期貨公司信息技術管理指引(修訂)檢查細則V1.01.

1、期貨公司信息技術管理指引 檢查細則版本號：1.01中國期貨業(yè)協(xié)會二一四年八月二十七日目 錄1. 總則11.1 范圍11.2 術語和定義11.2.1 檢查方式11.2.2 檢查對象11.2.3 檢查措施11.2.4 檢查結果11.3 檢查原則11.3.1 客觀公正原則11.3.2 檢查結果二元原則11.3.3 證明材料驗證原則11.3.4 進入機房原則21.3.5 測試被檢查單位系統(tǒng)的原則21.3.6 保密原則21.4 檢查技術等級判定21.4.1 完全達到某章要求的定義21.4.2 基本達到某章要求的定義21.4.3 達到等級類的定義21.5 其他檢查說明22. 一類要求22.1 技術管理22

2、.1.1 組織結構22.1.2 培訓52.1.3 人員素質72.1.4 信息技術服務提供商管理72.1.5 IT投入82.2 機房建設92.2.1 基本92.2.2 供電102.2.3 空調112.2.4 布線122.3 核心系統(tǒng)122.3.1 功能122.3.2 性能和容量152.3.3 交易系統(tǒng)冗余162.3.4 行情冗余172.3.5 銀期系統(tǒng)冗余172.4 安全182.4.1 網(wǎng)絡隔離182.4.2 防病毒、補丁和安全加固192.4.3 網(wǎng)站安全202.4.4 網(wǎng)上交易安全222.4.5 賬戶與權限242.4.6 口令管理252.4.7 安全審計262.5 日常運行262.5.1 崗位

3、262.5.2 制度與巡檢282.5.3 機房進出302.6 備份312.6.1 數(shù)據(jù)備份312.7 系統(tǒng)維護332.7.1 變更管理332.7.2 配置管理352.7.3 容量管理362.7.4 應急演練372.7.5 技術事故管理382.8 營業(yè)部技術要求392.8.1 基本要求392.8.2 交易保障413. 二類要求423.1 技術管理423.1.1 組織結構423.1.2 培訓453.1.3 人員素質463.1.4 信息技術服務提供商管理473.1.5 IT投入483.2 機房建設493.2.1 基本493.2.2 供電513.2.3 空調523.2.4 布線533.2.5 維護53

4、3.3 核心系統(tǒng)543.3.1 功能543.3.2 性能和容量563.3.3 交易系統(tǒng)冗余593.3.4 行情冗余603.3.5 銀期系統(tǒng)冗余613.4 安全613.4.1 網(wǎng)絡隔離613.4.2 防病毒、補丁和安全加固633.4.3 網(wǎng)站安全653.4.4 網(wǎng)上交易安全673.4.5 賬戶與權限683.4.6 口令管理703.4.7 安全審計713.5 日常運行713.5.1 崗位713.5.2 制度與巡檢733.5.3 機房進出763.6 備份773.6.1 數(shù)據(jù)備份773.7 系統(tǒng)維護803.7.1 變更管理803.7.2 配置管理833.7.3 容量管理843.7.4 應急演練853.

5、7.5 技術事故管理863.8 營業(yè)部技術要求873.8.1 基本要求873.8.2 交易保障894. 三類要求904.1 技術管理904.1.1 組織結構904.1.2 培訓934.1.3 人員素質944.1.4 信息技術服務提供商管理954.1.5 IT投入974.2 機房建設974.2.1 基本974.2.2 供電1004.2.3 空調1024.2.4 布線1034.2.5 維護1054.3 核心系統(tǒng)1054.3.1 功能1054.3.2 性能和容量1084.3.3 交易系統(tǒng)冗余1114.3.4 行情冗余1124.3.5 銀期系統(tǒng)冗余1134.4 安全1134.4.1 網(wǎng)絡隔離1134.

6、4.2 防病毒、補丁和安全加固1154.4.3 網(wǎng)站安全1174.4.4 網(wǎng)上交易安全1204.4.5 賬戶與權限1224.4.6 口令管理1234.4.7 安全審計1244.5 日常運行1254.5.1 崗位1254.5.2 制度與巡檢1274.5.3 機房進出1304.6 備份1314.6.1 數(shù)據(jù)備份1314.6.2 災難備份1344.7 系統(tǒng)維護1384.7.1 變更管理1384.7.2 配置管理1424.7.3 容量管理1434.7.4 應急演練1444.7.5 技術事故管理1464.8 營業(yè)部技術要求1464.8.1 基本要求1464.8.2 交易保障1495. 四類要求1505.

7、1 技術管理1505.1.1 組織結構1505.1.2 培訓1535.1.3 人員素質1555.1.4 信息技術服務提供商管理1555.1.5 IT投入1575.2 機房建設1575.2.1 基本1575.2.2 供電1605.2.3 空調1625.2.4 布線1635.2.5 維護1655.3 核心系統(tǒng)1655.3.1 功能1655.3.2 性能和容量1685.3.3 交易系統(tǒng)冗余1715.3.4 行情冗余1735.3.5 銀期系統(tǒng)冗余1735.4 安全1745.4.1 網(wǎng)絡隔離1745.4.2 防病毒、補丁和安全加固1765.4.3 網(wǎng)站安全1795.4.4 網(wǎng)上交易安全1815.4.5

8、賬戶與權限1845.4.6 口令管理1855.4.7 安全審計1865.5 日常運行1875.5.1 崗位1875.5.2 制度與巡檢1895.5.3 機房進出1925.6 備份1945.6.1 數(shù)據(jù)備份1945.6.2 災難備份1975.7 系統(tǒng)維護2005.7.1 變更管理2005.7.2 配置管理2045.7.3 容量管理2065.7.4 應急演練2075.7.5 技術事故管理2085.8 營業(yè)部技術要求2095.8.1 基本要求2095.8.2 交易保障2112151. 總則1.1 范圍為加強期貨公司信息系統(tǒng)建設，提高運維保障水平，依據(jù)期貨公司信息技術管理指引（以下簡稱指引），特制訂針

9、對期貨公司信息系統(tǒng)和技術管理的檢查細則。依據(jù)指引中的四類要求，相應地制定了四類檢查要點。從一類到四類，要求依次提高。本檢查細則可作為期貨行業(yè)主管部門、行業(yè)協(xié)會及期貨交易所檢查期貨公司信息系統(tǒng)和技術管理的指引，也可用于期貨公司自查。1.2 術語和定義1.2.1 檢查方式檢查方式是檢查人員為判斷被檢查單位是否達到某檢查項而采取的工作方式。本檢查要點中，檢查方式分為檢查和訪談兩種。檢查是通過對被檢查單位按照預定的方法/工具使其產(chǎn)生特定的行為等活動，查看、分析輸出結果，獲取證據(jù)以證明其是否達到、滿足檢查項要求的一種方法。訪談是通過與被檢查單位有關人員（個人/群體）進行交流、討論等活動，獲取證據(jù)以證明其

10、是否達到、滿足檢查項要求的一種方法。1.2.2 檢查對象檢查對象是指被檢查單位的有關人員、相關機制、流程、數(shù)據(jù)或物理上可見的系統(tǒng)設備。1.2.3 檢查措施檢查措施是為判定被檢查單位是否達到、滿足檢查項要求而采取的工作步驟或者方法。檢查措施包括獲取相關的制度、文檔和記錄，訪談有關人員，檢查設備的存在及運行狀態(tài)等等。除了本檢查細則中規(guī)定的內(nèi)容，檢查人員可以按照實際情況的需要，檢查與要求相關的其他材料。1.2.4 檢查結果檢查結果是根據(jù)檢查措施的執(zhí)行結果，對被檢查單位是否達到某項技術要求作出的判定，在本檢查要點中，判定只能是“達到要求” 或者“未達到要求”兩種。必要時，檢查結果中還應包括證明該判定的

11、相關材料。1.3 檢查原則1.3.1 客觀公正原則檢查工作應盡量減少個人主張或判斷，在最小主觀判斷情形下，基于明確定義的檢查方法和解釋，對每個技術要求項進行檢查。1.3.2 檢查結果二元原則對于每一個技術要求項只有達到要求和未達到要求兩種結論。對于被檢查單位的等級結論也只有達到某等級類和未達到某等級類兩種結論。1.3.3 證明材料驗證原則對于被檢查單位提供的證明材料,應根據(jù)具體技術要求項的檢查措施進行驗證,證明材料應符合實際情況。1.3.4 進入機房原則盡量安排非交易時間進入機房檢查,最佳進入機房時間應為收盤后。1.3.5 測試被檢查單位系統(tǒng)的原則原則上，不應對被檢查單位系統(tǒng)進行操作，包括運行

12、程序、腳本等。禁止交易期間操作被檢查單位系統(tǒng)。不應在交易期間要求被檢查單位進行各類系統(tǒng)切換測試和升級操作。1.3.6 保密原則在檢查期間接觸到被檢查單位的技術、商業(yè)機密應嚴格保密。證明材料中不應包含被檢查單位的相關機密。1.4 檢查技術等級判定1.4.1 完全達到某章要求的定義如果被檢查單位對于某個等級類的某一章（包括：技術管理、機房建設、核心系統(tǒng)、安全、日常運行、備份、系統(tǒng)維護、營業(yè)部要求八大章）所有技術要求項（包括必須和可選）都能夠達到要求，那么該被檢查單位就是完全達到該等級類中該章的要求。1.4.2 基本達到某章要求的定義如果被檢查單位對于某個等級類的某個章所有要求程度為必須的技術要求項

13、，都能夠達到要求，但不能達到全部或部分可選項的要求，那么該被檢查單位就是基本達到該等級類中該章的要求。1.4.3 達到等級類的定義如果被檢查單位對于某個等級的各章，至多只有兩章是基本達到要求，其它章都是完全達到要求，那么該被檢查單位即達到了該等級類的要求。1.5 其他檢查說明本檢查細則中要求的所有人員，除特別指出是專職的以外，都可以兼任。本檢查細則中涉及的所有對營業(yè)部的檢查，原則上都不進行現(xiàn)場檢查。正在籌建中的，尚未正式開展業(yè)務的營業(yè)部不需要檢查。但需要檢查的營業(yè)部中，只要有一個營業(yè)部不能達到某技術要求項，則該期貨公司就不能達到該技術要求項。所有需要提交的證明材料，應以電子版方式提交，紙質證明

14、文件應掃描為電子文件。材料清單和聲明文件應以紙質方式提交并加蓋公司公章。2. 一類要求2.1 技術管理2.1.1 組織結構2.1.1.1 必須新增 應設有技術部門并有專職技術人員，并有明確的職責分工和崗位說明。l 檢查方式訪談，檢查l 檢查對象期貨公司人力資源相關人員，崗位職責l 檢查措施a) 訪談期貨公司，提供技術部門員工的情況說明，包括人員信息、崗位和基本職責；b) 檢查技術人員的崗位說明書和技術部門組織架構說明，查看是否有職責劃分不清或是否遺漏重要職責劃分，技術人員不得從事開戶、風控、資金存取、結算等關鍵業(yè)務操作。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要

15、求；b) 獲取期貨公司技術部門員工的情況說明和組織架構說明，作為證明材料。2.1.1.2 必須新增 總部技術部門人員總數(shù)占公司總部人數(shù)的比例不少于8%。l 檢查方式訪談，檢查l 檢查對象期貨公司人力資源相關人員l 檢查措施a) 訪談期貨公司，提供技術部門員工的情況說明，應包括總部技術部門人員名單及占比情況計算；b) 檢查期貨公司正式員工花名冊及員工人數(shù)統(tǒng)計（以與公司簽訂勞動合同，且具有期貨從業(yè)資格為準）；c) 檢查期貨公司技術部門技術人員的簡歷及工資單，是否符合情況說明。l 檢查結果a) 同時符合上述a)-c)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司技術部門員工的情況說明，作為

16、證明材料。2.1.1.3 必須新增 總部技術部門人員不少于5人，對于開展連續(xù)交易的期貨公司應達到7人。l 檢查方式訪談，檢查l 檢查對象期貨公司人力資源相關人員l 檢查措施a) 檢查期貨公司總部技術部門員工人數(shù)是否達到5人，對于開展連續(xù)交易的公司應達到7人（以與公司簽訂勞動合同，且具有期貨從業(yè)資格為準）；對于與母公司共用機房，并由母公司提供機房運維服務，或與第三方簽署機房基礎設施運維協(xié)議的期貨公司，可在總部技術部門總人數(shù)最低要求的基礎上最多核減2人。l 檢查結果a) 符合上述a)的檢查措施，才達到本檢查項的要求；b) 獲取期貨公司技術部門員工的情況說明，作為證明材料（可使用上一項的證明材料）。

17、2.1.1.4 必須新增 應建立負責本公司信息技術規(guī)劃和信息安全管理的跨部門機構，其職責包括系統(tǒng)規(guī)劃、安全管理、IT治理等。l 檢查方式訪談，檢查l 檢查對象期貨公司人力資源相關人員、信息安全管理機構負責人、組織架構l 檢查措施a) 訪談負責信息技術規(guī)劃和信息安全管理的跨部門機構負責人，檢查其是否清楚信息技術規(guī)劃和信息安全的職責和工作內(nèi)容；b) 檢查期貨公司組織架構說明和該機構成立的正式文件；c) 檢查公司安全管理制度，信息安全工作的總體方針和安全策略，說明該機構安全工作的總體目標、范圍、原則和安全框架等；d) 檢查是否召開會議，查看會議記錄，是否進行有關規(guī)劃、安全管理、IT治理等制度和規(guī)程制

18、定，是否進行審定和修訂、發(fā)布落實等。l 檢查結果a) 同時符合上述a)-d)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司負責信息技術規(guī)劃和信息安全管理的跨部門機構的組織架構說明和組織成立的正式文件，作為證明材料。2.1.1.5 必須新增 應與所有總部技術部門人員簽署保密協(xié)議，應對技術人員的離崗嚴格管理。l 檢查方式檢查l 檢查對象保密協(xié)議l 檢查措施a) 檢查期貨公司總部技術人員的保密協(xié)議（或勞動合同中的保密條款）；b) 檢查是否辦理了嚴格的調離手續(xù)，檢查交接記錄。l 檢查結果a) 符合上述a)-b)的檢查措施，才達到本檢查項的要求；b) 獲取期貨公司總部技術人員保密協(xié)議的首頁和簽

19、名頁（或勞動合同相關頁），作為證明材料。2.1.1.6 必須新增 應設立2名技術聯(lián)絡員，負責組織、協(xié)調和處理與信息安全管理部門、交易所及相關單位的各項技術事宜。l 檢查方式訪談，檢查l 檢查對象期貨公司技術部門負責人，技術聯(lián)絡員，聯(lián)系方式l 檢查措施a) 訪談技術部門負責人是否清楚技術聯(lián)絡員的職責，了解技術聯(lián)絡員更換的流程；b) 訪談技術聯(lián)絡員，抽查各交易所、監(jiān)管機構、保證金監(jiān)控中心、中期協(xié)和存管銀行等單位和部門的聯(lián)系方式；c) 檢查技術聯(lián)絡員是否至少為2名。l 檢查結果a) 如技術聯(lián)絡員更換的流程中不包含通知交易所和監(jiān)管機構，則認為不符合上述檢查措施；b) 同時符合上述a)-c)的所有檢查措

20、施，才達到本檢查項的要求；c) 獲取期貨公司技術聯(lián)絡員變更相關流程，作為證明材料。2.1.1.7 必須新增 總部技術部門應有至少1名安全管理人員。l 檢查方式訪談，檢查l 檢查對象期貨公司人力資源相關人員，技術部安全管理人員，崗位職責l 檢查措施a) 檢查期貨公司總部安全管理崗人員的個人簡歷和崗位說明書，查看是否具有安全管理方面的資質和經(jīng)歷，安全管理人員不可外包；b) 訪談期貨公司總部安全管理人員，了解其是否明確崗位職責和工作內(nèi)容，評估其是否達到崗位能力要求。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司總部安全管理人員的個人簡歷、崗位說明書，

21、作為證明材料。2.1.1.8 必須新增 每個營業(yè)部應配備至少1名技術人員。l 檢查方式訪談，檢查l 檢查對象期貨公司人力資源相關人員，崗位職責l 檢查措施a) 現(xiàn)場訪談或電話訪談，抽查營業(yè)部技術人員，了解其工作職責和日常工作內(nèi)容；b) 檢查期貨公司營業(yè)部的正式員工花名冊，總部應有各營業(yè)部的技術人員總表，包含聯(lián)系方式（營業(yè)部技術人員不得外包，以與公司簽訂勞動合同，且具有期貨從業(yè)資格為準），檢查營業(yè)部技術人員崗位說明書。l 檢查結果a) 同時符合上述a)-b)項的所有檢查措施，才達到本檢查項的要求；b) 獲取各營業(yè)部的技術人員總表，作為證明材料。2.1.2 培訓2.1.2.1 必須新增 對所有上崗

22、技術人員應進行崗位培訓。l 檢查方式訪談，檢查l 檢查對象期貨公司人力資源相關人員，技術培訓l 檢查措施a) 期貨公司提供一年內(nèi)所有上崗技術人員（包含營業(yè)部）崗位培訓的書面記錄，要包含基本制度及技能培訓內(nèi)容；b) 培訓記錄要求包括培訓時間、地點、培訓講師、參加培訓的人員等信息，并有參加培訓人員的簽名；c) 抽查一年內(nèi)的培訓記錄；d）營業(yè)部技術人員應定期參加協(xié)會組織的技術培訓。l 檢查結果a) 同時符合上述a)-d)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司上崗技術人員的書面培訓抽查的記錄，作為證明材料。2.1.2.2 必須新增 總部技術部門的所有人員每兩年參加期貨業(yè)協(xié)會組織的技術

23、培訓應達到18學時，其中至少有3學時的信息技術法律法規(guī)及標準培訓。l 檢查方式檢查l 檢查對象技術培訓l 檢查措施a) 檢查期貨公司近兩年參加期貨業(yè)協(xié)會組織的技術培訓的清單和協(xié)會提供的證明材料；b) 培訓清單要求包括培訓時間、地點、培訓講師、參加培訓的人員等信息；c) 新入職員工應在兩個年度(含入職當年)之內(nèi)完成期貨業(yè)協(xié)會組織的技術培訓。l 檢查結果a) 同時符合上述a)-c)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司近兩年參加期貨業(yè)協(xié)會組織的技術培訓清單，作為證明材料。2.1.2.3 必須新增 應有明確的培訓教材，用于培訓上崗操作人員。l 檢查方式檢查l 檢查對象技術培訓l 檢

24、查措施a) 檢查期貨公司的培訓教材，確定培訓教材是否符合崗位實際能力要求；b) 培訓教材的形式不限，可以是紙質或電子的。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司技術培訓教材清單，作為證明材料。2.1.2.4 必須新增 應有對總部技術部門人員的年度培訓計劃，并根據(jù)計劃實施。l 檢查方式檢查l 檢查對象技術培訓l 檢查措施a) 檢查期貨公司對技術員工的年度培訓計劃；b) 檢查一年內(nèi)的技術員工的培訓記錄，檢查執(zhí)行實施情況。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司對技術員工的年度培訓計劃和培

25、訓記錄，作為證明材料。2.1.2.5 必須新增 應定期對各個崗位的人員進行安全教育和培訓，培訓內(nèi)容應包含機房消防及相關應急內(nèi)容等。l 檢查方式訪談，檢查l 檢查對象期貨公司技術部門負責人，技術培訓l 檢查措施a) 期貨公司提供一年內(nèi)各崗位人員安全教育的培訓記錄；b) 檢查培訓內(nèi)容是否包括機房消防安全教育和應急培訓，應急培訓內(nèi)容應包括應急預案、證券期貨業(yè)信息安全應急處置的有關規(guī)定等。l 檢查結果a) 符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司一年內(nèi)的各崗位人員安全教育的培訓記錄，作為證明材料。2.1.3 人員素質2.1.3.1 必須新增 總部技術部門人員50%以上

26、應有信息技術相關專業(yè)大學本科或以上教育背景。l 檢查方式檢查l 檢查對象人員簡歷l 檢查措施a) 檢查期貨公司總部花名冊中技術部門人員部分（以與公司簽訂勞動合同，且具有期貨從業(yè)資格為準）；b) 期貨公司提供總部技術人員的情況說明，包括人員崗位、教育背景；c) 檢查期貨公司總部技術人員中信息技術相關專業(yè)大學本科或以上教育背景的是否達到50%；d) 檢查期貨公司的總部技術人員的學歷證書或個人簡歷，是否符合情況說明。l 檢查結果a) 同時符合上述a)-d)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司總部技術人員情況說明，作為證明材料。2.1.4 信息技術服務提供商管理2.1.4.1 必須

27、新增 應與信息技術服務提供商簽訂服務保障協(xié)議。l 檢查方式訪談，檢查l 檢查對象期貨公司技術部門負責人，信息技術服務提供商管理l 檢查措施a) 訪談期貨公司技術部門負責人，了解信息技術服務提供商狀況；b) 檢查期貨公司的服務提供商包含服務保障承諾的協(xié)議。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司與信息技術服務提供商之間的協(xié)議首頁和簽名頁，作為證明材料。2.1.4.2 必須新增 應與核心系統(tǒng)的服務提供商簽署保密協(xié)議。l 檢查方式檢查l 檢查對象期貨公司技術部門負責人，信息技術服務提供商管理l 檢查措施a) 檢查期貨公司與所有交易結算應用系統(tǒng)供

28、應商（包括所有席位的系統(tǒng)）的保密協(xié)議或在合同中有保密條款。l 檢查結果a) 符合上述a)的檢查措施，才達到本檢查項的要求；b) 獲取期貨公司與交易結算應用系統(tǒng)供應商的保密協(xié)議或帶有保密條款的合同的首頁和簽名頁，作為證明材料。2.1.4.3 必須新增 應有信息技術服務提供商的準確聯(lián)系方式。l 檢查方式檢查l 檢查對象信息技術服務提供商管理，聯(lián)系方式l 檢查措施a) 期貨公司提供所有的服務方聯(lián)系方式表；b) 檢查期貨公司的服務提供商聯(lián)系方式表，并抽查準確性。l 檢查結果a) 同時符合上述a)-b)的檢查措施，才達到本檢查項的要求；b) 獲取期貨公司服務提供商的聯(lián)系方式表，作為證明材料。2.1.4.

29、4 必須新增 選擇信息技術服務提供商時應評估其資質、經(jīng)營行為、業(yè)績、服務體系和服務品質等要素。l 檢查方式檢查l 檢查對象信息技術服務提供商管理l 檢查措施a) 訪談期貨公司選擇服務提供商時的相關評估制度或措施；b) 抽查評估記錄，評估記錄中應包括服務提供商的資質、經(jīng)營行為、業(yè)績、服務體系和服務品質。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司服務商的評估制度或相關措施說明，以及抽查的評估記錄，作為證明材料。2.1.4.5 必須新增 應定期對信息技術服務提供商的服務質量進行評估。l 檢查方式訪談，檢查l 檢查對象期貨公司技術部門負責人，信息技

30、術服務商管理l 檢查措施a) 訪談期貨公司定期評估服務提供商的相關制度或措施；b) 訪談期貨公司技術部門負責人，了解服務提供商服務質量定期評估的實施情況；c) 檢查一年內(nèi)期貨公司的服務提供商服務質量的評估報告。l 檢查結果a) 同時符合上述a)-c)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司定期評估服務提供商的制度或相關措施說明，以及抽查的評估報告，作為證明材料。2.1.5 IT投入2.1.5.1 必須新增 最近三個財政年度IT投入平均數(shù)額應不少于最近三個財政年度平均凈利潤的6%或不少于最近三個財政年度平均營業(yè)收入的3%，取二者數(shù)額較大者。l 檢查方式檢查l 檢查對象財務報表l

31、檢查措施a) IT投入的計算范圍包括技術類資產(chǎn)投入、運行、維護、信息技術服務和外包費用，不包括人員薪酬福利，計算方法采用權責發(fā)生制；b) 檢查期貨公司前三個財政年度經(jīng)審計的財務報表；c) 檢查期貨公司的最近三個財政年度IT投入的清單和對應的費用及比例說明；d) 對于成立時間不足三年的期貨公司，只考慮成立以后的時間。l 檢查結果a) 同時符合上述a)-d)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司最近三個財政年度IT投入的清單和對應的費用及比例說明，作為證明材料。2.2 機房建設2.2.1 基本2.2.1.1 必須新增 機房應為獨立封閉區(qū)域，并配備門禁。l 檢查方式檢查l 檢查對象

32、機房基礎設施l 檢查措施a) 檢查期貨公司的機房，是否為獨立封閉區(qū)域（獨立封閉區(qū)域是指機房內(nèi)不得包括辦公、生活等設施，但可以包括監(jiān)控終端），并配備門禁（門禁應專門控制機房的出入），并獲取機房以及門禁的照片；b) 檢查期貨公司的機房平面圖紙（標注機房區(qū)域）,圖紙中是否為獨立區(qū)域。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取機房以及門禁的照片，以及機房平面圖紙作為證明材料。2.2.1.2 必須新增 機房應具備火警檢測、滅火和應急照明設施。l 檢查方式訪談，檢查l 檢查對象機房基礎設施l 檢查措施a) 期貨公司提供機房情況說明，包括火警檢測、滅火和應急照明

33、設施等信息；檢查機房消防報驗或報備材料；b) 檢查期貨公司的機房的火警檢測設施，是否符合情況說明（火警檢測設施應分布于機房的每個獨立房間）；c) 檢查期貨公司的機房的滅火設施，是否符合情況說明；d) 檢查期貨公司的機房的應急照明設施，是否符合情況說明。l 檢查結果a) 同時符合上述a)-d)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司機房情況說明，作為證明材料。2.2.1.3 必須新增 機房出入口和內(nèi)部應安裝7*24小時錄像監(jiān)控設施，錄像至少保存90天。l 檢查方式檢查l 檢查對象機房管理l 檢查措施a) 期貨公司提供機房情況說明，包括機房出入口和內(nèi)部的錄像監(jiān)控設施和錄像保存措施等

34、信息；b) 檢查期貨公司的機房的出入口和內(nèi)部是否安裝錄像監(jiān)控設施，是否與a）的情況說明相符；c) 檢查近90天的機房監(jiān)控錄像，并抽查兩個不同日期的錄像記錄。l 檢查結果a) 同時符合上述a)-c)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司的機房情況說明，作為證明材料。2.2.1.4 必須新增 機房應有防雷和接地的設施。l 檢查方式檢查l 檢查對象機房基礎設施l 檢查措施a) 期貨公司提供情況說明，包括防雷和接地等措施，以及交流接地、直流接地、安全工作接地電阻不大于4歐姆，防雷接地電阻不大于10歐姆的書面證明材料；b) 檢查期貨公司的機房的防雷和接地設施，是否與a）的情況說明相符；

35、c) 檢查期貨公司的機房防雷和接地設施布置平面圖紙，是否與實際相符。l 檢查結果a) 同時符合上述a)-c)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司的機房情況說明，作為證明材料。2.2.1.5 必須新增 應實現(xiàn)聲音或短信等自動報警或7*24小時值守。l 檢查方式訪談，檢查l 檢查對象技術部門負責人，機房管理l 檢查措施a) 期貨公司提供機房情況說明，包括機房報警或值守措施；b) 檢查機房報警是否實現(xiàn)聲音或短信等自動報警，是否符合情況說明；c) 如不能自動報警，訪談技術部門負責人，了解是否采取7*24小時值守的機制，檢查期貨公司的值守記錄，抽查一年內(nèi)4個時點相應的記錄，間隔不小于

36、2個月。l 檢查結果a) 同時符合上述a)和b)，或者a)和c)的檢查措施，才達到本檢查項的要求；b) 獲取期貨公司機房報警或值守的情況說明，作為證明材料。2.2.2 供電2.2.2.1 必須新增 機房應配備在線UPS設施，UPS應當存放在獨立封閉區(qū)域。l 檢查方式檢查l 檢查對象機房UPSl 檢查措施a) 期貨公司提供UPS情況說明，應說明在線UPS設備功率和UPS設備連接方式，UPS應與計算機、網(wǎng)絡設備在不同的獨立封閉區(qū)域；b) 檢查機房的在線UPS設施，是否符合情況說明。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司機房的UPS設施的情況

37、說明，作為證明材料。2.2.2.2 必須新增 UPS供電時間應超過從斷電到發(fā)電機啟動或者應急供電協(xié)議規(guī)定到場響應時間的2倍。如無發(fā)電設備，UPS的電池應能夠支撐4個小時。l 檢查方式檢查l 檢查對象機房供電設施l 檢查措施a) 期貨公司提供UPS供電情況說明；b) 如果沒有發(fā)電設備，那么計算UPS在保證業(yè)務支撐時間的前提下，持續(xù)供電的時間應當至少達到4小時；計算時，根據(jù)UPS和電池的實際用電量進行計算；c) 如果有發(fā)電設備或者應急供電協(xié)議，那么計算UPS可以支撐從斷電到發(fā)電機啟動或者應急供電協(xié)議規(guī)定響應到場時間的2倍；計算時，根據(jù)UPS和電池的實際用電量進行計算；有發(fā)電設備的，開始供電時間根據(jù)

38、發(fā)電設備的說明；有應急供電協(xié)議的，開始供電時間根據(jù)協(xié)議規(guī)定；d) 檢查兩年內(nèi)的電力切換演練記錄；e）檢查機房的供電系統(tǒng)圖，與實際情況是否相符。l 檢查結果a) 符合上述a)、b)、d)和e)，或者a)、c)、d)和e)的檢查措施，才達到本檢查項的要求；b) 獲取期貨公司的UPS和發(fā)電機（或應急供電協(xié)議）供電情況說明作為證明材料。2.2.3 空調2.2.3.1 必須新增 應配有與機房熱容量匹配的空調。l 檢查方式檢查l 檢查對象期貨公司機房空調設備及相關負責人l 檢查措施a) 期貨公司提供機房空調情況說明，包括空調的正常溫度；b) 檢查期貨公司機房空調情況說明，空調熱容量是否與機房中配置的設備功

39、率相匹配。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司機房空調情況說明作為證明材料。2.2.3.2 必須新增 對機房溫濕度應有監(jiān)控措施和記錄。l 檢查方式檢查l 檢查對象機房管理l 檢查措施a) 檢查期貨公司近一年內(nèi)機房溫度、濕度的監(jiān)控記錄。如采用人工監(jiān)控方式，每天應至少記錄3個時點的溫濕度情況（每個連續(xù)交易時段至少記錄1個時點）；如采用自動化監(jiān)控方式，則監(jiān)控時間應覆蓋交易時間，監(jiān)控工具應能實現(xiàn)短信自動報警，并能導出監(jiān)控記錄；b) 檢查機房內(nèi)除空調顯示外的溫濕度檢測點是否真實存在，抽查其中三天的監(jiān)控記錄，時間間隔不小于兩個月。l 檢查結果a)

40、 同時符合上述a)-b)的檢查措施，才達到本檢查項的要求；b) 獲取被抽查的期貨公司機房溫度、濕度監(jiān)控記錄，作為證明材料。2.2.4 布線2.2.4.1 必須新增 所有弱電布線應有清晰的線標。l 檢查方式檢查l 檢查對象機房管理l 檢查措施a) 期貨公司提供機房線標規(guī)劃方案；線標上應當可以直接或者可以通過查表的方式，明確知道該線連接的位置和用途；b) 抽查期貨公司機房弱電線標是否根據(jù)規(guī)劃實施。l 檢查結果a) 同時符合上述a)-b)的檢查措施，才達到本檢查項的要求；b) 獲取機房線標規(guī)劃方案，作為證明材料。2.3 核心系統(tǒng)2.3.1 功能2.3.1.1 必須新增 交易系統(tǒng)應實現(xiàn)數(shù)據(jù)與應用分離，

41、防止客戶終端繞過應用程序界面直接訪問核心數(shù)據(jù)。l 檢查方式訪談，檢查l 檢查對象技術部門負責人，期貨公司交易系統(tǒng)l 檢查措施a) 訪談期貨公司技術部門負責人交易系統(tǒng)的軟件來源、版本情況、軟件架構說明；b) 檢查軟件架構說明，不應存在客戶終端直接使用數(shù)據(jù)庫接口，訪問核心數(shù)據(jù)的情況；c) 檢查軟件架構說明，不應存在為客戶終端或者管理員終端提供通用的直接修改核心數(shù)據(jù)的方法。l 檢查結果a) 同時符合上述a)-c)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司交易系統(tǒng)的軟件來源、版本情況、軟件架構說明，作為證明材料。2.3.1.2 必須新增 交易系統(tǒng)應具備對客戶進行實時風險控制的功能。l 檢

42、查方式訪談，檢查l 檢查對象技術部門負責人，期貨公司交易系統(tǒng)風險控制措施l 檢查措施a) 訪談期貨公司技術部門負責人交易系統(tǒng)對客戶的實時風險控制措施；b) 期貨公司提供情況說明，包括交易系統(tǒng)對客戶的實時風險控制措施，至少應具備強行平倉和防止保證金透支的功能；c) 檢查期貨公司交易系統(tǒng)實時風險控制模塊。l 檢查結果a) 同時符合上述a)-c)的所有檢查措施，才達到本檢查項的要求；b) 獲取加蓋了公章的期貨公司交易系統(tǒng)對客戶的實時風險控制的情況說明，作為證明材料。2.3.1.3 必須新增 交易系統(tǒng)應產(chǎn)生、記錄并存儲必要的日志信息供審計使用。l 檢查方式訪談，檢查l 檢查對象技術部門負責人，期貨公司

43、交易系統(tǒng)l 檢查措施a) 訪談期貨公司技術部門負責人交易系統(tǒng)的軟件架構說明和日志功能；b) 期貨公司提供情況說明，包括交易系統(tǒng)的日志功能，日志信息至少應包括所有接入客戶的身份信息、IP地址和交易信息；c) 檢查是否產(chǎn)生必要的日志信息；d) 檢查是否記錄必要的日志信息；e) 檢查是否存儲必要的日志信息。l 檢查結果a) 同時符合上述a)-e)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司交易系統(tǒng)的軟件架構說明和日志功能材料，作為證明材料。2.3.1.4 必須新增 核心系統(tǒng)應具備向期貨保證金監(jiān)控中心上報規(guī)定數(shù)據(jù)的功能。l 檢查方式訪談，檢查l 檢查對象相關管理人員，核心系統(tǒng)l 檢查措施a

44、) 訪談核心系統(tǒng)管理人員保證金數(shù)據(jù)報送的方式和方法；b) 期貨公司提供材料，說明已按要求報送保證金監(jiān)控中心規(guī)定的數(shù)據(jù)。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取報送數(shù)據(jù)情況說明材料，作為證明材料。2.3.1.5 必須新增 不應具有篡改、偽造核心系統(tǒng)數(shù)據(jù)或其他可能導致數(shù)據(jù)失真的功能。l 檢查方式訪談，檢查l 檢查對象相關管理人員，核心系統(tǒng)l 檢查措施a) 期貨公司提供說明核心系統(tǒng)功能清單的資料；b) 檢查核心系統(tǒng)功能清單，不應具有篡改成交信息或資金信息的功能。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨

45、公司核心系統(tǒng)功能清單，作為證明材料。2.3.1.6 必須新增 核心系統(tǒng)應有授權管理功能。l 檢查方式訪談，檢查l 檢查對象部門負責人，期貨公司核心系統(tǒng)權限管理措施l 檢查措施a) 訪談期貨公司技術部門負責人核心系統(tǒng)的權限管理機制；b) 期貨公司提供核心系統(tǒng)說明，包括授權管理功能；c) 檢查授權管理功能，應至少做到對單個菜單條目、單個操作人員進行授權。l 檢查結果a) 同時符合上述a)-c)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司核心系統(tǒng)說明，作為證明材料。2.3.1.7 必須新增 應要求交易系統(tǒng)供應商提供交易、銀期及相關查詢接口。l 檢查方式訪談，檢查l 檢查對象期貨公司技術部

46、門負責人，銀期系統(tǒng)l 檢查措施a) 檢查期貨公司要求交易系統(tǒng)供應商提供交易、銀期及相關查詢接口的情況說明。l 檢查結果a) 符合上述a)的檢查措施，才達到本檢查項的要求；b) 獲取期貨公司要求交易系統(tǒng)供應商提供交易、銀期及相關查詢接口的情況說明，作為證明材料。2.3.1.8 必須新增 核心系統(tǒng)應具備通過監(jiān)控中心統(tǒng)一開戶系統(tǒng)進行開戶的功能。l 檢查方式檢查l 檢查對象期貨公司核心系統(tǒng)管理人員、核心系統(tǒng)功能l 檢查措施a) 訪談核心系統(tǒng)管理人員統(tǒng)一開戶的方式和方法；b) 期貨公司提供材料，說明已按要求通過監(jiān)控中心統(tǒng)一開戶系統(tǒng)進行開戶。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本

47、檢查項的要求；b) 獲取統(tǒng)一開戶情況說明材料，作為證明材料。2.3.1.9 必須新增 核心系統(tǒng)應具備鏈接監(jiān)控中心投資者查詢服務系統(tǒng)的功能。l 檢查方式檢查l 檢查對象期貨公司核心系統(tǒng)管理人員、核心系統(tǒng)功能l 檢查措施a) 期貨公司提供材料，說明已具備鏈接監(jiān)控中心投資者查詢服務系統(tǒng)的功能。l 檢查結果a) 獲取對接投資者查詢服務系統(tǒng)的說明材料，作為證明材料。2.3.2 性能和容量2.3.2.1 必須新增 交易系統(tǒng)的性能和容量應達到所有其作為會員的交易所的要求。l 檢查方式檢查l 檢查對象期貨公司交易系統(tǒng)l 檢查措施a) 期貨公司提供交易系統(tǒng)的性能和容量的情況說明，包括交易系統(tǒng)的性能和容量的最大值

48、；b) 檢查期貨公司其作為會員的交易所出具的相關測試報告。l 檢查結果a) 同時符合上述a)-b)的所有檢查措施，才達到本檢查項的要求；b) 獲取期貨公司交易系統(tǒng)的性能和容量的情況說明或相關測試報告，作為證明材料。2.3.2.2 必須新增 應對交易系統(tǒng)的主要業(yè)務指標進行實時監(jiān)控。l 檢查方式訪談，檢查l 檢查對象期貨公司交易系統(tǒng)及相關負責人l 檢查措施a) 訪談期貨公司技術部門負責人，了解實時監(jiān)控交易系統(tǒng)的主要業(yè)務指標以及相應的監(jiān)控措施；b) 期貨公司提供對交易系統(tǒng)的主要業(yè)務指標進行實時監(jiān)控的情況說明，包括交易系統(tǒng)的業(yè)務指標監(jiān)控列表；c) 檢查交易系統(tǒng)的主要業(yè)務指標監(jiān)控列表，應至少包括在線用戶

49、、報單和成交記錄數(shù)量等。l 檢查結果a) 同時符合上述a)-c)的檢查措施，才達到本檢查項的要求；b) 獲取期貨公司交易系統(tǒng)的主要業(yè)務指標的實時監(jiān)控情況說明，作為證明材料。2.3.2.3 必須新增 應對所有接入交易所的交易通信鏈路進行監(jiān)控。l 檢查方式訪談，檢查l 檢查對象技術部門網(wǎng)絡管理員，接入交易所的交易通信鏈路l 檢查措施a) 期貨公司提供所有接入交易所的鏈路清單和監(jiān)控方法；b) 訪談期貨公司網(wǎng)絡管理員鏈路監(jiān)控的方法；c) 抽查至少兩條鏈路的監(jiān)控實施情況，應當至少監(jiān)控鏈路的通斷情況、流量情況。l 檢查結果a) 同時符合上述a)-c)的所有檢查措施，才達到本檢查項的要求；b) 獲取連接交易

50、所鏈路清單和監(jiān)控方法以及抽查的監(jiān)控記錄，作為證明材料。2.3.2.4 必須新增 接入交易所的交易通信鏈路應達到所有其作為會員的交易所的要求，并采用不同運營商的通訊線路作為備份線路。l 檢查方式檢查l 檢查對象接入交易所的交易通信鏈路l 檢查措施a) 期貨公司提供所有接入交易所的鏈路清單；b) 檢查鏈路帶寬和備份是否滿足所有其作為會員的交易所的要求；c) 檢查期貨公司根據(jù)交易所要求進行的鏈路測試情況；d) 期貨公司應當至少有兩條線路接入三所聯(lián)網(wǎng)。l 檢查結果a) 同時符合上述a)-d)的所有檢查措施，才達到本檢查項的要求；b) 獲取連接交易所鏈路清單和參加交易所規(guī)定的鏈路測試并通過的證明，作為證

51、明材料。2.3.2.5 必須新增 應對所有網(wǎng)上交易的通信鏈路進行監(jiān)控。l 檢查方式訪談，檢查l 檢查對象技術部門網(wǎng)絡管理員，網(wǎng)上交易的通信鏈路l 檢查措施a) 期貨公司提供所有網(wǎng)上交易專有鏈路及監(jiān)控手段清單；b) 檢查網(wǎng)上交易非專有鏈路的通斷監(jiān)控情況；c) 抽查至少一條專有鏈路監(jiān)控實施情況，應當至少監(jiān)控鏈路的通斷情況。l 檢查結果a) 同時符合上述a)-c)的所有檢查措施，才達到本檢查項的要求；b) 獲取網(wǎng)上交易的通信鏈路清單,作為證明材料。2.3.3 交易系統(tǒng)冗余2.3.3.1 必須新增 交易系統(tǒng)及其部件應有備份，備份能力應達到證券期貨經(jīng)營機構信息系統(tǒng)備份能力標準的要求及監(jiān)管部門的有關規(guī)定。

52、l 檢查方式訪談，檢查l 檢查對象技術部門負責人，交易系統(tǒng)及其部件l 檢查措施a) 期貨公司提供交易系統(tǒng)及其部件清單；b) 期貨公司提供系統(tǒng)部署圖；c) 訪談交易系統(tǒng)部件備份情況（包括交易依賴的所有服務器、磁盤陣列、數(shù)據(jù)庫）；d) 核實備份部件真實存在，并實現(xiàn)互備（可以接受需要人工操作的切換流程）；e) 每年應至少進行兩次切換演練，演練報告應明確演練步驟，并記錄每個步驟以及整體演練所用時間和數(shù)據(jù)丟失情況；f) 抽查交易系統(tǒng)部件的切換演練記錄，以證明備份能力能夠達到證券期貨經(jīng)營機構信息系統(tǒng)備份能力標準的要求及監(jiān)管部門的有關規(guī)定。l 檢查結果a) 同時符合上述a)-f)的所有檢查措施，才達到本檢查

53、項的要求；b) 獲取部件清單、切換演練匯總報告及操作手冊目錄頁，作為證明材料。2.3.3.2 必須新增 生產(chǎn)環(huán)境內(nèi)的網(wǎng)絡設備應有備份，備份能力應達到證券期貨經(jīng)營機構信息系統(tǒng)備份能力標準的要求及監(jiān)管部門的有關規(guī)定。l 檢查方式訪談，檢查l 檢查對象生產(chǎn)環(huán)境內(nèi)的網(wǎng)絡設備及技術部門負責人l 檢查措施a) 期貨公司提供所有網(wǎng)絡設備清單；b) 期貨公司提供網(wǎng)絡架構圖；c) 訪談技術部門負責人網(wǎng)絡設備備份情況（包括生產(chǎn)環(huán)境中的所有路由器、交換機、防火墻、負載均衡器、連接線）；d) 核實備份部件是否真實存在，并實現(xiàn)互備；e) 每年應至少進行兩次切換演練，演練報告應明確演練步驟，并記錄每個步驟以及整體演練所用時間。f) 抽查交易系統(tǒng)網(wǎng)絡設備的切換演練記錄，并評估備份能力能否達到證券期貨經(jīng)營機構信息系統(tǒng)備份能力標準的要求及監(jiān)管部門的有關規(guī)定。l 檢查結果a) 同時符合上述a)-f)的所有檢查措施，才達到本檢查項的要求；b) 獲取設備清單、