1、1中国银河证券股份有限公司信息系统运行维护管理办法(修订版)第一章 总则第一条 为保障公司信息系统的正常稳定、高效运行,依据证券公司信息技术管理规范(JR/T 00232004)、证券期货业信息安全保障管理暂行办法和证券公司集中交易安全管理技术指引制定本办法。第二条 信息系统运行维护应遵循以下原则:预防为主,事后处理为辅;运行维护流程化、标准化、规范化;及时发现及时处理;故障损失最小化的原则。第三条 信息系统运行维护管理包括维护人员管理、系统日常维护管理、计算机系统权限管理、计算机系统关键用户密码管理、应用系统交接及灾备系统运行维护管理等。第四条 本办法适用于公司总部及分支机构。第二章 维护人
2、员要求第五条 信息系统维护人员应具有一定技术水平,能胜任系统维护工作,具有良好的职业道德和敬业精神的专业人员。第六条 信息系统维护人员要以积极负责的态度优先对待信息系统的紧急故障维护,要做到不忽视、不推诿、不拖延,以保证证券业务的正常进行。第七条 信息系统维护部门应针对运行的应用系统安排专人维护,2每个应用系统应至少安排两人共同维护,实现维护人员的备份制度,保障人员的后备保证。第八条 信息系统维护部门应确定维护人员在紧急情况下的联系方法,配备 必要的通讯工具,确保故障时维护人员及时到位。第九条 在维护人员变更时,应规定明确的交接时间,安排详细的交接工作,确保维护工作的连续性。第三章 日常维护管
3、理第十条 根据各信息系统的具体情况制定日常运维流程。第十一条 在日常运行维护中,根据各信息系统的维护需要,认真填写中国银河证券股份有限公司系统维护日志表(附件一)、 中国银河证券股份有限公司特殊业务操作登记表(附件二)、 中国银河证券股份有限公司系统配置变动登记表(附件三)、 中国银河证券股份有限公司外部单位维护记录(附件四)等表格。第十二条 根据各信息系统的具体情况制定相应的故障处理应急计划,并进 行演练,保证应急计划的可操作性。第十三条 定期对信息系统设备进行巡检,发现问题及时处理。第十四条 按照系统的运营需要对相关信息系统的操作系统、数据库进行实时或定时监控,发现问题及时调整或启动应急计
4、划。第十五条 根据系统管理员或操作人员提供的运行状况报表、资源分 析 报 表 等 资 料 ,分 析 系 统 当 前 的 运 行 状 况 ,必 要 时 考 虑 对 系 统 进 行 优 化 。第四章 计算机系统权限管理3第十六条 计算机权限管理包括交易系统用户及权限管理、数据库(SQL SERVER、ORACLE 等)用 户及权限管理、操作系统(NOVELL、WINDOWS、UNIX 等)用户及权限管理等。第十七条 交易系统权限管理应按照公司证券交易系统权限管理暂行办法的有关规定执行。第十八条 对于数据库管理员用户、交易系统超级用户, 须按照公司信息系统超级用户密码管理暂行办法中有关规定执行。第十
5、九条 系统维护人员要对计算机系统中的用户定期清理,清除不必要的用户。第二十条 不得擅自修改、添加计算机系统中的用户、组名称及权限。修改、添加计算机系 统中的用户、 组名称及 权限需要经过必要的审批流程。第二十一条 对于关键业务用户应加强管理,如在登录时间、登录站点(网络地址和 MAC 地址)等方面进行限制。第二十二条 严格遵守 NOVELL 操作系统和无盘工作站的操作要求,加强对 NOVELL 操作系统和无盘工作站用 户的管理。第二十三条 对于 WINDOWS 域用户的新增、更改、删除实行统一管理。新增、更改、删除域用 户时,应提前将 公司内部域用户及邮箱新增、变更申 请表(附件五)提交总裁办
6、公室审核通过后,由信息技术部域用户系统管理员实施。第五章 计算机系统关键用户密码管理4第二十四条 计算机系统关键用户密码包括操作系统超级管理员用户密码、数据库超级用户密码和公司各业务系统超级用户密码等。第二十五条 计 算 机 操 作 系 统 管 理 员 密 码 由 系 统 管 理 员 掌 握 、管 理 。第二十六条 操作系统超级管理员用户密码、数据库超级用户密码和公司各业务系统超级用户密码管理应按照公司信息系统超级用户密码管理暂行办法的有关规定执行。第六章 办公网个人计算机密码管理第二十七条 办公网个人计算机密码包括本地管理员登录密码和域用户密码。第二十八条 公司员工在初次领用办公电脑时,应修
7、改本地管理员登录密码。第二十九条 办公网个人计算机密码应至少设置 7 位以上,且由字母、数字、符号混合组 成,不得使用初始 设置密 码和空口令。第三十条 办公网个人计算机密码应至少六个月更改一次。第三十一条 更改办公网个人计算机密码时,应避免采用在最近两次内使用过的密码。第七章 重要系统交接第三十二条 重要系统开发完毕,须在履行系统交接程序后才能转入 正 常 的 运 行 维 护 。重 要 系 统 的 接 收 方 是 负 责 相 关 系 统 运 行 维 护 的 部 门 。第三十三条 进行交接的重要应用系统,应满足下列条件:(一)系统已经建设完成;5(二)系统通过了功能测试、性能测试、安全测试;(
8、三)系统经过验收合格;(四)系统文档数量齐全、文档内容完整、文档格式规范;(五)系统管理员培训合格;(六)系统设备完好、使用正常;(七)系统已经投入或者即将投入生产运行。第三十四条 重要系统交接的内容主要有:(一)应用系统运行所包括的硬件、软件、操作系统、数据库等集成的运行环境;(二)应用系统的相关文档;(三)应用系统供应商的联系方式和服务协议;(四)应用系统的用户名和口令;(五)应用系统安装光盘、配套光盘。第三十五条 重要系统交接流程如下:(一)人员任命;(二)文档接收;(三)人员培训;(四)运行环境接收;(五)口令接收;(六)厂商接收;(七)接收报告。第三十六条 对于公司自主开发的重要系统
9、,交接时应提交下列最6基本的文档:立项材料、立项批准材料、系统需求说明书、系统概要设计说明书、系统详细设计说明书、数据库设计说明书、源代码、系统功能及性能测试报告、系统安装维护文档、用户手册、项目验收报告。第三十七条 对于合作和外包开发完成的重要系统,交接时应提交下列必备的最基本的文档:立项材料、立项批准材料、项目招投标材料、项目合同及附件、系统需求说明书、系统概要设计说明书、系统详细设计说明书、数据库设计说明书、源代码(按合同约定提供)、系统功能及性能测试报告、安全测试报告、系统安装维护文档、用户手册、项目验收报告等。第三十八条 重要系统承建方对接收方相关人员进行使用培训,培训的内容应涵盖应
10、用系统日常运行与维护操作的需要。第三十九条 系统交接完成后,接收方应当告知使用该系统的公司其它机构和部门,并提供系统管理人名单和联系方式,以确保公司各部门之间业务联系的畅通。第八章 应用系统变更及升级管理第四十条 在应用系统运维过程中,各应用系统应根据自身实际情况,制订并 执行应用系统升级流程。第四十一条 应用系统维护应保持系统版本变更的一致性和适应性,建立完整的软件维护、变更记录文档,保存维护修改的历史信息。针对每次维护及故障处理过程,详细地记录维护开始和结束时间、维护操作人、维护 的原因、 过 程和具体的解决方法。第四十二条 应用系统硬件的变更应建立完整的硬件维护、变更记7录文档,保存维护
11、修改的历史信息。针对每次变更,详细地记录变更开始和结束时间、维护操作人、维护的原因、 过程和具体的解决方法。第四十三条 证券交易业务系统参数的变更应按照公司证券交易系统参数管理暂行办法的有关规定执行。第四十四条 应用系统发生变更时,应及时更新系统说明文档。第四十五条 分支机构证券交易业务系统软件的变更,需要报公司相关业务部门及信息技术部审批,批准通过后,信息技术部组织实施;分支机构行情、资讯软件的升级,可以按照相应厂商公开发布的通知或公告要求,报分支机构负责人审批通过后,组织实施。第四十六条 公司总部应用系统软件因业务功能发生变化而需要的升级,需要公司有关业务部门和信息技术部负责人审批通过后实
12、施;其他应用系统软件的升级,由信息技术部相关负责人审批通过后实施。第九章 信息系统灾备建设和维护第四十七条 公 司 的 业 务 系 统 尤 其 是 关 键 业 务 系 统 ,应 建 立 灾 备 系 统 。第四十八条 信息技术部门负责公司灾备系统的建设、演练与维护工作。第四十九条 公司灾备系统建设必须遵守国家、证券行业灾备系统的基本要求。第五十条 公司灾备系统,实行异地实时镜像备份,主备系统实际切换时间和灾备系统处理能力按照证券期货经营机构信息系统备份能力标准的有关要求执行,通信线路应分别接入主备系统。有条件时采用主备系统处理能力相同、轮换交替使用的双系统模式。8第五十一条 公司灾备系统,应建立
13、演练和应急制度,并定期进行系统演练。第五十二条 公司灾备系统,应建立操作登记和系统日志制度,建立相关文档资料档案。第十章 信息技术人员离岗交接第五十三条 信息技术人员离岗必须按照公司有关规定办理离岗手续。同时还须办理系统交接和设备交接。系统交接是指信息技术人员维护管理的系统包括操作系统、数据库系统、业务和管理系统等的交接;设备交接是指信息技术人员管理维护的机房、运行环境等设备的交接。第五十四条 交接的监督人为离岗信息技术人员和接岗信息技术人员的直接主管领导。第五十五条 系统交接内容:(一)密码和口令;(二)用户及权限;(三)系统维护有关登记;(四)系统相关技术文档、资料;(五)系统相关软盘、光
14、盘等介质;(六)其它应交接的内容。第五十六条 接岗信息技术人员对交接内容应进行测试与处理,现场修改密码和口令,删除原用户,确保交接质量。第五十七条 交 接 双 方 及 监 督 交 接 人 三 方 签 字 确 认 后 ,视 为 交 接 结 束 。第十一章 信息系统分类9第五十八条 根据公司信息系统战略规划,按照业务(核心、非核心)-风险 控制-管理三条主 线,将公司信息系统划分为业务(核心、非核心)、风险控制和管理三类。第五十九条 公司规划建设并维护的与交易业务、业务管理及客户服务相关的系统为公司业务系统。包括集中交易系统、网上交易系统、统一账户系统、融资融券系统、法人清算系统、自营投资系统、资
15、产管理系统、呼叫中心、CRM 系统、营销管理平台、公司网站等系统。第六十条 公司财务系统、人力资源系统、OA 系统等系统为公司管理系统。第六十一条 公司风险监控系统、稽核审计系统等系统为风险控制系统。第六十二条 依据信息系统安全等级保护基本要求、 证券期货业信息安全保障管理暂行办法、 证券公司信息技术管理规范、 证券公司集中交易安全管理技术指引等国家和行业法规、制度要求,核心业务和业务管理系统包括集中交易系统、网上交易系统、统一账户系统、融资融券系统、法人清算系统、自营投资系统、资产管理系统和呼叫中心为重要系统。第十二章 附则第六十三条 员工违反本办法的,按照员工违法违规行为处罚规定“ 违反信息技 术管理 规定的行为与处罚”分则执行。第六十四条 本办法由公司总裁办公会负责解释。第六十五条 本办法自发布之日起实施。原中国银河证券股份有10限公司信息系统运行维护管理办法(中银股份字2007146 号)同时废止。附件 1:
