DOC《进入风险处置程序证券公司信息系统托管交接工作技术指引》

托管期间,各方应保守被托管机构自身及客户的商业秘密. 组织架构 组织设置 托管机构应在托管工作组下设托管信息技术组(以下简称技术组).负责统一管理被托管机构的信息技术工作. 技术组应在被托管机构总部、区域中心、各分支营业部及其所属服务部设置现场技术岗位,负责现场的运维、协调和监督工作. 被托管机构的信息技术部门(以下简称被托管技术方)应服从托管机构的要求,做好本职以及托管方要求的各项工作. 职责划分 技术组主要职责: 负责制定信息技术的托管方案,对信息技术托管工作进行总体安排、部署;

负责对信息技术托管中出现的风险事项进行风险评估、提出应急预案并对发生的风险事项及时研究处理;

负责对托管范围内的信息技术人员的管理和考核;

监督托管范围内信息系统资产、文档、合同、数据资料等的管理;

发现托管范围内的技术和业务异常时,及时上报并完成托管工作组安排的任务;

配合其他托管工作. 现场技术岗位主要职责: 落实技术组要求的各项工作;

负责监督被托管机构信息系统的日常运行、管理和维护;

负责检查被托管机构信息系统数据的完整性和备份数据的安全性;

负责组织被托管机构信息系统的安全防范和应急演练;

负责检查应急预案的可行性;

为被托管机构提供必要的技术支持;

负责被托管机构信息系统异常的上报和处理工作;

配合其他的托管工作. 被托管技术方主要职责: 落实技术组要求的各项工作;

按照技术组的要求做好本职工作,保证交易、清算等信息系统的正常运行;

妥善保管其占有和管理的所有财产、资料和其他物品;

配合其他的托管工作. 托管工作 准备期 准备期是指证监会宣布被托管机构的处置日前,证监局及托管机构为托管工作做相应准备的时期. 托管机构在准备期的主要技术管理责任是组建参与托管的技术队伍,完成相关制度和文档的准备,对技术队伍进行业务、技术和有关托管政策培训;

采集相关技术资料,完成托管技术准备. 托管机构在准备期应做好以下技术相关工作: 成立技术组:托管机构应成立由信息技术骨干组成的技术组,并明确其工作职责及要求. 制定信息系统托管方案:技术组应根据本指引制定信息系统托管方案,对托管工作进行总体安排、部署,包括制定信息技术托管工作管理制度、托管工作流程、交接清单等. 获取相关资料:当地证监局加强对辖区高风险证券公司的摸底调查工作,要求以月报或季报形式上报《信息技术组织架构及人员情况表》(表1)、《总部信息系统情况表》(表2)、《企业主干网情况表》(表3)、《交易系统整体情况表》(表4)等相关技术资料,以便托管机构提前作好托管准备;

在满足保密要求的前提下,托管机构应与相关信息系统供应商取得联系,获取相关技术资料. 组织托管队伍:托管机构应根据拟被托管机构的营业部、服务部数量及信息系统状况,分别设置总部、区域中心、各营业部、服务部现场技术岗位. 培训托管人员:托管机构应对现场技术岗位人员进行技术培训和交接培训.技术培训应涵盖交接中将涉及到的主要技术问题,包括各项管理细则、各相关系统的密码和权限的修改、数据备份、参数设置等.交接培训主要包括:交接操作流程、交接要点及异常情况的处理等. 准备工具:为了便于顺利开展托管工作,技术组应根据拟被托管机构的设备情况,制定托管工作所需设备清单,如:手提电脑、光盘、移动硬盘、必要的软件、保险柜、托管文挡及相关表格等,并作好相应准备. 整理主要相关单位的联系方式:技术组应根据拟被托管机构信息系统的情况,整理出《交接日相关单位联系方式汇总表》(表20),表中应包括主要应用系统的开发商及设备供应商、线路运营商、当地证券业协会、当地证监局、深沪交易所等相关单位的联系方式,以便能及时获得支持. 初步评估风险:技术组应根据了解到的拟被托管机构信息系统的情况,对照中国证监会颁布的《证券公司信息技术管理规范》、深沪交易所相关技术管理规范及托管机构技术管理制度的要求,对被托管机构信息系统进行初步风险评估,形成初步风险评估报告.对较为严重的风险情况,技术组应及时报告托管工作组. 制定初步的应急预案:技术组应针对所了解的被托管机构信息系统的风险,制定初步的应急预案. 交接期 交接期是指证监会宣布被托管机构处置日起,托管机构进入被托管机构进行各项交接工作的时期. 托管机构在准备期的主要技术管理责任是向被托管机构的技术总部、中心机房、备份机房及各营业部派出技术人员,对所有的系统、数据、系统用户、权限密码、技术文档、合同、设备等进行登记,对备份数据、技术文档进行封存,对系统用户权限和密码进行审查,并按照审慎原则对重要的系统密码进行接收. 技术组进入被托管机构后,首先应与被托管技术方进行充分沟通,核实被托管机构信息技术管理、信息系统、信息技术人员等方面的情况,并根据实际情况对准备期所作的方案进行调整后,按照交接工作流程与被托管机构完成相关交接工作. 交接工作包括管理交接和系统交接.系统交接按总部、区域中心及营业部、服务部分别进行. 管理交接包括以下工作: 人员交流:技术组应向被托管技术方介绍交接方案,明确双方职责及托管工作要求. 印章交接:被托管技术方如有部门印章,应将印章移交给托管机构,并填写相关交接表,由托管机构安排专人实施统一管理. 人员情况登记:被托管技术方应如实填写《人员基本情况登记表》(表5)、《人员基本情况汇总表》(表6),表中应包括在处置日前半年内离开的信息技术人员. 管理制度交接:技术组应向被托管技术方公布托管工作管理制度,说明托管工作管理制度中未涵盖的内容按被托管机构原制度执行,并要求被托技术方提交原信息技术管理制度. 核对系统情况:技术组应与被托管技术方逐一核对信息系统情况,完善《交接日信息系统情况登记表》(表7),以便双方能毫无遗漏地作好各系统交接工作. 系统交接包括以下工作: 系统备份:系统备份应包括对各应用系统进行全备份,对操作系统的重要系统目录、配置文件、重要的系统文件进行备份,对网络、安全设备的配置文件进行备份等,应用系统的全备份包括应用软件、数据库、参数配置文件、运行日志等,交接完后应填写《交接日系统备份登记表》(表8). 密码交接:密码交接应包括操作系统、数据库、应用系统、网络安全设备等的超级用户密码,及应用系统后台用户密码的交接, 交接完后应填写《交接日密码设置修改登记表》(表10).在进行密码修改前,应对所有系统的用户权限及参数文件进行备份.在更改用户密码后,应检查应用系统相关配置中使用相应用户用于业务处理的情况,对配置文件中相应用户的密码进行修改,并及时作好相应测试,确保系统能正常运行. 用户权限核查:在核查各系统用户及其权限前,应备份用户权限配置文件,并在进行核查操作时详细记录操作过程,核查工作主要包括:A、停用不必要用户,系统运行一段时间后,确认不必要时删除.B、按最小权限原则进行权限调整.C、用户设置采用专人专户.D、如果存在使用超级用户用于后台处理的情况,建立具有所需权限的用户替代超级用户,并修改相........