證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范
證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范
中國(guó)證券監(jiān)督管理委員會(huì)
證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范
中國(guó)證券監(jiān)督管理委員會(huì)公告
〔2013〕7號(hào)
現(xiàn)公布金融行業(yè)推薦性標(biāo)準(zhǔn)《證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范》(JR/T 0099—2012),自公布之日起施行。
中國(guó)證監(jiān)會(huì)
2013年1月31日
附件:《證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范》.doc
http://www.csrc.gov.cn/pub/zjhpublic/G00306201/201302/P020130208511872656209.doc
ICS 03.060
A11
備案號(hào)JR
中華人民共和國(guó)金融行業(yè)標(biāo)準(zhǔn)
JR/T 0099—2012
證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范
Information system operation and maintenance management specification for securities and futures industry
2013 - 1-31發(fā)布
2013 - 1-31實(shí)施
中國(guó)證券監(jiān)督管理委員會(huì) 發(fā)布
目 次
前言 II
1 范圍 1
2 規(guī)范性引用文件 1
3 術(shù)語(yǔ)和定義 1
4 基本要求 4
4.1 運(yùn)維組織 4
4.2 經(jīng)費(fèi)管理 4
4.3 制度和流程管理 4
4.4 文檔管理 4
4.5 設(shè)備和軟件管理 4
4.6 供應(yīng)商管理 5
4.7 關(guān)聯(lián)單位關(guān)系管理 5
4.8 督促檢查 5
5 運(yùn)行保障 6
5.1 值班管理 6
5.2 日常操作 6
5.3 監(jiān)控分析 6
5.4 數(shù)據(jù)與介質(zhì)管理 7
5.5 機(jī)房管理 8
5.6 網(wǎng)絡(luò)與系統(tǒng)管理 9
5.7 安全管理 10
5.8 事件與問(wèn)題管理 10
6 系統(tǒng)維護(hù) 11
6.1 交付管理 11
6.2 系統(tǒng)測(cè)試 11
6.3 系統(tǒng)變更 11
6.4 配置管理 12
7 應(yīng)急管理 12
7.1 應(yīng)急準(zhǔn)備 12
7.2 應(yīng)急處置 14
7.3 調(diào)查處理 14
參考文獻(xiàn) 15
前 言
本標(biāo)準(zhǔn)依據(jù)GB/T 1.1-2009給出的規(guī)則起草。
本標(biāo)準(zhǔn)由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。
本標(biāo)準(zhǔn)起草單位:中國(guó)證監(jiān)會(huì)信息中心、上海證券交易所、深圳證券交易所、上海期貨交易所、中國(guó)金融期貨交易所、中信建投證券股份有限公司、國(guó)泰君安證券股份有限公司、海通證券股
份有限公司、長(zhǎng)城證券有限責(zé)任公司、興業(yè)證券股份有限公司、南方基金管理有限公司。
本標(biāo)準(zhǔn)主要起草人:張野、羅凱、嚴(yán)少輝、黎峰、馬晨、趙亮、張斗剛、支曉繁、楊威、戴暉、肖鋼、黃韋、王洪濤、蘭朝暉、王偉強(qiáng)、葛峰、張引。
證券期貨行業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范
1 范圍
本標(biāo)準(zhǔn)規(guī)定了證券期貨業(yè)信息系統(tǒng)運(yùn)維管理工作的要求。
本標(biāo)準(zhǔn)適用于證券期貨機(jī)構(gòu),包括:承擔(dān)證券期貨市場(chǎng)公共職能的機(jī)構(gòu)、承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營(yíng)的機(jī)構(gòu)等證券期貨市場(chǎng)核心機(jī)構(gòu)及其下屬機(jī)構(gòu)(以下簡(jiǎn)稱核心機(jī)構(gòu)),
以及證券公司、基金管理公司、期貨公司、證券期貨服務(wù)機(jī)構(gòu)等證券期貨經(jīng)營(yíng)機(jī)構(gòu)(以下簡(jiǎn)稱經(jīng)營(yíng)機(jī)構(gòu))。
2 規(guī)范性引用文件
下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅所注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 20269—2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求
GB/T 22080—2008 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求
GB/T 24405.1—2009 信息技術(shù) 服務(wù)管理 第1部分 規(guī)范
ISO 31000:2009 風(fēng)險(xiǎn)管理 原則和指南(Risk management -- Principles and guidelines)
3 術(shù)語(yǔ)和定義
下列術(shù)語(yǔ)和定義適用于本文件。
3.1
交易業(yè)務(wù)系統(tǒng) trading business system
承載證券期貨交易、結(jié)算相關(guān)的各類業(yè)務(wù)系統(tǒng)。按照其重要性,交易業(yè)務(wù)系統(tǒng)可分為核心交易業(yè)務(wù)系統(tǒng)和非核心交易業(yè)務(wù)系統(tǒng)。
3.2
核心交易業(yè)務(wù)系統(tǒng) core trading business system
承載面向客戶和對(duì)外服務(wù)的最基本、最核心交易業(yè)務(wù)的系統(tǒng)。
注:這類業(yè)務(wù)對(duì)運(yùn)維保障的要求很高,一旦出現(xiàn)中斷,將直接影響證券期貨市場(chǎng)。如:證券公司的集中交易系統(tǒng)、網(wǎng)上交易系統(tǒng)、銀證(第三方存管)系統(tǒng)、結(jié)算系統(tǒng)、行情系統(tǒng)、融資融券
系統(tǒng)等;期貨公司的集中交易系統(tǒng)、網(wǎng)上交易系統(tǒng)、銀期轉(zhuǎn)賬系統(tǒng)、結(jié)算系統(tǒng)、行情系統(tǒng)、風(fēng)控系統(tǒng)等;基金管理公司的注冊(cè)登記系統(tǒng)、基金估值系統(tǒng)、直銷與網(wǎng)上交易系統(tǒng)、投資交易系統(tǒng)
等。
3.3
非核心交易業(yè)務(wù)系統(tǒng) non-core trading business system
承載除核心交易業(yè)務(wù)外與交易業(yè)務(wù)有數(shù)據(jù)交換的其他業(yè)務(wù)的系統(tǒng)。
注:這類業(yè)務(wù)重要性相對(duì)較低,一旦出現(xiàn)中斷,可能間接或不一定影響證券期貨市場(chǎng)。如:稽核系統(tǒng)、呼叫中心系統(tǒng)、客戶關(guān)系管理系統(tǒng)、證券公司的風(fēng)控系統(tǒng)等。
3.4
交易業(yè)務(wù)網(wǎng) trading business network
承載交易業(yè)務(wù)系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)統(tǒng)稱交易業(yè)務(wù)網(wǎng),承載核心交易業(yè)務(wù)系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)統(tǒng)稱核心交易業(yè)務(wù)網(wǎng),承載非核心交易業(yè)務(wù)系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)統(tǒng)稱非核心交易業(yè)務(wù)網(wǎng)。
3.5
生產(chǎn)環(huán)境 production environment
支持日常業(yè)務(wù)活動(dòng)的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、主機(jī)、存儲(chǔ)、數(shù)據(jù)庫(kù)及應(yīng)用等。
3.6
在線數(shù)據(jù) online data
在生產(chǎn)環(huán)境中使用的所有數(shù)據(jù)。
3.7
離線數(shù)據(jù) offline data
脫離生產(chǎn)環(huán)境用于存儲(chǔ)備份的所有數(shù)據(jù)。
3.8
事件 incident
不屬于某項(xiàng)服務(wù)的標(biāo)準(zhǔn)操作,導(dǎo)致或可能導(dǎo)致服務(wù)中斷或服務(wù)質(zhì)量降低的任一事態(tài)。
[GB/T 24405.1—2009,定義2.7]
3.9
問(wèn)題 problem
一個(gè)或多個(gè)事件的未知的潛在原因。
[GB/T 24405.1—2009,定義2.8]
3.10
交付 delivery
負(fù)責(zé)規(guī)劃、安排、控制發(fā)布的構(gòu)建、測(cè)試和部署,以及在保護(hù)現(xiàn)有服務(wù)完整性的同時(shí),提供業(yè)務(wù)所需新功能的流程。
3.11
關(guān)鍵崗位 key position
負(fù)責(zé)交易業(yè)務(wù)系統(tǒng)運(yùn)行維護(hù)的機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、安全管理員等崗位。
3.12
配置項(xiàng) configuration item
處于或?qū)⑻幱谂渲霉芾碇碌幕A(chǔ)設(shè)施部件或項(xiàng)。
[GB/T 24405.1-2009,定義2.4]
注:配置項(xiàng)在復(fù)雜性、規(guī)模和類型方面變化可能很大,配置項(xiàng)可以是整個(gè)系統(tǒng)包括所有的硬件、軟件和文檔,也可以是單個(gè)模塊或很小的硬件部件。
3.13
風(fēng)險(xiǎn) risk
對(duì)目標(biāo)不確定性的影響。
[ISO 31000:2009,定義2.1]
3.14
技術(shù)風(fēng)險(xiǎn) technical risk
因信息技術(shù)發(fā)展、信息系統(tǒng)變更、人員操作失誤等導(dǎo)致的風(fēng)險(xiǎn)。
3.15
業(yè)務(wù)風(fēng)險(xiǎn) business risk
因流程變化、業(yè)務(wù)發(fā)展、市場(chǎng)環(huán)境改變等導(dǎo)致的風(fēng)險(xiǎn)。
3.16
信息安全事態(tài) information security event
信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生,它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效,或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。
[GB/T 22080-2008,定義3.5]
3.17
網(wǎng)絡(luò)與信息安全事件 network and information security incident
網(wǎng)絡(luò)與信息安全事件是突發(fā)事件的一種,也被稱為信息安全事件,一個(gè)信息安全事件由單個(gè)的或一系列的有害或意外信息安全事態(tài)組成,它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大可能性。
注:改寫 GB/T 22080-2008,定義3.6。
3.18
敏感性 sensitivity
表征資源價(jià)值或重要性的特征,也可能包含這一資源的脆弱性。
[GB/T 20269—2006,定義3.6]
4 基本要求
4.1 運(yùn)維組織
4.1.1 證券期貨機(jī)構(gòu)應(yīng)設(shè)立信息系統(tǒng)運(yùn)維組織,負(fù)責(zé)信息系統(tǒng)的運(yùn)行維護(hù)工作。
4.1.2 證券期貨機(jī)構(gòu)應(yīng)任命運(yùn)維組織負(fù)責(zé)人,負(fù)責(zé)組織、協(xié)調(diào)、管理信息系統(tǒng)的運(yùn)行維護(hù)工作。
4.1.3 證券期貨機(jī)構(gòu)應(yīng)合理設(shè)置運(yùn)維崗位,規(guī)定崗位職責(zé)及技能要求,并符合如下要求:
a) 運(yùn)維崗位應(yīng)至少包括機(jī)房管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、安全管理員等關(guān)鍵崗位,并設(shè)置主備崗;
b) 關(guān)鍵崗位應(yīng)進(jìn)行分離,兼崗時(shí)應(yīng)滿足崗位相互制約的要求。
4.1.4 證券期貨機(jī)構(gòu)應(yīng)配備足夠的運(yùn)維人員。運(yùn)維人員應(yīng)具備一定的計(jì)算機(jī)基礎(chǔ)理論知識(shí)和專業(yè)技術(shù)經(jīng)驗(yàn)。經(jīng)營(yíng)機(jī)構(gòu)運(yùn)維人員應(yīng)具有相應(yīng)的從業(yè)資格。
4.1.5 證券期貨機(jī)構(gòu)應(yīng)與運(yùn)維人員簽署保密協(xié)議,保密協(xié)議應(yīng)至少包括保密范圍、保密期限等內(nèi)容。
4.1.6 證券期貨機(jī)構(gòu)應(yīng)制定年度培訓(xùn)計(jì)劃,對(duì)運(yùn)維人員進(jìn)行必要的技術(shù)、業(yè)務(wù)、安全等培訓(xùn),并留存培訓(xùn)記錄。
4.2 經(jīng)費(fèi)管理
4.2.1 證券期貨機(jī)構(gòu)應(yīng)制定信息系統(tǒng)運(yùn)行維護(hù)年度預(yù)算計(jì)劃,每年進(jìn)行核算。預(yù)算和核算應(yīng)接受監(jiān)督和審計(jì)。
4.2.2 證券期貨機(jī)構(gòu)應(yīng)將信息系統(tǒng)運(yùn)行維護(hù)的各項(xiàng)費(fèi)用納入預(yù)算管理。費(fèi)用至少應(yīng)包括:機(jī)房物理環(huán)境、信息系統(tǒng)軟硬件、網(wǎng)絡(luò)與通信設(shè)施的使用費(fèi)和維修費(fèi),以及應(yīng)急保障費(fèi)用、技術(shù)服務(wù)
費(fèi)用、人員培訓(xùn)費(fèi)用等。
4.3 制度和流程管理
4.3.1 證券期貨機(jī)構(gòu)應(yīng)制定覆蓋運(yùn)維工作各個(gè)環(huán)節(jié)的、體系化的運(yùn)維管理制度和操作流程。運(yùn)維管理制度應(yīng)包括但不限于:機(jī)房管理、網(wǎng)絡(luò)與系統(tǒng)管理、數(shù)據(jù)和介質(zhì)管理、交付管理、測(cè)試管
理、配置管理、安全管理、值班管理、監(jiān)控管理、文檔管理、設(shè)備和軟件管理、供應(yīng)商管理、關(guān)聯(lián)單位關(guān)系管理、檢查審計(jì)等制度。運(yùn)維操作流程應(yīng)包括但不限于日常操作、事件處理、問(wèn)題
處理、系統(tǒng)變更、應(yīng)急處置等流程。
4.3.2 證券期貨機(jī)構(gòu)應(yīng)建立運(yùn)維管理制度和操作流程的制定、發(fā)布、維護(hù)和更新的機(jī)制。至少每年一次評(píng)審、修訂運(yùn)維管理制度和操作流程。
4.4 文檔管理
4.4.1 證券期貨機(jī)構(gòu)應(yīng)建立文檔管理制度,對(duì)文檔的分類、命名規(guī)則、編寫人、審批人、版本、敏感性標(biāo)識(shí)、發(fā)布時(shí)間、存放方式、修訂記錄、廢止等做出規(guī)定。
4.4.2 證券期貨機(jī)構(gòu)應(yīng)明確文檔管理的責(zé)任人。
4.4.3 證券期貨機(jī)構(gòu)應(yīng)對(duì)運(yùn)維過(guò)程中涉及的各類文檔進(jìn)行分類管理,可按照制度文檔、技術(shù)文檔、合同文檔、審批記錄、日志記錄等進(jìn)行分類,并統(tǒng)一存放。
4.4.4 證券期貨機(jī)構(gòu)應(yīng)規(guī)范文檔的發(fā)布管理,對(duì)文檔的版本應(yīng)當(dāng)進(jìn)行控制。文檔應(yīng)標(biāo)識(shí)敏感性、使用范圍、使用權(quán)限、審批權(quán)限等。文檔在使用時(shí)應(yīng)能讀取、使用最新版本,防止作廢文件的
逾期使用。
4.4.5 證券期貨機(jī)構(gòu)對(duì)超范圍、超權(quán)限使用文檔時(shí)應(yīng)保存相關(guān)審批、使用記錄。
4.5 設(shè)備和軟件管理
4.5.1 證券期貨機(jī)構(gòu)應(yīng)建立計(jì)算機(jī)相關(guān)設(shè)備和軟件管理制度,對(duì)設(shè)備和軟件的驗(yàn)證性測(cè)試、出入庫(kù)、安裝、盤點(diǎn)、維修(升級(jí))、報(bào)廢等進(jìn)行規(guī)范。
4.5.2 證券期貨機(jī)構(gòu)應(yīng)明確設(shè)備和軟件管理責(zé)任人。
4.5.3 證券期貨機(jī)構(gòu)應(yīng)在設(shè)備和軟件投入使用前進(jìn)行必要的驗(yàn)證性測(cè)試,并保留測(cè)試記錄。
4.5.4 證券期貨機(jī)構(gòu)應(yīng)編制信息系統(tǒng)設(shè)備清單,主要包括設(shè)備名稱、設(shè)備編號(hào)、入庫(kù)時(shí)間、設(shè)備主要參數(shù)、設(shè)備序列號(hào)、設(shè)備狀態(tài)、設(shè)備保修期、設(shè)備位置、設(shè)備用途和設(shè)備使用責(zé)任人等內(nèi)
容,并保留設(shè)備啟用、轉(zhuǎn)移、維修、報(bào)廢等過(guò)程的記錄。
4.5.5 證券期貨機(jī)構(gòu)應(yīng)使用正版軟件并保存軟件授權(quán)證書和許可協(xié)議,應(yīng)編制軟件清單,主要包括軟件名稱、軟件編號(hào)、入庫(kù)時(shí)間、軟件版本,授權(quán)和許可情況、軟件序列號(hào)、軟件狀態(tài)、軟
件維護(hù)期、軟件安裝設(shè)備、用途和使用責(zé)任人等內(nèi)容,并保留軟件啟用、轉(zhuǎn)移、升級(jí)、報(bào)廢等過(guò)程的記錄。
4.5.6 證券期貨機(jī)構(gòu)應(yīng)對(duì)設(shè)備進(jìn)行標(biāo)識(shí),標(biāo)識(shí)應(yīng)放在設(shè)備明顯位置。
4.5.7 證券期貨機(jī)構(gòu)應(yīng)規(guī)定設(shè)備和軟件的使用年限,定期進(jìn)行盤點(diǎn),并對(duì)設(shè)備狀態(tài)進(jìn)行評(píng)估和更新。
4.5.8 證券期貨機(jī)構(gòu)應(yīng)對(duì)外送設(shè)備的維修進(jìn)行嚴(yán)格管理,防止數(shù)據(jù)泄露。
4.5.9 證券期貨機(jī)構(gòu)應(yīng)對(duì)擬下線和擬報(bào)廢設(shè)備的存儲(chǔ)介質(zhì)中的全部信息進(jìn)行清除或銷毀。對(duì)正式下線設(shè)備和軟件交指定部門統(tǒng)一管理、保存或處置,并保留相應(yīng)記錄。設(shè)備和軟件報(bào)廢應(yīng)符合
資產(chǎn)管理規(guī)定。
4.6 供應(yīng)商管理
4.6.1 證券期貨機(jī)構(gòu)應(yīng)建立供應(yīng)商管理制度,對(duì)供應(yīng)商支持運(yùn)維服務(wù)的相關(guān)活動(dòng)進(jìn)行統(tǒng)一管理。
4.6.2 證券期貨機(jī)構(gòu)應(yīng)在與供應(yīng)商簽訂的合同中明確其應(yīng)承擔(dān)的責(zé)任、義務(wù),并約定服務(wù)要求和范圍等內(nèi)容。
4.6.3 證券期貨機(jī)構(gòu)應(yīng)與供應(yīng)商簽署保密協(xié)議,不得泄露所服務(wù)機(jī)構(gòu)的保密信息,并要求供應(yīng)商簽署承諾書,承諾產(chǎn)品不存在惡意代碼或未授權(quán)的功能,不提供違反我國(guó)法律法規(guī)的功能模塊
,并符合證券期貨行業(yè)有關(guān)技術(shù)規(guī)范和技術(shù)指引。
4.6.4 證券期貨機(jī)構(gòu)應(yīng)在涉及證券期貨交易、行情、開戶、結(jié)算等軟件產(chǎn)品或技術(shù)服務(wù)的采購(gòu)合同中,明確供應(yīng)商應(yīng)接受證券期貨行業(yè)監(jiān)管部門的信息安全延伸檢查。
4.6.5 證券期貨機(jī)構(gòu)應(yīng)定期收集、更新供應(yīng)商信息,組織對(duì)供應(yīng)商的服務(wù)質(zhì)量、合同履行情況、人員工作情況等內(nèi)容進(jìn)行評(píng)價(jià),形成評(píng)價(jià)報(bào)告,并跟蹤和記錄供應(yīng)商改進(jìn)情況。
4.6.6 證券期貨機(jī)構(gòu)應(yīng)加強(qiáng)運(yùn)維外包服務(wù)管理,主要包括:
a) 與外包公司及外包人員簽訂保密協(xié)議;
b) 明確外包公司應(yīng)當(dāng)承擔(dān)的責(zé)任及追究方式;
c) 明確界定外包人員的工作職責(zé)、活動(dòng)范圍、操作權(quán)限;
d) 對(duì)外包人員工作情況進(jìn)行監(jiān)督和檢查,并保留相應(yīng)記錄;
e) 對(duì)駐場(chǎng)外包人員的入場(chǎng)和離場(chǎng)進(jìn)行管理;
f) 定期評(píng)估外包的服務(wù)質(zhì)量;
g) 制定外包服務(wù)意外終止的應(yīng)急措施。
4.7 關(guān)聯(lián)單位關(guān)系管理
4.7.1 證券期貨機(jī)構(gòu)應(yīng)建立關(guān)聯(lián)單位聯(lián)系制度。關(guān)聯(lián)單位包括證券期貨行業(yè)監(jiān)管部門、協(xié)會(huì),當(dāng)?shù)卣块T,公安機(jī)關(guān),交易所等市場(chǎng)核心機(jī)構(gòu),其他證券期貨經(jīng)營(yíng)機(jī)構(gòu),銀行機(jī)構(gòu),電力和
通信設(shè)施保障機(jī)構(gòu),軟硬件供應(yīng)商,技術(shù)服務(wù)商和物業(yè)公司等。
4.7.2 證券期貨機(jī)構(gòu)應(yīng)建立關(guān)聯(lián)單位聯(lián)系表,表的內(nèi)容至少包括單位名稱、業(yè)務(wù)事項(xiàng)、聯(lián)系人、聯(lián)系方式、備注等,并及時(shí)更新。
4.8 督促檢查
4.8.1 證券期貨機(jī)構(gòu)應(yīng)建立檢查審計(jì)制度,對(duì)運(yùn)維制度的執(zhí)行情況和運(yùn)維工作開展情況定期進(jìn)行檢查和審計(jì),以督促運(yùn)維工作持續(xù)改進(jìn)。
4.8.2 證券期貨機(jī)構(gòu)應(yīng)指定人員負(fù)責(zé)對(duì)日常操作執(zhí)行情況進(jìn)行每日檢查,確保運(yùn)維管理制度和操作流程有效執(zhí)行。
4.8.3 證券期貨機(jī)構(gòu)應(yīng)每季組織開展內(nèi)部檢查,形成檢查報(bào)告。
4.8.4 證券期貨機(jī)構(gòu)應(yīng)在每年審計(jì)工作中包含信息系統(tǒng)運(yùn)維管理工作審計(jì)項(xiàng)目,并形成審計(jì)報(bào)告。
4.8.5 檢查和審計(jì)范圍至少包括對(duì)運(yùn)維管理制度和操作流程的合理性和完整性進(jìn)行評(píng)估,對(duì)運(yùn)維管理制度和操作流程的執(zhí)行情況進(jìn)行評(píng)估,對(duì)文檔、配置、數(shù)據(jù)的有效性進(jìn)行評(píng)估,對(duì)整體安
全狀況進(jìn)行評(píng)估,對(duì)運(yùn)維人員履職能力進(jìn)行評(píng)估等。
4.8.6 證券期貨機(jī)構(gòu)應(yīng)對(duì)檢查和審計(jì)的結(jié)果采取糾正性和預(yù)防性的措施。
5 運(yùn)行保障
5.1 運(yùn)維值班管理
5.1.1 證券期貨機(jī)構(gòu)應(yīng)建立運(yùn)維值班管理制度,對(duì)日常操作、監(jiān)控管理、事件處理、問(wèn)題處理、數(shù)據(jù)和介質(zhì)管理、機(jī)房管理、安全管理、應(yīng)急處置進(jìn)行規(guī)范。
5.1.2 證券期貨機(jī)構(gòu)應(yīng)指定運(yùn)維值班負(fù)責(zé)人。運(yùn)維值班負(fù)責(zé)人負(fù)責(zé)日常操作的部署、檢查、風(fēng)險(xiǎn)控制、業(yè)務(wù)銜接等工作。運(yùn)維值班負(fù)責(zé)人應(yīng)有備崗。主備崗不得同時(shí)離崗。
5.1.3 證券期貨機(jī)構(gòu)應(yīng)制定運(yùn)維值班安排表,可根據(jù)實(shí)際情況實(shí)施倒班制度。在值班期間值班人員不得擅離崗位。
5.1.4 證券期貨機(jī)構(gòu)應(yīng)制定交接班流程,并嚴(yán)格執(zhí)行,留存記錄。
5.1.5 證券期貨機(jī)構(gòu)應(yīng)設(shè)置運(yùn)維值班電話,并保持暢通。
5.2 日常操作
5.2.1 證券期貨機(jī)構(gòu)應(yīng)制定操作手冊(cè)。操作手冊(cè)的內(nèi)容應(yīng)至少包括信息系統(tǒng)日常運(yùn)行操作的各個(gè)環(huán)節(jié)。針對(duì)各個(gè)操作環(huán)節(jié)制定操作規(guī)程。
5.2.2 交易業(yè)務(wù)系統(tǒng)的操作規(guī)程應(yīng)至少包括操作的對(duì)象、時(shí)間、步驟、指令、操作要點(diǎn)、復(fù)核要點(diǎn)、操作人、復(fù)核人等基本要素。
5.2.3 證券期貨機(jī)構(gòu)應(yīng)嚴(yán)格按照操作手冊(cè)執(zhí)行運(yùn)維操作,對(duì)交易業(yè)務(wù)系統(tǒng)的操作過(guò)程應(yīng)進(jìn)行記錄留痕,記錄的保存時(shí)間不少于一年。
5.2.4 特殊操作、臨時(shí)操作應(yīng)經(jīng)批準(zhǔn)后方可雙崗執(zhí)行。操作過(guò)程應(yīng)進(jìn)行記錄留痕,記錄的保存時(shí)間不少于一年。
5.2.5 證券期貨機(jī)構(gòu)應(yīng)依據(jù)業(yè)務(wù)、信息系統(tǒng)的變化對(duì)操作手冊(cè)及規(guī)程進(jìn)行及時(shí)修訂,經(jīng)審批通過(guò)后遵照?qǐng)?zhí)行。
5.2.6 證券期貨機(jī)構(gòu)應(yīng)對(duì)核心交易業(yè)務(wù)系統(tǒng)設(shè)置獨(dú)立的操作和監(jiān)控環(huán)境,并與開發(fā)、測(cè)試等其他操作環(huán)境嚴(yán)格分離。
5.3 監(jiān)控分析
5.3.1 證券期貨機(jī)構(gòu)應(yīng)采取監(jiān)控措施,配備監(jiān)控和報(bào)警工具,對(duì)影響信息系統(tǒng)正常運(yùn)行的關(guān)鍵對(duì)象,包括機(jī)房環(huán)境、網(wǎng)絡(luò)、通信線路、主機(jī)、存儲(chǔ)、數(shù)據(jù)庫(kù)、核心交易業(yè)務(wù)相關(guān)的應(yīng)用系統(tǒng)、
安全設(shè)備等進(jìn)行監(jiān)控。報(bào)警方式可包括聲光、電話、短信、郵件等。
5.3.2 證券期貨機(jī)構(gòu)應(yīng)采取人工值守和自動(dòng)化工具相結(jié)合的方式,對(duì)交易業(yè)務(wù)系統(tǒng)進(jìn)行24小時(shí)監(jiān)控。交易時(shí)段應(yīng)指定人員對(duì)交易業(yè)務(wù)系統(tǒng)進(jìn)行監(jiān)控,交易時(shí)段以外如無(wú)法做到人工監(jiān)控,應(yīng)開
啟自動(dòng)監(jiān)控系統(tǒng)和自動(dòng)報(bào)警系統(tǒng)。
5.3.3 證券期貨機(jī)構(gòu)應(yīng)建立輔助的人工巡檢制度,規(guī)定巡檢內(nèi)容、頻度、人員等。巡檢內(nèi)容應(yīng)覆蓋電力、空調(diào)、消防、安防等機(jī)房設(shè)施,主機(jī)、網(wǎng)絡(luò)、通信、安全等設(shè)備的運(yùn)行狀況。巡檢結(jié)
果應(yīng)及時(shí)記錄,如遇異常應(yīng)及時(shí)處理,并按規(guī)定要求進(jìn)行報(bào)告。
5.3.4 證券期貨機(jī)構(gòu)應(yīng)正確設(shè)置自動(dòng)化監(jiān)控工具的預(yù)警閾值,并定期進(jìn)行檢查和評(píng)估。
5.3.5 主要監(jiān)控指標(biāo)具體如下:
a) 機(jī)房:電力狀態(tài)、空調(diào)運(yùn)行狀態(tài)、消防設(shè)施狀態(tài)、溫濕度、漏水、人員及設(shè)備進(jìn)出等;
b) 網(wǎng)絡(luò)與通信:設(shè)備運(yùn)行狀態(tài)、中央處理器使用率、通信連接狀態(tài)、網(wǎng)絡(luò)流量、核心節(jié)點(diǎn)間網(wǎng)絡(luò)延時(shí)、丟包率等;
c) 主機(jī):設(shè)備運(yùn)行狀態(tài)、中央處理器使用率、內(nèi)存利用率、磁盤空間利用率、通信端口狀態(tài)等;
d) 存儲(chǔ):設(shè)備運(yùn)行狀態(tài)、數(shù)據(jù)交換延時(shí)、存儲(chǔ)電池狀態(tài)等;
e) 安全設(shè)備:設(shè)備運(yùn)行狀態(tài)、中央處理器使用率、內(nèi)存利用率、端口狀態(tài)、數(shù)據(jù)流量、并發(fā)連接數(shù)、安全事件記錄情況等;
f) 數(shù)據(jù)庫(kù):日志信息、表空間使用率、連接數(shù)等;
g) 核心交易業(yè)務(wù)相關(guān)的應(yīng)用系統(tǒng):進(jìn)程的活動(dòng)狀態(tài)、日志信息、中央處理器使用率、內(nèi)存利用率、并發(fā)線程數(shù)量、并發(fā)處理量、關(guān)鍵業(yè)務(wù)指標(biāo)等;
h) 門戶網(wǎng)站:網(wǎng)頁(yè)內(nèi)容、日均訪問(wèn)量等。
5.3.6 證券期貨機(jī)構(gòu)應(yīng)針對(duì)不同系統(tǒng)設(shè)置合理的監(jiān)測(cè)頻度。
5.3.7 證券期貨機(jī)構(gòu)應(yīng)記錄并集中分類存儲(chǔ)必要的操作日志、系統(tǒng)日志、應(yīng)用日志、安全日志等,留存日志應(yīng)滿足審計(jì)的需要。
5.3.8 證券期貨機(jī)構(gòu)應(yīng)保存監(jiān)控產(chǎn)生的日志,保存時(shí)間不少于一年。
5.3.9 證券期貨機(jī)構(gòu)應(yīng)每日分析核心交易業(yè)務(wù)系統(tǒng)監(jiān)控日志及巡檢記錄,形成評(píng)估記錄,跟蹤處理日志分析中發(fā)現(xiàn)的異常事件。應(yīng)至少每季度全面評(píng)估監(jiān)控日志和操作記錄,分析異常情況,
形成評(píng)估報(bào)告。
5.4 數(shù)據(jù)與介質(zhì)管理
5.4.1 證券期貨機(jī)構(gòu)應(yīng)建立信息系統(tǒng)數(shù)據(jù)管理制度,對(duì)在線和離線數(shù)據(jù)的使用、備份、存放、保護(hù)及恢復(fù)驗(yàn)證等活動(dòng)進(jìn)行規(guī)范。
5.4.2 證券期貨機(jī)構(gòu)應(yīng)明確數(shù)據(jù)管理責(zé)任人,負(fù)責(zé)數(shù)據(jù)的收集、使用、備份、檢查等策略的制定和執(zhí)行工作。
5.4.3 證券期貨機(jī)構(gòu)應(yīng)按照國(guó)家和監(jiān)管部門的有關(guān)要求,制定數(shù)據(jù)備份及驗(yàn)證策略,明確備份范圍、備份方式、備份頻度、存放地點(diǎn)、存放時(shí)限、有效性驗(yàn)證方式和管理責(zé)任人。
5.4.4 在線數(shù)據(jù)管理,應(yīng)做到如下要求:
a) 交易業(yè)務(wù)系統(tǒng)數(shù)據(jù)應(yīng)至少每交易日備份一次;
b) 交易業(yè)務(wù)系統(tǒng)歷史數(shù)據(jù)至少保留一年;
c) 未經(jīng)授權(quán)不得訪問(wèn)、復(fù)制;
d) 對(duì)數(shù)據(jù)的修改應(yīng)通過(guò)審批,雙崗操作并記錄操作日志。
5.4.5 離線數(shù)據(jù)管理,應(yīng)做到如下要求:
a) 離線數(shù)據(jù)不得更改;
b) 應(yīng)至少每季度對(duì)核心交易業(yè)務(wù)系統(tǒng)的備份數(shù)據(jù)進(jìn)行一次有效性驗(yàn)證,如發(fā)現(xiàn)問(wèn)題應(yīng)采取措施修復(fù)備份數(shù)據(jù),并查明原因;
c) 離線數(shù)據(jù)的調(diào)閱、復(fù)制、傳輸、查詢,應(yīng)按照擬定的流程辦理審批手續(xù),并進(jìn)行登記;
d) 備份數(shù)據(jù)帶離存儲(chǔ)環(huán)境時(shí)應(yīng)采取必要的安全措施。
5.4.6 在線數(shù)據(jù)和離線數(shù)據(jù)用于非生產(chǎn)環(huán)境時(shí),應(yīng)進(jìn)行脫敏處理;用于模擬測(cè)試時(shí)如無(wú)法進(jìn)行脫敏處理,測(cè)試環(huán)境應(yīng)采取與生產(chǎn)環(huán)境相當(dāng)?shù)陌踩胧?br>
5.4.7 證券期貨機(jī)構(gòu)應(yīng)建立介質(zhì)管理制度,對(duì)介質(zhì)的存放、使用、維護(hù)和銷毀等活動(dòng)進(jìn)行規(guī)范。
5.4.8 證券期貨機(jī)構(gòu)應(yīng)明確責(zé)任人,對(duì)介質(zhì)的使用、轉(zhuǎn)儲(chǔ)、送修、銷毀及存儲(chǔ)環(huán)境進(jìn)行管理。
5.4.9 介質(zhì)管理,應(yīng)做到如下要求:
a) 應(yīng)在安全環(huán)境中存放介質(zhì),并采取控制和保護(hù)措施;
b) 離線備份介質(zhì)應(yīng)當(dāng)在本地機(jī)房、同城、異地安全可靠存放;
c) 應(yīng)對(duì)介質(zhì)在物理傳輸過(guò)程中的打包、交付進(jìn)行控制;
d) 應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理,并對(duì)介質(zhì)進(jìn)行歸檔登記,對(duì)存檔介質(zhì)依目錄清單定期核對(duì);
e) 涉及敏感信息的介質(zhì)送修時(shí)應(yīng)由專人全程陪同,并保證修復(fù)過(guò)程可控;
f) 介質(zhì)銷毀前應(yīng)清除介質(zhì)中的敏感數(shù)據(jù);涉密信息的存儲(chǔ)介質(zhì)不得自行銷毀,應(yīng)按國(guó)家相關(guān)規(guī)定另行處理;
g) 在交易業(yè)務(wù)網(wǎng)使用的移動(dòng)介質(zhì)應(yīng)專網(wǎng)專用,不得接入可以訪問(wèn)互聯(lián)網(wǎng)的主機(jī)。
5.5 機(jī)房管理
5.5.1 證券期貨機(jī)構(gòu)應(yīng)建立機(jī)房管理制度,對(duì)機(jī)房環(huán)境,供電、空調(diào)、消防、安防等基礎(chǔ)設(shè)施的運(yùn)行維護(hù),設(shè)備和人員出入,機(jī)房工作人員等進(jìn)行規(guī)范管理。
5.5.2 證券期貨機(jī)構(gòu)應(yīng)指定機(jī)房管理負(fù)責(zé)人。
5.5.3 證券期貨機(jī)構(gòu)應(yīng)確保機(jī)房環(huán)境整潔和安全,包括:
a) 應(yīng)定期檢查防水、防雷、防火、防潮、防塵、防鼠、防靜電、防電磁輻射等措施的有效性;
b) 應(yīng)保持機(jī)房環(huán)境衛(wèi)生,采取防塵措施,定期進(jìn)行除塵處理;
c) 交易時(shí)間內(nèi)不得進(jìn)行機(jī)房施工、保潔操作。
5.5.4 證券期貨機(jī)構(gòu)應(yīng)加強(qiáng)用電安全管理。至少包括:
a) 機(jī)房管理員應(yīng)根據(jù)國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)進(jìn)行用電管理,應(yīng)重點(diǎn)保障核心交易業(yè)務(wù)系統(tǒng)用電安全。
b) 機(jī)房管理員應(yīng)掌握常規(guī)用電安全操作和知識(shí),了解機(jī)房?jī)?nèi)部供電、用電設(shè)備的操作規(guī)程,掌握機(jī)房用電應(yīng)急處理步驟、措施和要領(lǐng)。有條件的可配備專業(yè)電工或與相關(guān)電力機(jī)構(gòu)或物
業(yè)機(jī)構(gòu)簽署服務(wù)協(xié)議;
c) 應(yīng)在危險(xiǎn)性高的位置張貼相應(yīng)的用電安全操作方法、警示及指引;
d) 應(yīng)每季度至少一次對(duì)機(jī)房供配電、備用電源系統(tǒng)進(jìn)行全面檢查和維護(hù)管理,及時(shí)更換老化的電路元件及線纜,應(yīng)定期測(cè)試備用供電系統(tǒng),確保持續(xù)供電設(shè)施的有效性,并保存相關(guān)檢
查和維護(hù)記錄;
e) 未經(jīng)審批不得接入其它用電設(shè)備。
5.5.5 證券期貨機(jī)構(gòu)應(yīng)每季度至少一次對(duì)空調(diào)設(shè)備進(jìn)行全面檢查和維護(hù),保存維護(hù)記錄。
5.5.6 證券期貨機(jī)構(gòu)應(yīng)制定符合國(guó)家規(guī)范的機(jī)房消防安全管理制度,至少包括:
a) 機(jī)房工作人員應(yīng)熟悉逃生路線和自我保護(hù)措施,防止發(fā)生人身安全意外;
b) 應(yīng)將消防安全警示和指示張貼于機(jī)房明顯位置,將消防設(shè)施的操作要點(diǎn)張貼于消防設(shè)施旁邊;
c) 機(jī)房工作人員應(yīng)熟悉消防設(shè)施及操作要點(diǎn),掌握消防應(yīng)急措施;
d) 應(yīng)每季度至少一次對(duì)機(jī)房?jī)?nèi)消防報(bào)警設(shè)備進(jìn)行檢查,保證其有效性;
e) 應(yīng)定期進(jìn)行消防設(shè)施的使用培訓(xùn)和演習(xí)。
5.5.7 證券期貨機(jī)構(gòu)應(yīng)對(duì)設(shè)備和人員出入進(jìn)行嚴(yán)格管理,包括:
a) 應(yīng)指定人員負(fù)責(zé)控制、鑒別和記錄設(shè)備和人員的進(jìn)出情況,記錄進(jìn)出人員、進(jìn)出時(shí)間、工作內(nèi)容,并留存記錄至少90天;
b) 機(jī)房出入口的監(jiān)控錄像至少保存90天;
c) 外來(lái)人員進(jìn)入機(jī)房應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程,并限制和監(jiān)控其活動(dòng)范圍,并有專人陪同;
d) 外來(lái)設(shè)備未經(jīng)批準(zhǔn)不得接入生產(chǎn)環(huán)境。
5.6 網(wǎng)絡(luò)與系統(tǒng)管理
5.6.1 證券期貨機(jī)構(gòu)應(yīng)建立網(wǎng)絡(luò)與系統(tǒng)管理制度,對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行維護(hù)進(jìn)行規(guī)范。
5.6.2 證券期貨機(jī)構(gòu)網(wǎng)絡(luò)管理應(yīng)包括:
a) 應(yīng)合理設(shè)置安全域,繪制網(wǎng)絡(luò)拓?fù)鋱D,并保持更新;
b) 應(yīng)定期檢查安全隔離情況,確保各安全域之間有效隔離;
c) 應(yīng)保持網(wǎng)絡(luò)設(shè)備的可用性,及時(shí)維修、更換故障設(shè)備;
d) 應(yīng)負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的參數(shù)配置、調(diào)優(yōu);
e) 應(yīng)定期對(duì)系統(tǒng)容量進(jìn)行檢查和評(píng)估,形成評(píng)估報(bào)告;
f) 應(yīng)定期檢查網(wǎng)絡(luò)設(shè)備的用戶、口令及權(quán)限設(shè)置的正確性;
g) 應(yīng)定期對(duì)整個(gè)網(wǎng)絡(luò)連接進(jìn)行檢查,確保所有交換機(jī)端口處于受控狀態(tài);
h) 應(yīng)對(duì)網(wǎng)絡(luò)信息點(diǎn)進(jìn)行管理,編制信息點(diǎn)使用表,并及時(shí)維護(hù)和更新,確保與實(shí)際情況一致。計(jì)算機(jī)網(wǎng)絡(luò)跳線應(yīng)整齊干凈,跳線標(biāo)識(shí)清晰;
i) 應(yīng)制定網(wǎng)絡(luò)訪問(wèn)控制策略,應(yīng)合理設(shè)置網(wǎng)絡(luò)隔離設(shè)施上的訪問(wèn)控制列表,關(guān)閉與業(yè)務(wù)無(wú)關(guān)的端口;編制文檔并保持更新;訪問(wèn)控制策略的變更應(yīng)履行審批手續(xù)。
5.6.3 證券期貨機(jī)構(gòu)系統(tǒng)管理應(yīng)包括:
a) 應(yīng)保持系統(tǒng)的可用性,及時(shí)維修、更換故障設(shè)備和更新軟件;
b) 應(yīng)負(fù)責(zé)應(yīng)用系統(tǒng)、操作系統(tǒng)的參數(shù)配置、調(diào)優(yōu),編制文檔并保持更新;
c) 應(yīng)定期對(duì)系統(tǒng)容量進(jìn)行檢查和評(píng)估,形成評(píng)估報(bào)告;
d) 應(yīng)負(fù)責(zé)管理系統(tǒng)和應(yīng)用程序服務(wù)進(jìn)程,并關(guān)閉與業(yè)務(wù)無(wú)關(guān)的服務(wù);
e) 應(yīng)定期檢查應(yīng)用系統(tǒng)、操作系統(tǒng)的用戶、口令及權(quán)限設(shè)置的正確性。
5.6.4 證券期貨機(jī)構(gòu)數(shù)據(jù)庫(kù)管理應(yīng)包括:
a) 應(yīng)保持?jǐn)?shù)據(jù)庫(kù)的可用性,及時(shí)維護(hù)、更新軟件;
b) 應(yīng)負(fù)責(zé)數(shù)據(jù)庫(kù)的參數(shù)配置、調(diào)優(yōu),編制文檔并保持更新;
c) 應(yīng)定期對(duì)數(shù)據(jù)庫(kù)容量進(jìn)行檢查和評(píng)估,形成評(píng)估報(bào)告;
d) 應(yīng)負(fù)責(zé)管理數(shù)據(jù)庫(kù)、表、索引、存儲(chǔ)過(guò)程,數(shù)據(jù)庫(kù)的升級(jí)、優(yōu)化、擴(kuò)容、遷移;
e) 應(yīng)定期檢查數(shù)據(jù)庫(kù)的用戶、口令及權(quán)限設(shè)置的正確性。
5.6.5 證券期貨機(jī)構(gòu)用戶和口令管理應(yīng)符合如下要求:
a) 不得設(shè)置弱口令,若系統(tǒng)條件允許,口令應(yīng)采用數(shù)字、字母、符號(hào)混排且無(wú)規(guī)律的方式,管理員口令長(zhǎng)度原則上不低于12位;核心交易業(yè)務(wù)系統(tǒng)應(yīng)提示并阻止用戶使用弱口令登錄;
b) 應(yīng)每季度對(duì)管理員口令進(jìn)行修改,更新的管理員口令至少5次內(nèi)不能重復(fù);
c) 應(yīng)用系統(tǒng)的賬戶及口令應(yīng)采用加密方式存儲(chǔ)、傳輸;加密產(chǎn)品的使用應(yīng)符合國(guó)家有關(guān)規(guī)定;
d) 應(yīng)重點(diǎn)加強(qiáng)對(duì)匿名/默認(rèn)用戶的管理,防止被非法使用;
e) 應(yīng)及時(shí)注銷不再使用的賬戶;
f) 應(yīng)明確責(zé)任人,負(fù)責(zé)統(tǒng)一保管、安全存放管理員口令,不得泄漏。
5.6.6 證券期貨機(jī)構(gòu)權(quán)限管理應(yīng)包括如下要求:
a) 權(quán)限分配應(yīng)履行審批手續(xù),權(quán)限設(shè)置后應(yīng)復(fù)核;
b) 應(yīng)按照最小安全訪問(wèn)原則分配用戶權(quán)限;
c) 應(yīng)建立權(quán)限分配表,對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行合理分配,對(duì)文件系統(tǒng)訪問(wèn)權(quán)限進(jìn)行合理設(shè)置,編制文檔并保持更新;
d) 應(yīng)在用戶賬戶變化時(shí),同時(shí)變更或撤銷其權(quán)限;
e) 應(yīng)定期檢查權(quán)限設(shè)置的有效性。
5.7 安全管理
5.7.1 證券期貨機(jī)構(gòu)應(yīng)建立安全管理制度,覆蓋安全策略的制定、實(shí)施、檢查、評(píng)估、改進(jìn)等全過(guò)程。
5.7.2 證券期貨機(jī)構(gòu)應(yīng)指定專人擔(dān)任安全管理員,負(fù)責(zé)信息安全管理工作;在自身能力不足的情況下,可外聘安全機(jī)構(gòu)協(xié)助完成。
5.7.3 證券期貨機(jī)構(gòu)應(yīng)采取安全防護(hù)措施,包括:
a) 應(yīng)對(duì)所有服務(wù)器和終端設(shè)備安裝防木馬、病毒軟件,建立統(tǒng)一病毒和木馬防護(hù)機(jī)制。因故不能安裝防病毒軟件的,應(yīng)采取其他等效的安全防護(hù)措施;
b) 應(yīng)在充分評(píng)估的基礎(chǔ)上,對(duì)所有服務(wù)器和終端設(shè)備進(jìn)行補(bǔ)丁升級(jí);補(bǔ)丁升級(jí)前進(jìn)行測(cè)試驗(yàn)證;
c) 應(yīng)綜合運(yùn)用防火墻、入侵檢測(cè)等安全設(shè)備,保護(hù)網(wǎng)絡(luò)與系統(tǒng);應(yīng)正確設(shè)置安全設(shè)備的接口參數(shù)和過(guò)濾規(guī)則;
d) 應(yīng)對(duì)新上線的設(shè)備在接入運(yùn)行網(wǎng)絡(luò)前進(jìn)行全面的安全檢查;
e) 應(yīng)采取限制IP登錄等手段,控制對(duì)交易業(yè)務(wù)主機(jī)、主干網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的訪問(wèn);
f) 原則上不得通過(guò)互聯(lián)網(wǎng)對(duì)防火墻、網(wǎng)絡(luò)設(shè)備、服務(wù)器進(jìn)行遠(yuǎn)程管理和維護(hù),特殊緊急情況下應(yīng)采取限制登錄IP、數(shù)字證書或動(dòng)態(tài)口令認(rèn)證、全程監(jiān)控等措施,在操作完成后應(yīng)及時(shí)關(guān)
閉,并對(duì)維護(hù)過(guò)程進(jìn)行監(jiān)控并留存記錄;
g) 原則上不得在交易時(shí)段對(duì)交易業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、系統(tǒng)設(shè)備進(jìn)行更換或變更配置;
h) 原則上不允許通過(guò)無(wú)線網(wǎng)絡(luò)對(duì)交易業(yè)務(wù)網(wǎng)進(jìn)行網(wǎng)絡(luò)管理;
i) 應(yīng)設(shè)置抵御連續(xù)猜測(cè)等對(duì)客戶賬戶惡意攻擊行為的策略;
j) 應(yīng)對(duì)門戶網(wǎng)站建立防篡改機(jī)制,防止網(wǎng)頁(yè)內(nèi)容、可下載的客戶端軟件等被未經(jīng)授權(quán)的修改;
k) 門戶網(wǎng)站不得存放客戶資料、交易數(shù)據(jù)等客戶敏感數(shù)據(jù);
5.7.4 證券期貨機(jī)構(gòu)應(yīng)定期進(jìn)行安全檢查,包括:
a) 應(yīng)定期對(duì)服務(wù)器進(jìn)行全面病毒掃描,但不得在交易時(shí)段內(nèi)進(jìn)行;
b) 應(yīng)建立定期掃描并修補(bǔ)漏洞的工作機(jī)制,定義掃描檢測(cè)的內(nèi)容和程序,明確漏洞掃描工具和掃描頻率,記錄掃描結(jié)果及處理情況;
c) 應(yīng)按規(guī)定開展信息系統(tǒng)安全等級(jí)保護(hù)自查或測(cè)評(píng);
5.7.5 對(duì)證券期貨行業(yè)內(nèi)通報(bào)的重大安全隱患,應(yīng)立即進(jìn)行專項(xiàng)安全檢查。
5.7.6 證券期貨機(jī)構(gòu)應(yīng)對(duì)安全檢查情況進(jìn)行評(píng)估,形成評(píng)估報(bào)告。
5.7.7 證券期貨機(jī)構(gòu)安全管理員應(yīng)督促解決檢查、測(cè)評(píng)、評(píng)估中發(fā)現(xiàn)的風(fēng)險(xiǎn)隱患。
5.8 事件與問(wèn)題管理
5.8.1 證券期貨機(jī)構(gòu)應(yīng)建立事件管理流程,對(duì)信息系統(tǒng)運(yùn)維事件的處理進(jìn)行規(guī)范。
5.8.2 證券期貨機(jī)構(gòu)應(yīng)指定人員負(fù)責(zé)設(shè)計(jì)和管理事件的記錄、分級(jí)、分派、處理、監(jiān)控和結(jié)束整個(gè)流程。
5.8.3 證券期貨機(jī)構(gòu)應(yīng)記錄運(yùn)維過(guò)程中發(fā)生的所有事件,根據(jù)事件的影響程度和影響范圍評(píng)估事件處理優(yōu)先級(jí)及時(shí)處理。
5.8.4 證券期貨機(jī)構(gòu)應(yīng)對(duì)所有事件響應(yīng)、處理、結(jié)束等過(guò)程進(jìn)行跟蹤、督促及檢查。
5.8.5 證券期貨機(jī)構(gòu)應(yīng)每月回顧、分析事件處理記錄,完成事件分析報(bào)告。
5.8.6 證券期貨機(jī)構(gòu)應(yīng)將運(yùn)維過(guò)程中重復(fù)發(fā)生的事件、重大事件納入問(wèn)題管理。
5.8.7 證券期貨機(jī)構(gòu)應(yīng)建立問(wèn)題管理制度,對(duì)運(yùn)維活動(dòng)中發(fā)現(xiàn)的問(wèn)題進(jìn)行根本解決,并建立問(wèn)題庫(kù)。
5.8.8 證券期貨機(jī)構(gòu)應(yīng)對(duì)問(wèn)題的處理過(guò)程進(jìn)行跟蹤和管理,包括問(wèn)題的識(shí)別、提交、分析、處理、升級(jí)、解決、結(jié)束。
5.8.9 證券期貨機(jī)構(gòu)應(yīng)將監(jiān)控、分析、自查、檢查、測(cè)評(píng)、評(píng)估和事件處理中發(fā)現(xiàn)的問(wèn)題進(jìn)行匯總,并納入問(wèn)題庫(kù)。
5.8.10 證券期貨機(jī)構(gòu)應(yīng)組織對(duì)問(wèn)題進(jìn)行分析、提出解決方案、通過(guò)變更管理審批后部署實(shí)施,并將解決過(guò)程歸納整理并納入問(wèn)題庫(kù)。
6 系統(tǒng)維護(hù)
6.1 交付管理
6.1.1 證券期貨機(jī)構(gòu)應(yīng)建立交付流程,對(duì)建成的信息系統(tǒng)交付運(yùn)行維護(hù)的活動(dòng)進(jìn)行規(guī)范。
6.1.2 證券期貨機(jī)構(gòu)應(yīng)制定交付工作清單,作為雙方交付依據(jù),清單包括信息系統(tǒng)相關(guān)的軟件、硬件、技術(shù)文檔、管理手冊(cè)、使用手冊(cè)、培訓(xùn)材料、相關(guān)工具、協(xié)議和合同等。
6.1.3 證券期貨機(jī)構(gòu)應(yīng)對(duì)運(yùn)維人員和所涉及的相關(guān)各方進(jìn)行培訓(xùn)和說(shuō)明,包括交付事項(xiàng)的目的、范圍、背景、測(cè)試要求、上線實(shí)施要求、驗(yàn)收要求、運(yùn)維要求等。
6.1.4 證券期貨機(jī)構(gòu)應(yīng)制定交付實(shí)施計(jì)劃,劃定交付雙方的職責(zé),交付的步驟,并對(duì)交付過(guò)程留存記錄。
6.2 系統(tǒng)測(cè)試
6.2.1 證券期貨機(jī)構(gòu)應(yīng)建立系統(tǒng)測(cè)試流程,對(duì)系統(tǒng)上線前進(jìn)行的模擬環(huán)境測(cè)試和生產(chǎn)環(huán)境測(cè)試進(jìn)行規(guī)范。
6.2.2 證券期貨機(jī)構(gòu)應(yīng)為系統(tǒng)測(cè)試配備必要的人員和設(shè)備資源,需要時(shí)應(yīng)協(xié)調(diào)關(guān)聯(lián)單位配合測(cè)試。
6.2.3 證券期貨機(jī)構(gòu)應(yīng)根據(jù)系統(tǒng)上線要求制定測(cè)試方案,確定采用的測(cè)試方法和測(cè)試流程。測(cè)試方案及測(cè)試用例應(yīng)覆蓋功能、性能、容量、安全性、穩(wěn)定性等方面。測(cè)試完成后應(yīng)對(duì)測(cè)試結(jié)果
進(jìn)行分析評(píng)估,并給出測(cè)試報(bào)告。
6.2.4 模擬環(huán)境測(cè)試的要求如下:
a) 應(yīng)建立獨(dú)立的模擬環(huán)境。模擬環(huán)境應(yīng)在邏輯架構(gòu)上和生產(chǎn)環(huán)境一致。模擬環(huán)境應(yīng)與生產(chǎn)環(huán)境進(jìn)行分離,不得對(duì)生產(chǎn)環(huán)境進(jìn)行干擾;
b) 應(yīng)根據(jù)測(cè)試方案的設(shè)計(jì),合理配置測(cè)試所需的設(shè)備,識(shí)別設(shè)備不同可能帶來(lái)的測(cè)試結(jié)果正確性風(fēng)險(xiǎn);
c) 可根據(jù)需要,要求生產(chǎn)系統(tǒng)運(yùn)維人員和業(yè)務(wù)部門組織業(yè)務(wù)人員參與測(cè)試;
d) 模擬環(huán)境使用的密碼應(yīng)與生產(chǎn)系統(tǒng)嚴(yán)格區(qū)分,系統(tǒng)管理員宜由不同的人員擔(dān)任。
6.2.5 生產(chǎn)環(huán)境測(cè)試的要求如下:
a) 測(cè)試前應(yīng)備份當(dāng)前系統(tǒng)的數(shù)據(jù)和配置;
b) 應(yīng)提前發(fā)布系統(tǒng)測(cè)試公告;
c) 應(yīng)由生產(chǎn)系統(tǒng)運(yùn)維人員在生產(chǎn)環(huán)境下組織完成;
d) 應(yīng)根據(jù)需要,要求業(yè)務(wù)部門組織業(yè)務(wù)人員參與測(cè)試;
e) 根據(jù)測(cè)試的結(jié)果設(shè)計(jì)系統(tǒng)升級(jí)過(guò)程及應(yīng)急預(yù)案;
f) 如果測(cè)試內(nèi)容涉及其他相關(guān)系統(tǒng),應(yīng)協(xié)調(diào)其他系統(tǒng)用戶參與測(cè)試;
g) 涉及核心交易業(yè)務(wù)系統(tǒng)的上線測(cè)試,應(yīng)組織全市場(chǎng)或全公司各相關(guān)部門測(cè)試;
h) 測(cè)試后應(yīng)恢復(fù)生產(chǎn)環(huán)境并驗(yàn)證恢復(fù)的有效性;
i) 交易時(shí)段不得使用生產(chǎn)環(huán)境進(jìn)行測(cè)試。
6.3 系統(tǒng)變更
6.3.1 證券期貨機(jī)構(gòu)應(yīng)建立系統(tǒng)變更流程,對(duì)信息系統(tǒng)的變更活動(dòng)進(jìn)行規(guī)范。
6.3.2 證券期貨機(jī)構(gòu)應(yīng)明確系統(tǒng)變更中的角色,至少包括:申請(qǐng)人、審批人、實(shí)施人、復(fù)核人。
6.3.3 變更申請(qǐng)人應(yīng)提交正式的變更申請(qǐng),申請(qǐng)中應(yīng)有明確的變更方案,內(nèi)容至少包括:目標(biāo)、對(duì)象、時(shí)間、人員、緊急程度、操作步驟、測(cè)試方案、實(shí)施方案、風(fēng)險(xiǎn)防控措施、應(yīng)急預(yù)案、
回退方案等。
6.3.4 變更審批人應(yīng)在充分評(píng)估變更的技術(shù)風(fēng)險(xiǎn)和業(yè)務(wù)風(fēng)險(xiǎn)的基礎(chǔ)上進(jìn)行審批,審批記錄應(yīng)留痕并滿足審計(jì)需要。
6.3.5 變更審批人應(yīng)確定變更實(shí)施時(shí)間窗口,除緊急變更外,不得在交易時(shí)段進(jìn)行變更實(shí)施。
6.3.6 應(yīng)按照測(cè)試方案,組織變更前后的測(cè)試,測(cè)試后應(yīng)提交測(cè)試記錄或報(bào)告。
6.3.7 變更實(shí)施人應(yīng)按照變更實(shí)施方案進(jìn)行變更,并及時(shí)更新配置庫(kù)。
6.3.8 變更復(fù)核人應(yīng)對(duì)變更記錄和變更結(jié)果進(jìn)行評(píng)估,評(píng)估內(nèi)容應(yīng)至少包括變更目標(biāo)的達(dá)成情況、對(duì)生產(chǎn)環(huán)境的影響、配置庫(kù)更新情況。
6.4 配置管理
6.4.1 證券期貨機(jī)構(gòu)應(yīng)制定配置管理流程,明確配置管理負(fù)責(zé)人。
6.4.2 證券期貨機(jī)構(gòu)應(yīng)建立配置庫(kù),對(duì)交易業(yè)務(wù)系統(tǒng)的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、安全設(shè)備,操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫(kù)等進(jìn)行管理。
6.4.3 證券期貨機(jī)構(gòu)應(yīng)合理設(shè)置配置庫(kù)中配置項(xiàng)的屬性,要求如下:
a) 配置項(xiàng)屬性至少包括編號(hào)、名稱、描述、維護(hù)責(zé)任人、運(yùn)行狀態(tài)、關(guān)聯(lián)關(guān)系等;
b) 配置項(xiàng)編號(hào)應(yīng)唯一;
c) 配置項(xiàng)的添加、修改、替換、刪除應(yīng)有變更記錄;
d) 應(yīng)保存配置項(xiàng)歷史記錄,確保與事件管理、問(wèn)題管理、變更管理等流程記錄的關(guān)聯(lián)性。
6.4.4 證券期貨機(jī)構(gòu)應(yīng)定期對(duì)配置庫(kù)進(jìn)行備份。
6.4.5 證券期貨機(jī)構(gòu)應(yīng)及時(shí)檢查并定期審計(jì)配置庫(kù),對(duì)發(fā)現(xiàn)的不一致情況及時(shí)糾正,并留存記錄。
7 應(yīng)急管理
7.1 應(yīng)急準(zhǔn)備
7.1.1 證券期貨機(jī)構(gòu)應(yīng)建立健全網(wǎng)絡(luò)與信息安全事件應(yīng)急處置組織體系,明確網(wǎng)絡(luò)與信息安全事件的應(yīng)急指揮決策機(jī)構(gòu)和執(zhí)行機(jī)構(gòu),負(fù)責(zé)網(wǎng)絡(luò)與信息安全事件的預(yù)防預(yù)警、應(yīng)急處置、報(bào)告和
調(diào)查處理工作。
7.1.2 證券期貨機(jī)構(gòu)網(wǎng)絡(luò)與信息安全事件應(yīng)急處置指揮決策機(jī)構(gòu)應(yīng)由主要領(lǐng)導(dǎo)負(fù)責(zé),成員包括但不限于業(yè)務(wù)、技術(shù)、風(fēng)險(xiǎn)控制、結(jié)算、財(cái)務(wù)、客服、安保及綜合等有關(guān)部門的負(fù)責(zé)人。
7.1.3 證券期貨機(jī)構(gòu)應(yīng)明確網(wǎng)絡(luò)與信息安全事件應(yīng)急決策機(jī)制,以及決策遞補(bǔ)順序,確保各種情況下,有人負(fù)責(zé)決策和報(bào)告。
7.1.4 網(wǎng)絡(luò)與信息安全事件應(yīng)急管理應(yīng)遵循“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”,“統(tǒng)一指揮、密切協(xié)同;注重預(yù)防、減少風(fēng)險(xiǎn);科學(xué)處置、及時(shí)報(bào)告;以人為本、公平優(yōu)先”的原則。
7.1.5 證券期貨機(jī)構(gòu)應(yīng)制定網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案,內(nèi)容至少包括:
a) 應(yīng)急預(yù)案編制的目的和依據(jù);
b) 應(yīng)急預(yù)案的適用范圍;
c) 應(yīng)急處置的組織體系及職責(zé);
d) 預(yù)防措施、保障措施與應(yīng)急準(zhǔn)備;
e) 預(yù)警監(jiān)測(cè)、處置和信息報(bào)送;
f) 網(wǎng)絡(luò)與信息安全事件的分級(jí)分類;
g) 網(wǎng)絡(luò)與信息安全事件的報(bào)告流程;
h) 網(wǎng)絡(luò)與信息安全事件處置的一般原則;
i) 網(wǎng)絡(luò)與信息安全事件處置的具體方案;
j) 網(wǎng)絡(luò)與信息安全事件內(nèi)部調(diào)查處理以及分析總結(jié)的要求。
7.1.6 應(yīng)急預(yù)案應(yīng)符合如下要求:
a) 網(wǎng)絡(luò)與信息安全事件處置的具體方案應(yīng)包括各種可能發(fā)生的技術(shù)故障的應(yīng)急處置流程、報(bào)告流程等;
b) 應(yīng)針對(duì)各種技術(shù)故障擬定統(tǒng)一的解釋口徑和通知公告模板;
c) 應(yīng)每年至少進(jìn)行一次評(píng)估,并及時(shí)修訂;
d) 應(yīng)根據(jù)應(yīng)急演練的情況進(jìn)行評(píng)估和更新;
e) 核心機(jī)構(gòu)應(yīng)向中國(guó)證監(jiān)會(huì)報(bào)備;經(jīng)營(yíng)機(jī)構(gòu)應(yīng)向住所地證監(jiān)局報(bào)備;
f) 在應(yīng)急預(yù)案發(fā)生重大變化時(shí),應(yīng)及時(shí)重新報(bào)備。
7.1.7 應(yīng)急準(zhǔn)備應(yīng)符合如下要求:
a) 值班負(fù)責(zé)人和信息技術(shù)負(fù)責(zé)人應(yīng)負(fù)責(zé)信息安全應(yīng)急值守;
b) 系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、安全管理員等關(guān)鍵崗位應(yīng)熟練掌握應(yīng)急預(yù)案,能有效處置網(wǎng)絡(luò)與信息安全事件;
c) 在自身力量不足以滿足應(yīng)急要求的情況下,應(yīng)與相關(guān)單位簽訂通信、消防、電力設(shè)備、空調(diào)設(shè)備、軟硬件產(chǎn)品、安全服務(wù)等的應(yīng)急響應(yīng)及服務(wù)保障協(xié)議。協(xié)議內(nèi)容應(yīng)包括雙方聯(lián)系人
、聯(lián)系方式、服務(wù)內(nèi)容及范圍、應(yīng)急處理方式等。應(yīng)定期檢查和評(píng)估協(xié)議的執(zhí)行情況,確保服務(wù)保障措施落實(shí)到位,確保在應(yīng)急處置中相關(guān)單位能提供及時(shí)有效的技術(shù)支持;
d) 應(yīng)建立有效的應(yīng)急通訊聯(lián)絡(luò)系統(tǒng),確保信息暢通;
e) 應(yīng)制定應(yīng)急處置聯(lián)絡(luò)手冊(cè),明確詳細(xì)的聯(lián)絡(luò)方式,并及時(shí)更新,在發(fā)生變化時(shí)及時(shí)通知相關(guān)單位。應(yīng)急處置聯(lián)絡(luò)手冊(cè)至少包括應(yīng)急處置組織體系及相關(guān)關(guān)聯(lián)單位的應(yīng)急聯(lián)絡(luò)方式;
f) 應(yīng)指定通報(bào)聯(lián)絡(luò)人,明確聯(lián)絡(luò)方式。通報(bào)聯(lián)絡(luò)人至少包括信息技術(shù)負(fù)責(zé)人及其備崗。通報(bào)聯(lián)絡(luò)方式至少包括應(yīng)急值守電話與傳真。應(yīng)將通報(bào)聯(lián)絡(luò)人及其聯(lián)絡(luò)方式及時(shí)通知監(jiān)管部門、
行業(yè)協(xié)會(huì)和相關(guān)單位;
g) 應(yīng)實(shí)行7×24小時(shí)聯(lián)絡(luò)制度,通報(bào)聯(lián)絡(luò)人必須保持應(yīng)急值守電話可用;
h) 應(yīng)對(duì)本單位有關(guān)領(lǐng)導(dǎo)和員工定制應(yīng)急工作卡片,明確有關(guān)領(lǐng)導(dǎo)和員工在網(wǎng)絡(luò)與信息安全事件應(yīng)急處置中的關(guān)鍵任務(wù)、主要的應(yīng)急聯(lián)絡(luò)人和聯(lián)絡(luò)方式;
i) 應(yīng)準(zhǔn)備信息系統(tǒng)技術(shù)資料和軟件備份。至少包括網(wǎng)絡(luò)拓?fù)鋱D、設(shè)備配置參數(shù)、各種系統(tǒng)軟件和應(yīng)用程序、安裝使用手冊(cè)、應(yīng)急操作手冊(cè)等;
j) 應(yīng)準(zhǔn)備充足的重要設(shè)備備品配件,并進(jìn)行定期評(píng)估、檢測(cè)和維護(hù);
k) 應(yīng)事先儲(chǔ)備一定數(shù)量的通訊、消防、應(yīng)急照明等應(yīng)急設(shè)備或物資并定期盤點(diǎn),對(duì)于有時(shí)效性的應(yīng)急物資應(yīng)做到及時(shí)更新;
l) 應(yīng)準(zhǔn)備應(yīng)急保障資金,確保應(yīng)急處置中能及時(shí)采購(gòu)應(yīng)急設(shè)備或物資。
7.1.8 應(yīng)急演練應(yīng)符合如下要求:
a) 應(yīng)根據(jù)應(yīng)急預(yù)案的內(nèi)容,制定詳細(xì)的應(yīng)急演練計(jì)劃。計(jì)劃至少包括演練的目的、內(nèi)容、時(shí)間、參與方、方式、前期準(zhǔn)備情況、統(tǒng)計(jì)與記錄要求、系統(tǒng)恢復(fù)與驗(yàn)證要求等內(nèi)容;
b) 每半年應(yīng)至少組織一次網(wǎng)絡(luò)與信息安全應(yīng)急演練;
c) 應(yīng)記錄演練情況,演練記錄至少保存兩年;
證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范
不分頁(yè)顯示 總共2頁(yè) 1
[2] 下一頁(yè)
