4.2.2 应建立重要岗位的双人负责制,并加强对单人单岗的监控。
4.2.3 应建立完善的保密制度,重要岗位应签订保密协议书。
4.2.4 不应录用有犯罪或严重违规行为记录的人员从事证券公司信息技术工作。
4.2.5 应建立信息技术人员定期培训和考核制度,不合格者禁止上岗。
4.2.6 应定期或不定期对在信息技术重要岗位上的信息技术人员进行轮换,或实行强制休假。
4.2.7 应建立信息技术人员的离岗制度,规范离岗手续。
4.3 安全管理
4.3.1 证券公司应建立信息系统安全管理组织,实施信息安全等级保护,并设立专门的安全管理员、安全审计员岗位。
4.3.2 信息系统安全管理组织应履行下列职责:
a)负责制定统一的安全策略;
b)负责制定信息系统安全管理制度;
c)负责审核和实施信息系统安全保护和安全防范技术方案;
d)负责组织信息系统安全教育及技术培训;
e)负责定期或不定期进行信息系统安全检查,发现问题,督促解决;
f)负责组织信息系统安全防范、应急演练。
4.3.3 应建立计算机病毒防范制度:
a)统一组织和实施计算机病毒防范工作
b)建立计算机病毒预警机制,严格执行病毒检测及报告措施。
4.3.4 应坚持三分离原则,实现前后台分离、开发与操作分离、技术与业务分离,信息技术人员任职要专岗专责,不得由业务人员兼任,也不得兼任业务职务。
4.4 技术文档管理
4.4.1 技术文档是指与信息系统相关的技术文件、图表、程序与数据等。
4.4.2 证券公司应制定技术文档管理制度,设立技术文档管理岗位。
4.4.3 应按照统一格式对技术文档进行编写并及时更新,达到能够依靠技术文档恢复系统正常运行的要求。
4.4.4 应根据技术文档的不同保密级别实行分级管理。
4.4.5 应对技术文档实行有效期管理,对于超过有效期的技术文档降低保密级别,对已经失效的技术文档定期清理,并严格执行技术文档管理制度中的销毁和监销规定。
4.4.6 技术文档的借阅、复制应履行必要的手续。
4.4.7 重要技术文档应有副本并异地存放。
5 机房与设备管理
5.1 机房
