长城证券有限责任公司信息系统管理制度汇编长城证券有限责任公司信息技术中心中息系统建设与管理工作纳入了规范发展的轨道。

如何使《规范》落到实处，切实做到技术管理制度化、日常操作规范化，是当前证券业信息系统规范化建设的一项重要内容。

为此，公司信息技术中心根据《规范》要求，结合公司实际情况，以公司计算机应用管理科学化、规范化、高效、安全、实用、集中统一为原则，起草了长城证券有限责任公司信息系统管理的一系列规章制度，并广泛征求了公司有关部门与部分营业部的意见，最终形成这本《长城证券有限责任公司信息系统管理制度汇编》（以下简称《制度汇编》）。

本《制度汇编》分为三大部分。

一是公司信息系统管理办法（试行），共有18条，主要包括公司信息技术中心的工作职责、证券营业本《制度汇编》属公司内部资料，应妥善保管、注意保密。

第一部分长城证券有限责任公司高效、第三条公司计算机应用管理实行集中统一管理的原则。

集中统一管理是指在公司系统内，以统一规划、统一标准、统一应用、统一实施、统一采购的“五统一”方式，分步实施推广计算机应用技术，并对计算机应用进行日常管理和维护。

第四条公司设立信息技术中心，下属各营业部设立电脑部。

公司计算机应用由信息技术中心归口管理。

第五条公司信息技术中心是全公司计算机信息系统规划、管理6、根据整体的发展策略，制定具体的年度工作规划并组织实施。

7、制定或改进与信息系统相关的开发、维护及应用的规章制度。

8.配合人力资源部，对公司及营业部电脑人员的考核、聘用、任免以及培训。

8、协助进行公司内计算机软硬件的选型招标。

9、审批营业部计算机软硬件购置的年度预算及相应技术鉴定，审核计算机设备的购置、报损、报废等工作。

10、协助公司作不定期的技术审计，对营业部信息系统进行专项检查。

管理员，负责本部门计算机的日常维护管理以及与上级主管技术部门的联络工作。

第八条各营业部设置电脑部，负责本部门信息系统的建设、日常维护管理以及与公司信息技术中心的联络工作。

具体职能为：1、化安全意识，自觉遵守公司关于营业部信息系统管理的各项规章制度。

2、负责本营业部计算机信息系统的建设、管理和维护，确保系统安全运行。

及其管理。

9、根据本营业部的业务发展需求，提交应用系统需求报告、软硬件采购计划，报公司信息技术中心审批。

10、在公司信息技术中心的安排下，承担公司信息网络系统建设中涉及本营业部的有关工作。

11、负责本营业部计算机信息系统各类文档的收集、整理、分类、归档、备案。

12、负责编制营业部计算机设备的统计报表及协助财务部拟定本营业部计算机设备报废、报损计划，报公司信息技术中心审核整体改造，必须在年初申报计划，并附完整的整体设计方案和可行性论证报告，由信息技术中心审批。

第十条各营业部申请搬迁、扩租营业面积以及涉及公司整体项目建设，应根据经纪业务管理总部及财务资金总部有关上报的要求提出立项申请，在经纪业务管理总部批准后，再向经纪业务管理总部报送可行性分析报告与装修预算方案，向信息技术中心报送计算机设备预算和技术方案，由经纪业务管理总部、信息技术中心分别审核批复后，营业部方能实施。

遵循严格、规范的招标程序，包括制定标书、发标、接标、评标，最后经采购小组审定后报公司主管领导审批。

第十四条公司各部室、中心及营业部购置的计算机设备，凡属于固定资产的，按公司固定资产管理办法进行管理。

第十五条各营业部电脑部应每季度向信息技术中心提交书面工作报告，及时反映工作动态与需解决的问题。

第十六条公司各部室、中心及营业部如有人员调离，须事先通知公司信息技术中心，以便及时清除网络登录用户并确定是否进行相关审计。

第二部分长城证券有限责任公司19202122第一条为加强长城证券有限责任公司（以下简称公司）对计算机应用的集中统一管理，规范全公司系统的计算机应用，保证计算机系统和设备的正常运转，根据公司《信息系统管理办法》，制订本实施细则。

第二条本实施细则主要包括计算机应用项目立项和审批程序、计算机设备购置和使用管理、应用软件开发管理、计算机设备报废管理、耗材管理、网络管理、机房管理、技术文档的管理、系统安全保密管理、网络防病毒管理以及技术培训管理等。

（以（），第三条已立项的计算机应用项目完成后，由公司信息技术中心会同有关业务管理人员组成项目验收小组进行验收，验收结果形成《长城证券有限责任公司计算机应用项目验收报告》（）。

第四条公司各部室、中心在每年的12月31日前，提出本部门下一年度的计算机应用项目建设、购置及升级计划，填写《计算机设备需求计划表》（）、《计算机设备资金需求计划表》（）报信息技术中心。

第五条信息技术中心根据公司信息系统建设总体规划和各部室、中心及营业部提交的计划，汇总制定公司下一年度计算机应用项目购建计划，报请公司批准后执行。

第二条信息系统安全管理涉及安全管理组织建设、安全策略、系统环境安全、软件安全、设备（实体）安全、网络和通讯系统安全、用户及权限管理、操作安全、病毒防范、系统备份、日志记录、事故处理以及安全审计等内容，公司信息技术工作应在本制度指引下，本着“安全第一”的原则进行。

第三条本制度适用于长城证券公司总部、各地区总部及各营业部。

组织和职责第四条信息系统安全管理实行公司总裁负责的公司安全管理委员会和营业部总经理负责的营业部安全管理小组两级管理制度。

第五条公司安全管理委员会下设安全工作小组作为执行机构，定期对公司范围信息系统的安全性作出评价，必要时提出提高安全第九条对计算机信息系统中发生的案件，营业部电脑人员即时向营业部总经理汇报，并于24小时内向总部信息技术中心报告。

第十条通过对信息系统环境、软件、硬件、网络和通信、用户和权限、规范化操作、病毒防范、备份和恢复手段以及安全审计等的有效管理，维护公司整个计算机环境的一致性。

第十一条建立一个多层次的安全系统，在信息的安全和共享之间建立平衡。

第十二条对公司员工进行计算机安全教育，提高员工的安全意识，是公司安全策略的重要组成部分。

第十三条营业部安全管理小组必须定期对本营业部的主要计2、查处危害计算机信息系统安全的事件；3、组织或委托有关部门对新建、改建和扩建的系统进行安全验收，负责系统安全技术检测工作；4、组织开展系统安全竞赛和评比；负责通报表彰和处罚；5、履行计算机信息系统安全保护工作的其他监督职责。

第十九条公司安全管理委员会发现影响计算机信息系统安全的隐患时，应当及时通知公司各有关部门和各营业部采取安全保护措施。

第二十条公司安全管理委员会在紧急情况下，可以就涉及计算机信息系统安全的特定事项发布专项通知。

系，及时取得并组织安装经过测试的安全补丁。

第二十七条软件使用部门根据业务需要提出增添新的应用软件或对已有应用软件提出新的功能要求，须以部门名义向信息技术中心填写《软件需求报告表》，信息技术中心在收到《软件需求报告表》（附表5）后，三天之内给予书面答复。

第二十八条新购置的软件需经信息技术中心测试和试运行。

试运行完成后，试用人员应填写《软件验收报告表》（附表6）报信息技术中心领导审核，信息技术中心在收到报告后三天内予以回复。

测试稳定后由信息技术中心统一分发安装使用。

第二十九条自行开发的应用软件，如源程序中需要嵌入数据不授予用户超出需要的权限，权限的设置必须有明确的依据；2、制定方案，对敏感资源的操作、系统登录情况进行定期或不定期检查，及时查看L系统日志文件，对ALERT相关日志提示作出及时响应；3、提供远程访问和对外WEB服务的服务器不存放敏感数据；4、对一些系统程序(如Telnet、ftp等)的使用应加强控制；停止服务器上不必要的服务；尽量减少所使用的协议。

第三十四条对贮有重要数据的故障设备，交外单位人员修理第四十条通信线路接口部分应采取防止非法进入的安全措施。

第四十一条进行密码设置，并进行密码的专职保管，防范通信线路接口部分的采取非法进入。

第四十二条公司总部及营业部应当对公司总部和各营业部通信系稳定、安全情况进行定期检查，并及时整改不安全隐患。

第四十三条对通信系统中发生的案件，营业部电脑人员即时向营业部总经理汇报，并于即时与总部信息技术中心相关人员联系，双方合作尽快解决问题。

第四十四条总部信息技术中心设岗位职责，分别负责公司广域网连接方案、网络安全方案的实施，对总部局并交由审计人员、应用系统维护人员使用，并在使用完毕后及时删除该临时用户。

在技术允许的条件下，应限制用户的登录工作站。

第四十九条对于涉及业务、财务方面的数据库，应利用数据库系统的访问跟踪记录功能，设置对应用系统、调试用户、超级用户访问数据库的命令进行跟踪，记录到监控日志文件中。

定期检查监控日志，发现异常及时通报。

第五节管理员及其职责第五十条总部信息技术中心设系统管理员岗位，负责公司信息系统的管理，包括服务器的规划、安装和配置，启动/停止/第五十一条总部信息技术中心设数据管理员岗位，负责总部数据的安全管理和维护，具体职责见《信息系统安全管理制度》第十三节。

第五十二条总部信息技术中心设网络管理员岗位，负责公司广域网连接方案、网络安全方案的实施，对总部局域网、公司广域网连接、各类移动连接、Internet接入设备进行管理，以及其它保证网络连接安全稳定的日常事务性工作。

第五十三条营业部的局域网管理、营业部与交易所、登记公司、公司总部的通讯连接由营业部电脑部负责。

营业部柜台交易系统管理员由营业部总经理担任。

第五十八条营业部交易系统管理员新增/删除柜台用户或对用户权限进行分配应有文字记录。

对股票、资金等参数进行调整的非正常业务操作必须填写书面说明，而且必须由营业部总经理及财务部经理共同批准后方能执行。

第五十六条营业部技术人员在应用系统中的权限应只限于系统管理，而无业务操作权限。

第五十九条对用户及权限管理应按以下原则执行：1、应对具有系统管理、数据库管理等特殊权限的用户进行限制，包括仅允许在机房和自己的工作地点登录，同一时间仅允许同一用户登录一次允许远程访问时必须设定回拨方式等；第七节操作的规范化管理第六十一条总部和营业部应分别制定操作规程，并定期修改。

第六十二条禁止同一人掌管操作系统口令和数据库管理系统口令。

第六十三条公司员工应有互不相同的用户名，定期两个月更换操作口令。

第六十四条一般用户口令长度不得少于6位，不使用小键盘的人员编制口令应做到字符与数字混排，不得使用电话号码、生日等作为口令；系统管理员口令不得少于10位。

第六十五条严禁泄露自己的口令，必须启用系统软件提供的安全审计留痕功能。

第七十二条信息技术中心应指定专人负责计算机病毒防范工作。

总部及营业部应定期进行病毒检测，发现病毒立即处理并报告。

重要部门的计算机应当指定专人专管计算机病毒防范工作。

第七十三条总部和营业部必须配备公安部认可的正版防病毒软件并及时更新软件版本。