上市公司股东大会网络投票系统技术管理规范 (试行)
(2004年12月20日 证监信息字〔2004〕5号)
第一章 总则
第二章 系统建设
第三章 系统运行维护
第四章 数据管理
第五章 附则
第一章 总则
第一条 为保证股东大会网络投票系统规范建设、安全稳定运行,方便上市公司股东参加股东大会并行使表决权,根据《上市公司股东大会网络投票工作指引(试行)》和网络与信息安全管理的有关要求,制定本规范。
第二条 本规范所称股东大会网络投票系统是指利用网络与通信技术,为上市公司股东非现场参加股东大会并行使表决权服务的信息技术系统。
第三条 股东大会网络投票系统技术管理遵循以下基本原则:
安全性原则。树立安全防范意识,在系统的建设、运行、维护等方面和硬件、软件、网络通讯、数据、管理等环节严格落实安全措施,将安全性原则贯彻到信息技术管理的各个环节和每个层面。
实用性原则。在确保安全和性能的前提下,注重采用成熟的先进技术,实现股东大会网络投票系统高效率、低成本、易操作。
标准化原则。为有效降低使用和运行成本,股东大会网络投票系统应采用统一的技术标准。
第二章 系统建设
第四条 股东大会网络投票系统建设应遵循国家和行业相关标准,加强人员、进度、成本、风险等的分析和管理,确保质量。
第五条 股东大会网络投票系统应满足《上市公司股东大会网络投票工作指引(试行)》的要求,全面实现其规定的功能。
第六条 技术标准的采用,国家有明确规定的,按国家规定执行;国家没有明确规定的,由中国证券监督管理委员会(以下简称中国证监会)组织确定。
第七条 股东大会网络投票系统应具备较强的防非法访问、防攻击、防破坏的能力,按照国家和行业的信息安全标准建立有效的安全防护体系。
第八条 股东大会网络投票系统应具有良好的承载能力,确保系统在高负荷状态下正常运行。
第九条 股东大会网络投票系统应对使用者进行严格的身份认证,并采取有效的防抵赖措施。
第十条 股东大会网络投票系统应按国家规定使用加密产品和加密算法。
第十一条 支持股东大会网络投票系统的电子认证系统应按国家有关法律、法规的要求办理相应手续,需要通过国家主管部门认可的,认可情况的书面材料应报中国证监会备案。
第十二条 股东大会网络投票系统建设完成和升级改造后,应进行上线风险评估,做好系统整体功能和压力测试,并将建设和测试情况报中国证监会备案。
第十三条 办理登录股东大会网络投票系统各类手续和登录后如何操作的流程,应做到清晰、公开、透明,对使用者应进行必要的辅导。
第十四条 股东大会网络投票系统的机房建设应符合国家及行业的相关标准及要求。
第三章 系统运行维护
第十五条 应建立健全股东大会网络投票系统运行管理制度:
(一)制定规范的日常操作流程,建立完善的运行维护日志,关键操作建立复核机制。
(二)建立完善的监控体系和规范的故障处理流程,对系统的运行环境、运行状况等进行实时监控和及时的事后分析。
(三)建立相应的操作权限管理机制。
第十六条 应建立全面、严格的股东大会网络投票系统技术事故防范制度,定期进行技术核查,针对薄弱环节不断改进完善技术系统,明确技术事故防范和处理工作中的责任人和监督人,建立管理、技术和业务部门之间的协调机制。
第十七条 应制定完善的股东大会网络投票系统应急处置预案。通过对人员进行专项培训和必要的演习,确保技术事故发生时,顺利启动应急处置预案。应急处置预案应不断进行补充和完善。
第十八条 应建立计算机病毒防范制度和预警机制。严格进行病毒检测及处置,统一组织和实施计算机病毒防范工作。
第十九条 应加强账户和密码管理。系统管理人员的账户和密码专人专用,定期更换;不应为使用者设置统一的、有规律的、易破解的初始密码;严格控制缺省账户的使用。
第二十条 使用密钥的股东大会网络投票系统应建立完善的密钥管理制度,制定严格的密钥保管和使用规范。密钥应由专人保管,相关人员要与本单位签定保密责任书。
第二十一条 股东大会网络投票系统的信息发布应遵循国家有关规定,不得出现国家有关规定禁止的内容。
第四章 数据管理
第二十二条 数据是指在股东大会网络投票系统的使用和管理中产生的各种信息。
第二十三条 数据包括业务数据和系统管理数据。
业务数据是指被网络投票系统引用及由网络投票系统生成的信息,包括公告、议题、签到和表决等。
系统管理数据是指系统配置及系统用户信息,包括系统配置文件、系统日志、系统账号和密码等。
第二十四条 应采取必要措施保证重要业务数据(如签到数据、用户名及密码数据、公布前的表决结果数据等)的安全性,包括但不限于如下措施:
(一)数据的产生、传输和储存进行全程加密。
(二)建立严密的使用、修改、转移、保存和销毁保密数据的规章制度和操作流程,严禁私自外借、篡改甚至销毁保密数据。
第二十五条 股东大会网络投票结束后应及时将业务数据完整、准确地转储到可靠介质上,并实现集中和异地保存。
第二十六条 建立严格的备份数据管理制度,保证备份数据长期保存、严格使用、完整可读。
第五章 附则
第二十七条 本规范由中国证监会负责解释。
