第七十一条 管理员账户和口令应由专人负责,口令长度应在12位以上,且含有字符和数字,区分大小写,并定期更改。
第七十二条 证券公司应严格限制人工对数据库操作的账户权限,并应分别使用不同权限的账户执行查询、插入、更新、删除等操作。
第七十三条 网上证券信息系统各环节应有可靠的热备或冷备措施,保证整个系统的高可用性。
第七十四条 证券公司应根据自身实际情况制订网上证券信息系统的数据备份计划并落实执行。备份的数据应包括:系统程序、配置参数、系统日志、安全审计数据、门户网站信息、客户数据等。
第七十五条 证券公司应保证备份数据的准确性、完整性、可用性。备份数据的管理应符合相关技术管理规定,有严格的保管、使用、检查管理制度。
第七十六条 证券公司应当保障网上证券信息系统运营设施、设备以及安全控制设施、设备的安全。对重要设施、设备的接触、检查、维修和应急处理,应有明确的权限规定、责任划分和操作流程,并建立日志文件管理制度,如实记录并妥善保管相关记录。
第七十七条 证券公司应定期评估可供客户使用的网上证券信息系统的资源状况,并根据实时监控信息、可预见的业务发展需求进行容量的需求预测,确保有充足的处理能力、存储容量和通讯带宽,满足业务增长的需要,保证网上证券服务的可用性,并能抵御一定程度的拒绝服务攻击和缓冲区溢出攻击。
第七十八条 在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备足够的冗余,以应对网站及网上交易可能出现的突发峰值;在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备良好的可扩充性,以应对业务增长和市场的变化。
第七十九条 证券公司应建立严格的变更管理流程,对包括网络安全设备、服务器、应用系统等软硬件系统和配置变更实行规范化的变更管理,完整、真实地记录和反映系统所涉及的软硬件配置及相互影响关系,并保持与实际生产环境同步更新。
