中國證券監(jiān)督管理委員會

中國證券監(jiān)督管理委員會公告

〔2013〕7號



　　　 現(xiàn)公布金融行業(yè)推薦性標準《證券期貨業(yè)信息系統(tǒng)運維管理規(guī)范》（JR/T 0099—2012），自公布之日起施行。


　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 中國證監(jiān)會
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 2013年1月31日


附件：《證券期貨業(yè)信息系統(tǒng)運維管理規(guī)范》.doc

http://www.csrc.gov.cn/pub/zjhpublic/G00306201/201302/P020130208511872656209.doc




ICS 03.060
A11
備案號JR
中華人民共和國金融行業(yè)標準
JR/T 0099—2012


證券期貨業(yè)信息系統(tǒng)運維管理規(guī)范
Information system operation and maintenance management specification for securities and futures industry


2013 - 1-31發(fā)布
2013 - 1-31實施
中國證券監(jiān)督管理委員會 發(fā)布

目 次
前言 II
1　范圍 1
2　規(guī)范性引用文件 1
3　術(shù)語和定義 1
4　基本要求 4
4.1　運維組織 4
4.2　經(jīng)費管理 4
4.3　制度和流程管理 4
4.4　文檔管理 4
4.5　設(shè)備和軟件管理 4
4.6　供應(yīng)商管理 5
4.7　關(guān)聯(lián)單位關(guān)系管理 5
4.8　督促檢查 5
5　運行保障 6
5.1　值班管理 6
5.2　日常操作 6
5.3　監(jiān)控分析 6
5.4　數(shù)據(jù)與介質(zhì)管理 7
5.5　機房管理 8
5.6　網(wǎng)絡(luò)與系統(tǒng)管理 9
5.7　安全管理 10
5.8　事件與問題管理 10
6　系統(tǒng)維護 11
6.1　交付管理 11
6.2　系統(tǒng)測試 11
6.3　系統(tǒng)變更 11
6.4　配置管理 12
7　應(yīng)急管理 12
7.1　應(yīng)急準備 12
7.2　應(yīng)急處置 14
7.3　調(diào)查處理 14
參考文獻 15


前 言
本標準依據(jù)GB/T 1.1-2009給出的規(guī)則起草。
本標準由全國金融標準化技術(shù)委員會提出并歸口。
本標準起草單位：中國證監(jiān)會信息中心、上海證券交易所、深圳證券交易所、上海期貨交易所、中國金融期貨交易所、中信建投證券股份有限公司、國泰君安證券股份有限公司、海通證券股

份有限公司、長城證券有限責(zé)任公司、興業(yè)證券股份有限公司、南方基金管理有限公司。
本標準主要起草人：張野、羅凱、嚴少輝、黎峰、馬晨、趙亮、張斗剛、支曉繁、楊威、戴暉、肖鋼、黃韋、王洪濤、蘭朝暉、王偉強、葛峰、張引。


證券期貨行業(yè)信息系統(tǒng)運維管理規(guī)范
1　范圍
本標準規(guī)定了證券期貨業(yè)信息系統(tǒng)運維管理工作的要求。
本標準適用于證券期貨機構(gòu)，包括：承擔(dān)證券期貨市場公共職能的機構(gòu)、承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運營的機構(gòu)等證券期貨市場核心機構(gòu)及其下屬機構(gòu)（以下簡稱核心機構(gòu)），

以及證券公司、基金管理公司、期貨公司、證券期貨服務(wù)機構(gòu)等證券期貨經(jīng)營機構(gòu)（以下簡稱經(jīng)營機構(gòu)）。
2　規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。
GB/T 20269—2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求
GB/T 22080—2008 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求
GB/T 24405.1—2009 信息技術(shù) 服務(wù)管理 第1部分 規(guī)范
ISO 31000:2009 風(fēng)險管理 原則和指南（Risk management -- Principles and guidelines）
3　術(shù)語和定義
下列術(shù)語和定義適用于本文件。
3.1　
交易業(yè)務(wù)系統(tǒng) trading business system
承載證券期貨交易、結(jié)算相關(guān)的各類業(yè)務(wù)系統(tǒng)。按照其重要性，交易業(yè)務(wù)系統(tǒng)可分為核心交易業(yè)務(wù)系統(tǒng)和非核心交易業(yè)務(wù)系統(tǒng)。
3.2　
核心交易業(yè)務(wù)系統(tǒng) core trading business system
承載面向客戶和對外服務(wù)的最基本、最核心交易業(yè)務(wù)的系統(tǒng)。
注：這類業(yè)務(wù)對運維保障的要求很高，一旦出現(xiàn)中斷，將直接影響證券期貨市場。如：證券公司的集中交易系統(tǒng)、網(wǎng)上交易系統(tǒng)、銀證（第三方存管）系統(tǒng)、結(jié)算系統(tǒng)、行情系統(tǒng)、融資融券

系統(tǒng)等；期貨公司的集中交易系統(tǒng)、網(wǎng)上交易系統(tǒng)、銀期轉(zhuǎn)賬系統(tǒng)、結(jié)算系統(tǒng)、行情系統(tǒng)、風(fēng)控系統(tǒng)等；基金管理公司的注冊登記系統(tǒng)、基金估值系統(tǒng)、直銷與網(wǎng)上交易系統(tǒng)、投資交易系統(tǒng)

等。
3.3　
非核心交易業(yè)務(wù)系統(tǒng) non-core trading business system
承載除核心交易業(yè)務(wù)外與交易業(yè)務(wù)有數(shù)據(jù)交換的其他業(yè)務(wù)的系統(tǒng)。
注：這類業(yè)務(wù)重要性相對較低，一旦出現(xiàn)中斷，可能間接或不一定影響證券期貨市場。如：稽核系統(tǒng)、呼叫中心系統(tǒng)、客戶關(guān)系管理系統(tǒng)、證券公司的風(fēng)控系統(tǒng)等。
3.4　
交易業(yè)務(wù)網(wǎng) trading business network
承載交易業(yè)務(wù)系統(tǒng)的計算機網(wǎng)絡(luò)統(tǒng)稱交易業(yè)務(wù)網(wǎng)，承載核心交易業(yè)務(wù)系統(tǒng)的計算機網(wǎng)絡(luò)統(tǒng)稱核心交易業(yè)務(wù)網(wǎng)，承載非核心交易業(yè)務(wù)系統(tǒng)的計算機網(wǎng)絡(luò)統(tǒng)稱非核心交易業(yè)務(wù)網(wǎng)。
3.5　
生產(chǎn)環(huán)境 production environment
支持日常業(yè)務(wù)活動的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、主機、存儲、數(shù)據(jù)庫及應(yīng)用等。
3.6　
在線數(shù)據(jù) online data
在生產(chǎn)環(huán)境中使用的所有數(shù)據(jù)。
3.7　
離線數(shù)據(jù) offline data
脫離生產(chǎn)環(huán)境用于存儲備份的所有數(shù)據(jù)。
3.8　
事件 incident
不屬于某項服務(wù)的標準操作，導(dǎo)致或可能導(dǎo)致服務(wù)中斷或服務(wù)質(zhì)量降低的任一事態(tài)。
[GB/T 24405.1—2009，定義2.7]
3.9　
問題 problem
一個或多個事件的未知的潛在原因。
[GB/T 24405.1—2009，定義2.8]
3.10　
交付 delivery
負責(zé)規(guī)劃、安排、控制發(fā)布的構(gòu)建、測試和部署，以及在保護現(xiàn)有服務(wù)完整性的同時，提供業(yè)務(wù)所需新功能的流程。
3.11　
關(guān)鍵崗位 key position
負責(zé)交易業(yè)務(wù)系統(tǒng)運行維護的機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、安全管理員等崗位。
3.12　
配置項 configuration item
處于或?qū)⑻幱谂渲霉芾碇�下的基礎(chǔ)設(shè)施部件或項。
[GB/T 24405.1-2009，定義2.4]
注：配置項在復(fù)雜性、規(guī)模和類型方面變化可能很大，配置項可以是整個系統(tǒng)包括所有的硬件、軟件和文檔，也可以是單個模塊或很小的硬件部件。
3.13　
風(fēng)險 risk
對目標不確定性的影響。
[ISO 31000:2009，定義2.1]
3.14　
技術(shù)風(fēng)險 technical risk
因信息技術(shù)發(fā)展、信息系統(tǒng)變更、人員操作失誤等導(dǎo)致的風(fēng)險。
3.15　
業(yè)務(wù)風(fēng)險 business risk
因流程變化、業(yè)務(wù)發(fā)展、市場環(huán)境改變等導(dǎo)致的風(fēng)險。
3.16　
信息安全事態(tài) information security event
信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。
[GB/T 22080-2008，定義3.5]
3.17　
網(wǎng)絡(luò)與信息安全事件 network and information security incident
網(wǎng)絡(luò)與信息安全事件是突發(fā)事件的一種，也被稱為信息安全事件,一個信息安全事件由單個的或一系列的有害或意外信息安全事態(tài)組成，它們具有損害業(yè)務(wù)運作和威脅信息安全的極大可能性。
注：改寫 GB/T 22080-2008，定義3.6。
3.18　
敏感性 sensitivity
表征資源價值或重要性的特征，也可能包含這一資源的脆弱性。
[GB/T 20269—2006，定義3.6]
4　基本要求
4.1　運維組織
4.1.1　證券期貨機構(gòu)應(yīng)設(shè)立信息系統(tǒng)運維組織，負責(zé)信息系統(tǒng)的運行維護工作。
4.1.2　證券期貨機構(gòu)應(yīng)任命運維組織負責(zé)人，負責(zé)組織、協(xié)調(diào)、管理信息系統(tǒng)的運行維護工作。
4.1.3　證券期貨機構(gòu)應(yīng)合理設(shè)置運維崗位，規(guī)定崗位職責(zé)及技能要求，并符合如下要求：
a) 運維崗位應(yīng)至少包括機房管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、安全管理員等關(guān)鍵崗位，并設(shè)置主備崗；
b) 關(guān)鍵崗位應(yīng)進行分離，兼崗時應(yīng)滿足崗位相互制約的要求。
4.1.4　證券期貨機構(gòu)應(yīng)配備足夠的運維人員。運維人員應(yīng)具備一定的計算機基礎(chǔ)理論知識和專業(yè)技術(shù)經(jīng)驗。經(jīng)營機構(gòu)運維人員應(yīng)具有相應(yīng)的從業(yè)資格。
4.1.5　證券期貨機構(gòu)應(yīng)與運維人員簽署保密協(xié)議，保密協(xié)議應(yīng)至少包括保密范圍、保密期限等內(nèi)容。
4.1.6　證券期貨機構(gòu)應(yīng)制定年度培訓(xùn)計劃，對運維人員進行必要的技術(shù)、業(yè)務(wù)、安全等培訓(xùn)，并留存培訓(xùn)記錄。
4.2　經(jīng)費管理
4.2.1　證券期貨機構(gòu)應(yīng)制定信息系統(tǒng)運行維護年度預(yù)算計劃，每年進行核算。預(yù)算和核算應(yīng)接受監(jiān)督和審計。
4.2.2　證券期貨機構(gòu)應(yīng)將信息系統(tǒng)運行維護的各項費用納入預(yù)算管理。費用至少應(yīng)包括：機房物理環(huán)境、信息系統(tǒng)軟硬件、網(wǎng)絡(luò)與通信設(shè)施的使用費和維修費，以及應(yīng)急保障費用、技術(shù)服務(wù)

費用、人員培訓(xùn)費用等。
4.3　制度和流程管理
4.3.1　證券期貨機構(gòu)應(yīng)制定覆蓋運維工作各個環(huán)節(jié)的、體系化的運維管理制度和操作流程。運維管理制度應(yīng)包括但不限于：機房管理、網(wǎng)絡(luò)與系統(tǒng)管理、數(shù)據(jù)和介質(zhì)管理、交付管理、測試管

理、配置管理、安全管理、值班管理、監(jiān)控管理、文檔管理、設(shè)備和軟件管理、供應(yīng)商管理、關(guān)聯(lián)單位關(guān)系管理、檢查審計等制度。運維操作流程應(yīng)包括但不限于日常操作、事件處理、問題

處理、系統(tǒng)變更、應(yīng)急處置等流程。
4.3.2　證券期貨機構(gòu)應(yīng)建立運維管理制度和操作流程的制定、發(fā)布、維護和更新的機制。至少每年一次評審、修訂運維管理制度和操作流程。
4.4　文檔管理
4.4.1　證券期貨機構(gòu)應(yīng)建立文檔管理制度，對文檔的分類、命名規(guī)則、編寫人、審批人、版本、敏感性標識、發(fā)布時間、存放方式、修訂記錄、廢止等做出規(guī)定。
4.4.2　證券期貨機構(gòu)應(yīng)明確文檔管理的責(zé)任人。
4.4.3　證券期貨機構(gòu)應(yīng)對運維過程中涉及的各類文檔進行分類管理，可按照制度文檔、技術(shù)文檔、合同文檔、審批記錄、日志記錄等進行分類，并統(tǒng)一存放。
4.4.4　證券期貨機構(gòu)應(yīng)規(guī)范文檔的發(fā)布管理，對文檔的版本應(yīng)當(dāng)進行控制。文檔應(yīng)標識敏感性、使用范圍、使用權(quán)限、審批權(quán)限等。文檔在使用時應(yīng)能讀取、使用最新版本，防止作廢文件的

逾期使用。
4.4.5　證券期貨機構(gòu)對超范圍、超權(quán)限使用文檔時應(yīng)保存相關(guān)審批、使用記錄。
4.5　設(shè)備和軟件管理
4.5.1　證券期貨機構(gòu)應(yīng)建立計算機相關(guān)設(shè)備和軟件管理制度，對設(shè)備和軟件的驗證性測試、出入庫、安裝、盤點、維修（升級）、報廢等進行規(guī)范。
4.5.2　證券期貨機構(gòu)應(yīng)明確設(shè)備和軟件管理責(zé)任人。
4.5.3　證券期貨機構(gòu)應(yīng)在設(shè)備和軟件投入使用前進行必要的驗證性測試，并保留測試記錄。
4.5.4　證券期貨機構(gòu)應(yīng)編制信息系統(tǒng)設(shè)備清單，主要包括設(shè)備名稱、設(shè)備編號、入庫時間、設(shè)備主要參數(shù)、設(shè)備序列號、設(shè)備狀態(tài)、設(shè)備保修期、設(shè)備位置、設(shè)備用途和設(shè)備使用責(zé)任人等內(nèi)

容，并保留設(shè)備啟用、轉(zhuǎn)移、維修、報廢等過程的記錄。
4.5.5　證券期貨機構(gòu)應(yīng)使用正版軟件并保存軟件授權(quán)證書和許可協(xié)議，應(yīng)編制軟件清單，主要包括軟件名稱、軟件編號、入庫時間、軟件版本，授權(quán)和許可情況、軟件序列號、軟件狀態(tài)、軟

件維護期、軟件安裝設(shè)備、用途和使用責(zé)任人等內(nèi)容，并保留軟件啟用、轉(zhuǎn)移、升級、報廢等過程的記錄。
4.5.6　證券期貨機構(gòu)應(yīng)對設(shè)備進行標識，標識應(yīng)放在設(shè)備明顯位置。
4.5.7　證券期貨機構(gòu)應(yīng)規(guī)定設(shè)備和軟件的使用年限，定期進行盤點，并對設(shè)備狀態(tài)進行評估和更新。
4.5.8　證券期貨機構(gòu)應(yīng)對外送設(shè)備的維修進行嚴格管理，防止數(shù)據(jù)泄露。
4.5.9　證券期貨機構(gòu)應(yīng)對擬下線和擬報廢設(shè)備的存儲介質(zhì)中的全部信息進行清除或銷毀。對正式下線設(shè)備和軟件交指定部門統(tǒng)一管理、保存或處置，并保留相應(yīng)記錄。設(shè)備和軟件報廢應(yīng)符合

資產(chǎn)管理規(guī)定。
4.6　供應(yīng)商管理
4.6.1　證券期貨機構(gòu)應(yīng)建立供應(yīng)商管理制度，對供應(yīng)商支持運維服務(wù)的相關(guān)活動進行統(tǒng)一管理。
4.6.2　證券期貨機構(gòu)應(yīng)在與供應(yīng)商簽訂的合同中明確其應(yīng)承擔(dān)的責(zé)任、義務(wù)，并約定服務(wù)要求和范圍等內(nèi)容。
4.6.3　證券期貨機構(gòu)應(yīng)與供應(yīng)商簽署保密協(xié)議，不得泄露所服務(wù)機構(gòu)的保密信息，并要求供應(yīng)商簽署承諾書，承諾產(chǎn)品不存在惡意代碼或未授權(quán)的功能，不提供違反我國法律法規(guī)的功能模塊

，并符合證券期貨行業(yè)有關(guān)技術(shù)規(guī)范和技術(shù)指引。
4.6.4　證券期貨機構(gòu)應(yīng)在涉及證券期貨交易、行情、開戶、結(jié)算等軟件產(chǎn)品或技術(shù)服務(wù)的采購合同中，明確供應(yīng)商應(yīng)接受證券期貨行業(yè)監(jiān)管部門的信息安全延伸檢查。
4.6.5　證券期貨機構(gòu)應(yīng)定期收集、更新供應(yīng)商信息，組織對供應(yīng)商的服務(wù)質(zhì)量、合同履行情況、人員工作情況等內(nèi)容進行評價，形成評價報告，并跟蹤和記錄供應(yīng)商改進情況。
4.6.6　證券期貨機構(gòu)應(yīng)加強運維外包服務(wù)管理，主要包括：
a) 與外包公司及外包人員簽訂保密協(xié)議；
b) 明確外包公司應(yīng)當(dāng)承擔(dān)的責(zé)任及追究方式；
c) 明確界定外包人員的工作職責(zé)、活動范圍、操作權(quán)限；
d) 對外包人員工作情況進行監(jiān)督和檢查，并保留相應(yīng)記錄；
e) 對駐場外包人員的入場和離場進行管理；
f) 定期評估外包的服務(wù)質(zhì)量；
g) 制定外包服務(wù)意外終止的應(yīng)急措施。
4.7　關(guān)聯(lián)單位關(guān)系管理
4.7.1　證券期貨機構(gòu)應(yīng)建立關(guān)聯(lián)單位聯(lián)系制度。關(guān)聯(lián)單位包括證券期貨行業(yè)監(jiān)管部門、協(xié)會，當(dāng)?shù)卣�府部門，公安機關(guān)，交易所等市場核心機構(gòu)，其他證券期貨經(jīng)營機構(gòu)，銀行機構(gòu)，電力和

通信設(shè)施保障機構(gòu)，軟硬件供應(yīng)商，技術(shù)服務(wù)商和物業(yè)公司等。
4.7.2　證券期貨機構(gòu)應(yīng)建立關(guān)聯(lián)單位聯(lián)系表，表的內(nèi)容至少包括單位名稱、業(yè)務(wù)事項、聯(lián)系人、聯(lián)系方式、備注等，并及時更新。
4.8　督促檢查
4.8.1　證券期貨機構(gòu)應(yīng)建立檢查審計制度，對運維制度的執(zhí)行情況和運維工作開展情況定期進行檢查和審計，以督促運維工作持續(xù)改進。
4.8.2　證券期貨機構(gòu)應(yīng)指定人員負責(zé)對日常操作執(zhí)行情況進行每日檢查，確保運維管理制度和操作流程有效執(zhí)行。
4.8.3　證券期貨機構(gòu)應(yīng)每季組織開展內(nèi)部檢查，形成檢查報告。
4.8.4　證券期貨機構(gòu)應(yīng)在每年審計工作中包含信息系統(tǒng)運維管理工作審計項目，并形成審計報告。
4.8.5　檢查和審計范圍至少包括對運維管理制度和操作流程的合理性和完整性進行評估，對運維管理制度和操作流程的執(zhí)行情況進行評估，對文檔、配置、數(shù)據(jù)的有效性進行評估，對整體安

全狀況進行評估，對運維人員履職能力進行評估等。
4.8.6　證券期貨機構(gòu)應(yīng)對檢查和審計的結(jié)果采取糾正性和預(yù)防性的措施。
5　運行保障
5.1　運維值班管理
5.1.1　證券期貨機構(gòu)應(yīng)建立運維值班管理制度，對日常操作、監(jiān)控管理、事件處理、問題處理、數(shù)據(jù)和介質(zhì)管理、機房管理、安全管理、應(yīng)急處置進行規(guī)范。
5.1.2　證券期貨機構(gòu)應(yīng)指定運維值班負責(zé)人。運維值班負責(zé)人負責(zé)日常操作的部署、檢查、風(fēng)險控制、業(yè)務(wù)銜接等工作。運維值班負責(zé)人應(yīng)有備崗。主備崗不得同時離崗。
5.1.3　證券期貨機構(gòu)應(yīng)制定運維值班安排表，可根據(jù)實際情況實施倒班制度。在值班期間值班人員不得擅離崗位。
5.1.4　證券期貨機構(gòu)應(yīng)制定交接班流程，并嚴格執(zhí)行，留存記錄。
5.1.5　證券期貨機構(gòu)應(yīng)設(shè)置運維值班電話，并保持暢通。
5.2　日常操作
5.2.1　證券期貨機構(gòu)應(yīng)制定操作手冊。操作手冊的內(nèi)容應(yīng)至少包括信息系統(tǒng)日常運行操作的各個環(huán)節(jié)。針對各個操作環(huán)節(jié)制定操作規(guī)程。
5.2.2　交易業(yè)務(wù)系統(tǒng)的操作規(guī)程應(yīng)至少包括操作的對象、時間、步驟、指令、操作要點、復(fù)核要點、操作人、復(fù)核人等基本要素。
5.2.3　證券期貨機構(gòu)應(yīng)嚴格按照操作手冊執(zhí)行運維操作，對交易業(yè)務(wù)系統(tǒng)的操作過程應(yīng)進行記錄留痕，記錄的保存時間不少于一年。
5.2.4　特殊操作、臨時操作應(yīng)經(jīng)批準后方可雙崗執(zhí)行。操作過程應(yīng)進行記錄留痕，記錄的保存時間不少于一年。
5.2.5　證券期貨機構(gòu)應(yīng)依據(jù)業(yè)務(wù)、信息系統(tǒng)的變化對操作手冊及規(guī)程進行及時修訂，經(jīng)審批通過后遵照執(zhí)行。
5.2.6　證券期貨機構(gòu)應(yīng)對核心交易業(yè)務(wù)系統(tǒng)設(shè)置獨立的操作和監(jiān)控環(huán)境，并與開發(fā)、測試等其他操作環(huán)境嚴格分離。
5.3　監(jiān)控分析
5.3.1　證券期貨機構(gòu)應(yīng)采取監(jiān)控措施，配備監(jiān)控和報警工具，對影響信息系統(tǒng)正常運行的關(guān)鍵對象，包括機房環(huán)境、網(wǎng)絡(luò)、通信線路、主機、存儲、數(shù)據(jù)庫、核心交易業(yè)務(wù)相關(guān)的應(yīng)用系統(tǒng)、

安全設(shè)備等進行監(jiān)控。報警方式可包括聲光、電話、短信、郵件等。
5.3.2　證券期貨機構(gòu)應(yīng)采取人工值守和自動化工具相結(jié)合的方式，對交易業(yè)務(wù)系統(tǒng)進行24小時監(jiān)控。交易時段應(yīng)指定人員對交易業(yè)務(wù)系統(tǒng)進行監(jiān)控，交易時段以外如無法做到人工監(jiān)控，應(yīng)開

啟自動監(jiān)控系統(tǒng)和自動報警系統(tǒng)。
5.3.3　證券期貨機構(gòu)應(yīng)建立輔助的人工巡檢制度，規(guī)定巡檢內(nèi)容、頻度、人員等。巡檢內(nèi)容應(yīng)覆蓋電力、空調(diào)、消防、安防等機房設(shè)施，主機、網(wǎng)絡(luò)、通信、安全等設(shè)備的運行狀況。巡檢結(jié)

果應(yīng)及時記錄，如遇異常應(yīng)及時處理，并按規(guī)定要求進行報告。
5.3.4　證券期貨機構(gòu)應(yīng)正確設(shè)置自動化監(jiān)控工具的預(yù)警閾值，并定期進行檢查和評估。
5.3.5　主要監(jiān)控指標具體如下：
a) 機房：電力狀態(tài)、空調(diào)運行狀態(tài)、消防設(shè)施狀態(tài)、溫濕度、漏水、人員及設(shè)備進出等；
b) 網(wǎng)絡(luò)與通信：設(shè)備運行狀態(tài)、中央處理器使用率、通信連接狀態(tài)、網(wǎng)絡(luò)流量、核心節(jié)點間網(wǎng)絡(luò)延時、丟包率等；
c) 主機：設(shè)備運行狀態(tài)、中央處理器使用率、內(nèi)存利用率、磁盤空間利用率、通信端口狀態(tài)等；
d) 存儲：設(shè)備運行狀態(tài)、數(shù)據(jù)交換延時、存儲電池狀態(tài)等；
e) 安全設(shè)備：設(shè)備運行狀態(tài)、中央處理器使用率、內(nèi)存利用率、端口狀態(tài)、數(shù)據(jù)流量、并發(fā)連接數(shù)、安全事件記錄情況等；
f) 數(shù)據(jù)庫：日志信息、表空間使用率、連接數(shù)等；
g) 核心交易業(yè)務(wù)相關(guān)的應(yīng)用系統(tǒng)：進程的活動狀態(tài)、日志信息、中央處理器使用率、內(nèi)存利用率、并發(fā)線程數(shù)量、并發(fā)處理量、關(guān)鍵業(yè)務(wù)指標等；
h) 門戶網(wǎng)站：網(wǎng)頁內(nèi)容、日均訪問量等。
5.3.6　證券期貨機構(gòu)應(yīng)針對不同系統(tǒng)設(shè)置合理的監(jiān)測頻度。
5.3.7　證券期貨機構(gòu)應(yīng)記錄并集中分類存儲必要的操作日志、系統(tǒng)日志、應(yīng)用日志、安全日志等，留存日志應(yīng)滿足審計的需要。
5.3.8　證券期貨機構(gòu)應(yīng)保存監(jiān)控產(chǎn)生的日志，保存時間不少于一年。
5.3.9　證券期貨機構(gòu)應(yīng)每日分析核心交易業(yè)務(wù)系統(tǒng)監(jiān)控日志及巡檢記錄，形成評估記錄，跟蹤處理日志分析中發(fā)現(xiàn)的異常事件。應(yīng)至少每季度全面評估監(jiān)控日志和操作記錄，分析異常情況，

形成評估報告。
5.4　數(shù)據(jù)與介質(zhì)管理
5.4.1　證券期貨機構(gòu)應(yīng)建立信息系統(tǒng)數(shù)據(jù)管理制度，對在線和離線數(shù)據(jù)的使用、備份、存放、保護及恢復(fù)驗證等活動進行規(guī)范。
5.4.2　證券期貨機構(gòu)應(yīng)明確數(shù)據(jù)管理責(zé)任人，負責(zé)數(shù)據(jù)的收集、使用、備份、檢查等策略的制定和執(zhí)行工作。
5.4.3　證券期貨機構(gòu)應(yīng)按照國家和監(jiān)管部門的有關(guān)要求，制定數(shù)據(jù)備份及驗證策略，明確備份范圍、備份方式、備份頻度、存放地點、存放時限、有效性驗證方式和管理責(zé)任人。
5.4.4　在線數(shù)據(jù)管理，應(yīng)做到如下要求：
a) 交易業(yè)務(wù)系統(tǒng)數(shù)據(jù)應(yīng)至少每交易日備份一次；
b) 交易業(yè)務(wù)系統(tǒng)歷史數(shù)據(jù)至少保留一年；
c) 未經(jīng)授權(quán)不得訪問、復(fù)制；
d) 對數(shù)據(jù)的修改應(yīng)通過審批，雙崗操作并記錄操作日志。
5.4.5　離線數(shù)據(jù)管理，應(yīng)做到如下要求：
a) 離線數(shù)據(jù)不得更改；
b) 應(yīng)至少每季度對核心交易業(yè)務(wù)系統(tǒng)的備份數(shù)據(jù)進行一次有效性驗證，如發(fā)現(xiàn)問題應(yīng)采取措施修復(fù)備份數(shù)據(jù)，并查明原因；
c) 離線數(shù)據(jù)的調(diào)閱、復(fù)制、傳輸、查詢，應(yīng)按照擬定的流程辦理審批手續(xù)，并進行登記；
d) 備份數(shù)據(jù)帶離存儲環(huán)境時應(yīng)采取必要的安全措施。
5.4.6　在線數(shù)據(jù)和離線數(shù)據(jù)用于非生產(chǎn)環(huán)境時，應(yīng)進行脫敏處理；用于模擬測試時如無法進行脫敏處理，測試環(huán)境應(yīng)采取與生產(chǎn)環(huán)境相當(dāng)?shù)陌踩�措施�?br> 5.4.7　證券期貨機構(gòu)應(yīng)建立介質(zhì)管理制度，對介質(zhì)的存放、使用、維護和銷毀等活動進行規(guī)范。
5.4.8　證券期貨機構(gòu)應(yīng)明確責(zé)任人，對介質(zhì)的使用、轉(zhuǎn)儲、送修、銷毀及存儲環(huán)境進行管理。
5.4.9　介質(zhì)管理，應(yīng)做到如下要求：
a) 應(yīng)在安全環(huán)境中存放介質(zhì)，并采取控制和保護措施；
b) 離線備份介質(zhì)應(yīng)當(dāng)在本地機房、同城、異地安全可靠存放；
c) 應(yīng)對介質(zhì)在物理傳輸過程中的打包、交付進行控制；
d) 應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理，并對介質(zhì)進行歸檔登記，對存檔介質(zhì)依目錄清單定期核對；
e) 涉及敏感信息的介質(zhì)送修時應(yīng)由專人全程陪同，并保證修復(fù)過程可控；
f) 介質(zhì)銷毀前應(yīng)清除介質(zhì)中的敏感數(shù)據(jù)；涉密信息的存儲介質(zhì)不得自行銷毀，應(yīng)按國家相關(guān)規(guī)定另行處理；
g) 在交易業(yè)務(wù)網(wǎng)使用的移動介質(zhì)應(yīng)專網(wǎng)專用，不得接入可以訪問互聯(lián)網(wǎng)的主機。
5.5　機房管理
5.5.1　證券期貨機構(gòu)應(yīng)建立機房管理制度，對機房環(huán)境，供電、空調(diào)、消防、安防等基礎(chǔ)設(shè)施的運行維護，設(shè)備和人員出入，機房工作人員等進行規(guī)范管理。
5.5.2　證券期貨機構(gòu)應(yīng)指定機房管理負責(zé)人。
5.5.3　證券期貨機構(gòu)應(yīng)確保機房環(huán)境整潔和安全，包括：
a) 應(yīng)定期檢查防水、防雷、防火、防潮、防塵、防鼠、防靜電、防電磁輻射等措施的有效性；
b) 應(yīng)保持機房環(huán)境衛(wèi)生，采取防塵措施，定期進行除塵處理；
c) 交易時間內(nèi)不得進行機房施工、保潔操作。
5.5.4　證券期貨機構(gòu)應(yīng)加強用電安全管理。至少包括：
a) 機房管理員應(yīng)根據(jù)國家有關(guān)規(guī)定和標準進行用電管理，應(yīng)重點保障核心交易業(yè)務(wù)系統(tǒng)用電安全。
b) 機房管理員應(yīng)掌握常規(guī)用電安全操作和知識，了解機房內(nèi)部供電、用電設(shè)備的操作規(guī)程，掌握機房用電應(yīng)急處理步驟、措施和要領(lǐng)。有條件的可配備專業(yè)電工或與相關(guān)電力機構(gòu)或物

業(yè)機構(gòu)簽署服務(wù)協(xié)議；
c) 應(yīng)在危險性高的位置張貼相應(yīng)的用電安全操作方法、警示及指引；
d) 應(yīng)每季度至少一次對機房供配電、備用電源系統(tǒng)進行全面檢查和維護管理，及時更換老化的電路元件及線纜，應(yīng)定期測試備用供電系統(tǒng)，確保持續(xù)供電設(shè)施的有效性，并保存相關(guān)檢

查和維護記錄；
e) 未經(jīng)審批不得接入其它用電設(shè)備。
5.5.5　證券期貨機構(gòu)應(yīng)每季度至少一次對空調(diào)設(shè)備進行全面檢查和維護，保存維護記錄。
5.5.6　證券期貨機構(gòu)應(yīng)制定符合國家規(guī)范的機房消防安全管理制度，至少包括：
a) 機房工作人員應(yīng)熟悉逃生路線和自我保護措施，防止發(fā)生人身安全意外；
b) 應(yīng)將消防安全警示和指示張貼于機房明顯位置，將消防設(shè)施的操作要點張貼于消防設(shè)施旁邊；
c) 機房工作人員應(yīng)熟悉消防設(shè)施及操作要點，掌握消防應(yīng)急措施；
d) 應(yīng)每季度至少一次對機房內(nèi)消防報警設(shè)備進行檢查，保證其有效性；
e) 應(yīng)定期進行消防設(shè)施的使用培訓(xùn)和演習(xí)。
5.5.7　證券期貨機構(gòu)應(yīng)對設(shè)備和人員出入進行嚴格管理，包括：
a) 應(yīng)指定人員負責(zé)控制、鑒別和記錄設(shè)備和人員的進出情況，記錄進出人員、進出時間、工作內(nèi)容，并留存記錄至少90天；
b) 機房出入口的監(jiān)控錄像至少保存90天；
c) 外來人員進入機房應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍，并有專人陪同；
d) 外來設(shè)備未經(jīng)批準不得接入生產(chǎn)環(huán)境。
5.6　網(wǎng)絡(luò)與系統(tǒng)管理
5.6.1　證券期貨機構(gòu)應(yīng)建立網(wǎng)絡(luò)與系統(tǒng)管理制度，對網(wǎng)絡(luò)、系統(tǒng)的運行維護進行規(guī)范。
5.6.2　證券期貨機構(gòu)網(wǎng)絡(luò)管理應(yīng)包括：
a) 應(yīng)合理設(shè)置安全域，繪制網(wǎng)絡(luò)拓撲圖，并保持更新；
b) 應(yīng)定期檢查安全隔離情況，確保各安全域之間有效隔離；
c) 應(yīng)保持網(wǎng)絡(luò)設(shè)備的可用性，及時維修、更換故障設(shè)備；
d) 應(yīng)負責(zé)網(wǎng)絡(luò)系統(tǒng)的參數(shù)配置、調(diào)優(yōu)；
e) 應(yīng)定期對系統(tǒng)容量進行檢查和評估，形成評估報告；
f) 應(yīng)定期檢查網(wǎng)絡(luò)設(shè)備的用戶、口令及權(quán)限設(shè)置的正確性；
g) 應(yīng)定期對整個網(wǎng)絡(luò)連接進行檢查，確保所有交換機端口處于受控狀態(tài)；
h) 應(yīng)對網(wǎng)絡(luò)信息點進行管理，編制信息點使用表，并及時維護和更新，確保與實際情況一致。計算機網(wǎng)絡(luò)跳線應(yīng)整齊干凈，跳線標識清晰；
i) 應(yīng)制定網(wǎng)絡(luò)訪問控制策略，應(yīng)合理設(shè)置網(wǎng)絡(luò)隔離設(shè)施上的訪問控制列表，關(guān)閉與業(yè)務(wù)無關(guān)的端口；編制文檔并保持更新；訪問控制策略的變更應(yīng)履行審批手續(xù)。
5.6.3　證券期貨機構(gòu)系統(tǒng)管理應(yīng)包括：
a) 應(yīng)保持系統(tǒng)的可用性，及時維修、更換故障設(shè)備和更新軟件；
b) 應(yīng)負責(zé)應(yīng)用系統(tǒng)、操作系統(tǒng)的參數(shù)配置、調(diào)優(yōu)，編制文檔并保持更新；
c) 應(yīng)定期對系統(tǒng)容量進行檢查和評估，形成評估報告；
d) 應(yīng)負責(zé)管理系統(tǒng)和應(yīng)用程序服務(wù)進程，并關(guān)閉與業(yè)務(wù)無關(guān)的服務(wù)；
e) 應(yīng)定期檢查應(yīng)用系統(tǒng)、操作系統(tǒng)的用戶、口令及權(quán)限設(shè)置的正確性。
5.6.4　證券期貨機構(gòu)數(shù)據(jù)庫管理應(yīng)包括：
a) 應(yīng)保持數(shù)據(jù)庫的可用性，及時維護、更新軟件；
b) 應(yīng)負責(zé)數(shù)據(jù)庫的參數(shù)配置、調(diào)優(yōu)，編制文檔并保持更新；
c) 應(yīng)定期對數(shù)據(jù)庫容量進行檢查和評估，形成評估報告；
d) 應(yīng)負責(zé)管理數(shù)據(jù)庫、表、索引、存儲過程，數(shù)據(jù)庫的升級、優(yōu)化、擴容、遷移；
e) 應(yīng)定期檢查數(shù)據(jù)庫的用戶、口令及權(quán)限設(shè)置的正確性。
5.6.5　證券期貨機構(gòu)用戶和口令管理應(yīng)符合如下要求：
a) 不得設(shè)置弱口令，若系統(tǒng)條件允許，口令應(yīng)采用數(shù)字、字母、符號混排且無規(guī)律的方式，管理員口令長度原則上不低于12位；核心交易業(yè)務(wù)系統(tǒng)應(yīng)提示并阻止用戶使用弱口令登錄；
b) 應(yīng)每季度對管理員口令進行修改，更新的管理員口令至少5次內(nèi)不能重復(fù)；
c) 應(yīng)用系統(tǒng)的賬戶及口令應(yīng)采用加密方式存儲、傳輸；加密產(chǎn)品的使用應(yīng)符合國家有關(guān)規(guī)定；
d) 應(yīng)重點加強對匿名/默認用戶的管理，防止被非法使用；
e) 應(yīng)及時注銷不再使用的賬戶；
f) 應(yīng)明確責(zé)任人，負責(zé)統(tǒng)一保管、安全存放管理員口令，不得泄漏。
5.6.6　證券期貨機構(gòu)權(quán)限管理應(yīng)包括如下要求：
a) 權(quán)限分配應(yīng)履行審批手續(xù)，權(quán)限設(shè)置后應(yīng)復(fù)核；
b) 應(yīng)按照最小安全訪問原則分配用戶權(quán)限；
c) 應(yīng)建立權(quán)限分配表，對用戶的訪問權(quán)限進行合理分配，對文件系統(tǒng)訪問權(quán)限進行合理設(shè)置，編制文檔并保持更新；
d) 應(yīng)在用戶賬戶變化時，同時變更或撤銷其權(quán)限；
e) 應(yīng)定期檢查權(quán)限設(shè)置的有效性。
5.7　安全管理
5.7.1　證券期貨機構(gòu)應(yīng)建立安全管理制度，覆蓋安全策略的制定、實施、檢查、評估、改進等全過程。
5.7.2　證券期貨機構(gòu)應(yīng)指定專人擔(dān)任安全管理員，負責(zé)信息安全管理工作；在自身能力不足的情況下，可外聘安全機構(gòu)協(xié)助完成。
5.7.3　證券期貨機構(gòu)應(yīng)采取安全防護措施，包括：
a) 應(yīng)對所有服務(wù)器和終端設(shè)備安裝防木馬、病毒軟件，建立統(tǒng)一病毒和木馬防護機制。因故不能安裝防病毒軟件的，應(yīng)采取其他等效的安全防護措施；
b) 應(yīng)在充分評估的基礎(chǔ)上，對所有服務(wù)器和終端設(shè)備進行補丁升級；補丁升級前進行測試驗證；
c) 應(yīng)綜合運用防火墻、入侵檢測等安全設(shè)備，保護網(wǎng)絡(luò)與系統(tǒng)；應(yīng)正確設(shè)置安全設(shè)備的接口參數(shù)和過濾規(guī)則；
d) 應(yīng)對新上線的設(shè)備在接入運行網(wǎng)絡(luò)前進行全面的安全檢查；
e) 應(yīng)采取限制IP登錄等手段，控制對交易業(yè)務(wù)主機、主干網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的訪問；
f) 原則上不得通過互聯(lián)網(wǎng)對防火墻、網(wǎng)絡(luò)設(shè)備、服務(wù)器進行遠程管理和維護，特殊緊急情況下應(yīng)采取限制登錄IP、數(shù)字證書或動態(tài)口令認證、全程監(jiān)控等措施，在操作完成后應(yīng)及時關(guān)

閉，并對維護過程進行監(jiān)控并留存記錄；
g) 原則上不得在交易時段對交易業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、系統(tǒng)設(shè)備進行更換或變更配置；
h) 原則上不允許通過無線網(wǎng)絡(luò)對交易業(yè)務(wù)網(wǎng)進行網(wǎng)絡(luò)管理；
i) 應(yīng)設(shè)置抵御連續(xù)猜測等對客戶賬戶惡意攻擊行為的策略；
j) 應(yīng)對門戶網(wǎng)站建立防篡改機制，防止網(wǎng)頁內(nèi)容、可下載的客戶端軟件等被未經(jīng)授權(quán)的修改；
k) 門戶網(wǎng)站不得存放客戶資料、交易數(shù)據(jù)等客戶敏感數(shù)據(jù)；
5.7.4　證券期貨機構(gòu)應(yīng)定期進行安全檢查，包括：
a) 應(yīng)定期對服務(wù)器進行全面病毒掃描，但不得在交易時段內(nèi)進行；
b) 應(yīng)建立定期掃描并修補漏洞的工作機制，定義掃描檢測的內(nèi)容和程序，明確漏洞掃描工具和掃描頻率，記錄掃描結(jié)果及處理情況；
c) 應(yīng)按規(guī)定開展信息系統(tǒng)安全等級保護自查或測評；
5.7.5　對證券期貨行業(yè)內(nèi)通報的重大安全隱患，應(yīng)立即進行專項安全檢查。
5.7.6　證券期貨機構(gòu)應(yīng)對安全檢查情況進行評估，形成評估報告。
5.7.7　證券期貨機構(gòu)安全管理員應(yīng)督促解決檢查、測評、評估中發(fā)現(xiàn)的風(fēng)險隱患。
5.8　事件與問題管理
5.8.1　證券期貨機構(gòu)應(yīng)建立事件管理流程，對信息系統(tǒng)運維事件的處理進行規(guī)范。
5.8.2　證券期貨機構(gòu)應(yīng)指定人員負責(zé)設(shè)計和管理事件的記錄、分級、分派、處理、監(jiān)控和結(jié)束整個流程。
5.8.3　證券期貨機構(gòu)應(yīng)記錄運維過程中發(fā)生的所有事件，根據(jù)事件的影響程度和影響范圍評估事件處理優(yōu)先級及時處理。
5.8.4　證券期貨機構(gòu)應(yīng)對所有事件響應(yīng)、處理、結(jié)束等過程進行跟蹤、督促及檢查。
5.8.5　證券期貨機構(gòu)應(yīng)每月回顧、分析事件處理記錄，完成事件分析報告。
5.8.6　證券期貨機構(gòu)應(yīng)將運維過程中重復(fù)發(fā)生的事件、重大事件納入問題管理。
5.8.7　證券期貨機構(gòu)應(yīng)建立問題管理制度，對運維活動中發(fā)現(xiàn)的問題進行根本解決，并建立問題庫。
5.8.8　證券期貨機構(gòu)應(yīng)對問題的處理過程進行跟蹤和管理，包括問題的識別、提交、分析、處理、升級、解決、結(jié)束。
5.8.9　證券期貨機構(gòu)應(yīng)將監(jiān)控、分析、自查、檢查、測評、評估和事件處理中發(fā)現(xiàn)的問題進行匯總，并納入問題庫。
5.8.10　證券期貨機構(gòu)應(yīng)組織對問題進行分析、提出解決方案、通過變更管理審批后部署實施，并將解決過程歸納整理并納入問題庫。
6　系統(tǒng)維護
6.1　交付管理
6.1.1　證券期貨機構(gòu)應(yīng)建立交付流程，對建成的信息系統(tǒng)交付運行維護的活動進行規(guī)范。
6.1.2　證券期貨機構(gòu)應(yīng)制定交付工作清單，作為雙方交付依據(jù)，清單包括信息系統(tǒng)相關(guān)的軟件、硬件、技術(shù)文檔、管理手冊、使用手冊、培訓(xùn)材料、相關(guān)工具、協(xié)議和合同等。
6.1.3　證券期貨機構(gòu)應(yīng)對運維人員和所涉及的相關(guān)各方進行培訓(xùn)和說明，包括交付事項的目的、范圍、背景、測試要求、上線實施要求、驗收要求、運維要求等。
6.1.4　證券期貨機構(gòu)應(yīng)制定交付實施計劃，劃定交付雙方的職責(zé)，交付的步驟，并對交付過程留存記錄。
6.2　系統(tǒng)測試
6.2.1　證券期貨機構(gòu)應(yīng)建立系統(tǒng)測試流程，對系統(tǒng)上線前進行的模擬環(huán)境測試和生產(chǎn)環(huán)境測試進行規(guī)范。
6.2.2　證券期貨機構(gòu)應(yīng)為系統(tǒng)測試配備必要的人員和設(shè)備資源，需要時應(yīng)協(xié)調(diào)關(guān)聯(lián)單位配合測試。
6.2.3　證券期貨機構(gòu)應(yīng)根據(jù)系統(tǒng)上線要求制定測試方案，確定采用的測試方法和測試流程。測試方案及測試用例應(yīng)覆蓋功能、性能、容量、安全性、穩(wěn)定性等方面。測試完成后應(yīng)對測試結(jié)果

進行分析評估，并給出測試報告。
6.2.4　模擬環(huán)境測試的要求如下：
a) 應(yīng)建立獨立的模擬環(huán)境。模擬環(huán)境應(yīng)在邏輯架構(gòu)上和生產(chǎn)環(huán)境一致。模擬環(huán)境應(yīng)與生產(chǎn)環(huán)境進行分離，不得對生產(chǎn)環(huán)境進行干擾；
b) 應(yīng)根據(jù)測試方案的設(shè)計，合理配置測試所需的設(shè)備，識別設(shè)備不同可能帶來的測試結(jié)果正確性風(fēng)險；
c) 可根據(jù)需要，要求生產(chǎn)系統(tǒng)運維人員和業(yè)務(wù)部門組織業(yè)務(wù)人員參與測試；
d) 模擬環(huán)境使用的密碼應(yīng)與生產(chǎn)系統(tǒng)嚴格區(qū)分，系統(tǒng)管理員宜由不同的人員擔(dān)任。
6.2.5　生產(chǎn)環(huán)境測試的要求如下：
a) 測試前應(yīng)備份當(dāng)前系統(tǒng)的數(shù)據(jù)和配置；
b) 應(yīng)提前發(fā)布系統(tǒng)測試公告；
c) 應(yīng)由生產(chǎn)系統(tǒng)運維人員在生產(chǎn)環(huán)境下組織完成；
d) 應(yīng)根據(jù)需要，要求業(yè)務(wù)部門組織業(yè)務(wù)人員參與測試；
e) 根據(jù)測試的結(jié)果設(shè)計系統(tǒng)升級過程及應(yīng)急預(yù)案；
f) 如果測試內(nèi)容涉及其他相關(guān)系統(tǒng)，應(yīng)協(xié)調(diào)其他系統(tǒng)用戶參與測試；
g) 涉及核心交易業(yè)務(wù)系統(tǒng)的上線測試，應(yīng)組織全市場或全公司各相關(guān)部門測試；
h) 測試后應(yīng)恢復(fù)生產(chǎn)環(huán)境并驗證恢復(fù)的有效性；
i) 交易時段不得使用生產(chǎn)環(huán)境進行測試。
6.3　系統(tǒng)變更
6.3.1　證券期貨機構(gòu)應(yīng)建立系統(tǒng)變更流程，對信息系統(tǒng)的變更活動進行規(guī)范。
6.3.2　證券期貨機構(gòu)應(yīng)明確系統(tǒng)變更中的角色，至少包括：申請人、審批人、實施人、復(fù)核人。
6.3.3　變更申請人應(yīng)提交正式的變更申請，申請中應(yīng)有明確的變更方案，內(nèi)容至少包括：目標、對象、時間、人員、緊急程度、操作步驟、測試方案、實施方案、風(fēng)險防控措施、應(yīng)急預(yù)案、

回退方案等。
6.3.4　變更審批人應(yīng)在充分評估變更的技術(shù)風(fēng)險和業(yè)務(wù)風(fēng)險的基礎(chǔ)上進行審批，審批記錄應(yīng)留痕并滿足審計需要。
6.3.5　變更審批人應(yīng)確定變更實施時間窗口，除緊急變更外，不得在交易時段進行變更實施。
6.3.6　應(yīng)按照測試方案，組織變更前后的測試，測試后應(yīng)提交測試記錄或報告。
6.3.7　變更實施人應(yīng)按照變更實施方案進行變更，并及時更新配置庫。
6.3.8　變更復(fù)核人應(yīng)對變更記錄和變更結(jié)果進行評估，評估內(nèi)容應(yīng)至少包括變更目標的達成情況、對生產(chǎn)環(huán)境的影響、配置庫更新情況。
6.4　配置管理
6.4.1　證券期貨機構(gòu)應(yīng)制定配置管理流程，明確配置管理負責(zé)人。
6.4.2　證券期貨機構(gòu)應(yīng)建立配置庫，對交易業(yè)務(wù)系統(tǒng)的服務(wù)器、存儲、網(wǎng)絡(luò)、安全設(shè)備，操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫等進行管理。
6.4.3　證券期貨機構(gòu)應(yīng)合理設(shè)置配置庫中配置項的屬性，要求如下：
a） 配置項屬性至少包括編號、名稱、描述、維護責(zé)任人、運行狀態(tài)、關(guān)聯(lián)關(guān)系等；
b） 配置項編號應(yīng)唯一；
c） 配置項的添加、修改、替換、刪除應(yīng)有變更記錄；
d） 應(yīng)保存配置項歷史記錄，確保與事件管理、問題管理、變更管理等流程記錄的關(guān)聯(lián)性。
6.4.4　證券期貨機構(gòu)應(yīng)定期對配置庫進行備份。
6.4.5　證券期貨機構(gòu)應(yīng)及時檢查并定期審計配置庫，對發(fā)現(xiàn)的不一致情況及時糾正，并留存記錄。
7　應(yīng)急管理
7.1　應(yīng)急準備
7.1.1　證券期貨機構(gòu)應(yīng)建立健全網(wǎng)絡(luò)與信息安全事件應(yīng)急處置組織體系，明確網(wǎng)絡(luò)與信息安全事件的應(yīng)急指揮決策機構(gòu)和執(zhí)行機構(gòu)，負責(zé)網(wǎng)絡(luò)與信息安全事件的預(yù)防預(yù)警、應(yīng)急處置、報告和

調(diào)查處理工作。
7.1.2　證券期貨機構(gòu)網(wǎng)絡(luò)與信息安全事件應(yīng)急處置指揮決策機構(gòu)應(yīng)由主要領(lǐng)導(dǎo)負責(zé)，成員包括但不限于業(yè)務(wù)、技術(shù)、風(fēng)險控制、結(jié)算、財務(wù)、客服、安保及綜合等有關(guān)部門的負責(zé)人。
7.1.3　證券期貨機構(gòu)應(yīng)明確網(wǎng)絡(luò)與信息安全事件應(yīng)急決策機制，以及決策遞補順序，確保各種情況下，有人負責(zé)決策和報告。
7.1.4　網(wǎng)絡(luò)與信息安全事件應(yīng)急管理應(yīng)遵循“誰主管誰負責(zé)、誰運行誰負責(zé)”，“統(tǒng)一指揮、密切協(xié)同；注重預(yù)防、減少風(fēng)險；科學(xué)處置、及時報告；以人為本、公平優(yōu)先”的原則。
7.1.5　證券期貨機構(gòu)應(yīng)制定網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案，內(nèi)容至少包括：
a) 應(yīng)急預(yù)案編制的目的和依據(jù)；
b) 應(yīng)急預(yù)案的適用范圍；
c) 應(yīng)急處置的組織體系及職責(zé)；
d) 預(yù)防措施、保障措施與應(yīng)急準備；
e) 預(yù)警監(jiān)測、處置和信息報送；
f) 網(wǎng)絡(luò)與信息安全事件的分級分類；
g) 網(wǎng)絡(luò)與信息安全事件的報告流程；
h) 網(wǎng)絡(luò)與信息安全事件處置的一般原則；
i) 網(wǎng)絡(luò)與信息安全事件處置的具體方案；
j) 網(wǎng)絡(luò)與信息安全事件內(nèi)部調(diào)查處理以及分析總結(jié)的要求。
7.1.6　應(yīng)急預(yù)案應(yīng)符合如下要求：
a) 網(wǎng)絡(luò)與信息安全事件處置的具體方案應(yīng)包括各種可能發(fā)生的技術(shù)故障的應(yīng)急處置流程、報告流程等；
b) 應(yīng)針對各種技術(shù)故障擬定統(tǒng)一的解釋口徑和通知公告模板；
c) 應(yīng)每年至少進行一次評估，并及時修訂；
d) 應(yīng)根據(jù)應(yīng)急演練的情況進行評估和更新；
e) 核心機構(gòu)應(yīng)向中國證監(jiān)會報備；經(jīng)營機構(gòu)應(yīng)向住所地證監(jiān)局報備；
f) 在應(yīng)急預(yù)案發(fā)生重大變化時，應(yīng)及時重新報備。
7.1.7　應(yīng)急準備應(yīng)符合如下要求：
a) 值班負責(zé)人和信息技術(shù)負責(zé)人應(yīng)負責(zé)信息安全應(yīng)急值守；
b) 系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、安全管理員等關(guān)鍵崗位應(yīng)熟練掌握應(yīng)急預(yù)案，能有效處置網(wǎng)絡(luò)與信息安全事件；
c) 在自身力量不足以滿足應(yīng)急要求的情況下，應(yīng)與相關(guān)單位簽訂通信、消防、電力設(shè)備、空調(diào)設(shè)備、軟硬件產(chǎn)品、安全服務(wù)等的應(yīng)急響應(yīng)及服務(wù)保障協(xié)議。協(xié)議內(nèi)容應(yīng)包括雙方聯(lián)系人

、聯(lián)系方式、服務(wù)內(nèi)容及范圍、應(yīng)急處理方式等。應(yīng)定期檢查和評估協(xié)議的執(zhí)行情況，確保服務(wù)保障措施落實到位，確保在應(yīng)急處置中相關(guān)單位能提供及時有效的技術(shù)支持；
d) 應(yīng)建立有效的應(yīng)急通訊聯(lián)絡(luò)系統(tǒng)，確保信息暢通；
e) 應(yīng)制定應(yīng)急處置聯(lián)絡(luò)手冊，明確詳細的聯(lián)絡(luò)方式，并及時更新，在發(fā)生變化時及時通知相關(guān)單位。應(yīng)急處置聯(lián)絡(luò)手冊至少包括應(yīng)急處置組織體系及相關(guān)關(guān)聯(lián)單位的應(yīng)急聯(lián)絡(luò)方式；
f) 應(yīng)指定通報聯(lián)絡(luò)人，明確聯(lián)絡(luò)方式。通報聯(lián)絡(luò)人至少包括信息技術(shù)負責(zé)人及其備崗。通報聯(lián)絡(luò)方式至少包括應(yīng)急值守電話與傳真。應(yīng)將通報聯(lián)絡(luò)人及其聯(lián)絡(luò)方式及時通知監(jiān)管部門、

行業(yè)協(xié)會和相關(guān)單位；
g) 應(yīng)實行7×24小時聯(lián)絡(luò)制度，通報聯(lián)絡(luò)人必須保持應(yīng)急值守電話可用；
h) 應(yīng)對本單位有關(guān)領(lǐng)導(dǎo)和員工定制應(yīng)急工作卡片，明確有關(guān)領(lǐng)導(dǎo)和員工在網(wǎng)絡(luò)與信息安全事件應(yīng)急處置中的關(guān)鍵任務(wù)、主要的應(yīng)急聯(lián)絡(luò)人和聯(lián)絡(luò)方式；
i) 應(yīng)準備信息系統(tǒng)技術(shù)資料和軟件備份。至少包括網(wǎng)絡(luò)拓撲圖、設(shè)備配置參數(shù)、各種系統(tǒng)軟件和應(yīng)用程序、安裝使用手冊、應(yīng)急操作手冊等；
j) 應(yīng)準備充足的重要設(shè)備備品配件，并進行定期評估、檢測和維護；
k) 應(yīng)事先儲備一定數(shù)量的通訊、消防、應(yīng)急照明等應(yīng)急設(shè)備或物資并定期盤點，對于有時效性的應(yīng)急物資應(yīng)做到及時更新；
l) 應(yīng)準備應(yīng)急保障資金，確保應(yīng)急處置中能及時采購應(yīng)急設(shè)備或物資。
7.1.8　應(yīng)急演練應(yīng)符合如下要求：
a) 應(yīng)根據(jù)應(yīng)急預(yù)案的內(nèi)容，制定詳細的應(yīng)急演練計劃。計劃至少包括演練的目的、內(nèi)容、時間、參與方、方式、前期準備情況、統(tǒng)計與記錄要求、系統(tǒng)恢復(fù)與驗證要求等內(nèi)容；
b) 每半年應(yīng)至少組織一次網(wǎng)絡(luò)與信息安全應(yīng)急演練；
c) 應(yīng)記錄演練情況，演練記錄至少保存兩年；

不分頁顯示　　　總共2頁　　1 [2]

　　下一頁