公司信息系统安全管理
一、总 则
(一)为了防止公司信息系统遭受人为破坏,病毒、黑客攻击,重要数据丢失、泄密。保证公司各项业务安全、稳定、高效运行,防范和化解技术风险,根据《中华人民共和国计算机信息系统安全保护条例》、《证券经营机构营业部信息系统技术管理规范》及有关规定制定本制度。
(二)公司信息技术工作应在本制度指引下,本着“安全第一”的原则进行。 (三)本制度适用于公司总部、区域数据中心及各营业部。
二、安全管理组织
(一)公司总裁主管计算机安全工作,分支机构负责人为该分支机构计算机安全工作责任人。
(二)公司计算机安全管理组织由电脑中心、安全保卫部、行政办公室、经纪业务管理部、计划财务部、审计稽核部等职能部门组成,由公司总裁直接领导。
(三)电脑中心的安全管理组织由电脑中心负责人及中心部门经理组成。 (四)营业部的安全管理组织由营业部负责人及部门经理组成。
(五)公司安全管理组织的职责包括:建立健全公司各种安全制度、对公司各类信息的重要性进行评估为其安全级别的制定提供依据、对安全各级安全管理组织有关报告的讨论和批复、安全事故处理结果的公布、取得法律支持以解决信息系统入侵者的问题,以及进行安全教育和安全检查。
(六)部门安全管理组织的职责包括:监督和检查各项安全管理制度在本部门的落实情况、定期向公司安全管理组织提交工作报告、处理公司安全管理组织授权的事务、配合公司安全管理组织的工作、开展计算机安全教育、保证本部门信息系统安全运行。
三、用户及权限的管理
(一)系统软件应做相应配置以保证具备如下功能: 1、身份验证功能,防止非法用户随意进入系统;
2、访问控制功能,防止系统中出现越权访问,防止因中断等发生的非受控访问; 3、故障恢复功能,能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混乱数据丢失;
4、安全保护功能,对信息的交换、传输、存储提供安全保护; 5、安全审计功能,便于应用系统建立访问用户资源的审计记录; 6、分权制约功能,支持对操作员和管理员的权限分离与相互制约。 (二)必须启用系统软件提供的安全审计留痕功能。
(三)数据库管理软件除应具有系统软件上述功能要求外,还应具有数据库的安全性、完整性、一致性及可恢复性保障机制。
(四)对帐户管理的一般性原则:
1、应对具有系统管理、数据库管理等特殊权限的帐户进行限制,限制其数量、登录地点(仅允许在机房和自己的工作地点登录)、登录时间(同一时间仅允许同一用户登录一次允许远程访问时必须设定回拨方式)等;
2、杜绝无口令的登录帐户,删除GUEST帐户;
3、对口令长度、复杂程度、有效期、重复使用的间隔等进行规定;
4、及时锁定过期帐户、暂停使用的帐户、多次试图使用无效口令登录的帐户,临时授权帐户必须及时取消;
5、一般不设公用帐户,以保证用户有独立的帐户; 6、超时锁定;
7、对自动执行批处理命令的用户应有防中断措施; 8、权限变更或交接应有文字记载。
(五)电脑中心网络及交易系统超级用户口令分别由技术工程部经理和系统运行部经理负责设置与修改,超级用户口令设置或修改后经密封及时送电脑中心技术管理部保管。营业部交易系统的超级用户口令由电脑部经理负责设置与修改,超级用户口令设置或修改后经密封及时送营业部总经理保管。
(六)总部办公系统管理员应依据人力资源部的书面通知,完成新增/删除用户、分配
权限的工作。上述通知应包括需要新增/删除的用户的姓名、工作的部门、需要使用何种应用等。
(七)营业部交易系统管理员新增/删除柜台用户或对用户权限进行分配由营业部总经理书面核准通知。
(八)各岗位操作权限要严格按岗位职责和最小权限原则设置,不授予用户超出需要的权限。管理员应定期检查操作员的权限。
(九)禁止同一人掌管操作系统口令和数据库管理系统口令。
(十)营业部信息技术人员在应用系统中的权限应只限于系统管理,而无业务操作权限。 (十一)一般用户口令长度不得少于6位,不使用小键盘的人员编制口令应做到字符与数字混排,不得使用电话号码、生日等作为口令;系统管理员口令不得少于10位。
(十二)不同的操作人员采用不同的帐户和口令,口令由本人管理,并定期更改,如出现因操作员泄密或未定期更改口令,致使他人盗用该用户进入系统并造成损失时,由该操作人员承担责任。
(十三)应及时删除离退岗人员的登录用户。系统管理员离岗时,必须认真办理离任手续,申明保密义务,收回钥匙及证件,并退还全部技术资料,继任者应及时更换密码,并根据实际情况,调整系统安全策略。
四、网络系统安全管理
(一)网络系统在设计时必须充分考虑系统的安全性,所采用的软硬件必须达到中国证券监督管理委员会所规定的安全级别。
(二)根据网络硬件平台、网络操作系统的特点,制定切实可行的系统安全管理策略,并严格实施。
(三)对公司总部和各营业部办公用的计算机的MAC地址、计算机名、IP地址登记存档。公司总部新增上网计算机,应书面通知电脑中心技术管理部,由电脑中心派人安装。营业部新增上网计算机,由营业部的信息技术人员负责安装。
(四)严禁公司员工通过办公用的计算机非法访问公司网络或散播病毒。 (五)核心网络设备必须放在安全处,由专人负责管理。服务器需要现场维修或保养时,负责系统安全的工作人员必须在场监督。服务器送出修理,须保证业务数据不外泄。服务器
修好后,系统管理员必须格式化硬盘并重装操作系统。
(六)路由器、交换机、接入服务器等核心网络设备的配置文件必须备份,并妥善保存。 (七)修改电脑中心的路由器、交换机、接入服务器等核心网络设备的配置文件须经电脑中心技术工程部经理同意,修改营业部的核心网络设备的配置文件必须经营业部电脑部经理同意。配置文件修改后,必须重新备份并存档。
(八)关闭网络系统中不必要的服务和功能,尽量减少所使用的协议,并启用系统软件的安全审计留痕功能。
(九)根据需求的变化,及时调整公司防火墙的安全规则。
(十)实时监控网络系统运行状况,及时发现网络系统安全隐患和数据异常,并采取相应的措施。
(十一)每日查询系统安全日志,锁定非法试探性登录用户,并实时监控登录用户的IP地址,禁止非法用户登录。
(十二)信息系统安全管理员应作好系统安全管理记录,并妥善保存。
(十三)公司重要的业务数据在传输过程中,要采用相应的加密措施,并备份保存。
五、公司内部网与国际互联网使用安全管理
(一)公司重庆总部通过数据专线接入国际互联网络,重庆总部员工在办公室上互联网均使用专线方式,以节约通讯费用。
(二)为满足移动办公和下班后的工作需要,由行政办公室和电脑中心根据需要申请一定数量的互联网账号,供公司高级管理人员和有关业务部门使用。
(三)员工使用公司提供的帐号上互联网,必须用于公司的业务和管理之需要,不得它用。
(四)员工在办公网络上的帐号仅限本人使用,外部互联网帐号必须在指定的范围内使用,严禁外传。各部门和员工应妥善管理自己使用的互联网络帐号和办公网帐号,并经常修改密码,当发现密码泄露时,应及时向电脑中心报告。内部办公网拨号帐户(每个部门一个)密码每月一改,由电脑中心负责实施,各部门使用的互联网帐号由使用部门负责管理,若发生帐号外传的情况,由使用部门承担责任。
(五)公司鼓励员工在BBS论坛上,就管理、技术、业务及健康的思想、文化等发表自己的观点,但不得发布虚假信息及违法、攻击他人、低级趣味等言论或文章、图像。
(六)各部门新增或解聘员工,应立即书面通知电脑中心,以添加、删除相应的公司办公系统帐号和内外网EMAIL帐号。
(七)各部门和员工不得擅自使用办公机器从国际互联网下载与工作无关的各种软件及用于娱乐的大容量数据。
(八)各部门和员工不得擅自在办公机器上擅自安装与工作无关的软件。
(九)禁止外部人员登录公司内部网络。公司在办公网上发布的信息属公司商业秘密,未经允许,不得外传。
六、交易系统安全管理
(一)使用的交易业务处理系统必须具有如下特性: 1、自动记录全部操作过程; 2、关键数据不得以明码存放;
3、无法绕过应用界面直接查看或操作数据库; 4、系统管理与业务操作权限严格分开; 5、防止异常中断后非法进入系统; 6、提供超时键盘锁定功能;
7、交易业务数据在通信网络上以加密方式传输; 8、提供数据接口,满足稽核、审计及技术监控的要求; 9、其它有助于控制业务操作风险的功能特性。
(二)使用的交易业务处理系统必须具有审计留痕功能,审计留痕功能应完成对以下操作的记录:
1、交易系统用户变动的记录。 2、用户的各种操作记录。
3、用户登录、退出系统的时间记录。 4、交易系统参数变动记录。
(三)对股票、资金等参数进行调整的业务操作按照公司的相关规定进行。
(四)应有专人及时审计交易系统柜员所做的操作,重要岗位的登录过程应增加必要的限制措施。