各证券监管办公室、证券监管特派员办事处:
为落实《证券经营机构营业部信息系统技术管理规范》(证监信字[1998]2号)(以下简称《规范》),有效地解决计算机2000年问题,切实防范和化解系统风险,我会决定于1999年4月至6月对证券经营机构总部及其营业部信息系统落实《规范》情况进行检查,现就有关事项通知如下:
一、各地证监会监管机构要充分认识本次检查工作的重要性,督促辖区内各证券经营机构认真学习《规范》和有关文件,全面布署,周密安排,确保系统安全升级,严防走过场。
二、中国证监会负责本次检查的组织与协调工作,并聘请有关技术专家成立独立检查专家组,参与抽查,对检查中的有关技术问题进行评估;各地证监会监管机构负责督促辖区内证券经营机构和营业部的自查,并实施现场检查。
三、检查采取全面自查与现场检查相结合的方法,分三个阶段进行。
第一阶段:各证券经营机构总部和营业部分别对照《证券经营机构总部〈规范〉落实情况自查项目》、《证券经营机构营业部〈规范〉落实情况自查项目》和《证券经营机构及营业部信息系统自查表》进行自查。发现问题,提出改进措施。自查结果于1999年 4月30日前报当地证监会监管机构。
第二阶段:各地证监会监管机构对辖区内50%以上的证券经营机构和营业部组织现场检查。与此同时,中国证监会组织独立检查专家组会同当地证监会监管机构对证券经营机构总部和营业部进行抽查。本阶段工作于1999年6月底前完成。
现场检查和抽查的方法包括审定与本次检查有关的文件和系统、进行实地检查和必要的上机验证。
第三阶段:各证券经营机构总部、各证券营业部分别做出总结,并填写《证券经营机构总部〈规范〉检查结果报告标准格式》、《证券经营机构营业部〈规范〉检查结果报告标准格式》(另行印发),报送当地证监会监管机构汇总后报中国证监会。
四、检查实行“检查过程和检查结果统一披露”的原则,未经批准,任何单位和个人不得擅自披露被检查对象检查过程与结果的有关信息、涉及商业秘密的系统配置或其他技术细节。
五、中国证监会将于近期组织各地证监会监管机构和证券经营机构进行有关落实《规范》情况检查的培训,并根据需要适时组织技术交流。培训时间和安排另行通知。
请各地证监会监管机构将本通知转发辖区内证券经营机构总部、证券营业部和基金管理公司。本通知在中国证监会国际互联网站点(www.csrc.gov.cn)同时发布。
联系人:辛治运、许 强
联系电话:(010)88061318、88061319
传 真:(010)88061314
1、《证券经营机构总部〈规范〉落实情况自查项目》
2、《证券经营机构营业部〈规范〉落实情况自查项目》
3、《证券经营机构总部及营业部信息系统自查表》
中国证券监督管理委员会(代章)
一九九九年三月三十一日
证券经营机构总部《规范》落实情况自查项目
本次检查所涉及内容是评估证券经营机构信息系统技术管理水平和业务经营资格的依据之一;被检查单位对所提供信息的真实性负责。
证券经营机构名称(盖章)
法人代表(签字)
检查日期
1、公司总部是否已设立计算机信息系统管理部门?
□ 是 □ 否
2、公司计算机安全管理是否已指定一个职能部门负责?
□ 是 □ 否
3、信息技术人员管理制度包括哪些内容?
4、设备管理制度包括哪些内容?
5、软件管理制度包括哪些内容?
6、数据管理制度包括哪些内容?
7、机房安全管理制度包括哪些内容?
8、病毒防范制度包括哪些内容?
9、技术资料管理制度包括哪些内容?
10、操作安全管理制度包括哪些内容?
11、公司如何对信息技术人员进行统一培训和考核?
12、公司如何对营业部交易业务系统软件实行集中统一管理?
13、公司如何对计算机硬件设备统一选型?
14、公司如何对所有营业部交易数据进行集中异地备份?
15、公司如何建立技术监管系统?
16、公司如何与下属所有营业部通信联网?
17、公司有哪些落实《规范》的具体措施?
证券经营机构营业部《规范》落实情况自查项目
本次检查所涉及内容是评估证券营业部信息系统技术管理水平和业务经营资格的依据之一;被检查单位对所提供信息的真实性负责。
营业部名称(盖章)
营业部负责人(签字)
填表日期
一、管理体系
1、是否建立了系统运行日志? □是 □否
2、是否建立了数据管理制度? □是 □否
3、是否建立了机房安全管理制度? □是 □否
4、是否建立了操作安全管理制度? □是 □否
5、是否建立了计算机病毒防范制度? □是 □否
6、是否制定了技术资料管理制度? □是 □否
7、系统运行日志包括哪些内容?
8、数据管理制度包括哪些内容?
9、机房安全管理制度包括哪些内容?
10、操作安全管理制度包括哪些内容?
11、对计算机病毒采取了哪些防范措施?
12、技术资料管理制度包括哪些内容?
13、专职信息技术人员是否达到了不少于总人数10%的要求? □是 □否
14、公司总部电脑中心是否设置数据库管理员岗位? □是 □否
15、数据库管理系统口令是否由电脑中心统一掌管? □是 □否
16、专职信息技术人员是否不兼职清算等业务操作岗位? □是 □否
二、硬件设施
1、计算机的供电系统是否与一般照明及其它电路相独立? □是 □否
2、计算机的供电系统是否符合《规范》的各项要求?
3、计算机的接地与防雷系统是否符合《规范》的各项要求?
4、计算机机房的操作间与设备间是否分隔? □是 □否
5、与交易所的通信系统是否有备份? □是 □否
6、网络设备是否有冗余备份? □是 □否
7、是否与公司总部有通信线路联接?
□ DDN □ 卫星 □ 拨号线
□ 帧中继 □ 其它 □ 没有
8、供电系统是否有备份?
□ 双路供电 □ 4小时及以下延时UPS
□ 4小时以上延时UPS
□ 备用发电机 □ 其它 □ 没有
9、计算机机房面积:
□ 大于等于30 m2 □ 小于30 m2
10、服务器具有的容错特征:
□ 镜像 □ 阵列 □ 双机热备份
□ 群集 □其它 □无容错
11、采取什么措施保证服务器可靠运行?
12、如何做到网络结构可靠与合理?
13、数据备份设备是:
□ 硬盘 □ 磁带机 □ 光盘
□ 其它 □ 没有
三、软件环境
1、网络操作系统是否达到C2安全级别?□是 □否
2、采取什么措施使网络操作系统达到C2安全级别 ?
3、数据库系统是否达到C2安全级别? □是 □否
4、操作人员是否经过操作培训? □是 □否
5、开发人员是否与操作人员实行岗位分离? □是 □否
6、交易业务处理系统是否存有一年以上的交易业务数据? □是 □否
7、网络操作系统是否启用安全审计功能?
□已启用 □未启用 □无审计功能
8、数据库系统是否启用安全审计功能 ?
□已启用 □未启用 □无审计功能
9、所有业务处理软件投入使用前是否经过公司批准?
□全部经批准 □部分经批准 □未经批准
10、前台与后台软件隔离方式:
□前台间接访问后台 □前台直接访问后台
11、如何实现前台与后台软件隔离?
12、网络与数据的隔离方式:
□ 网络用户不可访问交易数据
□ 网络用户可访问交易数据
13、如何实现客户操作与核心数据库的隔离?
14、在一个新的应用软件投入使用前通常做了哪些准备工作?
四、数据管理
1、交易业务数据是否进行了备份? □是 □否
2、交易业务数据是否已异地存放? □是 □否
3、备份数据存放地点是否具备如下数据贮存条件
□防火 □防热 □防潮
□防尘 □防磁 □防盗
4、系统数据是如何管理的?
5、调整交易业务数据的审批程序是怎样的?
6、描述一下对数据保密采取的措施?
五、技术事故的防范与处理
1、是否有书面的技术事故应急计划? □是 □否
2、应急计划是否张贴在规定的地方? □是 □否
3、应急计划是否定期演习?
□每月一次 □每季一次 □每年一次
□不演习
4、已经对哪些可能发生的故障类型制定了应急计划?
六、网上交易
1、是否已开展网上委托业务? □是 □否
2、如果已开展网上交易:
□采取何种安全防范措施?
□采取何种网络隔离方式?
□网上开户数量:
□每日网上平均成交股票与资金数量:
3、 是否已开通银证联网业务? □是 □否
4、如何确保资金数据的安全传输?
中国证券监督管理委员会
粤公网安备 44010602002221号