信息系统管理实施细则第一章总则第一条为加强AA证券有限责任公司（以下简称公司）对计算机应用的集中统一管理，规范全公司系统的计算机应用，保证计算机系统和设备的正常运转，根据公司《信息系统管理办法》，制订本实施细则。

第二条本实施细则主要包括计算机应用项目立项和审批程序、计算机设备购置和使用管理、应用软件开发管理、计算机设备报废管理、耗材管理、网络管理、机房管理、技术文档的管理、系统安全保密管理、网络防病毒管理以及技术培训管理等。

第三条本办法适用于公司各部室、中心及所属证券营业部（以下简称营业部）。

第二章信息系统工程项目申请、立项和审批程序第一条计算机应用项目包括计算机网络系统新建与改造、硬件设备与系统软件的购置、升级以及应用软件开发与升级等。

第二条凡单价超过五千元的计算机应用项目，须填写《AA证券有限责任公司计算机应用项目立项申请报告》（见附表1），并报公司信息技术中心审批。

第三条已立项的计算机应用项目完成后，由公司信息技术中心会同有关业务管理人员组成项目验收小组进行验收，验收结果形成《AA证券有限责任公司计算机应用项目验收报告》（见附表2）。

第四条公司各部室、中心在每年的12月31日前，提出本部门下一年度的计算机应用项目建设、购置及升级计划，填写《计算机设备需求计划表》（见附表3）、《计算机设备资金需求计划表》（见附表4）报信息技术中心。

第五条信息技术中心根据公司信息系统建设总体规划和各部室、中心及营业部提交的计划，汇总制定公司下一年度计算机应用项目购建计划，报请公司批准后执行。

第六条对于计划外的计算机应用项目，除特殊应急项目特批外，其他原则上不予审批。

第七条对于投资较大、建设周期较长、涉及面广的计算机应用项目，信息技术中心将邀请业务需求部门、营业部电脑人员及有关专家进行技术论证和评审，原则上采用统一招标，统一推广的方式。

第三章信息系统安全管理制度总则第一条为了加强对公司信息系统的安全管理、防范和化解各种技术风险、保护投资者利益、维护公司的合法权益，确保公司各项业务的顺利开展，根据《中华人民共和国计算机信息系统安全保护条例》、《证券经营机构营业部信息系统技术管理规范（试行）》及有关规定制定本制度。

第二条信息系统安全管理涉及安全管理组织建设、安全策略、系统环境安全、软件安全、设备（实体）安全、网络和通讯系统安全、用户及权限管理、操作安全、病毒防范、系统备份、日志记录、事故处理以及安全审计等内容，公司信息技术工作应在本制度指引下，本着“安全第一”的原则进行。

第三条本制度适用于AA证券公司总部、各地区总部及各营业部。

组织和职责第四条信息系统安全管理实行公司总裁负责的公司安全管理委员会和营业部总经理负责的营业部安全管理小组两级管理制度。

第五条公司安全管理委员会下设安全工作小组作为执行机构，定期对公司范围信息系统的安全性作出评价，必要时提出提高安全性的建议。

第六条公司安全管理委员会的职责包括：建立健全公司各种安全制度、对安全工作小组的工作进行授权、对公司各类信息的重要性进行评估为其安全级别的制定提供依据、对安全工作小组有关报告的讨论和批复、安全事故处理结果的公布、取得法律支持以解决信息系统入侵者的问题，以及进行安全教育和安全检查。

第七条营业部安全管理小组的职责包括：监督和检查各项安全管理制度在营业部的落实情况、定期向公司安全管理委员会提交工作报告、处理公司安全管理委员会授权的事务、配合公司安全工作小组的工作、开展计算机安全教育、保证营业部信息系统安全运行。

安全策略第八条计算机信息系统的建设和应用，应当遵守法律、行政法规和国家其他有关规定。

第九条对计算机信息系统中发生的案件，营业部电脑人员即时向营业部总经理汇报，并于24小时内向总部信息技术中心报告。

第十条通过对信息系统环境、软件、硬件、网络和通信、用户和权限、规范化操作、病毒防范、备份和恢复手段以及安全审计等的有效管理，维护公司整个计算机环境的一致性。

第十一条建立一个多层次的安全系统，在信息的安全和共享之间建立平衡。

第十二条对公司员工进行计算机安全教育，提高员工的安全意识，是公司安全策略的重要组成部分。

第十三条营业部安全管理小组必须定期对本营业部的主要计算机信息系统资源配置、技术人员构成进行登记，并报公司安全管理委员会备案。

第十四条公司安全管理委员会及营业部安全管理小组应当对公司总部和各营业部重要岗位计算机信息系统的安全情况经常进行检查，并及时整改不安全隐患。

第十五条公司安全管理委员会应当建立废弃数据、介质的处理制度。

第十六条公司总部和各营业部启用新的应用软件，应当按《软件开发管理制度（试行）》中有关规定业务系统，并做好日志记录。

第十七条公司安全管理委员会应当建立严格的密钥管理制度和在紧急情况下销毁密钥的手段和措施，以防止密钥的失密。

安全监督第十八条公司安全管理委员会对公司内部计算机信息系统安全保护工作行使下列监督职权：1、监督、检查、指导计算机信息系统安全保护工作；2、查处危害计算机信息系统安全的事件；3、组织或委托有关部门对新建、改建和扩建的系统进行安全验收，负责系统安全技术检测工作；4、组织开展系统安全竞赛和评比；负责通报表彰和处罚；5、履行计算机信息系统安全保护工作的其他监督职责。

第十九条公司安全管理委员会发现影响计算机信息系统安全的隐患时，应当及时通知公司各有关部门和各营业部采取安全保护措施。

第二十条公司安全管理委员会在紧急情况下，可以就涉及计算机信息系统安全的特定事项发布专项通知。

安全管理第一节信息系统环境的安全管理第二十一条信息系统环境的安全管理按照公司《计算机房管理制度》及《信息系统环境标准》执行。

第二节软件安全管理第二十二条总部信息技术中心依据公司《软件开发管理制度》对系统软件、应用软件的开发、购买、测试和使用等环节进行管理。

第二十三条软件的开发和采购报告必须包括安全设计的说明，其安全设计必须符合《软件开发管理制度》的有关规定。

第二十四条信息技术人员应按照信息技术中心下发的安装配置方法对系统软件进行统一的安装配置。

第二十五条信息系统的安全漏洞一经发现应及时报告公司安全管理委员会。

第二十六条信息技术中心应与软件开发商和供应商保持联系，及时取得并组织安装经过测试的安全补丁。

第二十七条软件使用部门根据业务需要提出增添新的应用软件或对已有应用软件提出新的功能要求，须以部门名义向信息技术中心填写《软件需求报告表》，信息技术中心在收到《软件需求报告表》（附表5）后，三天之内给予书面答复。

第二十八条新购置的软件需经信息技术中心测试和试运行。

试运行完成后，试用人员应填写《软件验收报告表》（附表6）报信息技术中心领导审核，信息技术中心在收到报告后三天内予以回复。

测试稳定后由信息技术中心统一分发安装使用。

第二十九条自行开发的应用软件，如源程序中需要嵌入数据库访问的用户设置，应由数据管理员得到源程序、制作安装盘。

该安装盘与购置的应用软件安装盘一并由档案管理员保管，由应用系统维护人员调用安装。

第三节计算机及相关设备的安全管理第三十条总部信息技术中心配合行政部及财务部依据公司《电子与通讯设备固定资产管理制度》对计算机及相关设备的选型、采购等过程进行管理。

第三十一条重要的服务器、工作站、网络设备、通讯设备应放置在机房，通过《计算机房管理制度》保证其物理安全性。

第三十二条重要的服务器、工作站、网络设备、通讯设备应有备品备件，出现问题及时更换。

第三十三条对服务器及其资源的管理：1、对资源共享权限和NTFS访问权限进行严格、有效的管理，不授予用户超出需要的权限，权限的设置必须有明确的依据；2、制定方案，对敏感资源的操作、系统登录情况进行定期或不定期检查，及时查看L系统日志文件，对ALERT相关日志提示作出及时响应；3、提供远程访问和对外WEB服务的服务器不存放敏感数据；4、对一些系统程序(如Telnet、ftp等)的使用应加强控制；停止服务器上不必要的服务；尽量减少所使用的协议。

第三十四条对贮有重要数据的故障设备，交外单位人员修理时，公司总部及各营业部必须派专人在场监督。

第四节网络和通信系统的安全管理第三十五条计算机通信系统的建设和应用，应当遵守法律、行政法规和国家其他有关规定，并建立一个多层次的安全系统，在信息的安全和共享之间建立平衡。

第三十六条采用新的网络安全软件、设备和技术保证公司网络的安全。

第三十七条采用数据加密技术保证数据安全传输。

总部和营业部间业务数据的传输应加密后采用数据专线进行传输。

并采用PPP协议中PAP、CHAP相应的认证。

第三十八条总部和营业部间业务数据的传输应加密后采用数据专线进行传输。

第三十九条通信设备应具有防干扰、防截取能力。

主要的通信设备应做到设备备份。

第四十条通信线路接口部分应采取防止非法进入的安全措施。

第四十一条进行密码设置，并进行密码的专职保管，防范通信线路接口部分的采取非法进入。

第四十二条公司总部及营业部应当对公司总部和各营业部通信系稳定、安全情况进行定期检查，并及时整改不安全隐患。

第四十三条对通信系统中发生的案件，营业部电脑人员即时向营业部总经理汇报，并于即时与总部信息技术中心相关人员联系，双方合作尽快解决问题。

第四十四条总部信息技术中心设岗位职责，分别负责公司广域网连接方案、网络安全方案的实施，对总部局域网、公司广域网连接、各类移动连接、Internet接入设备进行管理，以及其它保证网络连接安全稳定的日常事务性工作。

第四十五条营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。

营业部柜台交易系统管理员由营业部总经理担任。

第四十六条营业部与交易所的卫星通信均应做到伙伴备份或isdn 或ddn的备份。

对上海报盘应做到总部备份。

对以上备份系统做到定期测试，保证通信无误。

第四十七条为了安全期间，营业部与营业部之间应限制相互间的直接操作。

第五节数据访问的安全管理第四十八条由于审计、数据库故障调试等原因，需要访问数据库时，应创建临时用户、赋予适当的权限，并交由审计人员、应用系统维护人员使用，并在使用完毕后及时删除该临时用户。

在技术允许的条件下，应限制用户的登录工作站。

第四十九条对于涉及业务、财务方面的数据库，应利用数据库系统的访问跟踪记录功能，设置对应用系统、调试用户、超级用户访问数据库的命令进行跟踪，记录到监控日志文件中。

定期检查监控日志，发现异常及时通报。

第五节管理员及其职责第五十条总部信息技术中心设系统管理员岗位，负责公司信息系统的管理，包括服务器的规划、安装和配置，启动/停止系统和服务，对系统运行状态和入侵企图进行监控，安装/删除软件，增加/删除/修改用户和用户组，对用户/用户组的权限进行设置和修改，以及其它保持系统发展和安全运行的工作。

管理员应采取的安全措施有：1、由于管理员组和备份组成员拥有对SAM数据库的权限，所以必须严格限制管理员组和备份组成员资格，并加强对这些帐户的审计；2、改变Administrator帐户名，为管理员和备份操作员创建专用帐号，为特定的工作建立专用的帐号，要求在执行相应的管理任务时使用相应的帐号，操作结束时及时注销；3、关闭管理员以及特殊权限用户的远程访问能力，特殊情况可以采用预设电话号码的回拨方式；4、管理员组、备份组成员帐户不能用于浏览WEB。