信息系统管理规章制度汇编.docx
- 文档编号:4162040
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:72
- 大小:73.43KB
信息系统管理规章制度汇编.docx
《信息系统管理规章制度汇编.docx》由会员分享,可在线阅读,更多相关《信息系统管理规章制度汇编.docx(72页珍藏版)》请在冰豆网上搜索。
信息系统管理规章制度汇编
长城证券有限责任公司
信息系统治理制度汇编
长城证券有限责任公司
信息技术中心
前言
随着计算机技术的迅猛进展,信息系统已成为证券业各项业务顺利运转的关键设施,因此保证信息系统的正常运转和防范技术风险,已成为证券业工作重心之一。
为了提高证券行业的整体技术水平,有效地防范和化解技术风险,中国证监会于1998年3月颁布了证券业的第一个技术标准¾《证券经营机构营业部信息系统技术治理规范(试行)》(以下简称《规范》),将证券业的信息系统建设与治理工作纳入了规范进展的轨道。
如何使《规范》落到实处,切实做到技术治理制度化、日常操作规范化,是当前证券业信息系统规范化建设的一项重要内容。
为此,公司信息技术中心依照《规范》要求,结合公司实际情况,以公司计算机应用治理科学化、规范化、高效、安全、有用、集中统一为原则,起草了长城证券有限责任公司信息系统治理的一系列规章制度,并广泛征求了公司有关部门与部分营业部的意见,最终形成这本《长城证券有限责任公司信息系统治理制度汇编》(以下简称《制度汇编》)。
本《制度汇编》分为三大部分。
一是公司信息系统治理方法(试行),共有18条,要紧包括公司信息技术中心的工作职责、证券营业部(以下简称营业部)电脑部的职责、以及有关营业部搬迁、扩租、电子设备购置等事项报批程序与治理方法等。
二是公司信息系统治理实施细则(试行),共分12章,要紧包括计算机应用项目立项和审批程序、应用软件开发治理、计算机设备购置和使用治理、网络治理、机房治理、计算机设备报废治理、耗材治理、防病毒治理、技术文档治理以及系统安全保密治理等;三是营业部信息系统治理方法(试行),共分?
章,比较详细地制定了营业部电脑部工作职责、人员治理、岗位设置、安全及风险防范、软硬件设备治理、数据治理、资料治理等各项规章制度。
本《制度汇编》由公司信息技术中心统一组织实施,并负责监督、检查相关规章制度的贯彻执行。
本《制度汇编》的修改、解释权归公司信息技术中心。
本《制度汇编》属公司内部资料,应妥善保管、注意保密。
第一部分
长城证券有限责任公司
信息系统治理方法
(试行)
第一条为了贯彻公司“以客户为中心,以利润为中心,合规经营、开拓创新”的经营指导方针,适应公司全面提升公司各项业务和治理水平,逐渐形成长城经营特色,争取使各项工作再上一个新台阶的要求,实现公司系统内计算机技术与应用的有效治理,充分发挥计算机技术资源的整体优势,特制定本治理方法。
第二条公司计算机应用治理工作坚持科学、规范、安全、高效、有用的原则。
第三条公司计算机应用治理实行集中统一治理的原则。
集中统一治理是指在公司系统内,以统一规划、统一标准、统一应用、统一实施、统一采购的“五统一”方式,分步实施推广计算机应用技术,并对计算机应用进行日常治理和维护。
第四条公司设立信息技术中心,下属各营业部设立电脑部。
公司计算机应用由信息技术中心归口治理。
第五条公司信息技术中心是全公司计算机信息系统规划、治理和技术协调的主管部门。
各营业部电脑部在技术上同意信息技术中心的指导、治理和考核,在业务及行政上同意所在营业部负责人的领导和治理。
第六条信息技术中心的要紧职能是:
1、保证公司的信息技术的应用具有前瞻性。
2、保障当前投入使用的系统稳定运行。
3、结合业务进展与技术更新,及时推出高质量的新技术应用系统。
4、建立并保持高素养的、稳定的技术队伍。
5、协助公司制定信息技术应用的整体进展策略。
6、依照整体的进展策略,制定具体的年度工作规划并组织实施。
7、制定或改进与信息系统相关的开发、维护及应用的规章制度。
8. 配合人力资源部,对公司及营业部电脑人员的考核、聘用、任 免以及培训。
8、协助进行公司内计算机软硬件的选型招标。
9、审批营业部计算机软硬件购置的年度预算及相应技术鉴定,审核计算机设备的购置、报损、报废等工作。
10、协助公司作不定期的技术审计,对营业部信息系统进行专项检查。
11、完成总部的各应用信息系统及交易系统的日常维护工作,包括通讯、网络、系统、应用、安全(防黑客、防病毒、数据备份)等。
12、负责具体指导和监营业部电脑部工作,对营业部提供实时技术支持和现场服务。
13、为公司电子商务的进展,提供充分的技术支持,维护更新公司的内、外网站,保障网上交易等各类电子商务业务的开展。
14、技术资料的治理。
15、公司授权的其他治理职能。
第七条公司重要职能部门及营业部下属远程网点,设置计算机治理员,负责本部门计算机的日常维护治理以及与上级主管技术部门的联络工作。
第八条各营业部设置电脑部,负责本部门信息系统的建设、日常维护治理以及与公司信息技术中心的联络工作。
具体职能为:
1、化安全意识,自觉遵守公司关于营业部信息系统治理的各项规章制度。
2、负责本营业部计算机信息系统的建设、治理和维护,确保系统安全运行。
3、及时处理证券交易所及有关主管部门播发的涉及信息系统运行的数据、文件和各类通知。
4、负责计算机硬件设备的治理和维护,保持系统处于良好的运行状态。
5、负责本营业部信息系统的安全运行。
开市之前做好系统的运行预备工作,开市期间实时监控系统运行状况、处理突发事件,收市后配合清算员完成日结清算等盘后工作。
6、完整、准确地记录计算机信息系统的运行日志。
7、严格按故障报告制度及时、准确地处理系统出现的故障。
8、负责交易业务数据、系统数据和其他重要数据、资料的备份及其治理。
9、依照本营业部的业务进展需求,提交应用系统需求报告、软硬件采购打算,报公司信息技术中心审批。
10、在公司信息技术中心的安排下,承担公司信息网络系统建设中涉及本营业部的有关工作。
11、负责本营业部计算机信息系统各类文档的收集、整理、分类、归档、备案。
12、负责编制营业部计算机设备的统计报表及协助财务部拟定本营业部计算机设备报废、报损打算,报公司信息技术中心审核
13、提出本营业部计算机人员技术培训打算。
14、负责本营业部其他业务人员计算机应用培训。
15、紧密跟踪计算机新技术的进展,为新技术的推广应用做好充分的技术预备。
16、完成公司信息技术中心交办及本营业部总经理下达的其他工作任务。
17、各营业部电脑部经理人选,须由所在营业部提出推举意见上报公司,经公司人力资源部会同信息技术中心进行资格审查和考核,并报公司领导批准后聘任。
第九条公司各部室、中心及营业部计算机网络、系统的新建或整体改造,必须在年初申报打算,并附完整的整体设计方案和可行性论证报告,由信息技术中心审批。
第一十条各营业部申请搬迁、扩租营业面积以及涉及公司整体项目建设,应依照经纪业务治理总部及财务资金总部有关上报的要求提出立项申请,在经纪业务治理总部批准后,再向经纪业务治理总部报送可行性分析报告与装修预算方案,向信息技术中心报送计算机设备预算和技术方案,由经纪业务治理总部、信息技术中心分不审核批复后,营业部方能实施。
第一十一条公司各部室、中心为加强系统安全运转,保证正常运营的电脑设备购置和网络改造等方面的签报,直接报送公司信息技术中心。
信息技术中心将依据中国证监会技术监管的规范要求和公司技术进展总体纲要进行审查,在总部打算财务部核定的营业部当年新增固定资产可用规模内进行核准,并按月向财务资金总部提供清单,不再向其他部门申报。
第一十二条公司设立计算机设备采购小组,具体负责公司计算机设备(包括相关工程项目)的招标、评标与购置事宜。
第一十三条所有的计算机设备(包括软件)采购均须采取招标方式,遵循严格、规范的招标程序,包括制定标书、发标、接标、评标,最后经采购小组审定后报公司主管领导审批。
第一十四条公司各部室、中心及营业部购置的计算机设备,凡属于固定资产的,按公司固定资产治理方法进行治理。
第一十五条各营业部电脑部应每季度向信息技术中心提交书面工作报告,及时反映工作动态与需解决的问题。
第一十六条公司各部室、中心及营业部如有人员调离,须事先通知公司信息技术中心,以便及时清除网络登录用户并确定是否进行相关审计。
第一十七条本方法由公司信息技术中心负责解释。
第一十八条本方法自下发之日起执行。
此前颁布的有关规定中与本方法不一致的,以本方法为准。
第二部分
长城证券有限责任公司
信息系统治理实施细则
(试行)
第一章总则3
第二章信息系统工程项目申请、立项和审批程序4错误!
未定义书签。
第三章信息系统安全治理制度6错误!
未定义书签。
第四章计算机设备(软件)购置治理30错误!
未定义书签。
第五章软件开发治理制度34错误!
未定义书签。
第六章计算机设备使用治理41错误!
未定义书签。
第七章计算机耗材及备品备件治理43错误!
未定义书签。
第八章计算机机房(实验室)治理44错误!
未定义书签。
第九章总部机房信息系统紧急事故应急处理47错误!
未定义书签。
第十章技术资料治理55
第十一章罚则56
第十二章附则
附表1计算机应用项目立项申请报告1
附表2计算机应用项目验收报告6
附表3计算机设备需求打算表100
附表4计算机设备资金需求打算表11
附表5计算机设备验收单错误!
未定义书签。
附表6软件项目需求报告1错误!
未定义书签。
附表7信息技术中心计算机用户登录表14错误!
未定义书签。
附表8计算机设备验收单15错误!
未定义书签。
附表9备份介质密封登记表16
附表10备份介质调用申请表17
附表11计算机耗材及备品备件领用单18
附表12信息技术中心总部数据备份任务一览表19
附表13信息技术中心总部数据备份介质内容变更登记表20
附表14信息技术中心数据库操作申请表21
附表15信息技术中心数据库访问监控报表22
第一章总则
第一条为加强长城证券有限责任公司(以下简称公司)对计算机应用的集中统一治理,规范全公司系统的计算机应用,保证计算机系统和设备的正常运转,依照公司《信息系统治理方法》,制订本实施细则。
第二条本实施细则要紧包括计算机应用项目立项和审批程序、计算 机设备购置和使用治理、应用软件开发治理、计算机设备报废治理、耗材治理、网络治理、机房治理、技术文档的治理、系统安全保密治理、网络防病毒治理以及技术培训治理等。
第三条本方法适用于公司各部室、中心及所属证券营业部(以下简称营业部)。
第二章 信息系统工程项目申请、立项和审批程序
第一条计算机应用项目包括计算机网络系统新建与改造、硬件设备与系统软件的购置、升级以及应用软件开发与升级等。
第二条凡单价超过五千元的计算机应用项目,须填写《长城证券有限责任公司计算机应用项目立项申请报告》(见附表1),并报公司信息技术中心审批。
第三条已立项的计算机应用项目完成后,由公司信息技术中心会同有关业务治理人员组成项目验收小组进行验收,验收结果形成《长城证券有限责任公司计算机应用项目验收报告》(见附表2)。
第四条公司各部室、中心在每年的12月31日前,提出本部门下一年度的计算机应用项目建设、购置及升级打算,填写《计算机设备需求打算表》(见附表3)、《计算机设备资金需求打算表》(见附表4)报信息技术中心。
第五条信息技术中心依照公司信息系统建设总体规划和各部室、中心及营业部提交的打算,汇总制定公司下一年度计算机应用项目购建打算,报请公司批准后执行。
第六条关于打算外的计算机应用项目,除专门应急项目特批外,其他原则上不予审批。
第七条关于投资较大、建设周期较长、涉及面广的计算机应用项目,信息技术中心将邀请业务需求部门、营业部电脑人员及有关专家进行技术论证和评审,原则上采纳统一招标,统一推广的方式。
第三章 信息系统安全治理制度
总则
第一条为了加强对公司信息系统的安全治理、防范和化解各种技术风险、爱护投资者利益、维护公司的合法权益,确保公司各项业务的顺利开展,依照《中华人民共和国计算机信息系统安全爱护条例》、《证券经营机构营业部信息系统技术治理规范(试行)》及有关规定制定本制度。
第二条信息系统安全治理涉及安全治理组织建设、安全策略、系统环境安全、软件安全、设备(实体)安全、网络和通讯系统安全、用户及权限治理、操作安全、病毒防范、系统备份、日志记录、事故处理以及安全审计等内容,公司信息技术工作应在本制度指引下,本着“安全第一”的原则进行。
第三条本制度适用于长城证券公司总部、各地区总部及各营业部。
组织和职责
第四条信息系统安全治理实行公司总裁负责的公司安全治理委员会和营业部总经理负责的营业部安全治理小组两级治理制度。
第五条公司安全治理委员会下设安全工作小组作为执行机构,定期对公司范围信息系统的安全性作出评价,必要时提出提高安全性的建议。
第六条公司安全治理委员会的职责包括:
建立健全公司各种安全制度、对安全工作小组的工作进行授权、对公司各类信息的重要性进行评估为其安全级不的制定提供依据、对安全工作小组有关报告的讨论和批复、安全事故处理结果的公布、取得法律支持以解决信息系统入侵者的问题,以及进行安全教育和安全检查。
第七条营业部安全治理小组的职责包括:
监督和检查各项安全治理制度在营业部的落实情况、定期向公司安全治理委员会提交工作报告、处理公司安全治理委员会授权的事务、配合公司安全工作小组的工作、开展计算机安全教育、保证营业部信息系统安全运行。
安全策略
第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条对计算机信息系统中发生的案件,营业部电脑人员即时向营业部总经理汇报,并于24小时内向总部信息技术中心报告。
第十条通过对信息系统环境、软件、硬件、网络和通信、用户和权限、规范化操作、病毒防范、备份和恢复手段以及安全审计等的有效治理,维护公司整个计算机环境的一致性。
第十一条建立一个多层次的安全系统,在信息的安全和共享之间建立平衡。
第十二条对公司职员进行计算机安全教育,提高职员的安全意识,是公司安全策略的重要组成部分。
第十三条营业部安全治理小组必须定期对本营业部的要紧计算机信息系统资源配置、技术人员构成进行登记,并报公司安全治理委员会备案。
第十四条公司安全治理委员会及营业部安全治理小组应当对公司总部和各营业部重要岗位计算机信息系统的安全情况经常进行检查,并及时整改不安全隐患。
第十五条公司安全治理委员会应当建立废弃数据、介质的处理制度。
第十六条公司总部和各营业部启用新的应用软件,应当按《软件开发治理制度(试行)》中有关规定业务系统,并做好日志记录。
第十七条公司安全治理委员会应当建立严格的密钥治理制度和在紧急情况下销毁密钥的手段和措施,以防止密钥的失密。
安全监督
第十八条公司安全治理委员会对公司内部计算机信息系统安全爱护工作行使下列监督职权:
1、监督、检查、指导计算机信息系统安全爱护工作;
2、查处危害计算机信息系统安全的事件;
3、组织或托付有关部门对新建、改建和扩建的系统进行安全验收,负责系统安全技术检测工作;
4、组织开展系统安全竞赛和评比;负责通报表彰和处罚;
5、履行计算机信息系统安全爱护工作的其他监督职责。
第十九条公司安全治理委员会发觉阻碍计算机信息系统安全的隐患时,应当及时通知公司各有关部门和各营业部采取安全爱护措施。
第二十条公司安全治理委员会在紧急情况下,能够就涉及计算机信息系统安全的特定事项公布专项通知。
安全治理
第一节信息系统环境的安全治理
第二十一条信息系统环境的安全治理按照公司《计算机房治理制度》及《信息系统环境标准》执行。
第二节软件安全治理
第二十二条总部信息技术中心依据公司《软件开发治理制度》对系统软件、应用软件的开发、购买、测试和使用等环节进行治理。
第二十三条软件的开发和采购报告必须包括安全设计的讲明,其安全设计必须符合《软件开发治理制度》的有关规定。
第二十四条信息技术人员应按照信息技术中心下发的安装配置方法对系统软件进行统一的安装配置。
第二十五条信息系统的安全漏洞一经发觉应及时报告公司安全治理委员会。
第二十六条 信息技术中心应与软件开发商和供应商保持联系,及时取得并组织安装通过测试的安全补丁。
第二十七条软件使用部门依照业务需要提出增添新的应用软件或对已有应用软件提出新的功能要求,须以部门名义向信息技术中心填写《软件需求报告表》,信息技术中心在收到《软件需求报告表》(附表5)后,三天之内给予书面答复。
第二十八条新购置的软件需经信息技术中心测试和试运行。
试运行完成后,试用人员应填写《软件验收报告表》(附表6)报信息技术中心领导审核,信息技术中心在收到报告后三天内予以回复。
测试稳定后由信息技术中心统一分发安装使用。
第二十九条自行开发的应用软件,如源程序中需要嵌入数据库访问的用户设置,应由数据治理员得到源程序、制作安装盘。
该安装盘与购置的应用软件安装盘一并由档案治理员保管,由应用系统维护人员调用安装。
第三节计算机及相关设备的安全治理
第三十条总部信息技术中心配合行政部及财务部依据公司《电子与通讯设备固定资产治理制度》对计算机及相关设备的选型、采购等过程进行治理。
第三十一条重要的服务器、工作站、网络设备、通讯设备应放置在机房,通过《计算机房治理制度》保证其物理安全性。
第三十二条重要的服务器、工作站、网络设备、通讯设备应有备品备件,出现问题及时更换。
第三十三条对服务器及其资源的治理:
1、对资源共享权限和NTFS访问权限进行严格、有效的治理,不授予用户超出需要的权限,权限的设置必须有明确的依据;
2、制定方案,对敏感资源的操作、系统登录情况进行定期或不定期检查,及时查看L系统日志文件,对ALERT相关日志提示作出及时响应;
3、提供远程访问和对外WEB服务的服务器不存放敏感数据;
4、对一些系统程序(如Telnet、ftp等)的使用应加强操纵;停止服务器上不必要的服务;尽量减少所使用的协议。
第三十四条对贮有重要数据的故障设备,交外单位人员修理时,公司总部及各营业部必须派专人在场监督。
第四节网络和通信系统的安全治理
第三十五条计算机通信系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定,并建立一个多层次的安全系统,在信息的安全和共享之间建立平衡。
第三十六条采纳新的网络安全软件、设备和技术保证公司网络的安全。
第三十七条采纳数据加密技术保证数据安全传输。
总部和营业部间业务数据的传输应加密后采纳数据专线进行传输。
并采纳PPP协议中PAP、CHAP相应的认证。
第三十八条总部和营业部间业务数据的传输应加密后采纳数据专线进行传输。
第三十九条通信设备应具有防干扰、防截取能力。
要紧的通信设备应做到设备备份。
第四十条通信线路接口部分应采取防止非法进入的安全措施。
第四十一条进行密码设置,并进行密码的专职保管,防范通信线路接口部分的采取非法进入。
第四十二条公司总部及营业部应当对公司总部和各营业部通信系稳定、安全情况进行定期检查,并及时整改不安全隐患。
第四十三条对通信系统中发生的案件,营业部电脑人员即时向营业部总经理汇报,并于即时与总部信息技术中心相关人员联系,双方合作尽快解决问题。
第四十四条总部信息技术中心设岗位职责,分不负责公司广域网连接方案、网络安全方案的实施,对总部局域网、公司广域网连接、各类移动连接、Internet接入设备进行治理,以及其它保证网络连接安全稳定的日常事务性工作。
第四十五条营业部的局域网治理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。
营业部柜台交易系统治理员由营业部总经理担任。
第四十六条营业部与交易所的卫星通信均应做到伙伴备份或isdn或ddn的备份。
对上海报盘应做到总部备份。
对以上备份系统做到定期测试,保证通信无误。
第四十七条为了安全期间,营业部与营业部之间应限制相互间的直接操作。
第五节数据访问的安全治理
第四十八条由于审计、数据库故障调试等缘故,需要访问数据库时,应创建临时用户、给予适当的权限,并交由审计人员、应用系统维护人员使用,并在使用完毕后及时删除该临时用户。
在技术同意的条件下,应限制用户的登录工作站。
第四十九条关于涉及业务、财务方面的数据库,应利用数据库系统的访问跟踪记录功能,设置对应用系统、调试用户、超级用户访问数据库的命令进行跟踪,记录到监控日志文件中。
定期检查监控日志,发觉异常及时通报。
第五节治理员及其职责
第五十条总部信息技术中心设系统治理员岗位,负责公司信息系统的治理,包括服务器的规划、安装和配置,启动/停止系统和服务,对系统运行状态和入侵企图进行监控,安装/删除软件,增加/删除/修改用户和用户组,对用户/用户组的权限进行设置和修改,以及其它保持系统进展和安全运行的工作。
治理员应采取的安全措施有:
1、由于治理员组和备份组成员拥有对SAM数据库的权限,因此必须严格限制治理员组和备份组成员资格,并加强对这些帐户的审计;
2、改变Administrator帐户名,为治理员和备份操作员创建专用帐号,为特定的工作建立专用的帐号,要求在执行相应的治理任务时使用相应的帐号,操作结束时及时注销;
3、关闭治理员以及专门权限用户的远程访问能力,专门情况能够采纳预设电话号码的回拨方式;
4、治理员组、备份组成员帐户不能用于扫瞄WEB。
第五十一条总部信息技术中心设数据治理员岗位,负责总部数据的安全治理和维护,具体职责见《信息系统安全治理制度》第十三节“总部数据治理员职责细则”。
第五十二条总部信息技术中心设网络治理员岗位,负责公司广域网连接方案、网络安全方案的实施,对总部局域网、公司广域网连接、各类移动连接、Internet接入设备进行治理,以及其它保证网络连接安全稳定的日常事务性工作。
第五十三条营业部的局域网治理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。
营业部柜台交易系统治理员由营业部总经理担任。
第五十四条公司设立财务系统治理员岗位,财务系统治理员一般由财务部经理担任。
第六节用户、组及其权限
第五十五条系统治理员依照公司业务要求建立具有不同权限的用户组,包括系统治理权限、系统和数据备份权限、帐号治理权限、各种数据库访问权限、不同的文件访问权限、各种应用程序使用权限、网络打印权限、远程访问权限、Internet访问权限等。
第五十六条总部系统治理员应依据总部行政部的书面通知,完成新增/删除用户、分配权限的工作,并用邮件方式回复。
上述通知应包括需要新增/删除的用户的姓名、工作的部门、需要使用何种应用等。
第五十七条营业部因人员新增调动、离职等需对邮件等用户作出调整的,由营业部办公室主任通知信息技术中心。
第五十八条营业部交易系统治理员新增/删除柜台用户或对用户权限进行分配应有文字记录。
对股票、资金等参数进行调整的非正常业务操作必须填写书面讲明,而且必须由营业部总经理及财务部经理共同批准后方能执行。
第五十六条营业部技术人员在应用系统中的权限应只限于系统治理,而无业务操作权限。
第五十九条对用户及权限治理应按以下原则执行:
1、应对具有系统治理、数据库治理等专门权限的用户进行限制,包括仅同意在机房和自己的工作地点登录,同一时刻仅同意同一用户登录一次同意远程访问时必须设定回拨方式等;
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 系统管理 规章制度 汇编