1ⅩⅩ证券公司信息系统运行维护管理办法(修订版)第一章总则第一条为保障公司信息系统的正常稳定、高效运行,依据《证券公司信息技术管理规范》(JR/T0023—2004)、《证券期货业信息安全保障管理暂行办法》和《证券公司集中交易安全管理技术指引》制定本办法。第二条信息系统运行维护应遵循以下原则:预防为主,事后处理为辅;运行维护流程化、标准化、规范化;及时发现及时处理;故障损失最小化的原则。第三条信息系统运行维护管理包括维护人员管理、系统日常维护管理、计算机系统权限管理、计算机系统关键用户密码管理、应用系统交接及灾备系统运行维护管理等。第四条本办法适用于公司总部及分支机构。第二章维护人员要求第五条信息系统维护人员应具有一定技术水平,能胜任系统维护工作,具有良好的职业道德和敬业精神的专业人员。第六条信息系统维护人员要以积极负责的态度优先对待信息系统的紧急故障维护,要做到不忽视、不推诿、不拖延,以保证证券业务的正常进行。第七条信息系统维护部门应针对运行的应用系统安排专人维护,2每个应用系统应至少安排两人共同维护,实现维护人员的备份制度,保障人员的后备保证。第八条信息系统维护部门应确定维护人员在紧急情况下的联系方法,配备必要的通讯工具,确保故障时维护人员及时到位。第九条在维护人员变更时,应规定明确的交接时间,安排详细的交接工作,确保维护工作的连续性。第三章日常维护管理第十条根据各信息系统的具体情况制定日常运维流程。第十一条在日常运行维护中,根据各信息系统的维护需要,认真填写《中国ⅩⅩ证券股份有限公司系统维护日志表》(附件一)、《中国ⅩⅩ证券股份有限公司特殊业务操作登记表》(附件二)、《中国ⅩⅩ证券股份有限公司系统配置变动登记表》(附件三)、《中国ⅩⅩ证券股份有限公司外部单位维护记录》(附件四)等表格。第十二条根据各信息系统的具体情况制定相应的故障处理应急计划,并进行演练,保证应急计划的可操作性。第十三条定期对信息系统设备进行巡检,发现问题及时处理。第十四条按照系统的运营需要对相关信息系统的操作系统、数据库进行实时或定时监控,发现问题及时调整或启动应急计划。第十五条根据系统管理员或操作人员提供的运行状况报表、资源分析报表等资料,分析系统当前的运行状况,必要时考虑对系统进行优化。第四章计算机系统权限管理3第十六条计算机权限管理包括交易系统用户及权限管理、数据库(SQLSERVER、ORACLE等)用户及权限管理、操作系统(NOVELL、WINDOWS、UNIX等)用户及权限管理等。第十七条交易系统权限管理应按照公司《证券交易系统权限管理暂行办法》的有关规定执行。第十八条对于数据库管理员用户、交易系统超级用户,须按照公司《信息系统超级用户密码管理暂行办法》中有关规定执行。第十九条系统维护人员要对计算机系统中的用户定期清理,清除不必要的用户。第二十条不得擅自修改、添加计算机系统中的用户、组名称及权限。修改、添加计算机系统中的用户、组名称及权限需要经过必要的审批流程。第二十一条对于关键业务用户应加强管理,如在登录时间、登录站点(网络地址和MAC地址)等方面进行限制。第二十二条严格遵守NOVELL操作系统和无盘工作站的操作要求,加强对NOVELL操作系统和无盘工作站用户的管理。第二十三条对于WINDOWS域用户的新增、更改、删除实行统一管理。新增、更改、删除域用户时,应提前将《公司内部域用户及邮箱新增、变更申请表》(附件五)提交总裁办公室审核通过后,由信息技术部域用户系统管理员实施。第五章计算机系统关键用户密码管理4第二十四条计算机系统关键用户密码包括操作系统超级管理员用户密码、数据库超级用户密码和公司各业务系统超级用户密码等。第二十五条计算机操作系统管理员密码由系统管理员掌握、管理。第二十六条操作系统超级管理员用户密码、数据库超级用户密码和公司各业务系统超级用户密码管理应按照公司《信息系统超级用户密码管理暂行办法》的有关规定执行。第六章办公网个人计算机密码管理第二十七条办公网个人计算机密码包括本地管理员登录密码和域用户密码。第二十八条公司员工在初次领用办公电脑时,应修改本地管理员登录密码。第二十九条办公网个人计算机密码应至少设置7位以上,且由字母、数字、符号混合组成,不得使用初始设置密码和空口令。第三十条办公网个人计算机密码应至少六个月更改一次。第三十一条更改办公网个人计算机密码时,应避免采用在最近两次内使用过的密码。第七章重要系统交接第三十二条重要系统开发完毕,须在履行系统交接程序后才能转入正常的运行维护。重要系统的接收方是负责相关系统运行维护的部门。第三十三条进行交接的重要应用系统,应满足下列条件:(一)系统已经建设完成;5(二)系统通过了功能测试、性能测试、安全测试;(三)系统经过验收合格;(四)系统文档数量齐全、文档内容完整、文档格式规范;(五)系统管理员培训合格;(六)系统设备完好、使用正常;(七)系统已经投入或者即将投入生产运行。第三十四条重要系统交接的内容主要有:(一)应用系统运行所包括的硬件、软件、操作系统、数据库等集成的运行环境;(二)应用系统的相关文档;(三)应用系统供应商的联系方式和服务协议;(四)应用系统的用户名和口令;(五)应用系统安装光盘、配套光盘。第三十五条重要系统交接流程如下:(一)人员任命;(二)文档接收;(三)人员培训;(四)运行环境接收;(五)口令接收;(六)厂商接收;(七)接收报告。第三十六条对于公司自主开发的重要系统,交接时应提交下列最6基本的文档:立项材料、立项批准材料、系统需求说明书、系统概要设计说明书、系统详细设计说明书、数据库设计说明书、源代码、系统功能及性能测试报告、系统安装维护文档、用户手册、项目验收报告。第三十七条对于合作和外包开发完成的重要系统,交接时应提交下列必备的最基本的文档:立项材料、立项批准材料、项目招投标材料、项目合同及附件、系统需求说明书、系统概要设计说明书、系统详细设计说明书、数据库设计说明书、源代码(按合同约定提供)、系统功能及性能测试报告、安全测试报告、系统安装维护文档、用户手册、项目验收报告等。第三十八条重要系统承建方对接收方相关人员进行使用培训,培训的内容应涵盖应用系统日常运行与维护操作的需要。第三十九条系统交接完成后,接收方应当告知使用该系统的公司其它机构和部门,并提供系统管理人名单和联系方式,以确保公司各部门之间业务联系的畅通。第八章应用系统变更及升级管理第四十条在应用系统运维过程中,各应用系统应根据自身实际情况,制订并执行应用系统升级流程。第四十一条应用系统维护应保持系统版本变更的一致性和适应性,建立完整的软件维护、变更记录文档,保存维护修改的历史信息。针对每次维护及故障处理过程,详细地记录维护开始和结束时间、维护操作人、维护的原因、过程和具体的解决方法。第四十二条应用系统硬件的变更应建立完整的硬件维护、变更记7录文档,保存维护修改的历史信息。针对每次变更,详细地记录变更开始和结束时间、维护操作人、维护的原因、过程和具体的解决方法。第四十三条证券交易业务系统参数的变更应按照公司《证券交易系统参数管理暂行办法》的有关规定执行。第四十四条应用系统发生变更时,应及时更新系统说明文档。第四十五条分支机构证券交易业务系统软件的变更,需要报公司相关业务部门及信息技术部审批,批准通过后,信息技术部组织实施;分支机构行情、资讯软件的升级,可以按照相应厂商公开发布的通知或公告要求,报分支机构负责人审批通过后,组织实施。第四十六条公司总部应用系统软件因业务功能发生变化而需要的升级,需要公司有关业务部门和信息技术部负责人审批通过后实施;其他应用系统软件的升级,由信息技术部相关负责人审批通过后实施。第九章信息系统灾备建设和维护第四十七条公司的业务系统尤其是关键业务系统,应建立灾备系统。第四十八条信息技术部门负责公司灾备系统的建设、演练与维护工作。第四十九条公司灾备系统建设必须遵守国家、证券行业灾备系统的基本要求。第五十条公司灾备系统,实行异地实时镜像备份,主备系统实际切换时间和灾备系统处理能力按照《证券期货经营机构信息系统备份能力标准》的有关要求执行,通信线路应分别接入主备系统。有条件时采用主备系统处理能力相同、轮换交替使用的双系统模式。8第五十一条公司灾备系统,应建立演练和应急制度,并定期进行系统演练。第五十二条公司灾备系统,应建立操作登记和系统日志制度,建立相关文档资料档案。第十章信息技术人员离岗交接第五十三条信息技术人员离岗必须按照公司有关规定办理离岗手续。同时还须办理系统交接和设备交接。系统交接是指信息技术人员维护管理的系统包括操作系统、数据库系统、业务和管理系统等的交接;设备交接是指信息技术人员管理维护的机房、运行环境等设备的交接。第五十四条交接的监督人为离岗信息技术人员和接岗信息技术人员的直接主管领导。第五十五条系统交接内容:(一)密码和口令;(二)用户及权限;(三)系统维护有关登记;(四)系统相关技术文档、资料;(五)系统相关软盘、光盘等介质;(六)其它应交接的内容。第五十六条接岗信息技术人员对交接内容应进行测试与处理,现场修改密码和口令,删除原用户,确保交接质量。第五十七条交接双方及监督交接人三方签字确认后,视为交接结束。第十一章信息系统分类9第五十八条根据公司信息系统战略规划,按照业务(核心、非核心)-风险控制-管理三条主线,将公司信息系统划分为业务(核心、非核心)、风险控制和管理三类。第五十九条公司规划建设并维护的与交易业务、业务管理及客户服务相关的系统为公司业务系统。包括集中交易系统、网上交易系统、统一账户系统、融资融券系统、法人清算系统、自营投资系统、资产管理系统、呼叫中心、CRM系统、营销管理平台、公司网站等系统。第六十条公司财务系统、人力资源系统、OA系统等系统为公司管理系统。第六十一条公司风险监控系统、稽核审计系统等系统为风险控制系统。第六十二条依据《信息系统安全等级保护基本要求》、《证券期货业信息安全保障管理暂行办法》、《证券公司信息技术管理规范》、《证券公司集中交易安全管理技术指引》等国家和行业法规、制度要求,核心业务和业务管理系统包括集中交易系统、网上交易系统、统一账户系统、融资融券系统、法人清算系统、自营投资系统、资产管理系统和呼叫中心为重要系统。第十二章附则第六十三条员工违反本办法的,按照《员工违法违规行为处罚规定》“违反信息技术管理规定的行为与处罚”分则执行。第六十四条本办法由公司总裁办公会负责解释。第六十五条本办法自发布之日起实施。原《中国ⅩⅩ证券股份有10限公司信息系统运行维护管理办法》(中银股份字[2007]146号)同时废止。附件1:11中国ⅩⅩ证券股份有限公司系统维护日志表填报人:年月日填报单位:时间操作内容确认开市前8:30检查服务器、交换机、路由器、卫星小站等硬件设备工作是否正常8:35如果有夜市委托,请此时关闭电话委托及远程委托,关闭中间件处理机,否则,没有此项工作8:50通信系统启动是否正常重点:交易所通信系统(沪、深—单向);资讯信息接收系统;银证转账通信系统;其它程序通信系统9:00应用软件系统启动是否正常重点:行情分析系统后台转换机;柜台交易软件系统(中间件、电话委托、银证转账程序、网上交易、开放式基金等);大屏提示控制程序;北信源证券安全监控程序;启动服务器的备份程序,保证主备服务器数据一致;如果有创元系统,启动创元系统。检查海王星前置机程序、双子星事务处理机程序是否运行正常,开启海王星证书审批程序。9:05柜台系统参数设置、检查重点:当日发行证券信息;银行签到开市运行9:15-15:00监控系统运行情况是否正常重点:监控服务器、工作站设备运行情况正常;监控网络设备运行情况正常;监控卫星通信设备运行情况正常;监控UPS电源运行情况正常;监控应用软件运行情况正常;如果电脑部负责审批海王星证书,应定时审批海王星证书。收看软件供应商、交易所与公司通知和文件并进行相应处理处理软件、硬件的突发事故15:00前配售缴款、放弃处理收市后15:10行情转换收盘作业(日收盘、周收盘、月收盘)是否完成15:30银证对账是