部机房管理,确保任何人员未经许可不得擅自挪动机房内设备、更改网络线路,外来人员未经允许不得进入机房。机房内不得安置易燃易爆及强磁物品。
第二十七条 证券公司应加强证券营业部网络配置、访问控制、安全审计等网络管理,确保证券营业部的网络设备按最小安全访问原则设置访问控制权限,每一次变更后及时更新备份网络设备的配置信息。
第二十八条 证券公司应加强证券营业部设备选型、购置、登记、保养、维修、报废等设备管理,确保对关键设备建立维护档案。
第二十九条 证券公司应加强证券营业部数据备份、存放、保密、调阅、销毁等数据管理,确保证券营业部指定专人负责数据管理,数据调阅须经审批,且不得对外泄露。
第三十条 证券公司应加强证券营业部技术文档的收集、更新、保管、借阅等管理,确保证券营业部根据信息系统的变更情况及时更新技术文档。证券营业部技术文档包括但不限于机房平面图、供配电图、网络拓扑图、信息点对照表、系统手册、应急预案、运维日志、设备维护档案等资料。
第三十一条 证券公司应确保证券营业部在关键系统和关键设备的用户管理上遵循权限最小化原则,建立用户和权限的清单,定期进行检查核对。用户和权限变更应执行相关审批流程,并保留完整的变更记录。
第三十二条 证券公司应确保证券营业部关键系统和关键设备的管理员用户密码实行专人管理,采用不低于8位的复合密码,每半年至少更换一次。发生人员变动时应及时更新密码。
第三十三条 证券公司应统一管理和指导证券营业部进行生产环境下的测试工作,制定详细的测试计划,并确保做好系统、数据和应用程序测试前的备份工作。测试完成后做好系统的恢复和验证等工作。
第三十四条 证券公司应确保证券营业部在供电、网络通信、服务器、现场交易服务相关系统等关键设备或系统变更时经过严格的测试。
第三十五条 证券公司应确保证券营业部在信息系统变更前制定详细的变更方案和变更应急预案,并做好系统和数据的备份。
第三十六条 除故障应急外,证券公司应确保证券营业部在交易时间内不得进行任何与现场交易服务相关的信息系统变更操作。
第三十七条 证券公司应确保A型证券营业部具备完善的监控体系,对信息系统的运行环境、运行状况等进行定时监控和事后分析。
第三十八条 证券公司应确保A型和B型证券营业部对系统运维日志进行规范管理,日常操作及异常事件处理应在系统运维日志中详细记录。运维日志可采用电子文档或纸质件记录,并妥善保管,保留期限不少于2年。
第三十九条 证券公司应确保证券营业部至少每半年检查一次电力、机房空调、消防等设施,每季度选择非交易时间进行UPS电池的充放电测试,并详细记录。
第四十条 证券公司根据需要可外包B型和C型证券营业部的信息系统运维工作。运维外包应满足但不限于以下要求:
(一)运维外包服务人员满足本指引第二十五条的相关要求。
(二)与外包服务提供单位签订外包合同与保密协议,确保信息系统安全运行、风险可控。
(三)不得授予外包人员业务系统操作权限。
第四章 安全管理
第四十一条 证券公司应加强证券营业部网络安全管理,确保证券营业部不得擅自对外互联或设立网站。如确有必要,证券公司应对网站的设立和维护进行统一管理。
第四十二条 证券公司应确保证券营业部加强计算机终端的管理,记录网卡地址,防止非法使用。未经许可,不得将客户和员工的自备计算机接入证券营业部网络。
证券营业部提供无线网络服务的,证券公司应统一制定证券营业部无线网络使用规范,采取有效的无线网络准入控制措施,登记并记录无线接入设备的信息。
第四十三条 证券公司应确保证券营业部加强客户和员工访问互联网的管理,出现网络违法犯罪情况时应及时配合公安机关进行处理。
第四十四条 证券公司应确保证券营业部及时更新系统补丁、升级系统安全防护软件,定期进行全面的病毒和木马检测,发现病毒和木马立即处理并报告。移动存储、外来电子文档、软件系统使用前应进行病毒和木马查杀。
第四十五条 证券公司应统一制定证券营业部信息系统故障应急处理流程,并确保证券营业部建立信息系统应急预案并及时更新。
第四十六条 证券公司应确保证券营业部每年至少进行两次应急演练,并留存演练记录。
第四十七条 证券营业部发生影响交易业务的技术故障时,证券公司应立即启动应急预案,尽快恢复交易业务,并按有关要求及时上报公司和证券营业部所在地证监局。应急事件处理完成后,应以书面形式上报公司和证券营业部所在地证监局。
第五章 附则
第四十八条 证券公司其他分支机构从事与交易相关业务,信息系统建设和管理应遵照本指引执行。
第四十九条 中国证券业协会对证券公司执行本指引的情况进行指导和检查。
第五十条 本指引由中国证券业协会负责解释。
第五十一条 本指引自发布之日起施行。