《1.证券公司集中交易安全管理技术指引.doc》由会员分享,可在线阅读,更多相关《1.证券公司集中交易安全管理技术指引.doc(9页珍藏版)》请在金锄头文库上搜索。
1、第一章 总则3. 清算、交收处理集中化:由证券公司集中统一实施盘后清算及交收的处理;第二章 管理组织体系第八条 证券公司应实现技术开发与运营管理之间的相互隔离。2. 负责操作岗位人员的操作权限的设定和变更;3. 负责业务参数的设定和变更;4. 负责对授权业务实施逐级审批;5. 负责制定业务连续性计划(BCP,以下简称应急预案)和灾难恢复计划(DRP,以下简称应急计划)并组织演练,在发生突发事故时作为应急指挥中心实施应急预案和应急计划。 第十四条 对各重要岗位的人员上岗要有相应的资质要求和必要的上岗培训,对重要岗位人员建立轮岗制度和定期培训制度。第三章 机房和运行环境第十七条 中心机房监控应达到
2、以下要求:第十八条 中心机房管理应达到以下要求:1. 建立人员和设备的进出管理制度;2. 实施7x24小时安全保卫值班; 4. 机房供电系统由专人负责管理,定期进行检修和维护;2. 应设置专门的安全管理岗位,配备专业的安全管理人员;(2) 建立计算机病毒预警机制,严格执行病毒检测及报告措施;(4) 应及时更新防病毒软件版本、杀毒引擎和病毒库;2. 公司中心机房和各分支机构之间应建立多条、不同运营商、不同介质的通信通道(如DDN、帧中继、卫星等),保证业务的连续性;4. 公司应与电信运营商和设备供应商签订服务协议,做到定期检修、发现故障及时响应。第五章 系统建设2. 系统功能应符合国家颁布的法律
3、法规、证券市场的业务规则和证券公司的内控要求; 1. 在系统构架和功能上,保证客户端操作与数据库服务端的物理无关性;2. 具有完备的操作日志和错误报告;4、客户口令等关键数据不得以明码存放;6. 能防止强力试探口令,并具有超时自动锁定功能;7. 具有防止数据的重发攻击、篡改和伪造等功能;8. 建立工作站点与功能操作相关联的全面安全控制机制;9. 保证系统的可扩展性与可维护性;10. 具有动态加载、卸载功能,具有实现系统不停机维护的能力;11. 提供系统运行状态监控模块;12. 提供数据接口,满足稽核、审计及技术监控等的要求。第六章 运行管理1在系统构架上支持前台操作与后台数据的分离; 2在系统
4、管理和业务操作的各层面建立相应的操作权限制约机制:(1) 实行权限集中管理,统一授权;(2)在权限体系中支持前台业务操作、中台业务管理与后台业务支持的分离;3帐户和口令专人专用,加强对缺省帐户和口令的管理;5所设置的管理员口令应具有足够的强度,由字母、数字、特殊字符等混合组成,并定期更换; 6数据安全管理应符合证券公司信息技术管理规范(JR/T 00232004)第八章8.1的要求。1. 未经严格、完备测试,系统不得上线运行;2. 评估系统上线风险,做好相应的应急和备份计划;1. 变更请求应由业务或相关需求人员发起;3. 变更请求由业务和技术人员成立联合测试小组进行系统测试;4. 运维岗位的描
5、述应明确清晰,应建立重要岗位的双人、双职、双责制,并加强对单人单岗的监控;6. 严禁在生产环境进行未经批准的操作;8、应急预案和应急计划每年至少演练一次;第七章 灾难备份第四十条 灾难备份中心与中心机房应有足够的安全距离。第四十四条 灾难备份中心对中心机房的数据备份等级要求应达到重要信息系统灾难恢复指南(国信办20058号)灾难恢复等级划分中的第5级(见附录A)。第四十五条 灾难备份BCP(业务连续性计划)的三个具体指标RPO(恢复点目标)、RTO(恢复时间目标)、DOO(运行性能降低预期)是衡量灾难恢复性能好坏的关键指标,应分别达到: RPO 16分钟,RTO 1小时,DOO50%。第四十六
6、条 应制定完善的灾难备份中心管理制度、应急预案和应急计划。第四十八条 灾难备份中心应配备足够的运行管理人员。第八章 技术委托与外包第五十一条 证券公司应重视知识产权保护。第九章 应急恢复与事故处理第十章 技术监管第十一章 附则第六十三条 本指引由中国证券业协会负责解释。第六十四条 本指引自发布之日起施行。附录A 灾难恢复的等级划分A.1 第1级 基本支持第1级灾难恢复应具有技术和管理支持如表A1所示。表 A. 1 第1级灾难恢复的技术和管理支持要素要求A.1.1数据备份系统b) 备份介质场外存放。A.1.2备用数据处理系统A.1.3A.1.4备用基础设施a) 有符合介质存放条件的场地。A.1.
7、5技术支持A.1.6运行维护支持a) 有介质存取、验证和转储管理制度;b) 按介质特性对备份数据进行定期的有效性验证。A.1.7灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案A.2 第2级 备用场地支持第2级灾难恢复应具有技术和管理支持如表A2所示。表 A. 2 第2级灾难恢复的技术和管理支持要素要求A.2.1数据备份系统b) 备份介质场外存放。A.2.2备用数据处理系统a) 灾难发生时能在预定时间内调配所需的数据处理设备到场。A.2.3A.2.4备用基础设施a) 有符合介质存放条件的场地;b) 有满足信息系统和关键业务功能恢复运作要求的备用场地。A.2.5技术支持A.2.6运行维护支持
8、a) 有介质存取、验证和转储管理制度;b) 按介质特性对备份数据进行定期的有效性验证;c) 有备用场地管理制度;d) 与相关厂商有符合灾难恢复时间要求的紧急供货协议;e) 与相关运营商有符合灾难恢复时间要求的备用通信线路协议。A.2.7灾难恢复预案a) 有相应的经过完整测试和演练的灾难恢复预案。A.3 第3级 电子传输和部分设备支持第3级灾难恢复应具有技术和管理支持如表A3所示。表 A. 3 第3级灾难恢复的技术和管理支持要素要求A.3.1数据备份系统a) 完全数据备份至少每天一次;b) 备份介质场外存放;A.3.2备用数据处理系统a) 配备灾难恢复所需的部分数据处理设备。A.3.3A.3.4
9、备用基础设施a) 有符合介质存放条件的场地; b) 有满足信息系统和关键业务功能恢复运作要求的场地。A.3.5技术支持a) 在备用场地有专职的计算机机房运行管理人员。A.3.6运行维护支持a) 按介质特性对备份数据进行定期的有效性验证;b) 有介质存取、验证和转储管理制度;c) 有备用计算机机房管理制度;d) 有备用数据处理设备硬件维护管理制度;e) 有电子传输数据备份系统运行管理制度。A.3.7灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案。A.4 第4级 电子传输及完整设备支持第4级灾难恢复应具有技术和管理支持如表A4所示。表 A. 4 第4级灾难恢复的技术和管理支持要素要求A.4.
10、1数据备份系统a) 完全数据备份至少每天一次;b) 备份介质场外存放;A.4.2备用数据处理系统A.4.3a) 配备灾难恢复所需的通信线路;A.4.4备用基础设施a) 有符合介质存放条件的备用场地;c) 有满足关键业务功能恢复运作要求的场地;d) 以上场地应保持7 x 24运作。A.4.5技术支持在备用场地有:a) 7 x 24专职计算机机房管理人员;b) 专职数据备份技术支持人员;A.4.6运行维护支持a) 有介质存取、验证和转储管理制度;b) 按介质特性对备份数据进行定期的有效性验证;c) 有备用计算机机房运行管理制度;e) 有电子传输数据备份系统运行管理制度。A.4.7灾难恢复预案有相应
11、的经过完整测试和演练的灾难恢复预案。A.5 第5级 实时数据传输及完整设备支持第五级灾难恢复应具有技术和管理支持如表A5所示。表 A. 5 第5级灾难恢复的技术和管理支持要素要求A.5.1数据备份系统a) 完全数据备份至少每天一次;b) 备份介质场外存放;A.5.2备用数据处理系统A.5.3a) 配备灾难恢复所需的通信线路;A.5.4备用基础设施a) 有符合介质存放条件的备用场地;c) 有满足关键业务功能恢复运作要求的场地;a) 以上场地应保持7 x 24运作。A.5.5技术支持在备用场地有:a) 7 x 24专职计算机机房管理人员;b) 7 x 24专职数据备份技术支持人员;A.5.6运行维
12、护支持a) 有介质存取、验证和转储管理制度;b) 按介质特性对备份数据进行定期的有效性验证;c) 有备用计算机机房运行管理制度;e) 有实时数据备份系统运行管理制度。A.5.7灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案。第六级灾难恢复应具有技术和管理支持如表A6所示。表 A. 6 第6级灾难恢复的技术和管理支持要素要求A.6.1数据备份系统a) 完全数据备份至少每天一次;b) 备份介质场外存放;A.6.2备用数据处理系统a) 备用数据处理系统具备与生产数据处理系统一致的处理能力并完全兼容;b) 应用软件是“集群的”,可实时无缝切换;A.6.3A.6.4备用基础设施a) 有符合介质存放
13、条件的备用场地;c) 有满足关键业务功能恢复运作要求的场地;d) 以上场地应保持7 x 24运作。A.6.5技术支持在备用场地有:a) 7 x 24专职计算机机房管理人员;b) 7 x 24专职数据备份技术支持人员;d) 7 x 24专职操作系统、数据库和应用软件技术支持人员。A.6.6运行维护支持a) 有介质存取、验证和转储管理制度;b) 按介质特性对备份数据进行定期的有效性验证;c) 有备用计算机机房运行管理制度;e) 有实时数据备份系统运行管理制度;f) 有操作系统、数据库和应用软件运行管理制度。A.6.7灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案。A.7 灾难恢复等级评定原则如要达到某个灾难恢复等级,应同时满足该等级中7个要素的要求。A.8 灾难备份中心的等级示例:可支持1至5级的灾难备份中心的级别为5级。少年智则国智,少年富
