2010年度期貨公司分類評價操作指引

關(guān)于再次對期貨公司信息技術(shù)管理指引（征求意見稿）征求意見的通知在京各期貨公司為了進(jìn)一步提高期貨公司信息技術(shù)管理水平，中國期貨業(yè)協(xié)會受期貨部委托起草了期貨公司信息技術(shù)管理指引（征求意見稿）。并且在前次征求意見的基礎(chǔ)上進(jìn)行了修改，現(xiàn)再次向業(yè)內(nèi)征求意見。請各公司高度重視此次征求意見工作，認(rèn)真填寫反饋意見表，并于2009年5月5日17點(diǎn)前發(fā)送至中國期貨業(yè)協(xié)會。聯(lián)系人王曦劉鐵斌聯(lián)系電話0108808706201088087078傳真01088087074郵箱LIUTIEBINCFACHINAORG附件一期貨公司信息技術(shù)管理指引（征求意見稿）附件二反饋意見表北京證監(jiān)局期貨處2009429期貨公司信息技術(shù)管理指引（征求意見稿）目錄1總則62一類要求621技術(shù)管理6211組織結(jié)構(gòu)6212培訓(xùn)6213人員素質(zhì)7214信息技術(shù)服務(wù)提供商管理7215IT投入722機(jī)房建設(shè)7221基本7222供電7223空調(diào)723核心系統(tǒng)7231功能7232性能和容量7233交易系統(tǒng)冗余8234行情冗余8235銀期系統(tǒng)冗余824安全8241網(wǎng)絡(luò)隔離8242防病毒、補(bǔ)丁和安全加固8243網(wǎng)站安全8244網(wǎng)上交易安全8245賬號與權(quán)限9246密碼管理9247安全審計925日常運(yùn)行9251崗位9252制度與巡檢9253機(jī)房進(jìn)出926備份9261數(shù)據(jù)備份927系統(tǒng)維護(hù)10271變更管理10272配置管理10273容量管理10274應(yīng)急演練10275技術(shù)事故管理1028營業(yè)部技術(shù)要求10281基本要求10282交易保障103二類要求1131技術(shù)管理11311組織結(jié)構(gòu)11312培訓(xùn)11313人員素質(zhì)11314信息技術(shù)服務(wù)提供商管理11315IT投入1132機(jī)房建設(shè)12321基本12322供電12323空調(diào)12324布線12325維護(hù)1233核心系統(tǒng)12331功能12332性能和容量12333交易系統(tǒng)冗余13334行情冗余13335銀期系統(tǒng)冗余1334安全13341網(wǎng)絡(luò)隔離13342防病毒、補(bǔ)丁和安全加固13343網(wǎng)站安全14344網(wǎng)上交易安全14345賬號與權(quán)限14346密碼管理14347安全審計1435日常運(yùn)行14351崗位14352制度與巡檢15353機(jī)房進(jìn)出1536備份15361數(shù)據(jù)備份1537系統(tǒng)維護(hù)15371變更管理15372配置管理15373容量管理16374應(yīng)急演練16375技術(shù)事故管理1638營業(yè)部技術(shù)要求16381基本要求16382交易保障164三類要求1741技術(shù)管理17411組織結(jié)構(gòu)17412培訓(xùn)17413人員素質(zhì)17414信息技術(shù)服務(wù)提供商管理17415IT投入1742機(jī)房建設(shè)18421基本18422供電18423空調(diào)18424布線18425維護(hù)1843核心系統(tǒng)19431功能19432性能和容量19433交易系統(tǒng)冗余19434行情冗余19435銀期系統(tǒng)冗余1944安全20441網(wǎng)絡(luò)隔離20442防病毒、補(bǔ)丁和安全加固20443網(wǎng)站安全20444網(wǎng)上交易安全20445賬號與權(quán)限21446密碼管理21447安全審計2145日常運(yùn)行21451崗位21452制度與巡檢21453機(jī)房進(jìn)出2246備份22461數(shù)據(jù)備份22462災(zāi)難備份2247系統(tǒng)維護(hù)23471變更管理23472配置管理23473容量管理23474應(yīng)急演練23475技術(shù)事故管理2348營業(yè)部技術(shù)要求24481基本要求24482交易保障245四類要求2451技術(shù)管理24511組織結(jié)構(gòu)24512培訓(xùn)25513人員素質(zhì)25514信息技術(shù)服務(wù)提供商管理25515IT投入2552機(jī)房建設(shè)25521基本25522供電25523空調(diào)26524布線26525維護(hù)2653核心系統(tǒng)26531功能26532性能和容量26533交易系統(tǒng)冗余27534行情冗余27535銀期系統(tǒng)冗余2754安全27541網(wǎng)絡(luò)隔離27542防病毒、補(bǔ)丁和安全加固27543網(wǎng)站安全28544網(wǎng)上交易安全28545賬號與權(quán)限28546密碼管理28547安全審計2955日常運(yùn)行29551崗位29552制度與巡檢29553機(jī)房進(jìn)出2956備份30561數(shù)據(jù)備份30562災(zāi)難備份3057系統(tǒng)維護(hù)30571變更管理30572配置管理31573容量管理31574應(yīng)急演練31575技術(shù)事故管理3158營業(yè)部技術(shù)要求31581基本要求31582交易保障321總則11為了進(jìn)一步促進(jìn)期貨公司信息系統(tǒng)建設(shè)，提高運(yùn)維保障水平，根據(jù)期貨交易管理?xiàng)l例、期貨公司管理辦法和國家有關(guān)技術(shù)要求，特制定期貨公司信息技術(shù)管理指引（以下簡稱“本指引”）。12本指引按照分類管理以適應(yīng)期貨公司的不同信息技術(shù)基礎(chǔ)和不同的技術(shù)要求。本指引共分四類，從一類到四類，要求依次提高，且高類別的要求包含低類別的要求，低類別的可選要求在高類別中自動成為必須要求。所有要求，如果在前面一類要求中沒有出現(xiàn)，將被標(biāo)為“新增”，否則將被標(biāo)為“延續(xù)”。13本指引中使用的名詞解釋如下131核心系統(tǒng)指期貨公司集中進(jìn)行交易、結(jié)算和銀期轉(zhuǎn)賬等業(yè)務(wù)運(yùn)作所使用的系統(tǒng)；132生產(chǎn)環(huán)境，是指正式運(yùn)行核心系統(tǒng)的計算機(jī)環(huán)境，包括生產(chǎn)機(jī)房、網(wǎng)絡(luò)、主機(jī)、存儲、數(shù)據(jù)庫及應(yīng)用等為業(yè)務(wù)運(yùn)行提供服務(wù)的所有軟硬件環(huán)境；133交易系統(tǒng)的所有部件指交易服務(wù)器、交換機(jī)、報盤機(jī)、路由器、網(wǎng)關(guān)、防火墻等；134有效隔離指物理分隔、防火墻、網(wǎng)閘、VLAN及等效設(shè)施；135機(jī)房指部署生產(chǎn)環(huán)境的所有機(jī)房。2一類要求21技術(shù)管理211組織結(jié)構(gòu)2111必須新增應(yīng)設(shè)有技術(shù)部門并有專職技術(shù)人員，并有明確的職責(zé)分工和崗位說明。2112必須新增總部技術(shù)部門人員總數(shù)占公司總部人數(shù)的比例不少于6。2113必須新增總部技術(shù)部門人員不少于3人。2114必須新增應(yīng)建立負(fù)責(zé)信息安全的管理機(jī)構(gòu)，其職責(zé)包括安全管理、系統(tǒng)規(guī)劃等。2115必須新增應(yīng)與所有總部技術(shù)部門人員簽署保密協(xié)議。2116必須新增應(yīng)設(shè)立2名技術(shù)聯(lián)絡(luò)員，負(fù)責(zé)組織、協(xié)調(diào)和處理與信息安全管理部門、交易所及相關(guān)單位的各項(xiàng)技術(shù)事宜。2117必須新增總部技術(shù)部門應(yīng)有至少1名安全管理人員。2118必須新增每個營業(yè)部應(yīng)配備至少一名技術(shù)人員。212培訓(xùn)2121必須新增對所有上崗技術(shù)人員應(yīng)進(jìn)行崗位培訓(xùn)。2122必須新增總部技術(shù)部門的所有人員每兩年參加期貨業(yè)協(xié)會組織的技術(shù)培訓(xùn)應(yīng)達(dá)到18學(xué)時，其中至少有3學(xué)時的信息技術(shù)法律法規(guī)及標(biāo)準(zhǔn)培訓(xùn)。2123必須新增應(yīng)有明確的培訓(xùn)教材，用于培訓(xùn)上崗操作人員。213人員素質(zhì)2131必須新增總部技術(shù)部門人員50以上應(yīng)有信息技術(shù)相關(guān)專業(yè)大學(xué)本科或以上教育背景。214信息技術(shù)服務(wù)提供商管理2141必須新增應(yīng)與信息技術(shù)服務(wù)提供商簽訂服務(wù)保障協(xié)議。2142必須新增應(yīng)與核心系統(tǒng)的服務(wù)提供商簽署保密協(xié)議。2143必須新增應(yīng)有信息技術(shù)服務(wù)提供商的準(zhǔn)確聯(lián)系方式。215IT投入2151必須新增最近三個財政年度IT投入平均數(shù)額應(yīng)不少于最近三個財政年度平均凈利潤的6或不少于最近三個財政年度平均營業(yè)收入的3，取二者數(shù)額較大者。22機(jī)房建設(shè)221基本2211必須新增機(jī)房應(yīng)為獨(dú)立封閉區(qū)域，并配備門禁。2212必須新增機(jī)房應(yīng)具備火警檢測、滅火和應(yīng)急照明設(shè)施。222供電2221必須新增機(jī)房應(yīng)配備UPS設(shè)施。2222必須新增UPS供電時間應(yīng)超過從斷電到發(fā)電設(shè)備開始供電的間隔時間。如無發(fā)電設(shè)備，UPS的電池應(yīng)能夠支撐當(dāng)前機(jī)房的有效負(fù)載至少半個小時。223空調(diào)2231必須新增應(yīng)配有與機(jī)房熱容量匹配的空調(diào)。2232必須新增對機(jī)房溫濕度應(yīng)有監(jiān)控措施和記錄。23核心系統(tǒng)231功能2311必須新增交易系統(tǒng)應(yīng)實(shí)現(xiàn)數(shù)據(jù)與應(yīng)用分離，防止客戶終端繞過應(yīng)用程序界面直接訪問核心數(shù)據(jù)。2312必須新增交易系統(tǒng)應(yīng)具備對客戶進(jìn)行實(shí)時風(fēng)險控制的能力。2313必須新增交易系統(tǒng)應(yīng)能產(chǎn)生、記錄并存儲必要的日志信息供審計使用。2314必須新增核心系統(tǒng)應(yīng)具備向期貨保證金監(jiān)控中心上報規(guī)定數(shù)據(jù)的功能。2315必須新增核心系統(tǒng)不可提供篡改、偽造數(shù)據(jù)或其他可能導(dǎo)致數(shù)據(jù)失真的功能。2316必須新增核心系統(tǒng)應(yīng)有授權(quán)管理功能。2317必須新增應(yīng)要求交易系統(tǒng)供應(yīng)商提供交易、銀期及相關(guān)查詢接口。232性能和容量2321必須新增交易系統(tǒng)的性能和容量應(yīng)達(dá)到所有其作為會員的交易所的要求。2322必須新增應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)指標(biāo)進(jìn)行實(shí)時監(jiān)控。2323必須新增應(yīng)對所有接入交易所的交易通信鏈路進(jìn)行監(jiān)控。2324必須新增接入交易所的交易通信鏈路應(yīng)達(dá)到所有其作為會員的交易所的要求。2325可選新增應(yīng)對所有網(wǎng)上交易的通信鏈路進(jìn)行監(jiān)控。233交易系統(tǒng)冗余2331必須新增交易系統(tǒng)的所有部件應(yīng)有備份。234行情冗余2341必須新增應(yīng)使用至少2家行情商提供的行情服務(wù)，其中至少有1家使用至少2套服務(wù)器。235銀期系統(tǒng)冗余2351必須新增應(yīng)與至少2家銀行實(shí)現(xiàn)銀期轉(zhuǎn)賬，其中至少一家提供全國性銀期轉(zhuǎn)賬服務(wù)。24安全241網(wǎng)絡(luò)隔離2411必須新增生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)應(yīng)實(shí)現(xiàn)有效隔離。2412必須新增網(wǎng)站與網(wǎng)上交易系統(tǒng)應(yīng)實(shí)現(xiàn)有效隔離。2413必須新增生產(chǎn)網(wǎng)與辦公網(wǎng)應(yīng)實(shí)現(xiàn)有效隔離。2414必須新增總部的生產(chǎn)網(wǎng)與營業(yè)部的網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)有效隔離。2415必須新增生產(chǎn)網(wǎng)與交易所、銀行等外聯(lián)單位網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)有效隔離。242防病毒、補(bǔ)丁和安全加固2421必須新增應(yīng)建立有效機(jī)制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補(bǔ)丁進(jìn)行了解、評估、必要的測試和升級。2422必須新增應(yīng)對使用WINDOWS平臺的計算機(jī)部署防病毒軟件，定期進(jìn)行全面檢查，并及時進(jìn)行病毒庫的更新。2423必須新增應(yīng)對通過互聯(lián)網(wǎng)向外提供服務(wù)的設(shè)備和系統(tǒng)進(jìn)行定期安全掃描，關(guān)閉不需要的端口。243網(wǎng)站安全2431必須新增應(yīng)有專人監(jiān)控網(wǎng)站內(nèi)容，發(fā)現(xiàn)問題后及時處理。2432必須新增應(yīng)定期對網(wǎng)站進(jìn)行安全檢查，并對隱患進(jìn)行及時處理。2433必須新增應(yīng)準(zhǔn)備足夠措施，能在發(fā)現(xiàn)網(wǎng)站被篡改后5分鐘內(nèi)停止發(fā)布被篡改的內(nèi)容。2434必須新增應(yīng)安裝木馬防護(hù)軟件并定期更新。2435必須新增網(wǎng)站的內(nèi)容發(fā)布應(yīng)有審核制度和完整的內(nèi)容發(fā)布流程。244網(wǎng)上交易安全2441必須新增應(yīng)提供可靠的身份認(rèn)證機(jī)制，網(wǎng)上交易客戶端支持多種方式與服務(wù)端完成身份認(rèn)證。2442必須新增服務(wù)器上的用戶認(rèn)證信息應(yīng)加密存放。2443必須新增應(yīng)當(dāng)與投資者簽訂網(wǎng)上期貨服務(wù)合同（協(xié)議）或在期貨合同（協(xié)議）中有專門的條款載明，期貨公司應(yīng)向投資者充分揭示網(wǎng)上期貨業(yè)務(wù)可能面臨的風(fēng)險，期貨公司已經(jīng)采取的風(fēng)險控制措施和客戶應(yīng)采取的風(fēng)險控制措施，以及相關(guān)風(fēng)險對應(yīng)的責(zé)任承擔(dān)。2444必須新增應(yīng)提供預(yù)留驗(yàn)證信息服務(wù)，在客戶進(jìn)行登錄時向客戶進(jìn)行顯示，幫助客戶有效識別仿冒的網(wǎng)上期貨信息系統(tǒng)，防范不法分子利用仿冒的網(wǎng)上期貨信息系統(tǒng)進(jìn)行詐騙活動。245賬號與權(quán)限2451必須新增應(yīng)有生產(chǎn)環(huán)境內(nèi)關(guān)鍵系統(tǒng)賬號與權(quán)限的關(guān)系表。2452必須新增賬號和權(quán)限變更應(yīng)有審批和完整的記錄。2453可選新增崗位變動應(yīng)及時調(diào)整對應(yīng)系統(tǒng)的賬號和權(quán)限。2454可選新增應(yīng)避免使用管理員賬號完成日常業(yè)務(wù)操作。246密碼管理2461必須新增所有書面方式保存的密碼應(yīng)有安全的物理保護(hù)措施。2462必須新增密碼應(yīng)有復(fù)雜度要求。247安全審計2471必須新增核心系統(tǒng)的主要業(yè)務(wù)操作應(yīng)產(chǎn)生審計記錄。2472必須新增應(yīng)采取有效措施防止刪除、修改或覆蓋審計記錄。25日常運(yùn)行251崗位2511必須新增應(yīng)建立日常值班制度，設(shè)立專門運(yùn)行保障崗位，制定明確的每日值班表，保障交易期間有人值守。2512必須新增初始化、結(jié)算、數(shù)據(jù)備份等關(guān)鍵操作過程和結(jié)果應(yīng)有復(fù)核。252制度與巡檢2521必須新增在關(guān)鍵時間點(diǎn)應(yīng)對生產(chǎn)環(huán)境運(yùn)行狀態(tài)進(jìn)行巡檢。2522必須新增巡檢應(yīng)保留記錄，并有操作和復(fù)核人員的簽名。253機(jī)房進(jìn)出2531必須新增應(yīng)建立機(jī)房及值班操作間的出入登記制度，并保留相關(guān)記錄。2532必須新增非技術(shù)保障人員進(jìn)入機(jī)房應(yīng)獲得授權(quán)，并有技術(shù)保障人員陪同，所攜帶設(shè)備應(yīng)專門登記。2533必須新增交易期間如無應(yīng)急需要，不應(yīng)進(jìn)入機(jī)房。26備份261數(shù)據(jù)備份2611必須新增應(yīng)根據(jù)數(shù)據(jù)的重要性及其對核心系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)備份策略和恢復(fù)策略。2612必須新增應(yīng)對介質(zhì)進(jìn)行明確標(biāo)識。2613必須新增應(yīng)確保介質(zhì)存放在安全環(huán)境中，實(shí)現(xiàn)對備份數(shù)據(jù)的控制和保護(hù)。2614必須新增每日應(yīng)對結(jié)算后數(shù)據(jù)進(jìn)行備份。2615可選新增應(yīng)定期對主要備份業(yè)務(wù)數(shù)據(jù)進(jìn)行恢復(fù)驗(yàn)證，根據(jù)介質(zhì)使用期限及時轉(zhuǎn)儲數(shù)據(jù)。27系統(tǒng)維護(hù)271變更管理2711必須新增應(yīng)將所有涉及核心系統(tǒng)的軟硬件變更納入變更管理范圍。2712必須新增每次變更前應(yīng)進(jìn)行評估。2713可選新增風(fēng)險較大的變更，應(yīng)在變更后對系統(tǒng)的運(yùn)行情況進(jìn)行跟蹤。2714必須新增進(jìn)行與核心系統(tǒng)相關(guān)的開發(fā)工作時，應(yīng)避免在生產(chǎn)環(huán)境上進(jìn)行日常測試。2715必須新增如果需要使用生產(chǎn)環(huán)境進(jìn)行測試，應(yīng)納入變更管理。272配置管理2721必須新增應(yīng)具有生產(chǎn)環(huán)境設(shè)計和部署文檔，并根據(jù)變更及時更新。2722必須新增應(yīng)對重要的配置信息進(jìn)行有效備份。273容量管理2731必須新增每年應(yīng)對核心系統(tǒng)的性能和容量情況進(jìn)行評估。274應(yīng)急演練2741必須新增對核心系統(tǒng)的常見故障應(yīng)有書面的應(yīng)急預(yù)案和排障流程。2742必須新增應(yīng)參與交易所等行業(yè)相關(guān)機(jī)構(gòu)組織的測試和應(yīng)急演練并有記錄。2743必須新增應(yīng)有應(yīng)急演練計劃，并定期根據(jù)計劃進(jìn)行演練。275技術(shù)事故管理2751必須新增應(yīng)建立技術(shù)事故報告制度和流程。2752必須新增應(yīng)保存技術(shù)事故的記錄。28營業(yè)部技術(shù)要求281基本要求2811必須新增應(yīng)設(shè)立獨(dú)立隔斷的設(shè)備區(qū)域，用于放置營業(yè)部開展業(yè)務(wù)所需的網(wǎng)絡(luò)、通信和主機(jī)設(shè)備。2812必須新增應(yīng)確保在交易時間內(nèi)有技術(shù)人員進(jìn)行技術(shù)系統(tǒng)維護(hù)工作。2813必須新增應(yīng)有與當(dāng)前運(yùn)行情況相符的業(yè)務(wù)系統(tǒng)結(jié)構(gòu)文檔。2814必須新增應(yīng)建立有效機(jī)制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補(bǔ)丁進(jìn)行了解、評估、必要的測試和升級。2815必須新增應(yīng)對使用WINDOWS平臺的計算機(jī)部署防病毒軟件，定期進(jìn)行全面檢查，并及時進(jìn)行病毒庫的更新。2816必須新增應(yīng)建立有效機(jī)制，保障總部了解各個營業(yè)部的運(yùn)行情況。2817必須新增應(yīng)有總部和信息技術(shù)服務(wù)提供商的準(zhǔn)確聯(lián)系方式。282交易保障2821必須新增提供現(xiàn)場交易的營業(yè)部，應(yīng)有至少兩條交易通信鏈路。2822必須新增提供現(xiàn)場交易的營業(yè)部，關(guān)鍵設(shè)備應(yīng)有冗余。2823必須新增提供現(xiàn)場交易的營業(yè)部，應(yīng)有有效的日常運(yùn)行流程和應(yīng)急處理流程，并進(jìn)行適當(dāng)?shù)难菥殹?二類要求31技術(shù)管理311組織結(jié)構(gòu)3111必須延續(xù)應(yīng)設(shè)有技術(shù)部門并有專職技術(shù)人員，并有明確的職責(zé)分工和崗位說明。3112必須延續(xù)總部技術(shù)部門人員總數(shù)占公司總部人數(shù)的比例不少于6。3113必須延續(xù)總部技術(shù)部門人員不少于5人。3114必須延續(xù)應(yīng)建立負(fù)責(zé)信息安全的管理機(jī)構(gòu)，其職責(zé)包括安全管理、系統(tǒng)規(guī)劃等。3115必須延續(xù)應(yīng)與所有總部技術(shù)部門人員簽署保密協(xié)議。3116必須延續(xù)應(yīng)設(shè)立2名技術(shù)聯(lián)絡(luò)員，負(fù)責(zé)組織、協(xié)調(diào)和處理與信息安全管理部門、交易所及相關(guān)單位的各項(xiàng)技術(shù)事宜。3117必須延續(xù)總部技術(shù)部門應(yīng)有至少1名安全管理人員。3118必須延續(xù)每個營業(yè)部應(yīng)配備至少一名技術(shù)人員。3119必須新增總部技術(shù)部門應(yīng)有至少1名網(wǎng)絡(luò)管理人員。312培訓(xùn)3121必須延續(xù)對所有上崗技術(shù)人員應(yīng)進(jìn)行崗位培訓(xùn)。3122必須延續(xù)總部技術(shù)部門的所有人員每兩年參加期貨業(yè)協(xié)會組織的技術(shù)培訓(xùn)應(yīng)達(dá)到18學(xué)時，其中至少有3學(xué)時的信息技術(shù)法律法規(guī)及標(biāo)準(zhǔn)培訓(xùn)。3123必須延續(xù)應(yīng)有明確的培訓(xùn)教材，用于培訓(xùn)上崗操作人員。3124必須新增應(yīng)有對總部技術(shù)部門人員的年度培訓(xùn)計劃，并根據(jù)計劃實(shí)施。313人員素質(zhì)3131必須延續(xù)總部技術(shù)部門人員50以上應(yīng)有信息技術(shù)相關(guān)專業(yè)大學(xué)本科或以上教育背景。3132必須新增總部技術(shù)部門人員50以上應(yīng)具備1年及以上的系統(tǒng)運(yùn)行維護(hù)經(jīng)驗(yàn)。314信息技術(shù)服務(wù)提供商管理3141必須延續(xù)應(yīng)與信息技術(shù)服務(wù)提供商簽訂服務(wù)保障協(xié)議。3142必須延續(xù)應(yīng)與核心系統(tǒng)的服務(wù)提供商簽署保密協(xié)議。3143必須延續(xù)應(yīng)有信息技術(shù)服務(wù)提供商的準(zhǔn)確聯(lián)系方式。3144必須新增選擇信息技術(shù)服務(wù)提供商時應(yīng)評估其資質(zhì)、經(jīng)營行為、業(yè)績、服務(wù)體系和服務(wù)品質(zhì)等要素。3145必須新增應(yīng)定期對信息技術(shù)服務(wù)提供商的服務(wù)質(zhì)量進(jìn)行評估。315IT投入3151必須延續(xù)最近三個財政年度IT投入平均數(shù)額應(yīng)不少于最近三個財政年度平均凈利潤的6或不少于最近三個財政年度平均營業(yè)收入的3，取二者數(shù)額較大者。32機(jī)房建設(shè)321基本3211必須延續(xù)機(jī)房應(yīng)為獨(dú)立封閉區(qū)域，并配備門禁。3212必須新增機(jī)房承重應(yīng)達(dá)到300公斤每平方米。3213必須延續(xù)機(jī)房應(yīng)具備火警檢測、滅火和應(yīng)急照明設(shè)施。3214必須新增機(jī)房應(yīng)當(dāng)具備自動滅火設(shè)施。3215必須新增機(jī)房出入口和內(nèi)部應(yīng)安裝724小時錄像監(jiān)控設(shè)施，錄像至少保存一周。3216必須新增機(jī)房應(yīng)有防雷和接地的設(shè)施。322供電3221必須新增機(jī)房應(yīng)配備在線UPS設(shè)施。UPS應(yīng)當(dāng)存放在獨(dú)立封閉區(qū)域。3222必須新增應(yīng)具有雙路市電供電，雙路供電應(yīng)能實(shí)現(xiàn)自動切換，或在單路供電情況下，備用供電措施能提供超過4小時的供電時間。323空調(diào)3231必須新增應(yīng)配有與機(jī)房熱容量匹配的精密空調(diào)，并有冗余的空調(diào)設(shè)備。3232必須延續(xù)對機(jī)房溫濕度應(yīng)有監(jiān)控措施和記錄。324布線3241必須新增強(qiáng)弱電布線應(yīng)分開。3242必須新增所有弱電布線應(yīng)有清晰的線標(biāo)。325維護(hù)3251必須新增所有UPS和空調(diào)設(shè)施都應(yīng)有專業(yè)維護(hù)人員，或與專業(yè)機(jī)構(gòu)簽訂維護(hù)合同。3252必須新增應(yīng)定期對所有UPS和空調(diào)設(shè)施進(jìn)行恰當(dāng)維護(hù)，有維護(hù)記錄。33核心系統(tǒng)331功能3311必須延續(xù)交易系統(tǒng)應(yīng)實(shí)現(xiàn)數(shù)據(jù)與應(yīng)用分離，防止客戶終端繞過應(yīng)用程序界面直接訪問核心數(shù)據(jù)。3312必須延續(xù)交易系統(tǒng)應(yīng)具備對客戶進(jìn)行實(shí)時風(fēng)險控制的能力。3313必須延續(xù)交易系統(tǒng)應(yīng)能產(chǎn)生、記錄并存儲必要的日志信息供審計使用。3314必須延續(xù)核心系統(tǒng)應(yīng)具備向期貨保證金監(jiān)控中心上報規(guī)定數(shù)據(jù)的功能。3315必須延續(xù)核心系統(tǒng)不可提供篡改、偽造數(shù)據(jù)或其他可能導(dǎo)致數(shù)據(jù)失真的功能。3316必須延續(xù)核心系統(tǒng)應(yīng)有授權(quán)管理功能。3317必須新增核心系統(tǒng)應(yīng)有運(yùn)行監(jiān)控功能。3318必須延續(xù)應(yīng)要求交易系統(tǒng)供應(yīng)商提供交易、銀期及相關(guān)查詢接口。332性能和容量3321必須延續(xù)交易系統(tǒng)的性能和容量應(yīng)達(dá)到所有其作為會員的交易所的要求。3322必須延續(xù)應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)指標(biāo)進(jìn)行實(shí)時監(jiān)控。3323可選新增應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)監(jiān)控指標(biāo)進(jìn)行記錄。3324必須延續(xù)應(yīng)對所有接入交易所的交易通信鏈路進(jìn)行監(jiān)控。3325必須延續(xù)接入交易所的交易通信鏈路應(yīng)達(dá)到所有其作為會員的交易所的要求。3326可選新增接入交易所的交易通信鏈路帶寬使用率每日峰值按月統(tǒng)計的平均值應(yīng)不超過80。3327必須延續(xù)應(yīng)對所有網(wǎng)上交易的通信鏈路進(jìn)行監(jiān)控。3328可選新增網(wǎng)上交易的通信鏈路帶寬使用率每日峰值按月統(tǒng)計的平均值應(yīng)不超過80。333交易系統(tǒng)冗余3331必須新增交易系統(tǒng)的所有部件應(yīng)有備份，具有30分鐘內(nèi)切換的能力。3332必須新增與交易所連接的網(wǎng)絡(luò)設(shè)備應(yīng)無單點(diǎn)故障。3333必須新增生產(chǎn)環(huán)境內(nèi)所有網(wǎng)絡(luò)設(shè)備應(yīng)有備份，具備30分鐘內(nèi)切換的能力。3334必須新增應(yīng)使用多個電信運(yùn)營商的鏈路作為網(wǎng)上交易的通信鏈路。334行情冗余3341必須新增應(yīng)向客戶同時提供至少2套行情服務(wù)，且均使用至少2套服務(wù)器。3342必須新增應(yīng)通過至少兩個電信運(yùn)營商提供行情服務(wù)。335銀期系統(tǒng)冗余3351必須新增應(yīng)與至少2家銀行實(shí)現(xiàn)全國性銀期轉(zhuǎn)帳。34安全341網(wǎng)絡(luò)隔離3411必須延續(xù)生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)應(yīng)實(shí)現(xiàn)有效隔離。3412必須延續(xù)網(wǎng)站與網(wǎng)上交易系統(tǒng)應(yīng)實(shí)現(xiàn)有效隔離。3413必須延續(xù)生產(chǎn)網(wǎng)與辦公網(wǎng)應(yīng)實(shí)現(xiàn)有效隔離。3414必須延續(xù)總部的生產(chǎn)網(wǎng)與營業(yè)部的網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)有效隔離。3415必須延續(xù)生產(chǎn)網(wǎng)與交易所、銀行等外聯(lián)單位網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)有效隔離。342防病毒、補(bǔ)丁和安全加固3421必須延續(xù)應(yīng)建立有效機(jī)制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補(bǔ)丁進(jìn)行了解、評估、必要的測試和升級。3422必須延續(xù)應(yīng)對使用WINDOWS平臺的計算機(jī)部署防病毒軟件，定期進(jìn)行全面檢查，并及時進(jìn)行病毒庫的更新。3423必須新增應(yīng)對生產(chǎn)環(huán)境所有服務(wù)器定期進(jìn)行安全掃描和合理加固，關(guān)閉不需要的端口。3424必須新增應(yīng)在計算機(jī)或存儲設(shè)備接入生產(chǎn)環(huán)境之前對其進(jìn)行安全檢查。3425必須延續(xù)應(yīng)對通過互聯(lián)網(wǎng)向外提供服務(wù)的設(shè)備和系統(tǒng)進(jìn)行定期安全掃描，關(guān)閉不需要的端口。3426必須新增在讀取移動存儲設(shè)備上的數(shù)據(jù)以及從網(wǎng)絡(luò)上接收文件或郵件之前，應(yīng)先進(jìn)行病毒檢查。3427可選新增所有生產(chǎn)環(huán)境服務(wù)器應(yīng)盡量避免使用TELNET、FTP等有安全隱患的服務(wù)，與服務(wù)器通信應(yīng)采用加密方式，例如SSH。343網(wǎng)站安全3431必須延續(xù)應(yīng)有專人監(jiān)控網(wǎng)站內(nèi)容，發(fā)現(xiàn)問題后及時處理。3432必須延續(xù)應(yīng)定期對網(wǎng)站進(jìn)行安全檢查，并對隱患進(jìn)行及時處理。3433必須延續(xù)應(yīng)準(zhǔn)備足夠措施，能在發(fā)現(xiàn)網(wǎng)站被篡改后5分鐘內(nèi)停止發(fā)布被篡改的內(nèi)容。3434必須延續(xù)應(yīng)安裝木馬防護(hù)軟件并定期更新。3435必須延續(xù)網(wǎng)站的內(nèi)容發(fā)布應(yīng)有審核制度和完整的內(nèi)容發(fā)布流程。344網(wǎng)上交易安全3441必須延續(xù)應(yīng)提供可靠的身份認(rèn)證機(jī)制，網(wǎng)上交易客戶端支持多種方式與服務(wù)端完成身份認(rèn)證。3442必須延續(xù)服務(wù)器上的用戶認(rèn)證信息應(yīng)加密存放。3443必須延續(xù)應(yīng)當(dāng)與投資者簽訂網(wǎng)上期貨服務(wù)合同（協(xié)議）或在期貨合同（協(xié)議）中有專門的條款載明，期貨公司應(yīng)向投資者充分揭示網(wǎng)上期貨業(yè)務(wù)可能面臨的風(fēng)險，期貨公司已經(jīng)采取的風(fēng)險控制措施和客戶應(yīng)采取的風(fēng)險控制措施，以及相關(guān)風(fēng)險對應(yīng)的責(zé)任承擔(dān)。3444必須延續(xù)應(yīng)提供預(yù)留驗(yàn)證信息服務(wù)，在客戶進(jìn)行登錄時向客戶進(jìn)行顯示，幫助客戶有效識別仿冒的網(wǎng)上期貨信息系統(tǒng)，防范不法分子利用仿冒的網(wǎng)上期貨信息系統(tǒng)進(jìn)行詐騙活動。345賬號與權(quán)限3451必須延續(xù)應(yīng)有生產(chǎn)環(huán)境內(nèi)關(guān)鍵系統(tǒng)賬號與權(quán)限的關(guān)系表。3452必須延續(xù)賬號和權(quán)限變更應(yīng)有審批和完整的記錄。3453必須延續(xù)崗位變動應(yīng)及時調(diào)整對應(yīng)系統(tǒng)的賬號和權(quán)限。3454必須延續(xù)應(yīng)避免使用管理員賬號完成日常業(yè)務(wù)操作。346密碼管理3461必須延續(xù)所有書面方式保存的密碼應(yīng)有安全的物理保護(hù)措施。3462必須延續(xù)密碼應(yīng)有復(fù)雜度要求。3463必須新增密碼應(yīng)定期更換。347安全審計3471必須延續(xù)核心系統(tǒng)的主要業(yè)務(wù)操作應(yīng)產(chǎn)生審計記錄。3472必須延續(xù)應(yīng)采取有效措施防止刪除、修改或覆蓋審計記錄。35日常運(yùn)行351崗位3511必須延續(xù)應(yīng)建立日常值班制度，設(shè)立專門運(yùn)行保障崗位，制定明確的每日值班表，保障交易期間有人值守。3512必須延續(xù)初始化、結(jié)算、數(shù)據(jù)備份等關(guān)鍵操作過程和結(jié)果應(yīng)有復(fù)核。3513必須新增交易運(yùn)行期間應(yīng)有現(xiàn)場保障人員，以及時維護(hù)和應(yīng)急處理。352制度與巡檢3521必須延續(xù)在關(guān)鍵時間點(diǎn)應(yīng)對生產(chǎn)環(huán)境運(yùn)行狀態(tài)進(jìn)行巡檢。3522必須延續(xù)巡檢應(yīng)保留記錄，并有操作和復(fù)核人員的簽名。3523必須新增應(yīng)有詳細(xì)的操作手冊（包括日常操作和定期維護(hù)操作），手冊中應(yīng)有詳細(xì)的操作步驟。3524必須新增交易期間應(yīng)對核心系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時監(jiān)控，并能及時、有效地報警。3525必須新增應(yīng)保留關(guān)鍵操作的記錄和簽名。3526必須新增應(yīng)保留應(yīng)用系統(tǒng)的操作日志記錄。3527必須新增應(yīng)記錄生產(chǎn)環(huán)境發(fā)生的故障和異常。353機(jī)房進(jìn)出3531必須延續(xù)應(yīng)建立機(jī)房及值班操作間的出入登記制度，并保留相關(guān)記錄。3532必須延續(xù)非技術(shù)保障人員進(jìn)入機(jī)房應(yīng)獲得授權(quán)，并有技術(shù)保障人員陪同，所攜帶設(shè)備應(yīng)專門登記。3533必須延續(xù)交易期間如無應(yīng)急需要，不應(yīng)進(jìn)入機(jī)房。36備份361數(shù)據(jù)備份3611必須延續(xù)應(yīng)根據(jù)數(shù)據(jù)的重要性及其對核心系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)備份策略和恢復(fù)策略。3612必須新增應(yīng)建立數(shù)據(jù)管理、介質(zhì)維護(hù)、銷毀和使用管理制度。3613必須延續(xù)應(yīng)對介質(zhì)進(jìn)行明確標(biāo)識。3614必須延續(xù)應(yīng)確保介質(zhì)存放在安全環(huán)境中，實(shí)現(xiàn)對備份數(shù)據(jù)的控制和保護(hù)。3615必須延續(xù)每日應(yīng)對結(jié)算后數(shù)據(jù)進(jìn)行備份。3616必須新增每周應(yīng)將結(jié)算后數(shù)據(jù)備份介質(zhì)離場存放。3617必須延續(xù)應(yīng)定期對主要備份業(yè)務(wù)數(shù)據(jù)進(jìn)行恢復(fù)驗(yàn)證，根據(jù)介質(zhì)使用期限及時轉(zhuǎn)儲數(shù)據(jù)。3618必須新增應(yīng)指定專人負(fù)責(zé)保管業(yè)務(wù)數(shù)據(jù)備份介質(zhì)。37系統(tǒng)維護(hù)371變更管理3711必須延續(xù)應(yīng)將所有涉及核心系統(tǒng)的軟硬件變更納入變更管理范圍。3712必須延續(xù)每次變更前應(yīng)進(jìn)行評估。3713必須新增所有變更操作應(yīng)有操作記錄。3714必須新增所有變更應(yīng)進(jìn)行事后檢查。3715必須延續(xù)風(fēng)險較大的變更，應(yīng)在變更后對系統(tǒng)的運(yùn)行情況進(jìn)行跟蹤。3716必須延續(xù)進(jìn)行與核心系統(tǒng)相關(guān)的開發(fā)工作時，應(yīng)避免在生產(chǎn)環(huán)境上進(jìn)行日常測試。3717必須延續(xù)如果需要使用生產(chǎn)環(huán)境進(jìn)行測試，應(yīng)納入變更管理。372配置管理3721必須延續(xù)應(yīng)具有生產(chǎn)環(huán)境設(shè)計和部署文檔，并根據(jù)變更及時更新。3722必須延續(xù)應(yīng)對重要的配置信息進(jìn)行有效備份。3723必須新增應(yīng)有恢復(fù)配置信息的流程。373容量管理3731必須延續(xù)每年應(yīng)對核心系統(tǒng)的性能和容量情況進(jìn)行評估。3732必須新增應(yīng)根據(jù)核心系統(tǒng)的性能容量評估報告，結(jié)合業(yè)務(wù)發(fā)展情況及時提出改進(jìn)計劃。374應(yīng)急演練3741必須延續(xù)對核心系統(tǒng)的常見故障應(yīng)有書面的應(yīng)急預(yù)案和排障流程。3742必須延續(xù)應(yīng)參與交易所等行業(yè)相關(guān)機(jī)構(gòu)組織的測試和應(yīng)急演練并有記錄。3743必須新增應(yīng)根據(jù)機(jī)構(gòu)、人員、技術(shù)等變化，及時調(diào)整應(yīng)急預(yù)案。3744必須延續(xù)應(yīng)有應(yīng)急演練計劃，并定期根據(jù)計劃進(jìn)行演練。3745必須新增應(yīng)準(zhǔn)備必要工具，以便應(yīng)急預(yù)案的順利執(zhí)行。375技術(shù)事故管理3751必須延續(xù)應(yīng)建立技術(shù)事故報告制度和流程。3752必須延續(xù)應(yīng)保存技術(shù)事故的記錄。3753必須新增應(yīng)根據(jù)技術(shù)事故情況，及時提出改進(jìn)計劃，落實(shí)改進(jìn)措施。38營業(yè)部技術(shù)要求381基本要求3811必須延續(xù)應(yīng)設(shè)立獨(dú)立隔斷的設(shè)備區(qū)域，用于放置營業(yè)部開展業(yè)務(wù)所需的網(wǎng)絡(luò)、通信和主機(jī)設(shè)備。3812必須延續(xù)應(yīng)確保在交易時間內(nèi)有技術(shù)人員進(jìn)行技術(shù)系統(tǒng)維護(hù)工作。3813必須延續(xù)應(yīng)有與當(dāng)前運(yùn)行情況相符的業(yè)務(wù)系統(tǒng)結(jié)構(gòu)文檔。3814必須新增應(yīng)配備防火墻或相當(dāng)?shù)陌踩雷o(hù)設(shè)備。3815必須延續(xù)應(yīng)建立有效機(jī)制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補(bǔ)丁進(jìn)行了解、評估、必要的測試和升級。3816必須延續(xù)應(yīng)對使用WINDOWS平臺的計算機(jī)部署防病毒軟件，定期進(jìn)行全面檢查，并及時進(jìn)行病毒庫的更新。3817必須延續(xù)應(yīng)建立有效機(jī)制，保障總部了解各個營業(yè)部的運(yùn)行情況。3818必須延續(xù)應(yīng)有總部和信息技術(shù)服務(wù)提供商的準(zhǔn)確聯(lián)系方式。382交易保障3821必須新增提供現(xiàn)場交易的營業(yè)部，其設(shè)備區(qū)域應(yīng)是一個單獨(dú)的房間。3822必須新增提供現(xiàn)場交易的營業(yè)部，應(yīng)為設(shè)備區(qū)域配備UPS和空調(diào)。3823必須延續(xù)提供現(xiàn)場交易的營業(yè)部，應(yīng)有至少兩條交易通信鏈路。3824必須延續(xù)提供現(xiàn)場交易的營業(yè)部，關(guān)鍵設(shè)備應(yīng)有冗余。3825必須延續(xù)提供現(xiàn)場交易的營業(yè)部，應(yīng)有有效的日常運(yùn)行流程和應(yīng)急處理流程，并進(jìn)行適當(dāng)?shù)难菥殹?三類要求41技術(shù)管理411組織結(jié)構(gòu)4111必須延續(xù)應(yīng)設(shè)有技術(shù)部門并有專職技術(shù)人員，并有明確的職責(zé)分工和崗位說明。4112必須延續(xù)總部技術(shù)部門人員總數(shù)占公司總部人數(shù)的比例不少于6。4113必須延續(xù)總部技術(shù)部門人員不少于7人。4114必須延續(xù)應(yīng)建立負(fù)責(zé)信息安全的管理機(jī)構(gòu)，其職責(zé)包括安全管理、系統(tǒng)規(guī)劃等。4115必須延續(xù)應(yīng)與所有總部技術(shù)部門人員簽署保密協(xié)議。4116必須延續(xù)應(yīng)設(shè)立2名技術(shù)聯(lián)絡(luò)員，負(fù)責(zé)組織、協(xié)調(diào)和處理與信息安全管理部門、交易所及相關(guān)單位的各項(xiàng)技術(shù)事宜。4117必須延續(xù)總部技術(shù)部門應(yīng)有至少1名安全管理人員。4118必須延續(xù)每個營業(yè)部應(yīng)配備至少一名技術(shù)人員。4119必須新增總部技術(shù)部門應(yīng)有至少2名網(wǎng)絡(luò)管理人員。412培訓(xùn)4121必須延續(xù)對所有上崗技術(shù)人員應(yīng)進(jìn)行崗位培訓(xùn)。4122必須延續(xù)總部技術(shù)部門的所有人員每兩年參加期貨業(yè)協(xié)會組織的技術(shù)培訓(xùn)應(yīng)達(dá)到18學(xué)時，其中至少有3學(xué)時的信息技術(shù)法律法規(guī)及標(biāo)準(zhǔn)培訓(xùn)。4123必須延續(xù)應(yīng)有明確的培訓(xùn)教材，用于培訓(xùn)上崗操作人員。4124必須延續(xù)應(yīng)有對總部技術(shù)部門人員的年度培訓(xùn)計劃，并根據(jù)計劃實(shí)施。4125必須新增應(yīng)定期對各個崗位的人員進(jìn)行安全教育和培訓(xùn)。413人員素質(zhì)4131必須延續(xù)總部技術(shù)部門人員50以上應(yīng)有信息技術(shù)相關(guān)專業(yè)大學(xué)本科或以上教育背景。4132必須新增總部技術(shù)部門人員50以上應(yīng)具備2年及以上的系統(tǒng)運(yùn)行維護(hù)經(jīng)驗(yàn)。414信息技術(shù)服務(wù)提供商管理4141必須延續(xù)應(yīng)與信息技術(shù)服務(wù)提供商簽訂服務(wù)保障協(xié)議。4142必須延續(xù)應(yīng)與核心系統(tǒng)的服務(wù)提供商簽署保密協(xié)議。4143必須延續(xù)應(yīng)有信息技術(shù)服務(wù)提供商的準(zhǔn)確聯(lián)系方式。4144必須延續(xù)選擇信息技術(shù)服務(wù)提供商時應(yīng)評估其資質(zhì)、經(jīng)營行為、業(yè)績、服務(wù)體系和服務(wù)品質(zhì)等要素。4145必須延續(xù)應(yīng)定期對信息技術(shù)服務(wù)提供商的服務(wù)質(zhì)量進(jìn)行評估。415IT投入4151必須延續(xù)最近三個財政年度IT投入平均數(shù)額應(yīng)不少于最近三個財政年度平均凈利潤的6或不少于最近三個財政年度平均營業(yè)收入的3，取二者數(shù)額較大者。42機(jī)房建設(shè)421基本4211必須延續(xù)機(jī)房應(yīng)為獨(dú)立封閉區(qū)域，并配備門禁。4212必須新增機(jī)房承重應(yīng)達(dá)到500公斤每平方米。4213必須延續(xù)機(jī)房應(yīng)具備火警檢測、滅火和應(yīng)急照明設(shè)施。4214必須延續(xù)機(jī)房應(yīng)當(dāng)具備自動滅火設(shè)施。4215必須延續(xù)機(jī)房出入口和內(nèi)部應(yīng)安裝724小時錄像監(jiān)控設(shè)施，錄像至少保存一周。4216必須延續(xù)機(jī)房應(yīng)有防雷和接地的設(shè)施。4217必須新增機(jī)房內(nèi)應(yīng)安裝漏水檢測設(shè)施，并能夠自動報警。4218必須新增機(jī)房內(nèi)應(yīng)采用鹵代烷或可替代的其他新型氣體滅火裝置。4219必須新增應(yīng)具有機(jī)房環(huán)境監(jiān)控系統(tǒng)，至少能夠監(jiān)控供配電、空調(diào)、溫濕度等重要指標(biāo)。42110必須新增應(yīng)實(shí)現(xiàn)短信、語音等自動報警或724小時值守。422供電4221必須延續(xù)機(jī)房應(yīng)配備在線UPS設(shè)施。UPS應(yīng)當(dāng)存放在獨(dú)立封閉區(qū)域。4222必須新增應(yīng)提供雙路市電，雙路供電應(yīng)能實(shí)現(xiàn)自動切換，雙UPS供電，并能夠采用發(fā)電機(jī)應(yīng)急供電。4223必須新增應(yīng)具有電力設(shè)施實(shí)時切換演練制度和記錄。4224必須新增UPS和發(fā)電機(jī)應(yīng)能夠提供不少于12小時的連續(xù)供電，在滿負(fù)載運(yùn)行的情況下，UPS供電時間應(yīng)超過從斷電到發(fā)電機(jī)開始供電的間隔時間。4225必須新增應(yīng)定期對發(fā)電機(jī)進(jìn)行開機(jī)測試423空調(diào)4231必須新增應(yīng)配有與機(jī)房熱容量匹配的精密空調(diào)，并有冗余的精密空調(diào)設(shè)備。4232必須延續(xù)對機(jī)房溫濕度應(yīng)有監(jiān)控措施和記錄。4233必須新增空調(diào)應(yīng)雙路供電。4234必須新增機(jī)房應(yīng)配備新風(fēng)設(shè)施。4235可選新增應(yīng)具有為空調(diào)供電的發(fā)電機(jī)。424布線4241必須延續(xù)強(qiáng)弱電布線應(yīng)分開。4242必須延續(xù)所有弱電布線應(yīng)有清晰的線標(biāo)。4243必須新增強(qiáng)電電纜應(yīng)有屏蔽措施。4244必須新增所有布線應(yīng)置于管道或橋架中。425維護(hù)4251必須延續(xù)所有UPS和空調(diào)設(shè)施都應(yīng)有專業(yè)維護(hù)人員，或與專業(yè)機(jī)構(gòu)簽訂維護(hù)合同。4252必須延續(xù)應(yīng)定期對所有UPS和空調(diào)設(shè)施進(jìn)行恰當(dāng)維護(hù)，有維護(hù)記錄。43核心系統(tǒng)431功能4311必須延續(xù)交易系統(tǒng)應(yīng)實(shí)現(xiàn)數(shù)據(jù)與應(yīng)用分離，防止客戶終端繞過應(yīng)用程序界面直接訪問核心數(shù)據(jù)。4312必須延續(xù)交易系統(tǒng)應(yīng)具備對客戶進(jìn)行實(shí)時風(fēng)險控制的能力。4313必須延續(xù)交易系統(tǒng)應(yīng)能產(chǎn)生、記錄并存儲必要的日志信息供審計使用。4314必須延續(xù)核心系統(tǒng)應(yīng)具備向期貨保證金監(jiān)控中心上報規(guī)定數(shù)據(jù)的功能。4315必須延續(xù)核心系統(tǒng)不可提供篡改、偽造數(shù)據(jù)或其他可能導(dǎo)致數(shù)據(jù)失真的功能。4316必須延續(xù)核心系統(tǒng)應(yīng)有授權(quán)管理功能。4317必須延續(xù)核心系統(tǒng)應(yīng)有運(yùn)行監(jiān)控功能。4318必須新增交易系統(tǒng)應(yīng)具備流量控制管理功能。4319必須延續(xù)應(yīng)要求交易系統(tǒng)供應(yīng)商提供交易、銀期及相關(guān)查詢接口。432性能和容量4321必須延續(xù)交易系統(tǒng)的性能和容量應(yīng)達(dá)到所有其作為會員的交易所的要求。4322必須延續(xù)應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)指標(biāo)進(jìn)行實(shí)時監(jiān)控。4323必須延續(xù)應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)監(jiān)控指標(biāo)進(jìn)行記錄。4324必須延續(xù)應(yīng)對所有接入交易所的交易通信鏈路進(jìn)行監(jiān)控。4325必須延續(xù)接入交易所的交易通信鏈路應(yīng)達(dá)到所有其作為會員的交易所的要求。4326必須延續(xù)接入交易所的交易通信鏈路帶寬使用率每日峰值按月統(tǒng)計的平均值應(yīng)不超過80。4327必須延續(xù)應(yīng)對所有網(wǎng)上交易的通信鏈路進(jìn)行監(jiān)控。4328必須延續(xù)網(wǎng)上交易的通信鏈路帶寬使用率每日峰值按月統(tǒng)計的平均值應(yīng)不超過80。433交易系統(tǒng)冗余4331必須新增交易系統(tǒng)的所有部件應(yīng)有熱備份，具備5分鐘內(nèi)切換的能力。4332必須延續(xù)與交易所連接的網(wǎng)絡(luò)設(shè)備應(yīng)無單點(diǎn)故障。4333必須新增生產(chǎn)環(huán)境內(nèi)所有網(wǎng)絡(luò)設(shè)備應(yīng)有熱備份，具備1分鐘內(nèi)切換的能力。4334必須延續(xù)應(yīng)使用多個電信運(yùn)營商的鏈路作為網(wǎng)上交易的通信鏈路。434行情冗余4341必須延續(xù)應(yīng)向客戶同時提供至少2套行情服務(wù)，且均使用至少2套服務(wù)器。4342必須新增應(yīng)有至少2套行情服務(wù)，且均通過至少兩個電信運(yùn)營商提供服務(wù)。435銀期系統(tǒng)冗余4351必須延續(xù)應(yīng)與至少2家銀行實(shí)現(xiàn)全國性銀期轉(zhuǎn)帳。44安全441網(wǎng)絡(luò)隔離4411必須延續(xù)生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)應(yīng)實(shí)現(xiàn)有效隔離。4412必須延續(xù)網(wǎng)站與網(wǎng)上交易系統(tǒng)應(yīng)實(shí)現(xiàn)有效隔離。4413必須延續(xù)生產(chǎn)網(wǎng)與辦公網(wǎng)應(yīng)實(shí)現(xiàn)有效隔離。4414必須延續(xù)總部的生產(chǎn)網(wǎng)與營業(yè)部的網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)有效隔離。4415必須延續(xù)生產(chǎn)網(wǎng)與交易所、銀行等外聯(lián)單位網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)有效隔離。442防病毒、補(bǔ)丁和安全加固4421必須延續(xù)應(yīng)建立有效機(jī)制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補(bǔ)丁進(jìn)行了解、評估、必要的測試和升級。4422必須延續(xù)應(yīng)對使用WINDOWS平臺的計算機(jī)部署防病毒軟件，定期進(jìn)行全面檢查，并及時進(jìn)行病毒庫的更新。4423必須延續(xù)應(yīng)對生產(chǎn)環(huán)境所有服務(wù)器定期進(jìn)行安全掃描和合理加固，關(guān)閉不需要的端口。4424必須延續(xù)應(yīng)在計算機(jī)或存儲設(shè)備接入生產(chǎn)環(huán)境之前對其進(jìn)行安全檢查。4425必須延續(xù)應(yīng)對通過互聯(lián)網(wǎng)向外提供服務(wù)的設(shè)備和系統(tǒng)進(jìn)行定期安全掃描，關(guān)閉不需要的端口。4426必須延續(xù)在讀取移動存儲設(shè)備上的數(shù)據(jù)以及從網(wǎng)絡(luò)上接收文件或郵件之前，應(yīng)先進(jìn)行病毒檢查。4427可選新增對通過互聯(lián)網(wǎng)傳送的交易及結(jié)算數(shù)據(jù)應(yīng)有加密手段，以保護(hù)數(shù)據(jù)的安全。4428必須延續(xù)所有生產(chǎn)環(huán)境服務(wù)器應(yīng)盡量避免使用TELNET、FTP等有安全隱患的服務(wù)，與服務(wù)器通信應(yīng)采用加密方式，例如SSH。443網(wǎng)站安全4431必須延續(xù)應(yīng)有專人監(jiān)控網(wǎng)站內(nèi)容，發(fā)現(xiàn)問題后及時處理。4432必須延續(xù)應(yīng)定期對網(wǎng)站進(jìn)行安全檢查，并對隱患進(jìn)行及時處理。4433必須延續(xù)應(yīng)準(zhǔn)備足夠措施，能在發(fā)現(xiàn)網(wǎng)站被篡改后5分鐘內(nèi)停止發(fā)布被篡改的內(nèi)容。4434必須延續(xù)應(yīng)安裝木馬防護(hù)軟件并定期更新。4435必須延續(xù)網(wǎng)站的內(nèi)容發(fā)布應(yīng)有審核制度和完整的內(nèi)容發(fā)布流程。4436必須新增應(yīng)對網(wǎng)站主頁內(nèi)容實(shí)現(xiàn)自動監(jiān)控，能在5分鐘內(nèi)檢測到篡改。4437必須新增應(yīng)請有資質(zhì)的專業(yè)安全機(jī)構(gòu)定期對網(wǎng)站提供安全評估或掃描服務(wù)，并對安全漏洞進(jìn)行整改。444網(wǎng)上交易安全4441必須延續(xù)應(yīng)提供可靠的身份認(rèn)證機(jī)制，網(wǎng)上交易客戶端支持多種方式與服務(wù)端完成身份認(rèn)證。4442必須延續(xù)服務(wù)器上的用戶認(rèn)證信息應(yīng)加密存放。4443必須延續(xù)應(yīng)當(dāng)與投資者簽訂網(wǎng)上期貨服務(wù)合同（協(xié)議）或在期貨合同（協(xié)議）中有專門的條款載明，期貨公司應(yīng)向投資者充分揭示網(wǎng)上期貨業(yè)務(wù)可能面臨的風(fēng)險，期貨公司已經(jīng)采取的風(fēng)險控制措施和客戶應(yīng)采取的風(fēng)險控制措施，以及相關(guān)風(fēng)險對應(yīng)的責(zé)任承擔(dān)。4444必須延續(xù)應(yīng)提供預(yù)留驗(yàn)證信息服務(wù)，在客戶進(jìn)行登錄時向客戶進(jìn)行顯示，幫助客戶有效識別仿冒的網(wǎng)上期貨信息系統(tǒng)，防范不法分子利用仿冒的網(wǎng)上期貨信息系統(tǒng)進(jìn)行詐騙活動。4445可選新增至少提供一種強(qiáng)度較高的用戶身份認(rèn)證機(jī)制。4446必須新增應(yīng)請有資質(zhì)的專業(yè)安全機(jī)構(gòu)定期對網(wǎng)上交易系統(tǒng)提供安全評估或掃描服務(wù)，并對安全漏洞進(jìn)行整改。445賬號與權(quán)限4451必須延續(xù)應(yīng)有生產(chǎn)環(huán)境內(nèi)關(guān)鍵系統(tǒng)賬號與權(quán)限的關(guān)系表。4452必須延續(xù)賬號和權(quán)限變更應(yīng)有審批和完整的記錄。4453必須延續(xù)崗位變動應(yīng)及時調(diào)整對應(yīng)系統(tǒng)的賬號和權(quán)限。4454必須延續(xù)應(yīng)避免使用管理員賬號完成日常業(yè)務(wù)操作。446密碼管理4461必須延續(xù)所有書面方式保存的密碼應(yīng)有安全的物理保護(hù)措施。4462必須延續(xù)密碼應(yīng)有復(fù)雜度要求。4463必須延續(xù)密碼應(yīng)定期更換。447安全審計4471必須延續(xù)核心系統(tǒng)的主要業(yè)務(wù)操作應(yīng)產(chǎn)生審計記錄。4472必須延續(xù)應(yīng)采取有效措施防止刪除、修改或覆蓋審計記錄。4473可選新增所有的主要運(yùn)維操作應(yīng)采取恰當(dāng)?shù)恼J(rèn)證措施，并產(chǎn)生審計記錄。45日常運(yùn)行451崗位4511必須延續(xù)應(yīng)建立日常值班制度，設(shè)立專門運(yùn)行保障崗位，制定明確的每日值班表，保障交易期間有人值守。4512必須延續(xù)初始化、結(jié)算、數(shù)據(jù)備份等關(guān)鍵操作過程和結(jié)果應(yīng)有復(fù)核。4513必須延續(xù)交易運(yùn)行期間應(yīng)有現(xiàn)場保障人員，以及時維護(hù)和應(yīng)急處理。4514必須新增網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的運(yùn)行維護(hù)等關(guān)鍵技術(shù)崗位應(yīng)有備崗人員。4515必須新增應(yīng)實(shí)現(xiàn)雙人日常值班。452制度與巡檢4521必須延續(xù)在關(guān)鍵時間點(diǎn)應(yīng)對生產(chǎn)環(huán)境運(yùn)行狀態(tài)進(jìn)行巡檢。4522必須延續(xù)巡檢應(yīng)保留記錄，并有操作和復(fù)核人員的簽名。4523必須延續(xù)應(yīng)有詳細(xì)的操作手冊（包括日常操作和定期維護(hù)操作），手冊中應(yīng)有詳細(xì)的操作步驟。4524必須延續(xù)交易期間應(yīng)對核心系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時監(jiān)控，并能及時、有效地報警。4525必須延續(xù)應(yīng)保留關(guān)鍵操作的記錄和簽名。4526必須延續(xù)應(yīng)保留應(yīng)用系統(tǒng)的操作日志記錄。4527必須延續(xù)應(yīng)記錄生產(chǎn)環(huán)境發(fā)生的故障和異常。4528必須新增對核心系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的實(shí)時監(jiān)控應(yīng)當(dāng)包括系統(tǒng)的可用性和系統(tǒng)性能。4529必須新增應(yīng)建立完善和更新重要手冊的機(jī)制。453機(jī)房進(jìn)出4531必須延續(xù)應(yīng)建立機(jī)房及值班操作間的出入登記制度，并保留相關(guān)記錄。4532必須延續(xù)非技術(shù)保障人員進(jìn)入機(jī)房應(yīng)獲得授權(quán)，并有技術(shù)保障人員陪同，所攜帶設(shè)備應(yīng)專門登記。4533必須延續(xù)交易期間如無應(yīng)急需要，不應(yīng)進(jìn)入機(jī)房。46備份461數(shù)據(jù)備份4611必須延續(xù)應(yīng)根據(jù)數(shù)據(jù)的重要性及其對核心系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)備份策略和恢復(fù)策略。4612必須延續(xù)應(yīng)建立數(shù)據(jù)管理、介質(zhì)維護(hù)、銷毀和使用管理制度。4613必須延續(xù)應(yīng)對介質(zhì)進(jìn)行明確標(biāo)識。4614必須延續(xù)應(yīng)確保介質(zhì)存放在安全環(huán)境中，實(shí)現(xiàn)對備份數(shù)據(jù)的控制和保護(hù)。4615必須延續(xù)每日應(yīng)對結(jié)算后數(shù)據(jù)進(jìn)行備份。4616必須新增每周應(yīng)將結(jié)算后數(shù)據(jù)備份介質(zhì)異地存放。4617必須延續(xù)應(yīng)定期對主要備份業(yè)務(wù)數(shù)據(jù)進(jìn)行恢復(fù)驗(yàn)證，根據(jù)介質(zhì)使用期限及時轉(zhuǎn)儲數(shù)據(jù)。4618可選新增應(yīng)利用通信網(wǎng)絡(luò)將關(guān)鍵業(yè)務(wù)數(shù)據(jù)實(shí)時傳送至異地數(shù)據(jù)備份場所。4619可選新增每日備份后應(yīng)立即進(jìn)行恢復(fù)驗(yàn)證。46110必須延續(xù)應(yīng)指定專人負(fù)責(zé)保管業(yè)務(wù)數(shù)據(jù)備份介質(zhì)。462災(zāi)難備份4621可選新增應(yīng)有災(zāi)難備份中心，可以接管所有核心業(yè)務(wù)的運(yùn)行。4622可選新增災(zāi)難備份中心應(yīng)有滿足關(guān)鍵業(yè)務(wù)功能恢復(fù)運(yùn)作要求的場地和設(shè)施。4623可選新增采用遠(yuǎn)程數(shù)據(jù)復(fù)制技術(shù)，并利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)實(shí)時復(fù)制到災(zāi)難備份中心。4624可選新增災(zāi)難備份中心應(yīng)配備恢復(fù)所需的全部運(yùn)行環(huán)境，并處于就緒狀態(tài)或運(yùn)行狀態(tài)。4625可選新增災(zāi)難備份中心應(yīng)配備災(zāi)難恢復(fù)所需的通信鏈路和網(wǎng)絡(luò)設(shè)備，并處于就緒狀態(tài)。4626可選新增災(zāi)難備份中心應(yīng)在交易和結(jié)算時間內(nèi)有相關(guān)技術(shù)支持和保障人員。4627可選新增災(zāi)難備份中心應(yīng)有相應(yīng)的運(yùn)行維護(hù)流程。4628可選新增應(yīng)有詳細(xì)的災(zāi)難恢復(fù)預(yù)案及操作流程，并根據(jù)流程每年進(jìn)行演練。4629可選新增恢復(fù)時間目標(biāo)（RTO）應(yīng)12小時。46210可選新增設(shè)計災(zāi)難備份中心運(yùn)行時，處理能力應(yīng)不低于主系統(tǒng)處理能力的50。47系統(tǒng)維護(hù)471變更管理4711必須延續(xù)應(yīng)將所有涉及核心系統(tǒng)的軟硬件變更納入變更管理范圍。4712必須延續(xù)每次變更前應(yīng)進(jìn)行評估。4713必須延續(xù)所有變更操作應(yīng)有操作記錄。4714必須延續(xù)所有變更應(yīng)進(jìn)行事后檢查。4715必須新增對于風(fēng)險較大的變更，在條件允許的情況下，應(yīng)制定應(yīng)急和回退方案。4716必須延續(xù)風(fēng)險較大的變更，應(yīng)在變更后對系統(tǒng)的運(yùn)行情況進(jìn)行跟蹤。4717必須新增應(yīng)及時對變更涉及的系統(tǒng)配置和操作手冊進(jìn)行修改。4718可選新增對于風(fēng)險較大的核心系統(tǒng)變更，在條件允許的情況下，應(yīng)在上線前進(jìn)行演練。4719必須新增應(yīng)定期進(jìn)行風(fēng)險評估，及時發(fā)現(xiàn)風(fēng)險隱患，并予以處理。47110必須延續(xù)進(jìn)行與核心系統(tǒng)相關(guān)的開發(fā)工作時，應(yīng)避免在生產(chǎn)環(huán)境上進(jìn)行日常測試。47111必須延續(xù)如果需要使用生產(chǎn)環(huán)境進(jìn)行測試，應(yīng)納入變更管理。472配置管理4721必須延續(xù)應(yīng)具有生產(chǎn)環(huán)境設(shè)計和部署文檔，并根據(jù)變更及時更新。4722必須延續(xù)應(yīng)對重要的配置信息進(jìn)行有效備份。4723必須延續(xù)應(yīng)有恢復(fù)配置信息的流程。4724可選新增應(yīng)對配置信息的恢復(fù)進(jìn)行演練。4725必須新增應(yīng)建立配置管理制度和配置文檔庫。4726必須新增應(yīng)有專人負(fù)責(zé)生產(chǎn)環(huán)境配置管理。473容量管理4731必須延續(xù)每年應(yīng)對核心系統(tǒng)的性能和容量情況進(jìn)行評估。4732必須延續(xù)應(yīng)根據(jù)核心系統(tǒng)的性能容量評估報告，結(jié)合業(yè)務(wù)發(fā)展情況及時提出改進(jìn)計劃。4733必須新增應(yīng)及時執(zhí)行改進(jìn)計劃，并對執(zhí)行結(jié)果進(jìn)行跟蹤和評估。474應(yīng)急演練4741必須延續(xù)對核心系統(tǒng)的常見故障應(yīng)有書面的應(yīng)急預(yù)案和排障流程。4742必須延續(xù)應(yīng)參與交易所等行業(yè)相關(guān)機(jī)構(gòu)組織的測試和應(yīng)急演練并有記錄。4743必須延續(xù)應(yīng)根據(jù)機(jī)構(gòu)、人員、技術(shù)等變化，及時調(diào)整應(yīng)急預(yù)案。4744必須延續(xù)應(yīng)有應(yīng)急演練計劃，并定期根據(jù)計劃進(jìn)行演練。4745必須延續(xù)應(yīng)準(zhǔn)備必要工具，以便應(yīng)急預(yù)案的順利執(zhí)行。475技術(shù)事故管理4751必須延續(xù)應(yīng)建立技術(shù)事故報告制度和流程。4752必須延續(xù)應(yīng)保存技術(shù)事故的記錄。4753必須延續(xù)應(yīng)根據(jù)技術(shù)事故情況，及時提出改進(jìn)計劃，落實(shí)改進(jìn)措施。48營業(yè)部技術(shù)要求481基本要求4811必須延續(xù)應(yīng)設(shè)立獨(dú)立隔斷的設(shè)備區(qū)域，用于放置營業(yè)部開展業(yè)務(wù)所需的網(wǎng)絡(luò)、通信和主機(jī)設(shè)備。4812必須延續(xù)應(yīng)確保在交易時間內(nèi)有技術(shù)人員進(jìn)行技術(shù)系統(tǒng)維護(hù)工作。4813必須延續(xù)應(yīng)有與當(dāng)前運(yùn)行情況相符的業(yè)務(wù)系統(tǒng)結(jié)構(gòu)文檔。4814必須延續(xù)應(yīng)配備防火墻或相當(dāng)?shù)陌踩雷o(hù)設(shè)備。4815必須延續(xù)應(yīng)建立有效機(jī)制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補(bǔ)丁進(jìn)行了解、評估、必要的測試和升級。4816必須延續(xù)應(yīng)對使用WINDOWS平臺的計算機(jī)部署防病毒軟件，定期進(jìn)行全面檢查，并及時進(jìn)行病毒庫的更新。4817必須延續(xù)應(yīng)建立有效機(jī)制，保障總部了解各個營業(yè)部的運(yùn)行情況。4818必須延續(xù)應(yīng)有總部和信息技術(shù)服務(wù)提供商的準(zhǔn)確聯(lián)系方式。482交易保障4821必須延續(xù)提供現(xiàn)場交易的營業(yè)部，其設(shè)備區(qū)域應(yīng)是一個單獨(dú)的房間。4822必須延續(xù)提供現(xiàn)場交易的營業(yè)部，應(yīng)為設(shè)備區(qū)域配備UPS和空調(diào)。4823必須延續(xù)提供現(xiàn)場交易的營業(yè)部，應(yīng)有至少兩條交易通信鏈路。4824必須延續(xù)提供現(xiàn)場交易的營業(yè)部，關(guān)鍵設(shè)備應(yīng)有冗余。4825必須新增提供現(xiàn)場交易的營業(yè)部，應(yīng)對設(shè)備容量、交易通信鏈路進(jìn)行監(jiān)控，及時進(jìn)行必要的升級。4826必須延續(xù)提供現(xiàn)場交易的營業(yè)部，應(yīng)有有效的日常運(yùn)行流程和應(yīng)急處理流程，并進(jìn)行適當(dāng)?shù)难菥殹?四類要求51技術(shù)管理511組織結(jié)構(gòu)5111必須延續(xù)應(yīng)設(shè)有技術(shù)部門并有專職技術(shù)人員，并有明確的職責(zé)分工和崗位說明。5112必須延續(xù)總部技術(shù)部門人員總數(shù)占公司總部人數(shù)的比例不少于6。5113必須延續(xù)總部技術(shù)部門人員不少于9人。5114必須新增公司應(yīng)設(shè)立內(nèi)部審計崗位，定期對IT流程執(zhí)行情況進(jìn)行審計。5115必須延續(xù)應(yīng)建立負(fù)責(zé)信息安全的管理機(jī)構(gòu)，其職責(zé)包括安全管理、系統(tǒng)規(guī)劃等。5116必須延續(xù)應(yīng)與所有總部技術(shù)部門人員簽署保密協(xié)議。5117必須延續(xù)應(yīng)設(shè)立2名技術(shù)聯(lián)絡(luò)員，負(fù)責(zé)組織、協(xié)調(diào)和處理與信息安全管理部門、交易所及相關(guān)單位的各項(xiàng)技術(shù)事宜。5118必須延續(xù)總部技術(shù)部門應(yīng)有至少1名安全管理人員。5119必須延續(xù)每個營業(yè)部應(yīng)配備至少一名技術(shù)人員。51110必須延續(xù)總部技術(shù)部門應(yīng)有至少2名網(wǎng)絡(luò)管理人員。512培訓(xùn)5121必須延續(xù)對所有上崗技術(shù)人員應(yīng)進(jìn)行