信息系统管理学习制度汇编

长城证券有限责任公司信息系统管理制度汇编长城证券有限责任公司信息技术中心前言随着计算机技术的迅猛发展，信息系统已成为证券业各项业务顺利运转的要点设施，因此保证信息系统的正常运转和防范技术风险，已成为证券业工作重心之一。为了提升证券行业的整体技术水平，有效地防范和化解技术风险，中国证监会于1998年3月宣告了证券业的第一个技术标准《证券经营机构营业部信息系统技术管理规范（试行）》（以下简称《规范》），将证券业的信息系统建设与管理工作纳入了规范发展的轨道。如何使《规范》落到实处，的确做到技术管理制度化、平时操作规范化，是当前证券业信息系统规范化建设的一项重要内容。为此，公司信息技术中心依照《规范》要求，结合公司实质情况，以公司计算机应用管理科学化、规范化、高效、安全、适用、集中统一为原则，起草了长城证券有限责任公司信息系统管理的一系列规章制度，并广泛征采了公司相关部门与部分营业部的建议，最后形成这本《长城证券有限责任公司信息系统管理制度汇编》（以下简称《制度汇编》）。本《制度汇编》分为三大部分。一是公司信息系统管理方法（试行），共有18条，主要包括公司信息技术中心的工作职责、证券营业部（以下简称营业部）电脑部的职责、以及相关营业部乔迁、扩租、电子设施购置等事项报批程序与管理方法等。二是公司信息系统管理推行细则（试行），共分12章，主要包括计算机应用项目立项和审批程序、应用软件开发管理、计算机设施购置和使用管理、网络管理、机房管理、计算机设施报废管理、耗材管理、防病毒管理、技术文档管理以及系统安全保密管理等；三是营业部信息系统管理方法（试行），共分?章，比较详细地拟订了营业部电脑部工作职责、人员管理、岗位设置、安全及风险防范、软硬件设施管理、数据管理、资料管理等各项规章制度。本《制度汇编》由公司信息技术中心一致组织推行，并负责督查、检查相关规章制度的贯彻履行。本《制度汇编》的更正、讲解权归公司信息技术中心。本《制度汇编》属公司内部资料，应稳固保留、注意保密。第一部分长城证券有限责任公司信息系统管理方法（试行）第一条第二条第三条第四条第五条

为了贯彻公司“以客户为中心，以利润为中心，合规经营、开拓创新”的经营指导目标，适应公司全面提升公司各项业务和管理水平，逐渐形成长城经营特色，争取使各项工作再上一个新台阶的要求，实现公司系统内计算机技术与应用的有效管理，充发散挥计算机技术资源的整体优势，特拟订本管理方法。公司计算机应用管理工作坚持科学、规范、安全、高效、适用的原则。公司计算机应用管理推行集中一致管理的原则。集中统一管理是指在公司系统内，以一致规划、一致标准、统一应用、一致推行、一致采买的“五一致”方式，分步推行推行计算机应用技术，并对计算机应用进行平时管理和保护。公司成立信息技术中心，手下各营业部成立电脑部。公司计算机应用由信息技术中心归口管理。公司信息技术中心是全公司计算机信息系统规划、管理和技术协调的主管部门。各营业部电脑部在技术上接受信息技术中心的指导、管理和核查，在业务及行政上接受所在营业部负责人的领导和管理。第六条信息技术中心的主要职能是：1、保证公司的信息技术的应用拥有前瞻性。2、保障当前投入使用的系统牢固运转。3、结合业务发展与技术更新，实时推出高质量的新技术应用系统。4、成立并保持高素质的、牢固的技术队伍。5、协助公司拟订信息技术应用的整体发展策略。6、依照整体的发展策略，拟订详细的年度工作规划并组织推行。7、拟订或改进与信息系统相关的开发、保护及应用的规章制度。配合人力资源部，对公司及营业部电脑人员的核查、聘任、任免以及培训。8、协助进行公司内计算机软硬件的选型招标。9、审批营业部计算机软硬件购置的年度预计及相应技术判断，审查计算机设施的购置、报损、报废等工作。10、协助公司作不如期的技术审计，对营业部信息系统进行专项检查。11、达成总部的各应用信息系统及交易系统的平时保护工作，包括通讯、网络、系统、应用、安全（防黑客、防病毒、数据备份）等。12、负责详细指导和监营业部电脑部工作，对营业部供给实时技术支持和现场服务。13、为公司电子商务的发展，供给充分的技术支持，保护更新公司的内、外网站，保障网上交易等各种电子商务业务的张开。14、技术资料的管理。15、公司授权的其余管理职能。第七条第八条1、

公司重要职能部门及营业部手下远程网点，设置计算机管理员，负责本部门计算机的平时保护管理以及与上级主管技术部门的联系工作。各营业部设置电脑部，负责本部门信息系统的建设、日常保护管理以及与公司信息技术中心的联系工作。详细职能为：化安全意识，自觉遵守公司关于营业部信息系统管理的各项规章制度。2、负责本营业部计算机信息系统的建设、管理和保护，保证系统安全运转。3、实时办理证券交易所及相关主管部门播发的涉及信息系统运行的数据、文件和各种通知。4、负责计算机硬件设施的管理和保护，保持系统处于优异的运行状态。5、负责本营业部信息系统的安全运转。开市从前做好系统的运行准备工作，开市时期实时监控系统运转情况、办理突发事件，收市后配合清理员达成日结清理等盘后工作。6、圆满、正确地记录计算机信息系统的运转日志。7、严格按故障报告制度实时、正确地办理系统出现的故障。8、负责交易业务数据、系统数据和其余重要数据、资料的备份及其管理。9、依照本营业部的业务发展需求，提交应用系统需求报告、软硬件采买计划，报公司信息技术中心审批。10、在公司信息技术中心的安排下，担当公司信息网络系统建设中涉及本营业部的相关工作。11、负责本营业部计算机信息系统各种文档的收集、整理、分类、归档、备案。12、负责编制营业部计算机设施的统计报表及协助财务部拟订本营业部计算机设施报废、报损计划，报公司信息技术中心审查13、提出本营业部计算机人员技术培训计划。14、负责本营业部其余业务人员计算机应用培训。15、亲密追踪计算机新技术的发展，为新技术的推行应用做好充分的技术准备。16、达成公司信息技术中心交办及本营业部总经理下达的其余工作任务。17、各营业部电脑部经理人选，须由所在营业部提出介绍建议上报公司，经公司人力资源部会同信息技术中心进行资格审查和考核，并报公司领导赞同后聘任。第九条公司各部室、中心及营业部计算机网络、系统的新建或整体改造，必定在年初申报计划，并附圆满的整体设计方案和可行性论证报告，由信息技术中心审批。第十条各营业部申请乔迁、扩租营业面积以及涉及公司整体项目建设，应依照经纪业务管理总部及财务资本总部相关上报的要求提出立项申请，在经纪业务管理总部赞同后，再向经纪业务管理总部报送可行性剖析报告与装修预计方案，向信息技术中心报送计算机设施预计和技术方案，由经纪业务管理总部、信息技术中心分别审查批复后，营业部方能推行。第十一条公司各部室、中心为加强系统安全运转，保证正常运营的电脑设施购置和网络改造等方面的签报，直接报送公司信息技术中心。信息技术中心将依照中国证监会技术看守的规范要求和公司技术发展整体纲领进行审查，在总部计划财务部判断的营业部当年新增固定财富可用规模内进行赞同，并按月向财务资本总部供给清单，不再向其余部门申报。第十二条公司成立计算机设施采买小组，详细负责公司计算机设备（包括相关工程项目）的招标、评标与购置事宜。第十三条所有的计算机设施（包括软件）采买均须采用招标方式，依照严格、规范的招标程序，包括拟订标书、发标、接标、评标，最后经采买小组判断后报公司主管领导审批。第十四条公司各部室、中心及营业部购置的计算机设施，凡属于固定财富的，按公司固定财富管理方法进行管理。第十五条各营业部电脑部应每季度向信息技术中心提交书面工作报告，实时反响工作动向与需解决的问题。第十六条公司各部室、中心及营业部如有人员调离，须开初通知公司信息技术中心，以便实时除去网络登录取户并确定可否进行相关审计。第十七条本方法由公司信息技术中心负责讲解。第十八条本方法自下发之日起履行。此前宣告的相关规定中与本方法不一致的，以本方法为准。第二部分长城证券有限责任公司信息系统管理推行细则（试行）目录第一章总则...............................................................................................3第二章信息系统工程项目申请、立项和审批程序4错误!不决义书签。第三章信息系统安全管理制度...........................6错误!不决义书签。第四章计算机设施（软件）购置管理.............30错误!不决义书签。第五章软件开发管理制度..................................34错误!不决义书签。第六章计算机设施使用管理..............................41错误!不决义书签。第七章计算机耗材及备品备件管理.................43错误!不决义书签。第八章计算机机房（实验室）管理.................44错误!不决义书签。第九章总部机房信息系统紧急事故应急办理...................................47第十章技术资料管理.............................................................................51第十一章罚则.....................................................................................52第十二章附则附表1计算机应用项目立项申请报告....................................................1附表2计算机应用项目查收报告............................................................6附表3计算机设施需求计划表...........................................................100附表4计算机设施资本需求计划表.....................................................11附表5计算机设施查收单........................................错误!不决义书签。附表6软件项目需求报告....................................1错误!不决义书签。附表7信息技术中心计算机用户登录表.........14错误!不决义书签。附表8计算机设施查收单..................................15错误!不决义书签。附表9备份介质密封登记表...............................................................16附表10备份介质调用申请表...............................................................17附表11计算机耗材及备品备件领用单18附表12信息技术中心总部数据备份任务一览表19附表13信息技术中心总部数据备份介质内容更正登记表20附表14信息技术中心数据库操作申请表21附表15信息技术中心数据库接见监控报表22第一章总则第一条为加强长城证券有限责任公司（以下简称公司）对计算机应用的集中一致管理，规范全公司系统的计算机应用，保证计算机系统和设施的正常运转，依照公司《信息系统管理方法》，拟订本推行细则。第二条本推行细则主要包括计算机应用项目立项和审批程序、计算机设施购置和使用管理、应用软件开发管理、计算机设施报废管理、耗材管理、网络管理、机房管理、技术文档的管理、系统安全保密管理、网络防病毒管理以及技术培训管理等。第三条本方法适用于公司各部室、中心及所属证券营业部（以下简称营业部）。第二章信息系统工程项目申请、立项和审批程序第一条计算机应用项目包括计算机网络系统新建与改造、硬件设施与系统软件的购置、升级以及应用软件开发与升级等。第二条凡单价高出五千元的计算机应用项目，须填写《长城证券有限责任公司计算机应用项目立项申请报告》（见附表1），并报公司信息技术中心审批。第三条已立项的计算机应用项目达成后，由公司信息技术中心会同相关业务管理人员组成项目查收小组进行查收，查收结果形成《长城证券有限责任公司计算机应用项目查收报告》（见附表2）。第四条公司各部室、中心在每年的12月31日前，提出本部门下一年度的计算机应用项目建设、购置及升级计划，填写《计算机设施需求计划表》（见附表3）、《计算机设施资本需求计划表》（见附表4）报信息技术中心。第五条信息技术中心依照公司信息系统建设整体规划和各部室、中心及营业部提交的计划，汇总拟订公司下一年度计算机应用项目购建计划，报请公司赞同后履行。第六条关于计划外的计算机应用项目，除特别应急项目特批外，其他原则上不予审批。第七条关于投资较大、建设周期较长、涉及面广的计算机应用项目，信息技术中心将邀请业务需求部门、营业部电脑人员及相关专家进行技术论证和评审，原则上采用一致招标，一致推行的方式。第三章信息系统安全管理制度总则第一条为了加强对公司信息系统的安全管理、防范和化解各种技术风险、保护投资者利益、保护公司的合法权益，保证公司各项业务的顺利张开，依照《中华人民共和国计算机信息系统安全保护条例》、《证券经营机构营业部信息系统技术管理规范（试行）》及相关规定拟订本制度。第二条信息系统安全管理涉及安全管理组织建设、安全策略、系统环境安全、软件安全、设施（实体）安全、网络和通讯系统安全、用户及权限管理、操作安全、病毒防范、系统备份、日志记录、事故办理以及安全审计等内容，公司信息技术工作应在本制度指引下，本着“安全第一”的原则进行。第三条本制度适用于长城证券公司总部、各地区总部及各营业部。组织和职责第四条信息系统安全管理推行公司总裁负责的公司安全管理委员会和营业部总经理负责的营业部安全管理小组两级管理制度。第五条公司安全管理委员会下设安全工作小组作为履行机构，如期对公司范围信息系统的安全性作出议论，必要时提出提升安全性的建议。第六条公司安全管理委员会的职责包括：成立健全公司各种安全制度、对安全工作小组的工作进行授权、对公司各种信息的重要性进行评估为其安全级其余拟订供给依照、对安全工作小组有关报告的议论和批复、安全事故办理结果的宣告、获取法律支持以解决信息系统入侵者的问题，以及进行安全教育和安全检查。第七条营业部安全管理小组的职责包括：督查和检查各项安全管理制度在营业部的落实情况、如期向公司安全管理委员会提交工作报告、办理公司安全管理委员会授权的事务、配合公司安全工作小组的工作、张开计算机安全教育、保证营业部信息系统安全运转。安全策略第八条计算机信息系统的建设和应用，应该遵守纪律、行政法规和国家其余相关规定。第九条对计算机信息系统中发生的案件，营业部电脑人员即时向营业部总经理报告，并于24小时内向总部信息技术中心报告。第十条经过对信息系统环境、软件、硬件、网络和通讯、用户和权限、规范化操作、病毒防范、备份和恢复手段以及安全审计等的有效管理，保护公司整个计算机环境的一致性。第十一条成立一个多层次的安全系统，在信息的安全和共享之间成立平衡。第十二条对公司职工进行计算机安全教育，提升职工的安全意识，是公司安全策略的重要组成部分。第十三条营业部安全管理小组必定如期对本营业部的主要计算机信息系统资源配置、技术人员组成进行登记，并报公司安全管理委员会备案。第十四条公司安全管理委员会及营业部安全管理小组应该对公司总部和各营业部重要岗位计算机信息系统的安全情况经常进行检查，并实时整改不安全隐患。第十五条公司安全管理委员会应该成立荒弃数据、介质的办理制度。第十六条公司总部和各营业部启用新的应用软件，应该按《软件开发管理制度（试行）》中相关规定业务系统，并做好日志记录。第十七条公司安全管理委员会应该成立严格的密钥管理制度和在紧急情况下销毁密钥的手段和措施，以防范密钥的失密。安全督查第十八条公司安全管理委员会对公司内部计算机信息系统安全保护工作履行以下督查职权：、督查、检查、指导计算机信息系统安全保护工作；、查处危害计算机信息系统安全的事件；、组织或委托相关部门对新建、改建和扩建的系统进行安全查收，负责系统安全技术检测工作；、组织张开系统安全竞赛和评比；负责通知表彰和处分；、履行计算机信息系统安全保护工作的其余督查职责。第十九条公司安全管理委员会发现影响计算机信息系统安全的隐患时，应该实时通知公司各相关部门和各营业部采用安全保护措施。第二十条公司安全管理委员会在紧急情况下，能够就涉及计算机信息系统安全的特定事项宣告专项通知。安全管理第一节信息系统环境的安全管理第二十一条信息系统环境的安全管理依照公司《计算机房管理制度》及《信息系统环境标准》履行。第二节软件安全管理第二十二条总部信息技术中心依照公司《软件开发管理制度》对系统软件、应用软件的开发、购置、测试和使用等环节进行管理。第二十三条软件的开发和采买报告必定包括安全设计的说明，其安全设计必定切合《软件开发管理制度》的相关规定。第二十四条信息技术人员应依照信息技术中心下发的安装置置方法对系统软件进行一致的安装置置。第二十五条信息系统的安全漏洞一经发现应实时报告公司安全管理委员会。第二十六条信息技术中心应与软件开发商和供给商保持联系，实时获取并组织安装经过测试的安全补丁。第二十七条软件使用部门依照业务需要提出增添新的应用软件或对已有应用软件提出新的功能要求，须以部门名义向信息技术中心填写《软件需求报告表》，信息技术中心在收到《软件需求报告表》（附表5）后，三天之内恩赐书面回复。第二十八条新购置的软件需经信息技术中心测试和试运转。试运转达成后，试用人员应填写《软件查收报告表》（附表6）报信息技术中心领导审查，信息技术中心在收到报告后三天内予以回复。测试牢固后由信息技术中心一致发散安装使用。第二十九条自行开发的应用软件，如源程序中需要嵌入数据库接见的用户设置，应由数据管理员获取源程序、制作安装盘。该安装盘与购置的应用软件安装盘一并由档案管理员保管，由应用系统保护人员调用安装。第三节计算机及相关设施的安全管理第三十条总部信息技术中心配合行政部及财务部依照公司《电子与通讯设施固定财富管理制度》对计算机及相关设施的选型、采买等过程进行管理。第三十一条重要的服务器、工作站、网络设施、通讯设施应放置在机房，经过《计算机房管理制度》保证其物理安全性。第三十二条重要的服务器、工作站、网络设施、通讯设施应有备品备件，出现问题实时更换。第三十三条对服务器及其资源的管理：、对资源共享权限和NTFS接见权限进行严格、有效的管理，不授予用户高出需要的权限，权限的设置必定有明确的依照；2、拟订方案，对敏感资源的操作、系统登录情况进行如期或不如期检查，实时查察L系统日志文件，对ALERT相关日志提示作出实时响应；3、供给远程接见和对外WEB服务的服务器不存放敏感数据；4、对一些系统程序(如Telnet、ftp等)的使用应加强控制；停止服务器上不用要的服务；尽量减少所使用的协议。第三十四条对贮有重要数据的故障设施，交外单位人员维修时，公司总部及各营业部必定派专人在场督查。第四节网络和通讯系统的安全管理第三十五条第三十六条第三十七条

计算机通讯系统的建设和应用，应该遵守纪律、行政法规和国家其余相关规定，并成立一个多层次的安全系统，在信息的安全和共享之间成立平衡。采用新的网络安全软件、设施和技术保证公司网络的安全。采用数据加密技术保证数据安全传输。总部和营业部间业务数据的传输应加密后采用数据专线进行传输。并采用PPP协议中PAP、CHAP相应的认证。第三十八条总部和营业部间业务数据的传输应加密后采用数据专线进行传输。第三十九条通讯设施应拥有防搅乱、防截取能力。主要的通讯设施应做到设施备份。第四十条通讯线路接口部分应采用防范非法进入的安全措施。第四十一条进行密码设置，并进行密码的专职保留，防范通讯线路接口部分的采用非法进入。第四十二条公司总部及营业部应该对公司总部和各营业部通讯系稳定、安全情况进行如期检查，并实时整改不安全隐患。第四十三条对通讯系统中发生的案件，营业部电脑人员即时向营业部总经理报告，并于即时与总部信息技术中心相关人员联系，双方合作赶忙解决问题。第四十四条总部信息技术中心设岗位职责，分别负责公司广域网连接方案、网络安全方案的推行，对总部局域网、公司广域网连接、各种搬动连接、Internet接入设施进行管理，以及其余保证网络连接安全牢固的平时势务性工作。第四十五条营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。营业部柜台交易系统管理员由营业部总经理担当。第四十六条营业部与交易所的卫星通讯均应做到伙伴备份或isdn或ddn的备份。对上海报盘应做到总部备份。对以上备份系统做到如期测试，保证通讯无误。第四十七条为了安全时期，营业部与营业部之间应限制相互间的直接操作。第五节数据接见的安全管理第四十八条由于审计、数据库故障调试等原因，需要接见数据库时，应创办临时用户、恩赐合适的权限，并交由审计人员、应用系统保护人员使用，并在使用达成后实时删除该临时用户。在技术赞同的条件下，应限制用户的登录工作站。第四十九条关于涉及业务、财务方面的数据库，应利用数据库系统的接见追踪记录功能，设置对应用系统、调试用户、超级用户接见数据库的命令进行追踪，记录到监控日志文件中。如期检查监控日志，发现异常实时通知。第五节管理员及其职责第五十条总部信息技术中心设系统管理员岗位，负责公司信息系统的管理，包括服务器的规划、安装和配置，启动/停止系统和服务，对系统运转状态和入侵企图进行监控，安装/删除软件，增添/删除/更正用户和用户组，对用户/用户组的权限进行设置和更正，以及其余保持系统发展和安全运转的工作。管理员应采用的安全措施有：1、由于管理员组和备份组成员拥有对SAM数据库的权限，因此必定严格限制管理员组和备份组成员资格，并加强对这些帐户的审计；2、改变Administrator帐户名，为管理员和备份操作员创办专用帐号，为特定的工作成立专用的帐号，要求在履行相应的管理任务时使用相应的帐号，操作结束时实时注销；3、关闭管理员以及特别权限用户的远程接见能力，特别情况能够采用预设电话号码的回拨方式；第五十一条第五十二条第五十三条第五十四条

4、管理员组、备份组成员帐户不能够用于阅读WEB。总部信息技术中心设数据管理员岗位，负责总部数据的安全管理和保护，详细职责见《信息系统安全管理制度》第十三节“总部数据管理员职责细则”。总部信息技术中心设网络管理员岗位，负责公司广域网连接方案、网络安全方案的推行，对总部局域网、公司广域网连接、各种搬动连接、Internet接入设施进行管理，以及其余保证网络连接安全牢固的平时势务性工作。营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。营业部柜台交易系统管理员由营业部总经理担当。公司成立财务系统管理员岗位，财务系统管理员一般由财务部经理担当。第六节用户、组及其权限第五十五条系统管理员依照公司业务要求成立拥有不一样样权限的用户组，包括系统管理权限、系统和数据备份权限、帐号管理权限、各种数据库接见权限、不一样样的文件接见权限、各种应用程序使用权限、网络打印权限、远程接见权限、Internet接见权限等。第五十六条总部系统管理员应依照总部行政部的书面通知，达成新增/删除用户、分配权限的工作，并用邮件方式回复。上述通知应包括需要新增/删除的用户的姓名、工作的部门、需要使用何种应用等。第五十七条营业部因人员新增调动、离职等需对邮件等用户作出调整的，由营业部办公室主任通知信息技术中心。第五十八条营业部交易系统管理员新增/删除柜台用户或对用户权限进行分配应有文字记录。对股票、资本等参数进行调整的非正常业务操作必定填写书面说明，而且必定由营业部总经理及财务部经理共同赞同后方能履行。第五十六条营业部技术人员在应用系统中的权限应只限于系统管理，而无业务操作权限。第五十九条对用户及权限管理应按以下原则履行：1、对付拥有系统管理、数据库管理等特别权限的用户进行限制，包括仅赞同在机房和自己的工作地址登录，同一时间仅赞同同一用户登录一次赞同远程接见时必定设定回拨方式等；2、尽可能对组而不是对用户授权；3、杜绝无口令的登录帐户，删除GUEST帐户；4、对口令长度、复杂程度、有效期、重复使用的间隔等进行规定；5、实时锁定过期帐户、暂停使用的帐户、多次试图使用无效口令登录的帐户，临时授权帐户必定实时取消；6、一般不设公用帐户，以保证用户有独立的帐户；7、对使用时间进行限制；8、超时锁定；9、对无法设置口令的用户及公用帐户应加强登录时间、登录地址、登录数量的限制，对自动履行批办理命令的用户应有防中断措施；10、权限更正或交接应有文字记录。第六十条对使用公司网络接见Internet，使用打印机等的用户推行严格管理。第七节操作的规范化管理第六十一条第六十二条第六十三条第六十四条第六十五条第六十六条第六十七条第六十八条第六十九条第七十条第七十一条

总部和营业部应分别拟订操作规程，并如期更正。严禁同一人掌管操作系统口令和数据库管理系统口令。公司职工应有互不一样样的用户名，如期两个月更换操作口令。一般用户口令长度不得少于6位，不使用小键盘的人员编制口令应做到字符与数字混排，不得使用电话号码、生日等作为口令；系统管理员口令不得少于10位。严禁泄露自己的口令，必定启用系统软件供给的安全审计留痕功能。各岗位操作权限要严格按岗位职责设置，管理员不得超越用户职责授权。管理员应如期检查操作员的权限。营业部总经理应实时审计交易系统柜员所做的操作，重要岗位的登录过程应增添必要的限制措施。柜台交易系统技术参数的调整由电脑部经理负责；交易业务参数的调整由财务部经理在履行审批手续后推行，严禁电脑技术人员调整业务参数。营业部电脑技术人员能够协助但不得担当清理员从事结算记帐工作。相关数据需打印存档的必定使用连续的打印纸。成立和圆满技术看守系统，如期进行独立的对帐，查对交易数据、清理数据、保证金数据、证券托管数据以及会计数据的一致性和连续性。对数据备份和审计记录成立如期查验制度。第八节病毒防范第七十二条信息技术中心应指定专人负责计算机病毒防范工作。总部及营业部应如期进行病毒检测，发现病毒马上办理并报告。重要部门的计算机应该指定专人专管计算机病毒防范工作。第七十三条总部和营业部必定装备公安部认可的正版防病毒软件并实时更新软件版本。第七十四条经远程通讯传达的程序或数据，必定经过检测确认无病毒后方可使用。第七十五条严禁运转未经信息技术中心审查赞同的软件。第七十六条新系统安装前应进行病毒例行检测，防范使用盗版软件。第七十七条严格限制软驱和光驱的使用，软驱和光驱的使用按《信息系统环境标准》的相关条款履行。第七十八条在使用modem与外界通讯或能够接见Internet的计算机上应安装病毒实时监控软件。第七十九条因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重损坏等重要事故实时向信息技术中心领导及电脑安全管理小组报告。第八十条公司总部职工须与信息技术中心签订《电脑安全承诺书》后，才能领用和使用办公电脑。第九节备份第八十一条依照《信息系统环境标准》的相关规定对系统进行备份。第八十二条营业部必定对交易数据等进行备份，备份数据存放按公司《技术资料管理制度》和《信息系统安全管理制度》履行。第八十三条系统管理员必定提取相关系统的配置参数并在更正参数后实时更新。第八十四条必定保留软硬件说明书、配置软件、配置参数等技术资料，并存放于安全地址，相关事项按《技术资料管理制度》及《信息系统环境标准》履行。第八十五条关于加密格式的数据，应尽可能解密后备份，防范密钥由于频频更换等原因可能扔掉所带来的风险。第八十六条数据备份在周期性方面可选择采用以下四种方式：1、永久性的圆满备份：数据备份到积蓄介质后，将介质密封永久保留；2、周五做圆满备份、周一至周四做增量备份；3、如期做覆盖方式的圆满备份：在同一备份介质上覆盖原有备份数据；4、如期做追加方式的圆满备份：在同一备份介质上增添最新状态的备份；第八十七条依照第四条中不一样样周期备份方式的要求，备份可选择以下几种积蓄介质：1、写的刻录光碟（CD、DVD等），合适于永久备份；2、磁带，合适于所有备份策略；3、可擦写的其余积蓄介质（硬盘、MO等），合适于备份策略；备份介质在备份操作前须经过编号，编号规则见第八十九条。第八十八条关于某个详细的备份对象，原则上应仅选择一种备份方式和备份介质推行备份。同时尽可能选择可搬动的备份介质，以利于数据备份的归档管理。除非应用系统有特别要求，一般情况下不采用硬盘等不能够搬动的备份介质。第八十九条备份介质编号规则格式为：”ZB”+四位年份代码+数据本源代码+四位序列号其中数据本源代码01代表总部数据02代表营业部数据；三位序列号在一个年度中从“0001”开始递加；如：ZB2001010001，代表本备份介质是在总部保留的2001年总部数据的第0001号备份第九十条备份的密封办理可搬动的备份介质在达成联机备份操作后，如须密封办理则应按以下步骤操作：1、《备份介质密封登记表》（见附件9），注明备份日期、内容、操作人、复核人等相关内容，该登记表一式两份；2、将备份介质及相关的附件装入档案盒，同时放入一份《备份介质密封登记表》，其余一份登记表贴于档案盒封面；3、将档案盒封口处贴上封条，并盖上保留部门的密封章。（注：密封章能够是公司公章、部门公章或备份专用章，应该由除档案管理员之外的人员保留）第九十一条备份的保留依照备份方式的不一样样，数据备份分以下两种情况进行保留：1、关于永久性的圆满备份，应保留两份备份。在密封办理后，其中的一份交由信息技术中心档案管理员保留（盖信息技术中心密封章），其余一份交由总部档案室档案管理员保留（盖总部档案室密封章）；2、于如期做覆盖或追加方式的圆满备份，应保留一份备份。在脱机后，如保留时间高出七天，则须经密封办原因信息技术中心档案管理员保留；如保留时间不高出七天，则可有备份管理员锁于临时保留箱内交由档案管理员保留；3、关于周五做圆满备份、周一至周四做增量备份的方式，如采用磁带柜备份且磁带柜放置于安全的地址，则可将五天备份所用的磁带一并放入磁带柜，实现每日自动装载和备份；否则仍须按情况（2）的方式进行保留。第九十二条备份的检查1、关于永久性的圆满备份，在密封保留前须经过数据导出、检查数据圆满性的复核；在密封保留后，须每隔一年进行一次数据检查；2、关于除永久性的圆满备份之外的备份方式，应在经过了一到两个备份周期后进行恢复测试；在备份正常运转后，须每隔三个月进行一次恢复测试。第九十三条备份介质的调用程序因平时备份操作、检查备份、数据盘问等要求，需要调用档案管理员保留的备份介质，应分以下几种情况履行调用程序：1、备份由总部档案室保留，则须填写《备份介质调用申请表》（见附表10），由信息技术中心总经理、公司总裁或分管信息技术中心的副总裁签字后，从档案管理员处领取，在使用达成后如期交回；2、备份密封后由信息技术中心档案管理员保留，则须填写《备份介质调用申请表》（见附表10），由信息技术中心总经理签字后，从档案管理员处领取，在使用达成后如期交回；3、如备份由备份管理员放置于临时保留箱内，则须填写《备份介质调用申请表》，由档案管理员签字即可领取。第九十四条备份介质的销毁关于永久性的圆满备份，在密封保留后，如需要销毁，须填写《备份介质调用申请表》，经公司总裁或分管信息技术中心的副总裁签字后，将备份介质经过粉碎等方式销毁。第十节日志记录第九十五条信息技术中心及营业部电脑部对付系统配置的更正、网络用户权限的分配和更正及原因作详细记录，对机房管理系统运转情况，系统运转故障现象、时间、办理方式等进行详细记录。营业部交易系统管理员对付增/删除柜员、柜员权限更正情况进行记录；财务部经理对付业务参数调整，更正股票、资本余额等操作进行记录。第九十六条日志记录采用标准格式，并具备相关责任人的签字。参见附录一。第九十九条系统运转日志必定稳固保留，不得缺页，如期存档。第十一节安全事故办理及恢复第一百条安全事故是指由于软硬件故障、系统配置错误、操作失误、黑客入侵、病毒、口令盗用等原因引起系统无法正常运转，数据或文件扔掉的事件。第一百零一条安全事故分成A、B、C三类，其中A类指对交易产生直接影响的事故；B类指未影响交易但造成必定经济损失的事故；C类指未影响交易也未造成经济损失，但组成系统安全隐患的事故。第一百零二条总部及各营业部应依照《计算机房管理制度》及自己情况拟订《应急办理流程》实时更新并如期演习。第一百零三条《应急办理流程》的拟订应涵盖通讯、服务、供电、数据、设施等，同时确定演习、通知、事故剖析等内容。第一百零四条《应急办理流程》的拟订应表现认真、了然的原则，不得遗漏任何环节，保证逐条推行能够除去故障、恢复系统运转。第一百零五条事故出现后应实时办理并按公司《营业部技术事故办理规定》的相关规定报告。凡隐瞒不报的，追究营业部总经理及电脑部经理的责任。第一百零六条事故办理后应实时进行剖析并写出剖析报告，总部相关部门应在此基础上明确责任归属，并向营业部通知。人员管理第一百零七条系统管理员不能够兼任柜台及事后稽核等工作，不得参加相关软件开发。参加过应用系统开发的人员，不得担当相应系统的管理员。第一百零八条公司安全管理委员会及营业部安全管理小组应该加强公司总部和各营业部主要岗位工作人员的录取、核查制度，不合适的人员必定实时调离。第一百零九条电脑技术人员调离时，必定移交所有技术手册及相关资料，并更换计算机的相关口令和密钥。涉及公司业务核心部分开发的技术人员调离原工作岗位或公司时，应该确认对公司计算机信息系统安全不会造成危害后方可调离。责任第一百一十条违反本条例的规定，有以下行为之一的，由公司安全管理委员会处以警告或通知责怪处分：、违反计算机信息系统安全管理中相关条例，危害计算机信息系统安全的；、不依照规准时间报告计算机信息系统中发生的案件的；、接到公司安全管理委员会要求改进安全情况的通知后，在限时内拒不改进或未达成目标的；、违反审批制度增设或更换设施、装置的；、拒绝、阻截公司计算机安全管理组织推行安全检查的；、有危害计算机信息系统安全的其余行为的。第一百一十一条计算机房不切合公司《计算机房管理制度》及《信息系统环境标准》相关规定的，也许在计算机机房周边施工危害计算机信息系统安全的，由公司安全管理委员会会同相关部门进行办理。第一百一十二条故意输入计算机病毒以及其余有害数据危害公司计算机信息系统安全的，由公司安全管理委员会处以警告也许罚款处分。第十三节信息技术中心总部数据管理员职责细则职责范围第一百一十三条数据管理员负责对总部应用系统数据推行备份，并实行安全可靠的管理；对营业部上交的应用系统数据备份进行归档和使用推行管理；掌握数据库超级用户权限，安全规范地管理数据库系统的运转。第一百一十四条拟订备份策略，对数据文件和数据库进行备份。与档案管理员协作，稳固保留备份介质。第一百一十五条依照业务需求和用户申请创办、删除数据库，更正数据库参数设置。第一百一十六条依照业务需求和用户申请创办数据库系统的登录取户，恩赐用户合适的数据库权限，包括数据库所有者权限、数据库对象的增更正权限等；删除用户；保留应用程序中封装的数据库用户的密码。第一百一十七条在数据库需要进行数据和结构方面的调整时，创办临时调试用户并交由应用系统保护人员使用，并在使用达成后实时删除测试用户。第一百一十八条利用数据库系统的接见追踪记录功能，设置对应用系统、调试用户、超级用户接见数据库的命令进行追踪，记录到监控日志文件中；如期检查监控日志，发现异常实时通知。第一百一十九条除上述数据库管理内容之外的方面，如准时任务的管理，如期检查系统日志、监控参数的设置等。数据安全管理的原则第一百二十条数据必定是有据的，能够鉴识数据的内容、用途和使用方法；必定经过合法的手续和规定的渠道收集、加工、办理和流传数据；数据应只用于明确规定的目的，未经赞同不得它用；采用的数据范围应与规定用途切合。第一百二十一条采用合适的预防措施，保持数据的圆满、正确、实时、可用；数据管理者应担当保留或办理数据的保护职责，防范数据的扔掉、误用或损坏；特别或重要数据，应采用多种记录手段异地保留，免遭不测风险。第一百二十二条数据使用者有权查阅被授权的数据，索取数据记录复制件，更正相关自己的任何不正确数据；享受有限次数规定的有问必答权益。第一百二十三条拟订必定的数据存取细则，采用措施防范数据被非法更正，拥堵管理操作的粗心或蓄谋偷取数据的漏洞。第一百二十四条无正当原因和相关赞同手续，不得通知数据内容，不得泄露数据给内部或外面的没关人员。第一百二十五条不应造成可从宣告的统计数据中推断出保密或敏感的信息。第一百二十六条成立合适的督查、管理系统，保证与数占相关的个体和数据管理者的合法权益不被入侵。数据安全管理的内容第一百二十七条圆满性:数据内容的圆满性指的是保护数据免受未经授权的更正。它包括单个数据圆满性和数据序列圆满性。它是一系列安全性能的会集，这些性能都与数据能被系统正确供给给目标实体相关。第一百二十八条保密性:计算机网络系统中的信息应该依照其重要性、密级、应用需求均分别推行相应的加密措施，保密信息不得以明文形式积蓄和传达。应依照信息的重要性、密级规定及用途，决定操作人员的存取权限和存取方式。所有的统计信息应依照其重要程度进行密级划分，并拟订相应的管理方法，确定赞同对外宣告和交流的信息指标、报批权限和手续。第一百二十九条可用性:可用性保证了信息是正确可用的。在营业部的电脑系统中，要对操作者进行职责授权、使用授权确认。必定对收集信息的合法性、输入信息的有效性、业务与帐务办理的正确性进行全面的确认，保证信息的有效性、合法性和正确性。要采用各种有效的技术手段与岗位责任制、行政手段、法律手段相结合的方法，保证收集、办理、积蓄、加工、传输及输出的数据正确可用。数据安全管理的详细方法第一百三十条口令及权限限制：营业部的电脑部应指定一人为第一责任人，由第一责任人掌管超级用户口令，第一责任人必定如期更正超级用户口令，如一月更正一次，并将口令密封后报公司电脑部备案。第一负责人应本着：使各操作员能够圆满地达成本职工作，但与各操作职工作没关的权限不能够供给的原则，一致规划各操作员的使用权限，并严格依照规划分配各操作员的工作范围及权限，产生不一样样的毫无规律的密码，同时要求各操作员必定性地更换密码，并严禁相互泄露密码。第一百三十一条时间限制：对部分用户程序登录和使用时间作出限制，比方限制系统初始化只赞同在某一时间内登录等。第一百三十二条网络地址限制：利用网络地址对敏感用户程序登录和使用的工作站作出限制，如限制行情接收及变换，交易系统的后台办理及清理等程序只幸亏某些特定的工作站上登录、运转。第一百三十三条系统的安全性：为防范外来非法程序的入侵，除电脑机房内，其余地方上网的工作站必定为无盘站，严禁未经赞同的软盘直接上网使用。为防范病毒损坏数据，各营业部电脑网络必定安装正版防病毒网络软件。关于外来软盘或程序，必定先在单独的计算机上先查病毒，保证无毒的条件下才能够上网使用。第一百三十四条数据监控：在条件赞同的情况下，推行督查对策，对发生的密码输入错误、超权数据存取的情况进行督查，对连续多次无效存取进行逼迫结束，并进行记录，以便今后查阅剖析。对连续多次无效存取进行逼迫结束。第一百三十五条数据检查：每日清理后必定检查数据的正确性，如盈余、红股的上帐可否正确，配股的上帐可否正常。一但察觉错误必定实时更正。建议各营业部采用的交易软件拥有数据检查工具包。第一百三十六条历史数据的更正：历史数据的更正必定有二个以上的人员在场，而且必定记录更正的原因、更正使用的方法及步骤，在场的人员、操作的人员以及详细指明更正的数据内容。所有在场人员必定签字并注明时间。第一百三十七条数据备份：交易数据是公司的重要资料，保留圆满的交易数据是降低经营风险、保护客户正当权益的可靠保证，能够是财务查帐清楚了然，与股民发生瓜葛时有据可查，即使出现问题时也能够分清责任。而且在系统发生故障时，以保证数据、文件的恢复工作，保证在最短的时间内恢复正常工作，必定按严格地制度进行数据备份。第一百三十八条数据保密:为防范数据的非法使用、更正、扔掉，和由于数据不正当的宣告而引起的对营业部不利的场面的产生，营业部做到以下保密措施：1、备份的数据、打印出的数据必定指定专人负责保留，由营业部计算机房工作人员按规定的方法同数据保留负责人进行数据的交接。交接后的数据应在指定的数据保管室或指定的场所保留。2、数据保留员必定用文件管理等方法，对数据进行登记管理。3、严禁数据的外借，内部无权查阅和无正式批文的人员不得查阅。关于经正式批文借出的数据必定登记，并由经手人签字，便于发生数据泄露时分清责任人。4、数据保留员不得更正所保留的任何数据。工作流程第一百三十九条数据备份1、依照数据库备份的详细要求，将备份任务增添到《总部数据备份任务一览表》（附表12）；2、从档案管理员处领取经编号的备份介质，在需要新建或更正备份介质的内容时，须更新《总部数据备份介质内容更正登记表》（附表10）；3、履行《总部数据备份任务一览表》中的各备份任务；4．将备份达成的备份介质交档案管理员保留。在备份介质内容有更正时，须将更新过的《总部数据备份介质内容更正登记表》（见附表9）发送档案管理员；第一百四十条数据库设施管理1、由应用系统保护员或开发人员提交《数据库操作申请表》（附表14）；1、据管理员依照《申请表》的要求，新建数据库时设定数据库的名称、大小、设施文件路径等；删除数据库时检查是否已做最新状态的备份；2、在《数据库操作申请表》中“办理结果”栏填写办理结果并签字；3、将《数据库操作申请表》提交档案管理员；第一百四十一条数据库用户管理1、由应用系统保护员或开发人员提交《数据库操作申请表》；2、数据管理员依照《申请表》的要求，新建用户时设定用户名称，恩赐经赞同的数据库权限；删除用户时先删除该用户的数据库权限；3、在应用程序中需要封装数据库用户和密码时，数据管理员接收应用程序的源代码，在数据库用户设置的代码段中填入真实的用户名和密码，并编译制作安装盘；将安装盘和源代码提交档案管理员（注：提交的源代码应不含真实的数据库用户设置）；4、在应用程序安装运转中需要输入数据库用户和密码时，由数据库管理员输入；5、在《数据库操作申请表》中“办理结果”栏填写办理结果并签字，在“备注”栏填写详细更正的数据库权限、安装盘标记、输入用户和密码所在的机器名等；、将《数据库操作申请表》提交档案管理员；第一百四十二条数据库调试管理1、由应用系统保护员或开发人员提交《数据库操作申请表》；2、数据管理员依照《申请表》的要求，新建调试用户（优先考虑采用与操作系统用户集成的方式），设置权限；可否将调试用户的密码见告调试人员，须依照《申请表》的要求；3、等待调试人员达成对数据库的调试后，删除调试用户；4、在《数据库操作申请表》中“办理结果”栏填写办理结果、注明达成调试的日期并签字；5、将《数据库操作申请表》提交档案管理员；第一百四十三条数据库接见监控1、安装新的数据库系统时，填写《数据库接见监控报表》（附表15），注明监控设置的详细方式和细节；期检查监控日志文件，无论可否发现异常，均须填写《数据库接见监控报表》；（注：监控日志文件对数据管理员应设置只读的权限，由于其中记录了数据库超级用户的操作，须由审计人员审计）；将《数据库操作申请表》提交档案管理员；第一百四十四条数据库管理的其余方面1、由数据管理员填写《数据库操作申请表》，在经过赞同后执行；、将《数据库操作申请表》提交档案管理员；第一百四十五条本职责细则中档案管理员、应用系统保护员、开发人员均属信息技术中心所设岗位的人员。第四章计算机设施（软件）购置管理第一条计算机设施主若是指硬件设施包括主机（微机、服务器、工作站等）及外面设施（显示设施、打印设施、电源设施、机房设施等）、网络通讯设施（互换机、路由器、集线器、调制解调器）及积蓄设施等；软件是指系统软件、数据库软件、开发工具软件、开发平台软件及业务应用软件等。第二条计算机设施（软件）的购置本着“五一致”原则，即一致规划、一致标准、一致应用、一致推行、一致采买，以发挥整体优势，节约投资，便于管理。4、在公司系统内有广泛需求的计算机设施，由信息技术中心一致品牌、一致价格、统必定购，各单位分别推行。2、关于营业部个别需求的计算机设施，信息技术中心对需求单位上报的购置计划进行审查后，能够授权需求单位按计划自行购置。第三条计算机硬件配置必定同时满足以下几方面要求：1、高效性、可靠性、兼容性、可扩展性；2、要点设施由信息技术中心经过招标方式选定机型；3、拥有圆满的售后服务；4、关于单价20万元以上的设施，要准备几种配置方案，经论证后确定最优方案。第四条采买物品，应采用招标制或近似招标的方法，进行竞价采买，招标公司（或报价公司）应最少在三家以上。由信息技术中心与行政部进行此项工作，将几家公司的报价书等相关资料报主管领导审查并对不一样样报价进行剖析，增添透明度。要坚持做到“公开、公正、公正”原则。经招标方式选定后一致购置，供各部室、中心及营业部使用。第五条计算机设施（软件）购置合同是经济活动中的法律依照。计算机设施（软件）的购置必定遵守经济合同法的条款及相关规定，合同（协议）的签订前须报公司法律办公室判断，签准时必定由两人以上经办并经主管领导赞同。合同（协议）要建档备案。第六条计算机设施（软件）的购置合同（协议）应包括以下内容：设施名称、型号、配置标准、产地、单位、数量、单价、合计金额、交货时间、地址、查收标准、付款时间、运保费、保修限时、维修服务、技术支持、培训及违约责任等内容。合同中需更详细明确的条款和内容可用协议方式补充说明。第七条合同履行过程中，如发生违约或瓜葛，各单位应实时稳固办理，并上报公司法律中心与信息技术中心。第八条购置设施（软件）手续必定圆满，由专人负责查收。查收时必定认真认真，达成外观检查、数量及配置的清点、安装调试、设施试运转等几个方面的查收程序。查收合格后实时填写《计算机设施（软件）查收单》（见附表8）。第九条计算机设施（软件）查收合格后，电脑部门应实时办理设施（软件）入库手续。第十条公司总部各部、中心及各地区总部、各营业部应在每年年度工作会议从前，编制下一年度的计算机设施的购置计划，报至总部计划财务部及信息技术中心审查，并由计划财务部汇总报主管总裁或副总裁审批赞同后，作为正式计划下达，并在该年度之内按计划分步推行。对购置计算机设施打花开支预计的项目，必定按审批程序以书面形式向各级领导逐级申报。第十一条各单位编制计算机设施购置计划时，应本着节约、适用的原则，合理确定性能价格比，不要一味贪大求洋，片面追求功能先进而忽视成本控制。第十二条各地区总部、营业部年度计算机类设施购置计划应经总部信息技术中心、经纪业务管理总部、计划财务部共同审查。今后计划内设施购置由信息技术中心审查，计划外采买由经纪业务管理总部与信息技术中心共同审查。第十三条各部门、中心及各地区总部、营业部在年度预计提出计算机设施购置计划时，应填写《长城证券部门年度计算机需求计划表》并报总部信息技术中心和计划财务部审批。公司信息技术中心和计划财务部将依照各部已有设施、业务需求和需求计划确定和下达各部、中心及地区总部、营业手下一年度的《长城证券部门计算机购置额度书》。第十四条总部各部门、中心及各地区总部、营业部应严格按《长城证券部门计算机购置额度书》控制设施的购置，当购置设备数量或总金额高出当年的《营业部计算机购置额度书》时，应向公司财务总部及电脑工程部提出补充购置计划并说明原因。第十五条总部各部门、中心计算机设施购置依照招标内容有总部行政部一致购置。各地区总部和营业部购置的设施应切合公司的一致选型，购置设施的合同应报信息技术中心审查型号、配置、价格和备档。服务器、路由、互换机等大型和要点设施由信息技术中心直接购置。第十六条设施购置后应实时将购置的设施资料填写到《电脑设施购买情况表》中，并提交信息技术中心一致保留。第十七条为保证计算机系统的安全运转，各部门硬件设施的使用期限不应高出规定的有效使用年限，高出使用年限内的设施仍具使用价值时，应报公司信息技术中心赞同后方可连续使用。第十八条新购置的设施应在测试环境下经过单机运转测试和联机测试，经测试合格后才能投入使用。新购置服务器的测试时间应很多于7天。第十九条购入的计算机设施由信息技术中心负责组织查收并填写和邮寄售后服务登记卡。计算机设施购入或安装达成后，须由经办人填制《长城证券财务领用单》和《长城证券财务查收单》一式三份，计划财务部、行政部、使用部门或使用个人各执一份。计划财务部和行政部应据此分别登记财务帐和实物帐，以保证帐帐切合。第五章软件开发管理制度总则第一条为加强长城证券有限责任公司计算机软件的管理，规范公司应用软件开发流程，提升项目管理水平，特拟订本制度。第二条本制度所称软件系指计算机操作系统软件、数据库管理软件、营业部证券交易业务办理系统、信息揭露与剖析系统以及公司其余业务办理软件。第三条本制度适用于长城证券有限责任公司总部、各地区总部及各营业部的计算机软件管理。第四条信息技术中心是公司计算机软件管理的主管部门，负责公司应用软件的一致审批、开发、测试及购置等工作。软件购置第五条公司总部、各地区总部及各营业部应依照业务发展需要拟订软件购置计划，填写《长城证券软件项目需求报告》（见附表），报总部信息技术中心审批赞同后方可购置。第六条总部各部门软件的购置由总部信息技术中心负责；营业部系统软件、交易系统、财务管理系统等软件的购置由总部信息技术中心负责组织；其余软件营业部可自行购置，但须报总部信息技术中心审批。第七条软件购置应切合相关技术要求。系统软件应达到C2级以上（含C2级）安全级别；数据库管理软件应拥有安全性、圆满性、一致性及可恢复性保障系统；应用软件应满足安全性、可靠性、兼容性和牢固性的要求。第八条软件购置从前应正式立项，成立由技术人员、业务人员和管理人员共同组成的项目小组，项目小组应在同类软件产品的多家公司中进行比较，最后选定购置的软件应拥有优异的性能、合理的价格、圆满的文档资料和优异的售后服务。同时尽可能地要求软件开发商供给源程序，公司委派专人原盘妥善保留。第九条软件购置后要马上填写用户售后服务登记卡并寄往软件开发商或集成商，保证软件的售后服务有效。第十条软件购置应具备所有正规的手续，有正规的合同、正规的发票等。公司手下各营业部应尽量使用一致版本的系统软件和应用软件。软件开发第十一条如需开发应用软件，公司总部、各地区总部及各营业部应在检查研究的基础上提交项目申请并填写《长城证券软件项目需求报告》（见附表6），报公司信息技术中心领导审批。信息技术中心依照领导审批建议可组织人员进行软件开发。第十二条信息技术中心软件开发推行“项目经理”负责制，项目经理应熟悉业务知识，拥有较强的软件设计能力和项目管理水平。项目经理组织软件开发时，应充分考虑系统的安全性、可靠性、牢固性和扩展性。第十三条应用软件在开发从前，总部信息技术中心负责对软件进行可行性剖析，并提交《项目可行性剖析报告》和《软件立项报告书》，经公司领导审批后正式立项。项目小组由技术人员、业务人员和管理人员共同组成。技术人员负责软件的开发和项目管理工作；业务人员负责软件功能需求的界定和软件测试工作；管理人员负责项目的控制和监监工作。第十四条开发人员与操作人员必定推行岗位分别，开发环境和现场必定与生产环境和现场间隔。软件设计方案、数据结构、加密算法、源代码等技术资料严禁流入生产现场、消失和外泄。第十五条应用软件在正式投入使用前必定经过内部评审，确认系统功能、测试结果和试运转结果均满足设计要求，相关技术文档齐全，同时规定软件的使用范围和使用权限，并经使用部门的分管领导赞同。第十六条软件开发过程标准化、规范化、文档化，切合GB／T8566-1995《信息技术软件生计期过程》。信息技术中心应用软件开发一致划分为六个阶段达成。1、行性剖析与立项阶段。对项目进行可行性剖析，明确项目开发目标，拟订开发计划，提交《项目可行性剖析报告》和《软件立项报告书》。2、需求剖析阶段。依照用户拟订的业务需求，对系统进行功能需求剖析，确定应用软件的各项功能模块，提交《软件需求规格说明书》。3、程序设计阶段。在充分理解软件需求的基础上，提交《软件整体设计说明书》、《数据库设计说明书》和《软件详细设计说明书》。4、代码实现阶段。达成源程序的编码、编译和调试工作。5、测试阶段。对程序进行全面测试，并提交《软件测试剖析报告》和《用户手册》。6、运转与保护阶段。在软件运履行用中，不断进行保护，并依照新的要求，对原程序进行必要的扩大与更正。第十七条项目经理在开发软件的各阶段，应依照信息技术中心《软件开发和项目管理V1.0版》技术文档的要求，组织项目成员达成以下文档的编制工作，以便对项目进行阶段性检查。1、《软件需求规格说明书>>2、<<软件整体设计说明书>>3、<<软件纲领设计说明书>>4、<<软件详细设计说明书>>5、<<数据库设计说明书>>6、<<软件测试剖析报告>>7、<<项目总结报告书>>8、<<用户手册>>上述文档中，<<软件整体设计说明书>>、<<软件纲领设计说明书>>、<<数据库设计说明书>>和<<项目总结报告书>>由项目经理负责达成，<<软件需求规格说明书>>、<<软件详细设计说明书>>、<<软件测试剖析报告>>和<<用户手册>>由项目小组成员共同达成。软件测试第十八条公司购置和开发的软件都必定经过严格测试确认合格后方可在公司内部推履行用。第十九条软件测试工作由信息技术中心组织，测试由测试人员经过试用形式进行，对被测软件的功能进行必要的测试，并提交测试报告。测试时期还对付重要技术数据进行现场演示，并听取开发单位人员必要的补充说明。第二十条软件测试分内部测试和外面测试。内部测试人员由项目开发小组成员组成，内部测试经事后方可进行外面测试。软件外面测试由信息技术中心委派，由技术人员和业务人员组成，开发人员不得为软件外面测试人员。第二十一条软件测试按核查的技术指标分为：功能测试、性能测试、容量测试、压力测试、查收测试、灾害性及恢复测试。项目经理依照软件的重要程度组织相应的测试项目。第二十二条购置软件的开发单位对已经过测试的软件进行更正时，应接受信息技术中心的测试，如测试不经过不得在公司内部使用更正后的软件。第二十三条测试人员应依照信息技术中心《软件开发和项目管理V1.0版》技术文档的要求，编制软件测试文档。相关测试文档包括<<测试计划>>、<<测试用例>>、<<测试日志>>、<<测试剖析报告>>，软件测试结束后，测试人员必定提交<<测试剖析报告>>。项目管理第二十四条信息技术中心软件项目开发管理推行“项目经理”负责制，项目经理应依照软件开发各阶段的技术规范和要求，对项目的进度和状态进行评估、协商和决策，并在必要时，向公司部门领导提交项目更正央求和依照审议结果调整和履行项目计划。第二十五条项目经理应拟订合理有效的项目计划和项目组织结构、控制慎重的运转系统、实时追踪项目进度和提交项目报告。整个项目管理任务包括：1、进度管理。对该软件项目拟订开发计划，并按要求进行检查和调整；2、源管理。对整个项目所需的人力、设施、配套设施等方面资源进行预计，做出合理安排和配置；3、经费管理。应按规范的软件开发开支评估与管理方法对开发的软件项目进行管理和经费预计；4、质量管理。应采用系统工程方法检查、评审和控制所开发软件的功能和性能。第二十六条项目经理应依照信息技术中心《软件开发和项目管理V1.0版》技术文档的要求，在项目推行的各阶段提交<<项目合作开发书>>、<<项目开发计划书>>、<项目开发计划书>>、<<项目开发周进度报告>>、<<项目开发月进度报告>>、<<技术开发(改造)项目查收申请书>>和<<项目总结报告>>。第二十七条软件开发项目达成后必定履行正式的查放手续，由特意的查收小组依照软件项目查收规程，依照软件需求说明书和合同进行查收。项目验帐达成后，查收小组应依照信息技术中心《软件开发和项目管理V1.0版》技术文档的要求，提交<<技术开发(改造)项目成就判断书>>。查收规程以下：1、信息技术中心购置的软件由开发商向信息技术中心提交软件查收申请报告；信息技术中心开发的软件由项目经理提交软件查收申请报告，详细格式参照总部信息技术中心《软件开发和项目管理V1.0版》技术文档规范；2、公司由总部信息技术中心组织成立软件查收小组；3、查收小组对相关项目文档进行查收；4、开发单位进行软件功能演示；5、查收小组进行查收测试；6、查收小组对测试结果进行评审，并提交软件查收报告。第六章计算机设施使用管理第一条公司各部门、中心使用的各种计算机硬件、软件及资料由公司信息技术中心指定专人保留。第二条各部门、中心对所使用的微机、服务器、打印机、积蓄设施等计算机设施必定成立专人负责制，一致保留本部计算机设施相关资料，以便进行保护。第三条各部、中心的硬件设施，必定按操作规程使用，未经信息技术中心相关人员赞同，不得搬挪、拆卸；严禁带电接插各种电缆，开机箱；严禁拔插机器内的板卡和配件；严禁在通电状态下触摸打印头。第四条各部、中心在使用的硬件设施或应用软件出现故障时，应立即与信息技术中心计算机管理员联系，不得自行办理。第五条为保证保护工作实时有效，信息技术中心指定专人进行保护工作。各部、中心人员在向信息技术中心人员申述电脑故障时应依照以下原则：1、《长城证券电脑设施保护申请单》（见附表7），并提交给信息技术中心相关保护人员；2、信息技术中心保护人员接收到保护申请单后，针对用户描述的故障现象于一天内回复用户，并提出保护建议；3、信息技术中心保护人员应最迟在三天内解决用户故障，如因特别原因不能够如期解决应实时见告用户获取用户的谅解；4、用户计算机故障如需更换硬件设施，信息技术中心保护人员应在保护申请单内注明更换设施名称、数量及价格，且用户需填写固定财富领用单，详细细节见《计算机耗材及备品备件管理制度》；5、信息技术中心保护人员应如期整理保护申请单，并提交中心档案管理员一致管理。第六条总部各部、中心须分别于每年的一月份和七月份，向信息技术中心填报本部《计算机设施查收表》（见附表8）。第七条总部工作人员下班后必定关闭个人所用计算机设施电源后方可走开，关机时要等系统圆满退出后再关闭电源。第八条总部工作人员不得在未经信息技术中心相关人员赞同下私自安装未经审查的软件产品。第九条总部工作人员未经信息技术中心和行政部相关人员的赞同，不得与别人擅自互换电脑设施。第十条总部工作人员所在部门经理有责任督查其计算及设施使用情况。人员调离时，应认真履行交接手续，明确交接人，并在固定财富卡片上注明。领用人员调离时因扔掉损坏等原因无法交回计算及设施的固定财富，要由领用人员负责赔偿，公司保留法律追诉权。对不再连续使用的计算及设施应交回行政部保留，并在固定财富卡片上作转出登记。第十一条关于工作站、显示器、打印机等一般电脑设施，使用人员应将保养工作落实到每日常例保养，保养内容主若是去除设施表面的灰尘、缝隙中的纸屑与大头针等杂物。第七章计算机耗材及备品备件管理第一条计算机耗材及备品备件包括计算机专用电源和电缆、网络配件和终端桌椅、打印纸、色带、软盘、硬盘、内存条、墨盒、墨粉、墨水、硒鼓、视保屏、键盘、鼠标、电源插座和计算机资料等。第二条公司本部所需计算机耗材及备品备件由信息技术中心一致购置，营业部的计算机耗材由本单位的电脑部或指定部门一致购置。第三条计算机耗材及备品备件的发放由专人负责。领用人须填写《计算机耗材及备品备件领用单》（见附表11），领用部门负责人签字后方可领用，开支支出按季计入各部室、中心及营业部开支。第八章计算机机房（实验室）管理第一条计算机房是公司信息系统的核心，为保证系统的安全、稳定运转，特拟订计算机房管理制度。第二条本制度适用于公司总部及各营业部计算机房的管理。第三条计算机房推行授权管理制度，责任到人。计算机房管理人员确定方法是：公司总部由信息技术中心负责人授权专人管理，营业部由电脑部管理，电脑部经理负责。非授权人员未经赞同，一律不得进入计算机房。第四条计算机房管理人员必定拥有高度的责任心和吃苦耐劳的精神,的确搞好计算机房的管理工作。第五条非授权人员必定经过负责人或电脑部经理赞同，并由计算机房管理人员陪同方可进入计算机房工作。第六条计算机房严禁参观。如遇特别情况须经过总裁办和电脑中心负责人（营业部需经办公室及总经理）赞同，并拥有总裁办或营业部办公室证明，方可在计算机房管理人员的带领下参观。在参观过程中严禁对任何设施进行操作。第七条计算机房严格履行工作记录制度。必定成立圆满的计算机及其网络设施运转日志、操作记录等。第八条凡进入计算机房工作的人员(含计算机房管理人员)，必定详细记录进入计算机房的日期、时间、工作内容、所属部门（或公司）、同行人员、走开时间等。若是在工作中发买卖外情况，非授权人员应马上走开计算机房，由计算机房管理人员进行办理，同时应详细记录不测发生的时间、现象和办理结果等。第九条第十条第十一条第十二条第十三条第十四条第十五条

计算机房管理人员应加强机房网线、电源线的管理。营业部线路图应报信息技术中心备案，每次线路更正除需马上更正自有线路图外，还应向信息技术中心提交更正通知单。计算机房的所有设施不得随意调整，如确因工作需要进行调整，须经过信息技术中心负责人或营业部总经理赞同，由计算机房管理人员组织在非工作时间推行，其余人员不得自行进行调整。严禁将易燃易爆、强磁物品及其余与计算机房工作没关的物品带入机房，未经安全管理程序任何技术资料（含数据）不得带出。计算机房应张贴详细的应急办理流程和相关单位的联系电话，应急办理流程每两个月应安排一次应急事故办理演习，应急办理流程必定随系统的变化而实时更新。计算机房管理人员每日必定准时达成如期工作，若是出现不测情况，应马上进行办理，同时在计算机房工作记录簿上详细记录；若是自己办理不了，应马上通知相关人员及时办理。工作时间内计算机房必定有值班人员，值班人员一般由计算机房管理人员担当。计算机房管理人员应于每个工作日上班前检查计算机房所有设施的运转情况，还应同时检查安全保障设施(UPS电源,防雷装置、空气开关等)的情况，保证其处于正常工作状态。UPS应于偶数月份的第一个周末安排充放电检测。第十六条

营业部计算机房工作必定依照报告原则，工作日志、检测报告需实时向机构管理部及电脑中心提交，出现事故应实时报告电脑中心、机构管理部及营业部总经理。。第十七条

计算机房必定保持干净齐整，设施应实时冲刷，整体布局应有序合理，不得在计算机房内吸烟、进食或从事其余正常工作之外的活动，防范将别针、大头针、纸屑等杂物掉入键盘内。第十八条计算机房环境按公司《信息系统环境标准》相关规定履行，本制度相关推行细则另行拟订。第十九条机房工作人员必定如期检查系统，防范计算机病毒。凡使用外来磁盘前，都须经过检查，证明无毒后方可使用。第二十条机房工作人员必定珍爱各种机房设施，严格按操作规程操作。第二十一条机房工作人员严禁利用计算机玩电脑游戏。第二十二条借用机房物品、领用相关设施及配件必定经机房工作人员赞同，并按规定办理登记手续。第二十三条业务部门如需加班使用网络服务器，需开初通知信息技术中心。第九章总部机房信息系统紧急事故应急办理总则第一条

计算机信息系统对技术、硬件、软件、环境要求较高，任何一个因素都可能致使整个系统崩溃。为保证系统正常、牢固、安全运转，保证在紧急情况下将造成的损失降至最低，特拟订本制度。第二条紧急事故应急办理制度的拟订充分考虑各方面因素，对可能出现的各种情况提出相应的应急措施，保证在紧急事故出现时，系统能够赶忙在尽量短的时间内恢复到事故前的正常状态。应急工作细则第一节紧急事故种类第三条不测紧急事故依照其性质可分为：硬件不测事故、软件不测事故、技术不测事故和环境不测事故。第四条硬件不测事故，含：1、服务器或主机硬件损坏；2、通讯线路,通讯设施故障；、网络系统设施故障；4、供电系统(含UPS)故障；第五条软件不测事故，含：1、系统软件故障；2、应用软件故障；3、数据库故障；4、通讯软件故障。第六条技术不测事故，含：、操作失误；、计算机病毒；、黑客入侵；、恶意损坏。第七条环境不测事故，含：水灾、火灾、地震、台风、雷击等自然灾害以及其余各种因素造成的不测事故。第二节应急措施第八条出现硬件不测事故时应采用的应急措施：1、服务器或主机硬件损坏：1）第一检查故障设施情况，并使其与网络环境走开（拔掉网线）；（2）重新启动该设施，并进行故障判断，若为简单问题，应实时做好设施更换工作，不能够解决的问题，因实时启用备份系统，并通知设施供给商；（3）对Netwart主服务器故障启动Standby备份，WindowsNT数据库服务器故障启动冷备份系统；4）设施故障恢