中證協發[2009]154號
各證券公司會員:
為規範證券公司營業部信息技術系統的建設和安全管理,防範技術操作風險,保護投資者利益,保障證券市場穩定運行,協會按照證券期貨業信息化領導小組和證監會機構部的要求,制定了《證券營業部信息技術指引》,現予發布,請參照執行。
附屬檔案:證券營業部信息技術指引
二○○九年九月七日
附屬檔案:
證券營業部信息技術指引
第一章 總則
第一條 為加強證券營業部信息系統建設和管理,防範技術風險,保障證券市場平穩運行,依據《中華人民共和國證券法》、中國證監會法律法規和中國證券業協會自律規則的有關規定製定本指引。
第二條 證券公司應按照信息系統安全性、實用性、可操作性原則,統一規劃和建設證券營業部信息系統,全面負責證券營業部信息技術的安全管理。
第三條 證券營業部應在所屬證券公司的集中統一管理下,制定相應的信息技術工作流程和操作規範,確保信息系統對業務的有效支撐。
第四條 在中華人民共和國境內依法設立的證券公司所屬證券營業部適用於本指引。
第五條 中國證券業協會對證券公司執行本指引的情況進行指導和督促。
第二章 基礎環境
第六條 證券營業部機房建設應符合GB9361-88《計算站場地安全要求》和GB2887-89《計算站場地技術條件》的有關規定。
第七條 證券營業部機房應位於證券營業部場地內部,證券營業部場地選址應滿足以下技術要求:
(一)儘可能選擇具有市電雙路供電的場所;
(二)遠離強震源、強磁場源和強噪聲源,無無線電電磁干擾;
(三)遠離產生粉塵、油煙、有害氣體以及具有腐蝕性、易燃、易爆物品的工廠、倉庫等場所;
(四)具有機房空調室外機組安裝條件;
(五)符合當地抗震強度要求;
(六)儘量避免低洼地帶。
第八條 證券營業部機房應滿足以下技術要求:
(一)儘量避讓建築物頂層、地下室、用水設備的下層或隔壁以及易漏雨、易滲水和易遭雷擊的區域,避開易發生火災危險的區域;
(二)選擇通信設施健全,相對安全、易於管理的區域;
(三)避讓主幹電力電纜穿越場所,避讓供水和消防管網經過;
(四)應當設定設備區域、輔助設備區域,設備區域用於安放伺服器、網路通信設備等設備,輔助設備區域用於安放UPS電源等設備;
(五)設備放置處應考慮地面承重,應儘量選擇有主乾牆、承重牆的位置放置,必要時應進行地面加固;
(六)應配備應急照明裝置。
第九條 證券營業部機房應採用結構化布線系統,綜合布線應符合《建築與建築群綜合布線工程系統設計規範》(GBT/T50311)要求。各配線機櫃內應配備理線架,做到跳線整齊,跳線與配線架統一編號,標記清晰。
第十條 證券營業部機房應採用綜合接地系統或獨立接地系統。採用綜合接地系統接地的證券營業部機房,直流接地、交流工作地和防雷保護地,直接連線大樓的綜合接地,接地電阻應不大於4歐姆。採用獨立接地系統的證券營業部機房,直流地和防雷保護地之間的距離應大於10米,直流地的接地電阻應小於2歐姆,交流工作地的接地電阻應小於4歐姆,防雷保護地的接地電阻應小於10歐姆。
第十一條 證券營業部機房須安裝獨立空調,採用一用一備、多用一備或多用多備的方式,主用空調單獨運行時應能保證機房溫度保持在21℃±3℃規定範圍內。
第十二條 證券營業部機房機櫃或機架宜配置雙迴路供電,相關電器設備、電線應與機櫃用電負載相適應,並留有餘量。機櫃接地與機房接地應可靠連線。
第十三條 證券營業部機房應具有獨立於一般照明電的專用供電線路,設有獨立的配電櫃或配電箱。供電容量應滿足證券營業部配電規劃需求,並留有一定餘量。
第十四條 證券營業部機房建議採用雙路供電,應配備UPS電源和至少一種其他持續供電方式(自備發電機、租用發電機、租用發電車等)。在供電中斷情況下,應保證機房設備和不低於25%的現場交易設施在交易時間內持續供電,滿足證券營業部客戶證券交易需要。
(一)具有自備發電機的證券營業部,UPS電源應保證機房設備和不低於25%的現場交易設施持續供電不低於1小時。
(二)採用租用發電機、租用發電車等其它持續供電方式的證券營業部,UPS電源應保證機房設備和不低於25%的交易設施持續供電不低於4小時。
(三)發電機的功率應滿足機房設備運轉和不低於25%的交易設施持續供電需要。
第十五條 嚴禁將與業務無關的設備接入UPS電源。市電插座和UPS插座應嚴格區分,插座面板應有明確的顏色標識或標籤。
第十六條 證券營業部配備或租用發電機,應遠離易燃易爆的物品,並安裝在具有良好通風的場地內。
第十七條 消防系統建設應通過當地消防主管部門的消防安全驗收。
第十八條 機房宜安裝防火防盜門和門禁系統,有條件的可安裝防盜報警系統。
第三章 網路通信
第十九條 證券營業部與所屬證券公司之間,應使用不同運營商或不同介質的2條以上通信線路建立可靠通信聯接,且線路頻寬能夠滿足業務需要並留有冗餘。網路通信設備應有冗餘備份,避免單設備故障,並能保證發生故障時實現及時切換。
第二十條 證券營業部與其他外聯單位、網際網路的通信線路,可根據業務需要,選擇合適的通信線路、線路頻寬和線路備份方式。
第二十一條 證券營業部網路規範應符合所屬證券公司有關的證券營業部區域網路、廣域網、網際網路接入以及安全防護的網路建設規範。
第二十二條 證券營業部區域網路應採用多層網路架構,用於交易業務的核心層應部署至少兩台交換機互為備份,網路接入層設備應避免使用HUB。
第二十三條 證券營業部網路配置參數和IP位址段應由所屬證券公司統一規劃管理,證券營業部的IP位址、路由規則等網路配置應按所屬證券公司要求設定。
第二十四條 證券營業部區域網路應合理劃分用於交易業務的核心網、客戶網和非交易業務的辦公網等安全域,且相應確定各安全域的功能定位。各安全域之間應採取安全措施實現有效隔離。用於交易業務的網路禁止直接接入網際網路。
第二十五條 處理交易業務的計算機終端應實行專機專用,嚴禁接入網際網路。
第二十六條 證券營業部應按照所屬證券公司的要求,部署正版防病毒、防木馬、防惡意代碼在內的系統安全防護軟體,以確保信息安全。
第四章 套用系統
第二十七條 證券營業部套用系統是指提供行情、開戶、交易、資訊等客戶服務的信息系統。
第二十八條 證券營業部套用系統應具備足夠的健壯性,系統處理能力具有一定的冗餘度,行情、交易、資訊系統等關鍵硬體設備應通過熱備、冷備等手段,避免單點故障,提高系統可用性。
第二十九條 證券營業部伺服器應採用雙電源、雙網卡等方式,提高系統可靠性。
第三十條 證券營業部未經所屬證券公司批准,不得擅自安裝使用與業務及技術維護無關的套用軟體。
第三十一條 證券營業部應當為客戶提供2種以上行情揭示與分析系統,應當為客戶提供現場委託以及網上委託、電話委託等2種以上非現場委託交易髮式,其中證券公司電話委託線路應當不低於30線/萬戶合格資金賬戶。證券公司電話委託系統應提供集中服務,以保障局部地區發生突發事件時能夠為該地區證券營業部提供持續的行情和交易服務。
第三十二條 證券營業部電話委託、自助終端應能記錄證券委託、撤單、銀證轉賬、密碼修改等操作的終端識別信息,其中電話委託應記錄主叫電話號碼,熱自助應記錄網卡物理地址,相關記錄保存二十年。
第五章 管理制度
第三十三條 證券營業部應執行所屬證券公司的人員管理、機房管理、網路管理、設備管理、數據管理、技術文檔管理、系統運維管理、應急處理等制度。每年將信息系統運行及制度執行情況報告所屬證券公司並同時按監管部門的要求抄報有關單位。
第三十四條 證券公司應在確保證券營業部信息系統穩定運營的前提下,至少配備一名專職和一名兼職技術人員,技術人員應具有計算機及相關專業學歷,並具有1年以上技術崗位從業經驗。
第三十五條 機房管理包括機房出入、設備出入等內容。機房內嚴禁放置易燃易爆物品及強磁物品。外來人員未經允許嚴禁進出機房。未經許可不得擅自挪動機房內設備、更改網路線路、私自安裝軟體。
第三十六條 網路管理包括配置管理、訪問控制、安全審計等內容。網路設備應按最小安全訪問原則設定訪問控制許可權。路由器、交換機和防火牆等設備應根據子網安全隔離的需要限制允許登錄的IP位址,嚴禁從公司網路以外登錄。應於每一次變更後及時更新備份網路設備的配置信息。
第三十七條 設備管理包括選型、購置、登記、保養、維修、報廢等內容。關鍵設備應建立維護檔案。
第三十八條 數據管理包括數據備份、存放、調閱、銷毀等內容。未實現集中管理的交易數據,應指定專人負責管理,並至少每日備份一次,數據調閱應經審批,不得隨意對外泄露。
第三十九條 技術文檔管理包括文檔的收集、更新、保管、借閱等內容。證券營業部技術文檔涵蓋機房平面圖、供配電圖、網路拓撲圖、信息點對照表、UPS電源點分布表、系統維護手冊、系統使用手冊、應急預案、運維日誌、設備維護檔案、信息技術管理制度等資料。證券營業部應根據信息系統的變更情況及時更新技術文檔。
第六章 系統運維
第四十條 用戶許可權管理
(一)證券營業部用於交易業務的信息系統許可權變更應執行相關審批流程,並有完整的變更記錄。
(二)員工應被授予完成所承擔任務所需的最小許可權,重要崗位的員工之間應形成相互制約的關係。
(三)對與客戶交易相關的系統應採取必要的措施,限制重要崗位用戶的登錄,如錯誤登錄次數限制、登錄時間限制、網路地址限制等。
(四)證券營業部應建立系統用戶及許可權清單,定期對員工許可權進行檢查核對,發現越權用戶要查明原因並及時調整,同時清理過期用戶許可權,做好記錄歸檔。
第四十一條 與交易業務相關係統和關鍵設備的管理員用戶密碼應專人管理,採用不低於12位的複合密碼,每季度至少更換一次。發生人員變動時應及時更新密碼。
第四十二條 證券營業部在生產環境下的測試工作應在所屬證券公司信息技術部門的統一管理和指導下進行,不得擅自安裝測試軟體。
第四十三條 測試前應制定詳細的測試計畫,同時做好系統、數據和應用程式測試前的備份工作。測試計畫應包括測試目的、測試時間、參測人員、測試用例、測試步驟等內容。測試過程中要做好詳細的測試記錄。
第四十四條 測試結束後應有明確的測試結果,保證系統、數據和應用程式的恢復並進行恢復後的測試驗證,同時總結測試經驗、分析測試結果、形成測試報告。
第四十五條 證券營業部套用系統變更前須制定詳細的變更方案和變更應急預案,變更前做好系統和數據的備份。
第四十六條 對於供電、通信、伺服器、核心交換機、核心交易業務系統等關鍵性設備或系統的變更,證券營業部應經過嚴格的測試。
第四十七條 除故障應急外,開市交易期間不得進行任何與交易業務相關的信息系統變更操作。
第四十八條 證券營業部應建立完善的監控體系,以對信息系統的運行環境、運行狀況等進行定時監控和事後分析。
第四十九條 證券營業部的運行監控應落實到人,責任明確,並做好運行監控記錄。
第五十條 證券營業部應規範管理系統運維日誌。日誌內容應包括系統機房值班記錄、巡視記錄、故障處理記錄、變更記錄、測試記錄、監控記錄、重要設備維護記錄等。日常操作及異常事件處理均應在系統運維日誌中詳細記錄。
第五十一條 證券營業部系統運維日誌可採用電子文檔或紙質件記錄,並妥善保管,日誌保留期限不少於2年。
第五十二條 證券營業部應定期檢查電力、空調、消防等設施,每季度選擇非交易時間進行UPS電池的充放電測試,並詳細記錄。
第七章 安全保障
第五十三條 證券營業部應加強網路安全管理,未經所屬證券公司批准不得擅自對外互聯或設立網站,如確有必要,應在公司統一指導下設立和管理。網上交易客戶端應通過所屬證券公司網站下載。
第五十四條 證券營業部應加強計算機終端的管理,記錄網卡地址,防止非法使用。禁止客戶將自備計算機接入證券營業部網路。
第五十五條 證券營業部應加強客戶訪問網際網路的管理,防止客戶利用證券營業部網路訪問非法網站,出現異常應及時配合公安機關進行處理。
第五十六條 證券營業部應按所屬證券公司要求及時更新系統補丁、升級防病毒軟體。
第五十七條 證券營業部應定期進行病毒檢測,發現病毒立即處理並報告。移動存儲、外來電子文檔、軟體系統使用前應進行病毒或木馬查殺。
第五十八條 證券營業部應按照所屬證券公司的統一要求建立相應的信息系統應急預案,對系統故障、通信和網路故障、供電系統故障、自然災害及其他突發事件制訂明確的應急處理流程。
第五十九條 證券公司對套用系統重大升級或改造時,應根據實際情況要求證券營業部制定專項預案或修訂應急預案。必要時應當以適當的方式告知投資者並提醒防範可能出現的風險。
第六十條 證券營業部應每年至少進行兩次應急演練,並留存演練記錄。
第六十一條 證券營業部發生影響正常業務的技術故障,應立即啟動應急預案、儘快恢復交易業務,並按有關要求及時上報所屬證券公司和當地監管部門。
第六十二條 應急事件處理完成後,應以書面形式上報所屬證券公司和當地監管部門。
第八章 附則
第六十三條 證券營業部新設和遷址時,經監管部門批准不提供現場交易服務的證券營業部,在保障正常運營的前提下,其基礎環境、網路通信、套用系統和人員管理等可參照本指引執行。
第六十四條 本指引自2009年10月10日起施行。