1.证券公司集中交易安全管理技术指引.doc

《1.证券公司集中交易安全管理技术指引.doc》由会员分享，可在线阅读，更多相关《1.证券公司集中交易安全管理技术指引.doc（17页珍藏版）》请在咨信网上搜索。

1、证券公司集中交易安全管理技术指引第一章 总则第一条 为进一步指导证券公司集中交易系统的建设和管理，提高证券公司内控水平，有效控制风险，促进规范化与标准化建设，依据中华人民共和国证券法、证券公司管理办法、证券公司内部控制指引、证券公司信息技术管理规范（JR/T 00232004）和证券期货业信息安全保障管理暂行办法制定本技术指引。第二条 本技术指引所指证券公司集中交易是指以集中的网络与信息系统为技术支撑的、对证券公司各类需要通过委托、清算、交收才能完成的相关业务实行由证券公司总部直接管理的运营模式。第三条 集中交易系统应具备如下技术特征：1. 客户数据集中化：证券公司所有客户的客户资料数据及交易

2、数据全部保存在集中交易系统中，分支机构可不再保留客户资料数据及实时的交易数据； 2. 委托处理集中化：客户委托过程中，合法性校验（身份认证、资金证券校验等）、资金证券变动、订单申报、成交回报处理均由集中交易系统集中完成；根据业务量的需要，可采用多节点分布计算；根据业务属性的不同，业务处理可以由不同的主机完成；3. 清算、交收处理集中化：由证券公司集中统一实施盘后清算及交收的处理；4. 权限管理集中化：集中交易系统中的所有权限（如经纪业务权限、清算权限、系统管理权限、日常操作权限和系统维护权限等）均实行集中管理、统一授权；5. 运行管理集中化：对集中交易系统的运维工作实行集中统一管理，并配置相应

3、的集中监控处理工具；第四条 集中交易是一个完整的集中管理体系，应包含集中的授权管理、客户管理、业务管理、运营管理、技术管理以及风险管理等。第五条 对集中交易安全管理的评价，将纳入证券公司内控能力的评估，并作为证券公司相关业务资格评定的前置条件。第二章 管理组织体系第六条 证券公司应建立健全对集中交易统一管理的组织体系和配套的业务体系，业务与技术有机结合，相互支持。第七条 证券公司应设立总工程师岗位，总工程师负责集中交易系统建设项目的规划、论证、实施以及其它与集中交易相关的业务需求设计、系统开发、运营管理、技术审计、安全保障等工作的管理与组织协调。第八条 证券公司应实现技术开发与运营管理之间的相

4、互隔离。第九条 技术开发部门负责集中交易技术系统的开发和维护，其职责包括集中交易系统的设计、开发、集成并根据业务需求进行系统变更和技术支持。第十条 运营管理部门负责集中交易的具体操作，其职责包括：1. 负责集中交易系统的测试、上线、操作、监控；2. 负责操作岗位人员的操作权限的设定和变更；3. 负责业务参数的设定和变更；4. 负责对授权业务实施逐级审批；5. 负责制定业务连续性计划（BCP，以下简称应急预案）和灾难恢复计划（DRP，以下简称应急计划）并组织演练，在发生突发事故时作为应急指挥中心实施应急预案和应急计划。 第十一条 证券公司内部稽核部门应对集中交易系统及其安全管理进行合规性审核、技

5、术审计及定期风险评估。第十二条 证券公司应实现集中交易业务运作与技术支持之间的相互隔离，电脑人员、会计人员之间及与其它业务人员之间职责不得相互交叉。第十三条 开展集中交易的证券公司应实现前台业务操作、中台业务管理以及后台业务支持三者之间的隔离。第十四条 对各重要岗位的人员上岗要有相应的资质要求和必要的上岗培训，对重要岗位人员建立轮岗制度和定期培训制度。第三章 机房和运行环境第十五条 实施集中交易的证券公司应建设相应的中心机房。对于将中心机房外包的证券公司，外包机房视为其中心机房。 第十六条 机房建设、机房环境、供电系统等应符合证券公司信息技术管理规范（JR/T 00232004）第五章“机房与

6、设备管理”的相关要求，机房等级应达到电子计算机机房设计规范（GB50174）B类以上（含B类）。第十七条 中心机房监控应达到以下要求：1. 机房进出口和重要通道应安装监视系统和门禁系统；监视资料应完备、清晰，妥善存放，便于检查且保存足够长的时间；2. 安装环境监控系统和设备监控系统，对环境和设备的异常情况及时报警。第十八条 中心机房管理应达到以下要求：1. 建立人员和设备的进出管理制度；2. 实施7x24小时安全保卫值班； 3. 建立机房设备管理制度，并根据设备的运行状况定期对其进行更新和保养，提高设备的可靠性，降低故障隐患；4. 机房供电系统由专人负责管理，定期进行检修和维护；5. 对机房的

7、照明、空调、防火、门禁等机房环境系统进行定期检查，确保其处于正常工作状态；6. 严禁易燃、易爆、强磁及其它与机房工作无关的物品进入机房。第四章 网络和通信第十九条 用于集中交易系统的核心网络是公司网络的重要组成部分，应做好统一规划。对于核心网络的建设应遵循高可靠性、高安全性、高性能、可扩展性、可管理性、标准化等原则。第二十条 核心网络的建设应达到以下要求：1. 网络承建集成商应具有国家有关部门颁发的二级以上（含二级）计算机信息系统集成资质证书。2. 网络设备的性能和通信带宽应保证满足业务需求；3. 网络不应存在单点故障，其交换机、路由器和防火墙应有热备份；4. 针对不同业务或应用应采取适当技术

8、手段（如交易网段和非交易网段应实现物理隔离），以提高网络安全性；5. 与互联网、外联单位的连接应采用可靠的技术隔离手段（如防火墙、安全网关等），以确保网络的安全。第二十一条 核心网络的管理应达到以下要求：1. 建立健全网络管理制度，采用统一的网络管理策略；2. 设置专职、双岗网络管理员，实行网络分级管理；网络管理员应具备相应的素质和技能，持有相应的资格证书；3. 配备网管系统，对网络进行监控、管理和维护，重要网络设备开启日志和审计功能；4. 建立完整的网络技术文档，定期对网络设备和线路进行巡检和维护，详细记录网络故障处理过程。第二十二条 核心网络的安全应达到以下要求：1. 建立健全网络安全体系

9、，统一制定网络安全策略，网络安全策略遵循技术保护和管理保护相结合的原则；2. 应设置专门的安全管理岗位，配备专业的安全管理人员；3. 利用成熟的网络安全技术，防止非法访问、攻击和破坏计算机网络等活动；4. 所有可配置的网络设备按最小安全访问原则设置访问控制权限，关闭不必要的端口及服务，妥善保管和定期更换网络设备的远程访问口令； 5. 对于来自互联网的访问采用可靠的身份认证、访问控制和安全审计措施，防止非法接入和非法访问；6. 建立完善的计算机病毒防范制度：（1） 设置专人负责计算机病毒防范工作，统一组织和实施网络的计算机病毒防范工作；（2） 建立计算机病毒预警机制，严格执行病毒检测及报告措施；

10、（3） 应安装经国家安全部门认证的正版网络防病毒软件；（4） 应及时更新防病毒软件版本、杀毒引擎和病毒库；（5） 建立病毒监控中心，对网络内计算机感染病毒的情况进行监控。7. 定期对网络进行安全检查，发现问题，及时解决, 并记录存档。第二十三条 集中交易通信系统应达到以下要求：1. 中心机房与交易所的通信连接应做到地面线路和卫星通信相互备份，与中国证券登记结算公司的通信连接应有备份线路；2. 公司中心机房和各分支机构之间应建立多条、不同运营商、不同介质的通信通道（如DDN、帧中继、卫星等），保证业务的连续性；3. 网上委托系统应根据网上委托有关办法的规定接入互联网；4. 公司应与电信运营商和设

11、备供应商签订服务协议，做到定期检修、发现故障及时响应。第五章 系统建设第二十四条 集中交易系统建设总体上至少应达到如下要求：1. 项目管理过程应符合国家有关法规规定；2. 系统功能应符合国家颁布的法律法规、证券市场的业务规则和证券公司的内控要求； 3. 核心部分与外围系统之间的接口定义应清晰明确、整体技术架构及数据库结构设计应便于维护；4. 应按照99.99可用性和7x24小时连续性指标对集中交易系统进行整体设计；5. 系统最大处理能力应达到日常实际处理量的5倍以上；6. 应建立灾难备份系统，主备系统实际切换时间应少于60分钟，灾备系统处理能力应不低于主用系统处理能力的50，通信线路应分别接入

12、主备系统。有条件时可采用主、备系统处理能力相同、轮换交替使用的双系统模式；7. 应配备独立的测试系统，并与交易所测试系统联网，实现完整的交易测试环境。测试系统应具有与主用系统相同的技术架构，物理上应具有与主用系统完全独立的通讯、主机及操控系统；8. 安全等级应达到计算机信息系统安全保护等级划分准则（GB17859-1999）三级以上（含三级）。第二十五条 集中交易系统系统软件的选用和管理应符合证券公司信息技术管理规范 （JR/T 00232004）第七章7.1的要求。 第二十六条 集中交易系统应用软件的开发应符合证券公司信息技术管理规范（JR/T 00232004）第七章7.3的要求，并达到：

13、1. 在系统总体设计时同步进行安全保密设计，利用成熟的安全技术确保数据的保密性、完整性、可用性和可控性，对重要数据在采集、传输、使用和存储过程中进行加密，使用经国家密码管理机构认可的加密产品和加密算法； 2. 重要环节应采取冗余备份措施，如报盘系统、重要的数据库服务器和中间件服务器等。第二十七条 集中交易系统的性能和功能应达到以下要求：1. 在系统构架和功能上，保证客户端操作与数据库服务端的物理无关性；2. 具有完备的操作日志和错误报告；3. 业务数据在通信网络上以加密方式传输；4、客户口令等关键数据不得以明码存放；5. 防止异常中断后非法进入系统；6. 能防止强力试探口令，并具有超时自动锁定

14、功能；7. 具有防止数据的重发攻击、篡改和伪造等功能；8. 建立工作站点与功能操作相关联的全面安全控制机制；9. 保证系统的可扩展性与可维护性；10. 具有动态加载、卸载功能，具有实现系统不停机维护的能力；11. 提供系统运行状态监控模块；12. 提供数据接口，满足稽核、审计及技术监控等的要求。第二十八条 证券公司集中交易系统建设过程中，应实行第三方项目监理和项目审计。在系统交付使用前，应组织公司相关部门进行项目验收。第二十九条 集中交易系统的功能设计与技术实现要最大限度地符合规范化业务发展的实际需求，禁止对违规业务功能的设计与实现。对集中交易系统中的前瞻性功能，若确需做技术模拟和前期准备的，

15、证券公司应建立和实施严格的内部审批程序，技术上须具备禁止启用手段，并由内部稽核部门实行严密监控。第六章 运行管理第三十条 应建立集中交易运营管理组织，负责集中交易系统的运行和管理。 第三十一条 设置专职的应用管理员、系统管理员、网络管理员、数据管理员和安全专员，分别负责集中交易系统的应用管理、系统管理、网络管理、数据管理和安全管理。第三十二条 集中交易系统安全管理应达到以下要求：1在系统构架上支持前台操作与后台数据的分离； 2在系统管理和业务操作的各层面建立相应的操作权限制约机制：（1） 实行权限集中管理，统一授权；（2）在权限体系中支持前台业务操作、中台业务管理与后台业务支持的分离；3帐户和

16、口令专人专用，加强对缺省帐户和口令的管理；4禁止为客户设置统一的、有规律的、易猜测的初始口令；5所设置的管理员口令应具有足够的强度，由字母、数字、特殊字符等混合组成，并定期更换； 6数据安全管理应符合证券公司信息技术管理规范（JR/T 00232004）第八章8.1的要求。第三十三条 应建立集中交易系统运行管理考核体系，设立考核指标，完善奖惩制度。第三十四条 应制定规范化的系统上线流程：1. 未经严格、完备测试，系统不得上线运行；2. 评估系统上线风险，做好相应的应急和备份计划；3. 系统通过规定流程审批后，才能获准上线。第三十五条 集中交易系统的软件升级和变更、系统设置变更等操作应建立规范的

17、流程:1. 变更请求应由业务或相关需求人员发起；2. 经公司集中交易运行管理机构审批后，组织开发；3. 变更请求由业务和技术人员成立联合测试小组进行系统测试；4. 经公司集中交易运行管理机构审批同意后，提交给运行管理人员实施；5. 实施完成后，建立相应的升级或变更文档。第三十六条 集中交易系统在日常运行管理方面应达到以下要求：1. 制定规范化的日常操作流程，关键操作应建立复核机制，建立详细的操作日志（包括重要的日常操作、运行维护记录、参数的设置和修改等内容），并及时备份参数文件；2. 制定规范化的故障处理流程，建立详细的故障日志（包括故障发生的时间、范围、现象、处理结果和处理人员等内容）；3.

18、 制定完善的值班工作制度，实行7x24小时值班，建立详细的值班日志（包括时间、人员、值班任务等内容）；4. 运维岗位的描述应明确清晰，应建立重要岗位的双人、双职、双责制，并加强对单人单岗的监控；5. 建立完善的运行监控系统，对集中交易系统的运行环境、运行状况进行实时监控（包括服务器、报盘系统、数据库、存储系统、网络和通信线路等），并提供多种报警手段；定期分析监控系统的记录，做到防患于未然；6. 严禁在生产环境进行未经批准的操作；7. 对重要设备和系统建立运行档案和配置变更文档，确保重要参数、运行环境的可恢复性；8、应急预案和应急计划每年至少演练一次；9、集中交易系统全年实际可用性达到99.9%

19、，单次故障停机时间不超过60分钟。第三十七条 应建立完整、规范的系统测试操作流程，对测试工作的计划、实施及总结做出详细的规定。对于在生产系统上进行的测试工作，必须制定详细的系统及数据备份、测试环境搭建、测试后系统及数据恢复、生产系统审核等计划，确保生产系统的安全。第三十八条 对集中交易系统提出新的业务或管理需求，应当留有充足的技术准备期。交易所、登记结算公司的创新业务以及其他重大技术变更，从业务规则和技术规范发布之日起，整个技术准备期原则上不少于30个工作日，交易所、登记结算公司并应就此提供足够的技术服务与支持。证券公司内部的业务或管理需求，技术准备期原则上不少于30个工作日。第七章 灾难备份

20、第三十九条 实行集中交易的证券公司应建立灾难备份中心。第四十条 灾难备份中心与中心机房应有足够的安全距离。第四十一条 灾备机房的等级应达到电子计算机机房设计规范（GB50174-93）B类以上（含B类）；第四十二条 灾难备份中心与交易所之间的通信连接必须符合交易所的接入管理要求与技术标准；灾难备份中心与中心机房之间的通信连接除主用线路外、应有备用线路；灾难备份中心与各分支机构之间应建立通信连接。第四十三条 灾难备份中心的交易系统应有足够的处理能力，确保届时能完全承担交易、清算及交收业务。第四十四条 灾难备份中心对中心机房的数据备份等级要求应达到重要信息系统灾难恢复指南（国信办20058号）灾难

21、恢复等级划分中的第5级（见附录A）。第四十五条 灾难备份BCP（业务连续性计划）的三个具体指标RPO（恢复点目标）、RTO（恢复时间目标）、DOO（运行性能降低预期）是衡量灾难恢复性能好坏的关键指标，应分别达到： RPO 16分钟，RTO 1小时，DOO50%。第四十六条 应制定完善的灾难备份中心管理制度、应急预案和应急计划。第四十七条 应定期组织灾难备份应急预案和应急计划的演练，至少每年二次，并根据演练的结果和发现的问题进行总结，对系统和应急方案进行优化及完善。第四十八条 灾难备份中心应配备足够的运行管理人员。第八章 技术委托与外包第四十九条 证券公司在保障安全的前提下，可以将系统集成、应用

22、开发、运营维护、设备托管、网络通信、技术咨询等专业服务按市场公平竞争的原则外包给具有国家相应资质的专业服务商（产品提供商、系统开发商、运行服务商）。第五十条 证券公司实施技术外包，其安全运营的最终管理责任依然由证券公司承担。证券公司与技术外包方应签订详细的商业契约或合同，明确约定相关责任。外包服务商根据合同约定承担相应的经济责任和法律责任。第五十一条 证券公司应重视知识产权保护。第五十二条 证券公司应重视持续的技术维护与服务，应与集中交易系统有关的产品提供、系统开发和运营服务厂商签订规范的售后服务合同。第五十三条 证券公司应建立产品提供、系统开发和运营服务厂商的退出机制，以保障其退出之后集中交

23、易系统的持续运行和系统重要数据的安全。由证券公司组织定制开发的核心业务系统，应要求开发商提供源代码或对源代码实行第三方托管。第九章 应急恢复与事故处理第五十四条 证券公司应根据应急计划和应急预案妥善处置集中交易系统发生的重大技术故障。应急预案中，应规定各业务部门（包括一线客户服务人员）的应急处置措施和相应职责分工，以及必要的业务规程和保障机制。在系统故障时做好投资者的安抚工作，保护投资者利益。第五十五条 证券公司应建立内部的责任机制，坚持安全事故问责制度。第五十六条 证券公司在与投资者、在与技术服务厂商签订的服务协议中应包含与技术故障相关的责任条款，在条款中应揭示风险，明确权责义务，确定补偿措

24、施与限额，保障双方的合法权益。第五十七条 技术故障影响交易60分钟以上构成重大安全事故，应按照证券期货业网络与信息安全信息通报暂行办法规定的程序及要求，及时上报证券业协会。第十章 技术监管第五十八条 证券公司集中交易系统与交易所、登记结算公司业务系统的互连和对接，应遵循交易所、登记结算公司制定的相应的接入管理规定和技术标准。开展集中交易的证券公司应向相关交易所提出专项接入申请，完成接入审核备案程序。第五十九条 证券公司对集中交易系统实行年度例行安全评估，并将评估结果报备相关交易所。交易所对存在安全隐患、可能引发行业技术风险的证券公司可予以警告、限期整改以及取消其集中交易通道等处置，并报备中国证

25、券业协会及中国证监会。第六十条 证券公司实现集中交易的下属营业部等分支机构不再执行证券经营机构营业部信息系统技术管理规范，并报备辖区证监局。第六十一条 证券业协会信息技术委员会负责组织对集中交易系统的各级事故的调查、鉴定。第十一章 附则第六十二条 本指引适用于在中华人民共和国境内依法设立的证券公司。第六十三条 本指引由中国证券业协会负责解释。第六十四条 本指引自发布之日起施行。附录A 灾难恢复的等级划分A.1 第1级 基本支持第1级灾难恢复应具有技术和管理支持如表A1所示。表 A. 1 第1级灾难恢复的技术和管理支持要素要求A.1.1数据备份系统a) 完全数据备份至少每周一次；b) 备份介质场

26、外存放。A.1.2备用数据处理系统A.1.3备用网络系统A.1.4备用基础设施a) 有符合介质存放条件的场地。A.1.5技术支持A.1.6运行维护支持a) 有介质存取、验证和转储管理制度；b) 按介质特性对备份数据进行定期的有效性验证。A.1.7灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案A.2 第2级 备用场地支持第2级灾难恢复应具有技术和管理支持如表A2所示。表 A. 2 第2级灾难恢复的技术和管理支持要素要求A.2.1数据备份系统a) 完全数据备份至少每周一次；b) 备份介质场外存放。A.2.2备用数据处理系统a) 灾难发生时能在预定时间内调配所需的数据处理设备到场。A.2.3备

27、用网络系统a) 灾难发生时能在预定时间内调配所需的通信线路和网络设备到位。A.2.4备用基础设施a) 有符合介质存放条件的场地；b) 有满足信息系统和关键业务功能恢复运作要求的备用场地。A.2.5技术支持A.2.6运行维护支持a) 有介质存取、验证和转储管理制度；b) 按介质特性对备份数据进行定期的有效性验证；c) 有备用场地管理制度；d) 与相关厂商有符合灾难恢复时间要求的紧急供货协议；e) 与相关运营商有符合灾难恢复时间要求的备用通信线路协议。A.2.7灾难恢复预案a) 有相应的经过完整测试和演练的灾难恢复预案。A.3 第3级 电子传输和部分设备支持第3级灾难恢复应具有技术和管理支持如表A

28、3所示。表 A. 3 第3级灾难恢复的技术和管理支持要素要求A.3.1数据备份系统a) 完全数据备份至少每天一次；b) 备份介质场外存放；c) 每天多次利用通信网络将关键数据定时批量传送至备用场地。A.3.2备用数据处理系统a) 配备灾难恢复所需的部分数据处理设备。A.3.3备用网络系统a) 配备部分通信线路和相应的网络设备。A.3.4备用基础设施a) 有符合介质存放条件的场地； b) 有满足信息系统和关键业务功能恢复运作要求的场地。A.3.5技术支持a) 在备用场地有专职的计算机机房运行管理人员。A.3.6运行维护支持a) 按介质特性对备份数据进行定期的有效性验证；b) 有介质存取、验证和转

29、储管理制度；c) 有备用计算机机房管理制度；d) 有备用数据处理设备硬件维护管理制度；e) 有电子传输数据备份系统运行管理制度。A.3.7灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案。A.4 第4级 电子传输及完整设备支持第4级灾难恢复应具有技术和管理支持如表A4所示。表 A. 4 第4级灾难恢复的技术和管理支持要素要求A.4.1数据备份系统a) 完全数据备份至少每天一次；b) 备份介质场外存放；c) 每天多次利用通信网络将关键数据定时批量传送至备用场地。 A.4.2备用数据处理系统a) 配备灾难恢复所需的全部数据处理设备，并处于就绪状态或运行状态。A.4.3备用网络系统a) 配备灾难

30、恢复所需的通信线路；b) 配备灾难恢复所需的网络设备，并处于就绪状态。 A.4.4备用基础设施a) 有符合介质存放条件的备用场地；b) 有符合备用数据处理系统和备用网络设备运行要求的场地；c) 有满足关键业务功能恢复运作要求的场地；d) 以上场地应保持7 x 24运作。A.4.5技术支持在备用场地有：a) 7 x 24专职计算机机房管理人员；b) 专职数据备份技术支持人员；c) 专职硬件、网络技术支持人员。A.4.6运行维护支持a) 有介质存取、验证和转储管理制度；b) 按介质特性对备份数据进行定期的有效性验证；c) 有备用计算机机房运行管理制度；d) 有硬件和网络运行管理制度；e) 有电子传

31、输数据备份系统运行管理制度。A.4.7灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案。A.5 第5级 实时数据传输及完整设备支持第五级灾难恢复应具有技术和管理支持如表A5所示。表 A. 5 第5级灾难恢复的技术和管理支持要素要求A.5.1数据备份系统a) 完全数据备份至少每天一次；b) 备份介质场外存放；c) 采用远程数据复制技术，并利用通信网络将关键数据实时复制到备份场地。A.5.2备用数据处理系统a) 配备灾难恢复所需的全部数据处理设备，并处于就绪或运行状态。A.5.3备用网络系统a) 配备灾难恢复所需的通信线路；b) 配备灾难恢复所需的网络设备，并处于就绪状态；c) 具备通信网络自

32、动或集中切换能力。A.5.4备用基础设施a) 有符合介质存放条件的备用场地；b) 有符合备用数据处理系统和备用网络设备运行要求的场地；c) 有满足关键业务功能恢复运作要求的场地；a) 以上场地应保持7 x 24运作。A.5.5技术支持在备用场地有：a) 7 x 24专职计算机机房管理人员；b) 7 x 24专职数据备份技术支持人员；c) 7 x 24专职硬件、网络技术支持人员。A.5.6运行维护支持a) 有介质存取、验证和转储管理制度；b) 按介质特性对备份数据进行定期的有效性验证；c) 有备用计算机机房运行管理制度；d) 有硬件和网络运行管理制度；e) 有实时数据备份系统运行管理制度。A.5

33、.7灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案。A.6 第6级 数据零丢失和远程集群支持第六级灾难恢复应具有技术和管理支持如表A6所示。表 A. 6 第6级灾难恢复的技术和管理支持要素要求A.6.1数据备份系统a) 完全数据备份至少每天一次；b) 备份介质场外存放；c) 远程实时备份，实现数据零丢失。A.6.2备用数据处理系统a) 备用数据处理系统具备与生产数据处理系统一致的处理能力并完全兼容；b) 应用软件是“集群的”，可实时无缝切换；c) 具备远程集群系统的实时监控和自动切换能力。A.6.3备用网络系统a) 配备与生产系统相同等级的通信线路和网络设备；b) 备用网络处于运行状态；

34、c) 最终用户可通过网络同时接入主、备中心。A.6.4备用基础设施a) 有符合介质存放条件的备用场地；b) 有符合备用数据处理系统和备用网络设备运行要求的场地；c) 有满足关键业务功能恢复运作要求的场地；d) 以上场地应保持7 x 24运作。A.6.5技术支持在备用场地有：a) 7 x 24专职计算机机房管理人员；b) 7 x 24专职数据备份技术支持人员；c) 7 x 24专职硬件、网络技术支持人员；d) 7 x 24专职操作系统、数据库和应用软件技术支持人员。A.6.6运行维护支持a) 有介质存取、验证和转储管理制度；b) 按介质特性对备份数据进行定期的有效性验证；c) 有备用计算机机房运

35、行管理制度；d) 有硬件和网络运行管理制度；e) 有实时数据备份系统运行管理制度；f) 有操作系统、数据库和应用软件运行管理制度。A.6.7灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案。A.7 灾难恢复等级评定原则如要达到某个灾难恢复等级，应同时满足该等级中7个要素的要求。A.8 灾难备份中心的等级灾难备份中心的等级等于其可以支持的灾难恢复最高等级。示例：可支持1至5级的灾难备份中心的级别为5级。其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。二培训的及要求培训目的安全生产目标

36、责任书为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年度安全生产目标的内容，现与财务部签订如下安全生产目标：一、目标值：1、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。2、现金安全保管，不发生盗窃事故。3、每月足额提取安全生产费用，保障安全生产投入资金的到位。4、安全培训合格率为100%。二、本单位安全工作上必须做到以下内容： 1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位

37、内全面实施，并自觉接受公司安全部门的监督和管理。 3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。 4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。 5、在公司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。 7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。 8、虚心接受员工提出的问题，杜绝不接受或盲目指挥；9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提出整改措施和对责任者的处理意见，并填写事故登记表，严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育；11、严格执行公司安全生产十六项禁令，保证本单位所有人员不违章作业。 三、 安全奖惩： 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励；对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落