保障营业部信息技术安全和效率

　　证券业协会负责人就《证券营业部信息技术指引》实施答记者问

　　本报记者 申屠 青南 北京报道

　　中国证券业协会负责人7日就《证券营业部信息技术指引》实施回答中国证券报记者提问时表示，要强化营业部交易安全，防范网络黑客。

　　强化营业部交易安全

　　中国证券报：基础设施建设一直以来都是营业部建设的重点，请问在指引中对基础设施建设方面有哪些新的规定？

　　协会负责人：基础设施是证券营业部信息技术基础环境的重要内容，本指引除对机房机柜、电力电源、综合布线等规定外，重要是对营业部是否配备发电机问题作出了明确的规定，提出了两种可选择标准。主要强调拥有安装发电机的营业部的UPS电池持续供电要保证1小时，没有安装发电机的营业部UPS电池持续供电要保证4小时，这个要求既符合证券营业部的实际情况，又规定了电力保障的最低标准。

　　中国证券报：证券公司实现集中交易后，营业部的职能有所转变，集中管理和集约化经营已成为现在证券公司的主要模式，在此模式下的信息系统建设有哪些具体的要求？

　　协会负责人：在集中交易模式下，网络成了联系总部和营业部的命脉，加强对营业部网络的管理成为现阶段信息安全管理的重点。因此指引中明确了证券营业部与所属证券公司之间，应使用不同运营商或不同介质的2条以上通信线路建立可靠通信连接，而且线路带宽能够满足业务需要并留有冗余。网络通信设备应有冗余备份，避免单设备故障，并能保证发生故障时实现及时切换，而且证券营业部局域网应合理划分用于交易业务的核心网、客户网和非交易业务的办公网等安全域，并且相应确定各安全域的功能定位。各安全域之间应采取安全措施实现有效隔离。用于交易业务的网络禁止直接接入互联网。这些具体技术标准将大大提升营业部效能。

　　中国证券报：目前各证券公司营业部之间的竞争日益激烈，通过缩小场地、减少人员以降低成本一直是营业部的竞争重点，在这种形势下如何保障系统运行的安全和有效？

　　协会负责人：营业部间的竞争是体现在理念、效率、服务、环境等多个方面的，但作为投资者交易服务的平台和窗口，营业部的信息技术保障是不可或缺的前提条件，也是营业部服务投资者的基本保障。因此本指引中规定营业部技术人员的最低要求，营业部需要配备专职技术人员1名，兼职技术人员1名。不能因缩减人员裁减营业部的技术人员，各公司可根据营业部规模大小和所在区域情况合理配置技术人员。

　　另外，在营业部信息技术人员有限的情况下，维护系统的正常运转则需要有更加严格的制度控制和严明的工作流程，《指引》对营业部的用户权限、密码管理、系统测试、监控体系、系统运行日志等做了明确规定，这些措施的落实到位，必将保障营业部信息技术安全和效率。

　　电话委托不可替代

　　中国证券报：我们注意到在网上交易盛行的今天，指引还对电话委托做了要求，请问具体的意义何在？

　　协会负责人：尽管网上交易已经成为证券交易的主要方式，但电话委托方式作为传统的委托方式在短时间内还将继续存在，特别是中老年投资者和90年代入市的投资者，仍热衷于电话委托方式，因此方便投资者交易，从保障投资者的利益出发，电话委托有不可替代的作用。当网上委托不畅、受阻或中断时，电话委托方式作为必要补充，尤其在紧急情况下，更显出其实用价值。为此，业内和监管部门反复论证后增加“证券营业部应当为客户提供现场委托以及网上委托、电话委托等2种以上非现场委托交易发式，其中证券公司电话委托线路应当不低于30线/万户合格资金账户。证券公司电话委托系统应提供集中服务，以保障局部地区发生突发事件时能够为该地区证券营业部提供持续的行情和交易服务。”

　　防范网络黑客

　　中国证券报：现在网络黑客无处不在，指引在对营业部加强网络安全管理方面有哪些措施？

　　协会负责人：网络安全是近年证券公司信息安全的重点，再好的防护软件，都是用“较量”的方式来对付黑客，谁高谁胜。因而最有效的方式是隔离。《指引》重点强调交易业务网与非交易业务网要进行有效隔离，规定用于交易业务的设备和系统不能直接接入互联网。

　　对于黑客的防范要从内外两个方面加强。指引中明确了营业部网络要划分不同安全等级，如交易业务的核心网、客户网和非交易业务的办公网。同时要求及时更新系统补丁和升级防病毒软件。对重要的数据和设备进行备份，每年至少进行两次应急演练，在遇到紧急情况下启动应急预案。

　　中国证券报：指引的最后特别提到，不提供现场交易的营业部实施标准可参照本指引，请问出发点是什么？

　　协会负责人：随着网络的普及，有些公司希望尝试开设非现场交易的营业部，指引起草中，业内也进行过反复讨论。从目前看，有现场交易客户的营业部还不能、也不应该改造为非现场交易营业部，这是从保护和方便投资者角度考虑。但指引规定了新设或营业部迁址时，如果一开始就决定不提供现场交易服务，经监管部门批准，在保障正常运营的前提下，这类不提供现场交易服务的营业部的基础环境、网络通信、应用系统和人员管理等可以参照本指引有关条款执行。这既反映了本指引顺应证券公司经营的新情况，也提出了非现场交易服务营业部的信息安全标准。