关于广东省证券经营机构电脑交易系统安全管理情况的通报

各证券经营机构：
　　根据中国证监会的要求，近期我会对省内14家证券营业部信息系统安全管理状况进行了抽查。现将有关情况通报如下：
　　一、各机构基本建立健全了内部管理制度，管理人员风险防范意识不断增强
　　抽查结果显示，我省证券经营机构的电脑交易系统运行安全状况总体良好。大部分证券经营机构在电脑交易系统的安全管理方面都是做得比较好的。主要表现在以下几个方面：
　　(一)对电脑交易系统在技术上进行了有效改进。在被抽查的14家证券营业部中，除东莞证券公司篁村营业部外，电脑交易系统均已或正在由Fox数据库系统更新为Sybase大型数据库系统，其安全级别为C2，符合中国证监会关于系统软件达到C2级以上安全级别的要求。
　　(二)硬件设备的备份情况较好。各证券经营机构营业部都备有卫星、DDN、电话等多种通讯线路。对客户委托交易、保证金存取等资料设有备份，约有一半营业部还将备份数据异地存放。
　　(三)内部管理逐步科学化、规范化。一是普遍健全了双重管理结构，即营业部的电脑部实行营业部总经理和总部电脑中心双重管理的组织框架；二是用权责相结合的权限管理模式进行管理；三是将软件开发人员与营业部日常维护人员分离；四是建立了内部制约机制，在交易、清算、交割的一系列环节中，分离操作权限。珠海国投还为财务人员开发了自动转存对帐软件，国信证券则对某些极其重要的权限采取由两人各掌握一半密码的方式相互进行监督和制约；五是总部集中管理各营业部客户资料。
　　(四)柜台操作程序趋于严密。柜台操作除检查“三证”(身份证、股东卡、存折)外，约一半营业部还要求检验交易密码和保证金密码。保证金存取由柜台直接存取现金逐步改为银行转帐。华融信托、光大证券、珠海国投等证券经营机构还要求客户开户时指定保证金转出的银行帐户。

　　二、我省证券经营机构营业部电脑交易系统及内部管理存在的主要问题
　　(一)硬件设备和客户资料的备份情况急需改善。在14家营业部中，仅有三分之一左右的营业部有备份服务器，其余只采取了硬盘备份，有的服务器运行还不够稳定。这与中国证监会关于服务器应有备品备件的要求尚有差距。约一半营业部将客户资料异地备份，其余营业部的客户资料备份件与原件放在同一场所，有的还在同一服务器中，一旦服务器出现故障，可能导致客户资料损坏。
　　(二)缺乏完善的内部管理制度和相互制约机制。一些经营机构管理制度尚不完善，某些机构甚至没有成文的管理制度。一些重要岗位的操作程序由某一个人掌握，缺乏相互间的制约和监督。
　　(三)对客户资料的管理存在风险隐患。珠海中业信托以客户输入太慢为由，让柜员代客户输入密码；广发证券环市中营业部还允许客户查询密码。这在客观上为泄露客户资料、内外勾结作案提供了可乘之机。
　　(四)对客户保证金的安全防范措施不力。只有不到四分之一的营业部要求客户开户时，指定转出保证金的银行帐户。大多数营业部以方便客户为由，任由客户将保证金转到任何银行帐户。这样做，为不法分子盗卖客户股票后提取保证金开了方便之门。
　　(五)柜台委托手续不严密。尽管客户都设置了交易密码、保证金密码，但仍有一半左右的营业部在柜台委托交易时以方便客户为由，不要求客户输入密码，对委托代理人也不作任何记录。
　　(六)转托管安全防范存在漏洞。在我们抽查的经营机构中，没有一家机构对股份转托管设置密码，只要持有股东帐户卡、身份证，就可以将客户股份转移到其他营业部。即使营业部在保证金提取方面设置了重重关卡，但由于转托管方面把关不严，不法分子仍有空子可钻。在我们调查的一家营业部中，就有不法分子利用这一漏洞，手持伪造的客户证件，将客户股票转托管到另一证券营业部后，再卖出提走保证金。

　　三、积极行动起来，采取有效措施，切实加强证券营业部电脑交易系统的安全管理，防范和化解技术风险
　　金融证券系统的安全运行，事关经济全局和社会政治稳定，事关千家万户的切身利益，容不得半点疏漏。各证券经营机构务必高度重视，并采取切实有效的措施解决好本单位电脑技术和管理上存在的各种问题，防范和化解可能出现的技术风险，维护证券市场的正常秩序。为此，特提出以下要求：
　　(一)必须严格按照《证券经营机构营业部信息系统技术管理规范(试行)》(证监信字[1998]2号)要求，提高硬件设备的性能、容量、可靠性，服务器等重要硬件设备要准备备份，每天对客户资料备份后存放异地保管。
　　(二)仍在使用安全级别小于C2的应用软件的机构，必须尽快开发或购置安全级别在C2级以上的软件，按照中国证监会的要求，于1999年6月30日前完成更新与调试营业部系统软、硬件的工作。
　　(三)进一步建立内部管理制度，健全内部制约机制，完善各项操作规程，坚决堵塞客户资料、客户保证金、柜台委托、股票转托管等方面存在的漏洞，努力把各种非法操作的可能性降到最低限度。
　　(四)抓紧建立安全防护屏障，对进入系统的电脑和用户进行严格限制和监控，防止非法侵入和操作。
　　(五)坚决执行中国证监会《关于中国证券期货业解决计算机2000年问题的提示性建议》(中国证券期货业计算机2000年问题工作会议文件)中提出的各项工作要求，对照全国证券、期货行业计算机2000年测试工作进度，由总部统一安排、解决好所属营业部的2000年问题。对不能如期完成本单位系统测试工作，并因此影响行业测试进度的，要坚决按照中国证监会的要求给予处罚，直至建议中国证监会暂停其从业资格。
　　(六)要尽快落实信息系统管理部门的归口管理，建立健全组织机构。各证券经营机构的电脑中心要切实担负起对信息系统规划、建设、管理和对营业部电脑部指导、监督，以及对技术人员培训、考核的责任。
　　(七)要切实加强员工的专业技术知识和法律知识培训，努力建设一支高素质的从业人员队伍。