7基金公司信息科技管理制度

C基金管理有限公司设立申请材料之十信息科技管理制度C基金管理有限公司设立申请材料信息科技管理制度C基金管理有限公司设立申请材料之十信息科技管理制度目录第一章总则.....................................................10-7-1第二章管理组织体系..............................................10-7-3第三章硬件设施.................................................10-7-12第四章软件环境.................................................10-7-19第五章数据管理.................................................10-7-29第六章技术事故的防范与处理.....................................10-7-32第七章附则.....................................................10-7-35C基金管理有限公司设立申请材料之十信息科技管理制度10-7-1第一章总则第一条为保护投资者利益,最大程度地防范技术操作风险,规范计算机信息科技系统的建设和管理工作,保障C基金管理有限公司(下称“公司”)业务的顺利开展,遵照《中华人民共和国证券投资基金法》、《中华人民共和国国家标准计算机信息科技系统安全保护等级划分准则》、《中华人民共和国计算机信息科技系统安全保护条例》、《证券投资基金管理公司内部控制指导意见》、《C基金管理有限公司章程》、《C基金管理有限公司内部控制大纲》等,特制订本制度。第一节目标第二条保护投资者利益,保护公司的合法权益,最大程度地防范技术操作风险,促进技术进步,保障公司信息科技系统长期、稳定、健康的发展。第三条充分融合国外先进经验和国内计算机信息科技应用的成果,促进技术进步,提高公司的技术水平,推动公司信息科技系统的建设与技术管理水平的协调发展。第四条加强优化信息科技系统建设和安全管理,加强计算机信息科技人员的管理,防止数据资料遗失、损坏、篡改、泄漏,提高系统运行的安全性、可靠性与稳定性。第二节原则第五条安全性安全性涵盖于公司所有信息科技系统的设计、开发、运行、维护各阶段,涉及硬件、软件、网络通信、数据资料、日常管理制度各方面。公司所有员工有责任牢固树立技术风险的防范意识,把安全工作贯彻落实到每个环节中。第六条实用性C基金管理有限公司设立申请材料之十信息科技管理制度10-7-2在保障公司信息科技系统安全的前提下,力求避免因不切实际地提高系统安全级别而造成投资浪费,避免引用任何未经消化吸收的境外安全保密技术和设备,强调公司信息科技管理的重要性,确立采用先进成熟技术的重要性。第七条可操作性本制度力求简单明确,使各部门能够有所依据,便于对照检查,建立完善的信息科技系统及技术管理制度。C基金管理有限公司设立申请材料之十信息科技管理制度10-7-3第二章管理组织体系第一节组织结构及职能第八条本公司设立信息技术部,统一管理公司的信息科技工作,建立健全组织机构。第九条信息技术部负责公司信息科技系统的规划、建设和管理,其职能为:第十条信息技术部负责公司所有信息系统的建立、管理与维护。信息技术部的工作可以分为:基础运维(网络、机房等硬件设施)、信息和业务系统开发和维护、项目开发和新业务支持等三类。1.基础运维主要负责网络、机房、计算机等硬件设施的运营维护,保证各项系统和公司业务的正常运行。2.信息和业务系统开发和维护主要职责包括:1)负责公司的投资管理系统、交易系统和清算系统等各项业务软件系统的建立、管理与维护,确保信息系统运行安全平稳;2)负责公司办公信息系统的建立、管理和维护,确保公司内部信息交流高效顺畅;3)负责公司网站的建立、管理和日常维护。3.项目开发和新业务支持1)根据公司各部门需求,对系统进行开发改进;2)根据新业务开展需求,负责新的业务系统开发和运营管理。C基金管理有限公司设立申请材料之十信息科技管理制度10-7-4第十一条信息技术部日常工作:(一)负责信息科技系统的安全运行,交易开市之前做好系统的运行准备工作,开市期间实时监控系统的运行状况,收市以后配合结算人员完成结算等盘后工作;(二)及时处理涉及信息科技系统运行的数据与文件;(三)负责对业务人员进行计算机操作指导,协助业务人员进行技术培训;(四)完整、准确地记录信息科技系统的运行日志,详细记载发生异常时的现象、时间、处理方式和处理结果等内容并妥善保存有关原始资料,及时报告技术事故;(五)负责计算机硬件设备及网络设备的管理和维护,保持系统处于良好的运行状态;(六)负责交易业务数据及其它重要数据的备份;(七)根据业务发展的要求,提交软件需求报告及硬件采购计划;(八)编制计算机设备的维修、报损和报废计划;(九)建立动态、静态信息库,为资料查询提供服务;(十)负责公司网络安全策略的制定、实施及监控;(十一)负责公司桌面电脑的管理;(十二)负责系统的应急预案的制定和定期演练;(十三)处理经核准的其它事务。C基金管理有限公司设立申请材料之十信息科技管理制度10-7-5第十二条信息技术部可根据业务需要,确定部门内部组织形式及岗位职责。第十三条信息技术部应定期与其它业务部门进行沟通,做好支持保障工作。第二节人员管理第十四条信息技术部的员工都有明确的岗位分工及职责,信息技术部可根据需要对员工岗位进行调整、对岗位职责作出修改,部门层与员工保持沟通,令整个部门的每位成员都很清晰了解互相之间的岗位,不推卸,不逃避。第十五条信息科技人员定期接受必要的培训。第十六条信息技术部各专业岗位应实行A、B岗制度,A岗人员为所属岗位职责主要负责人,B岗人员作为备岗也需要对岗位职责有所了解,当A岗人员不在岗时,可随时接替A岗人员工作,确保业务连续性。第十七条信息科技人员应具备岗位所需的技能结构,包括计算机基础理论知识和专业技术经验、较强的业务工作能力和再学习能力、良好的职业道德和服务意识,富有敬业精神和团队合作精神。禁止录用有严重违纪违规记录的人员从事公司的计算机工作。第十八条离岗人员必须严格办理离岗手续,明确其离岗后的保密义务,退还全部技术资料。信息科技系统的口令必须立即更换。第三节安全管理第十九条为健全信息科技安全管理,由公司分管领导主管信息科技安全工作,信息技术部负责人为公司信息科技安全工作责任人,各部门负责人同时为本部门信息科技安全工作责任人。C基金管理有限公司设立申请材料之十信息科技管理制度10-7-6第二十条信息科技安全管理的主要任务是:制定信息科技安全管理制度,广泛开展信息科技安全教育,定期或不定期进行信息科技安全检查,保证计算机系统安全运行。第二十一条信息科技安全管理包括对内及对外的安全防范设施和安全保障机制,以有效降低系统风险和操作风险,预防不法分子利用计算机作案及盗用机密资料。第二十二条公司实行实体安全和运行安全的防御体系保障信息科技资源的安全,具体内容如下图所示。C基金管理有限公司设立申请材料之十信息科技管理制度10-7-7图表一信息科技安全管理图第二十三条安全管理制度(一)为保证办公环境与外界充分隔离,保护公司所属资源的安全,应建立门禁系统,限制无关人员进入办公区和使用公司的计算机设备;(二)为保证计算机机房的安全,应对计算机机房的进出进行限制,实行严格的机房日常管理,建立完整的《计算机运行日志》、《操作记录》及其它与安全有关的资料;(三)严格网络管理,实行交易网、办公网分离,防止外部人员接入或侵入公司内部网;(四)设备安全管理是计算机信息科技系统设备的安全保护,做好设备的防毁、防盗,防止电磁信息辐射泄漏和干扰以及电源保护;媒体安全管理是做到信息载体如磁盘、磁带、光盘媒体上信息资料的安全信息科技安全管理实体安全管理运行安全管理操作安全管理权限管理计算机病毒防范邮件服务管理变动控制管理内部网及互联网使用管理t使用管理远程访问管理计算机机房安全管理门禁管理网络安全管理技术数据管理设备和媒体安全管理C基金管理有限公司设立申请材料之十信息科技管理制度10-7-8和媒体本身的安全;(五)技术数据资料是保障信息科技系统正常运行的基础,为保证其完整性和安全性,信息技术部统一管理公司所有的技术数据,对技术数据的保存、借阅、报废实行严格管理,及定期作还原测试;(六)为保证系统操作安全,应采取严密的安全措施防止无关用户进入系统,重要岗位的登录过程应增加必要的限制措施,操作人员必须有独立口令且必须定期更换;(七)各业务岗位操作权限要严格按岗位职责设置,应定期检查操作员的权限,员工离职、调换岗位时,及时删除或更改操作权限,并记录备案,从事营业操作及系统开发人员要有明确的分工。计算机信息科技人员不得担任清算员从事结算记账工作;(八)任何员工不得擅自对业务系统、办公自动化环境、硬件配置、网络配置等进行改变,如有需要,应向信息技术部提出变动申请,经所属部门确认,由信息技术部负责实施变动,并记录实施的变动;(九)公司要建立一套灵活及可靠的防范计算机病毒系统,保证公司所有信息科技系统的正常运行,所有员工必须遵守,未经许可不可安装或下载外来的软件;(十)员工在使用公司提供的电子邮件服务时,应注意设定邮箱登录口令,不得泄露公司秘密,不得发送垃圾邮件和内容不健康的邮件,影响公司的声誉;(十一)公司采取过滤装置,杜绝与业务无关的活动,员工应合理使用互联网和企业内部网,遵守国家法律法规和公司制度;(十二)任何需远程访问公司内部信息资源的员工,应向信息技术部申请,在得到授权后方可进行远程访问,每次通过核实程序才可进入;C基金管理有限公司设立申请材料之十信息科技管理制度10-7-9(十三)信息技术部应指定专人负责计算机病毒防范工作。信息技术部应定期进行病毒检测,发现病毒立即处理并报告;(十四)公司建立信息科技系统定期稽核检查制度及实施细则。一是对信息科技系统本身进行技术层面的检查,发现问题及时堵塞漏洞;二是对信息科技系统的管理以及相应制度的执行进行检查,保证安全制度的严格执行并不断完善相关规章。第二十四条计算机机房安全管理(一)机房管理工作实行轮换值班制度,交易时间内机房必须有值班人员。(二)本公司员工进出机房须使用机房门禁IC卡管理。通常情况下,只有董事长、总经理、分管营运的副总经理、督察长和信息技术部工作人员有权使用IC卡进入机房。(三)机房门禁IC卡持有人发生工作变动时,信息技术部应及时修改持卡权限或收回IC卡,并将变动情况报总经理、分管营运的副总经理、督察长、信息技术部总监。(四)机房门禁IC卡持有人必须保管好自己的IC卡,IC卡只限本人使用,不得借给他人。持卡人每次进出机房都应在《机房进出登记表》上如实记录进出情况,由机房系统管理员负责监督管理。(五)持卡人进入机房工作要遵守有关工作规程和相关规章制度,认真履行自己的职责,不得损坏机房内的任何网络和设备,不得读取与自己工作无关的数据。非经批准,不得随意变动运行设备上的开关,不得改变机房内的网络布线结构。(六)公司外人员需要进入机房检修机器设备、网络线路、空调设备、电C基金管理有限公司设立申请材料之十信息科技管理制度10-7-10力和电话线路等系统时,必须事先书面报告信息技术部总监,经审核同意后,由机房系统管理员陪同,方可进入机房施工或检查。如对系统运行可能造成影响,信息技术部应事先报分管营运的副总经理同意,并进行妥善安排。施工完成后,由机房系统管理员进行检查并做书面记录,确保系统的正常运行。(七)公司外人员需要进入机房参观时,必须事先书面报告信息技术部总监,经批准同意后,由公司内相关人员和机房系统管理员陪同方可进入机房。(八)公司外人员进入机房完成检修维护工作后,都应在《机房工作日志》上登记检查结果、维护内容和操作结果,并签字确认,由机房系统管理员负责监督检查。(九)日常清洁人员进入机房进行清扫时,必须经机房系统管理员同意,并监督其进行清