7 软件
7.1 系统软件
7.1.1 系统软件的选用应充分考虑安全性、可靠性、稳定性和健壮性,应使用符合安全要求的正版软件。
7.1.2 操作系统软件的使用应遵循最小功能原则及最小权限策略,关闭不必要的服务和端口。
7.1.3 在经过充分测试的前提下,应及时安装操作系统的补丁程序。
7.2 应用软件
7.2.1 应用软件应符合业务运作的合法性和合规性。
7.2.2 重要应用软件系统宜采取在线备份措施。
7.2.3 信息揭示与分析系统应保证信息揭示的完整、准确和及时。
7.3 软件管理
7.3.1 应用软件开发过程应符合GB/T8566。
7.3.2 应加强对外包或外购应用软件的质量控制,选择已建立软件质量保证体系的开发商进行合作,具体要求可参照CMM的二级标准进行。同时在开发商的选择过程中,应高度重视其信誉和品牌,不宜选择曾为证券公司违规、违法业务行为提供技术服务或技术支持的开发商。
7.3.3 在软件总体设计时,应根据应用软件的实际用途,同步进行安全保密设计。
7.3.4 在软件开发过程中,应同步完成相关文档手册的编写工作,保证相关资料的完整性和准确性。
7.3.5 开发维护人员与操作人员应实行岗位分离。
7.3.6 开发环境应与生产环境隔离。
7.3.7 应用软件在正式投入使用前应经过内部评审,确认技术文档齐全,系统功能、测试结果和试运行结果均满足设计要求。
7.3.8 软件使用人员应接受操作培训和安全教育。
7.3.9 建立应用软件文档管理、版本管理及软件分发制度。
7.3.10 应建立规范的软件维护和系统参数调整流程。
8 数据
8.1 数据管理
8.1.1 数据是指证券公司在经营和管理中产生的信息资源,主要包括业务数据、系统数据和管理数据等。
8.1.2 应建立数据管理制度,达到以下基本要求:
a)重要数据分密级管理;
b)建立数据访问控制机制;
c)建立数据防篡改和防窃取机制;
d)建立数据备份措施和异地存放措施。
