第一篇:證券公司網(wǎng)上證券信息系統(tǒng)技術指引
證券公司網(wǎng)上證券信息系統(tǒng)技術指引
第一章 總則
第一條 為保障網(wǎng)上證券信息系統(tǒng)的安全、可靠、高效運行,促進證券公司在網(wǎng)上開展的證券業(yè)務健康有序發(fā)展,保護投資者的合法權益,依據(jù)《中華人民共和國電子簽名法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》等相關法律法規(guī)制定本指引。
第二條 本指引適用于在中華人民共和國境內(nèi)依法設立的證券公司。
第三條 網(wǎng)上證券信息系統(tǒng)是證券公司在網(wǎng)上開展證券業(yè)務活動中所采用的由相關網(wǎng)絡設備、計算機設備、軟件及專用通訊線路等構成的信息系統(tǒng),包括網(wǎng)上證券服務端、客戶端和門戶網(wǎng)站。
第四條 證券公司利用網(wǎng)上證券信息系統(tǒng)開展證券業(yè)務應遵循如下基本原則:
(一)安全性原則:網(wǎng)上證券信息系統(tǒng)的建設應提高風險防范意識,保證在網(wǎng)上開展證券業(yè)務的安全性。通過技術措施和管理手段,實現(xiàn)信息的保密性、完整性和服務可用性。
(二)系統(tǒng)性原則:網(wǎng)上證券信息系統(tǒng)的安全建設應覆蓋安全保障體系的各個方面,包括:安全體系建設、證券業(yè)務在網(wǎng)上的開展、網(wǎng)絡和系統(tǒng)安全、應用系統(tǒng)安全、運維和安全保障、災難恢復和應急措施等。
(三)可用性原則:網(wǎng)上證券信息系統(tǒng)的建設應在保障安全的原則下,確保在網(wǎng)上開展的證券業(yè)務的連續(xù)性和可靠性。
第五條 中國證券業(yè)協(xié)會對證券公司執(zhí)行本指引的情況進行指導和督促。
第二章 基本要求
第六條 證券公司對網(wǎng)上證券信息系統(tǒng)應統(tǒng)一規(guī)劃、集中管理,保證在網(wǎng)上開展證券業(yè)務安全、有序發(fā)展。
第七條 證券公司應制定在網(wǎng)上開展證券業(yè)務的各項安全管理制度,對安全管理目標、安全管理組織、安全人員配備、安全策略、安全措施、安全培訓、安全檢查、系統(tǒng)建設、運行管理、應急措施、風險控制、安全審計等方面作出規(guī)定。
第八條 證券公司應根據(jù)在網(wǎng)上開展證券業(yè)務特性,設立相應的管理職能崗位,明確在網(wǎng)上開展證券業(yè)務管理的責任,配備合格、足夠的管理人員和技術人員,包括安全管理員、安全審計員等。
第九條 證券公司應將在網(wǎng)上開展證券業(yè)務的風險管理納入證券公司風險控制工作范圍,建立健全網(wǎng)上證券風險控制管理體系。
第十條 對在網(wǎng)上開展證券業(yè)務的審計應納入證券公司的審計工作范圍。
第十一條 證券公司網(wǎng)上證券信息系統(tǒng)應部署在中華人民共和國境內(nèi),滿足技術審計、監(jiān)管部門現(xiàn)場檢查及中國司法機構調(diào)查取證等要求。部署網(wǎng)上證券信息系統(tǒng)的有形場所,應符合國家安全標準的有關要求。
第十二條 證券公司應當與投資者簽訂網(wǎng)上證券服務協(xié)議或合同,明確雙方的權利、義務和相關風險的責任承擔,向投資者充分揭示使用網(wǎng)上證券信息系統(tǒng)可能面臨的風險、證券公司已采取的風險控制措施和客戶應采取的風險防范措施。
第十三條 證券公司應通過多種方式揭示使用網(wǎng)上交易方式可能面臨的風險和客戶應采取的風險防范措施,提醒投資者加強賬號、口令的保護工作,建議投資者定期修改口令、增強口令強度、防止口令泄露、防止用于網(wǎng)上交易的計算機或手機終端感染木馬、病毒等,并根據(jù)投資者需要開啟或關閉網(wǎng)上交易方式。
第十四條 證券公司應盡可能使用統(tǒng)一的網(wǎng)上證券服務電話、域名、短信號碼等,并應在與投資者簽訂的協(xié)議或合同中明確告知客戶使用網(wǎng)上證券信息系統(tǒng)的合法途徑、意外事件的處理辦法,以及證券公司聯(lián)系方式等。
第十五條 證券公司的網(wǎng)上證券信息系統(tǒng)應自主運營、自主管理。如涉及第三方(指除證券公司及其客戶以外的任何一方),應與第三方簽訂保密協(xié)議和服務級別協(xié)議,并明確責任,采取措施防止通過第三方泄露用戶信息。
第十六條 證券公司通過網(wǎng)上證券信息系統(tǒng)向客戶提供證券交易的行情信息,應提示行情源;如向客戶提供證券信息,應說明信息來源,并提示投資者對行情信息及證券信息等進行核實。
第十七條 證券公司應對網(wǎng)上證券信息系統(tǒng)的各個子系統(tǒng)合理劃分安全域,在不同安全域之間進行有效的隔離,保障網(wǎng)上證券信息系統(tǒng)的接入系統(tǒng)與其后臺系統(tǒng)在技術上進行有效隔離,后臺系統(tǒng)應與行情、資訊處理系統(tǒng)進行網(wǎng)絡隔離,并應部署在證券公司可控的物理安全域內(nèi)。
第十八條 證券公司應在兩個以上的物理地點建立網(wǎng)上證券信息系統(tǒng),互為備份,并應具備2個或2個以上不同運營商的互聯(lián)網(wǎng)接入,避免在同一運營商的線路接入上出現(xiàn)單點故障和瓶頸,同時應充分考慮不同互聯(lián)網(wǎng)運營商的互聯(lián)瓶頸問題,確保局部故障或災難發(fā)生時,系統(tǒng)能繼續(xù)對用戶提供服務。
第十九條 對于外包定制的網(wǎng)上證券信息系統(tǒng),證券公司應與軟件開發(fā)商簽署服務協(xié)議和保密協(xié)議,明確客戶端、服務端以及數(shù)據(jù)傳輸過程均無后門,明確軟件開發(fā)商應用軟件中使用的插件具備合法版權,以確保客戶數(shù)據(jù)、交易資料不被泄漏,保障證券公司的權益。
第三章 門戶網(wǎng)站
第二十條 證券公司門戶網(wǎng)站指證券公司建立的實現(xiàn)信息發(fā)布、業(yè)務咨詢、營銷推廣、客戶服務和投資者教育等功能的網(wǎng)站。
第二十一條 證券公司門戶網(wǎng)站應當按照國家主管部門的有關規(guī)定辦理網(wǎng)站備案,并提供備案信息的鏈接。
第二十二條 證券公司應定期對網(wǎng)站程序代碼進行全面檢查和評估,并及時修補,避免各種漏洞的存在。
第二十三條 證券公司應在門戶網(wǎng)站部署防篡改系統(tǒng),當網(wǎng)站上的頁面內(nèi)容、提供給投資者下載的客戶端軟件及其它文件被異常修改時,能自動告警或自動恢復,防止被捆綁木馬程序。
第二十四條 與核心交易業(yè)務有關的客戶資料、交易數(shù)據(jù)等客戶敏感數(shù)據(jù)不得存放在門戶網(wǎng)站數(shù)據(jù)庫中。網(wǎng)上客戶業(yè)務處理的日志應單獨存放。
第二十五條 在證券公司門戶網(wǎng)站中客戶賬號及口令,應采用加密方式傳輸,并最低達到SSL協(xié)議128位的加密強度。
第二十六條 證券公司應該建立對門戶網(wǎng)站內(nèi)容發(fā)布的審核、管理和監(jiān)控機制,對網(wǎng)頁內(nèi)容進行監(jiān)控,對有害信息進行過濾,防止網(wǎng)站出現(xiàn)不良信息。
第四章 網(wǎng)上證券客戶端
第二十七條 網(wǎng)上證券客戶端是指證券公司通過互聯(lián)網(wǎng)向本公司開戶的客戶提供的用于查看行情、檢索資訊、交易委托等的應用程序,包括基于計算機和手機等終端的前端軟件。
第二十八條 網(wǎng)上證券客戶端應提供技術手段協(xié)助用戶檢查、清除木馬等惡意程序,并提供驗證碼、強制口令圖形鍵盤、安全的口令輸入安全控件、客戶端電腦或手機特征碼綁定、軟硬件證書、動態(tài)口令等多種用戶認證方式,防范不法分子利用木馬等黑客程序竊取客戶賬號和口令信息,進行證券盜買盜賣非法活動。
第二十九條 網(wǎng)上證券客戶端應具備反調(diào)試能力。
第三十條 網(wǎng)上證券客戶端的客戶身份信息和交易數(shù)據(jù)等重要數(shù)據(jù)傳輸應采用國家信息安全機構認可的加密技術和加密強度,并最低達到SSL協(xié)議128位的加密強度。
第三十一條 網(wǎng)上證券客戶端應能向客戶提示最近一次登錄的日期、時間、地址等信息。
第三十二條 網(wǎng)上證券客戶端應能在指定的閑置時間間隔到期后,自動鎖定客戶端的使用。
第三十三條 網(wǎng)上證券客戶端應具有唯一連接到本證券公司網(wǎng)上證券接入系統(tǒng)的保障機制。網(wǎng)上證券客戶端應提供足夠的識別信息,以保證網(wǎng)上證券服務端能夠?qū)Πl(fā)出連接請求的客戶端與證券公司所提供下載的程序進行一致性驗證。
第三十四條 當客戶訪問網(wǎng)上證券服務端時,未經(jīng)客戶許可,不得以任何方式在客戶端系統(tǒng)中安裝插件。
第三十五條 網(wǎng)上證券客戶端在本地計算機儲存客戶賬戶、交易數(shù)據(jù)等重要信息,應提示客戶,經(jīng)客戶確認后以加密方式存儲。
第五章 網(wǎng)上證券服務端
第三十六條 網(wǎng)上證券服務端是指證券公司通過互聯(lián)網(wǎng)向客戶提供網(wǎng)上交易、網(wǎng)上行情、數(shù)據(jù)查詢等服務的信息系統(tǒng),包括互聯(lián)網(wǎng)接入子系統(tǒng)、安全防護與監(jiān)控子系統(tǒng)、應用服務子系統(tǒng)、身份認證子系統(tǒng)和后臺隔離子系統(tǒng)。
第三十七條 證券公司應提供預留驗證信息服務,在客戶登錄時向客戶顯示預留的驗證信息,幫助客戶識別仿冒的網(wǎng)上證券信息系統(tǒng),防范不法分子利用仿冒的網(wǎng)上證券信息系統(tǒng)進行詐騙活動或盜取用戶賬號、口令等信息。
第三十八條 證券公司應提供可靠的用戶身份認證機制,支持網(wǎng)上證券客戶端采用多種認證方式與服務端進行身份認證。除輸入賬戶名、口令、驗證碼的身份認證方式之外,還應向客戶提供一種以上強度更高的身份認證方式,如,客戶端電腦或手機特征碼綁定、軟硬件證書、動態(tài)口令等認證方式,確認網(wǎng)上交易客戶的身份和登錄的合法性,防止非法接入。用戶身份認證信息應當在服務器上加密存放。
第三十九條 證券公司應提供可靠的訪問控制和權限管理機制,防止客戶的授權被惡意提升或轉(zhuǎn)授,防止客戶使用未經(jīng)授權的功能,防止客戶進行訪問未經(jīng)授權的數(shù)據(jù)等非法訪問活動。
第四十條 網(wǎng)上證券信息系統(tǒng)采用的認證授權和加密體系應通過國家信息安全機構的安全性測評,具備足夠的強度和抗攻擊能力,并根據(jù)在網(wǎng)上開展證券業(yè)務的安全性需要和信息技術的發(fā)展,定期檢查、評估和及時調(diào)整。
第四十一條 網(wǎng)上證券信息系統(tǒng)未經(jīng)證券公司授權不得與第三方進行任何形式的數(shù)據(jù)交換,并具備經(jīng)過認證后僅向授權的第三方指定地址發(fā)送信息的功能。
第四十二條 證券公司應保證網(wǎng)上證券數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾浴⒄鎸嵭院涂苫诵裕瑢W(wǎng)上交易委托的客戶信息、交易指令及其他敏感信息進行可靠的加密,加解密應在投資者與證券公司實際控制的設備中進行,不得存在任何中間環(huán)節(jié)對數(shù)據(jù)進行加解密。
第四十三條 網(wǎng)上證券服務端應防止用戶使用簡單口令,應能夠抵御連續(xù)猜測等對客戶賬戶惡意攻擊行為。
第四十四條 網(wǎng)上證券服務端應對不完整、被篡改、重發(fā)的數(shù)據(jù)包進行監(jiān)控,對登錄、委托方式、品種、價格、數(shù)量、操作頻率、轉(zhuǎn)賬等異常行為進行跟蹤、監(jiān)控和限制,記錄其賬號、IP地址等相關信息,并通過短信、電話等方式及時提示客戶,必要時進行用戶臨時鎖定。監(jiān)控和處置情況應形成記錄備查。
第四十五條 網(wǎng)上證券服務端應能監(jiān)控并避免攻擊者通過群體大規(guī)模對合法證券賬戶進行非法用戶登陸的請求,導致大量用戶賬戶被異常鎖定,正常用戶無法登陸。
第四十六條 網(wǎng)上證券服務端應能在指定的時間間隔到期后,自動中止用戶對系統(tǒng)的訪問權。
第四十七條 網(wǎng)上交易服務端應能產(chǎn)生、記錄并集中存儲必要的日志信息,其中應包含能識別服務請求方身份的內(nèi)容、登錄終端的IP地址、MAC地址、手機號碼和終端特征碼等,并確保數(shù)據(jù)的可審計性,滿足監(jiān)管部門現(xiàn)場檢查要求及司法機構調(diào)查取證的要求。
第四十八條 網(wǎng)上證券服務端應能向客戶提供可證明服務端自身身份的信息,以確保客戶能查驗所使用服務的真實性。
第四十九條 網(wǎng)上證券服務端應能夠有效屏蔽系統(tǒng)技術錯誤信息,不將系統(tǒng)產(chǎn)生的錯誤信息直接反饋給客戶。
第五十條 網(wǎng)上證券服務端應能夠提供系統(tǒng)運行健康狀況信息(如活動狀態(tài)、并發(fā)在線客戶數(shù)目、并發(fā)會話數(shù)目、線程數(shù)目、隊列長度等)、錯誤信息、安全警告等。
第五十一條 基于瀏覽器的網(wǎng)上證券下單網(wǎng)頁應當使用HTTPS等加密方式與服務端交互,服務端應具備防范SQL注入式攻擊、跨站腳本攻擊等網(wǎng)頁攻擊的能力,同時關閉HTTP服務器的Web遠程維護功能。
第六章 移動證券
第五十二條 移動證券指客戶通過手機或其他具備無線數(shù)據(jù)通訊能力的移動設備,經(jīng)無線公眾網(wǎng)絡獲取證券公司提供的行情信息、資訊信息服務或進行交易、轉(zhuǎn)賬、查詢等證券自助業(yè)務。
第五十三條 證券公司應使用安全、可靠的移動證券系統(tǒng)。移動證券系統(tǒng)宜自主運營,實現(xiàn)數(shù)據(jù)從用戶終端到網(wǎng)上證券服務端之間的加密傳送和控制,并隨著技術的發(fā)展,不斷提高加密強度,完善認證算法。
第五十四條 證券公司應建立確認機制以保證客戶獲得正確的移動證券客戶端軟件。
第五十五條 移動證券客戶端應具備一定加密強度的用戶認證功能,保護客戶賬號和口令信息。
第五十六條 證券公司應在門戶網(wǎng)站或固定營業(yè)場所公告短信服務號碼、移動證券門戶網(wǎng)站地址等信息,提醒客戶防范他人利用移動通訊設備進行欺詐。
第五十七條 證券公司應根據(jù)移動證券業(yè)務的網(wǎng)絡延遲時間、鏈路穩(wěn)定狀況、信號衰減程度等風險因素,對行情或交易數(shù)據(jù)可能出現(xiàn)明顯滯后或產(chǎn)生數(shù)據(jù)丟失的情況,事先對客戶進行風險提示。
第七章 安全管理
第五十八條 證券公司網(wǎng)上證券信息系統(tǒng)的管理、開發(fā)、測試應與運營人員及生產(chǎn)環(huán)境分離。開發(fā)、測試和運營人員未經(jīng)授權不得訪問、修改非職責范圍內(nèi)的網(wǎng)上證券信息系統(tǒng)。
第五十九條 證券公司應制定在網(wǎng)上開展證券業(yè)務連續(xù)性計劃,保證在網(wǎng)上開展證券業(yè)務的連續(xù)正常運營。在網(wǎng)上開展證券業(yè)務連續(xù)性計劃應充分評估第三方服務供應商對業(yè)務連續(xù)性的影響,并應采取適當?shù)念A防措施。
第六十條 客戶使用的網(wǎng)上證券委托軟件應由證券公司管理和授權發(fā)布,證券公司應對其授權第三方發(fā)布的證券委托軟件進行審核、監(jiān)管。
第六十一條 證券公司應采取有效措施對門戶網(wǎng)站上提供下載的網(wǎng)上證券客戶端軟件程序進行保護,客戶端軟件程序編譯封裝、形成下載文件后,應安排專人對其進行嚴格的病毒掃描和木馬檢查,并通過專用安全手段傳輸至網(wǎng)站文件下載服務器。
第六十二條 證券公司網(wǎng)上證券應用系統(tǒng)上線或重大版本升級,應進行安全測試和評估。
第六十三條 原則上不允許通過互聯(lián)網(wǎng)對網(wǎng)上證券信息系統(tǒng)(如防火墻、網(wǎng)絡設備、服務器等)進行遠程管理和日常維護等操作,對網(wǎng)上證券信息系統(tǒng)的訪問控制應做到:
(一)關閉網(wǎng)上證券信息系統(tǒng)所有與業(yè)務和維護無關的服務及端口,嚴格控制防火墻中的權限設置,確保按“最小權限原則”進行設置;
(二)對于網(wǎng)上證券信息系統(tǒng)的內(nèi)部訪問,應嚴格限制訪問源。
(三)特殊緊急情況下需要通過互聯(lián)網(wǎng)進行遠程操作時,應通過限制登錄IP、使用數(shù)字證書或動態(tài)口令、全程監(jiān)控等措施確保安全,并在操作完成后,及時關閉相關端口。
第六十四條 證券公司應部署有效的網(wǎng)上證券信息系統(tǒng)安全防護與監(jiān)控子系統(tǒng),包括防火墻,防病毒、防木馬系統(tǒng),入侵檢測系統(tǒng)或入侵防護系統(tǒng),并正確配置。應及時更新病毒庫,定期對系統(tǒng)進行全面的病毒掃描,加強相關系統(tǒng)的日志審查工作,提高網(wǎng)上證券信息系統(tǒng)的防護能力。
第六十五條 證券公司制定的安全措施,應定期檢查、測試,并根據(jù)實際情況及時調(diào)整,保證安全措施的持續(xù)有效。
第六十六條 證券公司應建立定期的網(wǎng)上證券信息系統(tǒng)安全風險評估機制和整改的工作制度,及時發(fā)現(xiàn)SQL注入漏洞、弱口令賬戶、繞過驗證、目錄遍歷、文件上傳、跨站腳本等系統(tǒng)存在的安全隱患和漏洞,并進行改進和完善。風險評估應通過內(nèi)部評估與外部評估相結(jié)合的方式進行。
第六十七條 安全風險評估應包括漏洞掃描、攻擊測試、病毒掃描、木馬檢測等,針對不同的威脅設置相應的檢查頻率。
第六十八條 證券公司應對網(wǎng)上證券信息系統(tǒng)進行實時監(jiān)控,建立異常事件的甄別、報警、處理和報告機制。網(wǎng)上證券信息系統(tǒng)實時監(jiān)控范圍應包括各種安全設備、網(wǎng)絡設備、服務器設備及操作系統(tǒng)、通訊線路狀態(tài)及應用軟件等。監(jiān)控內(nèi)容包括其運行狀況、日志內(nèi)容、安全警告等,并統(tǒng)一記錄保存監(jiān)控信息,保存期至少為6個月。
第六十九條 證券公司應通過多種技術手段加強對投資者賬戶異動情況的監(jiān)控,如委托的方式、品種、價格、數(shù)量異常等,并及時提醒客戶,以保護客戶資產(chǎn)安全。
第七十條 證券公司應對網(wǎng)上證券信息系統(tǒng)中包括網(wǎng)絡安全設備、服務器以及應用系統(tǒng)在內(nèi)的賬戶進行嚴格管理,賬戶權限應按最小權限原則設置,清除所有冗余、與應用無關的賬戶,并嚴格限制各管理員賬戶的使用,禁止用最高權限賬戶執(zhí)行一般操作,盡量避免以最高權限賬戶運行網(wǎng)上信息系統(tǒng)服務端應用軟件。
第七十一條 管理員賬戶和口令應由專人負責,口令長度應在12位以上,且含有字符和數(shù)字,區(qū)分大小寫,并定期更改。
第七十二條 證券公司應嚴格限制人工對數(shù)據(jù)庫操作的賬戶權限,并應分別使用不同權限的賬戶執(zhí)行查詢、插入、更新、刪除等操作。
第七十三條 網(wǎng)上證券信息系統(tǒng)各環(huán)節(jié)應有可靠的熱備或冷備措施,保證整個系統(tǒng)的高可用性。
第七十四條 證券公司應根據(jù)自身實際情況制訂網(wǎng)上證券信息系統(tǒng)的數(shù)據(jù)備份計劃并落實執(zhí)行。備份的數(shù)據(jù)應包括:系統(tǒng)程序、配置參數(shù)、系統(tǒng)日志、安全審計數(shù)據(jù)、門戶網(wǎng)站信息、客戶數(shù)據(jù)等。
第七十五條 證券公司應保證備份數(shù)據(jù)的準確性、完整性、可用性。備份數(shù)據(jù)的管理應符合相關技術管理規(guī)定,有嚴格的保管、使用、檢查管理制度。
第七十六條 證券公司應當保障網(wǎng)上證券信息系統(tǒng)運營設施、設備以及安全控制設施、設備的安全。對重要設施、設備的接觸、檢查、維修和應急處理,應有明確的權限規(guī)定、責任劃分和操作流程,并建立日志文件管理制度,如實記錄并妥善保管相關記錄。
第七十七條 證券公司應定期評估可供客戶使用的網(wǎng)上證券信息系統(tǒng)的資源狀況,并根據(jù)實時監(jiān)控信息、可預見的業(yè)務發(fā)展需求進行容量的需求預測,確保有充足的處理能力、存儲容量和通訊帶寬,滿足業(yè)務增長的需要,保證網(wǎng)上證券服務的可用性,并能抵御一定程度的拒絕服務攻擊和緩沖區(qū)溢出攻擊。
第七十八條 在網(wǎng)上開展證券業(yè)務的網(wǎng)絡系統(tǒng)、安全系統(tǒng)、應用系統(tǒng)等重要環(huán)節(jié)應具備足夠的冗余,以應對網(wǎng)站及網(wǎng)上交易可能出現(xiàn)的突發(fā)峰值;在網(wǎng)上開展證券業(yè)務的網(wǎng)絡系統(tǒng)、安全系統(tǒng)、應用系統(tǒng)等重要環(huán)節(jié)應具備良好的可擴充性,以應對業(yè)務增長和市場的變化。
第七十九條 證券公司應建立嚴格的變更管理流程,對包括網(wǎng)絡安全設備、服務器、應用系統(tǒng)等軟硬件系統(tǒng)和配置變更實行規(guī)范化的變更管理,完整、真實地記錄和反映系統(tǒng)所涉及的軟硬件配置及相互影響關系,并保持與實際生產(chǎn)環(huán)境同步更新。
第八十條 證券公司應建立網(wǎng)上證券信息系統(tǒng)應急處理組織體系,并制定相應的應急預案,應急預案應納入證券公司和行業(yè)的應急預案體系內(nèi),并按照有關規(guī)定進行演練。
第八十一條 證券公司應根據(jù)網(wǎng)上證券信息系統(tǒng)故障的影響和損失情況對應急組織體系和應急預案進行分級管理和執(zhí)行,并遵循統(tǒng)一領導、快速響應、協(xié)調(diào)配合、最小損失的原則。
第八十二條 證券公司網(wǎng)上證券信息系統(tǒng)應急預案應針對電力、通信等基礎設施故障、計算機硬件或網(wǎng)絡設備故障、操作系統(tǒng)或應用系統(tǒng)故障、操作系統(tǒng)或應用系統(tǒng)漏洞、病毒入侵、惡意攻擊、誤操作、不可抗力等可能的故障原因制定對應的應急恢復操作流程或步驟。
第八十三條 證券公司在發(fā)現(xiàn)假冒本公司網(wǎng)上證券服務的非法活動或者網(wǎng)上證券信息系統(tǒng)出現(xiàn)重大安全事件后,應及時向監(jiān)管部門、公安機關報告。在啟動實施網(wǎng)上證券信息系統(tǒng)應急預案時應及時向投資者公告。對于假冒本公司的非法活動應及時通過證券公司網(wǎng)站、網(wǎng)上證券客戶端、電話語音系統(tǒng)或短信平臺等提醒投資者注意。
第八章 附則
第八十四條 本指引由中國證券業(yè)協(xié)會負責解釋。
第八十五條 本指引自發(fā)布之日起施行。
第二篇:證券公司證券營業(yè)部信息技術指引》(征求意見稿)
證券公司證券營業(yè)部信息技術指引
(征求意見稿)
第一章 總則
第一條 為加強證券公司證券營業(yè)部信息技術管理,防范技術風險,保障證券市場平穩(wěn)運行,依據(jù)《中華人民共和國證券法》、中國證監(jiān)會規(guī)章和中國證券業(yè)協(xié)會自律規(guī)則的有關規(guī)定,制定本指引。
第二條 證券公司應全面負責證券營業(yè)部信息技術的管理,統(tǒng)一制定證券營業(yè)部信息技術的建設、運維、安全等相關管理制度,并督促證券營業(yè)部有效執(zhí)行。
第三條 證券公司應遵循信息系統(tǒng)安全性、實用性、可操作性等原則,統(tǒng)一規(guī)劃和建設證券營業(yè)部的信息系統(tǒng)。
第四條 根據(jù)證券營業(yè)部是否提供現(xiàn)場交易服務和是否部署與現(xiàn)場交易服務相關的信息系統(tǒng),證券營業(yè)部的信息系統(tǒng)建設模式可以區(qū)分為:
A型模式:在營業(yè)場所內(nèi)部署與現(xiàn)場交易服務相關的信息系統(tǒng)為客戶提供現(xiàn)場交易服務。采用該類型信息系統(tǒng)建設模式的證券營業(yè)部,以下簡稱為“A型證券營業(yè)部”。作為其他證券營業(yè)部網(wǎng)絡通信匯聚節(jié)點,且所連接的證券營業(yè)部中提供現(xiàn)場交易服務的證券營業(yè)部,視同為“A型證券營業(yè)部”。
B型模式:在營業(yè)場所內(nèi)未部署與現(xiàn)場交易服務相關的信息系統(tǒng),但依托公司總部或其他證券營業(yè)部的信息系統(tǒng)為客戶提供現(xiàn)場交易服務。采用該類型信息系統(tǒng)建設模式的證券營業(yè)部,以下簡稱為“B型證券營業(yè)部”。
C型模式:在營業(yè)場所內(nèi)未部署與現(xiàn)場交易服務相關的信息系統(tǒng)且不提供現(xiàn)場交易服務。采用該類型信息系統(tǒng)建設模式的證券營業(yè)部,以下簡稱為“C型證券營業(yè)部”。
證券公司可根據(jù)自身狀況和業(yè)務發(fā)展需要,自主選擇證券營業(yè)部信息系統(tǒng)建設模式。
第五條 證券公司應為A型證券營業(yè)部至少配備一名專職技術人員、B型證券營業(yè)部至少配備一名兼職技術人員,并制定頂崗、備崗等相關制度,確保在交易時間內(nèi)有技術人員值守。專職技術人員和兼職技術人員應具有計算機相關專業(yè)學歷或從事信息技術工作1年以上。
第二章 系統(tǒng)建設
第六條 A型證券營業(yè)部應設機房。B型和C型證券營業(yè)部可不設機房,但網(wǎng)絡及通信等設備應集中放置和管理。
第七條 機房選址應滿足如下要求:
(一)選擇具備可靠供電的場所;
(二)遠離強震源、強磁場源和強噪聲源,遠離電磁干擾源或?qū)嵤┯行щ姶鸥蓴_防護;
(三)遠離產(chǎn)生粉塵、油煙、有害氣體以及具有腐蝕性、易燃、易爆物品的工廠、倉庫等場所;
(四)符合當?shù)乜拐饛姸纫螅?/p>
(五)符合當?shù)叵乐鞴懿块T的消防安全要求;
(六)盡量避免低洼地帶。第八條 機房建設應滿足以下要求:
(一)盡量避讓建筑物頂層、地下室、用水設備的下層或隔壁以及易漏雨、易滲水和易遭雷擊的區(qū)域,避開易發(fā)生火災危險的區(qū)域;
(二)選擇通信設施健全,相對安全、易于管理的區(qū)域;
(三)避讓主干電力電纜穿越場所,避讓供水、消防管網(wǎng)經(jīng)過;
(四)設備放置處應考慮地面承重,應盡量選擇有主干墻、承重墻的位置放置,必要時應進行地面加固;
(五)應配備應急照明裝置;
(六)應配備防火防盜門等有效安保設施。
第九條 機房應采用可靠的綜合接地系統(tǒng)或獨立接地系統(tǒng),防止雷電對機房設施造成損壞。
第十條 機房應具備獨立空調(diào)系統(tǒng),使機房溫度保持在23℃±5℃范圍內(nèi)。
第十一條 機房供電應滿足如下要求:
(一)應具有獨立于一般照明電的專用供電線路,設有獨立的配電柜或配電箱。相關電器設備、電線應與機柜用電負載相適應,并留有余量。
(二)應配置UPS電源,并不得將與業(yè)務無關的設備接入UPS電源。市電插座與UPS插座應嚴格區(qū)分,插座面板應有提示性的標識或標簽。
第十二條 A型和B型證券營業(yè)部應至少配備一種持續(xù)供電方式,在市電中斷情況下,保證不低于25%的現(xiàn)場交易終端在交易時間內(nèi)持續(xù)工作,以滿足證券營業(yè)部客戶現(xiàn)場交易需要。
第十三條 證券營業(yè)部配備或租用發(fā)電機的,發(fā)電機應安裝在具有良好通風的場地內(nèi),并遠離易燃易爆的物品。
第十四條 證券營業(yè)部采用結(jié)構化綜合布線系統(tǒng)的,綜合布線應符合《建筑與建筑群綜合布線工程系統(tǒng)設計規(guī)范》(GBT/T 50311)要求。
第十五條 證券公司與證券營業(yè)部之間應采用至少2條不同運營商或不同介質(zhì)的通信線路,建立安全、可靠通信連接,且線路帶寬能夠滿足證券營業(yè)部業(yè)務需要并留有冗余。網(wǎng)絡通信設備應有冗余備份,保證發(fā)生故障時實現(xiàn)及時切換。
A型和B型證券營業(yè)部的通信線路中應有一條為地面數(shù)據(jù)專線。第十六條 證券營業(yè)部與其他外聯(lián)單位、互聯(lián)網(wǎng)建立通信線路的,證券公司可根據(jù)業(yè)務需要,要求證券營業(yè)部選擇合適的通信線路、線路帶寬和線路備份方式。
第十七條 證券公司應制定證券營業(yè)部局域網(wǎng)、公司廣域網(wǎng)、互聯(lián)網(wǎng)接入以及安全防護的網(wǎng)絡建設規(guī)范,并統(tǒng)一規(guī)劃管理證券營業(yè)部網(wǎng)絡配置參數(shù)和IP地址段。
第十八條 證券公司應確保證券營業(yè)部局域網(wǎng)與公司廣域網(wǎng)、互聯(lián)網(wǎng)實現(xiàn)有效隔離。
第十九條 證券公司應根據(jù)業(yè)務需要,合理劃分證券營業(yè)部局域網(wǎng)安全域,確定各安全域的功能定位,在各安全域之間采取安全措施實現(xiàn)有效隔離。
第二十條 證券公司應對證券營業(yè)部與客戶建立的網(wǎng)絡連接進行審批,對連接方式進行統(tǒng)一規(guī)劃和管理,并采取安全措施,實現(xiàn)有效隔離。
第二十一條 證券公司應確保證券營業(yè)部部署防病毒、防木馬、防惡意代碼等系統(tǒng)安全防護軟件,保護證券營業(yè)部信息系統(tǒng)安全。
第二十二條 證券公司應確保證券營業(yè)部提供行情、開戶、交易、資訊等客戶服務的信息系統(tǒng),具備足夠的健壯性,系統(tǒng)處理能力具有一定的冗余度,并采用熱備或冷備等手段,避免單點故障,提高系統(tǒng)可用性。
第二十三條 證券公司應確保A型和B型證券營業(yè)部提供至少2種相互獨立的行情揭示系統(tǒng)、委托方式。
第二十四條 證券公司應對證券營業(yè)部安裝使用的應用軟件進行統(tǒng)一管理,證券營業(yè)部不得擅自安裝與業(yè)務及技術維護無關的應用軟件。
第三章 運維管理
第二十五條 證券公司應加強證券營業(yè)部機房管理,確保任何人員未經(jīng)許可不得擅自挪動機房內(nèi)設備、更改網(wǎng)絡線路,外來人員未經(jīng)允許不得進出機房。機房內(nèi)不得安置易燃易爆及強磁物品。
第二十六條 證券公司應加強證券營業(yè)部網(wǎng)絡配置、訪問控制、安全審計等網(wǎng)絡管理,確保證券營業(yè)部的網(wǎng)絡設備按最小安全訪問原則設置訪問控制權限,每一次變更后及時更新備份網(wǎng)絡設備的配置信息。
第二十七條 證券公司應加強證券營業(yè)部設備選型、購置、登記、保養(yǎng)、維修、報廢等設備管理,確保對關鍵設備建立維護檔案。
第二十八條 證券公司應加強證券營業(yè)部數(shù)據(jù)備份、存放、保密、調(diào)閱、銷毀等數(shù)據(jù)管理,確保證券營業(yè)部指定專人負責數(shù)據(jù)管理,數(shù)據(jù)調(diào)閱須經(jīng)審批,且不得對外泄露。
第二十九條 證券公司應加強證券營業(yè)部技術文檔的收集、更新、保管、借閱等管理,確保證券營業(yè)部根據(jù)信息系 統(tǒng)的變更情況及時更新技術文檔。證券營業(yè)部技術文檔包括但不限于機房平面圖、供配電圖、網(wǎng)絡拓撲圖、信息點對照表、系統(tǒng)手冊、應急預案、運維日志、設備維護檔案等資料。
第三十條 證券公司應確保證券營業(yè)部在關鍵系統(tǒng)和關鍵設備的用戶管理上遵循權限最小化原則,建立用戶和權限的清單,定期進行檢查核對。用戶和權限變更應執(zhí)行相關審批流程,并保留完整的變更記錄。
第三十一條 證券公司應確保證券營業(yè)部關鍵系統(tǒng)和關鍵設備的管理員用戶密碼實行專人管理,采用不低于8位的復合密碼,每半年至少更換一次。發(fā)生人員變動時應及時更新密碼。
第三十二條 證券公司應統(tǒng)一管理和指導證券營業(yè)部進行生產(chǎn)環(huán)境下的測試工作,制定詳細的測試計劃,并確保做好系統(tǒng)、數(shù)據(jù)和應用程序測試前的備份工作。測試完成后做好系統(tǒng)的恢復和驗證等工作。
第三十三條 證券公司應確保證券營業(yè)部在供電、網(wǎng)絡通信、服務器、現(xiàn)場交易服務相關系統(tǒng)等關鍵設備或系統(tǒng)變更時經(jīng)過嚴格的測試。
第三十四條 證券公司應確保證券營業(yè)部在信息系統(tǒng)變更前制定詳細的變更方案和變更應急預案,并做好系統(tǒng)和數(shù)據(jù)的備份。
第三十五條 除故障應急外,證券公司應確保證券營業(yè)部在交易時間內(nèi)不得進行任何與現(xiàn)場交易服務相關的信息系統(tǒng)變更操作。
第三十六條 證券公司應確保A型證券營業(yè)部具備完善的監(jiān)控體系,以對信息系統(tǒng)的運行環(huán)境、運行狀況等進行定時監(jiān)控和事后分析。
第三十七條 證券公司應確保A型和B型證券營業(yè)部對系統(tǒng)運維日志進行規(guī)范管理,日常操作及異常事件處理均應在系統(tǒng)運維日志中詳細記錄。運維日志可采用電子文檔或紙質(zhì)件記錄,并妥善保管,保留期限不少于2年。
第三十八條 證券公司應確保證券營業(yè)部每半年檢查電力、機房空調(diào)、消防等設施,每季度選擇非交易時間進行UPS電池的充放電測試,并詳細記錄。
第三十九條 證券公司根據(jù)需要可外包B型和C型證券營業(yè)部的信息系統(tǒng)運維工作。運維外包應滿足但不限于以下要求:
(一)運維外包服務人員滿足本指引第五條的相關要求。
(二)與外包服務提供單位簽訂外包合同與保密協(xié)議,確保信息系統(tǒng)安全運行、風險可控。
(三)外包人員不得具備業(yè)務系統(tǒng)操作權限。
第四章 安全管理 第四十條 證券公司應加強證券營業(yè)部網(wǎng)絡安全管理,確保證券營業(yè)部不得擅自對外互聯(lián)或設立網(wǎng)站。如確有必要,證券公司應對網(wǎng)站的設立和維護進行統(tǒng)一管理。
第四十一條 證券公司應確保證券營業(yè)部加強計算機終端的管理,記錄網(wǎng)卡地址,防止非法使用。未經(jīng)許可,不得將客戶和員工的自備計算機接入證券營業(yè)部網(wǎng)絡。
證券營業(yè)部提供無線網(wǎng)絡服務的,證券公司應統(tǒng)一制定證券營業(yè)部無線網(wǎng)絡使用規(guī)范,采取有效的無線網(wǎng)絡準入控制措施,登記并記錄無線接入設備的信息。
第四十二條 證券公司應確保證券營業(yè)部加強客戶和員工訪問互聯(lián)網(wǎng)的管理,出現(xiàn)網(wǎng)絡違法犯罪情況時應及時配合公安機關進行處理。
第四十三條 證券公司應確保證券營業(yè)部及時更新系統(tǒng)補丁、升級系統(tǒng)安全防護軟件,定期進行全面的病毒和木馬檢測,發(fā)現(xiàn)病毒和木馬立即處理并報告。移動存儲、外來電子文檔、軟件系統(tǒng)使用前應進行病毒和木馬查殺。
第四十四條 證券公司應統(tǒng)一制定證券營業(yè)部信息系統(tǒng)故障應急處理流程,并確保證券營業(yè)部建立信息系統(tǒng)應急預案并及時更新。
第四十五條 證券公司應確保證券營業(yè)部每年至少進行兩次應急演練,并留存演練記錄。
第四十六條 證券營業(yè)部發(fā)生影響交易業(yè)務的技術故障時,證券公司應立即啟動應急預案,盡快恢復交易業(yè)務,并按有關要求及時上報公司和證券營業(yè)部所在地監(jiān)管部門。應急事件處理完成后,應以書面形式上報公司和證券營業(yè)部所在地監(jiān)管部門。
第五章 附則
第四十七條 中國證券業(yè)協(xié)會對證券公司執(zhí)行本指引的情況進行指導和檢查。
第四十八條 本指引由中國證券業(yè)協(xié)會負責解釋。第四十九條 本指引自發(fā)布之日起施行。
第三篇:2--證券公司參與支付業(yè)務信息系統(tǒng)技術指引
證券公司參與支付業(yè)務信息系統(tǒng)技術指引
第一章 總則
第一條 為推動證券公司支付系統(tǒng)建設、管理、運行的規(guī)范化和標準化,依據(jù)《中華人民共和國證券法》、中國人民銀行規(guī)章文件、中國證監(jiān)會規(guī)章文件和中國證券業(yè)協(xié)會自律規(guī)則的有關規(guī)定制定本技術指引。
第二條 本指引所指的支付系統(tǒng),是指各參與方支撐證券公司參與支付業(yè)務運行的網(wǎng)絡與信息系統(tǒng)。各參與方包括參與支付業(yè)務的證券公司、支付服務機構(包括行業(yè)支付服務機構、第三方支付機構、商業(yè)銀行等)以及提供數(shù)據(jù)交換服務的機構(以下簡稱為“中介服務機構”)。
第三條 本指引中所提出的各項要求,是支撐證券公司開展支付業(yè)務相關系統(tǒng)應達到的基本要求。證券公司在參與支付業(yè)務時自建或所選用的相關合作方系統(tǒng)應符合本指引規(guī)定的相關要求。
第四條 中國證券業(yè)協(xié)會(以下簡稱“協(xié)會”)依據(jù)本指引對參與支付業(yè)務的證券公司實施自律管理。
第二章 系統(tǒng)建設
第五條 支付系統(tǒng)建設應遵循松耦合、可擴展、可靠性、安全性原則,應充分利用行業(yè)信息化公共基礎設施實現(xiàn)資源的優(yōu)化配置,系統(tǒng)功能應滿足支付業(yè)務的相關業(yè)務需求、內(nèi)控及監(jiān)管要求。
第六條 證券公司支付系統(tǒng)與其他各參與方的系統(tǒng)對接應遵循總對總原則,聯(lián)接方式既可以采用直聯(lián),也可以通過相關中介服務機構進行聯(lián)接。
第七條 支付系統(tǒng)數(shù)據(jù)交換接口定義應科學規(guī)范、統(tǒng)一標準,并具有良好的可擴展性。在時機成熟時,應全面推廣使用行業(yè)標準數(shù)據(jù)交換接口。
第八條 證券公司支付系統(tǒng)應與其他各參與方之間至少建立兩條不同運營商或不同類型的通信線路,各條通信線路之間互為備份,線路帶寬能夠滿足業(yè)務需要并留有冗余。
第九條 支付系統(tǒng)在進行文件交換時,應校驗文件的合法性、真實性和完整性。
第十條 支付系統(tǒng)處理性能應滿足業(yè)務開展的要求,性能應達到:支付類業(yè)務的處理能力大于每百萬客戶50 筆/秒;查詢類業(yè)務的處理能力大于每百萬客戶150 筆/秒;單筆業(yè)務最長處理時間小于20秒。
第十一條 支付系統(tǒng)應配備獨立的測試系統(tǒng)。測試規(guī)程應包括單項測試、聯(lián)合測試、系統(tǒng)備份及恢復等環(huán)節(jié)。測試內(nèi)容應包括業(yè)務流程測試、全覆蓋性的功能測試、部署環(huán)境與運行模塊測試、壓力與性能測試等。
第十二條 證券公司應按照《證券市場交易結(jié)算資金監(jiān)控系統(tǒng)證券公司接口規(guī)范》以及中國證監(jiān)會的相關要求進行系統(tǒng)建設和數(shù)據(jù)報送。
第十三條 支付系統(tǒng)應具備支付類交易、清算的對賬與調(diào)賬機制。
第三章 安全保障
第十四條 支付系統(tǒng)應從系統(tǒng)安全性、應用安全性、物理安全性、信息處理安全性、網(wǎng)絡安全性、數(shù)據(jù)安全性等方面進行安全風險控制。系統(tǒng)整體的安全防護能力應不低于《證券期貨業(yè)信息系統(tǒng)安全等級保護基本要求》二級技術要求。
第十五條 支付系統(tǒng)的備份建設應按照《證券期貨經(jīng)營機構信息系統(tǒng)備份能力標準》中實時系統(tǒng)的相關規(guī)定執(zhí)行。
第十六條 證券公司應合理劃分支付系統(tǒng)各子系統(tǒng)的安全域,在不同的系統(tǒng)安全域之間進行有效隔離,同時做好支付系統(tǒng)與外部系統(tǒng),如交易系統(tǒng)、賬戶系統(tǒng)、業(yè)務終端和網(wǎng)站后臺管理等系統(tǒng)的有效隔離。
第十七條 證券公司應對支付系統(tǒng)做好病毒、木馬和惡意代碼的防護措施,定期掃描系統(tǒng),及時升級系統(tǒng)補丁和病毒庫,防范安全漏洞。
第十八條 證券公司應做好支付門戶網(wǎng)站的監(jiān)控與安全管理。支付門戶網(wǎng)站應具備防范SQL注入、跨站腳本、網(wǎng)頁篡改、Session欺騙、拒絕式服務攻擊和緩沖區(qū)溢出等攻擊的能力。可定期聘請專業(yè)安全機構對網(wǎng)站實施滲透測試,對SQL注入、跨站腳本等WEB漏洞進行檢測。證券公司發(fā)現(xiàn)釣魚網(wǎng)站,應及時報告,并在其支付門戶網(wǎng)站醒目位置進行風險揭示。
第十九條 證券公司應做好支付系統(tǒng)客戶端(含移動終端)的安全管理,程序應具備防木馬、防篡改、防密碼竊取能力,前臺與后臺的通信應采用加密機制。
第二十條 證券公司應做好支付網(wǎng)關與其他參與方網(wǎng)關間的連接互信認證,應采用數(shù)字證書對報文加密、關鍵域簽名等方式保障數(shù)據(jù)傳輸?shù)陌踩浴?/p>
第二十一條 支付系統(tǒng)應采用數(shù)字證書、動態(tài)口令、短信密碼等身份認證機制提高安全性,防竊取、防篡改。
第二十二條 證券公司應加密存儲支付系統(tǒng)的關鍵數(shù)據(jù),保證傳輸過程中的數(shù)據(jù)完整性。對數(shù)據(jù)庫的操作應有日志留痕,應定期備份數(shù)據(jù)以滿足恢復需要。支付交易數(shù)據(jù)應至少保存20年。
第二十三條 證券公司應建立網(wǎng)絡防火墻隔離機制,對網(wǎng)絡外部邊界訪問策略進行最小化管理并部署防火墻等安全設備。支付網(wǎng)關對外應關閉所有與業(yè)務和維護無關的服務及端口。
第二十四條 證券公司網(wǎng)絡與安全設備的訪問口令不能使用缺省口令及弱密碼,管理員密碼應由指定人員設置并定期修改。
第二十五條 證券公司應做好支付相關系統(tǒng)網(wǎng)絡信息安全事件監(jiān)控工作,監(jiān)控工作應至少包括以下內(nèi)容:能夠發(fā)現(xiàn)常見的網(wǎng)絡信息安全攻擊事件,并及時做好防范措施;能夠?qū)Πl(fā)生的網(wǎng)絡信息安全事件進行有效控制、隔離與遏制,并及時做好應急措施;能夠?qū)W(wǎng)絡信息安全態(tài)勢進行準確分析與預測,不斷提高網(wǎng)絡信息安全事件監(jiān)控、預防、應急處置能力。
第四章 運維管理
第二十六條 證券公司應建立與其他各參與方的技術溝通協(xié)調(diào)機制,成立由各參與方共同組成的技術協(xié)調(diào)小組,就系統(tǒng)重大變更、重大問題及安全情況進行溝通、協(xié)調(diào)和通報。
第二十七條 支付系統(tǒng)運營應建立完備的系統(tǒng)監(jiān)控機制,將支付系統(tǒng)監(jiān)控納入證券公司信息系統(tǒng)統(tǒng)一監(jiān)控范圍的要求,對系統(tǒng)的運行環(huán)境、運行狀況進行實時監(jiān)控。監(jiān)控記錄應至少保存一年。
第二十八條 證券公司應建立支付系統(tǒng)的軟件升級、變更等流程規(guī)范,確保變更的請求發(fā)起、開發(fā)測試、發(fā)布實施等工作規(guī)范開展。
第二十九條 證券公司應安排專人負責支付系統(tǒng)測試。聯(lián)合測試時應成立由各參與方信息技術管理及相關業(yè)務管理部門組成的聯(lián)合測試小組,共同制定測試方案及預期測試結(jié)果,對測試結(jié)果進行記錄、評估和確認。
第三十條 各參與方應建立容量管理制度,實時監(jiān)測系統(tǒng)資源,定期分析評估系統(tǒng)容量,及時調(diào)整資源配置。
第五章 應急處置
第三十一條 證券公司應建立跨行業(yè)的應急處理組織體系,并制定相應的應急預案及應急協(xié)調(diào)機制。應急預案應納入行業(yè)的應急預案體系,并按照有關規(guī)定定期組織聯(lián)合演練。
第三十二條 證券公司應妥善處置支付系統(tǒng)發(fā)生的信息安全事件。任何一方出現(xiàn)預警信息或者發(fā)生信息安全事件時,應按照《證券期貨業(yè)信息安全事件報告與調(diào)查處理辦法》中第三方存管系統(tǒng)相關要求及《證券期貨業(yè)網(wǎng)絡與信息安全事件應急預案》相關規(guī)定執(zhí)行。
第三十三條 各參與方應建立資金交收應急預案,避免出現(xiàn)因資金交收異常造成客戶資金出現(xiàn)缺口或擠占其他客戶資金的情況。
第六章 自律管理
第三十四條 協(xié)會應對證券公司執(zhí)行本指引的情況組織定期或不定期的現(xiàn)場檢查或非現(xiàn)場檢查。檢查內(nèi)容包括但不限于技術方案、系統(tǒng)部署、測試報告、容量規(guī)劃、運維流程、安全措施、應急預案。
第三十五條 證券公司應配合協(xié)會進行檢查,不得以任何理由拒絕、拖延提供有關資料,或者提供不真實、不準確、不完整的資料。
第七章 附則
第三十六條 本指引由協(xié)會負責解釋。第三十七條 本指引自發(fā)布之日起施行。
第四篇:2013《證券公司證券營業(yè)部信息技術指引》C13024解讀
C13024《證券公司證券營業(yè)部信息技術指引》解讀
一、單項選擇題
1.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,(A)應全面負責證券營業(yè)部信息技術管理,統(tǒng)一制定證券營業(yè)部信息技術建設、運維、安全等管理制度。A.證券公司
B.證券公司分支機構 C.證券營業(yè)部
D.證券公司區(qū)域中心
2.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,部署證券公司網(wǎng)上交易站點的證券營業(yè)部,或作為其他證券營業(yè)部網(wǎng)絡通信匯聚節(jié)點且所連接的證券營業(yè)部中提供現(xiàn)場交易的證券營業(yè)部,視同為(B)型證券營業(yè)部。A.C B.A C.B D.D
3.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,證券公司應確保A型和B型證券營業(yè)部提供至少(A)種相互獨立的行情揭示系統(tǒng)、委托方式。A.2 B.1 C.4 D.3
4.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,證券公司與證券營業(yè)部之間應采用至少(C)條不同運營商或不同介質(zhì)的通信線路。A.4 B.3 C.2 D.1
二、多項選擇題
5.根據(jù)《證券公司證券營業(yè)部信息技術指引》的相關要求,機房供電應滿足如下要求(ABCD)。
A.相關電器設備、電線應與機柜用電負載相適應,并留有余量 B.應配置UPS電源,并不得將與業(yè)務無關的設備接入UPS電源
C.應具有獨立于一般照明電的專用供電線路,設有獨立的配電柜或配電箱 D.市電插座與UPS插座應嚴格區(qū)分,插座面板應有提示性的標識或標簽
6.根據(jù)《證券公司證券營業(yè)部信息技術指引》的相關要求,機房建設應滿
足以下要求(ABCD)。
A.避讓主干電力電纜穿越場所,避讓供水、消防管網(wǎng)經(jīng)過;設備放置處應考慮地面承重,應盡量選擇有主干墻、承重墻的位置放置,必要時應進行地面加固 B.選擇通信設施健全,相對安全、易于管理的區(qū)域 C.應配備應急照明裝置及防火防盜門等有效安保設施
D.盡量避讓建筑物頂層、地下室、用水設備的下層或隔壁以及易漏雨、易滲水和易遭雷擊的區(qū)域,避開易發(fā)生火災危險的區(qū)域
三、判斷題
7.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,證券公司應對證券營業(yè)部與客戶建立的網(wǎng)絡連接進行審批,對連接方式進行統(tǒng)一規(guī)劃和管理,并采取安全措施,實現(xiàn)有效隔離。(對)
正確
錯誤
8.證券公司需根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,建設證券營業(yè)部的信息系統(tǒng),不可以自主選擇證券營業(yè)部信息系統(tǒng)建設模式。(錯)
正確
錯誤
9.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,證券公司應確保證券營業(yè)部局域網(wǎng)與公司廣域網(wǎng)、互聯(lián)網(wǎng)實現(xiàn)有效隔離。(對)
正確
錯誤
10.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,證券公司應為A型和B型證券營業(yè)部至少配備一名專職技術人員。(錯)正確 錯誤
第五篇:《證券公司證券營業(yè)部信息技術指引》解讀答案 80分
一、單項選擇題
1.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,機房應具備獨立空調(diào)系統(tǒng),使機房溫度保持在(A)范圍內(nèi)。
A.23℃±5℃ B.25℃±3℃ C.25℃±5℃ D.23℃±3℃
2.在營業(yè)場所內(nèi)未部署與現(xiàn)場交易服務相關的信息系統(tǒng)且不提供現(xiàn)場交易服務。采用該類型信息系統(tǒng)建設模式的證券營業(yè)部,在《證券公司證券營業(yè)部信息技術指引》中簡稱為(C)型證券營業(yè)部。
A.B B.C C.A D.D 3.在營業(yè)場所內(nèi)未部署與現(xiàn)場交易服務相關的信息系統(tǒng),但依托公司總部或其他證券營業(yè)部的信息系統(tǒng)為客戶提供現(xiàn)場交易服務。采用該類型信息系統(tǒng)建設模式的證券營業(yè)部在《證券公司證券營業(yè)部信息技術指引》中被稱為(B)型營業(yè)部。
A.C B.B C.D D.A 4.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,A型和B型證券營業(yè)部應至少配備一種持續(xù)供電方式,在市電中斷情況下,保證不低于(A)的現(xiàn)場交易終端或同等支持能力的其他交易終端在交易時間內(nèi)持續(xù)工作。
A.30% B.25% C.20% D.35%
二、多項選擇題
5.根據(jù)《證券公司證券營業(yè)部信息技術指引》的相關要求,機房選址應滿足的要求包含(ABCD)。
A.遠離強震源、強磁場源和強噪聲源,遠離電磁干擾源或?qū)嵤┯行щ姶鸥蓴_防護;遠離產(chǎn)生粉塵、油煙、有害氣體以及具有腐蝕性、易燃、易爆物品的工廠、倉庫等場所
B.選擇具備可靠供電的場所 C.盡量避免低洼地帶
D.符合當?shù)乜拐饛姸纫螅环袭數(shù)叵乐鞴懿块T的消防安全要求
6.根據(jù)《證券公司證券營業(yè)部信息技術指引》的相關要求,()型營業(yè)部可以不設機房。CA
A.C B.D C.B D.A
三、判斷題 7.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,證券營業(yè)部提供無線網(wǎng)絡服務的,應由提供該服務的證券營業(yè)部制定證券營業(yè)部無線網(wǎng)絡使用規(guī)范,采取有效的無線網(wǎng)絡準入控制措施,登記并記錄無線接入設備的信息。(A)
正確 錯誤
8.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,A型、B型、C型證券營業(yè)部的通信線路中應有一條為地面數(shù)據(jù)專線。(B)
正確 錯誤
9.證券公司需根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,證券營業(yè)部采用結(jié)構化綜合布線系統(tǒng)的,綜合布線應符合《建筑與建筑群綜合布線工程系統(tǒng)設計規(guī)范》(GBT/T 50311)要求。(A)
正確 錯誤
10.根據(jù)《證券公司證券營業(yè)部信息技術指引》的規(guī)定,C型證券營業(yè)部至少配備一名兼職技術人員,并制定頂崗、備崗等相關制度,確保在交易時間內(nèi)有技術人員值守。(C)
正確 錯誤
點擊咨詢 