2010年度期貨公司分類評價操作指引

關(guān)于再次對期貨公司信息技術(shù)管理指引（征求意見稿）征求意見的通知在京各期貨公司為了進一步提高期貨公司信息技術(shù)管理水平，中國期貨業(yè)協(xié)會受期貨部委托起草了期貨公司信息技術(shù)管理指引（征求意見稿）。并且在前次征求意見的基礎(chǔ)上進行了修改，現(xiàn)再次向業(yè)內(nèi)征求意見。請各公司高度重視此次征求意見工作，認真填寫反饋意見表，并于2009年5月5日17點前發(fā)送至中國期貨業(yè)協(xié)會。聯(lián)系人王曦劉鐵斌聯(lián)系電話0108808706201088087078傳真01088087074郵箱LIUTIEBINCFACHINAORG附件一期貨公司信息技術(shù)管理指引（征求意見稿）附件二反饋意見表北京證監(jiān)局期貨處2009429期貨公司信息技術(shù)管理指引（征求意見稿）目錄1總則62一類要求621技術(shù)管理6211組織結(jié)構(gòu)6212培訓6213人員素質(zhì)7214信息技術(shù)服務(wù)提供商管理7215IT投入722機房建設(shè)7221基本7222供電7223空調(diào)723核心系統(tǒng)7231功能7232性能和容量7233交易系統(tǒng)冗余8234行情冗余8235銀期系統(tǒng)冗余824安全8241網(wǎng)絡(luò)隔離8242防病毒、補丁和安全加固8243網(wǎng)站安全8244網(wǎng)上交易安全8245賬號與權(quán)限9246密碼管理9247安全審計925日常運行9251崗位9252制度與巡檢9253機房進出926備份9261數(shù)據(jù)備份927系統(tǒng)維護10271變更管理10272配置管理10273容量管理10274應(yīng)急演練10275技術(shù)事故管理1028營業(yè)部技術(shù)要求10281基本要求10282交易保障103二類要求1131技術(shù)管理11311組織結(jié)構(gòu)11312培訓11313人員素質(zhì)11314信息技術(shù)服務(wù)提供商管理11315IT投入1132機房建設(shè)12321基本12322供電12323空調(diào)12324布線12325維護1233核心系統(tǒng)12331功能12332性能和容量12333交易系統(tǒng)冗余13334行情冗余13335銀期系統(tǒng)冗余1334安全13341網(wǎng)絡(luò)隔離13342防病毒、補丁和安全加固13343網(wǎng)站安全14344網(wǎng)上交易安全14345賬號與權(quán)限14346密碼管理14347安全審計1435日常運行14351崗位14352制度與巡檢15353機房進出1536備份15361數(shù)據(jù)備份1537系統(tǒng)維護15371變更管理15372配置管理15373容量管理16374應(yīng)急演練16375技術(shù)事故管理1638營業(yè)部技術(shù)要求16381基本要求16382交易保障164三類要求1741技術(shù)管理17411組織結(jié)構(gòu)17412培訓17413人員素質(zhì)17414信息技術(shù)服務(wù)提供商管理17415IT投入1742機房建設(shè)18421基本18422供電18423空調(diào)18424布線18425維護1843核心系統(tǒng)19431功能19432性能和容量19433交易系統(tǒng)冗余19434行情冗余19435銀期系統(tǒng)冗余1944安全20441網(wǎng)絡(luò)隔離20442防病毒、補丁和安全加固20443網(wǎng)站安全20444網(wǎng)上交易安全20445賬號與權(quán)限21446密碼管理21447安全審計2145日常運行21451崗位21452制度與巡檢21453機房進出2246備份22461數(shù)據(jù)備份22462災(zāi)難備份2247系統(tǒng)維護23471變更管理23472配置管理23473容量管理23474應(yīng)急演練23475技術(shù)事故管理2348營業(yè)部技術(shù)要求24481基本要求24482交易保障245四類要求2451技術(shù)管理24511組織結(jié)構(gòu)24512培訓25513人員素質(zhì)25514信息技術(shù)服務(wù)提供商管理25515IT投入2552機房建設(shè)25521基本25522供電25523空調(diào)26524布線26525維護2653核心系統(tǒng)26531功能26532性能和容量26533交易系統(tǒng)冗余27534行情冗余27535銀期系統(tǒng)冗余2754安全27541網(wǎng)絡(luò)隔離27542防病毒、補丁和安全加固27543網(wǎng)站安全28544網(wǎng)上交易安全28545賬號與權(quán)限28546密碼管理28547安全審計2955日常運行29551崗位29552制度與巡檢29553機房進出2956備份30561數(shù)據(jù)備份30562災(zāi)難備份3057系統(tǒng)維護30571變更管理30572配置管理31573容量管理31574應(yīng)急演練31575技術(shù)事故管理3158營業(yè)部技術(shù)要求31581基本要求31582交易保障321總則11為了進一步促進期貨公司信息系統(tǒng)建設(shè)，提高運維保障水平，根據(jù)期貨交易管理條例、期貨公司管理辦法和國家有關(guān)技術(shù)要求，特制定期貨公司信息技術(shù)管理指引（以下簡稱“本指引”）。12本指引按照分類管理以適應(yīng)期貨公司的不同信息技術(shù)基礎(chǔ)和不同的技術(shù)要求。本指引共分四類，從一類到四類，要求依次提高，且高類別的要求包含低類別的要求，低類別的可選要求在高類別中自動成為必須要求。所有要求，如果在前面一類要求中沒有出現(xiàn)，將被標為“新增”，否則將被標為“延續(xù)”。13本指引中使用的名詞解釋如下131核心系統(tǒng)指期貨公司集中進行交易、結(jié)算和銀期轉(zhuǎn)賬等業(yè)務(wù)運作所使用的系統(tǒng)；132生產(chǎn)環(huán)境，是指正式運行核心系統(tǒng)的計算機環(huán)境，包括生產(chǎn)機房、網(wǎng)絡(luò)、主機、存儲、數(shù)據(jù)庫及應(yīng)用等為業(yè)務(wù)運行提供服務(wù)的所有軟硬件環(huán)境；133交易系統(tǒng)的所有部件指交易服務(wù)器、交換機、報盤機、路由器、網(wǎng)關(guān)、防火墻等；134有效隔離指物理分隔、防火墻、網(wǎng)閘、VLAN及等效設(shè)施；135機房指部署生產(chǎn)環(huán)境的所有機房。2一類要求21技術(shù)管理211組織結(jié)構(gòu)2111必須新增應(yīng)設(shè)有技術(shù)部門并有專職技術(shù)人員，并有明確的職責分工和崗位說明。2112必須新增總部技術(shù)部門人員總數(shù)占公司總部人數(shù)的比例不少于6。2113必須新增總部技術(shù)部門人員不少于3人。2114必須新增應(yīng)建立負責信息安全的管理機構(gòu)，其職責包括安全管理、系統(tǒng)規(guī)劃等。2115必須新增應(yīng)與所有總部技術(shù)部門人員簽署保密協(xié)議。2116必須新增應(yīng)設(shè)立2名技術(shù)聯(lián)絡(luò)員，負責組織、協(xié)調(diào)和處理與信息安全管理部門、交易所及相關(guān)單位的各項技術(shù)事宜。2117必須新增總部技術(shù)部門應(yīng)有至少1名安全管理人員。2118必須新增每個營業(yè)部應(yīng)配備至少一名技術(shù)人員。212培訓2121必須新增對所有上崗技術(shù)人員應(yīng)進行崗位培訓。2122必須新增總部技術(shù)部門的所有人員每兩年參加期貨業(yè)協(xié)會組織的技術(shù)培訓應(yīng)達到18學時，其中至少有3學時的信息技術(shù)法律法規(guī)及標準培訓。2123必須新增應(yīng)有明確的培訓教材，用于培訓上崗操作人員。213人員素質(zhì)2131必須新增總部技術(shù)部門人員50以上應(yīng)有信息技術(shù)相關(guān)專業(yè)大學本科或以上教育背景。214信息技術(shù)服務(wù)提供商管理2141必須新增應(yīng)與信息技術(shù)服務(wù)提供商簽訂服務(wù)保障協(xié)議。2142必須新增應(yīng)與核心系統(tǒng)的服務(wù)提供商簽署保密協(xié)議。2143必須新增應(yīng)有信息技術(shù)服務(wù)提供商的準確聯(lián)系方式。215IT投入2151必須新增最近三個財政年度IT投入平均數(shù)額應(yīng)不少于最近三個財政年度平均凈利潤的6或不少于最近三個財政年度平均營業(yè)收入的3，取二者數(shù)額較大者。22機房建設(shè)221基本2211必須新增機房應(yīng)為獨立封閉區(qū)域，并配備門禁。2212必須新增機房應(yīng)具備火警檢測、滅火和應(yīng)急照明設(shè)施。222供電2221必須新增機房應(yīng)配備UPS設(shè)施。2222必須新增UPS供電時間應(yīng)超過從斷電到發(fā)電設(shè)備開始供電的間隔時間。如無發(fā)電設(shè)備，UPS的電池應(yīng)能夠支撐當前機房的有效負載至少半個小時。223空調(diào)2231必須新增應(yīng)配有與機房熱容量匹配的空調(diào)。2232必須新增對機房溫濕度應(yīng)有監(jiān)控措施和記錄。23核心系統(tǒng)231功能2311必須新增交易系統(tǒng)應(yīng)實現(xiàn)數(shù)據(jù)與應(yīng)用分離，防止客戶終端繞過應(yīng)用程序界面直接訪問核心數(shù)據(jù)。2312必須新增交易系統(tǒng)應(yīng)具備對客戶進行實時風險控制的能力。2313必須新增交易系統(tǒng)應(yīng)能產(chǎn)生、記錄并存儲必要的日志信息供審計使用。2314必須新增核心系統(tǒng)應(yīng)具備向期貨保證金監(jiān)控中心上報規(guī)定數(shù)據(jù)的功能。2315必須新增核心系統(tǒng)不可提供篡改、偽造數(shù)據(jù)或其他可能導致數(shù)據(jù)失真的功能。2316必須新增核心系統(tǒng)應(yīng)有授權(quán)管理功能。2317必須新增應(yīng)要求交易系統(tǒng)供應(yīng)商提供交易、銀期及相關(guān)查詢接口。232性能和容量2321必須新增交易系統(tǒng)的性能和容量應(yīng)達到所有其作為會員的交易所的要求。2322必須新增應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)指標進行實時監(jiān)控。2323必須新增應(yīng)對所有接入交易所的交易通信鏈路進行監(jiān)控。2324必須新增接入交易所的交易通信鏈路應(yīng)達到所有其作為會員的交易所的要求。2325可選新增應(yīng)對所有網(wǎng)上交易的通信鏈路進行監(jiān)控。233交易系統(tǒng)冗余2331必須新增交易系統(tǒng)的所有部件應(yīng)有備份。234行情冗余2341必須新增應(yīng)使用至少2家行情商提供的行情服務(wù)，其中至少有1家使用至少2套服務(wù)器。235銀期系統(tǒng)冗余2351必須新增應(yīng)與至少2家銀行實現(xiàn)銀期轉(zhuǎn)賬，其中至少一家提供全國性銀期轉(zhuǎn)賬服務(wù)。24安全241網(wǎng)絡(luò)隔離2411必須新增生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)應(yīng)實現(xiàn)有效隔離。2412必須新增網(wǎng)站與網(wǎng)上交易系統(tǒng)應(yīng)實現(xiàn)有效隔離。2413必須新增生產(chǎn)網(wǎng)與辦公網(wǎng)應(yīng)實現(xiàn)有效隔離。2414必須新增總部的生產(chǎn)網(wǎng)與營業(yè)部的網(wǎng)絡(luò)應(yīng)實現(xiàn)有效隔離。2415必須新增生產(chǎn)網(wǎng)與交易所、銀行等外聯(lián)單位網(wǎng)絡(luò)應(yīng)實現(xiàn)有效隔離。242防病毒、補丁和安全加固2421必須新增應(yīng)建立有效機制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補丁進行了解、評估、必要的測試和升級。2422必須新增應(yīng)對使用WINDOWS平臺的計算機部署防病毒軟件，定期進行全面檢查，并及時進行病毒庫的更新。2423必須新增應(yīng)對通過互聯(lián)網(wǎng)向外提供服務(wù)的設(shè)備和系統(tǒng)進行定期安全掃描，關(guān)閉不需要的端口。243網(wǎng)站安全2431必須新增應(yīng)有專人監(jiān)控網(wǎng)站內(nèi)容，發(fā)現(xiàn)問題后及時處理。2432必須新增應(yīng)定期對網(wǎng)站進行安全檢查，并對隱患進行及時處理。2433必須新增應(yīng)準備足夠措施，能在發(fā)現(xiàn)網(wǎng)站被篡改后5分鐘內(nèi)停止發(fā)布被篡改的內(nèi)容。2434必須新增應(yīng)安裝木馬防護軟件并定期更新。2435必須新增網(wǎng)站的內(nèi)容發(fā)布應(yīng)有審核制度和完整的內(nèi)容發(fā)布流程。244網(wǎng)上交易安全2441必須新增應(yīng)提供可靠的身份認證機制，網(wǎng)上交易客戶端支持多種方式與服務(wù)端完成身份認證。2442必須新增服務(wù)器上的用戶認證信息應(yīng)加密存放。2443必須新增應(yīng)當與投資者簽訂網(wǎng)上期貨服務(wù)合同（協(xié)議）或在期貨合同（協(xié)議）中有專門的條款載明，期貨公司應(yīng)向投資者充分揭示網(wǎng)上期貨業(yè)務(wù)可能面臨的風險，期貨公司已經(jīng)采取的風險控制措施和客戶應(yīng)采取的風險控制措施，以及相關(guān)風險對應(yīng)的責任承擔。2444必須新增應(yīng)提供預(yù)留驗證信息服務(wù)，在客戶進行登錄時向客戶進行顯示，幫助客戶有效識別仿冒的網(wǎng)上期貨信息系統(tǒng)，防范不法分子利用仿冒的網(wǎng)上期貨信息系統(tǒng)進行詐騙活動。245賬號與權(quán)限2451必須新增應(yīng)有生產(chǎn)環(huán)境內(nèi)關(guān)鍵系統(tǒng)賬號與權(quán)限的關(guān)系表。2452必須新增賬號和權(quán)限變更應(yīng)有審批和完整的記錄。2453可選新增崗位變動應(yīng)及時調(diào)整對應(yīng)系統(tǒng)的賬號和權(quán)限。2454可選新增應(yīng)避免使用管理員賬號完成日常業(yè)務(wù)操作。246密碼管理2461必須新增所有書面方式保存的密碼應(yīng)有安全的物理保護措施。2462必須新增密碼應(yīng)有復(fù)雜度要求。247安全審計2471必須新增核心系統(tǒng)的主要業(yè)務(wù)操作應(yīng)產(chǎn)生審計記錄。2472必須新增應(yīng)采取有效措施防止刪除、修改或覆蓋審計記錄。25日常運行251崗位2511必須新增應(yīng)建立日常值班制度，設(shè)立專門運行保障崗位，制定明確的每日值班表，保障交易期間有人值守。2512必須新增初始化、結(jié)算、數(shù)據(jù)備份等關(guān)鍵操作過程和結(jié)果應(yīng)有復(fù)核。252制度與巡檢2521必須新增在關(guān)鍵時間點應(yīng)對生產(chǎn)環(huán)境運行狀態(tài)進行巡檢。2522必須新增巡檢應(yīng)保留記錄，并有操作和復(fù)核人員的簽名。253機房進出2531必須新增應(yīng)建立機房及值班操作間的出入登記制度，并保留相關(guān)記錄。2532必須新增非技術(shù)保障人員進入機房應(yīng)獲得授權(quán)，并有技術(shù)保障人員陪同，所攜帶設(shè)備應(yīng)專門登記。2533必須新增交易期間如無應(yīng)急需要，不應(yīng)進入機房。26備份261數(shù)據(jù)備份2611必須新增應(yīng)根據(jù)數(shù)據(jù)的重要性及其對核心系統(tǒng)運行的影響，制定數(shù)據(jù)備份策略和恢復(fù)策略。2612必須新增應(yīng)對介質(zhì)進行明確標識。2613必須新增應(yīng)確保介質(zhì)存放在安全環(huán)境中，實現(xiàn)對備份數(shù)據(jù)的控制和保護。2614必須新增每日應(yīng)對結(jié)算后數(shù)據(jù)進行備份。2615可選新增應(yīng)定期對主要備份業(yè)務(wù)數(shù)據(jù)進行恢復(fù)驗證，根據(jù)介質(zhì)使用期限及時轉(zhuǎn)儲數(shù)據(jù)。27系統(tǒng)維護271變更管理2711必須新增應(yīng)將所有涉及核心系統(tǒng)的軟硬件變更納入變更管理范圍。2712必須新增每次變更前應(yīng)進行評估。2713可選新增風險較大的變更，應(yīng)在變更后對系統(tǒng)的運行情況進行跟蹤。2714必須新增進行與核心系統(tǒng)相關(guān)的開發(fā)工作時，應(yīng)避免在生產(chǎn)環(huán)境上進行日常測試。2715必須新增如果需要使用生產(chǎn)環(huán)境進行測試，應(yīng)納入變更管理。272配置管理2721必須新增應(yīng)具有生產(chǎn)環(huán)境設(shè)計和部署文檔，并根據(jù)變更及時更新。2722必須新增應(yīng)對重要的配置信息進行有效備份。273容量管理2731必須新增每年應(yīng)對核心系統(tǒng)的性能和容量情況進行評估。274應(yīng)急演練2741必須新增對核心系統(tǒng)的常見故障應(yīng)有書面的應(yīng)急預(yù)案和排障流程。2742必須新增應(yīng)參與交易所等行業(yè)相關(guān)機構(gòu)組織的測試和應(yīng)急演練并有記錄。2743必須新增應(yīng)有應(yīng)急演練計劃，并定期根據(jù)計劃進行演練。275技術(shù)事故管理2751必須新增應(yīng)建立技術(shù)事故報告制度和流程。2752必須新增應(yīng)保存技術(shù)事故的記錄。28營業(yè)部技術(shù)要求281基本要求2811必須新增應(yīng)設(shè)立獨立隔斷的設(shè)備區(qū)域，用于放置營業(yè)部開展業(yè)務(wù)所需的網(wǎng)絡(luò)、通信和主機設(shè)備。2812必須新增應(yīng)確保在交易時間內(nèi)有技術(shù)人員進行技術(shù)系統(tǒng)維護工作。2813必須新增應(yīng)有與當前運行情況相符的業(yè)務(wù)系統(tǒng)結(jié)構(gòu)文檔。2814必須新增應(yīng)建立有效機制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補丁進行了解、評估、必要的測試和升級。2815必須新增應(yīng)對使用WINDOWS平臺的計算機部署防病毒軟件，定期進行全面檢查，并及時進行病毒庫的更新。2816必須新增應(yīng)建立有效機制，保障總部了解各個營業(yè)部的運行情況。2817必須新增應(yīng)有總部和信息技術(shù)服務(wù)提供商的準確聯(lián)系方式。282交易保障2821必須新增提供現(xiàn)場交易的營業(yè)部，應(yīng)有至少兩條交易通信鏈路。2822必須新增提供現(xiàn)場交易的營業(yè)部，關(guān)鍵設(shè)備應(yīng)有冗余。2823必須新增提供現(xiàn)場交易的營業(yè)部，應(yīng)有有效的日常運行流程和應(yīng)急處理流程，并進行適當?shù)难菥殹?二類要求31技術(shù)管理311組織結(jié)構(gòu)3111必須延續(xù)應(yīng)設(shè)有技術(shù)部門并有專職技術(shù)人員，并有明確的職責分工和崗位說明。3112必須延續(xù)總部技術(shù)部門人員總數(shù)占公司總部人數(shù)的比例不少于6。3113必須延續(xù)總部技術(shù)部門人員不少于5人。3114必須延續(xù)應(yīng)建立負責信息安全的管理機構(gòu)，其職責包括安全管理、系統(tǒng)規(guī)劃等。3115必須延續(xù)應(yīng)與所有總部技術(shù)部門人員簽署保密協(xié)議。3116必須延續(xù)應(yīng)設(shè)立2名技術(shù)聯(lián)絡(luò)員，負責組織、協(xié)調(diào)和處理與信息安全管理部門、交易所及相關(guān)單位的各項技術(shù)事宜。3117必須延續(xù)總部技術(shù)部門應(yīng)有至少1名安全管理人員。3118必須延續(xù)每個營業(yè)部應(yīng)配備至少一名技術(shù)人員。3119必須新增總部技術(shù)部門應(yīng)有至少1名網(wǎng)絡(luò)管理人員。312培訓3121必須延續(xù)對所有上崗技術(shù)人員應(yīng)進行崗位培訓。3122必須延續(xù)總部技術(shù)部門的所有人員每兩年參加期貨業(yè)協(xié)會組織的技術(shù)培訓應(yīng)達到18學時，其中至少有3學時的信息技術(shù)法律法規(guī)及標準培訓。3123必須延續(xù)應(yīng)有明確的培訓教材，用于培訓上崗操作人員。3124必須新增應(yīng)有對總部技術(shù)部門人員的年度培訓計劃，并根據(jù)計劃實施。313人員素質(zhì)3131必須延續(xù)總部技術(shù)部門人員50以上應(yīng)有信息技術(shù)相關(guān)專業(yè)大學本科或以上教育背景。3132必須新增總部技術(shù)部門人員50以上應(yīng)具備1年及以上的系統(tǒng)運行維護經(jīng)驗。314信息技術(shù)服務(wù)提供商管理3141必須延續(xù)應(yīng)與信息技術(shù)服務(wù)提供商簽訂服務(wù)保障協(xié)議。3142必須延續(xù)應(yīng)與核心系統(tǒng)的服務(wù)提供商簽署保密協(xié)議。3143必須延續(xù)應(yīng)有信息技術(shù)服務(wù)提供商的準確聯(lián)系方式。3144必須新增選擇信息技術(shù)服務(wù)提供商時應(yīng)評估其資質(zhì)、經(jīng)營行為、業(yè)績、服務(wù)體系和服務(wù)品質(zhì)等要素。3145必須新增應(yīng)定期對信息技術(shù)服務(wù)提供商的服務(wù)質(zhì)量進行評估。315IT投入3151必須延續(xù)最近三個財政年度IT投入平均數(shù)額應(yīng)不少于最近三個財政年度平均凈利潤的6或不少于最近三個財政年度平均營業(yè)收入的3，取二者數(shù)額較大者。32機房建設(shè)321基本3211必須延續(xù)機房應(yīng)為獨立封閉區(qū)域，并配備門禁。3212必須新增機房承重應(yīng)達到300公斤每平方米。3213必須延續(xù)機房應(yīng)具備火警檢測、滅火和應(yīng)急照明設(shè)施。3214必須新增機房應(yīng)當具備自動滅火設(shè)施。3215必須新增機房出入口和內(nèi)部應(yīng)安裝724小時錄像監(jiān)控設(shè)施，錄像至少保存一周。3216必須新增機房應(yīng)有防雷和接地的設(shè)施。322供電3221必須新增機房應(yīng)配備在線UPS設(shè)施。UPS應(yīng)當存放在獨立封閉區(qū)域。3222必須新增應(yīng)具有雙路市電供電，雙路供電應(yīng)能實現(xiàn)自動切換，或在單路供電情況下，備用供電措施能提供超過4小時的供電時間。323空調(diào)3231必須新增應(yīng)配有與機房熱容量匹配的精密空調(diào)，并有冗余的空調(diào)設(shè)備。3232必須延續(xù)對機房溫濕度應(yīng)有監(jiān)控措施和記錄。324布線3241必須新增強弱電布線應(yīng)分開。3242必須新增所有弱電布線應(yīng)有清晰的線標。325維護3251必須新增所有UPS和空調(diào)設(shè)施都應(yīng)有專業(yè)維護人員，或與專業(yè)機構(gòu)簽訂維護合同。3252必須新增應(yīng)定期對所有UPS和空調(diào)設(shè)施進行恰當維護，有維護記錄。33核心系統(tǒng)331功能3311必須延續(xù)交易系統(tǒng)應(yīng)實現(xiàn)數(shù)據(jù)與應(yīng)用分離，防止客戶終端繞過應(yīng)用程序界面直接訪問核心數(shù)據(jù)。3312必須延續(xù)交易系統(tǒng)應(yīng)具備對客戶進行實時風險控制的能力。3313必須延續(xù)交易系統(tǒng)應(yīng)能產(chǎn)生、記錄并存儲必要的日志信息供審計使用。3314必須延續(xù)核心系統(tǒng)應(yīng)具備向期貨保證金監(jiān)控中心上報規(guī)定數(shù)據(jù)的功能。3315必須延續(xù)核心系統(tǒng)不可提供篡改、偽造數(shù)據(jù)或其他可能導致數(shù)據(jù)失真的功能。3316必須延續(xù)核心系統(tǒng)應(yīng)有授權(quán)管理功能。3317必須新增核心系統(tǒng)應(yīng)有運行監(jiān)控功能。3318必須延續(xù)應(yīng)要求交易系統(tǒng)供應(yīng)商提供交易、銀期及相關(guān)查詢接口。332性能和容量3321必須延續(xù)交易系統(tǒng)的性能和容量應(yīng)達到所有其作為會員的交易所的要求。3322必須延續(xù)應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)指標進行實時監(jiān)控。3323可選新增應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)監(jiān)控指標進行記錄。3324必須延續(xù)應(yīng)對所有接入交易所的交易通信鏈路進行監(jiān)控。3325必須延續(xù)接入交易所的交易通信鏈路應(yīng)達到所有其作為會員的交易所的要求。3326可選新增接入交易所的交易通信鏈路帶寬使用率每日峰值按月統(tǒng)計的平均值應(yīng)不超過80。3327必須延續(xù)應(yīng)對所有網(wǎng)上交易的通信鏈路進行監(jiān)控。3328可選新增網(wǎng)上交易的通信鏈路帶寬使用率每日峰值按月統(tǒng)計的平均值應(yīng)不超過80。333交易系統(tǒng)冗余3331必須新增交易系統(tǒng)的所有部件應(yīng)有備份，具有30分鐘內(nèi)切換的能力。3332必須新增與交易所連接的網(wǎng)絡(luò)設(shè)備應(yīng)無單點故障。3333必須新增生產(chǎn)環(huán)境內(nèi)所有網(wǎng)絡(luò)設(shè)備應(yīng)有備份，具備30分鐘內(nèi)切換的能力。3334必須新增應(yīng)使用多個電信運營商的鏈路作為網(wǎng)上交易的通信鏈路。334行情冗余3341必須新增應(yīng)向客戶同時提供至少2套行情服務(wù)，且均使用至少2套服務(wù)器。3342必須新增應(yīng)通過至少兩個電信運營商提供行情服務(wù)。335銀期系統(tǒng)冗余3351必須新增應(yīng)與至少2家銀行實現(xiàn)全國性銀期轉(zhuǎn)帳。34安全341網(wǎng)絡(luò)隔離3411必須延續(xù)生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)應(yīng)實現(xiàn)有效隔離。3412必須延續(xù)網(wǎng)站與網(wǎng)上交易系統(tǒng)應(yīng)實現(xiàn)有效隔離。3413必須延續(xù)生產(chǎn)網(wǎng)與辦公網(wǎng)應(yīng)實現(xiàn)有效隔離。3414必須延續(xù)總部的生產(chǎn)網(wǎng)與營業(yè)部的網(wǎng)絡(luò)應(yīng)實現(xiàn)有效隔離。3415必須延續(xù)生產(chǎn)網(wǎng)與交易所、銀行等外聯(lián)單位網(wǎng)絡(luò)應(yīng)實現(xiàn)有效隔離。342防病毒、補丁和安全加固3421必須延續(xù)應(yīng)建立有效機制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補丁進行了解、評估、必要的測試和升級。3422必須延續(xù)應(yīng)對使用WINDOWS平臺的計算機部署防病毒軟件，定期進行全面檢查，并及時進行病毒庫的更新。3423必須新增應(yīng)對生產(chǎn)環(huán)境所有服務(wù)器定期進行安全掃描和合理加固，關(guān)閉不需要的端口。3424必須新增應(yīng)在計算機或存儲設(shè)備接入生產(chǎn)環(huán)境之前對其進行安全檢查。3425必須延續(xù)應(yīng)對通過互聯(lián)網(wǎng)向外提供服務(wù)的設(shè)備和系統(tǒng)進行定期安全掃描，關(guān)閉不需要的端口。3426必須新增在讀取移動存儲設(shè)備上的數(shù)據(jù)以及從網(wǎng)絡(luò)上接收文件或郵件之前，應(yīng)先進行病毒檢查。3427可選新增所有生產(chǎn)環(huán)境服務(wù)器應(yīng)盡量避免使用TELNET、FTP等有安全隱患的服務(wù)，與服務(wù)器通信應(yīng)采用加密方式，例如SSH。343網(wǎng)站安全3431必須延續(xù)應(yīng)有專人監(jiān)控網(wǎng)站內(nèi)容，發(fā)現(xiàn)問題后及時處理。3432必須延續(xù)應(yīng)定期對網(wǎng)站進行安全檢查，并對隱患進行及時處理。3433必須延續(xù)應(yīng)準備足夠措施，能在發(fā)現(xiàn)網(wǎng)站被篡改后5分鐘內(nèi)停止發(fā)布被篡改的內(nèi)容。3434必須延續(xù)應(yīng)安裝木馬防護軟件并定期更新。3435必須延續(xù)網(wǎng)站的內(nèi)容發(fā)布應(yīng)有審核制度和完整的內(nèi)容發(fā)布流程。344網(wǎng)上交易安全3441必須延續(xù)應(yīng)提供可靠的身份認證機制，網(wǎng)上交易客戶端支持多種方式與服務(wù)端完成身份認證。3442必須延續(xù)服務(wù)器上的用戶認證信息應(yīng)加密存放。3443必須延續(xù)應(yīng)當與投資者簽訂網(wǎng)上期貨服務(wù)合同（協(xié)議）或在期貨合同（協(xié)議）中有專門的條款載明，期貨公司應(yīng)向投資者充分揭示網(wǎng)上期貨業(yè)務(wù)可能面臨的風險，期貨公司已經(jīng)采取的風險控制措施和客戶應(yīng)采取的風險控制措施，以及相關(guān)風險對應(yīng)的責任承擔。3444必須延續(xù)應(yīng)提供預(yù)留驗證信息服務(wù)，在客戶進行登錄時向客戶進行顯示，幫助客戶有效識別仿冒的網(wǎng)上期貨信息系統(tǒng)，防范不法分子利用仿冒的網(wǎng)上期貨信息系統(tǒng)進行詐騙活動。345賬號與權(quán)限3451必須延續(xù)應(yīng)有生產(chǎn)環(huán)境內(nèi)關(guān)鍵系統(tǒng)賬號與權(quán)限的關(guān)系表。3452必須延續(xù)賬號和權(quán)限變更應(yīng)有審批和完整的記錄。3453必須延續(xù)崗位變動應(yīng)及時調(diào)整對應(yīng)系統(tǒng)的賬號和權(quán)限。3454必須延續(xù)應(yīng)避免使用管理員賬號完成日常業(yè)務(wù)操作。346密碼管理3461必須延續(xù)所有書面方式保存的密碼應(yīng)有安全的物理保護措施。3462必須延續(xù)密碼應(yīng)有復(fù)雜度要求。3463必須新增密碼應(yīng)定期更換。347安全審計3471必須延續(xù)核心系統(tǒng)的主要業(yè)務(wù)操作應(yīng)產(chǎn)生審計記錄。3472必須延續(xù)應(yīng)采取有效措施防止刪除、修改或覆蓋審計記錄。35日常運行351崗位3511必須延續(xù)應(yīng)建立日常值班制度，設(shè)立專門運行保障崗位，制定明確的每日值班表，保障交易期間有人值守。3512必須延續(xù)初始化、結(jié)算、數(shù)據(jù)備份等關(guān)鍵操作過程和結(jié)果應(yīng)有復(fù)核。3513必須新增交易運行期間應(yīng)有現(xiàn)場保障人員，以及時維護和應(yīng)急處理。352制度與巡檢3521必須延續(xù)在關(guān)鍵時間點應(yīng)對生產(chǎn)環(huán)境運行狀態(tài)進行巡檢。3522必須延續(xù)巡檢應(yīng)保留記錄，并有操作和復(fù)核人員的簽名。3523必須新增應(yīng)有詳細的操作手冊（包括日常操作和定期維護操作），手冊中應(yīng)有詳細的操作步驟。3524必須新增交易期間應(yīng)對核心系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)進行實時監(jiān)控，并能及時、有效地報警。3525必須新增應(yīng)保留關(guān)鍵操作的記錄和簽名。3526必須新增應(yīng)保留應(yīng)用系統(tǒng)的操作日志記錄。3527必須新增應(yīng)記錄生產(chǎn)環(huán)境發(fā)生的故障和異常。353機房進出3531必須延續(xù)應(yīng)建立機房及值班操作間的出入登記制度，并保留相關(guān)記錄。3532必須延續(xù)非技術(shù)保障人員進入機房應(yīng)獲得授權(quán)，并有技術(shù)保障人員陪同，所攜帶設(shè)備應(yīng)專門登記。3533必須延續(xù)交易期間如無應(yīng)急需要，不應(yīng)進入機房。36備份361數(shù)據(jù)備份3611必須延續(xù)應(yīng)根據(jù)數(shù)據(jù)的重要性及其對核心系統(tǒng)運行的影響，制定數(shù)據(jù)備份策略和恢復(fù)策略。3612必須新增應(yīng)建立數(shù)據(jù)管理、介質(zhì)維護、銷毀和使用管理制度。3613必須延續(xù)應(yīng)對介質(zhì)進行明確標識。3614必須延續(xù)應(yīng)確保介質(zhì)存放在安全環(huán)境中，實現(xiàn)對備份數(shù)據(jù)的控制和保護。3615必須延續(xù)每日應(yīng)對結(jié)算后數(shù)據(jù)進行備份。3616必須新增每周應(yīng)將結(jié)算后數(shù)據(jù)備份介質(zhì)離場存放。3617必須延續(xù)應(yīng)定期對主要備份業(yè)務(wù)數(shù)據(jù)進行恢復(fù)驗證，根據(jù)介質(zhì)使用期限及時轉(zhuǎn)儲數(shù)據(jù)。3618必須新增應(yīng)指定專人負責保管業(yè)務(wù)數(shù)據(jù)備份介質(zhì)。37系統(tǒng)維護371變更管理3711必須延續(xù)應(yīng)將所有涉及核心系統(tǒng)的軟硬件變更納入變更管理范圍。3712必須延續(xù)每次變更前應(yīng)進行評估。3713必須新增所有變更操作應(yīng)有操作記錄。3714必須新增所有變更應(yīng)進行事后檢查。3715必須延續(xù)風險較大的變更，應(yīng)在變更后對系統(tǒng)的運行情況進行跟蹤。3716必須延續(xù)進行與核心系統(tǒng)相關(guān)的開發(fā)工作時，應(yīng)避免在生產(chǎn)環(huán)境上進行日常測試。3717必須延續(xù)如果需要使用生產(chǎn)環(huán)境進行測試，應(yīng)納入變更管理。372配置管理3721必須延續(xù)應(yīng)具有生產(chǎn)環(huán)境設(shè)計和部署文檔，并根據(jù)變更及時更新。3722必須延續(xù)應(yīng)對重要的配置信息進行有效備份。3723必須新增應(yīng)有恢復(fù)配置信息的流程。373容量管理3731必須延續(xù)每年應(yīng)對核心系統(tǒng)的性能和容量情況進行評估。3732必須新增應(yīng)根據(jù)核心系統(tǒng)的性能容量評估報告，結(jié)合業(yè)務(wù)發(fā)展情況及時提出改進計劃。374應(yīng)急演練3741必須延續(xù)對核心系統(tǒng)的常見故障應(yīng)有書面的應(yīng)急預(yù)案和排障流程。3742必須延續(xù)應(yīng)參與交易所等行業(yè)相關(guān)機構(gòu)組織的測試和應(yīng)急演練并有記錄。3743必須新增應(yīng)根據(jù)機構(gòu)、人員、技術(shù)等變化，及時調(diào)整應(yīng)急預(yù)案。3744必須延續(xù)應(yīng)有應(yīng)急演練計劃，并定期根據(jù)計劃進行演練。3745必須新增應(yīng)準備必要工具，以便應(yīng)急預(yù)案的順利執(zhí)行。375技術(shù)事故管理3751必須延續(xù)應(yīng)建立技術(shù)事故報告制度和流程。3752必須延續(xù)應(yīng)保存技術(shù)事故的記錄。3753必須新增應(yīng)根據(jù)技術(shù)事故情況，及時提出改進計劃，落實改進措施。38營業(yè)部技術(shù)要求381基本要求3811必須延續(xù)應(yīng)設(shè)立獨立隔斷的設(shè)備區(qū)域，用于放置營業(yè)部開展業(yè)務(wù)所需的網(wǎng)絡(luò)、通信和主機設(shè)備。3812必須延續(xù)應(yīng)確保在交易時間內(nèi)有技術(shù)人員進行技術(shù)系統(tǒng)維護工作。3813必須延續(xù)應(yīng)有與當前運行情況相符的業(yè)務(wù)系統(tǒng)結(jié)構(gòu)文檔。3814必須新增應(yīng)配備防火墻或相當?shù)陌踩雷o設(shè)備。3815必須延續(xù)應(yīng)建立有效機制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補丁進行了解、評估、必要的測試和升級。3816必須延續(xù)應(yīng)對使用WINDOWS平臺的計算機部署防病毒軟件，定期進行全面檢查，并及時進行病毒庫的更新。3817必須延續(xù)應(yīng)建立有效機制，保障總部了解各個營業(yè)部的運行情況。3818必須延續(xù)應(yīng)有總部和信息技術(shù)服務(wù)提供商的準確聯(lián)系方式。382交易保障3821必須新增提供現(xiàn)場交易的營業(yè)部，其設(shè)備區(qū)域應(yīng)是一個單獨的房間。3822必須新增提供現(xiàn)場交易的營業(yè)部，應(yīng)為設(shè)備區(qū)域配備UPS和空調(diào)。3823必須延續(xù)提供現(xiàn)場交易的營業(yè)部，應(yīng)有至少兩條交易通信鏈路。3824必須延續(xù)提供現(xiàn)場交易的營業(yè)部，關(guān)鍵設(shè)備應(yīng)有冗余。3825必須延續(xù)提供現(xiàn)場交易的營業(yè)部，應(yīng)有有效的日常運行流程和應(yīng)急處理流程，并進行適當?shù)难菥殹?三類要求41技術(shù)管理411組織結(jié)構(gòu)4111必須延續(xù)應(yīng)設(shè)有技術(shù)部門并有專職技術(shù)人員，并有明確的職責分工和崗位說明。4112必須延續(xù)總部技術(shù)部門人員總數(shù)占公司總部人數(shù)的比例不少于6。4113必須延續(xù)總部技術(shù)部門人員不少于7人。4114必須延續(xù)應(yīng)建立負責信息安全的管理機構(gòu)，其職責包括安全管理、系統(tǒng)規(guī)劃等。4115必須延續(xù)應(yīng)與所有總部技術(shù)部門人員簽署保密協(xié)議。4116必須延續(xù)應(yīng)設(shè)立2名技術(shù)聯(lián)絡(luò)員，負責組織、協(xié)調(diào)和處理與信息安全管理部門、交易所及相關(guān)單位的各項技術(shù)事宜。4117必須延續(xù)總部技術(shù)部門應(yīng)有至少1名安全管理人員。4118必須延續(xù)每個營業(yè)部應(yīng)配備至少一名技術(shù)人員。4119必須新增總部技術(shù)部門應(yīng)有至少2名網(wǎng)絡(luò)管理人員。412培訓4121必須延續(xù)對所有上崗技術(shù)人員應(yīng)進行崗位培訓。4122必須延續(xù)總部技術(shù)部門的所有人員每兩年參加期貨業(yè)協(xié)會組織的技術(shù)培訓應(yīng)達到18學時，其中至少有3學時的信息技術(shù)法律法規(guī)及標準培訓。4123必須延續(xù)應(yīng)有明確的培訓教材，用于培訓上崗操作人員。4124必須延續(xù)應(yīng)有對總部技術(shù)部門人員的年度培訓計劃，并根據(jù)計劃實施。4125必須新增應(yīng)定期對各個崗位的人員進行安全教育和培訓。413人員素質(zhì)4131必須延續(xù)總部技術(shù)部門人員50以上應(yīng)有信息技術(shù)相關(guān)專業(yè)大學本科或以上教育背景。4132必須新增總部技術(shù)部門人員50以上應(yīng)具備2年及以上的系統(tǒng)運行維護經(jīng)驗。414信息技術(shù)服務(wù)提供商管理4141必須延續(xù)應(yīng)與信息技術(shù)服務(wù)提供商簽訂服務(wù)保障協(xié)議。4142必須延續(xù)應(yīng)與核心系統(tǒng)的服務(wù)提供商簽署保密協(xié)議。4143必須延續(xù)應(yīng)有信息技術(shù)服務(wù)提供商的準確聯(lián)系方式。4144必須延續(xù)選擇信息技術(shù)服務(wù)提供商時應(yīng)評估其資質(zhì)、經(jīng)營行為、業(yè)績、服務(wù)體系和服務(wù)品質(zhì)等要素。4145必須延續(xù)應(yīng)定期對信息技術(shù)服務(wù)提供商的服務(wù)質(zhì)量進行評估。415IT投入4151必須延續(xù)最近三個財政年度IT投入平均數(shù)額應(yīng)不少于最近三個財政年度平均凈利潤的6或不少于最近三個財政年度平均營業(yè)收入的3，取二者數(shù)額較大者。42機房建設(shè)421基本4211必須延續(xù)機房應(yīng)為獨立封閉區(qū)域，并配備門禁。4212必須新增機房承重應(yīng)達到500公斤每平方米。4213必須延續(xù)機房應(yīng)具備火警檢測、滅火和應(yīng)急照明設(shè)施。4214必須延續(xù)機房應(yīng)當具備自動滅火設(shè)施。4215必須延續(xù)機房出入口和內(nèi)部應(yīng)安裝724小時錄像監(jiān)控設(shè)施，錄像至少保存一周。4216必須延續(xù)機房應(yīng)有防雷和接地的設(shè)施。4217必須新增機房內(nèi)應(yīng)安裝漏水檢測設(shè)施，并能夠自動報警。4218必須新增機房內(nèi)應(yīng)采用鹵代烷或可替代的其他新型氣體滅火裝置。4219必須新增應(yīng)具有機房環(huán)境監(jiān)控系統(tǒng)，至少能夠監(jiān)控供配電、空調(diào)、溫濕度等重要指標。42110必須新增應(yīng)實現(xiàn)短信、語音等自動報警或724小時值守。422供電4221必須延續(xù)機房應(yīng)配備在線UPS設(shè)施。UPS應(yīng)當存放在獨立封閉區(qū)域。4222必須新增應(yīng)提供雙路市電，雙路供電應(yīng)能實現(xiàn)自動切換，雙UPS供電，并能夠采用發(fā)電機應(yīng)急供電。4223必須新增應(yīng)具有電力設(shè)施實時切換演練制度和記錄。4224必須新增UPS和發(fā)電機應(yīng)能夠提供不少于12小時的連續(xù)供電，在滿負載運行的情況下，UPS供電時間應(yīng)超過從斷電到發(fā)電機開始供電的間隔時間。4225必須新增應(yīng)定期對發(fā)電機進行開機測試423空調(diào)4231必須新增應(yīng)配有與機房熱容量匹配的精密空調(diào)，并有冗余的精密空調(diào)設(shè)備。4232必須延續(xù)對機房溫濕度應(yīng)有監(jiān)控措施和記錄。4233必須新增空調(diào)應(yīng)雙路供電。4234必須新增機房應(yīng)配備新風設(shè)施。4235可選新增應(yīng)具有為空調(diào)供電的發(fā)電機。424布線4241必須延續(xù)強弱電布線應(yīng)分開。4242必須延續(xù)所有弱電布線應(yīng)有清晰的線標。4243必須新增強電電纜應(yīng)有屏蔽措施。4244必須新增所有布線應(yīng)置于管道或橋架中。425維護4251必須延續(xù)所有UPS和空調(diào)設(shè)施都應(yīng)有專業(yè)維護人員，或與專業(yè)機構(gòu)簽訂維護合同。4252必須延續(xù)應(yīng)定期對所有UPS和空調(diào)設(shè)施進行恰當維護，有維護記錄。43核心系統(tǒng)431功能4311必須延續(xù)交易系統(tǒng)應(yīng)實現(xiàn)數(shù)據(jù)與應(yīng)用分離，防止客戶終端繞過應(yīng)用程序界面直接訪問核心數(shù)據(jù)。4312必須延續(xù)交易系統(tǒng)應(yīng)具備對客戶進行實時風險控制的能力。4313必須延續(xù)交易系統(tǒng)應(yīng)能產(chǎn)生、記錄并存儲必要的日志信息供審計使用。4314必須延續(xù)核心系統(tǒng)應(yīng)具備向期貨保證金監(jiān)控中心上報規(guī)定數(shù)據(jù)的功能。4315必須延續(xù)核心系統(tǒng)不可提供篡改、偽造數(shù)據(jù)或其他可能導致數(shù)據(jù)失真的功能。4316必須延續(xù)核心系統(tǒng)應(yīng)有授權(quán)管理功能。4317必須延續(xù)核心系統(tǒng)應(yīng)有運行監(jiān)控功能。4318必須新增交易系統(tǒng)應(yīng)具備流量控制管理功能。4319必須延續(xù)應(yīng)要求交易系統(tǒng)供應(yīng)商提供交易、銀期及相關(guān)查詢接口。432性能和容量4321必須延續(xù)交易系統(tǒng)的性能和容量應(yīng)達到所有其作為會員的交易所的要求。4322必須延續(xù)應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)指標進行實時監(jiān)控。4323必須延續(xù)應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)監(jiān)控指標進行記錄。4324必須延續(xù)應(yīng)對所有接入交易所的交易通信鏈路進行監(jiān)控。4325必須延續(xù)接入交易所的交易通信鏈路應(yīng)達到所有其作為會員的交易所的要求。4326必須延續(xù)接入交易所的交易通信鏈路帶寬使用率每日峰值按月統(tǒng)計的平均值應(yīng)不超過80。4327必須延續(xù)應(yīng)對所有網(wǎng)上交易的通信鏈路進行監(jiān)控。4328必須延續(xù)網(wǎng)上交易的通信鏈路帶寬使用率每日峰值按月統(tǒng)計的平均值應(yīng)不超過80。433交易系統(tǒng)冗余4331必須新增交易系統(tǒng)的所有部件應(yīng)有熱備份，具備5分鐘內(nèi)切換的能力。4332必須延續(xù)與交易所連接的網(wǎng)絡(luò)設(shè)備應(yīng)無單點故障。4333必須新增生產(chǎn)環(huán)境內(nèi)所有網(wǎng)絡(luò)設(shè)備應(yīng)有熱備份，具備1分鐘內(nèi)切換的能力。4334必須延續(xù)應(yīng)使用多個電信運營商的鏈路作為網(wǎng)上交易的通信鏈路。434行情冗余4341必須延續(xù)應(yīng)向客戶同時提供至少2套行情服務(wù)，且均使用至少2套服務(wù)器。4342必須新增應(yīng)有至少2套行情服務(wù)，且均通過至少兩個電信運營商提供服務(wù)。435銀期系統(tǒng)冗余4351必須延續(xù)應(yīng)與至少2家銀行實現(xiàn)全國性銀期轉(zhuǎn)帳。44安全441網(wǎng)絡(luò)隔離4411必須延續(xù)生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)應(yīng)實現(xiàn)有效隔離。4412必須延續(xù)網(wǎng)站與網(wǎng)上交易系統(tǒng)應(yīng)實現(xiàn)有效隔離。4413必須延續(xù)生產(chǎn)網(wǎng)與辦公網(wǎng)應(yīng)實現(xiàn)有效隔離。4414必須延續(xù)總部的生產(chǎn)網(wǎng)與營業(yè)部的網(wǎng)絡(luò)應(yīng)實現(xiàn)有效隔離。4415必須延續(xù)生產(chǎn)網(wǎng)與交易所、銀行等外聯(lián)單位網(wǎng)絡(luò)應(yīng)實現(xiàn)有效隔離。442防病毒、補丁和安全加固4421必須延續(xù)應(yīng)建立有效機制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補丁進行了解、評估、必要的測試和升級。4422必須延續(xù)應(yīng)對使用WINDOWS平臺的計算機部署防病毒軟件，定期進行全面檢查，并及時進行病毒庫的更新。4423必須延續(xù)應(yīng)對生產(chǎn)環(huán)境所有服務(wù)器定期進行安全掃描和合理加固，關(guān)閉不需要的端口。4424必須延續(xù)應(yīng)在計算機或存儲設(shè)備接入生產(chǎn)環(huán)境之前對其進行安全檢查。4425必須延續(xù)應(yīng)對通過互聯(lián)網(wǎng)向外提供服務(wù)的設(shè)備和系統(tǒng)進行定期安全掃描，關(guān)閉不需要的端口。4426必須延續(xù)在讀取移動存儲設(shè)備上的數(shù)據(jù)以及從網(wǎng)絡(luò)上接收文件或郵件之前，應(yīng)先進行病毒檢查。4427可選新增對通過互聯(lián)網(wǎng)傳送的交易及結(jié)算數(shù)據(jù)應(yīng)有加密手段，以保護數(shù)據(jù)的安全。4428必須延續(xù)所有生產(chǎn)環(huán)境服務(wù)器應(yīng)盡量避免使用TELNET、FTP等有安全隱患的服務(wù)，與服務(wù)器通信應(yīng)采用加密方式，例如SSH。443網(wǎng)站安全4431必須延續(xù)應(yīng)有專人監(jiān)控網(wǎng)站內(nèi)容，發(fā)現(xiàn)問題后及時處理。4432必須延續(xù)應(yīng)定期對網(wǎng)站進行安全檢查，并對隱患進行及時處理。4433必須延續(xù)應(yīng)準備足夠措施，能在發(fā)現(xiàn)網(wǎng)站被篡改后5分鐘內(nèi)停止發(fā)布被篡改的內(nèi)容。4434必須延續(xù)應(yīng)安裝木馬防護軟件并定期更新。4435必須延續(xù)網(wǎng)站的內(nèi)容發(fā)布應(yīng)有審核制度和完整的內(nèi)容發(fā)布流程。4436必須新增應(yīng)對網(wǎng)站主頁內(nèi)容實現(xiàn)自動監(jiān)控，能在5分鐘內(nèi)檢測到篡改。4437必須新增應(yīng)請有資質(zhì)的專業(yè)安全機構(gòu)定期對網(wǎng)站提供安全評估或掃描服務(wù)，并對安全漏洞進行整改。444網(wǎng)上交易安全4441必須延續(xù)應(yīng)提供可靠的身份認證機制，網(wǎng)上交易客戶端支持多種方式與服務(wù)端完成身份認證。4442必須延續(xù)服務(wù)器上的用戶認證信息應(yīng)加密存放。4443必須延續(xù)應(yīng)當與投資者簽訂網(wǎng)上期貨服務(wù)合同（協(xié)議）或在期貨合同（協(xié)議）中有專門的條款載明，期貨公司應(yīng)向投資者充分揭示網(wǎng)上期貨業(yè)務(wù)可能面臨的風險，期貨公司已經(jīng)采取的風險控制措施和客戶應(yīng)采取的風險控制措施，以及相關(guān)風險對應(yīng)的責任承擔。4444必須延續(xù)應(yīng)提供預(yù)留驗證信息服務(wù)，在客戶進行登錄時向客戶進行顯示，幫助客戶有效識別仿冒的網(wǎng)上期貨信息系統(tǒng)，防范不法分子利用仿冒的網(wǎng)上期貨信息系統(tǒng)進行詐騙活動。4445可選新增至少提供一種強度較高的用戶身份認證機制。4446必須新增應(yīng)請有資質(zhì)的專業(yè)安全機構(gòu)定期對網(wǎng)上交易系統(tǒng)提供安全評估或掃描服務(wù)，并對安全漏洞進行整改。445賬號與權(quán)限4451必須延續(xù)應(yīng)有生產(chǎn)環(huán)境內(nèi)關(guān)鍵系統(tǒng)賬號與權(quán)限的關(guān)系表。4452必須延續(xù)賬號和權(quán)限變更應(yīng)有審批和完整的記錄。4453必須延續(xù)崗位變動應(yīng)及時調(diào)整對應(yīng)系統(tǒng)的賬號和權(quán)限。4454必須延續(xù)應(yīng)避免使用管理員賬號完成日常業(yè)務(wù)操作。446密碼管理4461必須延續(xù)所有書面方式保存的密碼應(yīng)有安全的物理保護措施。4462必須延續(xù)密碼應(yīng)有復(fù)雜度要求。4463必須延續(xù)密碼應(yīng)定期更換。447安全審計4471必須延續(xù)核心系統(tǒng)的主要業(yè)務(wù)操作應(yīng)產(chǎn)生審計記錄。4472必須延續(xù)應(yīng)采取有效措施防止刪除、修改或覆蓋審計記錄。4473可選新增所有的主要運維操作應(yīng)采取恰當?shù)恼J證措施，并產(chǎn)生審計記錄。45日常運行451崗位4511必須延續(xù)應(yīng)建立日常值班制度，設(shè)立專門運行保障崗位，制定明確的每日值班表，保障交易期間有人值守。4512必須延續(xù)初始化、結(jié)算、數(shù)據(jù)備份等關(guān)鍵操作過程和結(jié)果應(yīng)有復(fù)核。4513必須延續(xù)交易運行期間應(yīng)有現(xiàn)場保障人員，以及時維護和應(yīng)急處理。4514必須新增網(wǎng)絡(luò)、主機、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的運行維護等關(guān)鍵技術(shù)崗位應(yīng)有備崗人員。4515必須新增應(yīng)實現(xiàn)雙人日常值班。452制度與巡檢4521必須延續(xù)在關(guān)鍵時間點應(yīng)對生產(chǎn)環(huán)境運行狀態(tài)進行巡檢。4522必須延續(xù)巡檢應(yīng)保留記錄，并有操作和復(fù)核人員的簽名。4523必須延續(xù)應(yīng)有詳細的操作手冊（包括日常操作和定期維護操作），手冊中應(yīng)有詳細的操作步驟。4524必須延續(xù)交易期間應(yīng)對核心系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)進行實時監(jiān)控，并能及時、有效地報警。4525必須延續(xù)應(yīng)保留關(guān)鍵操作的記錄和簽名。4526必須延續(xù)應(yīng)保留應(yīng)用系統(tǒng)的操作日志記錄。4527必須延續(xù)應(yīng)記錄生產(chǎn)環(huán)境發(fā)生的故障和異常。4528必須新增對核心系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的實時監(jiān)控應(yīng)當包括系統(tǒng)的可用性和系統(tǒng)性能。4529必須新增應(yīng)建立完善和更新重要手冊的機制。453機房進出4531必須延續(xù)應(yīng)建立機房及值班操作間的出入登記制度，并保留相關(guān)記錄。4532必須延續(xù)非技術(shù)保障人員進入機房應(yīng)獲得授權(quán)，并有技術(shù)保障人員陪同，所攜帶設(shè)備應(yīng)專門登記。4533必須延續(xù)交易期間如無應(yīng)急需要，不應(yīng)進入機房。46備份461數(shù)據(jù)備份4611必須延續(xù)應(yīng)根據(jù)數(shù)據(jù)的重要性及其對核心系統(tǒng)運行的影響，制定數(shù)據(jù)備份策略和恢復(fù)策略。4612必須延續(xù)應(yīng)建立數(shù)據(jù)管理、介質(zhì)維護、銷毀和使用管理制度。4613必須延續(xù)應(yīng)對介質(zhì)進行明確標識。4614必須延續(xù)應(yīng)確保介質(zhì)存放在安全環(huán)境中，實現(xiàn)對備份數(shù)據(jù)的控制和保護。4615必須延續(xù)每日應(yīng)對結(jié)算后數(shù)據(jù)進行備份。4616必須新增每周應(yīng)將結(jié)算后數(shù)據(jù)備份介質(zhì)異地存放。4617必須延續(xù)應(yīng)定期對主要備份業(yè)務(wù)數(shù)據(jù)進行恢復(fù)驗證，根據(jù)介質(zhì)使用期限及時轉(zhuǎn)儲數(shù)據(jù)。4618可選新增應(yīng)利用通信網(wǎng)絡(luò)將關(guān)鍵業(yè)務(wù)數(shù)據(jù)實時傳送至異地數(shù)據(jù)備份場所。4619可選新增每日備份后應(yīng)立即進行恢復(fù)驗證。46110必須延續(xù)應(yīng)指定專人負責保管業(yè)務(wù)數(shù)據(jù)備份介質(zhì)。462災(zāi)難備份4621可選新增應(yīng)有災(zāi)難備份中心，可以接管所有核心業(yè)務(wù)的運行。4622可選新增災(zāi)難備份中心應(yīng)有滿足關(guān)鍵業(yè)務(wù)功能恢復(fù)運作要求的場地和設(shè)施。4623可選新增采用遠程數(shù)據(jù)復(fù)制技術(shù)，并利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)實時復(fù)制到災(zāi)難備份中心。4624可選新增災(zāi)難備份中心應(yīng)配備恢復(fù)所需的全部運行環(huán)境，并處于就緒狀態(tài)或運行狀態(tài)。4625可選新增災(zāi)難備份中心應(yīng)配備災(zāi)難恢復(fù)所需的通信鏈路和網(wǎng)絡(luò)設(shè)備，并處于就緒狀態(tài)。4626可選新增災(zāi)難備份中心應(yīng)在交易和結(jié)算時間內(nèi)有相關(guān)技術(shù)支持和保障人員。4627可選新增災(zāi)難備份中心應(yīng)有相應(yīng)的運行維護流程。4628可選新增應(yīng)有詳細的災(zāi)難恢復(fù)預(yù)案及操作流程，并根據(jù)流程每年進行演練。4629可選新增恢復(fù)時間目標（RTO）應(yīng)12小時。46210可選新增設(shè)計災(zāi)難備份中心運行時，處理能力應(yīng)不低于主系統(tǒng)處理能力的50。47系統(tǒng)維護471變更管理4711必須延續(xù)應(yīng)將所有涉及核心系統(tǒng)的軟硬件變更納入變更管理范圍。4712必須延續(xù)每次變更前應(yīng)進行評估。4713必須延續(xù)所有變更操作應(yīng)有操作記錄。4714必須延續(xù)所有變更應(yīng)進行事后檢查。4715必須新增對于風險較大的變更，在條件允許的情況下，應(yīng)制定應(yīng)急和回退方案。4716必須延續(xù)風險較大的變更，應(yīng)在變更后對系統(tǒng)的運行情況進行跟蹤。4717必須新增應(yīng)及時對變更涉及的系統(tǒng)配置和操作手冊進行修改。4718可選新增對于風險較大的核心系統(tǒng)變更，在條件允許的情況下，應(yīng)在上線前進行演練。4719必須新增應(yīng)定期進行風險評估，及時發(fā)現(xiàn)風險隱患，并予以處理。47110必須延續(xù)進行與核心系統(tǒng)相關(guān)的開發(fā)工作時，應(yīng)避免在生產(chǎn)環(huán)境上進行日常測試。47111必須延續(xù)如果需要使用生產(chǎn)環(huán)境進行測試，應(yīng)納入變更管理。472配置管理4721必須延續(xù)應(yīng)具有生產(chǎn)環(huán)境設(shè)計和部署文檔，并根據(jù)變更及時更新。4722必須延續(xù)應(yīng)對重要的配置信息進行有效備份。4723必須延續(xù)應(yīng)有恢復(fù)配置信息的流程。4724可選新增應(yīng)對配置信息的恢復(fù)進行演練。4725必須新增應(yīng)建立配置管理制度和配置文檔庫。4726必須新增應(yīng)有專人負責生產(chǎn)環(huán)境配置管理。473容量管理4731必須延續(xù)每年應(yīng)對核心系統(tǒng)的性能和容量情況進行評估。4732必須延續(xù)應(yīng)根據(jù)核心系統(tǒng)的性能容量評估報告，結(jié)合業(yè)務(wù)發(fā)展情況及時提出改進計劃。4733必須新增應(yīng)及時執(zhí)行改進計劃，并對執(zhí)行結(jié)果進行跟蹤和評估。474應(yīng)急演練4741必須延續(xù)對核心系統(tǒng)的常見故障應(yīng)有書面的應(yīng)急預(yù)案和排障流程。4742必須延續(xù)應(yīng)參與交易所等行業(yè)相關(guān)機構(gòu)組織的測試和應(yīng)急演練并有記錄。4743必須延續(xù)應(yīng)根據(jù)機構(gòu)、人員、技術(shù)等變化，及時調(diào)整應(yīng)急預(yù)案。4744必須延續(xù)應(yīng)有應(yīng)急演練計劃，并定期根據(jù)計劃進行演練。4745必須延續(xù)應(yīng)準備必要工具，以便應(yīng)急預(yù)案的順利執(zhí)行。475技術(shù)事故管理4751必須延續(xù)應(yīng)建立技術(shù)事故報告制度和流程。4752必須延續(xù)應(yīng)保存技術(shù)事故的記錄。4753必須延續(xù)應(yīng)根據(jù)技術(shù)事故情況，及時提出改進計劃，落實改進措施。48營業(yè)部技術(shù)要求481基本要求4811必須延續(xù)應(yīng)設(shè)立獨立隔斷的設(shè)備區(qū)域，用于放置營業(yè)部開展業(yè)務(wù)所需的網(wǎng)絡(luò)、通信和主機設(shè)備。4812必須延續(xù)應(yīng)確保在交易時間內(nèi)有技術(shù)人員進行技術(shù)系統(tǒng)維護工作。4813必須延續(xù)應(yīng)有與當前運行情況相符的業(yè)務(wù)系統(tǒng)結(jié)構(gòu)文檔。4814必須延續(xù)應(yīng)配備防火墻或相當?shù)陌踩雷o設(shè)備。4815必須延續(xù)應(yīng)建立有效機制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補丁進行了解、評估、必要的測試和升級。4816必須延續(xù)應(yīng)對使用WINDOWS平臺的計算機部署防病毒軟件，定期進行全面檢查，并及時進行病毒庫的更新。4817必須延續(xù)應(yīng)建立有效機制，保障總部了解各個營業(yè)部的運行情況。4818必須延續(xù)應(yīng)有總部和信息技術(shù)服務(wù)提供商的準確聯(lián)系方式。482交易保障4821必須延續(xù)提供現(xiàn)場交易的營業(yè)部，其設(shè)備區(qū)域應(yīng)是一個單獨的房間。4822必須延續(xù)提供現(xiàn)場交易的營業(yè)部，應(yīng)為設(shè)備區(qū)域配備UPS和空調(diào)。4823必須延續(xù)提供現(xiàn)場交易的營業(yè)部，應(yīng)有至少兩條交易通信鏈路。4824必須延續(xù)提供現(xiàn)場交易的營業(yè)部，關(guān)鍵設(shè)備應(yīng)有冗余。4825必須新增提供現(xiàn)場交易的營業(yè)部，應(yīng)對設(shè)備容量、交易通信鏈路進行監(jiān)控，及時進行必要的升級。4826必須延續(xù)提供現(xiàn)場交易的營業(yè)部，應(yīng)有有效的日常運行流程和應(yīng)急處理流程，并進行適當?shù)难菥殹?四類要求51技術(shù)管理511組織結(jié)構(gòu)5111必須延續(xù)應(yīng)設(shè)有技術(shù)部門并有專職技術(shù)人員，并有明確的職責分工和崗位說明。5112必須延續(xù)總部技術(shù)部門人員總數(shù)占公司總部人數(shù)的比例不少于6。5113必須延續(xù)總部技術(shù)部門人員不少于9人。5114必須新增公司應(yīng)設(shè)立內(nèi)部審計崗位，定期對IT流程執(zhí)行情況進行審計。5115必須延續(xù)應(yīng)建立負責信息安全的管理機構(gòu)，其職責包括安全管理、系統(tǒng)規(guī)劃等。5116必須延續(xù)應(yīng)與所有總部技術(shù)部門人員簽署保密協(xié)議。5117必須延續(xù)應(yīng)設(shè)立2名技術(shù)聯(lián)絡(luò)員，負責組織、協(xié)調(diào)和處理與信息安全管理部門、交易所及相關(guān)單位的各項技術(shù)事宜。5118必須延續(xù)總部技術(shù)部門應(yīng)有至少1名安全管理人員。5119必須延續(xù)每個營業(yè)部應(yīng)配備至少一名技術(shù)人員。51110必須延續(xù)總部技術(shù)部門應(yīng)有至少2名網(wǎng)絡(luò)管理人員。512培訓5121必須延續(xù)對所有上崗技術(shù)人員應(yīng)進行