03 上海黄金交易所计算机及网络系统、电子数据安全管理制度.docxVIP

计算机及网络系统、电子数据安全管理制度 第一章　总　则 第一条 为保证上海黄金交易所计算机及网络系统（以下简称系统网络）和电子数据的安全，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》和交易所实际情况制定本制度。 第二条 交易所系统网络和电子数据安全管理工作，由交易所分管领导负责，技术保障部配备系统安全管理员具体管理系统网络安全工作。 第三条 系统网络安全管理的主要内容包括安全防范设施和安全保障机制。 第四条 交易所网络安全管理的范围包括交易所全部计算机系统及其使用者。涉及办公自动化系统的安全管理按照《上海黄金交易所电子化信息系统管理办法》执行。 第五条 交易所交易系统安全管理包括交易、清算、交割、保证金安全运行，会员服务、仓库管理等计算机系统及子系统的平稳安全运行。 第二章　操作安全管理 第六条 操作人员使用用户名登入操作，防止非法用户登入系统。交易所计算机系统对业务、技术操作应记录可供查询的操作日志，包括操作时间、操作人和执行动作；该日志须具备防篡改功能。 第七条 交易所计算机系统应为不同的操作人员分配密码和不同的系统用户名，操作人员原则上应90天更新一次操作密码。严禁操作人员泄漏自己的操作密码；所有以该用户名进行的系统或业务操作视为由此操作人员执行并负责。 第八条 技术保障部为不同业务岗位设置该业务岗位所属部门的操作权限，并定期检查，原则上应90天检查一次。超权限设置须经相关业务分管副总（或以上）领导签字同意，并填写相应表格（附表1）存档。 第九条 严禁操作人员利用他人的帐号进入系统，以不正当手段获取他人操作权限并实施操作者，一经查实报交易所领导后按照交易所相关规定处理。 第十条 交易所计算机系统中各类技术参数的配置及修改，由技术保障部负责；相关业务参数的配置和修改由相应的业务部门负责。以上参数的配置和修改应由分管副总（或以上）领导批准后操作，操作过程必须有二个人或二人以上共同执行并按照程序填写操作记录，操作记录视为技术档案归档保存。 第十一条 系统操作人员变动时，必须及时删除其个人帐号，并对其掌握的其他系统帐号及时进行修改。 第十二条 更新程序需对源程序进行全目录备份。 第三章　主机密码管理 第十三条 主机密码管理的目的是保证主机系统的安全运行和信息安全，防止非授权用户访问，实现密码备份，防止密码丢失。这里的主机指的是交易系统服务器、路由器、交换机、防火墙、网闸、入侵检测（IDS）等所有工作设备；主机密码指的是交易所系统（包括服务器、网络设备、安全设备、应用系统及管理系统）超级用户登录密码或者管理密码。 第十四条 所有系统及设备均有一个超级用户，其密码设置由两人（以上）共同执行。由此派生出其他用户管理帐号由各系统运维管理员掌握。超级用户密码的不同部分有其设置人根据设备（系统）标识分别记录，用密码信封封存，加盖技术保障部公章，个人签名后于不同位置保管。 第十五条 封存的超级用户密码未经交易所相关业务分管副总（或以上）领导签字同意不得拆阅。启封的超级用户密码使用后须当场作废，重新设置新密码并立即再次封存和保管（方式同上）。 第十六条 选用的密码产品和加密算法应符合国家相关密码管理政策规定，密码产品自身的物理和逻辑安全性应符合人民银行的相关安全要求。所有密码不得留有文字记录（按以上程序设置并封存留底的超级用户密码除外），违者责任自负；由此产生的密码泄露并执行非法操作视同本人执行并承担责任。 第十七条 所有密码至少每季度定期修改一次。 第四章　计算机病毒防范管理 第十八条 交易所计算机所有主机和终端必须安装和使用正版防病毒软件、设置用户名和密码以及屏幕保护口令等安全防护措施，并由技术保障部安装系统补丁程序。 第十九条 交易所任何工作人员不得制作和传播计算机病毒。 第二十条 交易所所有主机和终端不得使用外来移动存储设备，如需使用，须经过技术保障部负责人批准，并且使用杀毒软件检测，在无计算机病毒、木马等非法程序存在的情况下方可在该移动存储设备上执行操作。 第二十一条 交易所所有主机和终端禁止执行来源不明的程序和安装游戏软件。 第二十二条 交易系统所有主机和终端不得与互联网连接，如某台主机确因业务须要使用互联网，须经相关业务分管副总（或以上）领导同意后由技术保障部负责接入，并填写相应申请表（附表2） 第二十三条 建立交易系统病毒防范体系，对各种UNIX、LINUX病毒、木马等非法程序及时预警防范。 第二十四条 技术保障部信息安全管理员应定期升级防病毒系统病毒库，定期进行检测，发现病毒应立即处理并报告，同时做好病毒检测和清除的详细记录。 第五章　网络安全管理 第二十五条 网络安全设备必须在中国人民银行指定产品中购置。 第二十六条 利用防火墙、网络隔离等安全措施控制网络访问权限。不同的逻