关于《银行证券跨行业信息系统突发事件应急处置工作指

引》证券行业评估报告

对于证券公司而言，银证业务目前主要指客户保证金第三方存管，现有的银证技术规章在发布初期，结合行业风险处置和账户规范清理工作，较好地指导了证券公司和合作银行的第三方存管系统的建设，规范了客户保证金第三方存管业务的开展，保证了证券客户资金的安全，同时兼顾了证券市场的交易和清算交收效率，促进了证券行业的健康发展。

风险防范和应急保障一直是证券行业工作的重中之重，在证券公司第三方存管系统建设过程中《银行、证券跨行业信息系统突发时间应急处置工作指引》（以下简称《应急指引》）对指导证券公司逐步完善软硬件系统和备份机制起到了重要的指导作用。目前在证券行业，从硬件方面的双机备份、异地备份到数据库系统的集群或容错及持续不断的系统优化保证了第三方存管系统的全年正常运行率保持在较高水平，特别是部分证券公司的第三方存管系统已经部分或全部融于核心交易系统，进一步保证了银证系统的高稳定性。

由于《应急指引》制定于银证业务发展初期，随着银证期各项制度的逐步建立和银证业务的发展，出现不同制度对同一内容的要求不同甚至冲突、部分条款操作性不强以及对新业务的支持性不够等问题。

一、 不同制度对同一内容定义或要求有所不同

1. 《应急指引》第六条与《证券期货业信息安全事件报告与调查处理

办法》以下简称《处理办法》中存在不一致，前者将银证突发事件分类为I、II、III级，后者第二章将证券期货行业的事件分为特别重大事件、重大事件、较大事件和一般事件四级，其中银证故障只划分为较大事件和一般事件两级，且分级因素不同；

2. 《应急指引》第十五条与《证券公司客户交易结算资金商业银行第

三方存管技术指引》以下简称《技术指引》第三十二条不同，前者对于银证系统发生重大变更时向受影响方提交变更方案的提前量是

两周，后者为30日；

3. 《应急指引》第二十二条与《技术指引》第四十三条不同，前者规

定当银证系统发生三级故障时应在10分钟内通知受影响单位，后者

规定为30分钟且没有分级；

4. 《应急指引》第二十四条与《处理办法》第十六条不同，前者要求

每2小时向监管部门上报一次，后者要求每1小时上报一次；

5. 《应急指引》第二十九条与《处理办法》第十八条不同，前者要求

应急结束一或两个工作日内上报总结报告，后者要求恢复正常后5

个工作日内提交。

二、 部分条款可操作性差

6. 《应急指引》第十六条规定在指定应急预案时建议相关机构签字盖

章。。。。。。由于执行时涉及银行众多且协议版本不统一，难以

执行；

7. 《应急指引》第十九条关于银证相关机构要制定年度应急演练计划

并组织实施。。。。。。由于上述协议的签署很难落实，导致下一

步的实施也无法付诸行动，另外，由于第三方存管业务在银行的整

个业务链中占比较小，因此银行在银证应急演练方面也处于相对被

动一方，很少考虑与证券公司联合演练，导致证券公司的日常演练

往往只能采取模拟方式进行；

8. 《应急指引》第二十一条要求按照既定预案做好突发事件应急处理。

对于证券方面的故障已经有一套比较成熟的处理预案，但目前95%

以上的故障都是银行方面的原因，当银行方面发生故障时，证券公

司往往比较被动，无法单方面处理象单边账等问题；

为更好开展银证业务，进一步提高第三方存管等银证业务的质量和效率，经几家证券公司认真讨论提出以下建议供参考

1. 银证一方发生重大变更需要及早通知受影响方，双方需要在开发、

测试等方面留有充分的时间，《技术指引》中提前30天的要求更为

合理；

2. 由于原有的银证应急预案大部分是银行起草的，在应急预案内容上

注重银行的利益，对证券公司的利益考虑较少，难以实施。希望银证管理部门起草一份应急预案模板，各方参照执行；

3. 单客户多银行模式的出现，给客户带来了更多的资金途径，为克服

单银行故障带来了新的解决契机。如果在某银行发生故障时能够将单客户多银行T+1跨行转帐调整为T+0方式，会降低上述故障给客户带来的影响；

4. 客户保证金支付业务即将推出，《应急指引》第四条中银证系统涉

及的业务建议增加“客户保证金支付业务”；

5. 考虑今后7*24小时银证业务需求，建议更改《应急指引》第五条日

间业务和日终业务的定义，比如改为交易时间和清算时间；

6. 《应急指引》第六条将银证突发事件分类为I、II、III级，《处理

办法》则将银证故障划分为较大事件和一般事件两级。建议与《处理办法》保持一致，并在其基础上细述场景。因为一旦发生紧急情况，迅速处理和保持联系畅通是最为重要的，简化处理手段和环节更有助于问题的快速解决；

7. 《应急指引》第十条，各银证机构和业务关联单位的银证系统风险

管理机制中建议增加以下规定：各银证机构和业务关联单位应建立常态测试环境、制定内部及联合应急演练计划，强化日常演练；

8. 《应急指引》第二十二条规定应急处置联络人应将故障处理进展情

况及时通报相关机构。在具体沟通方式上建议：（1）通过统一的实时通讯平台发送信息，使业务关联单位能及时获取相关信息，（2）突发事件报告单格式参考《处理办法》中的附件《信息安全事件情况报告书》。另外，还可以通过统一平台建立应急联络人通信录，并定期更新；建立银行与证券公司之间的应急处理流程以及实时交流平台等；

9. 建议《应急指引》第四章应急响应、第五章事件分析与总结，参考

《处理办法》中第三章“事件报告”相关要求，保持一致性。

20xx年3月29日

 

第二篇：第24章 信息系统评价

第24章 信息系统评价

所谓系统评价，是指根据预定的系统目的，在系统调查和可行性研究的基础上，主要从技术和经济等方面，就各种系统设计的方案所能满足需要的程度及消耗和占用的各种资源进行评审和选择，并选择出技术上先进、经济上合理、实施上可行的最优或满意方案；

系统评价的类型（评价与决策、评价与系统发展过程、评价与信息特征）；

评价问题的基本要素：评价者、评价对象、评价目标、评价指标、评价原则和策略，各个基本要素的有机组合被称为一个评价系统；

概述

概念和特点：

系统评价就是对系统运行一段时间后的技术性能及经济效益等方面的评价，是对信

息系统审计工作的延伸；

评价的目的是检查系统是否达到了预期的目标，技术性能是否达到了设计的要求，系统的各种资源是否得到充分利用，经济效益是否理想，并指出系统的长处与不足，为以后系统的改进和扩展提出依据；

具有复杂性和特殊性；

技术性能评价：

1、 系统的总体技术水平；

2、 系统的功能覆盖范围；

3、 信息资源开发和利用的范围和深度；

4、 系统质量；

5、 系统安全性；

6、 系统文档资料的规范、完备与正确程度；

管理效益评价：

管理效益即社会效益，是间接的经济效益，是通过改进组织结构及运作方式、提高人员素质等途径，促使成本下降、利润增加而逐渐地间接获得的效益； 管理效益评价可以反过来从系统运行所产生的间接管理作用和价值来进行评价：

1、 系统对组织为适应环境所做的结构、管理制度与管理模式等的变革所起的作用；

2、 系统帮助改善企业形象、对外提高客户对企业的信任度，对内增强员工的自信心和自豪感的程度；

3、 系统使管理人员获得许多新知识、新技术与新方法和提高技能素质的作用；

4、 系统对实现系统信息共享的贡献，对提高员工协作精神及企业的凝聚力的作用；

5、 系统提高企业的基础管理效率，为其他管理工作提供有利条件的作用；

成本的构成：

1、 系统运行环境及设施费用；

2、 系统开发成本；

3、 系统运行与维护成本；

从功能属性角度划分：基础成本、附加成本、额外成本和储备成本；

包含以下要素：

1、 开发成本；

2、 基础设施购买费；

3、 信息材料成本费；

4、 各种耗损费（信息材料耗损费，物质材料耗损费，固定资产耗损、折旧费）；

5、 通信费用；

6、 调研费用和咨询费用；

7、 劳务费；

8、 各种管理费；

9、 税金；

经济效益来源：

信息系统的效益主要从创收和服务活动中获得，按其属性可分为固有收益（指能长

期进行的产品服务或科研基金的申请）、直接收益（从各种服务或信息产品销售中直接获得）、间接收益（信息产品或服务的成果被再次利用所产生的收益）；

要素：

1、 科研基金费即科学事业费；

2、 系统人员进行技术开发的收入；

3、 服务收入；

4、 生产经营收入；

5、 其他收入；

经济效益评价的方法：

1、 投入产出分析法；

2、 成本效益分析法；

3、 价值工程方法；

综合评价：

特征：

1、 它的评价包含了多个独立指标；

2、 这些指标分别体现着信息系统的不同方面，通常具有不同的量纲；

3、 综合评价的目的是对信息系统做出一个整体性的判断，并用一个总体评价

值来反映信息系统的一般水平；

工作内容：

1、 综合评价指标体系及其评价标准的建立，这是整个评价工作的前提；

2、 定性或定量的方法（包括审计的方法）确定各指标的具体数值，即指标评

价值；

3、 各评价值的综合，包括综合算法和权重的确定、总评价值的计算等；

在确定指标以后，再确定各指标的权重，并用审计结果结合定性分析给各指标打分，最

后确定该系统的总分和等级，总结建设该系统的经验教训，并指出下一步的发展方向；

信息系统评价项目

建立评价目标（评价的最终目标是为了做出决策）：

系统规划期：重点关注如何识别满足业务目标的IT系统，同时规划战略目标，并

从不同的层面沟通和管理，建立良好的组织架构和技术基础架构是必不可少的；

系统设计期：在于理解IT战略后，识别、开发或获取、实施IT解决方案，保持项

目的方向；

系统转换期：主要是对已有系统的变更或维护，以确保系统生命周期的持续改进； 系统运行期：重点在于考核系统找出问题反馈修正系统，关注服务的价值交付，以

及应用系统的实际数据处理流程及系统的安全性；

信息系统评价计划书工作程序（工作程序是指从确定评价对象至完成整个评价工作

的过程），包括如下步骤：

1、 确定评价对象，下达评价通知书，组织成立评价工作组和专家咨询组；

2、 拟定评价工作方案，搜集基础资料；

3、 评价工作组实施评价，征求专家意见和反馈企业，撰写评价报告；

4、 评价工作组将评价报告报送专家咨询组复核，向评价组织机构（委托人）

送达评价报告和选择公布评价结果，建立评价项目档案等；

系统评价的主要方法：专家评估法、技术经济评估法、模型评估法、系统分析法；

设置评价项目：

评价小组主要负责审定系统效率、系统有效性、解题周期、响应时间、信息的关联、

输入输出的分配及控制、输入输出的格式和内容、文件、记录和数据库的结构、更新和后备措施、系统资料的通用性等内容；

评估项目组织结构：

1、 评估委员会；

2、 评估领导小组；

3、 评估执行小组；

4、 评估协调小组；

信息化指标体系------《企业信息化测评指标体系》

评价项目的标准

企业信息化评价基准是准确衡量信息化绩效的尺度；

性能评价标准：

指标体系包括如下内容：

1、 系统的可靠性，软硬件系统的可靠性以及数据可靠性，一般采用评价时间

点上的测试结果作为可靠性指标的评价结果；

2、 系统效率，反映系统完成各项功能所需的计算资源，如周转时间、响应时

间、吞吐量等系统效率指标；

3、 系统可维护性，确定系统错误并进行修正的努力程度；

4、 系统可扩充性，是指系统处理能力和系统功能的可扩充程度，分为系统结

构、系统硬件和系统软件功能可扩充性评价指标；

5、 系统可移植性，指系统从一个硬件（软件）环境移植到另一个硬件（软件）

环境的难易程度；

6、 系统实用性，是指系统运行对组织各部门的业务处理效率的提高等的支持

程度如何，以及对系统分析、预测和控制的建议有效性如何；

7、 系统适应性，在运行环境、约束条件或用户需求有所变动时的适应能力；

8、 系统安全保密性，对用户无意操作或系统软硬件工作安全性的保护措施，

以及对自然灾害和外部黑客攻击的安全保密保护；

常见指标的概念：

1、 事物处理响应时间；

2、 作业周转时间；

3、 吞吐量；

4、 故障恢复时间；

5、 控制台响应时间；

运行质量评价标准：

系统运行质量评价是指，从系统实际运行的角度对系统性能和建设质量等进行的分

析、评估和审计；

系统评价的步骤为：先根据评价的目标和目的设置评价指标体系，对于不同的系统

评价目的应建立不同的评价指标体系，然后根据评价指标体系确定采用的评价方法，围绕确定的评价指标对系统进行评价，最后给出评价结论；

评价指标：

1、 预定的系统开发目标的完成情况；

2、 运行环境的评价；

3、 系统运行使用性评价；

4、 系统的质量评价（定出如下质量评价的特征和指标）：

1、 系统对用户和业务需求的相对满意程度；

2、 系统的开发过程是否规范；

3、 系统功能的先进性、有效性和完备性；

4、 系统的性能、成本、效益综合比；

5、 系统运行结果的有效性和可行性；

6、 结果是否完整；

7、 信息资源的利用率；

8、 提供信息的质量如何；

9、 系统实用性；

系统效益评价标准

系统效益评价，指的是对系统的经济效益和社会效益等做出评价，可以分为

经济效益评价和社会效益评价；

成本-效益分析法（用系统所消耗的各种资源与收获的收益做比较）主要步骤：

明确企业管理信息化的成本和收益的组成、将成本和收益量化、计算货

币价值、通过一定技术经济分析模型或公式，计算有用的指标、比

较成本和收益的平衡关系，做出经济效益评价的结论；

企业信息化的成本包括：

1、 设备购置费用；

2、 设施费用；

3、 开发费用；

4、 系统运行维护费用；

企业信息化的收益包括：

1、 产值增加所获得利润收益；

2、 产品生产成本降低所节约的开支；

经济效益评价方法：

1、 差额计算法；

2、 比例计算法；

3、 信息费用效益评价法；

4、 边际效益分析；

5、 数学模型法；

社会效益主要体现在企业管理信息化对企业内部经营管理能力产生的影响；

系统改进建议

评价报告：

报告正文的主要内容包括企业系统基础情况描述、主要各项绩效指标对比分析、评

价结论、评价依据和评价方法等；

报告附录包括有关评价工作的基础文件和数据资料；

常见的系统改进建议：

1、 系统修改或重构的建议；

2、 系统开发说明书的建议；