证券公司信息技术管理规范.pdf

证券公司信息技术管理规范

ThecriterionofITmanagementforsecuritescompany

引言

为了规范证券公司信息技术管理行为，保护投资者的合法利益，维护证券公司的合

法权益，促进证券市场的健康发展，特制定本标准，以加强证券公司信息系统的优化建

设和安全管理，推动信息系统建设与技术管理水平的协调发展，提高证券行业的整体信

息技术应用水平。

证券公司信息技术管理规范

1范围

本标准规定了证券公司信息技术管理的以下方面：

a)信息技术管理工作中应遵循的基本原则；

b)信息技术管理的组织架构；

c)信息技术人员、项目和安全管理；

d)机房和设备管理；

e)网络通信、软件和数据；

f)信息系统运行管理、技术事故的防范与处理。

本标准适用于证券公司的信息技术管理工作。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用

文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然

而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不

注日期的引用文件，其最新版本适用于本标准。

GB2887电子计算机场地通用规范

GB/T8566信息技术软件生存期过程

GB9361计算站场地安全要求

GB50174电子计算机机房设计规范

GB50311建筑与建筑群综合布线系统工程设计规范

GB50312建筑与建筑群综合布线系统工程验收规范

CMM软件能力成熟度模型（CapacityMaturityModel）

3原则

证券公司在信息技术管理工作中应遵循：

a)安全性原则，应树立技术风险的防范意识，把安全措施落实到信息技术管理的每

个环节、每个方面，应在信息系统的设计、开发、运行、维护各环节和硬件、软件、

网络通讯、数据、管理各方面，贯彻安全性原则。

b)实用性原则，应加强信息技术管理，注重采用成熟的先进技术，在确保信息系统

性能和安全的前提下，遵循高效益、低成本、易操作的原则。

c)系统化原则，将证券公司信息技术管理有关的资源和活动以系统的观点来进行管

理，理解和识别管理过程中的相互关系和作用，明确每个管理过程的职责和权限。

4管理体系

4.1组织结构与职能

4.1.1证券公司应设立信息技术管理机构，实行信息技术工作的统一归口管理。

4.1.2信息技术管理机构应履行下列职责：

a)负责信息系统的总体规划并组织实施；

b)负责制定与信息技术相关的规章制度并落实执行；

c)负责编制信息技术预算并落实执行；

d)负责信息系统的建设和运行维护；

e)协助进行信息技术人员的任职管理、培训和考核；

f)发现技术和业务异常及时上报；

4.2人员管理

4.2.1证券公司应对信息技术管理机构实行定岗、定编、定责，明确各岗位的人员素质

要求。

4.2.2应建立重要岗位的双人负责制，并加强对单人单岗的监控。

4.2.3应建立完善的保密制度，重要岗位应签订保密协议书。

4.2.4不应录用有犯罪或严重违规行为记录的人员从事证券公司信息技术工作。

4.2.5应建立信息技术人员定期培训和考核制度，不合格者禁止上岗。

4.2.6应定期或不定期对在信息技术重要岗位上的信息技术人员进行轮换，或实行强制

休假。

4.2.7应建立信息技术人员的离岗制度，规范离岗手续。

4.3安全管理

4.3.1证券公司应建立信息系统安全管理组织，实施信息安全等级保护，并设立专门的

安全管理员、安全审计员岗位。

4.3.2信息系统安全管理组织应履行下列职责：

a)负责制定统一的安全策略；

b)负责制定信息系统安全管理制度；

c)负责审核和实施信息系统安全保护和安全防范技术方案；

d)负责组织信息系统安全教育及技术培训；

e)负责定期或不定期进行信息系统安全检查，发现问题，督促解决；

f)负责组织信息系统