第一篇：證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引

證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引

第一章 總則

第一條 為保障網(wǎng)上證券信息系統(tǒng)的安全、可靠、高效運(yùn)行，促進(jìn)證券公司在網(wǎng)上開展的證券業(yè)務(wù)健康有序發(fā)展，保護(hù)投資者的合法權(quán)益，依據(jù)《中華人民共和國電子簽名法》、《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等相關(guān)法律法規(guī)制定本指引。

第二條 本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的證券公司。

第三條 網(wǎng)上證券信息系統(tǒng)是證券公司在網(wǎng)上開展證券業(yè)務(wù)活動中所采用的由相關(guān)網(wǎng)絡(luò)設(shè)備、計算機(jī)設(shè)備、軟件及專用通訊線路等構(gòu)成的信息系統(tǒng)，包括網(wǎng)上證券服務(wù)端、客戶端和門戶網(wǎng)站。

第四條 證券公司利用網(wǎng)上證券信息系統(tǒng)開展證券業(yè)務(wù)應(yīng)遵循如下基本原則：

（一）安全性原則：網(wǎng)上證券信息系統(tǒng)的建設(shè)應(yīng)提高風(fēng)險防范意識，保證在網(wǎng)上開展證券業(yè)務(wù)的安全性。通過技術(shù)措施和管理手段，實(shí)現(xiàn)信息的保密性、完整性和服務(wù)可用性。

（二）系統(tǒng)性原則：網(wǎng)上證券信息系統(tǒng)的安全建設(shè)應(yīng)覆蓋安全保障體系的各個方面，包括：安全體系建設(shè)、證券業(yè)務(wù)在網(wǎng)上的開展、網(wǎng)絡(luò)和系統(tǒng)安全、應(yīng)用系統(tǒng)安全、運(yùn)維和安全保障、災(zāi)難恢復(fù)和應(yīng)急措施等。

（三）可用性原則：網(wǎng)上證券信息系統(tǒng)的建設(shè)應(yīng)在保障安全的原則下，確保在網(wǎng)上開展的證券業(yè)務(wù)的連續(xù)性和可靠性。

第五條 中國證券業(yè)協(xié)會對證券公司執(zhí)行本指引的情況進(jìn)行指導(dǎo)和督促。

第二章 基本要求

第六條 證券公司對網(wǎng)上證券信息系統(tǒng)應(yīng)統(tǒng)一規(guī)劃、集中管理，保證在網(wǎng)上開展證券業(yè)務(wù)安全、有序發(fā)展。

第七條 證券公司應(yīng)制定在網(wǎng)上開展證券業(yè)務(wù)的各項安全管理制度，對安全管理目標(biāo)、安全管理組織、安全人員配備、安全策略、安全措施、安全培訓(xùn)、安全檢查、系統(tǒng)建設(shè)、運(yùn)行管理、應(yīng)急措施、風(fēng)險控制、安全審計等方面作出規(guī)定。

第八條 證券公司應(yīng)根據(jù)在網(wǎng)上開展證券業(yè)務(wù)特性，設(shè)立相應(yīng)的管理職能崗位，明確在網(wǎng)上開展證券業(yè)務(wù)管理的責(zé)任，配備合格、足夠的管理人員和技術(shù)人員，包括安全管理員、安全審計員等。

第九條 證券公司應(yīng)將在網(wǎng)上開展證券業(yè)務(wù)的風(fēng)險管理納入證券公司風(fēng)險控制工作范圍，建立健全網(wǎng)上證券風(fēng)險控制管理體系。

第十條 對在網(wǎng)上開展證券業(yè)務(wù)的審計應(yīng)納入證券公司的審計工作范圍。

第十一條 證券公司網(wǎng)上證券信息系統(tǒng)應(yīng)部署在中華人民共和國境內(nèi)，滿足技術(shù)審計、監(jiān)管部門現(xiàn)場檢查及中國司法機(jī)構(gòu)調(diào)查取證等要求。部署網(wǎng)上證券信息系統(tǒng)的有形場所，應(yīng)符合國家安全標(biāo)準(zhǔn)的有關(guān)要求。

第十二條 證券公司應(yīng)當(dāng)與投資者簽訂網(wǎng)上證券服務(wù)協(xié)議或合同，明確雙方的權(quán)利、義務(wù)和相關(guān)風(fēng)險的責(zé)任承擔(dān)，向投資者充分揭示使用網(wǎng)上證券信息系統(tǒng)可能面臨的風(fēng)險、證券公司已采取的風(fēng)險控制措施和客戶應(yīng)采取的風(fēng)險防范措施。

第十三條 證券公司應(yīng)通過多種方式揭示使用網(wǎng)上交易方式可能面臨的風(fēng)險和客戶應(yīng)采取的風(fēng)險防范措施，提醒投資者加強(qiáng)賬號、口令的保護(hù)工作，建議投資者定期修改口令、增強(qiáng)口令強(qiáng)度、防止口令泄露、防止用于網(wǎng)上交易的計算機(jī)或手機(jī)終端感染木馬、病毒等，并根據(jù)投資者需要開啟或關(guān)閉網(wǎng)上交易方式。

第十四條 證券公司應(yīng)盡可能使用統(tǒng)一的網(wǎng)上證券服務(wù)電話、域名、短信號碼等，并應(yīng)在與投資者簽訂的協(xié)議或合同中明確告知客戶使用網(wǎng)上證券信息系統(tǒng)的合法途徑、意外事件的處理辦法，以及證券公司聯(lián)系方式等。

第十五條 證券公司的網(wǎng)上證券信息系統(tǒng)應(yīng)自主運(yùn)營、自主管理。如涉及第三方（指除證券公司及其客戶以外的任何一方），應(yīng)與第三方簽訂保密協(xié)議和服務(wù)級別協(xié)議，并明確責(zé)任，采取措施防止通過第三方泄露用戶信息。

第十六條 證券公司通過網(wǎng)上證券信息系統(tǒng)向客戶提供證券交易的行情信息，應(yīng)提示行情源；如向客戶提供證券信息，應(yīng)說明信息來源，并提示投資者對行情信息及證券信息等進(jìn)行核實(shí)。

第十七條 證券公司應(yīng)對網(wǎng)上證券信息系統(tǒng)的各個子系統(tǒng)合理劃分安全域，在不同安全域之間進(jìn)行有效的隔離，保障網(wǎng)上證券信息系統(tǒng)的接入系統(tǒng)與其后臺系統(tǒng)在技術(shù)上進(jìn)行有效隔離，后臺系統(tǒng)應(yīng)與行情、資訊處理系統(tǒng)進(jìn)行網(wǎng)絡(luò)隔離，并應(yīng)部署在證券公司可控的物理安全域內(nèi)。

第十八條 證券公司應(yīng)在兩個以上的物理地點(diǎn)建立網(wǎng)上證券信息系統(tǒng)，互為備份，并應(yīng)具備2個或2個以上不同運(yùn)營商的互聯(lián)網(wǎng)接入，避免在同一運(yùn)營商的線路接入上出現(xiàn)單點(diǎn)故障和瓶頸，同時應(yīng)充分考慮不同互聯(lián)網(wǎng)運(yùn)營商的互聯(lián)瓶頸問題，確保局部故障或災(zāi)難發(fā)生時，系統(tǒng)能繼續(xù)對用戶提供服務(wù)。

第十九條 對于外包定制的網(wǎng)上證券信息系統(tǒng)，證券公司應(yīng)與軟件開發(fā)商簽署服務(wù)協(xié)議和保密協(xié)議，明確客戶端、服務(wù)端以及數(shù)據(jù)傳輸過程均無后門，明確軟件開發(fā)商應(yīng)用軟件中使用的插件具備合法版權(quán)，以確?？蛻魯?shù)據(jù)、交易資料不被泄漏，保障證券公司的權(quán)益。

第三章 門戶網(wǎng)站

第二十條 證券公司門戶網(wǎng)站指證券公司建立的實(shí)現(xiàn)信息發(fā)布、業(yè)務(wù)咨詢、營銷推廣、客戶服務(wù)和投資者教育等功能的網(wǎng)站。

第二十一條 證券公司門戶網(wǎng)站應(yīng)當(dāng)按照國家主管部門的有關(guān)規(guī)定辦理網(wǎng)站備案，并提供備案信息的鏈接。

第二十二條 證券公司應(yīng)定期對網(wǎng)站程序代碼進(jìn)行全面檢查和評估，并及時修補(bǔ)，避免各種漏洞的存在。

第二十三條 證券公司應(yīng)在門戶網(wǎng)站部署防篡改系統(tǒng)，當(dāng)網(wǎng)站上的頁面內(nèi)容、提供給投資者下載的客戶端軟件及其它文件被異常修改時，能自動告警或自動恢復(fù)，防止被捆綁木馬程序。

第二十四條 與核心交易業(yè)務(wù)有關(guān)的客戶資料、交易數(shù)據(jù)等客戶敏感數(shù)據(jù)不得存放在門戶網(wǎng)站數(shù)據(jù)庫中。網(wǎng)上客戶業(yè)務(wù)處理的日志應(yīng)單獨(dú)存放。

第二十五條 在證券公司門戶網(wǎng)站中客戶賬號及口令，應(yīng)采用加密方式傳輸，并最低達(dá)到SSL協(xié)議128位的加密強(qiáng)度。

第二十六條 證券公司應(yīng)該建立對門戶網(wǎng)站內(nèi)容發(fā)布的審核、管理和監(jiān)控機(jī)制，對網(wǎng)頁內(nèi)容進(jìn)行監(jiān)控，對有害信息進(jìn)行過濾，防止網(wǎng)站出現(xiàn)不良信息。

第四章 網(wǎng)上證券客戶端

第二十七條 網(wǎng)上證券客戶端是指證券公司通過互聯(lián)網(wǎng)向本公司開戶的客戶提供的用于查看行情、檢索資訊、交易委托等的應(yīng)用程序，包括基于計算機(jī)和手機(jī)等終端的前端軟件。

第二十八條 網(wǎng)上證券客戶端應(yīng)提供技術(shù)手段協(xié)助用戶檢查、清除木馬等惡意程序，并提供驗證碼、強(qiáng)制口令圖形鍵盤、安全的口令輸入安全控件、客戶端電腦或手機(jī)特征碼綁定、軟硬件證書、動態(tài)口令等多種用戶認(rèn)證方式，防范不法分子利用木馬等黑客程序竊取客戶賬號和口令信息，進(jìn)行證券盜買盜賣非法活動。

第二十九條 網(wǎng)上證券客戶端應(yīng)具備反調(diào)試能力。

第三十條 網(wǎng)上證券客戶端的客戶身份信息和交易數(shù)據(jù)等重要數(shù)據(jù)傳輸應(yīng)采用國家信息安全機(jī)構(gòu)認(rèn)可的加密技術(shù)和加密強(qiáng)度，并最低達(dá)到SSL協(xié)議128位的加密強(qiáng)度。

第三十一條 網(wǎng)上證券客戶端應(yīng)能向客戶提示最近一次登錄的日期、時間、地址等信息。

第三十二條 網(wǎng)上證券客戶端應(yīng)能在指定的閑置時間間隔到期后，自動鎖定客戶端的使用。

第三十三條 網(wǎng)上證券客戶端應(yīng)具有唯一連接到本證券公司網(wǎng)上證券接入系統(tǒng)的保障機(jī)制。網(wǎng)上證券客戶端應(yīng)提供足夠的識別信息，以保證網(wǎng)上證券服務(wù)端能夠?qū)Πl(fā)出連接請求的客戶端與證券公司所提供下載的程序進(jìn)行一致性驗證。

第三十四條 當(dāng)客戶訪問網(wǎng)上證券服務(wù)端時，未經(jīng)客戶許可，不得以任何方式在客戶端系統(tǒng)中安裝插件。

第三十五條 網(wǎng)上證券客戶端在本地計算機(jī)儲存客戶賬戶、交易數(shù)據(jù)等重要信息，應(yīng)提示客戶，經(jīng)客戶確認(rèn)后以加密方式存儲。

第五章 網(wǎng)上證券服務(wù)端

第三十六條 網(wǎng)上證券服務(wù)端是指證券公司通過互聯(lián)網(wǎng)向客戶提供網(wǎng)上交易、網(wǎng)上行情、數(shù)據(jù)查詢等服務(wù)的信息系統(tǒng)，包括互聯(lián)網(wǎng)接入子系統(tǒng)、安全防護(hù)與監(jiān)控子系統(tǒng)、應(yīng)用服務(wù)子系統(tǒng)、身份認(rèn)證子系統(tǒng)和后臺隔離子系統(tǒng)。

第三十七條 證券公司應(yīng)提供預(yù)留驗證信息服務(wù)，在客戶登錄時向客戶顯示預(yù)留的驗證信息，幫助客戶識別仿冒的網(wǎng)上證券信息系統(tǒng)，防范不法分子利用仿冒的網(wǎng)上證券信息系統(tǒng)進(jìn)行詐騙活動或盜取用戶賬號、口令等信息。

第三十八條 證券公司應(yīng)提供可靠的用戶身份認(rèn)證機(jī)制，支持網(wǎng)上證券客戶端采用多種認(rèn)證方式與服務(wù)端進(jìn)行身份認(rèn)證。除輸入賬戶名、口令、驗證碼的身份認(rèn)證方式之外，還應(yīng)向客戶提供一種以上強(qiáng)度更高的身份認(rèn)證方式，如，客戶端電腦或手機(jī)特征碼綁定、軟硬件證書、動態(tài)口令等認(rèn)證方式，確認(rèn)網(wǎng)上交易客戶的身份和登錄的合法性，防止非法接入。用戶身份認(rèn)證信息應(yīng)當(dāng)在服務(wù)器上加密存放。

第三十九條 證券公司應(yīng)提供可靠的訪問控制和權(quán)限管理機(jī)制，防止客戶的授權(quán)被惡意提升或轉(zhuǎn)授，防止客戶使用未經(jīng)授權(quán)的功能，防止客戶進(jìn)行訪問未經(jīng)授權(quán)的數(shù)據(jù)等非法訪問活動。

第四十條 網(wǎng)上證券信息系統(tǒng)采用的認(rèn)證授權(quán)和加密體系應(yīng)通過國家信息安全機(jī)構(gòu)的安全性測評，具備足夠的強(qiáng)度和抗攻擊能力，并根據(jù)在網(wǎng)上開展證券業(yè)務(wù)的安全性需要和信息技術(shù)的發(fā)展，定期檢查、評估和及時調(diào)整。

第四十一條 網(wǎng)上證券信息系統(tǒng)未經(jīng)證券公司授權(quán)不得與第三方進(jìn)行任何形式的數(shù)據(jù)交換，并具備經(jīng)過認(rèn)證后僅向授權(quán)的第三方指定地址發(fā)送信息的功能。

第四十二條 證券公司應(yīng)保證網(wǎng)上證券數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性、真?shí)性和可稽核性，對網(wǎng)上交易委托的客戶信息、交易指令及其他敏感信息進(jìn)行可靠的加密，加解密應(yīng)在投資者與證券公司實(shí)際控制的設(shè)備中進(jìn)行，不得存在任何中間環(huán)節(jié)對數(shù)據(jù)進(jìn)行加解密。

第四十三條 網(wǎng)上證券服務(wù)端應(yīng)防止用戶使用簡單口令，應(yīng)能夠抵御連續(xù)猜測等對客戶賬戶惡意攻擊行為。

第四十四條 網(wǎng)上證券服務(wù)端應(yīng)對不完整、被篡改、重發(fā)的數(shù)據(jù)包進(jìn)行監(jiān)控，對登錄、委托方式、品種、價格、數(shù)量、操作頻率、轉(zhuǎn)賬等異常行為進(jìn)行跟蹤、監(jiān)控和限制，記錄其賬號、IP地址等相關(guān)信息，并通過短信、電話等方式及時提示客戶，必要時進(jìn)行用戶臨時鎖定。監(jiān)控和處置情況應(yīng)形成記錄備查。

第四十五條 網(wǎng)上證券服務(wù)端應(yīng)能監(jiān)控并避免攻擊者通過群體大規(guī)模對合法證券賬戶進(jìn)行非法用戶登陸的請求，導(dǎo)致大量用戶賬戶被異常鎖定，正常用戶無法登陸。

第四十六條 網(wǎng)上證券服務(wù)端應(yīng)能在指定的時間間隔到期后，自動中止用戶對系統(tǒng)的訪問權(quán)。

第四十七條 網(wǎng)上交易服務(wù)端應(yīng)能產(chǎn)生、記錄并集中存儲必要的日志信息，其中應(yīng)包含能識別服務(wù)請求方身份的內(nèi)容、登錄終端的IP地址、MAC地址、手機(jī)號碼和終端特征碼等，并確保數(shù)據(jù)的可審計性，滿足監(jiān)管部門現(xiàn)場檢查要求及司法機(jī)構(gòu)調(diào)查取證的要求。

第四十八條 網(wǎng)上證券服務(wù)端應(yīng)能向客戶提供可證明服務(wù)端自身身份的信息，以確保客戶能查驗所使用服務(wù)的真實(shí)性。

第四十九條 網(wǎng)上證券服務(wù)端應(yīng)能夠有效屏蔽系統(tǒng)技術(shù)錯誤信息，不將系統(tǒng)產(chǎn)生的錯誤信息直接反饋給客戶。

第五十條 網(wǎng)上證券服務(wù)端應(yīng)能夠提供系統(tǒng)運(yùn)行健康狀況信息(如活動狀態(tài)、并發(fā)在線客戶數(shù)目、并發(fā)會話數(shù)目、線程數(shù)目、隊列長度等)、錯誤信息、安全警告等。

第五十一條 基于瀏覽器的網(wǎng)上證券下單網(wǎng)頁應(yīng)當(dāng)使用HTTPS等加密方式與服務(wù)端交互，服務(wù)端應(yīng)具備防范SQL注入式攻擊、跨站腳本攻擊等網(wǎng)頁攻擊的能力，同時關(guān)閉HTTP服務(wù)器的Web遠(yuǎn)程維護(hù)功能。

第六章 移動證券

第五十二條 移動證券指客戶通過手機(jī)或其他具備無線數(shù)據(jù)通訊能力的移動設(shè)備，經(jīng)無線公眾網(wǎng)絡(luò)獲取證券公司提供的行情信息、資訊信息服務(wù)或進(jìn)行交易、轉(zhuǎn)賬、查詢等證券自助業(yè)務(wù)。

第五十三條 證券公司應(yīng)使用安全、可靠的移動證券系統(tǒng)。移動證券系統(tǒng)宜自主運(yùn)營，實(shí)現(xiàn)數(shù)據(jù)從用戶終端到網(wǎng)上證券服務(wù)端之間的加密傳送和控制，并隨著技術(shù)的發(fā)展，不斷提高加密強(qiáng)度，完善認(rèn)證算法。

第五十四條 證券公司應(yīng)建立確認(rèn)機(jī)制以保證客戶獲得正確的移動證券客戶端軟件。

第五十五條 移動證券客戶端應(yīng)具備一定加密強(qiáng)度的用戶認(rèn)證功能，保護(hù)客戶賬號和口令信息。

第五十六條 證券公司應(yīng)在門戶網(wǎng)站或固定營業(yè)場所公告短信服務(wù)號碼、移動證券門戶網(wǎng)站地址等信息，提醒客戶防范他人利用移動通訊設(shè)備進(jìn)行欺詐。

第五十七條 證券公司應(yīng)根據(jù)移動證券業(yè)務(wù)的網(wǎng)絡(luò)延遲時間、鏈路穩(wěn)定狀況、信號衰減程度等風(fēng)險因素，對行情或交易數(shù)據(jù)可能出現(xiàn)明顯滯后或產(chǎn)生數(shù)據(jù)丟失的情況，事先對客戶進(jìn)行風(fēng)險提示。

第七章 安全管理

第五十八條 證券公司網(wǎng)上證券信息系統(tǒng)的管理、開發(fā)、測試應(yīng)與運(yùn)營人員及生產(chǎn)環(huán)境分離。開發(fā)、測試和運(yùn)營人員未經(jīng)授權(quán)不得訪問、修改非職責(zé)范圍內(nèi)的網(wǎng)上證券信息系統(tǒng)。

第五十九條 證券公司應(yīng)制定在網(wǎng)上開展證券業(yè)務(wù)連續(xù)性計劃，保證在網(wǎng)上開展證券業(yè)務(wù)的連續(xù)正常運(yùn)營。在網(wǎng)上開展證券業(yè)務(wù)連續(xù)性計劃應(yīng)充分評估第三方服務(wù)供應(yīng)商對業(yè)務(wù)連續(xù)性的影響，并應(yīng)采取適當(dāng)?shù)念A(yù)防措施。

第六十條 客戶使用的網(wǎng)上證券委托軟件應(yīng)由證券公司管理和授權(quán)發(fā)布，證券公司應(yīng)對其授權(quán)第三方發(fā)布的證券委托軟件進(jìn)行審核、監(jiān)管。

第六十一條 證券公司應(yīng)采取有效措施對門戶網(wǎng)站上提供下載的網(wǎng)上證券客戶端軟件程序進(jìn)行保護(hù)，客戶端軟件程序編譯封裝、形成下載文件后，應(yīng)安排專人對其進(jìn)行嚴(yán)格的病毒掃描和木馬檢查，并通過專用安全手段傳輸至網(wǎng)站文件下載服務(wù)器。

第六十二條 證券公司網(wǎng)上證券應(yīng)用系統(tǒng)上線或重大版本升級，應(yīng)進(jìn)行安全測試和評估。

第六十三條 原則上不允許通過互聯(lián)網(wǎng)對網(wǎng)上證券信息系統(tǒng)（如防火墻、網(wǎng)絡(luò)設(shè)備、服務(wù)器等）進(jìn)行遠(yuǎn)程管理和日常維護(hù)等操作，對網(wǎng)上證券信息系統(tǒng)的訪問控制應(yīng)做到：

（一）關(guān)閉網(wǎng)上證券信息系統(tǒng)所有與業(yè)務(wù)和維護(hù)無關(guān)的服務(wù)及端口，嚴(yán)格控制防火墻中的權(quán)限設(shè)置，確保按“最小權(quán)限原則”進(jìn)行設(shè)置；

（二）對于網(wǎng)上證券信息系統(tǒng)的內(nèi)部訪問，應(yīng)嚴(yán)格限制訪問源。

（三）特殊緊急情況下需要通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程操作時，應(yīng)通過限制登錄IP、使用數(shù)字證書或動態(tài)口令、全程監(jiān)控等措施確保安全，并在操作完成后，及時關(guān)閉相關(guān)端口。

第六十四條 證券公司應(yīng)部署有效的網(wǎng)上證券信息系統(tǒng)安全防護(hù)與監(jiān)控子系統(tǒng)，包括防火墻，防病毒、防木馬系統(tǒng)，入侵檢測系統(tǒng)或入侵防護(hù)系統(tǒng)，并正確配置。應(yīng)及時更新病毒庫，定期對系統(tǒng)進(jìn)行全面的病毒掃描，加強(qiáng)相關(guān)系統(tǒng)的日志審查工作，提高網(wǎng)上證券信息系統(tǒng)的防護(hù)能力。

第六十五條 證券公司制定的安全措施，應(yīng)定期檢查、測試，并根據(jù)實(shí)際情況及時調(diào)整，保證安全措施的持續(xù)有效。

第六十六條 證券公司應(yīng)建立定期的網(wǎng)上證券信息系統(tǒng)安全風(fēng)險評估機(jī)制和整改的工作制度，及時發(fā)現(xiàn)SQL注入漏洞、弱口令賬戶、繞過驗證、目錄遍歷、文件上傳、跨站腳本等系統(tǒng)存在的安全隱患和漏洞，并進(jìn)行改進(jìn)和完善。風(fēng)險評估應(yīng)通過內(nèi)部評估與外部評估相結(jié)合的方式進(jìn)行。

第六十七條 安全風(fēng)險評估應(yīng)包括漏洞掃描、攻擊測試、病毒掃描、木馬檢測等，針對不同的威脅設(shè)置相應(yīng)的檢查頻率。

第六十八條 證券公司應(yīng)對網(wǎng)上證券信息系統(tǒng)進(jìn)行實(shí)時監(jiān)控，建立異常事件的甄別、報警、處理和報告機(jī)制。網(wǎng)上證券信息系統(tǒng)實(shí)時監(jiān)控范圍應(yīng)包括各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備及操作系統(tǒng)、通訊線路狀態(tài)及應(yīng)用軟件等。監(jiān)控內(nèi)容包括其運(yùn)行狀況、日志內(nèi)容、安全警告等，并統(tǒng)一記錄保存監(jiān)控信息，保存期至少為6個月。

第六十九條 證券公司應(yīng)通過多種技術(shù)手段加強(qiáng)對投資者賬戶異動情況的監(jiān)控，如委托的方式、品種、價格、數(shù)量異常等，并及時提醒客戶，以保護(hù)客戶資產(chǎn)安全。

第七十條 證券公司應(yīng)對網(wǎng)上證券信息系統(tǒng)中包括網(wǎng)絡(luò)安全設(shè)備、服務(wù)器以及應(yīng)用系統(tǒng)在內(nèi)的賬戶進(jìn)行嚴(yán)格管理，賬戶權(quán)限應(yīng)按最小權(quán)限原則設(shè)置，清除所有冗余、與應(yīng)用無關(guān)的賬戶，并嚴(yán)格限制各管理員賬戶的使用，禁止用最高權(quán)限賬戶執(zhí)行一般操作,盡量避免以最高權(quán)限賬戶運(yùn)行網(wǎng)上信息系統(tǒng)服務(wù)端應(yīng)用軟件。

第七十一條 管理員賬戶和口令應(yīng)由專人負(fù)責(zé)，口令長度應(yīng)在12位以上，且含有字符和數(shù)字，區(qū)分大小寫，并定期更改。

第七十二條 證券公司應(yīng)嚴(yán)格限制人工對數(shù)據(jù)庫操作的賬戶權(quán)限，并應(yīng)分別使用不同權(quán)限的賬戶執(zhí)行查詢、插入、更新、刪除等操作。

第七十三條 網(wǎng)上證券信息系統(tǒng)各環(huán)節(jié)應(yīng)有可靠的熱備或冷備措施，保證整個系統(tǒng)的高可用性。

第七十四條 證券公司應(yīng)根據(jù)自身實(shí)際情況制訂網(wǎng)上證券信息系統(tǒng)的數(shù)據(jù)備份計劃并落實(shí)執(zhí)行。備份的數(shù)據(jù)應(yīng)包括：系統(tǒng)程序、配置參數(shù)、系統(tǒng)日志、安全審計數(shù)據(jù)、門戶網(wǎng)站信息、客戶數(shù)據(jù)等。

第七十五條 證券公司應(yīng)保證備份數(shù)據(jù)的準(zhǔn)確性、完整性、可用性。備份數(shù)據(jù)的管理應(yīng)符合相關(guān)技術(shù)管理規(guī)定，有嚴(yán)格的保管、使用、檢查管理制度。

第七十六條 證券公司應(yīng)當(dāng)保障網(wǎng)上證券信息系統(tǒng)運(yùn)營設(shè)施、設(shè)備以及安全控制設(shè)施、設(shè)備的安全。對重要設(shè)施、設(shè)備的接觸、檢查、維修和應(yīng)急處理，應(yīng)有明確的權(quán)限規(guī)定、責(zé)任劃分和操作流程，并建立日志文件管理制度，如實(shí)記錄并妥善保管相關(guān)記錄。

第七十七條 證券公司應(yīng)定期評估可供客戶使用的網(wǎng)上證券信息系統(tǒng)的資源狀況，并根據(jù)實(shí)時監(jiān)控信息、可預(yù)見的業(yè)務(wù)發(fā)展需求進(jìn)行容量的需求預(yù)測，確保有充足的處理能力、存儲容量和通訊帶寬，滿足業(yè)務(wù)增長的需要，保證網(wǎng)上證券服務(wù)的可用性，并能抵御一定程度的拒絕服務(wù)攻擊和緩沖區(qū)溢出攻擊。

第七十八條 在網(wǎng)上開展證券業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)、安全系統(tǒng)、應(yīng)用系統(tǒng)等重要環(huán)節(jié)應(yīng)具備足夠的冗余，以應(yīng)對網(wǎng)站及網(wǎng)上交易可能出現(xiàn)的突發(fā)峰值；在網(wǎng)上開展證券業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)、安全系統(tǒng)、應(yīng)用系統(tǒng)等重要環(huán)節(jié)應(yīng)具備良好的可擴(kuò)充性，以應(yīng)對業(yè)務(wù)增長和市場的變化。

第七十九條 證券公司應(yīng)建立嚴(yán)格的變更管理流程，對包括網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)等軟硬件系統(tǒng)和配置變更實(shí)行規(guī)范化的變更管理，完整、真實(shí)地記錄和反映系統(tǒng)所涉及的軟硬件配置及相互影響關(guān)系，并保持與實(shí)際生產(chǎn)環(huán)境同步更新。

第八十條 證券公司應(yīng)建立網(wǎng)上證券信息系統(tǒng)應(yīng)急處理組織體系，并制定相應(yīng)的應(yīng)急預(yù)案，應(yīng)急預(yù)案應(yīng)納入證券公司和行業(yè)的應(yīng)急預(yù)案體系內(nèi)，并按照有關(guān)規(guī)定進(jìn)行演練。

第八十一條 證券公司應(yīng)根據(jù)網(wǎng)上證券信息系統(tǒng)故障的影響和損失情況對應(yīng)急組織體系和應(yīng)急預(yù)案進(jìn)行分級管理和執(zhí)行，并遵循統(tǒng)一領(lǐng)導(dǎo)、快速響應(yīng)、協(xié)調(diào)配合、最小損失的原則。

第八十二條 證券公司網(wǎng)上證券信息系統(tǒng)應(yīng)急預(yù)案應(yīng)針對電力、通信等基礎(chǔ)設(shè)施故障、計算機(jī)硬件或網(wǎng)絡(luò)設(shè)備故障、操作系統(tǒng)或應(yīng)用系統(tǒng)故障、操作系統(tǒng)或應(yīng)用系統(tǒng)漏洞、病毒入侵、惡意攻擊、誤操作、不可抗力等可能的故障原因制定對應(yīng)的應(yīng)急恢復(fù)操作流程或步驟。

第八十三條 證券公司在發(fā)現(xiàn)假冒本公司網(wǎng)上證券服務(wù)的非法活動或者網(wǎng)上證券信息系統(tǒng)出現(xiàn)重大安全事件后，應(yīng)及時向監(jiān)管部門、公安機(jī)關(guān)報告。在啟動實(shí)施網(wǎng)上證券信息系統(tǒng)應(yīng)急預(yù)案時應(yīng)及時向投資者公告。對于假冒本公司的非法活動應(yīng)及時通過證券公司網(wǎng)站、網(wǎng)上證券客戶端、電話語音系統(tǒng)或短信平臺等提醒投資者注意。

第八章 附則

第八十四條 本指引由中國證券業(yè)協(xié)會負(fù)責(zé)解釋。

第八十五條 本指引自發(fā)布之日起施行。

第二篇：證券公司證券營業(yè)部信息技術(shù)指引》(征求意見稿)

證券公司證券營業(yè)部信息技術(shù)指引

（征求意見稿）

第一章 總則

第一條 為加強(qiáng)證券公司證券營業(yè)部信息技術(shù)管理，防范技術(shù)風(fēng)險，保障證券市場平穩(wěn)運(yùn)行，依據(jù)《中華人民共和國證券法》、中國證監(jiān)會規(guī)章和中國證券業(yè)協(xié)會自律規(guī)則的有關(guān)規(guī)定，制定本指引。

第二條 證券公司應(yīng)全面負(fù)責(zé)證券營業(yè)部信息技術(shù)的管理，統(tǒng)一制定證券營業(yè)部信息技術(shù)的建設(shè)、運(yùn)維、安全等相關(guān)管理制度，并督促證券營業(yè)部有效執(zhí)行。

第三條 證券公司應(yīng)遵循信息系統(tǒng)安全性、實(shí)用性、可操作性等原則，統(tǒng)一規(guī)劃和建設(shè)證券營業(yè)部的信息系統(tǒng)。

第四條 根據(jù)證券營業(yè)部是否提供現(xiàn)場交易服務(wù)和是否部署與現(xiàn)場交易服務(wù)相關(guān)的信息系統(tǒng)，證券營業(yè)部的信息系統(tǒng)建設(shè)模式可以區(qū)分為：

A型模式：在營業(yè)場所內(nèi)部署與現(xiàn)場交易服務(wù)相關(guān)的信息系統(tǒng)為客戶提供現(xiàn)場交易服務(wù)。采用該類型信息系統(tǒng)建設(shè)模式的證券營業(yè)部，以下簡稱為“A型證券營業(yè)部”。作為其他證券營業(yè)部網(wǎng)絡(luò)通信匯聚節(jié)點(diǎn)，且所連接的證券營業(yè)部中提供現(xiàn)場交易服務(wù)的證券營業(yè)部，視同為“A型證券營業(yè)部”。

B型模式：在營業(yè)場所內(nèi)未部署與現(xiàn)場交易服務(wù)相關(guān)的信息系統(tǒng)，但依托公司總部或其他證券營業(yè)部的信息系統(tǒng)為客戶提供現(xiàn)場交易服務(wù)。采用該類型信息系統(tǒng)建設(shè)模式的證券營業(yè)部，以下簡稱為“B型證券營業(yè)部”。

C型模式：在營業(yè)場所內(nèi)未部署與現(xiàn)場交易服務(wù)相關(guān)的信息系統(tǒng)且不提供現(xiàn)場交易服務(wù)。采用該類型信息系統(tǒng)建設(shè)模式的證券營業(yè)部，以下簡稱為“C型證券營業(yè)部”。

證券公司可根據(jù)自身狀況和業(yè)務(wù)發(fā)展需要，自主選擇證券營業(yè)部信息系統(tǒng)建設(shè)模式。

第五條 證券公司應(yīng)為A型證券營業(yè)部至少配備一名專職技術(shù)人員、B型證券營業(yè)部至少配備一名兼職技術(shù)人員，并制定頂崗、備崗等相關(guān)制度，確保在交易時間內(nèi)有技術(shù)人員值守。專職技術(shù)人員和兼職技術(shù)人員應(yīng)具有計算機(jī)相關(guān)專業(yè)學(xué)歷或從事信息技術(shù)工作1年以上。

第二章 系統(tǒng)建設(shè)

第六條 A型證券營業(yè)部應(yīng)設(shè)機(jī)房。B型和C型證券營業(yè)部可不設(shè)機(jī)房，但網(wǎng)絡(luò)及通信等設(shè)備應(yīng)集中放置和管理。

第七條 機(jī)房選址應(yīng)滿足如下要求：

（一）選擇具備可靠供電的場所；

（二）遠(yuǎn)離強(qiáng)震源、強(qiáng)磁場源和強(qiáng)噪聲源，遠(yuǎn)離電磁干擾源或?qū)嵤┯行щ姶鸥蓴_防護(hù)；

（三）遠(yuǎn)離產(chǎn)生粉塵、油煙、有害氣體以及具有腐蝕性、易燃、易爆物品的工廠、倉庫等場所；

（四）符合當(dāng)?shù)乜拐饛?qiáng)度要求；

（五）符合當(dāng)?shù)叵乐鞴懿块T的消防安全要求；

（六）盡量避免低洼地帶。第八條 機(jī)房建設(shè)應(yīng)滿足以下要求：

（一）盡量避讓建筑物頂層、地下室、用水設(shè)備的下層或隔壁以及易漏雨、易滲水和易遭雷擊的區(qū)域，避開易發(fā)生火災(zāi)危險的區(qū)域；

（二）選擇通信設(shè)施健全，相對安全、易于管理的區(qū)域；

（三）避讓主干電力電纜穿越場所，避讓供水、消防管網(wǎng)經(jīng)過；

（四）設(shè)備放置處應(yīng)考慮地面承重，應(yīng)盡量選擇有主干墻、承重墻的位置放置，必要時應(yīng)進(jìn)行地面加固；

（五）應(yīng)配備應(yīng)急照明裝置；

（六）應(yīng)配備防火防盜門等有效安保設(shè)施。

第九條 機(jī)房應(yīng)采用可靠的綜合接地系統(tǒng)或獨(dú)立接地系統(tǒng)，防止雷電對機(jī)房設(shè)施造成損壞。

第十條 機(jī)房應(yīng)具備獨(dú)立空調(diào)系統(tǒng)，使機(jī)房溫度保持在23℃±5℃范圍內(nèi)。

第十一條 機(jī)房供電應(yīng)滿足如下要求：

（一）應(yīng)具有獨(dú)立于一般照明電的專用供電線路，設(shè)有獨(dú)立的配電柜或配電箱。相關(guān)電器設(shè)備、電線應(yīng)與機(jī)柜用電負(fù)載相適應(yīng)，并留有余量。

（二）應(yīng)配置UPS電源，并不得將與業(yè)務(wù)無關(guān)的設(shè)備接入UPS電源。市電插座與UPS插座應(yīng)嚴(yán)格區(qū)分，插座面板應(yīng)有提示性的標(biāo)識或標(biāo)簽。

第十二條 A型和B型證券營業(yè)部應(yīng)至少配備一種持續(xù)供電方式，在市電中斷情況下，保證不低于25%的現(xiàn)場交易終端在交易時間內(nèi)持續(xù)工作，以滿足證券營業(yè)部客戶現(xiàn)場交易需要。

第十三條 證券營業(yè)部配備或租用發(fā)電機(jī)的，發(fā)電機(jī)應(yīng)安裝在具有良好通風(fēng)的場地內(nèi)，并遠(yuǎn)離易燃易爆的物品。

第十四條 證券營業(yè)部采用結(jié)構(gòu)化綜合布線系統(tǒng)的，綜合布線應(yīng)符合《建筑與建筑群綜合布線工程系統(tǒng)設(shè)計規(guī)范》（GBT/T 50311）要求。

第十五條 證券公司與證券營業(yè)部之間應(yīng)采用至少2條不同運(yùn)營商或不同介質(zhì)的通信線路，建立安全、可靠通信連接，且線路帶寬能夠滿足證券營業(yè)部業(yè)務(wù)需要并留有冗余。網(wǎng)絡(luò)通信設(shè)備應(yīng)有冗余備份，保證發(fā)生故障時實(shí)現(xiàn)及時切換。

A型和B型證券營業(yè)部的通信線路中應(yīng)有一條為地面數(shù)據(jù)專線。第十六條 證券營業(yè)部與其他外聯(lián)單位、互聯(lián)網(wǎng)建立通信線路的，證券公司可根據(jù)業(yè)務(wù)需要，要求證券營業(yè)部選擇合適的通信線路、線路帶寬和線路備份方式。

第十七條 證券公司應(yīng)制定證券營業(yè)部局域網(wǎng)、公司廣域網(wǎng)、互聯(lián)網(wǎng)接入以及安全防護(hù)的網(wǎng)絡(luò)建設(shè)規(guī)范，并統(tǒng)一規(guī)劃管理證券營業(yè)部網(wǎng)絡(luò)配置參數(shù)和IP地址段。

第十八條 證券公司應(yīng)確保證券營業(yè)部局域網(wǎng)與公司廣域網(wǎng)、互聯(lián)網(wǎng)實(shí)現(xiàn)有效隔離。

第十九條 證券公司應(yīng)根據(jù)業(yè)務(wù)需要，合理劃分證券營業(yè)部局域網(wǎng)安全域，確定各安全域的功能定位，在各安全域之間采取安全措施實(shí)現(xiàn)有效隔離。

第二十條 證券公司應(yīng)對證券營業(yè)部與客戶建立的網(wǎng)絡(luò)連接進(jìn)行審批，對連接方式進(jìn)行統(tǒng)一規(guī)劃和管理，并采取安全措施，實(shí)現(xiàn)有效隔離。

第二十一條 證券公司應(yīng)確保證券營業(yè)部部署防病毒、防木馬、防惡意代碼等系統(tǒng)安全防護(hù)軟件，保護(hù)證券營業(yè)部信息系統(tǒng)安全。

第二十二條 證券公司應(yīng)確保證券營業(yè)部提供行情、開戶、交易、資訊等客戶服務(wù)的信息系統(tǒng)，具備足夠的健壯性，系統(tǒng)處理能力具有一定的冗余度，并采用熱備或冷備等手段，避免單點(diǎn)故障，提高系統(tǒng)可用性。

第二十三條 證券公司應(yīng)確保A型和B型證券營業(yè)部提供至少2種相互獨(dú)立的行情揭示系統(tǒng)、委托方式。

第二十四條 證券公司應(yīng)對證券營業(yè)部安裝使用的應(yīng)用軟件進(jìn)行統(tǒng)一管理，證券營業(yè)部不得擅自安裝與業(yè)務(wù)及技術(shù)維護(hù)無關(guān)的應(yīng)用軟件。

第三章 運(yùn)維管理

第二十五條 證券公司應(yīng)加強(qiáng)證券營業(yè)部機(jī)房管理，確保任何人員未經(jīng)許可不得擅自挪動機(jī)房內(nèi)設(shè)備、更改網(wǎng)絡(luò)線路，外來人員未經(jīng)允許不得進(jìn)出機(jī)房。機(jī)房內(nèi)不得安置易燃易爆及強(qiáng)磁物品。

第二十六條 證券公司應(yīng)加強(qiáng)證券營業(yè)部網(wǎng)絡(luò)配置、訪問控制、安全審計等網(wǎng)絡(luò)管理，確保證券營業(yè)部的網(wǎng)絡(luò)設(shè)備按最小安全訪問原則設(shè)置訪問控制權(quán)限，每一次變更后及時更新備份網(wǎng)絡(luò)設(shè)備的配置信息。

第二十七條 證券公司應(yīng)加強(qiáng)證券營業(yè)部設(shè)備選型、購置、登記、保養(yǎng)、維修、報廢等設(shè)備管理，確保對關(guān)鍵設(shè)備建立維護(hù)檔案。

第二十八條 證券公司應(yīng)加強(qiáng)證券營業(yè)部數(shù)據(jù)備份、存放、保密、調(diào)閱、銷毀等數(shù)據(jù)管理，確保證券營業(yè)部指定專人負(fù)責(zé)數(shù)據(jù)管理，數(shù)據(jù)調(diào)閱須經(jīng)審批，且不得對外泄露。

第二十九條 證券公司應(yīng)加強(qiáng)證券營業(yè)部技術(shù)文檔的收集、更新、保管、借閱等管理，確保證券營業(yè)部根據(jù)信息系 統(tǒng)的變更情況及時更新技術(shù)文檔。證券營業(yè)部技術(shù)文檔包括但不限于機(jī)房平面圖、供配電圖、網(wǎng)絡(luò)拓?fù)鋱D、信息點(diǎn)對照表、系統(tǒng)手冊、應(yīng)急預(yù)案、運(yùn)維日志、設(shè)備維護(hù)檔案等資料。

第三十條 證券公司應(yīng)確保證券營業(yè)部在關(guān)鍵系統(tǒng)和關(guān)鍵設(shè)備的用戶管理上遵循權(quán)限最小化原則，建立用戶和權(quán)限的清單，定期進(jìn)行檢查核對。用戶和權(quán)限變更應(yīng)執(zhí)行相關(guān)審批流程，并保留完整的變更記錄。

第三十一條 證券公司應(yīng)確保證券營業(yè)部關(guān)鍵系統(tǒng)和關(guān)鍵設(shè)備的管理員用戶密碼實(shí)行專人管理，采用不低于8位的復(fù)合密碼，每半年至少更換一次。發(fā)生人員變動時應(yīng)及時更新密碼。

第三十二條 證券公司應(yīng)統(tǒng)一管理和指導(dǎo)證券營業(yè)部進(jìn)行生產(chǎn)環(huán)境下的測試工作，制定詳細(xì)的測試計劃，并確保做好系統(tǒng)、數(shù)據(jù)和應(yīng)用程序測試前的備份工作。測試完成后做好系統(tǒng)的恢復(fù)和驗證等工作。

第三十三條 證券公司應(yīng)確保證券營業(yè)部在供電、網(wǎng)絡(luò)通信、服務(wù)器、現(xiàn)場交易服務(wù)相關(guān)系統(tǒng)等關(guān)鍵設(shè)備或系統(tǒng)變更時經(jīng)過嚴(yán)格的測試。

第三十四條 證券公司應(yīng)確保證券營業(yè)部在信息系統(tǒng)變更前制定詳細(xì)的變更方案和變更應(yīng)急預(yù)案，并做好系統(tǒng)和數(shù)據(jù)的備份。

第三十五條 除故障應(yīng)急外，證券公司應(yīng)確保證券營業(yè)部在交易時間內(nèi)不得進(jìn)行任何與現(xiàn)場交易服務(wù)相關(guān)的信息系統(tǒng)變更操作。

第三十六條 證券公司應(yīng)確保A型證券營業(yè)部具備完善的監(jiān)控體系，以對信息系統(tǒng)的運(yùn)行環(huán)境、運(yùn)行狀況等進(jìn)行定時監(jiān)控和事后分析。

第三十七條 證券公司應(yīng)確保A型和B型證券營業(yè)部對系統(tǒng)運(yùn)維日志進(jìn)行規(guī)范管理，日常操作及異常事件處理均應(yīng)在系統(tǒng)運(yùn)維日志中詳細(xì)記錄。運(yùn)維日志可采用電子文檔或紙質(zhì)件記錄，并妥善保管，保留期限不少于2年。

第三十八條 證券公司應(yīng)確保證券營業(yè)部每半年檢查電力、機(jī)房空調(diào)、消防等設(shè)施，每季度選擇非交易時間進(jìn)行UPS電池的充放電測試，并詳細(xì)記錄。

第三十九條 證券公司根據(jù)需要可外包B型和C型證券營業(yè)部的信息系統(tǒng)運(yùn)維工作。運(yùn)維外包應(yīng)滿足但不限于以下要求：

（一）運(yùn)維外包服務(wù)人員滿足本指引第五條的相關(guān)要求。

（二）與外包服務(wù)提供單位簽訂外包合同與保密協(xié)議，確保信息系統(tǒng)安全運(yùn)行、風(fēng)險可控。

（三）外包人員不得具備業(yè)務(wù)系統(tǒng)操作權(quán)限。

第四章 安全管理 第四十條 證券公司應(yīng)加強(qiáng)證券營業(yè)部網(wǎng)絡(luò)安全管理，確保證券營業(yè)部不得擅自對外互聯(lián)或設(shè)立網(wǎng)站。如確有必要，證券公司應(yīng)對網(wǎng)站的設(shè)立和維護(hù)進(jìn)行統(tǒng)一管理。

第四十一條 證券公司應(yīng)確保證券營業(yè)部加強(qiáng)計算機(jī)終端的管理，記錄網(wǎng)卡地址，防止非法使用。未經(jīng)許可，不得將客戶和員工的自備計算機(jī)接入證券營業(yè)部網(wǎng)絡(luò)。

證券營業(yè)部提供無線網(wǎng)絡(luò)服務(wù)的，證券公司應(yīng)統(tǒng)一制定證券營業(yè)部無線網(wǎng)絡(luò)使用規(guī)范，采取有效的無線網(wǎng)絡(luò)準(zhǔn)入控制措施，登記并記錄無線接入設(shè)備的信息。

第四十二條 證券公司應(yīng)確保證券營業(yè)部加強(qiáng)客戶和員工訪問互聯(lián)網(wǎng)的管理，出現(xiàn)網(wǎng)絡(luò)違法犯罪情況時應(yīng)及時配合公安機(jī)關(guān)進(jìn)行處理。

第四十三條 證券公司應(yīng)確保證券營業(yè)部及時更新系統(tǒng)補(bǔ)丁、升級系統(tǒng)安全防護(hù)軟件，定期進(jìn)行全面的病毒和木馬檢測，發(fā)現(xiàn)病毒和木馬立即處理并報告。移動存儲、外來電子文檔、軟件系統(tǒng)使用前應(yīng)進(jìn)行病毒和木馬查殺。

第四十四條 證券公司應(yīng)統(tǒng)一制定證券營業(yè)部信息系統(tǒng)故障應(yīng)急處理流程，并確保證券營業(yè)部建立信息系統(tǒng)應(yīng)急預(yù)案并及時更新。

第四十五條 證券公司應(yīng)確保證券營業(yè)部每年至少進(jìn)行兩次應(yīng)急演練，并留存演練記錄。

第四十六條 證券營業(yè)部發(fā)生影響交易業(yè)務(wù)的技術(shù)故障時，證券公司應(yīng)立即啟動應(yīng)急預(yù)案，盡快恢復(fù)交易業(yè)務(wù)，并按有關(guān)要求及時上報公司和證券營業(yè)部所在地監(jiān)管部門。應(yīng)急事件處理完成后，應(yīng)以書面形式上報公司和證券營業(yè)部所在地監(jiān)管部門。

第五章 附則

第四十七條 中國證券業(yè)協(xié)會對證券公司執(zhí)行本指引的情況進(jìn)行指導(dǎo)和檢查。

第四十八條 本指引由中國證券業(yè)協(xié)會負(fù)責(zé)解釋。第四十九條 本指引自發(fā)布之日起施行。

第三篇：2--證券公司參與支付業(yè)務(wù)信息系統(tǒng)技術(shù)指引

證券公司參與支付業(yè)務(wù)信息系統(tǒng)技術(shù)指引

第一章 總則

第一條 為推動證券公司支付系統(tǒng)建設(shè)、管理、運(yùn)行的規(guī)范化和標(biāo)準(zhǔn)化，依據(jù)《中華人民共和國證券法》、中國人民銀行規(guī)章文件、中國證監(jiān)會規(guī)章文件和中國證券業(yè)協(xié)會自律規(guī)則的有關(guān)規(guī)定制定本技術(shù)指引。

第二條 本指引所指的支付系統(tǒng)，是指各參與方支撐證券公司參與支付業(yè)務(wù)運(yùn)行的網(wǎng)絡(luò)與信息系統(tǒng)。各參與方包括參與支付業(yè)務(wù)的證券公司、支付服務(wù)機(jī)構(gòu)（包括行業(yè)支付服務(wù)機(jī)構(gòu)、第三方支付機(jī)構(gòu)、商業(yè)銀行等）以及提供數(shù)據(jù)交換服務(wù)的機(jī)構(gòu)（以下簡稱為“中介服務(wù)機(jī)構(gòu)”）。

第三條 本指引中所提出的各項要求，是支撐證券公司開展支付業(yè)務(wù)相關(guān)系統(tǒng)應(yīng)達(dá)到的基本要求。證券公司在參與支付業(yè)務(wù)時自建或所選用的相關(guān)合作方系統(tǒng)應(yīng)符合本指引規(guī)定的相關(guān)要求。

第四條 中國證券業(yè)協(xié)會（以下簡稱“協(xié)會”）依據(jù)本指引對參與支付業(yè)務(wù)的證券公司實(shí)施自律管理。

第二章 系統(tǒng)建設(shè)

第五條 支付系統(tǒng)建設(shè)應(yīng)遵循松耦合、可擴(kuò)展、可靠性、安全性原則，應(yīng)充分利用行業(yè)信息化公共基礎(chǔ)設(shè)施實(shí)現(xiàn)資源的優(yōu)化配置，系統(tǒng)功能應(yīng)滿足支付業(yè)務(wù)的相關(guān)業(yè)務(wù)需求、內(nèi)控及監(jiān)管要求。

第六條 證券公司支付系統(tǒng)與其他各參與方的系統(tǒng)對接應(yīng)遵循總對總原則，聯(lián)接方式既可以采用直聯(lián)，也可以通過相關(guān)中介服務(wù)機(jī)構(gòu)進(jìn)行聯(lián)接。

第七條 支付系統(tǒng)數(shù)據(jù)交換接口定義應(yīng)科學(xué)規(guī)范、統(tǒng)一標(biāo)準(zhǔn)，并具有良好的可擴(kuò)展性。在時機(jī)成熟時，應(yīng)全面推廣使用行業(yè)標(biāo)準(zhǔn)數(shù)據(jù)交換接口。

第八條 證券公司支付系統(tǒng)應(yīng)與其他各參與方之間至少建立兩條不同運(yùn)營商或不同類型的通信線路，各條通信線路之間互為備份，線路帶寬能夠滿足業(yè)務(wù)需要并留有冗余。

第九條 支付系統(tǒng)在進(jìn)行文件交換時，應(yīng)校驗文件的合法性、真實(shí)性和完整性。

第十條 支付系統(tǒng)處理性能應(yīng)滿足業(yè)務(wù)開展的要求，性能應(yīng)達(dá)到：支付類業(yè)務(wù)的處理能力大于每百萬客戶50 筆/秒；查詢類業(yè)務(wù)的處理能力大于每百萬客戶150 筆/秒；單筆業(yè)務(wù)最長處理時間小于20秒。

第十一條 支付系統(tǒng)應(yīng)配備獨(dú)立的測試系統(tǒng)。測試規(guī)程應(yīng)包括單項測試、聯(lián)合測試、系統(tǒng)備份及恢復(fù)等環(huán)節(jié)。測試內(nèi)容應(yīng)包括業(yè)務(wù)流程測試、全覆蓋性的功能測試、部署環(huán)境與運(yùn)行模塊測試、壓力與性能測試等。

第十二條 證券公司應(yīng)按照《證券市場交易結(jié)算資金監(jiān)控系統(tǒng)證券公司接口規(guī)范》以及中國證監(jiān)會的相關(guān)要求進(jìn)行系統(tǒng)建設(shè)和數(shù)據(jù)報送。

第十三條 支付系統(tǒng)應(yīng)具備支付類交易、清算的對賬與調(diào)賬機(jī)制。

第三章 安全保障

第十四條 支付系統(tǒng)應(yīng)從系統(tǒng)安全性、應(yīng)用安全性、物理安全性、信息處理安全性、網(wǎng)絡(luò)安全性、數(shù)據(jù)安全性等方面進(jìn)行安全風(fēng)險控制。系統(tǒng)整體的安全防護(hù)能力應(yīng)不低于《證券期貨業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》二級技術(shù)要求。

第十五條 支付系統(tǒng)的備份建設(shè)應(yīng)按照《證券期貨經(jīng)營機(jī)構(gòu)信息系統(tǒng)備份能力標(biāo)準(zhǔn)》中實(shí)時系統(tǒng)的相關(guān)規(guī)定執(zhí)行。

第十六條 證券公司應(yīng)合理劃分支付系統(tǒng)各子系統(tǒng)的安全域，在不同的系統(tǒng)安全域之間進(jìn)行有效隔離，同時做好支付系統(tǒng)與外部系統(tǒng)，如交易系統(tǒng)、賬戶系統(tǒng)、業(yè)務(wù)終端和網(wǎng)站后臺管理等系統(tǒng)的有效隔離。

第十七條 證券公司應(yīng)對支付系統(tǒng)做好病毒、木馬和惡意代碼的防護(hù)措施，定期掃描系統(tǒng)，及時升級系統(tǒng)補(bǔ)丁和病毒庫，防范安全漏洞。

第十八條 證券公司應(yīng)做好支付門戶網(wǎng)站的監(jiān)控與安全管理。支付門戶網(wǎng)站應(yīng)具備防范SQL注入、跨站腳本、網(wǎng)頁篡改、Session欺騙、拒絕式服務(wù)攻擊和緩沖區(qū)溢出等攻擊的能力?？啥ㄆ谄刚垖I(yè)安全機(jī)構(gòu)對網(wǎng)站實(shí)施滲透測試，對SQL注入、跨站腳本等WEB漏洞進(jìn)行檢測。證券公司發(fā)現(xiàn)釣魚網(wǎng)站，應(yīng)及時報告，并在其支付門戶網(wǎng)站醒目位置進(jìn)行風(fēng)險揭示。

第十九條 證券公司應(yīng)做好支付系統(tǒng)客戶端（含移動終端）的安全管理，程序應(yīng)具備防木馬、防篡改、防密碼竊取能力，前臺與后臺的通信應(yīng)采用加密機(jī)制。

第二十條 證券公司應(yīng)做好支付網(wǎng)關(guān)與其他參與方網(wǎng)關(guān)間的連接互信認(rèn)證，應(yīng)采用數(shù)字證書對報文加密、關(guān)鍵域簽名等方式保障數(shù)據(jù)傳輸?shù)陌踩浴?/p>

第二十一條 支付系統(tǒng)應(yīng)采用數(shù)字證書、動態(tài)口令、短信密碼等身份認(rèn)證機(jī)制提高安全性，防竊取、防篡改。

第二十二條 證券公司應(yīng)加密存儲支付系統(tǒng)的關(guān)鍵數(shù)據(jù)，保證傳輸過程中的數(shù)據(jù)完整性。對數(shù)據(jù)庫的操作應(yīng)有日志留痕，應(yīng)定期備份數(shù)據(jù)以滿足恢復(fù)需要。支付交易數(shù)據(jù)應(yīng)至少保存20年。

第二十三條 證券公司應(yīng)建立網(wǎng)絡(luò)防火墻隔離機(jī)制，對網(wǎng)絡(luò)外部邊界訪問策略進(jìn)行最小化管理并部署防火墻等安全設(shè)備。支付網(wǎng)關(guān)對外應(yīng)關(guān)閉所有與業(yè)務(wù)和維護(hù)無關(guān)的服務(wù)及端口。

第二十四條 證券公司網(wǎng)絡(luò)與安全設(shè)備的訪問口令不能使用缺省口令及弱密碼，管理員密碼應(yīng)由指定人員設(shè)置并定期修改。

第二十五條 證券公司應(yīng)做好支付相關(guān)系統(tǒng)網(wǎng)絡(luò)信息安全事件監(jiān)控工作，監(jiān)控工作應(yīng)至少包括以下內(nèi)容：能夠發(fā)現(xiàn)常見的網(wǎng)絡(luò)信息安全攻擊事件，并及時做好防范措施；能夠?qū)Πl(fā)生的網(wǎng)絡(luò)信息安全事件進(jìn)行有效控制、隔離與遏制，并及時做好應(yīng)急措施；能夠?qū)W(wǎng)絡(luò)信息安全態(tài)勢進(jìn)行準(zhǔn)確分析與預(yù)測，不斷提高網(wǎng)絡(luò)信息安全事件監(jiān)控、預(yù)防、應(yīng)急處置能力。

第四章 運(yùn)維管理

第二十六條 證券公司應(yīng)建立與其他各參與方的技術(shù)溝通協(xié)調(diào)機(jī)制，成立由各參與方共同組成的技術(shù)協(xié)調(diào)小組，就系統(tǒng)重大變更、重大問題及安全情況進(jìn)行溝通、協(xié)調(diào)和通報。

第二十七條 支付系統(tǒng)運(yùn)營應(yīng)建立完備的系統(tǒng)監(jiān)控機(jī)制，將支付系統(tǒng)監(jiān)控納入證券公司信息系統(tǒng)統(tǒng)一監(jiān)控范圍的要求，對系統(tǒng)的運(yùn)行環(huán)境、運(yùn)行狀況進(jìn)行實(shí)時監(jiān)控。監(jiān)控記錄應(yīng)至少保存一年。

第二十八條 證券公司應(yīng)建立支付系統(tǒng)的軟件升級、變更等流程規(guī)范，確保變更的請求發(fā)起、開發(fā)測試、發(fā)布實(shí)施等工作規(guī)范開展。

第二十九條 證券公司應(yīng)安排專人負(fù)責(zé)支付系統(tǒng)測試。聯(lián)合測試時應(yīng)成立由各參與方信息技術(shù)管理及相關(guān)業(yè)務(wù)管理部門組成的聯(lián)合測試小組，共同制定測試方案及預(yù)期測試結(jié)果，對測試結(jié)果進(jìn)行記錄、評估和確認(rèn)。

第三十條 各參與方應(yīng)建立容量管理制度，實(shí)時監(jiān)測系統(tǒng)資源，定期分析評估系統(tǒng)容量，及時調(diào)整資源配置。

第五章 應(yīng)急處置

第三十一條 證券公司應(yīng)建立跨行業(yè)的應(yīng)急處理組織體系，并制定相應(yīng)的應(yīng)急預(yù)案及應(yīng)急協(xié)調(diào)機(jī)制。應(yīng)急預(yù)案應(yīng)納入行業(yè)的應(yīng)急預(yù)案體系，并按照有關(guān)規(guī)定定期組織聯(lián)合演練。

第三十二條 證券公司應(yīng)妥善處置支付系統(tǒng)發(fā)生的信息安全事件。任何一方出現(xiàn)預(yù)警信息或者發(fā)生信息安全事件時，應(yīng)按照《證券期貨業(yè)信息安全事件報告與調(diào)查處理辦法》中第三方存管系統(tǒng)相關(guān)要求及《證券期貨業(yè)網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》相關(guān)規(guī)定執(zhí)行。

第三十三條 各參與方應(yīng)建立資金交收應(yīng)急預(yù)案，避免出現(xiàn)因資金交收異常造成客戶資金出現(xiàn)缺口或擠占其他客戶資金的情況。

第六章 自律管理

第三十四條 協(xié)會應(yīng)對證券公司執(zhí)行本指引的情況組織定期或不定期的現(xiàn)場檢查或非現(xiàn)場檢查。檢查內(nèi)容包括但不限于技術(shù)方案、系統(tǒng)部署、測試報告、容量規(guī)劃、運(yùn)維流程、安全措施、應(yīng)急預(yù)案。

第三十五條 證券公司應(yīng)配合協(xié)會進(jìn)行檢查，不得以任何理由拒絕、拖延提供有關(guān)資料，或者提供不真實(shí)、不準(zhǔn)確、不完整的資料。

第七章 附則

第三十六條 本指引由協(xié)會負(fù)責(zé)解釋。第三十七條 本指引自發(fā)布之日起施行。

第四篇：2013《證券公司證券營業(yè)部信息技術(shù)指引》C13024解讀

C13024《證券公司證券營業(yè)部信息技術(shù)指引》解讀

一、單項選擇題

1.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，（A）應(yīng)全面負(fù)責(zé)證券營業(yè)部信息技術(shù)管理，統(tǒng)一制定證券營業(yè)部信息技術(shù)建設(shè)、運(yùn)維、安全等管理制度。A.證券公司

B.證券公司分支機(jī)構(gòu) C.證券營業(yè)部

D.證券公司區(qū)域中心

2.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，部署證券公司網(wǎng)上交易站點(diǎn)的證券營業(yè)部，或作為其他證券營業(yè)部網(wǎng)絡(luò)通信匯聚節(jié)點(diǎn)且所連接的證券營業(yè)部中提供現(xiàn)場交易的證券營業(yè)部，視同為（B）型證券營業(yè)部。A.C B.A C.B D.D

3.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，證券公司應(yīng)確保A型和B型證券營業(yè)部提供至少（A）種相互獨(dú)立的行情揭示系統(tǒng)、委托方式。A.2 B.1 C.4 D.3

4.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，證券公司與證券營業(yè)部之間應(yīng)采用至少（C）條不同運(yùn)營商或不同介質(zhì)的通信線路。A.4 B.3 C.2 D.1

二、多項選擇題

5.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的相關(guān)要求，機(jī)房供電應(yīng)滿足如下要求（ABCD）。

A.相關(guān)電器設(shè)備、電線應(yīng)與機(jī)柜用電負(fù)載相適應(yīng)，并留有余量 B.應(yīng)配置UPS電源，并不得將與業(yè)務(wù)無關(guān)的設(shè)備接入UPS電源

C.應(yīng)具有獨(dú)立于一般照明電的專用供電線路，設(shè)有獨(dú)立的配電柜或配電箱 D.市電插座與UPS插座應(yīng)嚴(yán)格區(qū)分，插座面板應(yīng)有提示性的標(biāo)識或標(biāo)簽

6.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的相關(guān)要求，機(jī)房建設(shè)應(yīng)滿

足以下要求（ABCD）。

A.避讓主干電力電纜穿越場所，避讓供水、消防管網(wǎng)經(jīng)過；設(shè)備放置處應(yīng)考慮地面承重，應(yīng)盡量選擇有主干墻、承重墻的位置放置，必要時應(yīng)進(jìn)行地面加固 B.選擇通信設(shè)施健全，相對安全、易于管理的區(qū)域 C.應(yīng)配備應(yīng)急照明裝置及防火防盜門等有效安保設(shè)施

D.盡量避讓建筑物頂層、地下室、用水設(shè)備的下層或隔壁以及易漏雨、易滲水和易遭雷擊的區(qū)域，避開易發(fā)生火災(zāi)危險的區(qū)域

三、判斷題

7.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，證券公司應(yīng)對證券營業(yè)部與客戶建立的網(wǎng)絡(luò)連接進(jìn)行審批，對連接方式進(jìn)行統(tǒng)一規(guī)劃和管理，并采取安全措施，實(shí)現(xiàn)有效隔離。（對）

正確

錯誤

8.證券公司需根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，建設(shè)證券營業(yè)部的信息系統(tǒng)，不可以自主選擇證券營業(yè)部信息系統(tǒng)建設(shè)模式。（錯）

正確

錯誤

9.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，證券公司應(yīng)確保證券營業(yè)部局域網(wǎng)與公司廣域網(wǎng)、互聯(lián)網(wǎng)實(shí)現(xiàn)有效隔離。（對）

正確

錯誤

10.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，證券公司應(yīng)為A型和B型證券營業(yè)部至少配備一名專職技術(shù)人員。（錯）正確 錯誤

第五篇：《證券公司證券營業(yè)部信息技術(shù)指引》解讀答案 80分

一、單項選擇題

1.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，機(jī)房應(yīng)具備獨(dú)立空調(diào)系統(tǒng)，使機(jī)房溫度保持在（A）范圍內(nèi)。

A.23℃±5℃ B.25℃±3℃ C.25℃±5℃ D.23℃±3℃

2.在營業(yè)場所內(nèi)未部署與現(xiàn)場交易服務(wù)相關(guān)的信息系統(tǒng)且不提供現(xiàn)場交易服務(wù)。采用該類型信息系統(tǒng)建設(shè)模式的證券營業(yè)部，在《證券公司證券營業(yè)部信息技術(shù)指引》中簡稱為（C）型證券營業(yè)部。

A.B B.C C.A D.D 3.在營業(yè)場所內(nèi)未部署與現(xiàn)場交易服務(wù)相關(guān)的信息系統(tǒng)，但依托公司總部或其他證券營業(yè)部的信息系統(tǒng)為客戶提供現(xiàn)場交易服務(wù)。采用該類型信息系統(tǒng)建設(shè)模式的證券營業(yè)部在《證券公司證券營業(yè)部信息技術(shù)指引》中被稱為（B）型營業(yè)部。

A.C B.B C.D D.A 4.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，A型和B型證券營業(yè)部應(yīng)至少配備一種持續(xù)供電方式，在市電中斷情況下，保證不低于（A）的現(xiàn)場交易終端或同等支持能力的其他交易終端在交易時間內(nèi)持續(xù)工作。

A.30% B.25% C.20% D.35%

二、多項選擇題

5.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的相關(guān)要求，機(jī)房選址應(yīng)滿足的要求包含（ABCD）。

A.遠(yuǎn)離強(qiáng)震源、強(qiáng)磁場源和強(qiáng)噪聲源，遠(yuǎn)離電磁干擾源或?qū)嵤┯行щ姶鸥蓴_防護(hù)；遠(yuǎn)離產(chǎn)生粉塵、油煙、有害氣體以及具有腐蝕性、易燃、易爆物品的工廠、倉庫等場所

B.選擇具備可靠供電的場所 C.盡量避免低洼地帶

D.符合當(dāng)?shù)乜拐饛?qiáng)度要求；符合當(dāng)?shù)叵乐鞴懿块T的消防安全要求

6.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的相關(guān)要求，（）型營業(yè)部可以不設(shè)機(jī)房。CA

A.C B.D C.B D.A

三、判斷題 7.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，證券營業(yè)部提供無線網(wǎng)絡(luò)服務(wù)的，應(yīng)由提供該服務(wù)的證券營業(yè)部制定證券營業(yè)部無線網(wǎng)絡(luò)使用規(guī)范，采取有效的無線網(wǎng)絡(luò)準(zhǔn)入控制措施，登記并記錄無線接入設(shè)備的信息。（A）

正確 錯誤

8.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，A型、B型、C型證券營業(yè)部的通信線路中應(yīng)有一條為地面數(shù)據(jù)專線。（B）

正確 錯誤

9.證券公司需根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，證券營業(yè)部采用結(jié)構(gòu)化綜合布線系統(tǒng)的，綜合布線應(yīng)符合《建筑與建筑群綜合布線工程系統(tǒng)設(shè)計規(guī)范》（GBT/T 50311）要求。（A）

正確 錯誤

10.根據(jù)《證券公司證券營業(yè)部信息技術(shù)指引》的規(guī)定，C型證券營業(yè)部至少配備一名兼職技術(shù)人員，并制定頂崗、備崗等相關(guān)制度，確保在交易時間內(nèi)有技術(shù)人員值守。（C）

正確 錯誤