《《期货公司信息技术理指引 》》由会员分享,可在线阅读,更多相关《《期货公司信息技术理指引 》(220页珍藏版)》请在金锄头文库上搜索。
1、 期货公司信息技术管理指引检查细则版本号:1.01中国期货业协会二O一四年八月二十七日目录1 .总则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 . 1 范围. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2、 . . . . . . . . . . . . . . . . . . . .11 . 2 术语和定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 . 2 . 1检查方式. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3、. . 11 . 2 . 2 检查对象. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 . 2 . 3 检查措施. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 . 2 . 4 检查结果. . . . . . . . . .
4、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 . 3 检查原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 . 3 . 1客观公正原则. . . . . . . . . . . . . . . . . . . . . . . .
5、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 . 3 . 2 检查结果二元原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 . 3 . 3 证明材料验证原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 . 3 .
6、 4 进入机房原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 . 3 . 5 测试被检查单位系统的原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 . 3 . 6 保密原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7、. . . . . . . . . . . . . . . . . . . . . . . . . 21 . 4 检查技术等级判定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 . 4 . 1完全达到某章要求的定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 . 4 . 2 基本达到某章要求的定
8、义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 . 4 . 3 达到等级类的定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 . 5 其他检查说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9、 . . . . . . . . . . . . . . . . . . 22 . 一类要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 . 1技术管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10、 . . . . . . . .22 . 1 . 1组织结构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 . 1 . 2 培训. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52 . 1 . 3 人员素质. .
11、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72 . 1 . 4 信息技术服务提供商管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 . 1 . 5 I T 投入. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12、. . . . . . . . . . . . . . . . . . . . . . . . . . . . .82 . 2 机房建设. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 . 2 . 1 基本. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13、 . . . . . . . . . . . . . . . . .92 . 2 . 2 供电. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 02 . 2 . 3 空调. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14、. . . .1 12 . 2 . 4 布线. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 22 . 3核心系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 22 . 3 . 1 功能.
15、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 22 . 3 . 2 性能和容量. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 52 . 3 . 3 交易系统冗余. . . . . . . . . . . . . . . .
16、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 62 . 3 . 4 行情冗余. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 72 . 3 . 5 银期系统冗余. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17、. . . . . . . . . . . . . . . 1 72 . 4 安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 82 . 4 . 1网络隔离. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18、 . 1 82 . 4 . 2 防病毒、补丁和安全加固. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2 02 . 4 . 3网站安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 12 . 4 . 4 网上交易安全. . . . . . . . . . . . . . . . . . . . . . .
19、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 22 . 4 . 5 账户与权限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 42 . 4 . 6 口令管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20、. . . . . . . . 2 52 . 4 . 7 安全审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 62 . 5 日常运行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2 72 . 5 . 1 岗位. .
21、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2 72 . 5 . 2 制度与巡检. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 82 . 5 . 3 机房进出. . . . . . . . . . . . . . . . . . . .
22、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 02 . 6 备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 12 . 6 . 1数据备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23、 . . . . . . . . . . . . . . . . . . . . . .3 12 . 7系统维护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 32 . 7 . 1变更管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24、. . . . . . .3 32 . 7 . 2 配置管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 62 . 7 . 3 容量管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 62 . 7 . 4 应急演练. . . . .
25、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 72 . 7 . 5 技术事故管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 82 . 8营业部技术要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26、 . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 92 . 8 . 1 基本要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 92 . 8 . 2 交易保障. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27、. . . . . . . 4 13 . 二类要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 23 . 1技术管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
28、23 . 1 . 1组织结构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 23 . 1 . 2 培训. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 53 . 1 . 3 人员素质. . . . . . . . . .
29、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 73 . 1 . 4 信息技术服务提供商管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 73 . 1 . 5 I T 投入. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30、 . . . . . . . . . . . . . . . . . .4 93 . 2 机房建设. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 93 . 2 . 1 基本. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31、. . . . . . . 4 93 . 2 . 2 供电. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 13 . 2 . 3 空调. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 23 . 2 .
32、 4 布线. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 33 . 2 . 5 维护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 43 . 3核心系统. . . . . . . . . . . .
33、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 43 . 3 . 1 功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 43 . 3 . 2 性能和容量. . . . . . . . . . . . . . . . . . . . .
34、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 73 . 3 . 3 交易系统冗余. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 03 . 3 . 4行情冗余. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35、 . . . . . . . . . . .6 13 . 3 . 5 银期系统冗余. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 23 . 4 安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 23 .
36、 4 . 1网络隔离. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 23 . 4 . 2 防病毒、补丁和安全加固. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 4II3. 4 .3 网站安全. . . . . . . . . . . . . . . . . . . . . . . . .
37、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663. 4 .4 网上交易安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683. 4. 5 贝长户与权限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38、. . . 693. 4.6 口令管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703. 4 .7 安全审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713 . 5 日常运行. . . . . . . . . . . . . . .
39、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .723. 5. 1 岗位. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723. 5 .2 制度与巡检. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40、 . . . . . . . . . . . . . . . . . . . . . . . . . 743. 5 .3 机房进出. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773 .6 备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41、. . . . . . . . . 783. 6 .1 数据备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .783. 7 系统维护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803. 7. 1 变更管理.
42、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .803. 7 .2 配置管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .843. 7 .3 容量管理. . . . . . . . . . . . . . . . . . . . . . . .
43、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .853. 7 .4 应急演练. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .853. 7 .5 技术事故管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
44、. . . . . . . 873.8 营业部技术要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .883. 8. 1 基本要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .883. 8 .2 交易保障. . . . . . . . . .
45、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904 . 三类要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 914. 1 技术管理. . . . . . . . . . . . . . . . . . . . . . . .
46、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 914. 1. 1 组织结构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .914. 1.2 培训. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47、. . . . . . . . . . . . . . . . . .944. 1. 3 人员素质. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .954. 1 .4 信息技术服务提供商管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .964. 1. 5 n投入. . . . . . . . . . .
48、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .974 .2 机房建设. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 984. 2. 1 基本. . . . . . . . . . . . . . . . . . . . . . . . . . . .
49、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .984. 2. 2 供电. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1014. 2.3 空调. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50、 . . . . . . . . . . . . 1034. 2. 4 布线. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1044. 2. 5 维护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1054. 3 核心系统. .
51、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1064. 3. 1 功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1064. 3 .2 性能和容量. . . . . . . . . . . . . . . .
52、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1094. 3. 3 交易系统冗余. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1124. 3. 4 行情冗余. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53、 . . . . . . . . . .1134. 3 .5 银期系统冗余. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1144.4 安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1144. 4. 1 网络隔离. . . .
54、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1144. 4 .2 防病毒、补丁和安全加固. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1164. 4. 3 网站安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55、 . . . . . . . . . . . . . . . .1184. 4 .4 网上交易安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121III4. 4 .5 账户与权限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1234. 4.6 口 令管理. . .
56、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1244. 4 .7 安全审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1254 . 5 日常运行. . . . . . . . . . . . . . . . . . . . . . . . . . . .
57、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1264. 5. 1 岗位. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1264. 5 .2 制度与巡检. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58、 . . . . . . . . . . . . .1284. 5 .3 机房进出. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1314.6 备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1324.
59、 6 .1 数据备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1324. 6 .2 灾难备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1354. 7 系统维护. . . . . . . . . . . . . . . . . . . . .
60、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1394. 7. 1 变更管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1394. 7 .2 配置管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61、. . . . . . . . . . . . . . . . . . .1434. 7 .3 容量管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1444. 7 .4 应急演练. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1454. 7 .5
62、技术事故管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1474. 8 营业部技术要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1474. 8. 1 基本要求. . . . . . . . . . . . . . . . . . . . . . . . .
63、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1474. 8 .2 交易保障. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1505 . 四类要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64、 . . . . . . . . . . . . . . .1515. 1 技术管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1515. 1. 1 组织结构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1515. 1
65、. 2 培训. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1545. 1. 3 人员素质. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1565. 1. 4 信息技术服务提供商管理. . . . . . . . . . . .
66、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1565. 1.5 1 1 投入. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1585 .2 机房建设. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67、. . . . . . . . . . . . 1585. 2. 1 基本. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1585. 2.2 供电. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1615. 2.3 空调. . .
68、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1635. 2. 4 布线. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1655. 2. 5 维护. . . . . . . . . . . . . . . . . . . . . . .
69、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1665 .3 核心系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1665. 3. 1 功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70、 . . . . . . . . . . . . . . . . . . .1665. 3 .2 性能和容量. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1705. 3 .3 交易系统冗余. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1725. 3. 4 行情冗余. . .
71、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1745. 3 .5 银期系统冗余. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1745.4 安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
72、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1755. 4. 1 网络隔离. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1755. 4 .2 防病毒、补丁和安全加固. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
73、75. 4 .3 网站安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1805. 4 .4 网上交易安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1825. 4 .5 账户与权限. . . . . . . . . . . . . . . . . . . .
74、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185IV5. 4.6 U 令管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1865. 4 .7安全审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75、. . . . . . . . . .1875 .5 日常运行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1885. 5. 1 岗位. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1885. 5. 2制度与巡检.
76、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1905. 5 .3机房进出. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1945.6 备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1955. 6. 1数据备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1955. 6 .2灾难备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
78、. . . . . .1985. 7系统维护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2015. 7. 1变更管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2015. 7 .2配置管理. . . . . . .
79、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2055. 7 .3容量管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2075. 7 .4应急演练. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80、. . . . . . . . . . . . . . . . . . . . . . . .2085. 7 .5技术事故管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2105 .8营业部技术要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2105. 8.
81、1 基本要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2105. 8 .2交易保障. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213v1 .总则1.1 范围为加强期货公司信息系统建设,提高运维保障水平,依 据 期货公司信息技术管理指引( 以下简称
82、指引) ,特制订针对期货公司信息系统和技术管理的检查细则。依据指引中的四类要求,相应地制定了四类检查要点。从一类到四类,要求依次提高。本检查细则可作为期货行业主管部门、行业协会及期货交易所检查期货公司信息系统和技术管理的指引,也可用于期货公司自查。1 . 2 术语和定义1 . 2 . 1 检查方式检查方式是检查人员为判断被检查单位是否达到某检查项而采取的工作方式。 本检查要点中,检查方式分为检查和访谈两种。检查是通过对被检查单位按照预定的方法/ 工具使其产生特定的行为等活动, 查看、分析输出结果,获取证据以证明其是否达到、满足检查项要求的一种方法。访谈是通过与被检查单位有关人员( 个人/ 群体
83、)进行交流、讨论等活动,获取证据以证明其是否达到、满足检查项要求的一种方法。1 . 2 . 2 检查对象检查对象是指被检查单位的有关人员、相关机制、流程、数据或物理上可见的系统设备。1 . 2 . 3 检查措施检查措施是为判定被检查单位是否达到、 满足检查项要求而采取的工作步骤或者方法 。检查措施包括获取相关的制度、文档和记录,访谈有关人员,检查设备的存在及运行状态等等。除了本检查细则中规定的内容,检查人员可以按照实际情况的需要,检查与要求相关的其他材料。1 . 2 . 4 检查结果检查结果是根据检查措施的执行结果, 对被检查单位是否达到某项技术要求作出的判定,在本检查要点中,判定只能是“ 达
84、到要求” 或 者 “ 未达到要求”两种。必要时,检查结果中还应包括证明该判定的相关材料。1. 3检查原则1 . 3 . 1 客观公正原则检查工作应尽量减少个人主张或判断,在最小主观判断情形下,基于明确定义的检查方法和解释,对每个技术要求项进行检查。1 . 3 . 2 检查结果二元原则对于每一个技术要求项只有达到要求和未达到要求两种结论。 对于被检查单位的等级结论也只有达到某等级类和未达到某等级类两种结论。1 . 3 . 3 证明材料验证原则对于被检查单位提供的证明材料, 应根据具体技术要求项的检查措施进行验证, 证1明材料应符合实际情况。1 . 3 . 4 进入机房原则尽量安排非交易时间进入机
85、房检查, 最佳进入机房时间应为收盘后。1 . 3 . 5 测试被检查单位系统的原则原则上,不应对被检查单位系统进行操作,包括运行程序、脚本等。禁止交易期间操作被检查单位系统。 不应在交易期间要求被检查单位进行各类系统切换测试和升级操作 。1 . 3 . 6 保密原则在检查期间接触到被检查单位的技术、商业机密应严格保密。证明材料中不应包含被检查单位的相关机密。1 . 4 检查技术等级判定1 . 4 . 1 完全达到某章要求的定义如果被检查单位对于某个等级类的某一章( 包括:技术管理、机房建设、核心系统、安全、日常运行、备份、系统维护、营业部要求八大章)所有技术要求项( 包括必须和可选)都能够达到
86、要求,那么该被检查单位就是完全达到该等级类中该章的要求。1 . 4 . 2基本达到某章要求的定义如果被检查单位对于某个等级类的某个章所有要求程度为必须的技术要求项, 都能够达到要求,但不能达到全部或部分可选项的要求,那么该被检查单位就是基本达到该等级类中该章的要求。1 . 4 .3达到等级类的定义如果被检查单位对于某个等级的各章,至多只有两章是基本达到要求,其它章都是完全达到要求,那么该被检查单位即达到了该等级类的要求。1 . 5 其他检查说明本检查细则中要求的所有人员,除特别指出是专职的以外,都可以兼任。本检查细则中涉及的所有对营业部的检查,原则上都不进行现场检查。正在筹建中的,尚未正式开展
87、业务的营业部不需要检查。但需要检查的营业部中,只要有一个营业部不能达到某技术要求项,则该期货公司就不能达到该技术要求项。所有需要提交的证明材料, 应以电子版方式提交, 纸质证明文件应扫描为电子文件。材料清单和声明文件应以纸质方式提交并加盖公司公章。2. 一类要求2 . 1 技术管理2 . 1 . 1 组织结构2 . 1 . 1 . 1 必须 新增应设有技术部门并有专职技术人员,并有明确的职责分工和岗位说明。检查方式访谈,检查检查对象2期货公司人力资源相关人员,岗位职责检查措施a )访谈期货公司, 提供技术部门员工的情况说明, 包括人员信息、 岗位和基本职责;b )检查技术人员的岗位说明村和技术
88、部门组织架构说明, 查看是否有职责划分不清或是否遗漏重要职责划分,技术人员不得从事开户、风控、资金存取、结算等关键业务操作。检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司技术部门员工的情况说明和组织架构说明,作为证明材料。2 . 1 . 1 . 2 必须 新增总部技术部门人员总数占公司总部人数的比例不少于8 % 检 查方式访谈,检查检 查对象期货公司人力资源相关人员检 查措施a )访谈期货公司, 提供技术部门员工的情况说明, 应包括总部技术部门人员名单及占比情况计算;b )检查期货公司正式员工花名册及员工人数统计( 以与公司签订劳动合同,
89、 且具有期货从业资格为准);c )检查期货公司技术部门技术人员的简历及工资单,是否符合情况说明。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司技术部门员工的情况说明,作为证明材料。2 . 1 . 1 . 3 必须 新增总部技术部门人员不少于5 人,对于开展连续交易的期货公司应达到7 人。检 查方式访谈,检查检 查对象期货公司人力资源相关人员检 查措施a )检查期货公司总部技术部门员工人数是否达到5 人, 对广开展连续交易的公司应达到7 人 ( 以与公司签订劳动合同,且具有期货从业资格为准);对于与母公司共用机房,并由母公司提供机房运维服
90、务,或与第三方签署机房基础设施运维协议的期货公司,可在总部技术部门总人数最低要求的基础上最多核减2人。 检查结果a )符合上述a ) 的检查措施,才达到本检查项的要求;b )获取期货公司技术部门员工的情况说明, 作为证明材料- ( 可使用上一项的证明材料)。2 . 1 . 1 . 4 必须 新增应建立负责本公司信息技术规划和信息安全管理的跨部门机构,其职责包括系统规划、安全管理、I T治理等。检查方式访谈,检查检查对象期货公司人力资源相关人员、信息安全管理机构负责人、组织架构3检查措施a)访谈负责信息技术规划和信息安全管理的跨部门机构负责人, 检查其是否清楚信息技术规划和信息安全的职责和工作内
91、容;b)检查期货公司组织架构说明和该机构成立的正式文件;c)检查公司安全管理制度, 信息安全工作的总体方针和安全策略, 说明该机构安全工作的总体目标、范围、原则和安全框架等;d)检查是否召开会议,查看会议记录,是否进行有关规划、安全管理、IT治理等制度和规程制定,是否进行审定和修订、发布落实等。检查结果a)同时符合上述a) -d) 的所有检查措施,才达到本检查项的要求;b)获取期货公司负责信息技术规划和信息安全管理的跨部门机构的组织架构说明和组织成立的正式文件,作为证明材料。2. 1.1.5 必须 新增应与所有总部技术部门人员签署保密协议,应对技术人员的离岗严格管理。检 查方式检查检 查对象保
92、密协议 检查措施a)检查期货公司总部技术人员的保密协议( 或劳动合同中的保密条款);b)检查是否办理了严格的调离手续,检查交接记录。检 查结果a)符合上述a) -b) 的检查措施,才达到本检查项的要求;b)获取期货公司总部技术人员保密协议的首页和签名页( 或劳动合同相关页), 作为证明材料。2. 1.1.6 必须 新增应设立2 名技术联络员,负责组织、协调和处理与信息安全管理部门、交易所及相关单位的各项技术事宜。检 查方式访谈,检查检 查对象期货公司技术部门负责人,技术联络员,联系方式检 查措施a)访谈技术部门负责人是否清楚技术联络员的职责,了解技术联络员更换的流程;b)访谈技术联络员, 抽查
93、各交易所、监管机构、 保证金监控中心、中期协和存管银行等单位和部门的联系方式;c)检查技术联络员是否至少为2 名。检 查结果a)如技术联络员更换的流程中不包含通知交易所和监管机构, 则认为不符合上述检查措施;b)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;c)获取期货公司技术联络员变更相关流程,作为证明材料。2.1.1. 7 必须 新增总部技术部门应有至少1 名安全管理人员。检查方式访谈,检查4 检查对象期货公司人力资源相关人员,技术部安全管理人员,岗位职责 检查措施a)检查期货公司总部安全管理岗人员的个人简历和岗位说明书, 查看是否具有安全管理方面的资质和经历,安全管理人
94、员不可外包;b)访谈期货公司总部安全管理人员, 了解其是否明确岗位职责和工作内容, 评估其是否达到岗位能力要求。检 查结果a)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;b)获取期货公司总部安全管理人员的个人简历、岗位说明书,作为证明材料。2. 1. 1. 8 必须 新增每个营业部应配备至少1名技术人员。检 查方式访谈,检查检 查对象期货公司人力资源相关人员,岗位职责检 查措施a)现场访谈或电话访谈,抽查营业部技术人员,了解其工作职责和日常工作内容;b)检查期货公司营业部的正式员工花名册, 总部应有各营业部的技术人员总表, 包含联系方式( 营业部技术人员不得外包,以与公司签
95、订劳动合同,且具有期货从业资格为准),检查营业部技术人员岗位说明书。检 查结果a)同时符合上述a) -b)项的所有检查措施,才达到本检查项的要求;b)获取各营业部的技术人员总表,作为证明材料。2. 1. 2培训2. 1. 2. 1 必须 新增对所有上岗技术人员应进行岗位培训。检 查方式访谈,检查检 查对象期货公司人力资源相关人员,技术培训检 查措施a)期货公司提供一年内所有上岗技术人员( 包含营业部)岗位培训的书面记录,要包含基本制度及技能培训内容;b)培训记录要求包括培训时间、地点、培训讲师、参加培训的人员等信息,并有参加培训人员的签名;c)抽查一年内的培训记录;d)营业部技术人员应定期参加
96、协会组织的技术培训。检 查结果a)同时符合上述a) -d)的所有检查措施,才达到本检查项的要求;b)获取期货公司上岗技术人员的书面培训抽查的记录,作为证明材料。2.1. 2. 2 必须 新增总部技术部门的所有人员每两年参加期货业协会组织的技术培训应达到18学时,其中至少有3学时的信息技术法律法规及标准培训。检查方式检查检查对象5技术培训检查措施a )检查期货公司近两年参加期货业协会组织的技术培训的清单和协会提供的证明材料;b )培训清单要求包括培训时间、地点、培训讲师、参加培训的人员等信息;c )新入职员工应在两个年度( 含入职当年) 之内完成期货业协会组织的技术培训。检查结果a )同时符合上
97、述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司近两年参加期货业协会组织的技术培训清单,作为证明材料。2 . 1 . 2 . 3 必须 新增应有明确的培训教材,用于培训上岗操作人员。 检查方式检查 检查对象技术培训 检查措施a )检查期货公司的培训教材. ,确定培训教材是否符合岗位实际能力要求;b )培训教材的形式不限,可以是纸质或电子的。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司技术培训教材清单,作为证明材料。2 . 1 . 2 . 4 必须 新增应有对总部技术部门人员的年度培训计划,并根据计划实施。
98、 检查方式检查 检查对象技术培训 检查措施a )检查期货公司对技术员工的年度培训计划;b )检查一年内的技术员工的培训记录,检查执行实施情况。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司对技术员工的年度培训计划和培训记录,作为证明材料。2 . 1 . 2 . 5 必须 新增应定期对各个岗位的人员进行安全教育和培训,培训内容同包含机房消防及相关应急内容等。 检查方式访谈,检查 检查对象期货公司技术部门负责人,技术培训 检查措施a )期货公司提供一年内各岗位人员安全教育的培训记录;b )检查培训内容是否包括机房消防安全教育和应急培训,应急
99、培训内容应包括应急预案、证券期货业信息安全应急处置的有关规定等。 检查结果a )符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司一年内的各岗位人员安全教育的培训记录,作为证明材料。62 . 1 . 3 人员素质2 . 1 . 3 . 1 必须 新增总部技术部门人员5 0 % 以上应有信息技术相关专业大学本科或以上教育背景。 检查方式检查检 查对象人员简历检 查措施a )检查期货公司总部花名册中技术部门人员部分( 以与公司签订劳动合同, 且具有期货从业资格为准);b )期货公司提供总部技术人员的情况说明,包括人员岗位、教育背景;c )检查期货公司总部技术人员中
100、信息技术相关专业大学本科或以上教育背景的是否达至IJ 5 0 % ;d )检查期货公司的总部技术人员的学历证书或个人简历,是否符合情况说明。检 查结果a )同时符合上述a ) - d ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司总部技术人员情况说明,作为证明材料。2 . 1 . 4 信息技术服务提供商管理2 . 1 . 4 . 1 必须 新增应与信息技术服务提供商签订服务保障协议。检 查方式访谈,检查检 查对象期货公司技术部门负责人,信息技术服务提供商管理检 查措施a )访谈期货公司技术部门负责人,了解信息技术服务提供商状况;b )检查期货公司的服务提供商包含服务保障承诺的协议
101、。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司与信息技术服务提供商之间的协议首页和签名页,作为证明材料。2 . 1 . 4 . 2 必须 新增应与核心系统的服务提供商签署保密协议。检 查方式检查检 查对象期货公司技术部门负责人,信息技术服务提供商管理检 查措施a )检查期货公司与所有交易结算应用系统供应商( 包括所有席位的系统) 的保密协议或在合同中有保密条款。检 查结果a )符合上述a ) 的检查措施,才达到本检查项的要求;b )获取期货公司与交易结算应用系统供应商的保密协议或带有保密条款的合同的首页和签名页,作为证明材料。2 .
102、1 . 4 . 3 必须 新增应有信息技术服务提供商的准确联系方式。检查方式7检查 检查对象信息技术服务提供商管理,联系方式 检查措施a )期货公司提供所有的服务方联系方式表;b )检查期货公司的服务提供商联系方式表,并抽查准确性。 检查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;b )获取期货公司服务提供商的联系方式表,作为证明材料。2 . 1 . 4 . 4 必须 新增选择信息技术服务提供商时应评估其资质、经营行为、业绩、服务体系和服务品质等要素。 检查方式检查 检查对象信息技术服务提供商管理 检查措施a )访谈期货公司选择服务提供商时的相关评估制度或措施;
103、b )抽查评估记录,评估记录中应包括服务提供商的资质、经营行为、业绩、服务体系和服务品质。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司服务商的评估制度或相关措施说明,以及抽查的评估记录, 作为证明材料。2 . 1 . 4 . 5 必须 新增应定期对信息技术服务提供商的服务质量进行评估。 检查方式访谈,检查 检查对象期货公司技术部门负责人,信息技术服务商管理 检查措施a )访谈期货公司定期评估服务提供商的相关制度或措施;b )访谈期货公司技术部门负责人,了解服务提供商服务质量定期评估的实施情况;c )检查一年内期货公司的服务提供商服务质
104、量的评估报告。检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司定期评估服务提供商的制度或相关措施说明,以及抽查的评估报告,作为证明材料。2 . 1 . 5 I T 投入2 . 1 . 5 . 1 必须 新增最近三个财政年度I T 投入平均数额应不少于最近三个财政年度平均净利润的6% 或不少于最近三个财政年度平均营业收入的3 % , 取二者数额较大者。检查方式检查检查对象财务报表8检查措施a ) I T投入的计算范围包括技术类资产投入、运行、维护、信息技术服务和外包费用,不包括人员薪酬福利,计算方法采用权责发生制;b )检查期货公司前三个财政
105、年度经审计的财务报表;c )检查期货公司的最近三个财政年度I T投入的清单和对应的费用及比例说明;d )对于成立时间不足三年的期货公司,只考虑成立以后的时间。检查结果a )同时符合上述a ) - d )的所有检查措施,才达到本检查项的要求;b )获取期货公司最近三个财政年度I T投入的清单和对应的费用及比例说明,作为证明材料。2 . 2机房建设2 . 2 .1基本2 . 2 . 1 .1 必须 新增机房应为独立封闭区域,并配备门禁。 检查方式检查 检查对象机房基础设施 检查措施a )检查期货公司的机房, 是否为独立封闭区域( 独立封闭区域是指机房内不得包括办公、生活等设施,但可以包括监控终端)
106、,并配备门禁( 门禁应专门控制机房的出入),并获取机房以及门禁的照片;b )检查期货公司的机房平面图纸( 标注机房区域), 图纸中是否为独立区域。 检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取机房以及门禁的照片,以及机房平面图纸作为证明材料。2 .2 . 1 .2 必须 新增机房应具备火警检测、灭火和应急照明设施。 检查方式访谈,检查 检查对象机房基础设施 检查措施a )期货公司提供机房情况说明, 包括火警检测、 灭火和应急照明设施等信息; 检戊机房消防报验或报备材料;b )检查期货公司的机房的火警检测设施, 是否符合情况说明( 火警检测设施应分
107、布于机房的每个独立房间);c )检查期货公司的机房的灭火设施,是否符合情况说明;d )检查期货公司的机房的应急照明设施,是否符合情况说明。 检查结果a )同时符合上述a ) - d )的所有检查措施,才达到本检查项的要求;b )获取期货公司机房情况说明,作为证明材料。2 .2 . 1 .3 必须 新增机房出入口和内部应安装7 * 2 4小时录像监控设施,录像至少保存9 0天。检查方式9检查 检查对象机房管理 检查措施a )期货公司提供机房情况说明, 包括机房出入口和内部的录像监控设施和录像保存措施等信息;b )检查期货公司的机房的出入口和内部是否安装录像监控设施,是否与a )的情况说明相符;c
108、 )检查近9 0天的机房监控录像,并抽查两个不同日期的录像记录。 检查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司的机房情况说明,作为证明材料。2 . 2 .1 . 4 必须 新增机房应有防雷和接地的设施。 检查方式检查 检查对象机房基础设施 检查措施a )期货公司提供情况说明,包括防雷和接地等措施,以及交流接地、 直流接地、安全工作接地电阻不大于4欧姆,防雷接地电阻不大于1 0欧姆的书面证明材料;b )检查期货公司的机房的防雷和接地设施,是否与a )的情况说明相符;c )检查期货公司的机房防雷和接地设施布置平面图纸,是否与实际相符。 检查结
109、果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司的机房情况说明,作为证明材料2 . 2 .1 . 5 必须 新增应实现声音或短信等自动报警或7 * 2 4小时值守。 检查方式访谈,检查 检查对象技术部门负责人,机房管理 检查措施a )期货公司提供机房情况说明,包括机房报警或值守措施;b )检查机房报警是否实现声音或短信等自动报警,是否符合情况说明;c )如不能自动报警,访谈技术部门负责人,了解是否采取7 * 2 4小时值守的机制,检查期货公司的值守记录,抽查一年内4个时点相应的记录,间隔不小于2个月。 检查结果a )同时符合上述a )和b ) ,或
110、者a )和c )的检查措施,才达到本检查项的要求;b )获取期货公司机房报警或值守的情况说明,作为证明材料。2 . 2. 2供电2 .2 .2 . 1 必须 新增机房应配备在线U P S设施,U P S应当存放在独立封闭区域。检查方式检查检查对象机房U P S10检查措施a )期货公司提供U P S情况说明, 应说明在线U P S设备功率和U P S设备连接方式,U P S应与计算机、网络设备在不同的独立封闭区域;b )检查机房的在线U P S设施,是否符合情况说明。检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司机房的U P S设施的情况说
111、明,作为证明材料。2 . 2 . 2 . 2 必须 新增U P S供电时间应超过从断电到发电机启动或者应急供电协议规定到场响应时间的2倍。如无发电设备,U P S的电池应能够支撑4个小时。检 查方式检查检 查对象机房供电设施检 查措施a )期货公司提供U P S供电情况说明:b )如果没有发电设备, 那么计算U P S在保证业务支撑时间的前提下, 持续供电的时间应当至少达到4小时:计算时,根据U P S和电池的实际用电量进行计算;c )如果有发电设备或者应急供电协议, 那么计算U P S可以支撑从断电到发电机启动或者应急供电协议规定响应到场时间的2倍;计算时,根据U P S和电池的实际用电量进
112、行计算;有发电设备的,开始供电时间根据发出设备的说明;有应急供电协议的,开始供电时间根据协议规定;d)检查两年内的电力切换演练记录;e )检查机房的供电系统图,与实际情况是否相符。检 查结果a )符合上述a )、b )、d)和e ),或者a )、c )、d)和e )的检查措施,才达到本检查项的要求;b )获取期货公司的U P S和发电机( 或应急供电协议)供电情况说明作为证明材料。2 . 2.3空调2 . 2 . 3 . 1 必须 新增应配有与机房热容量匹配的空调。检 查方式检查检 查对象期货公司机房空调设备及相关负责人检 查措施a )期货公司提供机房空调情况说明,包括空调的正常温度;b )检
113、查期货公司机房空调情况说明, 空调热容量是否与机房中配置的设备功率相匹配。检 查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司机房空调情况说明作为证明材料。2 . 2 . 3 . 2 必须 新增对机房温湿度应有监控措施和记录。检查方式检查检查对象11机房管理检查措施a)检查期货公司近一年内机房温度、 湿度的监控记录。如采用人工监捽方式,每 : 大应至少记录3个时点的温湿度情况( 每个连续交易时段至少记录1个时点);如采用自动化监控方式, 则监控时间应覆盖交易时间, 监控工具应能实现短信自动报警,并能导出监控记录:b)检查机房内除空调显示外的温湿
114、度检测点是否真实存在, 抽查其中三天的监控记录,时间间隔不小于两个月。检查结果a)同时符合上述a) -b)的检查措施,才达到本检查项的要求;b)获取被抽查的期货公司机房温度、湿度监控记录,作为证明材料。2. 2 . 4布线2. 2. 4. 1 必须 新增所有弱电布线应有清晰的线标。 检查方式检查检 查对象机房管理检 查措施a)期货公司提供机房线标规划方案;线标上应当可以直接或者可以通过查表的方式,明确知道该线连接的位置和用途;b)抽查期货公司机房弱电线标是否根据规划实施。检 查结果a)同时符合上述a) - b)的检查措施,才达到本检查项的要求;b)获取机房线标规划方案,作为证明材料。2. 3核
115、心系统2. 3 . 1功能2. 3. 1. 1 必须 新增交易系统应实现数据与应用分离,防止客户终端绕过应用程序界面直接访问核心数据。 检查方式访谈,检查检 查对象技术部门负责人,期货公司交易系统检 查措施a)访谈期货公司技术部门负责人交易系统的软件来源、版本情况、软件架构说明;b)检查软件架构说明, 不应存在客户终端直接使用数据库接口, 访问核心数据的情况;c)检查软件架构说明, 不应存在为客户终端或者管理员终端提供通用的直接修改核心数据的方法。检 查结果a)同时符合上述a) -c )的所有检查措施,才达到本检查项的要求;b)获取期货公司交易系统的软件来源、版本情况、软件架构说明,作为证明材
116、料。2. 3.1. 2 必须 新增交易系统应具备对客户进行实时风险控制的功能。12 检查方式访谈,检查 检查对象技术部门负责人,期货公司交易系统风险控制措施 检查措施a )访谈期货公司技术部门负责人交易系统对客户的实时风险控制措施;b )期货公司提供情况说明, 包括交易系统对客户的实时风险控制措施, 至少应具备强行平仓和防止保证金透支的功能;c )检查期货公司交易系统实时风险控制模块。 检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取加盖了公章的期货公司交易系统对客户的实时风险控制的情况说明, 作为证明材料。2 . 3 . 1 , 3 必须 新增交
117、易系统应产生、记录并存储必要的日志信息供审计使用。 检查方式访谈,检查 检查对象技术部门负责人,期货公司交易系统 检查措施a )访谈期货公司技术部门负责人交易系统的软件架构说明和日志功能;b )期货公司提供情况说明, 包括交易系统的日志功能,日志信息至少应包括所有接入客户的身份信息、I P 地址和交易信息;c )检查是否产生必要的日志信息;d )检查是否记录必要的日志信息;e )检查是否存储必要的日志信息。 检查结果a )同时符合上述a ) - e ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司交易系统的软件架构说明和日志功能材料,作为证明材料。2 . 3 . 1 . 4 必须
118、新增核心系统应具备向期货保证金监控中心上报规定数据的功能。 检查方式访谈,检查 检查对象相关管理人员,核心系统 检查措施a )访谈核心系统管理人员保证金数据报送的方式和方法;b )期货公司提供材料,说明已按要求报送保证金监控中心规定的数据。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取报送数据情况说明材料- ,作为证明材料。2 . 3 . 1 . 5 必须 新增不应具有篡改、伪造核心系统数据或其他可能导致数据失真的功能。检查方式访谈,检查检查对象13相关管理人员,核心系统检查措施a )期货公司提供说明核心系统功能清单的资料;b )检查核心系统功
119、能清单,不应具有篡改成交信息或资金信息的功能。检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司核心系统功能清单,作为证明材料。2 . 3 . 1 . 6 必须 新增核心系统应有授权管理功能。检 查方式访谈,检查检 查对象部门负责人,期货公司核心系统权限管理措施检 查措施a )访谈期货公司技术部门负责人核心系统的权限管理机制;b )期货公司提供核心系统说明,包括授权管理功能;c )检查授权管理功能,应至少做到对单个菜单条目、单个操作人员进行授权。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公
120、司核心系统说明,作为证明材料2 . 3 . 1 . 7 必须 新增应要求交易系统供应商提供交易、银期及相关查询接口。检 查方式访谈,检查检 查对象期货公司技术部门负责人,银期系统检 查措施a )检查期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明。检 查结果a )符合上述a )的检查措施,才达到本检查项的要求;b )获取期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明,作为证明材料。2 . 3 . 1 . 8 必须 新增核心系统应具备通过监控中心统一开户系统进行开户的功能。检 查方式检查检 查对象期货公司核心系统管理人员、核心系统功能检 查措施a )访谈核心系统
121、管理人员统一开户的方式和方法;b )期货公司提供材料,说明已按要求通过监控中心统一开户系统进行开户。检 查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取统一开户情况说明材料,作为证明材料。2 . 3 . 1 . 9 必须 新增核心系统应具备链接监控中心投资者查询服务系统的功能。检查方式检查14 检查对象期货公司核心系统管理人员、核心系统功能 检查措施a )期货公司提供材料,说明已具备链接监控中心投资者查询服务系统的功能。检 查结果a )获取对接投资者查询服务系统的说明材料,作为证明材料。2 . 3.2性能和容量2 . 3 . 2 . 1 必须 新增交易
122、系统的性能和容量应达到所有其作为会员的交易所的要求。检 查方式检查检 查对象期货公司交易系统检 查措施a )期货公司提供交易系统的性能和容量的情况说明, 包括交易系统的性能和容量的最大值;b )检查期货公司其作为会员的交易所出具的相关测试报告。 检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司交易系统的性能和容量的情况说明或相关测试报告,作为证明材料。2 . 3 . 2 . 2 必须 新增应对交易系统的主要业务指标进行实时监控。检 查方式访谈,检查检 查对象期货公司交易系统及相关负责人检 查措施a )访谈期货公司技术部门负责人, 了解实时监控
123、交易系统的主要业务指标以及相应的监控措施;b )期货公司提供对交易系统的主要业务指标进行实时监控的情况说明, 包括交易系统的业务指标监控列表;c )检查交易系统的主要业务指标监控列表, 应至少包括在线用户、 报单和成交记录数量等。检 查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司交易系统的主要业务指标的实时监控情况说明,作为证明材料。2 . 3 . 2 . 3 必须 新增应对所有接入交易所的交易通信链路进行监控。检 查方式访谈,检查检 查对象技术部门网络管理员,接入交易所的交易通信链路检 查措施a )期货公司提供所有接入交易所的链路清单和监控方法
124、;b )访谈期货公司网络管理员链路监控的方法;15c )抽查至少两条链路的监控实施情况,应当至少监控链路的通断情况、流量情况。检查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取连接交易所链路清单和监控方法以及抽查的监控记录,作为证明材料。2 . 3 . 2 . 4 必须 新增接入交易所的交易通信链路应达到所有其作为会员的交易所的要求,并采用不同运营商的通讯线路作为备份线路。检 查方式检查检 查对象接入交易所的交易通信链路检 查措施a )期货公司提供所有接入交易所的链路清单;b )检查链路带宽和备份是否满足所有其作为会员的交易所的要求;c )检查期货公司
125、根据交易所要求进行的链路测试情况;d )期货公司应当至少有两条线路接入三所联网。检 查结果a )同时符合上述a ) - d )的所有检查措施,才达到本检查项的要求;b )获取连接交易所链路清单和参加交易所规定的链路测试并通过的证明, 作为证明材料。2 . 3 . 2 . 5 必须 新增应对所有网上交易的通信链路进行监控。检 查方式访谈,检查检 查对象技术部门网络管理员,网上交易的通信链路检 查措施a )期货公司提供所有网上交易专有链路及监控手段清单;b )检查网上交易非专有链路的通断监控情况;c )抽查至少一条专有链路监控实施情况,应当至少监控链路的通断情况。检 查结果a )同时符合上述a )
126、 - c )的所有检查措施,才达到本检查项的要求;b )获取网上交易的通信链路清单, 作为证明材料 。2 . 3.3交易系统冗余2 . 3 . 3 . 1 必须 新增交易系统及其部件应有备份,备份能力应达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的仃关规定。检 查方式访谈,检查检 查对象技术部门负责人,交易系统及其部件检 查措施a )期货公司提供交易系统及其部件清单;b )期货公司提供系统部署图;c )访谈交易系统部件备份情况( 包括交易依赖的所有服务器、 磁盘阵列、 数据库) ;d )核实备份部件真实存在,并实现互备( 可以接受需要人工操作的切换流程);16e)每年应至少进行两
127、次切换演练, 演练报告应明确演练步骤, 并记录每个步骤以及整体演练所用时间和数据丢失情况;f)抽查交易系统部件的切换演练记录,以证明备份能力能够达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。检查结果a )同时符合上述a )- ) 的所有检查措施,才达到本检查项的要求;b )获取部件清单、切换演练汇总报告及操作手册目录页,作为证明材料。2 . 3 . 3 . 2 必须 新增生产环境内的网络设备应有备份,备份能力应达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查方式访谈,检查 检查对象生产环境内的网络设备及技术部门负责人 检杳措施a )期货公司提
128、供所有网络设备清单;b )期货公司提供网络架构图;c )访谈技术部门负责人网络设备备份情况( 包括生产环境中的所有路由器、 交换机、防火墙、负载均衡器、连接线);d )核实备份部件是否真实存在,并实现互备;e)每年应至少进行两次切换演练, 演练报告应明确演练步骤, 并记录每个步骤以及整体演练所用时间。f)抽查交易系统网络设备的切换演练记录, 并评估备份能力能否达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查结果a )同时符合上述a ) - f)的所有检查措施,才达到本检查项的要求;b )获取设备清单、切换演练汇总报告,作为证明材料。2 . 3.4行情冗余2 . 3
129、. 4 . 1 必须 新增应使用至少2家行情商提供的行情服务,其中至少有1家使用至少2套服务器。 检查方式访谈,检查 检查对象客户开户相关人员、行情服务系统 检查措施a )访谈期货公司,提供行情服务情况说明;b )检查期货公司使用了至少2家行情商提供的行情服务;c )检查期货公司使用了 1家至少能提供2套行情服务器的行情商。 检查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司行情服务情况说明,作为证明材料。2 . 3.5银期系统冗余2 . 3 . 5 . 1 必须 新增应与至少2家银行实现银期转账,其中至少一家提供全国性银期转账服务。17 检查
130、方式访谈,检查 检查对象技术部门负责人、银期转账系统检 查措施a)期货公司提供注明正式上线的所有银期转帐系统清单;b)检查期货公司与银行签署的相关合同及相关内容真实有效;c)检查两家银期转账;d)检查至少一家为全国性银期转账。检 查结果a)同时符合上述a) -d) 的所有检查措施,才达到本检查项的要求;b)获取正式上线的所有银期转帐系统清单, 与银行签署相关合同首页和签名页, 作为证明材料。2 . 4安全2 . 4. 1 网络隔离2. 4. 1. 1 必须 新增生产网与互联网应实现有效隔离。 检查方式访谈,检查 检查对象技术部门网络管理人员、生产网与互联网的隔离情况检 查措施a)期货公司提供网
131、络架构图( 详细) 及与当前运行情况相符的相关设施的配置清单和安全策略,启用访问控制功能;b)访谈生产网与互联网的隔离情况;c)检查隔离设备是否真实存在;d)检查网络设备的安全规则是否配置允许访问规则, 控制粒度为网段级, 对没有明确定义的数据包缺省拒绝。检 查结果a)同时符合上述a) -d) 的所有检查措施,才达到本检查项的要求;b)期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存。2. 4. 1.2 必须 新增网站与网上交易系统应实现有效隔离。检 查方式访谈,检查检 查对象技术部门网络管理人员、网站与网上交易系统的隔离情况检 查措施a)期货公司提供网
132、络架构图( 详细)及相关设施的配置清单及安全策略;b)访谈网站与网上交易系统的隔离情况;c)检查隔离设备是否真实存在。检 查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;18b )期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;C )如为物理分隔,期货公司应提供说明,作为证明材料。2 . 4 . 1 . 3 必须 新增生产网与办公网应实现有效隔离。 检查方式访谈,检查 检查对象技术部门网络管理人员、生产网与办公网的隔离情况检 查措施a )期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;b )访谈生产网与办公网的
133、隔离情况;c )检查隔离设备是否真实存在。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c )如为物理分隔,期货公司应提供说明,作为证明材料。2 . 4 . 1 . 4 必须 新增总部的生产网与营业部的网络应实现有效隔离。检 查方式访谈,检查检 查对象技术部门网络管理人员、总部的生产网与营业部的网络的隔离情况检 查措施a )期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;b )访谈总部的生产网与营业部的网络的隔离情况;c )检查隔离设备是否真实存
134、在。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c )如为物理分隔,期货公司应提供说明,作为证明材料。2 . 4 . 1 . 5 必须 新增生产网与交易所、银行等外联单位网络应实现有效隔离。检 查方式访谈,检查检 查对象技术部门网络管理人员、生产网与交易所、银行等外联单位网络的隔离情况检 查措施a )期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;b )访谈生产网与交易所、银行等外联单位网络的隔离情况;c )检查隔离设备是否真实存在。检 查结果
135、a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;19c )获取外联单位网络隔离情况说明,作为证明材料。2 . 4 . 2 防病毒、补丁和安全加固2 . 4 . 2 . 1 必须 新增应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。 检查方式访谈,检查检 查对象技术部门安全管理人员、安全加固情况检 查措施a )期货公司提供系统补丁相关流程和制度;b )检查补丁评估的相关记录;c )访谈系统补丁更新的情况,跟踪最近诙补丁更新情况
136、。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司系统补丁相关流程和制度,作为证明材料。2 . 4 . 2 . 2 必须 新增应对使用W i n d o w s 平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。 检查方式访谈,检查检 查对象技术部门安全管理人员、W i n d o w s 病毒防护措施检 查措施a )期货公司提供病毒管理相关流程和制度;b )访谈公司病毒管理的情况,跟踪最近一次全面病毒检查和病毒更新情况;c )抽查W i n d o w s 服务器、 业务用机和办公机, 病毒特征库应根据公司病毒管理策
137、略更新到最新日期。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司病毒管理流程和制度,作为证明材料。2 . 4 . 2 . 3 必须 新增应对通过互联网向外提供服务的设备和系统进行定期安全扫描,关闭不需要的端口。检 查方式检查检 查对象外联端口的安全措施 检查措施a )期货公司提供通过互联网向外提供服务的设备和系统及对应开放端口、 端口说明的清单;b )访谈公司安全扫描和加固安全制度,访谈执行情况;c )期货公司应提供一年内至少1 次安全扫描和加固的报告。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求
138、;b )获取期货公司安全扫描报告首页,作为证明材料。202 . 4 . 3 网站安全2 . 4 . 3 . 1 必须 新增应有专人监控网站内容,发现问题后及时处理。 检查方式访谈,检查 检查对象技术部门安全管理人员,网站相关业务人员,网站内容管理 检查措施a )期货公司提供网站监控人员名单和处理流程情况说明;b )访谈网站监控管理流程。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取网站监控人员名单和处理流程情况说明,作为证明材料。2 . 4 . 3 . 2 必须 新增应定期对网站进行安全检查,并对隐患进行及时处理。 检查方式访谈,检查 检查对象
139、技术部门安全管理人员,网站安全检查 检查措施a )对网站进行的安全检查应包括:S Q L 注入漏洞、弱口令、口令验证不足、目录遍历、文件上传、H T T P 协议追踪、跨站脚本、后台漏洞、敏感信息泄漏、网络漏洞和S S L 加密漏洞、下单网页未使用H T T P S 加密机制等;b )期货公司提供一年内的网站安全检查报告;c )访谈网站安全检查情况。 检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取网站安全检查报告作为证明材料。2 . 4 . 3 . 3 必须 新增应准备足够措施,能在发现网站被篡改后5 分钟内停止发布被篡改的内容。 检查方式访谈,
140、检查 检查对象技术部门安全管理人员,网站内容管理 检查措施a )期货公司提供网站停止发布机制说明;b )检查最近一次的演练记录, 并评估从发现网站被篡改到停止发布被篡改的内容的时间是否不超过5 分钟。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取网站停止发布机制说明,作为证明材料。2 . 4 . 3 . 4 必须 新增应安装木马防护软件并定期更新。检查方式访谈,检查检查对象技术部门安全管理人员,木马防护措施21检查措施a)期货公司提供网站木马防护机制说明;b)访谈木马防护软件的部署更新情况;c)有条件可检查防木马软件版本是否根据情况进行定期更新
141、。检查结果a)同时符合上述a) -c )的所有检查措施,才达到本检查项的要求;b)获取网站防木马机制说明,作为证明材料。2. 4. 3. 5 必须 新增网站的内容发布应有审核制度和完整的内容发布流程。检 查方式访谈,检查检 查对象技术部门安全管理人员,网站内容管理相关 业务人员,网站内容管理检 查措施a)期货公司提供网站内容审核制度及发布流程;b)检查并访谈网站内容审核制度和流程的执行情况。检 查结果a)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;b)获取网站内容审核制度及发布流程,作为证明材料。2. 4. 3. 6 必须 新增应建立网站备份系统,备份能力应达到 证券期货经
142、营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查方式访谈,检查 检查对象技术部门负责人,网站系统的所有部件 检查措施a)期货公司提供网站系统的所有部件清单;b)期货公司提供系统部署图;c)访谈网站系统部件备份情况( 例如WEB发布服务器、网站应用服务器、数据库服务器等);d)核实备份部件真实存在,并实现互备;e )抽查网站系统部件的切换演练记录,并评估系统备份能力是否能够达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查结果a)同时符合上述a) -e )的所有检查措施,才达到本检查项的要求;b)获取部件清单、切换演练汇总报告及操作手册目录页,作为证明材料”
143、2. 4 . 4网上交易安全2. 4. 4.1 必须 新增应提供可靠的身份认证机制,网上交易客户端支持多种方式与服务端完成身份认证。检 查方式访谈,检查检 查对象技术部门业务系统管理人员,网上交易的身份认证检 查措施a)期货公司提供网上交易系统的身份认证说明;22b )检查期货公司网上交易系统是否支持多种身份认证方式;C )访谈网上交易系统的身份验证方式和措施。检查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司网上交易系统的身份认证说明,作为证明材料。2 . 4 . 4 . 2 必须 新增服务器上的用户认证信息应加密存放。 检查方式访谈,检查检
144、 查对象技术部门业务系统管理人员,服务器的用户认证检 查措施a )期货公司提供身份认证存放方式说明;b )检查用户认证信息是否加密存放;c )访谈网上交易系统的身份认证存放方式。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司网上交易系统的身份认证存放方式说明,作为证明材料。2 . 4 . 4 . 3 必须 新增应在与客户签订的服务合同( 网上期货服务合同、期货经纪合同及补充协议、风险揭示书)中载明,客户使用网上期货业务可能面临的风险、期货公司采取的风险控制措施、客户应采取的风险控制措施以及相关风险对应的责任承担( 如防止用于网上交易的计算
145、机或手机终端感染木马、病毒,以免被恶意程序窃取口令;加强帐号、口令的保护,不使用简单口令、定期修改口令、输入口令时防止他人偷看、不对他人泄露口令等)。检 查方式访谈,检查检 查对象投资者开户负责人员检 查措施a )期货公司提供网上期货服务合同( 协议);b )访谈开户时网上交易风险揭示的措施和流程。检 查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司网上期货服务合同( 协议) 中揭示网上交易风险部分页作为证明材料。2 . 4 . 4 . 4 必须 新增应提供预留验证信息服务,在客户进行登录时向客户进行显示,帮助客户有效识别仿冒的网上期货信息系统
146、,防范利用仿冒的网上期货信息系统进行诈骗活动。检 查方式访谈,检查检 查对象技术部门业务系统管理人员,网上交易系统的预留验证信息服务检 查措施a )期货公司提供网上交易系统的预留验证信息相关服务的说明( 例如提供客户结算单信息等);23b )访谈公司网上交易系统的预留验证信息相关服务的情况。检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司网上交易系统的预留验证信息相关服务的说明,作为证明材料。2 . 4 . 4 . 5 必须 新增应遵守国家关于个人信息保护的相关规定,确保网上交易数据和客户信息的安全性和完整性。未经客户允许或期货公司授权,不
147、得以任何方式向除中国证监会及其派出机构、执法机关、审计机关以外的第三方提供交易数据和客户信息。 检查方式访谈,检查 检查对象技术部门业务系统管理人员 检查措施a )期货公司提供各类网上交易系统的交易数据及客户信息流转过程说明, 检杳期货公司是否能对上述交易数据及客户信息流转过程进行控制;b )如存在向除中国证监会及其派出机构、 执法机关、 审计机关以外的第三方提供交易数据和客户信息的情况,检查是否经过客户允许或公司授权;c )检查期货公司是否对客户网上交易进行必要的风险提示。 检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司网上交易系统交易
148、数据及客户信息流转说明及网上交易客户端使用风险提示材料,作为证明材料。2 . 4 . 5 账户与权限2 . 4 . 5 . 1 必须 新增应有生产环境内关键系统账户与权限的关系表。检 查方式访谈,检查检 查对象技术部门业务系统管理员,权限管理检 查措施a )期货公司提供生产环境内关键应用系统( 包括交易、 结算和风险监控系统)的账户与权限的关系表;b )访谈生产环境内关键系统账户与权限的关系维护情况。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司生产环境内关键系统账户与权限的关系表,作为证明材料。2 . 4 . 5 . 2 必须 新增账
149、户和权限变更应有审批和完整的记录。检 查方式访谈,检查检 查对象技术部门业务系统管理员,权限管理检 查措施a )期货公司提供生产环境内关键应用系统( 包括交易、结算和风险监控系统) 账户与权限的审批制度和流程;24b )期货公司提供一年内全部生产环境内关键系统账户与权限的审批表, 并跟踪一次权限变更是否符合制度要求;C )访谈账户与权限审批制度和流程落实情况。检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司生产环境内关键系统账户与权限审批制度和流程,作为证明材料。2 . 4 . 5 . 3 必须 新增岗位变动应及时调整对应系统的账户和权限。
150、检 查方式检查检 查对象权限管理检 查措施a )期货公司提供生产环境账户与权限变更制度和流程;b )期货公司提供一年内全部生产环境账户与权限变更记录;c )抽查至少2次账户权限变更是否及时( 岗位变动和权限变更时间间隔不得超过1个月)。检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司生产环境账户与权限变更制度和流程,作为证明材料2 . 4 . 5 . 4 必须 新增应避免使用超级管理员账户完成日常业务操作。检 查方式访谈,检查检 查对象技术部门业务系统管理员,权限管理检 查措施a )期货公司提供业务系统超级管理员账户的使用情况说明;b )访
151、谈业务系统超级管理员账户的使用情况, 该账户应只进行开设账户、 权限分配等非日常业务操作。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司业务系统管理员账户的使用情况说明,作为证明材料2 . 4 . 6 口令管理2 . 4 . 6 . 1 必须 新增所有书面方式保存的口令应有安全的物理保护措施。检 查方式访谈,检查 检查对象技术部门安全管理人员,口令管理检 查措施a )以明文方式存放在计算机中的口令视同为书面方式保存的口令;b )期货公司提供邓面口令保存方式的情况说明, 应有安全的物理保护措施, 例如放置于保险箱、带锁的柜子,以明文方式存
152、放口令的计算机应放置于有出入控制的操作间内;c )检查口令保存方式措施真实存在。检 查结果25a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司书面口令保存方式的情况说明,作为证明材料。2 . 4 . 6 . 2 必须 新增口令应有复杂度要求。 检查方式访谈,检查 检查对象技术部门安全管理人员,口令管理检 查措施a )期货公司提供口令复杂度要求的相关制度, 应包括具体的复杂度要求, 如口令长度、组合等;b )访谈口令复杂度的实施范围和措施。检 查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司口令复杂度要
153、求的相关制度,作为证明材料。2 . 4.7安全审计2 . 4 . 7 . 1 必须 新增核心系统的主要业务操作应产生审计记录。检 查方式检查检 查对象核心系统的业务操作审计检 查措施a )期货公司提供核心系统的主要业务操作的审计记录, 应包括时间、 发起者、 类型、描述和结果;b )抽查一年内至少2天的审计记录,时间间隔不少于两个月。检 查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取被抽查的核心系统主要业务操作的审计记录,作为证明材料。2 . 4 . 7 . 2 必须 新增应采取有效措施防止删除、修改或覆盖审计记录。检 查方式检查检 查对象核心系统的业务
154、操作审计检 查措施a )期货公司提供核心系统的主要业务操作的审计记录保存方式的说明, 应至少每日对审计记录进行备份;b )检查期货公司审计记录保存措施的落实情况。检 查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司核心系统主要操作记录机制说明,作为证明材料。262. 5日常运行2 . 5 . 1岗位2 . 5 . 1 . 1 必须 新增应建立日常值班制度,设立专门运行保障岗位,指定运维值班负责人,运维值班负责人应仃备岗,制定明确的每日值班表,保障交易期间有人值守。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,岗位说明书,排班表,交接班
155、流程,值班记录 检查措施a )访谈技术部门负责人,了解期货公司日常运行维护的整体情况;b )期货公司提供日常值班制度( 含连续交易)、值班表、交接班记录、包括运行保障职责的岗位说明书和交易期间值班安排说明。 检查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取日常值班制度、 每日值班表、交接班记录, 运行保障岗位说明书和交易期间值班安排的说明,作为证明材料。2 . 5 . 1 . 2 必须 新增初始化、结算、数据备份等关键操作过程和结果应有复核。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,值班记录 检查措施a )访谈期货公司技术部门负责人,了
156、解关键操作保障情况;b )检查日常值班制度中是否有复核的规定;c )检查日常值班记录中是否体现了复核的要求。 检查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司日常值班制度,作为证明材料2 . 5 . 1 . 3 必须 新增交易运行期间应有现场保障人员,设置运维值班电话,以及时维护和应急处理。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,排班表 检查措施a )访谈期货公司技术部门负责人了解现场保障人员情况, 现场保障是指可以随时登录到核心系统各个服务器和网络设备;b )检查日常值班制度中是否要求了交易期间现场保障人员以及对应的职责;c
157、 )检查排班表中是否包含现场保障人员;d )检查是否设置运维值班电话。 检查结果a )同时符合上述a ) - d )的检查措施,才达到本检查项的要求;27b )获取期货公司日常值班制度,作为证明材料。2 . 5 . 1 . 4 必须 新增应建立文档管理制度,对运维过程中涉及的各类文档进行分类管理。 检查方式访谈,检查 检查对象技术部门负责人,文档管理人员,文档管理制度,岗位说明书 检杳措施a )访谈技术部门负责人,了解期货公司日常文档管理的整体情况;b )检查文档管理制度及执行情况;c )抽查期货公司部分文档,检查是否按照文档制度的规定编制文档。 检查结果a )同时符合上述a ) - c )的
158、检查措施,才达到本检查项的要求;b )获取文档管理制度作为证明材料。2 . 5.2制度与巡检2 . 5 . 2 . 1 必须 新增在关键时间点应对生产环境运行状态进行巡检。检 查方式检查检 查对象日常值班制度,巡检记录检 查措施a )期货公司提供对生产环境的日常巡检列表, 包括对生产环境运行状态的巡检, 应规定巡检内容、频度、人员等,巡检内容应覆盖应用、主机、网络、通信、安全等设备的运行状况;b )检查日常巡检列表,在关键时间点是否对生产环境运行状态进行巡检,关键时间点是否覆盖开盘前、休市、收市等;c )电力、空调、消防、安防等机房设施的巡检,在确保安全的情况下巡检时间可根据实际情况安排,巡检
159、频率每天不少于一次;d )期货公司提供一年内的所有巡检记录,抽查一年内至少4天的生产环境的日常巡检记录,时间间隔不小于两个月。检 查结果a )同时符合上述a ) - d )的检查措施,才达到本检查项的要求;b )获取一年内至少4天的生产环境的日常巡检记录,作为证明材料。2 . 5 . 2 . 2 必须 新增I I常操作和巡检应保留记录,并有操作和复核人员的签名。检 查方式检查检 查对象巡检记录检 查措施a )检杏期货公司提供的一年内生产环境的所有操作和巡检记录;b )抽查期货公司一年内4天的生产环境的巡检和操作记录,时间间隔不小于两个月;c )检查巡检记录是否包括巡检的对象、时间、状态、巡检人
160、、复核人,是否有巡检人员和复核人员签名确认;28d)检查操作记录是否包括操作对象、时间、步骤、指令、操作结果、操作人、复核人等基本要素,是否有操作人员和复核人员签名确认。检查结果a)同时符合上述a) -1)的检查措施,才达到本检查项的要求;b)获取期货公司一年内4天的巡检记录,作为证明材料。2. 5. 2. 3 必须 新增交易期间应对核心系统和网络系统进行实时监控,并能及时、有效地报警。 检查方式检查 检查对象监控系统 检查措施a)期货公司提供交易期间对核心系统和网络系统实时监控的情况说明;b)检杳交易期间对核心系统和网络系统实时监控,是否实现自动化监控;c)检查交易期间对核心系统和网络系统实
161、时监控,是否可以及时、有效地报警。 检查结果a)同时符合上述a) -c)的检查措施,才达到本检查项的要求;b)获取期货公司关于实时监控情况的说明,作为证明材料。2. 5. 2. 4 必须 新增应记录生产环境发生的故障和异常。检 查方式检查检 查对象故障记录检 查措施a)期货公司提供一年内生产环境发生故障和异常的记录和报告;b)检查生产环境发生的故障记录和报告应包含发生的时间、 现象、处理措施、 后续处理手段等内容;c)检查故障记录和报告信息是否完整。检 查结果a)同时符合上述a) -c )的检查措施,才达到本检查项的要求;b)获取被抽查的故障记录和报告,作为证明材料。2. 5. 2. 5 必须
162、 新增应建立完善和更新重要手册的机制。 检查方式检查 检查对象变更操作手册、值班操作手册、应急操作手册、巡检卡检 查措施a)期货公司提供生产环境日常运行的重要手册完善和更新的制度和流程;b)检查重要手册( 如巡检、应急操作手册等)的更新和修订记录,手册内容应至: 少包括信息系统日常运行操作的各个环节。检 查结果a)同时符合上述a) -b)的检查措施,才达到本检查项的要求;b)获取期货公司重要手册的更新记录,作为证明材料。292. 5. 2. 6 必须 新增应至少每季度全面评估监控日志和操作记录,分析异常情况,形成评估报告。 检查方式检查 检查对象监控日志和操作记录分析评估报告 检查措施a)检杳
163、期货公司是否制定了监控日志和操作记录分析评估的相关制度;b)检查评估报告内容。 检查结果a)同时符合上述a) -b)项的检查措施,才达到本检查项的要求;b)获取期货公司监控上1忐和操作记录分析评估报告,作为证明材料。2. 5 . 3机房进出2.5.3. 1 必须 新增应建立机房管理制度,对机房环境、供电、空调、消防、安防等居础设施进行运行维护,对设备和人员出入机房和值班操作间进行登记,并保留相关记录。 检查方式检查 检查对象出入登记制度,出入登记记录 检查措施a)检查期货公司机房管理制度,是否涵盖对机房环境、供电、空调、消防、安防等基础设施的运行维护要求,设备、人员出入等是否纳入机房管理工作;
164、b)期货公司提供机房及值班操作间的一年内的出入登记记录;c)抽查期货公司一年内机房和值班操作间的人员以及设备的出入登记记录, 信息登记是否完全。 检查结果a)同时符合上述a) -c)的检查措施,才达到本检查项的要求;b)获取期货公司机房及值班操作间的出入登记制度和出入登记记录,作为证明材料。2. 5. 3. 2 必须 新增非技术保障人员进入机房应获得授权,并有技术保障人员陪同,所携带设备应专门登记。 检查方式访谈,检查 检查对象机房管理制度,出入登记记录 检查措施a)访谈技术部门负责人,了解非技术保障人员进入机房的授权流程和控制措施;b)抽查期货公司一年内非技术保障人员进入机房的登记信息, 检
165、查是否有相应的授权信息;c)检查期货公司一年内非技术保障人员进入机房的登记信息, 检查所携带设备信息描述是否清楚;d)检查期货公司一年内非技术保障人员进入机房的登记信息, 检查是否有技术保障人员陪同信息。30检查结果a)同时符合上述a) -d) 的检查措施,才达到本检查项的要求;b)获取期货公司一年内非技术保障人员进入机房的登记记录,作为证明材料。2. 5. 3. 3 必须 新增交易期间如无应急或者巡检需要,不应进入机房。 检查方式检查检 查对象机房管理制度,出入登记记录检 查措施a)期货公司提供机房出入管理制度;b)检查期货公司机房出入制度, 是否有交易期间如无应急或者巡检需要, 不应进入机
166、房的要求;c)抽查期货公司一年内交易时间进入机房的出入记录, 检查是否有授权信息, 或对进入机房的必要性进行了说明。检 查结果a)同时符合上述a) -c) 的检查措施,才达到本检查项的要求;b)获取被抽查的机房出入记录,作为证明材料2 . 6备份2. 6 . 1 数据备份2. 6. 1. 1 必须 新增应根据数据的重要性及其对核心系统运行的影响,制定数据备份策略和恢复策略。 检查方式访谈,检查检 查对象技术部门负责人,数据备份制度检 查措施a)检查期货公司数据备份、恢复的制度和策略;b)访谈技术部门负责人数据备份策略和恢复策略情况。检 查结果a)同时符合上述a) -b) 的检查措施,才达到本检
167、查项的要求;b)获取期货公司数据备份制度和策略,作为证明材料。2.6. 1.2 必须 新增应建立数据管理、介质维护、销毁和使用管理制度。检 查方式检查检 查对象技术部门负责人,数据备份制度检 查措施a)检查期货公司数据管理制度中是否包含介质维护、 销毁和使用管理等内容, 应由介质管理员负责涉及敏感信息的介质送修。检 查结果a)符合上述a) 项的检查措施,才达到本检查项的要求;b)获取期货公司数据和介质管理的相关制度,作为证明材料。2. 6.1. 3 必须 新增应对介质进行明确标识。31 检查方式访谈,检查 检查对象介质标识相关规定,数据备份介质 检查措施a )访谈期货公司介质标识的相关规定;b
168、 )期货公司提供一年内所有的备份介质;c )抽查一年内期货公司4次备份介质,时间间隔不少于两个月;d )检查备份介质是否有明确的标识,是否符合规定。 检查结果a )同时符合上述a ) - d )的检查措施,才达到本检查项的要求;b )获取期货公司介质标识相关规定,作为证明材料。2. 6 . 1 . 4 必须 新增应确保介质存放在安全环境中,实现对备份数据的控制和保护。检 查方式检查检 查对象数据备份介质检 查措施a )期货公司提供备份介质保存环境说明:b )检查介质存放环境是否具有防盗措施, 如保险柜、 加锁的抽屉或者有出入控制措施的专用储藏室;c )应至少有一种介质具有可离线存放的特性,如磁
169、带、光盘、移动硬盘等。检 查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司备份介质相关说明,作为证明材料。2. 6 . 1 . 5 必须 新增每日应对结算后数据进行备份,网站数据应按照备份计划进行备份。检 查方式检查检 查对象数据备份管理检 查措施a )根据期货公司备份策略, 抽查期货公司至少2次结算后数据及网站数据备份介质或文件,实际操作情况应与备份策略一致;b )检查期货公司每日值班记录中是否包括结算后数据备份操作, 检查网站数据备份记录;c )期货公司应提供网站数据备份范围、备份计划及相关的执行记录。检 查结果a )同时符合上述a ) - c
170、 )项的检查措施,才达到本检查项的要求;b )获取期货公司值班记录备份相关页,作为证明材料。2. 6 . 1 . 6 必须 新增每周应将结算后数据备份介质离场存放。检查方式访谈,检查检查对象32备份管理人员,数据备份管理检查措施a )期货公司提供介质离场存放的说明材料, 其中必须明确描述介质放置位置和离场存放频率;b )访谈备份介质管理人员,了解备份数据是否离场存放( 只需出机房即可),以及离场存放的频率是否符合要求。检查结果a )同时符合上述a ) - b ) 项的检杳措施,才达到本检杳项的要求;b )获取存放方式相关说明,作为证明材料。2. 6 . 1 . 7 必须 新增应定期对主要备份业
171、务数据进行恢复验证,根据介质使用期限及时转储数据。检 查方式访谈,检查检 查对象备份管理人员,数据备份管理检 查措施a )访谈数据备份管理人员,了解数据恢复验证频率、 措施及数据转储操作流程, 应至少每季度对核心交易业务系统的备份数据进行一次有效性验证;b )检查数据恢复验证和转储的操作手册, 抽查一年内进行恢复验证和转储的操作记录。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司数据备份操作手册和近期转储操作记录,作为证明材料。2. 6 . 1 . 8 必须 新增应指定专人负责保管业务数据备份介质。检 查方式访谈,检查检 查对象备份管理人
172、员,数据备份管理检 查措施a )期货公司提供包括业务数据备份介质管理职责的岗位说明书;b )检查岗位说明书是否包含相应工作职责;c )访谈备份介质管理人员, 评估其是否掌握介质分类、 维护、 使用管理和转储相关的制度和操作流程。检 查结果a )同时符合上述a ) - c ) 项的检查措施,才达到本检查项的要求;b )获取期货公司包括业务数据备份介质管理职责的岗位说明书,作为证明材料。2 . 7系统维护2. 7 . 1变更管理2. 7 . 1 . 1 必须 新增应将所有涉及核心系统的软硬件变更纳入变更管理范围。检查方式检查检查对象变更管理制度33检查措施a )检查期货公司变更管理制度,是否核心系
173、统的软硬件变更都纳入变更管理范围。检查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求;b )获取期货公司变更管理制度的相关章节,作为证明材料。2. 7 . 1 . 2 必须 新增每次变更前应进行评估。检 查方式访谈,检查检 查对象技术部门负责人,变更评估报告检 查措施a )评估结果应包括风险、变更方案、检验方法、影响通知范围等内容;b )访谈期货公司技术部门负责人,了解变更前的风险评估流程;c )期货公司提供一年内变更记录;d )抽查一年内两次变更记录和相关文档,检查是否在变更前进行评估。检 查结果a )同时符合上述a ) - d ) 项的检查措施,才达到本检查项的要求;b )获
174、取被抽查的期货公司变更记录和相关文档,作为证明材料。2 . 7 . 1 . 3 必须 新增所有变更操作应有操作记录。检 查方式检查检 查对象变更管理制度,变更记录检 查措施a )期货公司提供变更管理制度;b )检查期货公司变更管理制度,是否包含变更应有操作记录的要求;c )期货公司提供一年内变更记录;d )抽查期货公司变更记录,是否包含操作人,操作步骤,操作内容等操作记录;e )变更管理制度应明确要求除紧急变更外不允许在交易时段进行变更。检 查结果a )同时符合上述a ) - e ) 项的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司变更记录和相关文档,作为证明材料。2 . 7 .
175、 1 . 4 必须 新增所有变更应进行事后检查。检 查方式检查检 查对象变更管理制度,变更记录检 查措施a )期货公司提供变更管理制度;b )检查期货公司变更管理制度,是否包含变更必须进行事后检查的要求;c )期货公司提供一年内变更记录;d )抽查期货公司变更操作记录,是否包含事后检查的内容。 检查结果a )同时符合上述a ) - d ) 项的检查措施,才达到本检查项的要求;34b)获取被抽查的期货公司变更操作记录,作为证明材料。2. 7.1. 5 必须 新增对于风险较大的变更,在条件允许的情况下,应制定应急和回退方案。 检查方式访谈,检查 检查对象技术部门负责人,变更管理制度,回退方案 检查
176、措施a)检查变更管理制度,是否包含制订应急和回退方案的内容;b)抽查期货公司一年内两次风险较大的变更操作手册和记录, 其中应包含应急和回退方案。 检查结果a)同时符合上述a) - b)项的检查措施,才达到本检查项的要求;b)获取被抽查的期货公司变更操作手册和记录,作为证明材料。2.7. 1.6 必须 新增风险较大的变更,应在变更后对系统的运行情况进行跟踪。 检查方式访谈,检查 检查对象技术部门负责人,变更管理制度,值班记录 检查措施a)访谈技术部门负责人,了解变更前的风险评估流程和变更之后的跟踪机制;b)抽查期货公司一年内两次风险较大的变更, 检查其后的值班记录是否对变更系统进行了跟踪观察。
177、检查结果a)同时符合上述a) - b)项的检查措施,才达到本检查项的要求;b)获取被抽查的值班记录,作为证明材料。2. 7. 1. 7 必须 新增进行与核心系统相关的开发工作时,应避免在生产环境上进行日常测试。 检查方式访谈 检查对象技术部门负责人 检查措施a)期货公司提供核心系统相关开发工作的情况说明;b)访谈期货公司技术部门负责人, 了解期货公司是否进行核心系统的开发工作。 如果进行相关开发,是否具有独立的开发或者测试环境。 检查结果a)如果期货公司不进行核心系统开发,本检查项可判定为满足;b)同时符合上述a) -b)项的检查措施,才达到本检查项要求;c)获取期货公司核心系统相关开发工作的
178、情况说明,作为证明材料。2.7. L 8 必须 新增如果需要使用生产环境进行测试,应纳入变更管理。检查方式访谈检查对象35技术部门负责人检查措施a )期货公司提供是否使用生产环境进行测试及相应的情况说明;b )访谈期货公司技术部门负责人,使用生产环境进行测试是否纳入变更管理;c )抽查一次使用生产环境的测试记录和相关文档。检查结果a )同时符合上述a ) - c ) 项的检查措施,才达到本检查项的要求;b )获取期货公司使用生产环境进行测试的情况说明,作为证明材料。2 . 7 . 2 配置管理2 . 7 . 2 . 1 必须 新增应具有生产环境设计和部署文档,并根据变更及时更新。检 查方式检查
179、检 查对象配置文档检 查措施a )期货公司提供生产环境设计和部署文档及清单;b )检查生产环境设计和部署文档,至少有完整的网络拓扑图和应用系统部署方案,应有与网络拓扑图相对应的网络配置表,表中应包含I P 地址等主要信息;c )抽查相关文档是否与当前生产环境相符,包括网络拓扑图、应用系统部署方案、网络配置表等所有文档应及时更新。检 查结果a )同时符合上述a ) - c ) 项的检查措施,才达到本检查项的要求;b )获取期货公司生产环境设计和部署文档清单,作为证明材料。2 . 7 . 2 . 2 必须 新增应对重要的配置信息进行有效备份。检 查方式访谈,检查检 查对象配置管理人员及技术部门负责
180、人,配置文档检 查措施a )期货公司提供备份配置信息的相关流程, 至少包括核心业务系统的操作系统、 网络设备、数据库以及应用系统的配置;b )访谈技术部门负责人和配置管理人员,了解流程执行情况;c )抽查备份信息是否和生产环境配置吻合。检 查结果a )同时符合上述a ) - c ) 项的检查措施,才达到本检查项的要求;b )获取期货公司配置信息备份的相关流程,作为证明材料。2 . 7 . 3 容量管理2 . 7 . 3 . 1 必须 新增每年应对核心系统的性能和容量情况进行评估。检 查方式检查 检查对象容量评估报告检 查措施36a)检查期货公司上一年度核心系统性能和容量情况的评估报告。检查结果
181、a)符合上述a)项的检查措施,才达到本检查项的要求;b)获取期货公司上一年度核心系统性能和容量情况的评估报告,作为证明材料。2. 7. 3. 2 必须 新增应根据核心系统的性能容量评估报告,结合业务发展情况及时提出改进计划。检 查方式检查检 查对象性能和容量改进计划检 查措施a)检查期货公司是否制定了核心系统性能容量的改进计划;b)检查改进计划是否符合要求。检 查结果a)同时符合上述a) -b)项的检查措施,才达到本检查项的要求;b)获取期货公司核心系统性能容量改进计划,作为证明材料。2. 7 . 4应急演练2. 7. 4. 1 必须 新增应建立健全网络与信息安全事件应急组织体系. 对核心系统
182、的常见故障应有书面的应急预案和排障流程。检 查方式检查检 查对象应急组织体系成员名单,应急预案,排障流程检 查措施a)检查是否建立健全网络与信息安全事件应急处置组织体系, 是否明确应急指挥决策机构由主要领导负责,成员包括但不限于业务、技术、风险控制、结算、财务、客服及综合等有关部门负责人;b)检杳期货公司网络与信息安全事件应急预案, 是否明确应急指挥决策和执行机构的职责,是否包括但不限了针对网络与信息安全事件的预防预警、应急处置、报告和调查处理工作;c)检查期货公司核心系统的常见故障技术排障流程, 场景包括但不限于核心系统的关键部件、网络关键部件、网上交易关键部件、银期转账关键部件、网站关键部
183、件等;d)检杳期货公司是否及时调整信息安全事件报告流程, 以满足监管部门的最新要求。检 查结果a)符合上述a) -d)项的检查措施,才达到本检查项的要求;b)获取期货公司成总组织体系成员名单、 核心系统应急预案目录、 排障流程清单作为证明材料。2. 7. 4. 2 必须 新增应参与交易所等行业相关机构组织的测试和应急演练并有记录。检查方式检查检查对象测试记录,应急演练记录37检查措施a )期货公司提供参加交易所等行业相关机构组织的应急演练的情况说明;b )抽查期货公司参加应急演练的记录或者报告。检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司
184、参加交易所等行业相关机构组织的应急演练的情况说明, 作为证明材料。2 . 7 . 4 . 3 必须 新增应根据机构、人员、技术等变化,及时调整应急预案。检 查方式检查检 查对象应急预案检 查措施a )检查期货公司应急预案的历史版本,是否反映了相关变化。检 查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求。2 . 7 . 4 . 4 必须 新增演练而能制定详细的应急演练计划,并根据计划进行演练。检 查方式检查检 查对象应急演练记录,应急演练计划检 查措施a )抽查期货公司两年内的应急演练计划。 查看是否根据应急预案的内容, 制定详细的应急演练计划。计划中是否至少包括演练的目的、内容
185、、时间、参与方、方式、前期准备情况、统计与记录要求、系统恢复与验证要求等内容;b )抽查期货公司两年内的应急演练报告或记录, 检查期货公司是否每年至少组织全公司各部门进行两次应急演练,是否按应急演练计划中规定的场景完成演练。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司应急预案目录、应急演练计划目录和报告目录,作为证明材料。2 . 7 . 4 . 5 必须 新增应准备必要工具,以便应急预案的顺利执行。检 查方式检查检 查对象应急预案,应急工具检 查措施a )根据应急预案,抽查其中需要使用的相关应急软、硬件工具是否真实存在。检 查结果a )
186、符合上述a ) 项的检查措施,才达到本检查项的要求。2 . 7 . 5 技术事故管理2 . 7 . 5 . 1 必须 新增应建立技术事故报告制度和流程。检查方式检查检查对象38事故管理制度检查措施a )检查期货公司技术事故报告制度和流程;b )检杳期货公司技术事故报告制度是否包括事故报告及事故的调杳处理机制。检查结果a )符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司技术事故报告制度和流程,作为证明材料。2 . 7 . 5 . 2 必须 新增应保存技术事故的记录。 检查方式检查 检查对象事故记录 检查措施a )期货公司提供一年内技术事故的记录;b )抽查期货
187、公司技术事故记录,应包括事故时间、现象、处理流程、处理结果、原因、改进措施等。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司技术事故报告,作为证明材料2 . 7 . 5 . 3 必须 新增应根据技术事故情况,及时提出改进计划,落实改进措施。 检查方式访谈,检查 检查对象技术部门负责人,改进计划 检查措施a )期货公司提供针对近期技术事故情况的改进计划;b )访谈技术部门负责人,了解落实改进情况。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司针对近期技术事故情况的改进计划,作为证明材料
188、。2 . 8营业部技术要求2 . 8 . 1基本要求2 . 8 . 1 . 1 必须 新增营业部设备区域应是一个单独的区域,用于放置营业部开展业务所需的网络、通信和主机设备。 检查方式检查 检查对象营业部设备区域情况说明 检查措施a )期货公司提供所有营业部的设备区域的情况说明,其中必须包含设备区的照片- ;b ) 检查情况说明, 营业部设备区域是否是单独的区域,与其他办公区域进行了有效隔断;c )检查情况说明,营业部业务所需的网络、通信和主机是否放在设备区域内。39检查结果a )同时符合上述a ) - c ) 项的检查措施,才达到本检查项的要求;b )获取期货公司所有营业部的设备区域的情况说
189、明,作为证明材料。2 . 8 . 1 . 2 必须 新增应确保在交易时间内有技术人员进行技术系统维护工作。 检查方式检查检 查对象营业部交易期间技术人员值守情况说明检 查措施a )期货公司提供所有营业部交易期间技术人员值守情况说明, 包括技术人员的联系方 式 ( 固定电话号码、移动电话号码);b )检查情况说明中的交易时间内的系统维护工作。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司所有营业部交易期间值守情况说明,作为证明材料。2 . 8 . 1 . 3 必须 新增应有与当前运行情况相符的业务系统结构文档。 检查方式检查 检查对象业务系
190、统结构文档检 查措施a )检查期货公司提供的所有营业部为业务开展提供支持的信息系统的结构文档, 应包括系统组成、网络拓扑等。检 查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求;b )获取期货公司所有营业部业务系统结构文档,作为证明材料。2 . 8 . 1 . 4 必须 新增应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。检 查方式检查检 查对象补丁管理制度、测试和升级记录 检查措施a )检查期货公司提供的营业部补丁管理制度和流程;b )抽查营业部核心系统依赖的系统软件的测试和升级记录。检 查结果a )同时符合上述a ) - b
191、) 项的检查措施,才达到本检查项的要求;b )获取期货公司营业部补丁管理制度和流程,作为证明材料。2 . 8 . 1 . 5 必须 新增应对使用W i n d o ws 平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。检查方式检查检查对象营业部的防病毒管理流程和制度40检查措施a)期货公司提供营业部的防病毒管理的相关流程和制度;b)检查防病毒管理的相关流程和制度, 是否能够进行全面检查, 是否能保障病毒库的及时更新。检查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取期货公司营业部的防病毒管理流程和制度,作为证明材料。2.8. 1.6 必须
192、 新增应建立有效机制,保障总部了解各个营业部的运行情况。检 查方式检查检 查对象营业部运行情况报告检 查措施a)期货公司提供一年内所有营业部向总部提交的运行情况报告, 频度应不低于每月一次;b)抽查至少2 次运行报告,时间间隔不小于两个月。检 查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取被抽查的期货公司营业部2 次运行报告,作为证明材料。2. 8. 1. 7 必须 新增应有总部和信息技术服务提供商的准确联系方式。检 查方式检查检 查对象营业部联系方式表检 查措施a)检查期货公司的所有营业部联系方式表, 是否包括总部和信息技术服务提供商的联系方式;b)抽查信息
193、技术服务提供商的联系方式。检 查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司营业部联系方式表,作为证明材料。2. 8 . 2 交易保障2. 8. 2. 1 必须 新增提供现场交易的营业部应有至少两条交易通信链路。检 查方式检查检 查对象营业部交易通信链路情况说明检 查措施a)检查期货公司提供现场交易的营业部的交易通信链路情况说明;b)抽查链路情况说明,查看提供现场交易的营业部是否提供两条交易通信链路。 检查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司提供现场交易的营业部的交易通信链路情况说明,作为证明材料。2.
194、 8. 2. 2 必须 新增提供现场交易的营业部关键设备应有冗余。41 检查方式检查 检查对象营业部关键设备情况说明检 查措施a)检查期货公司提供现场交丹的营业部的关键设备情况说明, 应包括服务器、 网络设备、安全防护设备等;b)抽查设备情况说明,查看关键设备是否达到冗余要求。检 查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司提供现场交易的营业部的关键设备情况说明,作为证明材料”2. 8. 2. 3 必须 新增营业部应有有效的日常运行流程和应急处理流程,并进行适当的演练。检 查方式检查检 查对象营业部日常运行流程,应急处理流程,演练记录检 查措施a)检
195、查期货公司提供的所有营业部的日常运行流程、 应急处理流程和一年内的演练记录。检 查结果a)符合上述a) 项的检查措施,才达到本检查项的要求;b)获取期货公司营业部日常运行流程、应急处理流程和演练记录,作为证明材料。3.二类要求3 . 1 技术管理3.1.1 组织结构3. 1. 1. 1 必须 延续应设有技术部门并有专职技术人员,并有明确的职责分工和岗位说明。 检查方式访谈,检查检 查对象期货公司人力资源相关人员,岗位职责检 查措施a)访谈期货公司, 提供技术部门员工的情况说明, 包括人员信息、 岗位和基本职责;b)检查技术人员的岗位说明书和技术部门组织架构说明, 查看是否有职责划分不清或是否遗
196、漏重要职责划分,技术人员不得从事开户、风控、资金存取、结算等关键业务操作。检 查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取期货公司技术部门员工的情况说明和组织架构说明,作为证明材料。3. 1. 1.2 必须 延续总部技术部门人员总数占公司总部人数的比例不少于8%。检查方式42访谈,检查 检查对象期货公司人力资源相关人员 检查措施a)访谈期货公司, 提供技术部门员工的情况说明, 应包括总部技术部门人员名单及占比情况计算;b)检查期货公司正式员工花名册及员工人数统计( 以与公司签订劳动合同, 且具有期货从业资格为准);c)检查期货公司技术部门技术人员的简历及工
197、资单,是否符合情况说明。 检查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司技术部门员工的情况说明,作为证明材料。3. 1. 1. 3 泌须 新增总部技术部门人员不少于8 人,对于开展连续交易的期货公司应达到11人。 检查方式访谈,检查 检查对象期货公司人力资源相关人员 检查措施a)检查期货公司总部技术部门员工人数是否达到8 人, 刻于开展连续交易的公司应达到11人 ( 以与公司签订劳动合同,且具有期货从业资格为准);对于。母公司共用机房,并由母公司提供机房运维服务,或与第三方签署机房基础设施运维协议的期货公司,可在总部技术部门总人数最低要求的基础上最
198、多核减2 人。 检查结果a)符合上述a) 的检查措施,才达到本检查项的要求;b)获取期货公司技术部门员工的情况说明, 作为证明材料( 可使用上一项的证明材料)。3. 1.1. 4 必须 延续应建立负责本公司信息技术规划和信息安全管理的跨部门机构,其职责包括系统规划、安全管理、IT治理等。 检查方式访谈,检查 检查对象期货公司人力资源相关人员、信息安全管理机构负责人、组织架构 检查措施a)访谈负责信息技术规划和信息安全管理的跨部门机构负责人, 检查其是否清楚信息技术规划和信息安全的职责和工作内容;b)检查期货公司组织架构说明和该机构成立的正式文件;c)检查公司安全管理制度, 信息安全工作的总体方
199、针和安全策略, 说明该机构安全工作的总体目标、范围、原则和安全框架等;d)检查是否召开会议,查看会议记录,是否进行有关规划、安全管理、IT治理等制度和规程制定,是否进行审定和修订. 、发布落实等。 检查结果a)同时符合上述a) -d) 的所有检查措施,才达到本检查项的要求;43b)获取期货公司负责信息技术规划和信息安全管理的跨部f 机构的组织架构说明和组织成立的正式文件,作为证明材料。3. 1.1.5 必须 延续应与所有总部技术部门人员签署保密协议,应对技术人员的离岗严格管理。 检查方式检查检 查对象保密协议检 查措施a)检查期货公司总部技术人员的保密协议( 或劳动合同中的保密条款);b)检查
200、是否办理了严格的调离手续,检查交接记录。检 查结果a)符合上述a) -b)的检查措施,才达到本检查项的要求;b)获取期货公司总部技术人员保密协议的首页和签名页( 或劳动合同相关页), 作为证明材料。3. 1.1.6 必须 延续应设立2名技术联络员,负责组织、协调和处理与信息安全管理部门、交易所及相关单位的各项技术事宜。检 查方式访谈,检查检 查对象期货公司技术部门负责人,技术联络员,联系方式检 查措施a)访谈技术部门负责人是否清楚技术联络员的职责,了解技术联络员更换的流程;b)访谈技术联络员, 抽查各交易所、监管机构、 保证金监控中心、中期协和存管银行等单位和部门的联系方式;c)检查技术联络员
201、是否至少为2名。检 查结果a)如技术联络员更换的流程中不包含通知交易所和监管机构, 则认为不符合上述检查措施;b)同时符合上述a) -c )的所有检查措施,才达到本检查项的要求;c)获取期货公司技术联络员变更相关流程,作为证明材料。3. 1.1.7 必须 延续总部技术部门应有至少1名安全管理人员。 检查方式访谈,检查 检查对象期货公司人力资源相关人员,技术部安全管理人员,岗位职责检 查措施a)检查期货公司总部安全管理岗人员的个人简历和岗位说明书,查看是否具有安全管理方面的资质和经历,安全管理人员不可外包;b)访谈期货公司总部安全管理人员, 了解其是否明确岗位职责和工作内容, 评估其是否达到岗位
202、能力要求。检 查结果a)同时符合上述a) -b)的所有检查措施,才达到本检查项的要求;b)获取期货公司总部安全管理人员的个人简历、岗位说明书,作为证明材料。443. 1. 1. 8 必须 延续每个营业部应配备至少1名技术人员。 检查方式访谈,检查 检查对象期货公司人力资源相关人员,岗位职责 检查措施a)现场访谈或电话访谈,抽查营业部技术人员,了解其工作职责和日常工作内容;b)检查期货公司营业部的正式员工花名册, 总部应有各营业部的技术人员总表, 包含联系方式( 营业部技术人员不得外包,以与公司签订劳动合同,且具有期货从业资格为准),检查营业部技术人员岗位说明书。检查结果a)同时符合上述a) -
203、b)项的所有检查措施,才达到本检查项的要求;b)获取各营业部的技术人员总表,作为证明材料。3.1.1 . 9 必须 新增总部技术部门应有至少1名网络管理人员。 检查方式访谈,检查 检查对象期货公司人力资源相关人员,网络管理人员,岗位职责 检查措施a)访谈期货公司网络管理人员,了解其岗位职责和工作内容, 评估其是否达到岗位能力要求;b)检查期货公司网络管理人员的个人简历和岗位说明书, 查看是否具有网络管理方面的资质和经历。 检查结果a)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;b)获取期货公司总部网络管理人员的个人简历和岗位说明书,作为证明材料。3 . 1 . 2 培训3.
204、 1. 2. 1 必须 延续对所有上岗技术人员应进行岗位培训。 检查方式访谈,检查 检查对象期货公司人力资源相关人员,技术培训 检查措施a)期货公司提供一年内所有上岗技术人员( 包含营业部) 岗位培训的书面记录,要包含基本制度及技能培训内容;b)培训记录要求包括培训时间、地点、培训讲师、参加培训的人员等信息,并有参加培训人员的签名;c)抽查一年内的培训记录;d)营业部技术人员应定期参加协会组织的技术培训。 检查结果a)同时符合上述a) -d)的所有检查措施,才达到本检查项的要求;b)获取期货公司上岗技术人员的书面培训抽查的记录,作为证明材料3. 1.2.2 必须 延续总部技术部门的所有人员每两
205、年参加期货业协会组织的技术培训应达到18学时,其中至少有3学时的信息技术法律法规及标准培训。45 检查方式检查 检查对象技术培训 检查措施a )检查期货公司近两年参加期货业协会组织的技术培训的清单和协会提供的证明材料;b )培训清单要求包括培训时间、地点、培训讲师、参加培训的人员等信息;c )新入职员工应在两个年度( 含入职当年) 之内完成期货业协会组织的技术培训。 检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司近两年参加期货业协会组织的技术培训清单,作为证明材料。3 . 1 . 2 . 3 必须 延续应有明确的培训教材,用于培训上岗操作
206、人员。 检查方式检查 检查对象技术培训 检查措施a )检查期货公司的培训教材,确定培训教材是否符合岗位实际能力要求;b )培训教材的形式不限,可以是纸质或电子的。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司技术培训教材清单,作为证明材料。3 . 1 . 2 . 4 必须 延续应有对总部技术部门人员的年度培训计划,并根据计划实施。 检查方式检查 检查对象技术培训 检查措施a )检查期货公司对技术员工的年度培训计划;b )检查一年内的技术员工的培训记录,检查执行实施情况。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达
207、到本检查项的要求;b )获取期货公司对技术员工的年度培训计划和培训记录,作为证明材料。3 . 1 . 2 . 5 必须 延续应定期对各个岗位的人员进行安全教育和培训I ,培训内容应包含机房消防及相关应急内容等。 检查方式访谈,检查 检查对象期货公司技术部门负责人,技术培训 检查措施a )期货公司提供一年内各岗位人员安全教育的培训记录;b )检查培训内容是否包括机房消防安全教育和应急培训,应急培训内容应包括应急预案、证券期货业信息安全应急处置的有关规定等。46检查结果a )符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司一年内的各岗位人员安全教育的培训记录,作为
208、证明材料。3 . 1 . 3人员素质3 . 1 . 3 . 1 必须 延续总部技术部门人员5 0 %以上应有信息技术相关专业大学本科或以上教育背景。 检查方式检查检 查对象人员简历检 查措施a)检查期货公司总部花名册中技术部门人员部分( 以与公司签订劳动合同, 且具有期货从业资格为准);b )期货公司提供总部技术人员的情况说明,包括人员岗位、教育背景;c )检查期货公司总部技术人员中信息技术相关专业大学本科或以上教育背景的是否达到5 0 % ;d )检查期货公司的总部技术人员的学历证书或个人简历,是否符合情况说明。检 查结果a)同时符合上述a) - d )的所有检查措施,才达到本检查项的要求;
209、b )获取期货公司总部技术人员情况说明,作为证明材料。3 . 1 . 3 . 2 必须 新增总部技术部门人员1人以上应具备1年及以上的系统运行维护经验。检 查方式检查检 查对象人员简历检 查措施a)检查期货公司总部花名册中技术部门人员部分( 以与公司签订劳动合同, 且具有期货从业资格为准);b )期货公司提供技术人员的情况说明,应包括系统运行维护工作年限;c )检查期货公司的技术人员的个人简历,是否符合情况说明;d )检查期货公司技术人员中具备1年及以上的系统运行维护经验的是否达到4人。检查结果a)同时符合上述a) - d )的所有检查措施,才达到本检查项的要求;b )获取期货公司总部技术人员
210、情况说明, 作为证明材料。( 可使用上一项的证明材料)。3 . 1 . 4信息技术服务提供商管理3 . 1 . 4 . 1 必须 延续应与信息技术服务提供商签订服务保障协议。检 查方式访谈,检查检 查对象期货公司技术部门负责人,信息技术服务提供商管理 检查措施47a)访谈期货公司技术部门负责人,了解信息技术服务提供商状况;b )检查期货公司的服务提供商包含服务保障承诺的协议。检查结果a)同时符合上述a) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司与信息技术服务提供商之间的协议首页和签名页,作为证明材料。3 . 1 . 4 . 2 必须 延续应与核心系统的服务提供商签署保
211、密协议。 检查方式检查检 查对象期货公司技术部门负责人,信息技术服务提供商管理检 查措施a)检查期货公司与所有交易结算应用系统供应商( 包括所有席位的系统) 的保密协议或在合同中有保密条款。检 查结果a)符合上述a)的检查措施,才达到本检查项的要求;b )获取期货公司与交易结算应用系统供应商的保密协议或带有保密条款的合同的首页和签名页,作为证明材料3 . 1 . 4 . 3 必须 延续应有信息技术服务提供商的准确联系方式。检 查方式检查检 查对象信息技术服务提供商管理,联系方式检 查措施a)期货公司提供所有的服务方联系方式表;b )检查期货公司的服务提供商联系方式表,并抽查准确性。检 查结果a
212、)同时符合上述a) - b )的检查措施,才达到本检查项的要求;b )获取期货公司服务提供商的联系方式表,作为证明材料。3 . 1 . 4 . 4 必须 延续选择信息技术服务提供商时应评估其资质、经营行为、业绩、服务体系和服务品质等要素。检 查方式检查检 查对象信息技术服务提供商管理检 查措施a)访谈期货公司选择服务提供商时的相关评估制度或措施;b )抽查评估记录,评估记录中应包括服务提供商的资质、经营行为、业绩、服务体系和服务品质。检 查结果a)同时符合上述a) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司服务商的评估制度或相关措施说明,以及抽查的评估记录, 作为证明材
213、料。3 . 1 . 4 . 5 必须 延续应定期对信息技术服务提供商的服务质量进行评估。检查方式48访谈,检查检查对象期货公司技术部门负责人,信息技术服务商管理检查措施a)访谈期货公司定期评估服务提供商的相关制度或措施;b)访谈期货公司技术部门负责人,了解服务提供商服务质量定期评估的实施情况;c)检查一年内期货公司的服务提供商服务质量的评估报告。检查结果a)同时符合上述a) -c)的所有检查措施,才达到本检查项的要求;b)获取期货公司定期评估服务提供商的制度或相关措施说明,以及抽查的评估报告,作为证明材料。3. 1. 5 IT 投入3. 1. 5. 1 必须 延续最近三个财政年度IT投入平均数
214、额应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3% ,取二者数额较大者。检 查方式检查 检查对象财务报表检 查措施a) IT投入的计算范围包括技术类资产投入、运行、维护、信息技术服务和外包费用,不包括人员薪酬福利,计算方法采用权责发生制;b)检查期货公司前三个财政年度经审计的财务报表;c)检查期货公司的最近三个财政年度IT投入的清单和对应的费用及比例说明;d)对于成立时间不足三年的期货公司,只考虑成立以后的时间。检查结果a)同时符合上述a) -d)的所有检查措施,才达到本检查项的要求;b)获取期货公司最近三个财政年度IT投入的清单和对应的费用及比例说明,作为证
215、明材料。3 . 2机房建设3. 2. 1基本3. 2. 1. 1 必须 延续机房应为独立封闭区域,并配备门禁。检 查方式检查 检查对象机房基础设施检 查措施a)检查期货公司的机房, 是否为独立封闭区域( 独立封闭区域是指机房内不得包括办公、生活等设施,但可以包括监控终端),并配备门禁( 门禁应专门控制机房的出入),并获取机房以及门禁的照片;b)检查期货公司的机房平面图纸( 标注机房区域), 图纸中是否为独立区域。检查结果49a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取机房以及门禁的照片,以及机房平面图纸作为证明材料。3 . 2 . 1 . 2 必须 新增
216、机房承重应达到3 0 0公斤每平方米。 检查方式检查 检查对象机房基础设施检 查措施a )期货公司提供相关机构出具的机房承重相关证明材料,说明机房承重是否达到3 0 0公斤每平方米。检 查结果a )符合上述a )的检查措施,才达到本检查项的要求;b )获取由相关机构出具的期货公司机房承重相关证明材料,作为证明材料。3 . 2 . 1 . 3 必须 延续机房应具备火警检测、灭火和应急照明设施。检 查方式访谈,检查 检查对象机房基础设施 检查措施a )期货公司提供机房情况说明, 包括火警检测、 灭火和应急照明设施等信息;检杳机房消防报验或报备材料 :b )检查期货公司的机房的火警检测设施, 是否符
217、合情况说明( 火警检测设施应分布于机房的每个独立房间);c )检查期货公司的机房的灭火设施,是否符合情况说明;d )检查期货公司的机房的应急照明设施,是否符合情况说明。 检查结果a )同时符合上述a ) - d )的所有检查措施,才达到本检查项的要求;b )获取期货公司机房情况说明,作为证明材料。3 . 2 . 1 . 4 必须 新增机房应当具备自动灭火设施。检 查方式检查 检查对象灭火设施检 查措施a )期货公司提供机房情况说明,包括自动灭火设施,查看消防验收材料 ;b )检查期货公司的机房的自动灭火设施, 是否符合情况说明( 自动灭火设施应当分布于机房的每个独立房间)。检 查结果a )同时
218、符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司的机房情况说明,作为证明材料。3 . 2 . L 5 必须 延续机房出入口和内部应安装7 * 2 4小时录像监控设施,录像至少保存9 0天。检查方式检查50 检查对象机房管理 检查措施a)期货公司提供机房情况说明, 包括机房出入口和内部的录像监控设施和录像保存措施等信息;b)检查期货公司的机房的出入口和内部是否安装录像监控设施,是否与a)的情况说明相符;c)检查近90天的机房监控录像,并抽查两个不同日期的录像记录。 检查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司的机房情况
219、说明,作为证明材料。3.2. 1.6 必须 新增机房应有防雷接地、防鼠以及防静比的设施。 检查方式检查 检查对象机房基础设施 检查措施a)期货公司提供情况说明, 说明防雷和接地、 防鼠以及防静电等措施。 其中应包括交流接地、直流接地、安全工作接地电阻不大于4 欧姆,防雷接地电阻不大于10欧姆的书面证明材料;b)检查期货公司的机房的防雷和接地、防员以及防静电设施,是否与a)的情况说明相符;c)检查期货公司的机房防雷和接地设施布置平面图纸,是否与实际相符。 检查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司的机房情况说明,作为证明材料。3. 2.1.7 必
220、须 延续应实现声音或短信等自动报警或7*24小时值守。 检查方式访谈,检查 检查对象技术部门负责人,机房管理 检查措施a)期货公司提供机房情况说明,包括机房报警或值守措施;b)检查机房报警是否实现声音或短信等自动报警,是否符合情况说明;c)如不能自动报警,访谈技术部门负责人,了解是否采取7*24小时值守的机制,检查期货公司的值守记录,抽查一年内4 个时点相应的记录,间隔不小于2 个月。 检查结果a)同时符合上述a) 和 b) , 或者a) 和 c) 的检查措施,才达到本检查项的要求;b)获取期货公司机房报警或值守的情况说明,作为证明材料。3. 2 . 2 供电3. 2. 2. 1 必须 延续机
221、房应配备在线UPS设施。UPS应当存放在独立封闭区域。检查方式检查检查对象51机房U P S检查措施a )期货公司提供U P S情况说明, 应说明在线U P S设备功率和U P S设备连接方式,U P S应与计算机、网络设备在不同的独立封闭区域;b )检查机房的在线U P S设施,是否符合情况说明。检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司机房的U P S设施的情况说明,作为证明材料。3 . 2 . 2 . 2 必须 新增应具有双路市电供电,双路供电应能实现自动切换,或在单路供电情况下,备用供电措施能提供超过4小时的供电时间。检 查方式
222、检查检 查对象机房供电设施检 查措施a )期货公司提供市电供电、U P S和应急供电情况说明;b )如果具有双路市电供电,应当说明双路供电的来源;c )如果没有双路市电供电, 则U P S和后备发电设施的供电时间和在保证业务支撑时间的前提下,持续供电的时间应当超过4小时;计算时,U P S的供电时间根据U P S和电池的实际用电量进行计算;如果使用发电机,后备发电设施的时间根据可供油量计算;如果使用应急供电协议,则可以认为不必检查4小时的时间;同时,U P S的供电时间应当超过发电机启动或者应急供电协议规定的时间,否则此种供电措施支持的时间不应当被加入总供电时间中;d )检查两年内的电力切换演
223、练记录;e )检查机房的供电系统图,与实际情况是否相符。 检查结果a )符合上述a )、b )、d )和e ) ,或者a )、c )、d )和e )的检查措施,才达到本检查项的要求;b )获取期货公司的U P S和发电机( 或应急供电协议)供电情况说明作为证明材料。3 . 2.3空调3 . 2 . 3 . 1 必须 新增应配有与机房热容量匹配的精密空调,并有冗余的空调设备。检 查方式检查检 查对象期货公司机房空调设备及相关负责人 检查措施a )期货公司提供机房空调情况说明,包括空调的正常温度;b )检查期货公司机房精密空调情况说明, 精密空调热容量是否与机房中配置的设备功率相匹配;c )检查机
224、房空调的冗余, 应当在缺少任何一台空调工作的情况下, 剩余空调的热容量与机房中配置的设备功率相匹配;但是,在此种情况下,可以加入非精密空调提供的热容量。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;52b )获取期货公司机房空调情况说明,作为证明材料。3 . 2 . 3 . 2 必须 延续对机房温湿度应有监控措施和记录。 检查方式检查 检查对象机房管理 检查措施a )检查期货公司近一年内机房温度、湿度的监控记录。如采用人工监控方式,每天应至少记录3个时点的温湿度情况( 每个连续交易时段至少记录1 个时点):如采用自动化监控方式, 则监控时间应覆盖交易时间,
225、 监控工具应能实现短信自动报警,并能导出监控记录;b )检查机房内除空调显示外的温湿度检测点是否真实存在, 抽查其中三天的监控记录 ,时间间隔不小于两个月。 检查结果a ) 同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司机房温度、湿度监控记录,作为证明材料。3 . 2.4布线3 . 2 . 4 . 1 必须 新增强弱电布线应分开。 检查方式检查 检查对象机房管理 检查措施a )期货公司提供机柜外的布线图, 包括强弱电布线情况; 本项要求不包括机柜内布一线人.1b )抽查期货公司机房强弱电的布线, 不应存在强弱电线路平行铺设且无间距、 无隔断的情况。
226、 检查结果a ) 同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司布线图,作为证明材料。3 . 2 . 4 . 2 必须 延续所有弱电布线应有清晰的线标。 检查方式检查 检查对象机房管理检 查措施a )期货公司提供机房线标规划方案;线标上应当可以直接或者可以通过查表的方式,明确知道该线连接的位置和用途;b )抽查期货公司机房弱电线标是否根据规划实施。 检查结果a ) 同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;b )获取机房线标规划方案,作为证明材料。533 . 2.5维护3 . 2 . 5 . 1 必须 新增所有U P S和空调设
227、施都应有专业维护人员,或与专业机构签订维护合同。 检查方式访谈,检查 检查对象U P S和空调设施维护人员或维护合同 检查措施a )访谈U P S和空调设施维护人员,或检查期货公司机房的空调和U P S维护合同。 检查结果a )符合上述a )的检查措施,才达到本检查项的要求;b )获取U P S和空调设施专业维护人员的情况说明或维护合同签名页,作为证明材料。3 . 2 . 5 . 2 必须 新增应定期对所有U P S和空调设施进行恰当维护,有维护记录。 检查方式检查 检查对象U P S和空调设施维护记录 检查措施a )检查期货公司机房一年内U P S和空调设施的维护记录,每季设至少次维护记录.
228、 检查结果a )符合上述a )的检查措施,才达到本检查项的要求;b )获取期货公司机房一年内U P S和空调设施的维护记录,作为证明材料。3. 3核心系统3 . 3.1功能3 . 3 . 1 . 1 必须 延续交易系统应实现数据与应用分离,防止客户终端绕过应用程序界面直接访问核心数据。 检查方式访谈,检查 检查对象技术部门负责人,期货公司交易系统 检查措施a )访谈期货公司技术部门负责人交易系统的软件来源、版本情况、软件架构说明;b )检查软件架构说明, 不应存在客户终端直接使用数据库接口, 访问核心数据的情况;c )检查软件架构说明, 不应存在为客户终端或者管理员终端提供通用的直接修改核心数
229、据的方法。 检查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司交易系统的软件来源、版本情况、软件架构说明,作为证明材料。3 . 3 . 1 . 2 必须 延续交易系统应具备对客户进行实时风险控制的功能。检查方式54访谈,检查 检查对象技术部门负责人,期货公司交易系统风险控制措施 检查措施a )访谈期货公司技术部门负责人交易系统对客户的实时风险控制措施:b )期货公司提供情况说明, 包括交易系统对客户的实时风险控制措施, 至少应具备强行平仓和防止保证金透支的功能;c )检查期货公司交易系统实时风险控制模块。检 查结果a )同时符合上述a ) -
230、c )的所有检查措施,才达到本检查项的要求;b )获取加盖了公章的期货公司交易系统对客户的实时风险控制的情况说明, 作为证明材料。3 . 3 . 1 . 3 必须 延续交易系统应产生、记录并存储必要的日志信息供审计使用。检 查方式访谈,检查检 查对象技术部门负责人,期货公司交易系统检 查措施a )访谈期货公司技术部门负责人交易系统的软件架构说明和日志功能;b )期货公司提供情况说明, 包括交易系统的日志功能,日志信息至少应包括所有接入客户的身份信息、IP地址和交易信息;c )检查是否产生必要的日志信息;d )检查是否记录必要的日志信息;e )检查是否存储必要的日志信息。检 查结果a )同时符合
231、上述a ) - e )的所有检查措施,才达到本检查项的要求;b )获取期货公司交易系统的软件架构说明和日志功能材料,作为证明材料。3 . 3 . 1 . 4 必须 延续核心系统应具备向期货保证金监控中心上报规定数据的功能。检 查方式访谈,检查检 查对象相关管理人员,核心系统检 查措施a )访谈核心系统管理人员保证金数据报送的方式和方法;b )期货公司提供材料,说明已按要求报送保证金监控中心规定的数据。检 查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取报送数据情况说明材料,作为证明材料。3 . 3 . 1 . 5 必须 延续不应具有篡改、伪造核心系统数
232、据或其他可能导致数据失真的功能。检查方式访谈,检查检查对象相关管理人员,核心系统55检查措施a )期货公司提供说明核心系统功能清单的资料;b )检查核心系统功能清单,不应具有篡改成交信息或资金信息的功能。检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司核心系统功能清单,作为证明材料。3 . 3 . 1 . 6 必须 延续核心系统应有授权管理功能。检 查方式访谈,检查 检查对象部门负责人,期货公司核心系统权限管理措施检 查措施a )访谈期货公司技术部门负责人核心系统的权限管理机制;b )期货公司提供核心系统说明,包括授权管理功能;c )检查授权
233、管理功能,应至少做到对单个菜单条目、单个操作人员进行授权。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司核心系统说明,作为证明材料。3 . 3 . 1 . 7 必须 新增核心系统应有运行监控功能。检 查方式访谈,检查检 查对象期货公司核心系统监控措施及相关负责人检 查措施a )访谈期货公司技术部门负责人核心系统的运行监控措施,是否能够覆盖核心系统;b )期货公司提供核心系统的架构说明,包括运行监控措施;c )检查期货公司核心系统的监控功能, 是否符合情况说明, 监控信息应当至少包括各个核心系统的服务器、磁盘阵列、数据库的基本运行情况。检
234、查结果a )同时符合上述a ) -c )的所有检查措施,才达到本检查项的要求;b )获取期货公司核心系统架构说明,作为证明材料。3 . 3 . 1 . 8 必须 延续应要求交易系统供应商提供交易、银期及相关查询接口。检 查方式访谈,检查检 查对象期货公司技术部门负责人,银期系统检 查措施a )检查期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明。检 查结果a )符合上述a )的检查措施,才达到本检查项的要求;b )获取期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明,作为证明材料。3 . 3 . 1 . 9 必须 延续核心系统应具备通过监控中心统一开户系统进行开
235、户的功能。56 检查方式检查 检查对象期货公司核心系统管理人员、核心系统功能检 查措施a)访谈核心系统管理人员统一开户的方式和方法;b)期货公司提供材料,说明已按要求通过监控中心统一开户系统进行开户。检 查结果a)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;b)获取统一开户情况说明材料,作为证明材料。3. 3. 1. 10 必须 延续核心系统应具备链接监控中心投资者查询服务系统的功能。检 查方式检查检 查对象期货公司核心系统管理人员、核心系统功能检 查措施a)期货公司提供材料 ,说明已具备链接监控中心投资者查询服务系统的功能。检 查结果a)获取对接投资者查询服务系统的说明材
236、料-,作为证明材料。3. 3 . 2性能和容量3. 3. 2. 1 必须 延续交易系统的性能和容量应达到所有其作为会员的交易所的要求。检 查方式检查检 查对象期货公司交易系统检 查措施a)期货公司提供交易系统的性能和容量的情况说明, 包括交易系统的性能和容量的最大值;b)检查期货公司其作为会员的交易所出具的相关测试报告。检 查结果a)同时符合上述a) -b)的所有检查措施,才达到本检查项的要求;b)获取期货公司交易系统的性能和容量的情况说明或相关测试报告,作为证明材料。3. 3. 2. 2 必须 延续应对交易系统的主要业务指标进行实时监控。检 查方式访谈,检查检 查对象期货公司交易系统及相关负
237、责人检 查措施a)访谈期货公司技术部门负责人, 了解实时监控交易系统的主要业务指标以及相应的监控措施;b)期货公司提供对交易系统的主要业务指标进行实时监控的情况说明, 包括交易系统的业务指标监控列表;57c )检查交易系统的主要业务指标监控列表, 应至少包括在线用户、 报单和成交记录数量等。检查结果a )同时符合上述a ) -c )的检查措施,才达到本检查项的要求;b )获取期货公司交易系统的主要业务指标的实时监控情况说明,作为证明材料。3 . 3 . 2 . 3 可选 新增应对交易系统的主要业务监控指标进行记录。 检查方式访谈,检查检 查对象期货公司技术部门应用管理人员,运行管理检 查措施a
238、 )期货公司提供一年内全部业务监控记录, 记录应至少包括在线用户、 报单和成交记录数量;b )检查期货公司业务监控手段和记录流程;c )抽查4个时点的监控记录,每个时点的间隔不少于两个月。检 查结果a )同时符合上述a ) -c )的所有检查措施,才能达到本检查项的要求;b )获取4个时点的监控记录,作为证明材料。3 . 3 . 2.4 必须 延续应对所有接入交易所的交易通信链路进行监控。检 查方式访谈,检查检 查对象技术部门网络管理员,接入交易所的交易通信链路检 查措施a )期货公司提供所有接入交易所链路清单和监控方法;b )访谈期货公司网络管理员链路监控的方法;c )抽查至少两条链路的监控
239、实施情况,应当至少监控链路的通断情况、流量情况。检 查结果a )同时符合上述a ) -c )的所有检查措施,才达到本检查项的要求;b )获取连接交易所链路清单和监控方法以及抽查的监控记录,作为证明材料。3 . 3 . 2 . 5 必须 延续接入交易所的交易通信链路应达到所有其作为会员的交易所的要求,并采用不同运营商的通讯线路作为备份线路。检 查方式检查检 查对象接入交易所的交易通信链路检 查措施a )期货公司提供所有接入交易所链路清单;b )检查链路带宽和备份是否满足所有其作为会员的交易所的要求:c )检查期货公司根据交易所要求进行的链路测试情况;d )检查期货公司应当至少有两条线路接入三所联
240、网。检 查结果a )同时符合上述a ) -d )的所有检查措施,才达到本检查项的要求;58b )获取连接交易所链路清单和参加交易所规定的链路测试并通过的证明, 作为证明材料。3 . 3 . 2 . 6 可选 新增接入交易所的交易通信链路带宽使用率每交易日峰值按月统计的平均值应不超过8 0 % o 检查方式访谈,检查检 查对象技术部门网络管理人员,接入交易所的交易通信链路检 查措施a )期货公司提供所有接入交易所链路清单;b )访谈网络管理人员链路容量实时监控的方法,应使用I 好手段实时监控网络带宽;C)抽查至少两条链路容量自动监控的实施情况;d )检查期货公司交易所链路一年内每日峰值按月统计的
241、平均值是否不超过8 0 %。检 查结果a )同时符合上述a ) -d )的所有检查措施,才达到本检查项的要求;b )获取期货公司接入交易所链路每月的日峰值统计情况,作为证明材料。3 . 3 . 2 . 7 必须 延续应对所有网上交易的通信链路进行监控。检 查方式访谈,检查检 查对象技术部门网络管理员,网 上交易的通信链路检 查措施a )期货公司提供所有网上交易专有链路及监控手段清单;b )检查网上交易非专有链路的通断监控情况;c )抽查至少一条专有链路监控实施情况,应当至少监控链路的通断情况。检 查结果a )同时符合上述a ) -c )的所有检查措施,才达到本检查项的要求;b )获取网上交易的
242、通信链路清单, 作为证明材料。3 . 3 . 2 . 8 可选 新增网上交易的通信链路带宽使用率每交易日峰值按月统计的平均值应不超过8 0 %o检 查方式访谈,检查检 查对象网络管理人员,网上交易的通信链路检 查措施a )期货公司提供所有网上交易专有链路清单;b )访谈网络管理人员链路容量实时监控的方法,应使用口动手段实时监控网络带宽;c )抽查至少一条专有链路容量自动监控的实施情况;d )检查期货网上交易专有链路一年内每日峰值按月统计的平均值不超过8 0机检 查结果a )同时符合上述a ) -d )的所有检查措施,才达到本检查项的要求;b )获取期货公司网上交易专有链路每月的日峰值统计情况,
243、作为证明材料。593 . 3.3交易系统冗余3 . 3 . 3 . 1 必须 延续交易系统及其部件应有备份,备份能力应达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的仃关规定。 检查方式访谈,检查 检查对象技术部门负责人,交易系统及其部件检 查措施a )期货公司提供交易系统及其部件清单;b )期货公司提供系统部署图;c )访谈交易系统部件备份情况( 包括交易依赖的所有服务器、 磁盘阵列、 数据库) ;d )核实备份部件真实存在,并实现互备( 可以接受需要人工操作的切换流程);e )每年应至少进行两次切换演练, 演练报告应明确演练步骤, 并记录每个步骤以及整体演练所用时间和数据丢失情
244、况:f )抽查交易系统部件的切换演练记录,以证明备份能力能够达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定. 检查结果a )同时符合上述a ) -f )的所有检查措施,才达到本检查项的要求;b )获取部件清单、切换演练汇总报告及操作手册目录页,作为证明材料。3 . 3 . 3 . 2 必须 新增与交易所连接的网络设备应无单点故障。 检查方式访谈,检查 检查对象技术部门负责人,与交易所连接的网络设备 检查措施a )期货公司提供与交易所连接的网络结构和设备清单;b )与交易所的连接应是双链路冗余, 包括通过三所联网接入交易所实现链路冗余的情况;c )核实相关部件是否真实存在;
245、d )检查设备切换演练记录,并评估是否能够切换。检 查结果a )同时符合上述a ) -d )的所有检查措施,才达到本检查项的要求;b )获取期货公司相关切换演练记录,作为证明材料。3 . 3 . 3 . 3 必须 延续生产环境内的网络设备应有备份,备份能力应达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查方式访谈,检查 检查对象乍产环境内的网络设备及技术部门负责人检 查措施a )期货公司提供所有网络设备清单;b )期货公司提供网络架构图;c )访谈技术部门负责人网络设备备份情况( 包括生产环境中的所有路由器、 交换机、防火墙、负载均衡器、连接线);60d )核实备份
246、部件是否真实存在,并实现互备;e )每年应至少进行两次切换演练, 演练报告应明确演练步骤, 并记录每个步骤以及整体演练所用时间。f )抽杳交易系统网络设备的切换演练记录, 并评估备份能力能否达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。检查结果a )同时符合上述a )- ) 的所有检查措施,才达到本检查项的要求;b )获取设备清单、切换演练汇总报告,作为证明材料。3 . 3 . 3 . 4 必须 新增应使用多个电信运营商的链路作为网上交易的通信链路。 检查方式检查 检查对象网上交易的通信链路检 查措施a )期货公司提供所有网上交易的通信链路清单;b )网上交易的通信链路
247、清单应包括电信运营商情况;c )检查电信运营商是否为多个。检 查结果a )同时符合上述a ) -c )的检查措施,才达到本检查项的要求;b )获取连接交易所的通信链路清单( 应包括电信运营商情况),作为证明材料。3 . 3.4行情冗余3 . 3 . 4 . 1 必须 新增应向客户同时提供至少2套行情服务,且均使用至少2套服务器。检 查方式访谈,检查检 查对象客户开户相关人员、行情服务系统检 查措施a )访谈期货公司,提供行情服务情况说明;b )检查期货公司使用了至少2家行情商提供的行情服务;c )检查期货公司使用了 2家至少能提供2套行情服务器的行情商。检 查结果a )同时符合上述a ) -c
248、 )的所有检查措施,才达到本检查项的要求;b )获取期货公司行情服务情况说明,作为证明材料。3 . 3 . 4 . 2 必须 新增应通过至少两个电信运营商提供行情服务。检 查方式访谈,检查检 查对象技术部门负责人、行情服务系统及其电信链路检 查措施a )期货公司提供所有行情供应商及包含链路情况的部署清单;b )访谈技术部门负责人行情系统部署情况;c )检查通过至少两家电信运营商提供服务。 检查结果61a )同时符合上述a ) -c )的所有检查措施,才达到本检查项的要求;b )获取行情供应商及相关部署清单,作为证明材料。3 . 3.5银期系统冗余3 . 3 . 5 . 1 必须 新增应与至少2
249、家银行实现全国性银期转帐。 检查方式访谈,检查 检查对象技术部门负责人、银期转账系统检 查措施a )期货公司提供注明正式上线的所有银期转帐系统清单;b )检查期货公司与银行签署相关合同及相关内容真实有效;c )检查两家银期转账,且均为全国性银期转账。检 查结果a )同时符合上述a ) -c )的所有检查措施,才达到本检查项的要求;b )获取正式上线的所有银期转帐系统清单. , 与银行签署相关合同首页和签名页, 作为证明材料。3 . 4安全3 . 4 . 1网络隔离3 . 4 . 1 . 1 必须 延续生产网与互联网应实现有效隔离。 检查方式访谈,检查 检查对象技术部门网络管理人员、生产网与互联
250、网的隔离情况检 查措施a )期货公司提供网络架构图( 详细) 及与当前运行情况相符的相关设施的配置清单和安全策略,启用访问控制功能;b )访谈生产网与互联网的隔离情况;c )检查隔离设备是否真实存在;d )检查网络设备的安全规则是否配置允许访问规则, 控制粒度为网段级, 对没有明确定义的数据包缺省拒绝。检 查结果a )同时符合上述a ) - d )的所有检查措施,才达到本检查项的要求;b )期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存。3 . 4 . 1 . 2 必须 延续网站与网上交易系统应实现有效隔离。检 查方式访谈,检查检 查对象技术部门网络管
251、理人员、网站与网上交易系统的隔离情况检 查措施a )期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;b )访谈网站与网上交易系统的隔离情况;62c )检查隔离设备是否真实存在。检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c )如为物理分隔,期货公司应提供说明,作为证明材料。3 . 4 . 1 . 3 必须 延续生产网与办公网应实现有效隔离。检 查方式访谈,检查检 查对象技术部门网络管理人员、生产网与办公网的隔离情况检 查措施a )期货公司提供网
252、络架构图( 详细)及相关设施的配置清单及安全策略;b )访谈生产网与办公网的隔离情况;c )检查隔离设备是否真实存在。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c )如为物理分隔,期货公司应提供说明,作为证明材料。3 . 4 . 1 . 4 必须 延续总部的生产网与营业部的网络应实现有效隔离。检 查方式访谈,检查检 查对象技术部门网络管理人员、总部的生产网与营业部的网络的隔离情况检 查措施a )期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略
253、;b )访谈总部的生产网与营业部的网络的隔离情况;c )检查隔离设备是否真实存在。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c )如为物理分隔,期货公司应提供说明,作为证明材料。3 . 4 . 1 . 5 必须 延续生产网与交易所、银行等外联单位网络应实现有效隔离。检 查方式访谈,检查检 查对象技术部门网络管理人员、生产网与交易所、银行等外联单位网络的隔离情况检 查措施a )期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;b )访谈生产网与
254、交易所、银行等外联单位网络的隔离情况;c )检查隔离设备是否真实存在。检 查结果63a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c )获取外联单位网络隔离情况说明,作为证明材料。3 . 4 . 2 防病毒、补丁和安全加固3 . 4 . 2 . 1 必须 延续应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。 检查方式访谈,检查 检查对象技术部门安全管理人员、安全加固情况 检查措施a )期货公司提供系统补丁相关流程和制度;
255、b )检查补丁评估的相关记录;c )访谈系统补丁更新的情况,跟踪最近一次补丁更新情况。 检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司系统补丁相关流程和制度,作为证明材料。3 . 4 . 2 . 2 必须 延续应对使用W i n d o w s 平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。 检查方式访谈,检查 检查对象技术部门安全管理人员、W i n d o w s 病毒防护措施 检查措施a )期货公司提供病毒管理相关流程和制度;b )访谈公司病毒管理的情况,跟踪最近一次全面病毒检查和病毒更新情况;c )抽查W
256、i n d o w s 服务器、 业务用机和办公机, 病毒特征库应根据公司病毒管理策略更新到最新日期。 检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司病毒管理流程和制度,作为证明材料。3 . 4 . 2 . 3 必须 新增应对生产环境所有服务器定期进行安全扫描和合理加固,关闭不需要的端口。 检查方式访谈,检查 检查对象技术部门安全管理人员、安全扫描和加固措施 检查措施a )期货公司提供安全扫描和加固的相关流程制度;b )期货公司应提供一年内至少1 次安全扫描和加固的报告;c )访谈公司安全扫描和加固执行情况。 检查结果a )同时符合上述a
257、 ) - c ) 的所有检查措施,才达到本检查项的要求;64b )获取期货公司安全扫描、加固报告首页和相关制度,作为证明材料。3 . 4 . 2 . 4 必须 新增应在计算机或存储设备接入生产环境之前对其进行安全检查。 检查方式访谈,检查 检查对象技术部门安全管理人员、接入安全检查检 查措施a)期货公司提供外来计算机管理制度;b )访谈公司外来计算机和存储接入生产环境前的安全扫描措施。检 查结果a)同时符合上述a) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司外来计算机管理制度或公司信息技术管理制度的相关条款, 作为证明材料。3 . 4. 2 . 5 必须 延续应对通过互
258、联网向外提供服务的设备和系统进行定期安全扫描,关闭不需要的端口。检 查方式检查检 查对象外联端口的安全措施检 查措施a)期货公司提供通过互联网向外提供服务的设备和系统及对应开放端口、 端口说明的清单;b )访谈公司安全扫描和加固安全制度,访谈执行情况;c )期货公司应提供一年内至少1次安全扫描和加固的报告。检 查结果a)同时符合上述a) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司安全扫描报告首页,作为证明材料3 . 4. 2 . 6 必须 新增在读取移动存储设备上的数据以及从网络上接收文件或邮件之前,应先进行病毒检查。检 查方式访谈,检查检 查对象技术部门安全管理人员、
259、移动存储和外来文件的安全检查措施检 查措施a)期货公司提供数据管理的相关制度;b )访谈数据管理的相关管理和技术措施;c )检查期货公司从网络上卜载结算数据的管理情况。检 查结果a)同时符合上述a) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司数据管理相关制度,作为证明材料;c )期货公司结算数据卜载介质应专用,应有相关流程检查病毒木马情况。3 . 4. 2 . 7 可选 新增所有生产环境服务器应尽量避免使用t e l n e t、f t p等有安全隐患的服务,与服务器通信应采用加密方式,例如S S H。检查方式65访谈,检查 检查对象技术部门安全管理人员,服务器通信方式
260、 检查措施a)期货公司提供生产环境服务器及对应的远程登录、文件传输程序的清单. ;b )访谈远程登录、文件传输程序采用的加密措施。检 查结果a)同时符合上述a) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司生产环境服务器及对应的远程登录、 文件传输程序清单. , 作为证明材料。3 . 4 . 3 网站安全3 . 4. 3 . 1 必须 延续应有专人监控网站内容,发现问题后及时处理。检 查方式访谈,检查检 查对象技术部门安全管理人员,网站相关业务人员,网站内容管理检 查措施a)期货公司提供网站监控人员名单和处理流程情况说明;b )访谈网站监控管理流程。检 查结果a)同时符
261、合上述a) - b ) 的所有检查措施,才达到本检查项的要求;b )获取网站监控人员名单和处理流程情况说明,作为证明材料。3 . 4. 3 . 2 必须 延续应定期对网站进行安全检查,并对隐患进行及时处理。检 查方式访谈,检查检 查对象技术部门安全管理人员,网站安全检查检 查措施a)对网站进行的安全检查应包括:S Q L 注入漏洞、弱口令、口令验证不足、目录遍历、文件上传、H T T P 协议追踪、跨站脚本、后台漏洞、敏感信息泄漏、网络漏洞和S S L 加密漏洞、下单网页未使用H T T P S 加密机制等;b )期货公司提供一年内的网站安全检查报告;c )访谈网站安全检查情况。检 查结果a)
262、同时符合上述a) - c ) 的所有检查措施,才达到本检查项的要求;b )获取网站安全检查报告作为证明材料。3 . 4. 3 . 3 必须 延续应准备足够措施,能在发现网站被篡改后5 分钟内停止发布被篡改的内容。检 查方式访谈,检查检 查对象技术部门安全管理人员,网站内容管理检 查措施a)期货公司提供网站停止发布机制说明;66b)检查最近一次的演练记录, 并评估从发现网站被篡改到停止发布被篡改的内容的时间是否不超过5分钟。检查结果a)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;b)获取网站停止发布机制说明,作为证明材料。3 . 4 . 3 . 4 必须 延续应安装木马防护软
263、件并定期更新。 检查方式访谈,检查检 查对象技术部门安全管理人员,木马防护措施检 查措施a)期货公司提供网站木马防护机制说明;b)访谈木马防护软件的部署更新情况;c)有条件可检查防木马软件版本是否根据情况进行定期更新。检 查结果a)同时符合上述a) - c)的所有检查措施,才达到本检查项的要求;b)获取网站防木马机制说明,作为证明材料3 . 4 . 3 . 5 必须 延续网站的内容发布应有审核制度和完整的内容发布流程。检 查方式访谈,检查检 查对象技术部门安全管理人员,网站内容管理相关 业务人员,网站内容管理检 查措施a)期货公司提供网站内容审核制度及发布流程;b)检查并访谈网站内容审核制度和
264、流程的执行情况。检 查结果a)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;b)获取网站内容审核制度及发布流程,作为证明材料。3 . 4 . 3 . 6 必须 延续应建立网站备份系统,备份能力应达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查方式访谈,检查 检查对象技术部门负责人,网站系统的所有部件 检查措施a)期货公司提供网站系统的所有部件清单;b)期货公司提供系统部署图:c)访谈网站系统部件备份情况( 例如W E B发布服务器、网站应用服务器、 数据库服务器等):d )核实备份部件真实存在,并实现互备;e )抽查网站系统部件的切换演练记录,并评
265、估系统备份能力是否能够达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查结果a)同时符合上述a) - e )的所有检查措施,才达到本检查项的要求;67b)获取部件清单、切换演练汇总报告及操作手册目录页,作为证明材料。3 . 4 . 4 网上交易安全3 . 4 . 4 . 1 必须 延续应提供可靠的身份认证机制,网上交易客户端支持多种方式与服务端完成身份认证。 检查方式访谈,检查检 查对象技术部门业务系统管理人员,网上交易的身份认证检 查措施a)期货公司提供网上交易系统的身份认证说明;b)检查期货公司网上交易系统是否支持多种身份认证方式;c)访谈网上交易系统的身份验证方
266、式和措施。检 查结果a)同时符合上述a) - c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司网上交易系统的身份认证说明,作为证明材料。3 . 4 . 4 . 2 必须 延续服务器上的用户认证信息应加密存放。检 查方式访谈,检查检 查对象技术部门业务系统管理人员,服务器的用户认证检 查措施a)期货公司提供身份认证存放方式说明;b)检查用户认证信息是否加密存放;c)访谈网上交易系统的身份认证存放方式。检 查结果a)同时符合上述a) - c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司网上交易系统的身份认证存放方式说明,作为证明材料。3 . 4 . 4 . 3 必须 延续应
267、在与客户签订的服务合同( 网上期货服务合同、期货经纪合同及补充协议、风险揭示书)中载明,客户使用网上期货业务可能面临的风险、期货公司采取的风险控制措施、客户应采取的风险控制措施以及相关风险对应的责任承担( 如防止用于网上交易的计算机或手机终端感染木马、病毒,以免被恶意程序窃取口令;加强帐号、口令的保护,不使用简单口令、定期修改口令、输入口令时防止他人偷看、不对他人泄露口令等)。检 查方式访谈,检查检 查对象投资者开户负责人员检 查措施a )期货公司提供网上期货服务合同( 协议);b )访谈开户时网上交易风险揭示的措施和流程。检 查结果a )同时符合上述a ) -b ) 的所有检查措施,才达到本
268、检查项的要求;b )获取期货公司网上期货服务合同( 协议) 中揭示网上交易风险部分页作为证明材料。683 . 4 . 4 . 4 必须 延续应提供预留验证信息服务,在客户进行登录时向客户进行显示,帮助客户有效识别仿冒的网上期货信息系统,防范利用仿冒的网上期货信息系统进行诈骗活动。 检查方式访谈,检查检 查对象技术部门业务系统管理人员,网上交易系统的预留验证信息服务检 查措施a )期货公司提供网上交易系统的预留验证信息相关服务的说明( 例如提供客户结算单信息等);b )访谈公司网上交易系统的预留验证信息相关服务的情况。检 查结果a )同时符合上述a ) -b ) 的所有检查措施,才达到本检查项的
269、要求;b )获取期货公司网上交易系统的预留验证信息相关服务的说明,作为证明材料。3 . 4 . 4 . 5 必须 延续应遵守国家关 个人信息保护的相关规定,确保网上交易数据和客户信息的安全性和完整性。未经客户允许或期货公司授权,不得以任何方式向除中国证监会及其派出机构、执法机关、审计机关以外的第三方提供交易数据和客户信息。 检查方式访谈,检查 检查对象技术部门业务系统管理人员 检查措施a )期货公司提供各类网上交易系统的交易数据及客户信息流转过程说明, 检查期货公司是否能对上述交易数据及客户信息流转过程进行控制;b )如存在向除中国证监会及其派出机构、 执法机关、 审计机关以外的第三方提供交易
270、数据和客户信息的情况,检查是否经过客户允许或公司授权;c )检查期货公司是否对客户网上交易进行必要的风险提示。 检查结果a )同时符合上述a ) -c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司网上交易系统交易数据及客户信息流转说明及网上交易客户端使用风险提示材料,作为证明材料。3 . 4 . 5 账户与权限3 . 4 . 5 . 1 必须 延续应有生产环境内关键系统账户与权限的关系表。检 查方式访谈,检查检 查对象技术部门业务系统管理员,权限管理检 查措施a )期货公司提供生产环境内关键应用系统( 包括交易、 结算和风险监控系统)的账户与权限的关系表;b )访谈生产环境内关
271、键系统账户与权限的关系维护情况。检 查结果a )同时符合上述a ) -b ) 的所有检查措施,才达到本检查项的要求;69b )获取期货公司生产环境内关键系统账户与权限的关系表,作为证明材料。3 . 4 . 5 . 2 必须 延续账户和权限变更应有审批和完整的记录。 检查方式访谈,检查 检查对象技术部门业务系统管理员,权限管理检 查措施a )期货公司提供生产环境内关键应用系统( 包括交易、 结算和风险监控系统) 账户与权限的审批制度和流程;b )期货公司提供一年内全部生产环境内关键系统账户与权限的审批表, 并跟踪一次权限变更是否符合制度要求;c )访谈账户与权限审批制度和流程落实情况。检 查结果
272、a )同时符合上述a ) -c )的所有检查措施,才达到本检查项的要求;b )获取期货公司生产环境内关键系统账户与权限审批制度和流程,作为证明材料。3 . 4 . 5 . 3 必须 延续岗位变动应及时调整对应系统的账户和权限。检 查方式检查检 查对象权限管理检 查措施a )期货公司提供生产环境账户与权限变更制度和流程;b )期货公司提供一年内全部生产环境账户与权限变更记录;c )抽查至少2次账户权限变更是否及时( 岗位变动和权限变更时间间隔不得超过1个月)。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司生产环境账户与权限变更制度和流程,作
273、为证明材料。3 . 4 . 5 . 4 必须 延续应避免使用超级管理员账户完成日常业务操作。检 查方式访谈,检查检 查对象技术部门业务系统管理员,权限管理检 查措施a )期货公司提供业务系统超级管理员账户的使用情况说明;b )访谈业务系统超级管理员账户的使用情况, 该账户应只进行开设账户、 权限分配等非日常业务操作。检 查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司业务系统管理员账户的使用情况说明,作为证明材料。3 . 4 . 6 口令管理3 . 4 . 6 . 1 必须 延续所有书面方式保存的口令应有安全的物理保护措施。检查方式访谈,检查7
274、0 检查对象技术部门安全管理人员,口令管理 检查措施a)以明文方式存放在计算机中的口令视同为书面方式保存的口令;b)期货公司提供书面口令保存方式的情况说明, 应有安全的物理保护措施, 例如放置于保险箱、带锁的柜子,以明文方式存放口令的计算机应放置于有出入控制的操作间内;c)检查口令保存方式措施真实存在。检 查结果a)同时符合上述a) -c )的所有检查措施,才达到本检查项的要求;b)获取期货公司书面口令保存方式的情况说明,作为证明材料。3. 4. 6. 2 必须 延续口令应有复杂度要求。检 查方式访谈,检查检 查对象技术部门安全管理人员,口令管理检 查措施a)期货公司提供口令复杂度要求的相关制
275、度, 应包括具体的复杂度要求, 如口令长度、组合等;b)访谈口令复杂度的实施范围和措施。检 查结果a)同时符合上述a) -b)的所有检查措施,才达到本检查项的要求;b)获取期货公司口令复杂度要求的相关制度,作为证明材料。3. 4. 6. 3 必须 新增口令应定期更换。检 查方式访谈,检查检 查对象技术部门安全管理人员,口令管理检 查措施a)期货公司提供口令定期更换的相关制度;b)访谈口令定期更换的实施范围和措施,重要系统口令变更的策略;c)期货公司提供一年内根据口令更换制度和策略执行口令更换操作的相关记录。检 查结果a)同时符合上述a) -c )的所有检查措施,才达到本检查项的要求;b)获取期
276、货公司口令更换的相关制度和记录,作为证明材料。3. 4 . 7安全审计3. 4. 7. 1 必须 延续核心系统的主要业务操作应产生审计记录。检 查方式检查检 查对象核心系统的业务操作审计检 查措施a)期货公司提供核心系统的主要业务操作的审计记录应包括时间、发起者、类型、描述和结果;71b )抽查一年内至少2天的审计记录,时间间隔不少于两个月。检查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取被抽查的核心系统主要业务操作的审计记录,作为证明材料。3 . 4 . 7 . 2 必须 延续应采取有效措施防止删除、修改或覆盖审计记录。 检查方式检查 检查对象核心系统
277、的业务操作审计 检查措施a )期货公司提供核心系统的主要业务操作的审计记录保存方式的说明, 应至少每日对审计记录进行备份;b )检查期货公司审计记录保存措施的落实情况。 检查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司核心系统主要操作记录机制说明,作为证明材料。3. 5日常运行3 . 5 . 1岗位3 . 5 . 1 . 1 必须 延续应建立日常值班制度,设立专门运行保障岗位,指定运维值班负责人,运维值班负责人应仃备岗,制定明确的每日值班表,保障交易期间有人值守。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,岗位说明书,排班表,交接
278、班流程,值班记录 检查措施a )访谈技术部门负责人,了解期货公司日常运行维护的整体情况;b )期货公司提供日常值班制度( 含连续交易)、值班表、交接班记录、包括运行保障职责的岗位说明行和交易期间值班安排说明。 检查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取日常值班制度、 每日值班表、交接班记录, 运行保障岗位说明书和交易期间值班安排的说明,作为证明材料。3 . 5 . 1 . 2 必须 延续初始化、结算、数据备份等关键操作过程和结果应有复核。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,值班记录 检查措施a )访谈期货公司技术部门负责人了
279、解关键操作保障情况;b )检查日常值班制度中是否要求了复核的规定;c )检查日常值班记录中是否体现了复核的要求。 检查结果72a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司日常值班制度,作为证明材料。3 . 5 . 1 . 3 必须 延续交易运行期间应有现场保障人员,设置运维值班电话,以及时维护和应急处理。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,排班表 检查措施a )访谈期货公司技术部门负责人了解现场保障人员情况, 现场保障是指可以随时登录到核心系统各个服务器和网络设备;b )检查日常值班制度中是否要求了交易期间现场保障人员以及对应
280、的职责;c )检查排班表中是否包含现场保障人员;d)检查是否设置运维值班电话。 检查结果a )同时符合上述a ) - d)的检查措施,才达到本检查项的要求;b )获取期货公司日常值班制度,作为证明材料3 . 5 . 1 . 4 必须 新增网络、主机、数据库、应用系统的运行维护等关键技术岗位应有备岗人员。 检查方式访谈,检查 检查对象技术部门负责人,岗位说明书 检查措施a )检查期货公司提供的网络、主机、 数据库、 应用系统运行维护等关键技术岗位的岗位说明书和主备岗人员名单;b )访谈期货公司关键技术岗位备岗人员,了解是否具有应有的岗位技能。 检查结果a )同时符合上述a ) - b )的检查措
281、施,才达到本检查项的要求;b )获取期货公司网络、 主机、 数据库、 应用系统等主备岗人员名单, 作为证明材料。3 . 5 . 1 . 5 必须 新增应实现双人日常值班。 检查方式检查 检查对象日常值班制度,排班表,每日值班记录 检查措施a )期货公司提供排班表是否体现双人值班;b )抽查排班表和值班记录是否为双人,值班期间无其它工作安排。 检查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司排班表,作为证明材料。3 . 5 . 1 . 6 必须 延续应建立文档管理制度,对运维过程中涉及的各类文档进行分类管理。检查方式73访谈,检查 检查对象技术部门
282、负责人,文档管理人员,文档管理制度,岗位说明书 检查措施a )访谈技术部门负责人,了解期货公司日常文档管理的整体情况;b )检杳文档管理制度及执行情况;c )抽查期货公司部分文档,检查是否按照文档制度的规定编制文档。 检查结果a )同时符合上述a ) - c )的检杳措施,才达到本检查项的要求:b )获取文档管理制度作为证明材料3 . 5.2制度与巡检3 . 5 . 2 . 1 必须 延续在关键时间点应对生产环境运行状态进行巡检。检 查方式检查检 查对象日常值班制度,巡检记录检 查措施a )期货公司提供对生产环境的日常巡检列表, 包括对生产环境运行状态的巡检,规定巡检内容、频度、人员等, 巡检
283、内容应覆盖应用、主机、网络、通信、安全等设备的运行状况;b )检查日常巡检列表,在关键时间点是否对生产环境运行状态进行巡检,关键时间点是否覆盖开盘前、休市、收市等;c )电力、空调、消防、安防等机房设施的巡检,在确保安全的情况下巡检时间可根据实际情况安排,巡检频率每天不少于一次;d)期货公司提供一年内的所有巡检记录,抽查一年内至少4天的生产环境的日常巡检记录,时间间隔不小于两个月。检 查结果a )同时符合上述a ) - d)的检查措施,才达到本检查项的要求;b )获取一年内至少4天的生产环境的日常巡检记录,作为证明材料。3 . 5 . 2 . 2 必须 延续H常操作和巡检应保留记录,并有操作和
284、复核人员的签名。检 查方式检查检 查对象巡检记录检 查措施a )检春期货公司提供的一年内生产环境的所有操作和巡检记录;b )抽查期货公司一年内4天的生产环境的巡检和操作记录,时间间隔不小于两个月;c )检查巡检记录是否包括巡检的对象、时间、状态、巡检人、复核人,是否有巡检人员和复核人员签名确认;d)检查操作记录是否包括操作对象、时间、步骤、指令、操作结果、操作人、复核人等基本要素,是否有操作人员和复核人员签名确认。检 查结果a )同时符合上述a ) - d)的检查措施,才达到本检查项的要求;74b )获取期货公司一年内4天的巡检记录,作为证明材料。3 . 5 . 2 . 3 必须 新增应有详细
285、的操作手册( 包括日常操作和定期维护操作),手册中应有详细的操作步骤。 检查方式检查检 查对象日常操作手册、维护操作手册检 查措施a )期货公司提供生产环境的日常操作和定期维护的操作手册;b )检查期货公司生产环境的日常操作和定期维护的操作手册, 是否有详细的操作步骤。检 查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司生产环境的日常操作和定期维护的操作手册清单和目录, 作为证明材料。3 . 5 . 2 . 4 必须 延续交易期间应对核心系统和网络系统进行实时监控,并能及时、有效地报警。检 查方式检查检 查对象监控系统检 查措施a )期货公司提供交
286、易期间对核心系统和网络系统实时监控的情况说明;b )检查交易期间对核心系统和网络系统实时监控,是否实现自动化监控;c )检查交易期间对核心系统和网络系统实时监控,是否可以及时、有效地报警。检 查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司关于实时监控情况的情况说明,作为证明材料。3 . 5 . 2 . 5 必须 新增应保留关键操作的记录和签名。检 查方式检查 检查对象操作记录检 查措施a )期货公司提供一年内生产环境的操作记录;b )抽查期货公司一年内4天的生产环境操作记录,时间间隔不小于两个月;c )检查关键操作记录是否有操作人员的签名确认,
287、至少包括系统的启停、 参数的修改、数据备份。检 查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司一年内4天的生产环境操作记录,作为证明材料 1 ,3 . 5 . 2 . 6 必须 新增应保留应用系统的操作日志记录。检查方式检查75 检查对象系统操作日志 检查措施a )期货公司提供应用系统的操作日志记录;b )抽查期货公司一年内两天的应用系统的操作日志记录,时间间隔不小于两个月,应保证重要操作是否有对应的应用系统操作记录。检 查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;b )获取应用系统的操作日志记录,作为证明材料。
288、3 . 5 . 2 . 7 必须 延续应记录生产环境发生的故障和异常。检 查方式检查检 查对象故障记录检 查措施a )期货公司提供一年内生产环境发生故障和异常的记录和报告;b )检查生产环境发生的故障记录和报告应包含发生的时间、 现象、处理措施、 后续处理手段等内容;c )检查故障记录和报告信息是否完整。检 查结果a )同时符合上述a ) - c ) 的检查措施,才达到本检查项的要求;b )获取被抽查的故障记录和报告,作为证明材料。3 . 5 . 2 . 8 必须 延续应建立完善和更新重要手册的机制。检 查方式检查检 查对象变更操作手册、值班操作手册、应急操作手册、巡检卡检 查措施a )期货公
289、司提供生产环境日常运行的重要手册完善和更新的制度和流程;b )检查重要手册( 如巡检、应急操作手册等)的更新和修订记录,手册内容应建少包括信息系统日常运行操作的各个环节。检 查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;b )获取期货公司重要手册的更新记录,作为证明材料。3 . 5 . 2 . 9 必须 延续应至少每季度全面评估监控日志和操作记录,分析异常情况,形成评估报告。 检查方式检查 检查对象监控日志和操作记录分析评估报告 检查措施a )检查期货公司是否制定了监控日志和操作记录分析评估的相关制度;b )检查评估报告内容。 检查结果76a )同时符合上述a
290、) - b )项的检查措施,才达到本检查项的要求;b )获取期货公司监控H志和操作记录分析评估报告,作为证明材料。3 . 5.3机房进出3 . 5 . 3 . 1 必须 延续应建立机房管理制度,对机房环境、供电、空调、消防、安防等基础设施进行运行维护,对设备和人员出入机房和值班操作间进行登记,并保留相关记录。 检查方式检查 检查对象出入登记制度,出入登记记录 检查措施a )检查期货公司机房管理制度,是否涵盖对机房环境、 供电、空调、消防、安防等基础设施的运行维护要求,设备、人员出入等是否纳入机房管理工作;b )期货公司提供机房及值班操作间的一年内的出入登记记录;c )抽查期货公司一年内机房和值
291、班操作间的人员以及设备的出入登记记录, 信息登记是否完全。 检查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司机房及值班操作间的出入登记制度和出入登记记录,作为证明材料。3 . 5 . 3 . 2 必须 延续非技术保障人员进入机房应获得授权,并有技术保障人员陪同,所携带设备应专门登记。 检查方式访谈,检查 检查对象机房管理制度,出入登记记录 检查措施a )访谈技术部门负责人了解非技术保障人员进入机房的授权流程和控制措施;b )抽查期货公司一年内非技术保障人员进入机房的登记信息, 检查是否有相应的授权信息;c )检查期货公司一年内非技术保障人员进入机
292、房的登记信息, 检查所携带设备信息描述是否清楚;d )检查期货公司一年内非技术保障人员进入机房的登记信息, 检查是否有技术保障人员陪同信息。 检查结果a )同时符合上述a ) - d )的检查措施,才达到本检查项的要求;b )获取期货公司一年内非技术保障人员进入机房的登记记录,作为证明材料。3 . 5 . 3 . 3 必须 延续交易期间如无应急或者巡检需要,不应进入机房。 检查方式检查 检查对象机房管理制度,出入登记记录 检查措施a )期货公司提供机房出入管理制度;77b )检查期货公司机房出入制度, 是否有交易期间如无应急或者巡检需要, 不应进入机房的要求;C )抽查期货公司一年内交易时间进
293、入机房的出入记录, 检查是否有授权信息, 或对进入机房的必要性进行了说明。检查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取被抽查的机房出入记录,作为证明材料。3 . 6备份3 . 6.1数据备份3 . 6 . 1. 1 必须 延续应根据数据的重要性及其对核心系统运行的影响,制定数据备份策略和恢复策略。 检查方式访谈,检查检 查对象技术部门负责人,数据备份制度检 查措施a )检查期货公司数据备份、恢复的制度和策略;b )访谈技术部门负责人数据备份策略和恢复策略情况。检 查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期
294、货公司数据备份制度和策略,作为证明材料。3 . 6 . 1 . 2 必须 延续应建立数据管理、介质维护、销毁和使用管理制度。检 查方式检查检 查对象技术部门负责人,数据备份制度检 查措施a )检查期货公司数据管理制度中是否包含介质维护、 销毁和使用管理等内容, 应由介质管理员负责涉及敏感信息的介质送修。检 查结果a )符合上述a )项的检查措施,才达到本检查项的要求;b )获取期货公司数据和介质管理的相关制度,作为证明材料。3 . 6 . 1 . 3 必须 延续应对介质进行明确标识。检 查方式访谈,检查检 查对象介质标识相关规定,数据备份介质检 查措施a )访谈期货公司介质标识的相关规定;b
295、)期货公司提供一年内所有的备份介质;c )抽查一年内期货公司4次备份介质,时间间隔不少于两个月;d )检查备份介质是否有明确的标识,是否符合规定。检 查结果78a )同时符合上述a ) - d )的检查措施,才达到本检查项的要求;b )获取期货公司介质标识相关规定,作为证明材料。3 . 6 . 1 . 4 必须 延续应确保介质存放在安全环境中,实现对备份数据的控制和保护。 检查方式检查检 查对象数据备份介质检 查措施a )期货公司提供备份介质保存环境说明;b )检查介质存放环境是否具有防盗措施, 如保险柜、 加锁的抽屉或者有出入控制措施的专用储藏室;c )应至少有一种介质具有可离线存放的特性,
296、如磁带、光盘、移动硬盘等。检 查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司备份介质相关说明,作为证明材料。3 . 6 . 1 . 5 必须 延续每日应对结算后数据进行备份,网站数据应按照备份计划进行备份。检 查方式检查检 查对象数据备份管理检 查措施a )根据期货公司备份策略, 抽查期货公司至少2次结算后数据及网站数据备份介质或文件,实际操作情况应与备份策略一致;b )检查期货公司每日值班记录中是否包括结算后数据备份操作, 检查网站数据备份记录;c )期货公司应提供网站数据备份范围、备份计划及相关的执行记录。检 查结果a )同时符合上述a )
297、- c )项的检查措施,才达到本检查项的要求;b )获取期货公司值班记录备份相关页,作为证明材料。3 . 6 . 1 . 6 必须 延续每周应将结算后数据备份介质离场存放。检 查方式访谈,检查检 查对象备份管理人员,数据备份管理检 查措施a )期货公司提供介质离场存放的说明材料, 其中必须明确描述介质放置位置和离场存放频率;b )访谈备份介质管理人员,了解备份数据是否离场存放( 只需出机房即可),以及离场存放的频率是否符合要求。 检查结果a )同时符合上述a ) - b )项的检查措施,才达到本检查项的要求;b )获取存放方式相关说明,作为证明材料。793.6. 1.7 必须 延续应定期对主要
298、备份业务数据进行恢复验证,根据介质使用期限及时转储数据。 检查方式访谈,检查检 查对象备份管理人员,数据备份管理检 查措施a)访谈数据备份管理人员,了解数据恢复验证频率、 措施及数据转储操作流程,hV .至少每季度对核心交易业务系统的备份数据进行一次有效性验证:b)检查数据恢复验证和转储的操作手册, 抽查一年内进行恢复验证和转储的操作记录。检 查结果a)同时符合上述a) - b)项的检查措施,才达到本检查项的要求;b)获取期货公司数据备份操作手册和近期转储操作记录,作为证明材料。3. 6. 1.8 必须 延续应指定专人负责保管业务数据备份介质。检 查方式访谈,检查检 查对象备份管理人员,数据备
299、份管理检 查措施a)期货公司提供包括业务数据备份介质管理职责的岗位说明书;b)检查岗位说明书是否包含相应工作职责;c)访谈备份介质管理人员, 评估其是否掌握介质分类、 维护、 使用管理和转储相关的制度和操作流程。检 查结果a)同时符合上述a) -c )项的检查措施,才达到本检查项的要求;b)获取期货公司包括业务数据备份介质管理职责的岗位说明书,作为证明材料。3 . 7系统维护3. 7. 1变更管理3. 7. 1. 1 必须 延续应将所有涉及核心系统的软硬件变更纳入变更管理范围。 检查方式检查 检查对象变更管理制度检 查措施a)检查期货公司变更管理制度,是否核心系统的软硬件变更都纳入变更管理范围
300、。检 查结果a)符合上述a)项的检查措施,才达到本检查项的要求;b)获取期货公司变更管理制度的相关章节,作为证明材料。3. 7. 1.2 必须 延续每次变更前应进行评估。检查方式访谈,检查检查对象80技术部门负责人,变更评估报告检查措施a )评估结果应包括风险、变更方案、检验方法、影响通知范围等内容;b )访谈期货公司技术部门负责人,了解变更前的风险评估流程;c )期货公司提供一年内变更记录;d )抽查一年内两次变更记录和相关文档,检查是否在变更前进行评估。检查结果a )同时符合上述a ) - d )项的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司变更记录和相关文档,作为证明材料
301、。3 . 7 . 1 . 3 必须 延续所有变更操作应有操作记录。检 查方式检查检 查对象变更管理制度,变更记录检 查措施a )期货公司提供变更管理制度;b )检查期货公司变更管理制度,是否包含变更应有操作记录的要求;c )期货公司提供一年内变更记录;d )抽查期货公司变更记录,是否包含操作人,操作步骤,操作内容等操作记录;e )变更管理制度应明确要求除紧急变更外不允许在交易时段进行变更。检 查结果a )同时符合上述a ) - c )项的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司变更记录和相关文档,作为证明材料。3 . 7 . 1 . 4 必须 延续所有变更应进行事后检查。检
302、查方式检查检 查对象变更管理制度,变更记录检 查措施a )期货公司提供变更管理制度;b )检查期货公司变更管理制度,是否包含变更必须进行事后检查的要求;c )期货公司提供一年内变更记录;d )抽查期货公司变更操作记录,是否包含事后检查的内容。检 查结果a )同时符合上述a ) - d )项的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司变更操作记录,作为证明材料。3 . 7 . 1 . 5 必须 延续对于风险较大的变更,在条件允许的情况卜一 ,应制定应急和回退方案。检 查方式访谈,检查检 查对象技术部门负责人,变更管理制度,回退方案 检查措施a )检查变更管理制度,是否包含制订应急
303、和回退方案的内容;81b )抽查期货公司一年内两次风险较大的变更操作手册和记录, 其中应包含应急和回退方案。检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司变更操作手册和记录,作为证明材料。3 . 7 . 1 . 6 必须 延续风险较大的变更,应在变更后对系统的运行情况进行跟踪。 检查方式访谈,检查检 查对象技术部门负责人,变更管理制度,值班记录检 查措施a )访谈技术部门负责人,了解变更前的风险评估流程和变更之后的跟踪机制;b )抽查期货公司一年内两次风险较大的变更, 检查其后的值班记录是否对变更系统进行了跟踪观察。检 查结果a )
304、同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取被抽查的值班记录,作为证明材料。3 . 7 . 1 . 7 可选 新增对于风险较大的核心系统变更,在条件允许的情况下,应在上线前进行演练。 检查方式访谈,检查 检查对象技术部门负责人,变更演练记录 检杳措施a )访谈技术部门负责人,了解核心系统上线前的演练情况;b )检查风险较大的核心系统变更在上线前的演练记录, 记录应体现演练结果的评估和分析过程。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司核心系统变更上线演练记录,作为证明材料。3 . 7 . 1
305、. 8 必须 延续进行与核心系统相关的开发工作时,应避免在生产环境上进行日常测试。 检查方式访谈 检查对象技术部门负责人检 查措施a )期货公司提供核心系统相关开发工作的情况说明;b )访谈期货公司技术部门负责人, 了解期货公司是否进行核心系统的开发工作。 如果进行相关开发,是否具有独立的开发或者测试环境。检 查结果a )如果期货公司不进行核心系统开发,本检查项可判定为满足;b )同时符合上述a ) - b ) 项的检查措施,才达到本检查项要求;c )获取期货公司核心系统相关开发工作的情况说明,作为证明材料。823.7. 1.9 必须 延续如果需要使用生产环境进行测试,应纳入变更管理。 检查方
306、式访谈 检查对象技术部门负责人检 查措施a)期货公司提供是否使用生产环境进行测试及相应的情况说明;b)访谈期货公司技术部门负责人,使用生产环境进行测试是否纳入变更管理;c)抽查一次使用生产环境的测试记录和相关文档。 检查结果a)同时符合上述a) -c)项的检查措施,才达到本检查项的要求;b)获取期货公司使用生产环境进行测试的情况说明,作为证明材料。3. 7. 1. 10 可选 新增应建立核心系统软硬件上线前测试的流程和制度, 规范系统上线前进行的测试。 检查方式访谈 检查对象技术部门负责人 检查措施a)检查期货公司关于系统测试的流程和制度;b)访谈期货公司技术负责人系统上线计划和实施测试的流程
307、。 检查结果a)同时符合上述a) -b)项的检查措施,才达到本检查项的要求;b)获取期货公司系统测试相关制度或流程作为证明材料。3. 7.1.11 必须 新增应有模拟测试环境,并与生产环境进行有效隔离。 检查方式访谈 检查对象技术部门负责人 检查措施a)访谈期货公司负责人测试环境设计和部署方案;b)提供测试环境网络架构图( 详细) 及与当前运行情况相符的相关设施的配置清单;c)模拟测试环境与生产环境要彼此独立,不得互相干扰;d)现场检查模拟测试环境所需设备是否真实存在,是否满足核心系统测试需要。检查结果a)同时符合上述a ) -d )项的检查措施,才达到本检查项的要求;b)期货公司提供测试环境
308、网络架构图( 详细) 及相关设施的配置清单,因属于敏感信息,不留存。3. 7. 1. 12 可选 新增应有专人负责系统测试计划、 组织、 实施和记录, 并对参与测试的各方进行统筹协调。检查方式访谈检查对象技术部门负责人83检查措施a)访谈期货公司负责系统测试的相关人员,了解公司系统测试流程和制度执行情况;b)检杳期货公司关于系统测试的流程和制度, 是否要求专人负责测试组织和实施等工作;c)提供参与核心系统测试各方联系方式或服务电话。检查结果a)同时符合上述a ) -c )项的检杳措施,才达到本检查项的要求:b)获取期货公司系统测试流程和制度相关章节作为证明材料。3. 7 . 2配置管理3. 7
309、. 2.1 必须 延续应具有生产环境设计和部署文档,并根据变更及时更新。检 查方式检查检 查对象配置文档检 查措施a)期货公司提供生产环境设计和部署文档及清单;b)检查生产环境设计和部署文档,至少有完整的网络拓扑图和应用系统部署方案,应有与网络拓扑图相对应的网络配置表,表中应包含IP地址等主要信息;c)抽查相关文档是否与当前生产环境相符,包括网络拓扑图、应用系统部署方案、网络配置表等所有文档应及时更新。检 查结果a)同时符合上述a) -c)项的检查措施,才达到本检查项的要求;b)获取期货公司生产环境设计和部署文档清单,作为证明材料。3. 7. 2. 2 必须 延续应对重要的配置信息进行有效备份
310、。检 查方式访谈,检查检 查对象配置管理人员及技术部门负责人,配置文档检 查措施a)期货公司提供备份配置信息的相关流程, 至少包括核心业务系统的操作系统、 网络设备、数据库以及应用系统的配置;b)访谈技术部门负责人和配置管理人员,了解流程执行情况;c)抽查备份信息是否和生产环境配置吻合。检 查结果a)同时符合上述a) -c )项的检查措施,才达到本检查项的要求;b)获取期货公司配置信息备份的相关流程,作为证明材料。3. 7. 2. 3 必须 新增应有恢复配置信息的流程。检 查方式访谈,检查检 查对象配置管理人员及技术部门负责人,配置恢复流程检 查措施a)期货公司提供恢复配置信息的相关流程;84
311、b )访谈技术部门负责人和配置管理人员,了解流程执行情况。检查结果a )同时符合上述a ) - b )项的检查措施,才达到本检查项的要求;b )获取期货公司恢复配置信息的相关流程,作为证明材料。3 . 7.3容量管理3 . 7 . 3 . 1 必须 延续每年应对核心系统的性能和容量情况进行评估。 检查方式检查检 查对象容量评估报告检 查措施a )检查期货公司上一年度核心系统性能和容量情况的评估报告。检 查结果a )符合上述a )项的检查措施,才达到本检查项的要求;b )获取期货公司上一年度核心系统性能和容量情况的评估报告,作为证明材料。3 . 7 . 3 . 2 必须 延续应根据核心系统的性能
312、容量评估报告,结合业务发展情况及时提出改进计划。 检查方式检查检 查对象性能和容量改进计划检 查措施a )检查期货公司是否制定了核心系统性能容量的改进计划;b )检查改进计划是否符合要求。检 查结果a )同时符合上述a ) - b )项的检查措施,才达到本检查项的要求;b )获取期货公司核心系统性能容量改进计划,作为证明材料。3 . 7.4应急演练3 . 7 . 4 . 1 必须 延续应建立健全网络与信息安全事件应急组织体系,对核心系统的常见故障应有书面的应急预案和排障流程。检 查方式检查检 查对象应急组织体系成员名单,应急预案,排障流程检 查措施a )检查是否建立健全网络与信息安全事件应急处
313、置组织体系, 是否明确应急指挥决策机构由主要领导负责,成员包括但不限于 业务、技术、风险控制、结算、财务、客服及综合等有关部门负责人;b )检查期货公司网络与信息安全事件应急预案, 是否明确应急指挥决策和执行机构的职责,是否包括但不限于针对网络与信息安全事件的预防预警、应急处置、报告和调查处理工作;85c )检查期货公司核心系统的常见故障技术排障流程, 场景包括但不限 核心系统的关键部件、网络关键部件、网上交易关键部件、银期转账关键部件、网站关键部件等;d ) 检杳期货公司是否及时调整信息安全事件报告流程, 以满足监管部门的最新要求。检查结果a )符合上述a ) - d ) 项的检查措施,才达
314、到本检查项的要求;b )获取期货公司应急组织体系成员名单、 核心系统应急预案目录、 排障流程清单作为证明材料。3 . 7 . 4 . 2 必须 延续应参与交易所等行业相关机构组织的测试和应急演练并有记录。 检查方式检查检 查对象测试记录,应急演练记录检 查措施a )期货公司提供参加交易所等行业相关机构组织的应急演练的情况说明;b )抽查期货公司参加应急演练的记录或者报告。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司参加交易所等行业相关机构组织的应急演练的情况说明, 作为证明材料。3 . 7 . 4 . 3 必须 延续应根据机构、人员、技
315、术等变化,及时调整应急预案。检 查方式检查检 查对象应急预案检 查措施a )检查期货公司应急预案的历史版本,是否反映了相关变化。检 查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求。3 . 7 . 4.4 必须 延续演练而应制定详细的应急演练计划,并根据计划进行演练。检 查方式检查检 查对象应急演练记录,W急演练计划检 查措施a )抽查期货公司两年内的应急演练计划。 查看是否根据应急预案的内容, 制定详细的应急演练计划。计划中是否至少包括演练的目的、内容、时间、参与方、方式、前期准备情况、统计与记录要求、系统恢复与验证要求等内容;b )抽查期货公司两年内的应急演练报告或记录,检查
316、期货公司是否简/ 至少组织哈公司各部门进行两次应急演练,是否按应急演练计划中规定的场景完成演练。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司应急预案1 1 # 、应急演练计划目录和报告目录,作为证明材料。863 . 7 . 4 . 5 必须 延续应准备必要工具,以便应急预案的顺利执行。 检查方式检查 检查对象应急预案,应急工具检 查措施a )根据应急预案,抽查其中需要使用的相关应急软、硬件工具是否真实存在。检 查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求。3 . 7 . 5 技术事故管理3 . 7 . 5 . 1 必须
317、 延续应建立技术事故报告制度和流程。检 查方式检查检 查对象事故管理制度检 查措施a )检查期货公司技术事故报告制度和流程;b )检查期货公司技术事故报告制度是否包括事故报告及事故的调查处理机制。检 查结果a )符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司技术事故报告制度和流程,作为证明材料。3 . 7 . 5 . 2 必须 延续应保存技术事故的记录。检 查方式检查检 查对象事故记录检 查措施a )期货公司提供一年内技术事故的记录;b )抽查期货公司技术事故记录,应包括事故时间、现象、处理流程、处理结果、原因、改进措施等。检 查结果a )同时符合上述a )
318、 - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司技术事故报告,作为证明材料。3 . 7 . 5 . 3 必须 延续应根据技术事故情况,及时提出改进计划,落实改进措施。检 查方式访谈,检查检 查对象技术部门负责人,改进计划检 查措施a )期货公司提供针对近期技术事故情况的改进计划;b )访谈技术部门负责人,了解落实改进情况。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司针对近期技术事故情况的改进计划,作为证明材料。873 . 8营业部技术要求3 . 8 . 1基本要求3 . 8 . 1 . 1 必须 延续营业部设备区域应
319、是一个单独的区域,用于放置营业部开展业务所需的网络、通信和主机设备。 检查方式检查 检查对象营业部设备区域情况说明 检查措施a )期货公司提供所有营业部的设备区域的情况说明,其中必须包含设备区的照片飞b ) 检查情况说明, 营业部设备区域是否是单独的区域, 与其他办公区域进行了有效隔断;c )检查情况说明,营业部业务所需的网络、通信和主机是否放在设备区域内。 检查结果a )同时符合上述a ) - c ) 项的检查措施,才达到本检查项的要求;b )获取期货公司所有营业部的设备区域的情况说明,作为证明材料。3 . 8 , 1 . 2 必须 延续应确保在交易时间内有技术人员进行技术系统维护工作。 检
320、查方式检查 检查对象营业部交易期间技术人员值守情况说明 检查措施a )期货公司提供所有营业部交易期间技术人员值守情况说明, 包括技术人员的联系方 式 ( 固定电话号码、移动电话号码);b )检查情况说明中的交易时间内的系统维护工作。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司所有营业部交易期间值守情况说明,作为证明材料。3 . 8 . 1 . 3 必须 延续应有与当前运行情况相符的业务系统结构文档。 检查方式检查 检查对象业务系统结构文档 检查措施a )检查期货公司提供的所有营业部为业务开展提供支持的信息系统的结构文档, 应包括系统组成
321、、网络拓扑等。 检查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求;b )获取期货公司所有营业部业务系统结构文档,作为证明材料。3 . 8 . 1 . 4 必须 新增应配备防火墙或相当的安全防护设备。检查方式检查检查对象88安全防护设备情况说明检查措施a )检查期货公司提供的所有营业部的安全防护设备情况说明。检查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求;b )获取期货公司所有营业部安全防护设备情况说明,作为证明材料。3 . 8 . 1 . 5 必须 延续应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。检 查方式
322、检查检 查对象补丁管理制度、测试和升级记录检 查措施a )检查期货公司提供的营业部补丁管理制度和流程;b )抽查营业部核心系统依赖的系统软件的测试和升级记录。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司营业部补丁管理制度和流程,作为证明材料。3 . 8 . 1 . 6 必须 延续应对使用W i n d o w s 平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。检 查方式检查检 查对象营业部的防病毒管理流程和制度检 查措施a )期货公司提供营业部的防病毒管理的相关流程和制度;b )检查防病毒管理的相关流程和制度,
323、是否能够进行全面检查, 是否能保障病毒库的及时更新。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司营业部的防病毒管理流程和制度,作为证明材料。3 . 8 . 1 . 7 必须 延续应建立有效机制,保障总部了解各个营业部的运行情况。 检查方式检查 检查对象营业部运行情况报告检 查措施a )期货公司提供一年内所有营业部向总部提交的运行情况报告, 频度应不低于每月一次;b )抽查至少2次运行报告,时间间隔不小于两个月。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司营业部2次运行报
324、告,作为证明材料。3 . 8 . 1 . 8 必须 延续应有总部和信息技术服务提供商的准确联系方式。89 检查方式检查 检查对象营业部联系方式表检 查措施a)检查期货公司的所有营业部联系方式表, 是否包括总部和信息技术服务提供商的联系方式;b)抽查信息技术服务提供商的联系方式。检 查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司营业部联系方式表,作为证明材料3. 8 . 2 交易保障3. 8. 2. 1 必须 延续提供现场交易的营业部应有至少两条交易通信链路。检 查方式检查检 查对象营业部交易通信链路情况说明检 查措施a)检查期货公司提供现场交易的营业部
325、的交易通信链路情况说明;b)抽查链路情况说明,查看提供现场交易的营业部是否提供两条交易通信链路。检 查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司提供现场交易的营业部的交易通信链路情况说明,作为证明材料。3. 8. 2. 2 必须 延续提供现场交易的营业部关键设备应有冗余。检 查方式检查检 查对象营业部关键设备情况说明检 查措施a)检查期货公司提供现场交易的营业部的关键设备情况说明, 应包括服务器、 网络设备、安全防护设备等;b)抽查设备情况说明,查看关键设备是否达到冗余要求。检 查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;
326、b)获取期货公司提供现场交易的营业部的关键设备情况说明,作为证明材料。3. 8. 2. 3 必须 延续营业部应有有效的H常运行流程和应急处理流程,并进行适当的演练。 检查方式检查检 查对象营业部日常运行流程,应急处理流程,演练记录检 查措施a)检查期货公司提供的所有营业部的日常运行流程、 应急处理流程和一年内的演练记录。90检查结果a)符合上述a) 项的检查措施,才达到本检查项的要求;b)获取期货公司营业部日常运行流程、应急处理流程和演练记录,作为证明材料。4.三类要求4 . 1 技术管理4. 1.1 组织结构4. 1.1.1 必须 延续应设有技术部门并有专职技术人员,并有明确的职责分工和岗位
327、说明。 检查方式访谈,检查 检查对象期货公司人力资源相关人员,岗位职责 检查措施a)访谈期货公司, 提供技术部门员工的情况说明, 包括人员信息、 岗位和基本职责;b)检查技术人员的岗位说明书和技术部门组织架构说明, 查看是否有职责划分不清或遗漏重要职责划分,技术人员不得从事开户、风控、资金存取、结算等关键业务操作。 检查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取期货公司技术部门员工的情况说明和组织架构说明,作为证明材料。4. 1. 1. 2 必须 延续总部技术部门人员总数占公司总部人数的比例不少于8%。 检查方式访谈,检查 检查对象期货公司人力资源相关人员
328、 检查措施a)访谈期货公司, 提供技术部门员工的情况说明, 应包括总部技术部门人员名单及占比情况计算;b)检查期货公司正式员工花名册及员工人数统计( 以与公司签订劳动合同, 且具有期货从业资格为准);c)检查期货公司技术部门技术人员的简历及工资单,是否符合情况说明。 检查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司技术部门员工的情况说明,作为证明材料。4. 1. 1. 3 必须 新增总部技术部门人员不少于11人,对 开展连续交易的期货公司应达到16人。 检查方式访谈,检查 检查对象期货公司人力资源相关人员 检查措施91a)检查期货公司总部技术部门员工
329、人数是否达到11人,对 开展连续交易的公司应达到16人 ( 以与公司签订劳动合同,且具有期货从业资格为准);对于与母公司共用机房,并由母公司提供机房运维服务,或与第三方签署机房基础设施运维协议的期货公司,可在总部技术部门总人数最低要求的基础上最多核减3 人。检查结果a)符合上述a) 的检查措施,才达到本检查项的要求;b)获取期货公司技术部门员工的情况说明, 作为证明材料( 可使用上一项的证明材料)。4. 1. 1.4 必须 延续应建立负责本公司信息技术规划和信息安全管理的跨部门机构,其职责包括系统规划、安全管理、IT治理等。检 查方式访谈,检查检 查对象期货公司人力资源相关人员、信息安全管理机
330、构负责人、组织架构检 查措施a)访谈负责信息技术规划和信息安全管理的跨部门机构负责人, 检查其是否清楚信息技术规划和信息安全的职责和工作内容;b)检查期货公司组织架构说明和该机构成立的正式文件;c)检查公司安全管理制度, 信息安全工作的总体方针和安全策略, 说明该机构安全工作的总体目标、范围、原则和安全框架等;d)检查是否召开会议,查看会议记录,是否进行有关规划、安全管理、IT治理等制度和规程制定,是否进行审定和修订、发布落实等。检 查结果a)同时符合上述a) -d) 的所有检查措施,才达到本检查项的要求;b)获取期货公司负责信息技术规划和信息安全管理的跨部门机构的组织架构说明和组织成立的正式
331、文件,作为证明材料。4. 1.1.5 必须 延续应与所有总部技术部门人员签署保密协议,应对技术人员的离岗严格管理。检 查方式检查检 查对象保密协议 检查措施a)检查期货公司总部技术人员的保密协议( 或劳动合同中的保密条款)。b)检查是否办理了严格的调离手续,检查交接记录。检 查结果a)符合上述a) -b) 的检查措施,才达到本检查项的要求;b)获取期货公司总部技术人员保密协议的首页和签名页( 或劳动合同相关页), 作为证明材料。4. 1.1.6 必须 延续应设立2 名技术联络员,负责组织、协调和处理与信息安全管理部门、交易所及相关单位的各项技术事宜。检查方式访谈,检查检查对象92期货公司技术部
332、门负责人,技术联络员,联系方式检查措施a)访谈技术部门负责人是否清楚技术联络员的职责,了解技术联络员更换的流程;b)访谈技术联络员, 抽查各交易所、监管机构、保证金监控中心、中期协和存管银行等单位和部门的联系方式;c)检查技术联络员是否至少为2 名。检查结果a)如技术联络员更换的流程中不包含通知交易所和监管机构, 则认为不符合上述检查措施;b)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;c)获取期货公司技术联络员变更相关流程,作为证明材料。4. 1. 1. 7 必须 延续总部技术部门应有至少1 名安全管理人员。检 查方式访谈,检查检 查对象期货公司人力资源相关人员,技术部安
333、全管理人员,岗位职责 检查措施a)检查期货公司总部安全管理岗人员的个人简历和岗位说明书, 查看是否具有安全管理方面的资质和经历,安全管理人员不可外包;b)访谈期货公司总部安全管理人员,了解其是否明确岗位职责和工作内容, 评估其是否达到岗位能力要求。检 查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取期货公司总部安全管理人员的个人简历、岗位说明书,作为证明材料。4. 1. 1. 8 必须 延续每个营业部应配备至少1名技术人员。检 查方式访谈,检查检 查对象期货公司人力资源相关人员,岗位职责检 查措施a)现场访谈或电话访谈,抽查营业部技术人员,了解其工作职责和日常
334、工作内容;b)检查期货公司营业部的正式员工花名册, 总部应有各营业部的技术人员总表, 包含联系方式( 营业部技术人员不得外包,以与公司签订劳动合同,且具有期货从业资格为准),检查营业部技术人员岗位说明书。 检查结果a)同时符合上述a) -b) 项的所有检查措施,才达到本检查项的要求;b)获取各营业部的技术人员总表,作为证明材料4. 1. 1.9 必须 新增总部技术部门应有至少2 名网络管理人员。检 查方式访谈,检查检 查对象期货公司人力资源相关人员,网络管理人员,岗位职责检 查措施93a )访谈期货公司网络管理人员,了解其岗位职责和工作内容, 评估其是否达到岗位能力要求;b )检查期货公司网络
335、管理人员的个人简历和岗位说明书, 查看是否具有网络管理方面的资质和经历。检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司总部网络管理人员的个人简历和岗位说明书,作为证明材料。4 . 1 . 2 培训4 . 1 . 2 . 1 必须 延续对所有上岗技术人员应进行岗位培训。 检查方式访谈,检查 检查对象期货公司人力资源相关人员,技术培训 检查措施a )期货公司提供一年内所有上岗技术人员( 包含营业部)岗位培训的书面记录,要包含基本制度及技能培训内容;b )培训记录要求包括培训时间、地点、培训讲师、参加培训的人员等信息,并有参加培训人员的签名;c
336、 )抽查一年内的培训记录;d )营业部技术人员应定期参加协会组织的技术培训。 检查结果a )同时符合上述a ) - d ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司上岗技术人员的书面培训抽查的记录,作为证明材料。4 . 1 . 2 . 2 必须 延续总部技术部门的所有人员每两年参加期货业协会组织的技术培训应达到1 8 学时,其中至少有3 学时的信息技术法律法规及标准培训。 检查方式检查 检查对象技术培训 检查措施a )检查期货公司近两年参加期货业协会组织的技术培训的清单和协会提供的证明材料;b )培训清单要求包括培训时间、地点、培训讲师、参加培训的人员等信息;c )新入职员工应
337、在两个年度( 含入职当年) 之内完成期货业协会组织的技术培训。 检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司近两年参加期货业协会组织的技术培训清单,作为证明材料。4 . 1 . 2 . 3 必须 延续应有明确的培训教材,用于培训上岗操作人员。 检查方式检查 检查对象技术培训 检查措施a )检查期货公司的培训教材. ,确定培训教材是否符合岗位实际能力要求;94b )培训教材的形式不限,可以是纸质或电子的。检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司技术培训教材清单,作为证明材料。4
338、 . 1 . 2 . 4 必须 延续应有对总部技术部门人员的年度培训计划,并根据计划实施。 检查方式检查 检查对象技术培训 检查措施a )检查期货公司对技术员工的年度培训计划;b )检查一年内的技术员工的培训记录,检查执行实施情况。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司对技术员工的年度培训计划和培训记录,作为证明材料。4 . 1 . 2 . 5 必须 延续应定期对各个岗位的人员进行安全教育和培训,培训内容内包含机房消防及相关应急内容等。 检查方式访谈,检查 检查对象期货公司技术部门负责人,技术培训 检查措施a )期货公司提供一年
339、内各岗位人员安全教育的培训记录;b )检查培训内容是否包括机房消防安全教育和应急培训,应急培训内容应包括应急预案、证券期货业信息安全应急处置的有关规定等。 检查结果a )符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司一年内的各岗位人员安全教育的培训记录,作为证明材料。4 . 1 . 3 人员素质4 . 1 . 3 . 1 必须 延续总部技术部门人员5 0 % 以上应有信息技术相关专业大学本科或以上教育背景。 检查方式检查 检查对象人员简历 检查措施a )检查期货公司总部花名册中技术部门人员部分( 以与公司签订劳动合同, 且具有期货从业资格为准):b )期货
340、公司提供总部技术人员的情况说明,包括人员岗位、教育背景;c )检查期货公司总部技术人员中信息技术相关专业大学本科或以上教育背景的是否达到5 0 % ;d )检查期货公司的总部技术人员的学历证书或个人简历,是否符合情况说明。 检查结果a )同时符合上述a ) - d ) 的所有检查措施,才达到本检查项的要求;95b )获取期货公司总部技术人员情况说明,作为证明材料。4 . 1 . 3 . 2 必须 新增总部技术部门人员6人以上应具备2 年及以上的系统运行维护经验。 检查方式检查 检查对象人员简历 检查措施a )检查期货公司总部花名册中技术部门人员部分( 以与公司签订劳动合同, 且具有期货从业资格
341、为准);b )期货公司提供技术人员的情况说明,应包括系统运行维护工作年限;c )检查期货公司的技术人员的个人简历,是否符合情况说明;d )检查期货公司技术人员中具备2 年及以上的系统运行维护经验的是否达到6人。 检查结果a )同时符合上述a ) - d ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司总部技术人员情况说明, 作为证明材料。( 可使用上一项的证明材料)。4 . 1 . 4 信息技术服务提供商管理4 . 1 . 4 . 1 必须 延续应与信息技术服务提供商签订服务保障协议。 检查方式访谈,检查 检查对象期货公司技术部门负责人,信息技术服务提供商管理 检查措施a )访谈期
342、货公司技术部门负责人,了解信息技术服务提供商状况;b )检查期货公司的服务提供商包含服务保障承诺的协议。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司与信息技术服务提供商之间的协议首页和签名页,作为证明材料。4 . 1 . 4 . 2 必须 延续应与核心系统的服务提供商签署保密协议。 检查方式检查 检查对象期货公司技术部门负责人,信息技术服务提供商管理 检查措施a )检查期货公司与所有交易结算应用系统供应商( 包括所有席位的系统) 的保密协议或在合同中有保密条款。 检查结果a )符合上述a ) 的检查措施,才达到本检查项的要求;b )获
343、取期货公司与交易结算应用系统供应商的保密协议或带有保密条款的合同的首页和签名页,作为证明材料。4 . 1 . 4 . 3 必须 延续应有信息技术服务提供商的准确联系方式。检查方式检查96 检查对象信息技术服务提供商管理,联系方式 检查措施a)期货公司提供所有的服务方联系方式表:b)检查期货公司的服务提供商联系方式表,并抽查准确性。 检查结果a)同时符合上述a) -b) 的检查措施,才达到本检查项的要求;b)获取期货公司服务提供商的联系方式表,作为证明材料。4. 1.4.4 必须 延续选择信息技术服务提供商时应评估其资质、经营行为、业绩、服务体系和服务品质等要素。 检查方式检查 检查对象信息技术
344、服务提供商管理 检查措施a)访谈期货公司选择服务提供商时的相关评估制度或措施;b)抽查评估记录,评估记录中应包括服务提供商的资质、经营行为、 业绩、服务体系和服务品质。 检查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取期货公司服务商的评估制度或相关措施说明,以及抽查的评估记录, 作为证明材料。4. 1. 4. 5 必须 延续应定期对信息技术服务提供商的服务质量进行评估。 检查方式访谈,检查 检查对象期货公司技术部门负责人,信息技术服务商管理 检查措施a)访谈期货公司定期评估服务提供商的相关制度或措施;b)访谈期货公司技术部门负责人,了解服务提供商服务质量定期
345、评估的实施情况;c)检查一年内期货公司的服务提供商服务质量的评估报告。检查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司定期评估服务提供商的制度或相关措施说明,以及抽查的评估报告,作为证明材料。4.1.5 IT 投入4. 1. 5. 1 必须 延续最近三个财政年度IT投入平均数额应不少于最近三个财政年度平均净利润的6% 或不少于最近三个财政年度平均营业收入的3% ,取二者数额较大者。 检查方式检查 检查对象财务报表 检查措施97a ) I T 投入的计算范围包括技术类资产投入、运行、维护、信息技术服务和外包费用,不包括人员薪酬福利,计算方法采用权责发生
346、制;b )检查期货公司前三个财政年度经审计的财务报表;c )检查期货公司的最近三个财政年度I T 投入的清单和对应的费用及比例说明;d)对于成立时间不足三年的期货公司,只考虑成立以后的时间。检查结果a )同时符合上述a ) - d) 的所有检查措施,才达到本检查项的要求;b )获取期货公司最近三个财政年度I T 投入的清单和对应的费用及比例说明,作为证明材料。4 . 2机房建设4 . 2 . 1基本4 . 2 . 1 . 1 必须 延续机房应为独立封闭区域,并配备门禁。 检查方式检查 检查对象机房基础设施 检查措施a )检查期货公司的机房, 是否为独立封闭区域( 独立封闭区域是指机房内不得包括
347、办公、生活等设施,但可以包括监控终端),并配备门禁( 门禁应专门控制机房的出入),并获取机房以及门禁的照片;b )检查期货公司的机房平面图纸( 标注机房区域), 图纸中是否为独立区域。检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取机房以及门禁的照片,以及机房平面图纸作为证明材料。4 . 2 . 1 . 2 必须 新增机房承重应达到5 0 0 公斤每平方米。 检查方式检查 检查对象机房基础设施 检查措施a )期货公司提供由相关机构出具的机房承重相关证明材料, 说明机房承重是否达到5 0 0 公斤每平方米。 检查结果a )符合上述a ) 的检查措施,
348、才达到本检查项的要求;b )获取由相关机构出具的期货公司机房承重相关证明材料,作为证明材料。4 . 2 . 1 . 3 必须 延续机房应具备火警检测、灭火和应急照明设施。 检查方式访谈,检查 检查对象机房基础设施 检查措施a )期货公司提供机房情况说明, 包括火警检测、 灭火和应急照明设施等信息;检件机房消防报验或报备材料;98b )检查期货公司的机房的火警检测设施, 是否符合情况说明( 火警检测设施应分布于机房的每个独立房间);C )检查期货公司的机房的灭火设施,是否符合情况说明;d)检查期货公司的机房的应急照明设施,是否符合情况说明。检查结果a )同时符合上述a ) - d) 的所有检查措
349、施,才达到本检查项的要求;b )获取期货公司机房情况说明,作为证明材料。4 . 2 . 1 . 4 必须 延续机房应当具备自动灭火设施。 检查方式检查 检查对象灭火设施 检查措施a )期货公司提供机房情况说明,包括自动灭火设施,查看消防验收材料;b )检查期货公司的机房的自动灭火设施, 是否符合情况说明( 自动灭火设施应当分布于机房的每个独立房间)。 检查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;b )获取期货公司的机房情况说明,作为证明材料4 . 2 . 1 . 5 必须 延续机房出入口和内部应安装7 * 2 4 小时录像监控设施,录像至少保存 9 0 天。
350、 检查方式检查 检查对象机房管理 检查措施a )期货公司提供机房情况说明, 包括机房出入口和内部的录像监控设施和录像保存措施等信息;b )检查期货公司的机房的出入口和内部是否安装录像监控设施,是否与a )的情况说明相符;c )检查近9 0 天的机房监控录像,并抽查两个不同日期的录像记录。 检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司的机房情况说明,作为证明材料。4 . 2 . 1 . 6 必须 延续机房应有防雷接地、防制以及防静电的设施。 检查方式检查 检查对象机房基础设施 检查措施a )期货公司提供情况说明,说明防雷和接地、 防鼠以及
351、防静电等措施。 其中应包括交流接地、直流接地、安全工作接地电阻不大于4 欧姆,防雷接地电阻不大于1 0欧姆的书面证明材料;99b)检查期货公司的机房的防雷和接地、防圆以及防冷电设施,是否与a )的情况说明相符;c)检查期货公司的机房防雷和接地设施布置平面图纸,是否与实际相符。检查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司的机房情况说明,作为证明材料。4.2. 1.7 必须 新增机房内应安装漏水检测设施,并能够自动报警。检 查方式检查 检查对象机房基础设施检 查措施a)期货公司提供机房情况说明, 包括漏水检测设施、自动报警设施( 重点在每台精密空调周
352、围设置漏水检测装置);b)检查机房漏水检测设施,是否符合情况说明。检 查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取期货公司的机房情况说明,作为证明材料。4. 2.1. 8 必须 新增机房内应采用卤代烷或可替代的其他新型气体灭火装置。检 查方式检查检 查对象机房灭火装置检 查措施a)期货公司提供机房情况说明,包括气体灭火装置;b)检查机房的气体灭火装置, 是否为卤代烷或可替代的其他新型气体灭火装置, 查看消防验收材料;c)检查机房的气体灭火装置,并注意查看其设备的有效期,是否符合情况说明;d)检查机房的气体灭火系统的专业维护保养,是否处于有效维保状态。检 查
353、结果a)同时符合上述a) -d) 的所有检查措施,才达到本检查项的要求;b)获取期货公司机房的灭火装置情况,作为证明材料;c)获取期货公司气体消防的维保合同以及一年内维护保养记录。4.2. 1.9 必须 新增应具有机房环境监控系统,至少能够监控供配电、空调、温湿度等重要指标。检 查方式检查检 查对象机房监控检 查措施a)期货公司提供机房情况说明,包括机房环境监控措施;b)检查机房的环境监控系统,是否有供配电、空调、温度、湿度等监控,是否符合情况说明。 检查结果100a )供配电、空调、温度、湿度等监控指标缺少任意一项,都为不符合上述a )的检查措施;b )同时符合上述a ) - b )的所有检
354、查措施,才达到本检查项的要求;c )获取期货公司机房的环境监控系统的情况说明,作为证明材料。4 . 2 . 1 . 1 0 必须 延续应实现声音或短信等自动报警或7 * 2 4小时值守。 检查方式访谈,检查 检查对象技术部门负责人,机房管理 检查措施a )期货公司提供机房情况说明,包括机房报警或值守措施;b )检查机房报警是否实现声音或短信等自动报警,是否符合情况说明;c )如不能自动报警,访谈技术部门负责人,了解是否采取7 * 2 4小时值守的机制,检查期货公司的值守记录,抽查一年内4个时点相应的记录,间隔不小于2个月。 检查结果a )同时符合上述a )和b ) ,或者a )和c )的检查措
355、施,才达到本检查项的要求;b )获取期货公司机房报警或值守的情况说明,作为证明材料。4 . 2.2供电4 . 2 . 2 . 1 必须 延续机房应配备在线U P S设施。U P S应当存放在独立封闭区域。 检查方式检查 检查对象机房U P S 检查措施a )期货公司提供U P S情况说明, 应说明在线U P S设备功率和U P S设备连接方式,U P S应与计算机、网络设备在不同的独立封闭区域;b )检查机房的在线U P S设施,是否符合情况说明。 检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司机房的U P S设施的情况说明,作为证明材料。
356、4 . 2 . 2 . 2 必须 新增应提供双路市电,双路供电应能实现自动切换,双U P S供电,并能够采用发电机应急供电。 检查方式检查 检查对象机房供电设施 检查措施a )检查期货公司提供的市电供电、U P S设施和应急供电发电机情况说明;b )检查双路市电来源的说明是否符合实际情况;c )检杳是否配备了发电机予以保护( 不包括移动式的发电机);d )检查所有生产环境的双电源设备分别连接到不同的U P S ;e )检查所有生产环境的单电源设备都连接到S T S设备, 或采用双机热备, 或其它等效措施,并分别连接到不同的U P S ;101f )检查两年内的电力切换演练记录, 切换应当包括在
357、一路市电、 一路U P S 完全失效或者一路电源开关发生故障的情况下,剩余的市电和U P S 可以支撑机房的全部设备的情况。检查结果a )同时符合上述a ) - f ) 中的所有检查措施,才达到本检查项的要求;b )获取期货公司应急供电情况说明,作为证明材料。4 . 2 . 2 . 3 必须 新增应具有电力设施实时切换演练制度和记录。检 查方式检查检 查对象机房管理检 查措施a )检查期货公司提供的电力设施实时切换演练制度;b )检查期货公司近两年内电力设施实时切换演练记录; 实时切换应当做到模拟一路市电中断、一路U P S 完全失效和一路电源开关发生故障的情况下,所有的生产环境设备不需要任何
358、人工操作,仍然能够正常工作。 检查结果a)同时符合上述a) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司近两年内电力设施实时切换演练记录,作为证明材料4 . 2 . 2 . 4 必须 新增发电机应能够提供不少于6 小时的连续供电,在满负载运行的情况下,U P S 供电时间应超过从断电到发电机开始供电的间隔时间。检 查方式检查检 查对象机房供电设施 检查措施a)期货公司提供发电机情况说明,包括发电机应急供电时间等信息;b )检查发电机情况说明, 根据可供油量, 计算供电时间是否不少于6小时; 根据现场油箱大小及标尺计算现场油量,根据发电机每小时油耗来计算现场供油量,计算能
359、实际达到的供电时间;如签署应急供电协议,则该协议提供的后备供电时间不得超过3 小时;c )计算U P S 的供电时间; 计算时, 根据机房的满负载用电量和U P S 电池的实际电量,计算U P S 供电时间能否超过从断电到发电机开始供电所需的时间间隔;d )检查机房的供电系统图,与实际情况是否相符。 检查结果a)符合上述a) - d ) 的检查措施,才达到本检查项的要求;b )获取期货公司发电机情况说明,作为证明材料。4 . 2 . 2 . 5 必须 新增应定期对发电机进行开机测试。检 查方式检查检 查对象机房供电管理检 查措施a)期货公司提供一年内发电机开机测试记录,应包括测试时间,测试结果
360、等内容。102检查结果a)符合上述a) 的所有检查措施,才达到本检查项的要求;b )获取期货公司发电机测试记录,作为证明材料。4 . 2 . 3 空调4 . 2 . 3 . 1 必须 新增应配有与机房热容量匹配的精密空调,并有冗余的精密空调设备。检 查方式检查检 查对象机房空调设备检 查措施a)期货公司提供机房精密空调情况说明,包括空调的正常温度;b )检查期货公司机房精密空调情况说明, 精密空调热容量是否与机房中配置的设备功率相匹配;c )检查机房精密空调的冗余, 应当在缺少任何一台精密空调工作的情况下, 剩余精密空调的热容量与机房中配置的设备功率相匹配。检 查结果a)同时符合上述a) -
361、c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司机房精密空调情况说明,作为证明材料。4 . 2 . 3 . 2 必须 延续对机房温湿度应有监控措施和记录。检 查方式检查检 查对象机房管理检 查措施a)检查期货公司近一年内机房温度、 湿度的监控记录。如采用人工. 监控方式, 每天应至少记录3 个时点的温湿度情况( 每个连续交易时段至少记录1 个时点);如采用自动化监控方式, 则监控时间应覆盖交易时间, 监控工具应能实现短信自动报警,并能导出监控记录;b )检查机房内除空调显示外的温湿度检测点是否真实存在, 抽查其中三天的监控记录,时间间隔不小于两个月。检 查结果a)同网符合上述a
362、) - b ) 的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司机房温度、湿度监控记录,作为证明材料。4 . 2 . 3 . 3 必须 新增空调应双路供电。 检查方式检查检 查对象机房空调设备,机房供电设施检 查措施a)期货公司提供的机房空调情况说明,包括空调供电信息;b )根据机房空调情况说明,检查空调供电是否双路( 不要求自动切换)。检 查结果a)同时符合上述a) - b ) 的所有检查措施,才达到本检查项的要求;103b )获取检查期货公司机房空调情况说明,作为证明材料。4 . 2 . 3 . 4 必须 新增机房应配备新风设施。 检查方式检查 检查对象机房新风设施检 查措施a
363、)期货公司提供的机房情况说明,包括是否配备新风设施信息;b )检查期货公司新风设施,是否符合情况说明。检 查结果a)同时符合上述a) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司机房情况说明,作为证明材料。4 . 2 . 3 . 5 可选 新增应具有为空调供电的发电机。检 查方式检查检 查对象机房供电设施,机房空调设施检 查措施a)期货公司提供机房的空调情况说明,包括发电机信息和机房供电图;b )检查期货公司机房的为空调供电的发电机,是否符合情况说明;c )检查机房的空调供电系统图( 含发电机供电)。检 查结果a)同时符合上述a) - c ) 的所有检查措施,才达到本检
364、查项的要求;b )获取机房的空调情况说明,作为证明材料。4 . 2 . 4 布线4 . 2 . 4 . 1 必须 延续强弱电布线应分开。检 查方式检查检 查对象机房管理检 查措施a)期货公司提供机柜外的布线图, 包括强弱电布线情况; 本项要求不包括机柜内布线;b )抽查期货公司机房强弱电的布线, 不应存在强弱电线路平行铺设且无间距、 无隔断的情况。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司布线图,作为证明材料。4 . 2 . 4 . 2 必须 延续所有弱电布线应有清晰的线标。检 查方式检查 检查对象机房管理 检查措施104a )期货
365、公司提供机房线标规划方案;线标上应当可以直接或者可以通过查表的方式,明确知道该线连接的位置和用途;b )抽查期货公司机房弱电线标是否根据规划实施。检查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;b )获取机房线标规划方案,作为证明材料。4 . 2 . 4 . 3 必须 新增强电电缆应有屏蔽或隔离措施。检 查方式检查检 查对象机房管理检 查措施a )期货公司提供强电情况说明, 包括机柜外的强电电缆是否有屏蔽或隔离措施; 本项要求不包括机柜内强电电缆;b )对于强电电缆与弱电电缆分开铺设的,认为符合隔离措施;c )对于强电电缆与弱电电缆一起铺设的( 指直接相邻、无间
366、距且平行), 应采取屏蔽措施。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司强电情况说明,作为证明材料。4 . 2 . 4 . 4 必须 新增所有布线应置于管道或桥架中。检 查方式检查检 查对象机房管理检 查措施a )期货公司提供机柜外的布线情况说明; 这些布线应当放置在管道或桥架中, 但是不要求完全封闭;本项要求不包括机柜内布线;b )检查期货公司机房的布线情况,是否符合情况说明。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司布线情况说明,作为证明材料。4 . 2 . 5 维护
367、4 . 2 . 5 . 1 必须 延续所有U P S 和空调设施都应有专业维护人员,或与专业机构签订维护合同。 检查方式访谈,检查检 查对象U P S 和空调设施维护人员或维护合同检 查措施a )访谈U P S 和空调设施维护人员,或检查期货公司机房的空调和U P S 维护合同。检 查结果a )符合上述a ) 的检查措施,才达到本检查项的要求;105b)获取UPS和空调设施专业维护人员的情况说明或维护合同签名页,作为证明材料。4. 2. 5. 2 必须 延续应定期对所有UPS和空调设施进行恰当维护,有维护记录。 检查方式检查 检查对象UPS和空调设施维护记录 检查措施a)检查期货公司机房一年内
368、UPS和空调设施的维护记录,每季度至少次维护记录。 检查结果a)符合上述a)的检查措施,才达到本检查项的要求;b)获取期货公司机房一年内UPS和空调设施的维护记录,作为证明材料。4. 3核心系统4. 3 . 1功能4.3. 1. 1 必须 延续交易系统应实现数据与应用分离,防止客户终端绕过应用程序界面直接访问核心数据。 检查方式访谈,检查 检查对象技术部门负责人,期货公司交易系统 检查措施a)访谈期货公司技术部门负责人交易系统的软件来源、版本情况、软件架构说明;b)检查软件架构说明, 不应存在客户终端直接使用数据库接口, 访问核心数据的情况;c)检查软件架构说明, 不应存在为客户终端或者管理员
369、终端提供通用的直接修改核心数据的方法。 检查结果a)同时符合上述a) -c)的所有检查措施,才达到本检查项的要求;b)获取期货公司交易系统的软件来源、版本情况、软件架构说明,作为证明材料。4. 3. 1. 2 必须 延续交易系统应具备对客户进行实时风险控制的功能。 检查方式访谈,检查 检查对象技术部门负责人,期货公司交易系统风险控制措施 检查措施a)访谈期货公司技术部门负责人交易系统对客户的实时风险控制措施:b)期货公司提供情况说明, 包括交易系统对客户的实时风险控制措施, 至少应具备强行平仓和防止保证金透支的功能;c)检查期货公司交易系统实时风险控制模块。 检查结果a)同时符合上述a) -c
370、 )的所有检查措施,才达到本检查项的要求;b)获取加盖了公章的期货公司交易系统对客户的实时风险控制的情况说明, 作为证明材料。1064. 3.1.3 必须 延续交易系统应产生、记录并存储必要的日志信息供审计使用。 检查方式访谈,检查 检查对象技术部门负责人,期货公司交易系统检 查措施a)访谈期货公司技术部门负责人交易系统的软件架构说明和日志功能:b)期货公司提供情况说明, 包括交易系统的日志功能,日志信息至少应包括所有接入客户的身份信息、IP地址和交易信息;c)检查是否产生必要的日志信息;d)检查是否记录必要的日志信息;e)检查是否存储必要的日志信息。检 查结果a)同时符合上述a) -e) 的
371、所有检查措施,才达到本检查项的要求;b)获取期货公司交易系统的软件架构说明和日志功能材料,作为证明材料。4. 3.1. 4 必须 延续核心系统应具备向期货保证金监控中心上报规定数据的功能。 检查方式访谈,检查 检查对象相关管理人员,核心系统检 查措施a)访谈核心系统管理人员保证金数据报送的方式和方法;b)期货公司提供材料,说明已按要求报送保证金监控中心规定的数据。检 查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取报送数据情况说明材料,作为证明材料。4. 3.1. 5 必须 延续不应具有篡改、伪造核心系统数据或其他可能导致数据失真的功能。检 查方式访谈,检查检
372、 查对象相关管理人员,核心系统 检查措施a)期货公司提供说明核心系统功能清单的资料;b)检查核心系统功能清单,不应具有篡改成交信息或资金信息的功能。检 查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取期货公司核心系统功能清单,作为证明材料。4. 3. 1. 6 必须 延续核心系统应有授权管理功能。检 查方式访谈,检查 检查对象部门负责人,期货公司核心系统权限管理措施 检查措施107a)访谈期货公司技术部门负责人核心系统的权限管理机制;b)期货公司提供核心系统说明,包括授权管理功能;c)检查授权管理功能,应至少做到对单个菜单条目、单个操作人员进行授权。检查结果a
373、)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司核心系统说明,作为证明材料。4. 3. 1. 7 必须 延续核心系统应有运行监控功能。检 查方式访谈,检查检 查对象期货公司核心系统监控措施及相关负责人检 查措施a)访谈期货公司技术部门负责人核心系统的运行监控措施,是否能够覆盖核心系统;b)期货公司提供核心系统的架构说明,包括运行监控措施;c)检查期货公司核心系统的监控功能, 是否符合情况说明, 监控信息应当至少包括各个核心系统的服务器、磁盘阵列、数据库的基本运行情况。检 查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司
374、核心系统架构说明,作为证明材料。4. 3.1. 8 必须 新增交易系统应具备流量控制管理功能。检 查方式访谈,检查检 查对象期货公司交易系统流量控制措施及部门负责人检 查措施a)访谈期货公司技术部门负责人核心系统的架构和流量控制措施, 流量控制应至少包括控制单位时间委托笔数上限的功能;b)期货公司提供交易系统流量控制管理的情况说明,包括具体的流量控制措施;c)期货公司提供交易系统流量控制的测试报告。检 查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司交易系统情况说明,作为证明材料4.3. 1.9 必须 延续应要求交易系统供应商提供交易、银期及相关查询接
375、口。 检查方式访谈,检查检 查对象期货公司技术部门负责人,银期系统检 查措施a)检查期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明。检 查结果a)符合上述a) 的检查措施,才达到本检查项的要求;b)获取期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明,作为证明材料。1084. 3. 1. 10 必须 延续核心系统应具备通过监控中心统一开户系统进行开户的功能。 检查方式检查 检查对象期货公司核心系统管理人员、核心系统功能 检查措施a)访谈核心系统管理人员统一开户的方式和方法;b)期货公司提供材料,说明已按要求通过监控中心统一开户系统进行开户。 检查结果a)同时符
376、合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取统一开户情况说明材料,作为证明材料。4. 3. 1. 11 必须 延续核心系统应具备链接监控中心投资者查询服务系统的功能。 检查方式检查 检查对象期货公司核心系统管理人员、核心系统功能 检查措施a)期货公司提供材料 ,说明已具备链接监控中心投资者查询服务系统的功能。 检查结果a)获取对接投资者查询服务系统的说明材料,作为证明材料。4. 3 .2 性能和容量4. 3. 2. 1 必须 延续交易系统的性能和容量应达到所有其作为会员的交易所的要求。 检查方式检查 检查对象期货公司交易系统 检查措施a)期货公司提供交易系统的性能和容量的
377、情况说明, 包括交易系统的性能和容量的最大值;b)检查期货公司其作为会员的交易所出具的相关测试报告。 检查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取期货公司交易系统的性能和容量的情况说明或相关测试报告,作为证明材料。4. 3. 2. 2 必须 延续应对交易系统的主要业务指标进行实时监控。 检查方式访谈,检查 检查对象期货公司交易系统及相关负责人 检查措施a)访谈期货公司技术部门负责人, 了解实时监控交易系统的主要业务指标以及相应的监控措施;109b )期货公司提供对交易系统的主要业务指标进行实时监控的情况说明, 包括交易系统的业务指标监控列表;C )检查交
378、易系统的主要业务指标监控列表, 应至少包括在线用户、 报单和成交记录数量等。检查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司交易系统的主要业务指标的实时监控情况说明,作为证明材料。4 . 3 . 2 . 3 必须 延续应对交易系统的主要业务监控指标进行记录。 检查方式访谈,检查检 查对象期货公司技术部门应用管理人员,运行管理检 查措施a )期货公司提供一年内全部业务监控记录, 记录应至少包括在线用户、 报单和成交记录数量;b )检查期货公司业务监控手段和记录流程;c )抽查4个时点的监控记录,每个时点的间隔不少于两个月。检 查结果a )同时符合上
379、述a ) - c )的所有检查措施,才能达到本检查项的要求;b )获取4个时点的监控记录,作为证明材料。4 . 3 . 2 . 4 必须 延续应对所有接入交易所的交易通信链路进行监控。检 查方式访谈,检查检 查对象技术部门网络管理员,接入交易所的交易通信链路检 查措施a )期货公司提供所有接入交易所链路清单和监控方法;b )访谈期货公司网络管理员链路监控的方法;c )抽查至少两条链路的监控实施情况,应当至少监控链路的通断情况、流量情况。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取连接交易所链路清单和监控方法以及抽查的监控记录,作为证明材料。4
380、. 3 . 2 . 5 必须 延续接入交易所的交易通信链路应达到所有其作为会员的交易所的要求,并采用不同运营商的通讯线路作为备份线路。 检查方式检查检 查对象接入交易所的交易通信链路检 查措施a )期货公司提供所有接入交易所链路清单;b )检查链路带宽和备份是否满足所有其作为会员的交易所的要求;c )检查期货公司根据交易所要求进行的链路测试情况;d )检查期货公司应当至少有两条线路接入三所联网。 检查结果110a)同时符合上述a) -d) 的所有检查措施,才达到本检查项的要求;b)获取连接交易所链路清单和参加交易所规定的链路测试并通过的证明, 作为证明材料。4. 3. 2. 6 必须 延续接入
381、交易所的交易通信链路带宽使用率每交易日峰值按月统计的平均值应不超过80%, 检查方式访谈,检查检 查对象技术部门网络管理人员,接入交易所的交易通信链路 检查措施a)期货公司提供所有接入交易所链路清单;b)访谈网络管理人员链路容量实时监控的方法, 应使用自动手段实时监控网络带宽;c)抽查至少两条链路容量自动监控的实施情况;d)检查期货公司交易所链路一年内每日峰值按月统计的平均值是否不超过80%。检 查结果a)同时符合上述a) -d) 的所有检查措施,才达到本检查项的要求;b)获取期货公司接入交易所链路每月的日峰值统计情况,作为证明材料。4. 3. 2. 7 必须 延续应对所有网上交易的通信链路进
382、行监控。检 查方式访谈,检查检 查对象技术部门网络管理员,网上交易的通信链路检 查措施a)期货公司提供所有网上交易专有链路及监控手段清单;b)检查网上交易非专有链路的通断监控情况;c)抽查至少一条专有链路监控实施情况,应当至少监控链路的通断情况。检 查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取网上交易的通信链路清单, 作为证明材料。4. 3.2.8 必须 延续网上交易的通信链路带宽使用率每交易日峰值按月统计的平均值应不超过80%o 检查方式访谈,检查 检查对象网络管理人员,网上交易的通信链路检 查措施a)期货公司提供所有网上交易专有链路清单;b)访谈网络管
383、理人员链路容量实时监控的方法,质使用口动手段实时监控网络带宽;c)抽查至少一条专有链路容量自动监控的实施情况;d)检查期货网上交易专有链路一年内每日峰值按月统计的平均值不超过80%o 检查结果a)同时符合上述a) -d) 的所有检查措施,才达到本检查项的要求;i l lb )获取期货公司网上交易专有链路每月的日峰值统计情况,作为证明材料。4 . 3 . 3 交易系统冗余4 . 3 . 3 . 1 必须 延续交易系统及其部件应有热备份,备份能力应达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查方式访谈,检查 检查对象技术部门负责人,交易系统及其部件检 查措施a )期货
384、公司提供交易系统及其部件清单;b )期货公司提供系统部署图;c )访谈交易系统部件备份情况( 包括交易依赖的所有服务器、 磁盘阵列、 数据库) ;d )核实备份部件真实存在,并实现互备;e )每年应至少进行两次切换演练, 演练报告应明确演练步骤, 并记录每个步骤以及整体演练所用时间和数据丢失情况;抽杳交易系统部件的切换演练记录, 认证明备份能力能够达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。检 查结果a )同时符合上述a ) - f ) 的所有检查措施,才达到本检查项的要求;b )获取部件清单、切换演练汇总报告及操作手册目录页,作为证明材料4 . 3 . 3 . 2
385、必须 延续与交易所连接的网络设备应无单点故障。 检查方式访谈,检查检 查对象技术部门负责人,与交易所连接的网络设备检 查措施a )期货公司提供与交易所连接的网络结构和设备清单;b )与交易所的连接应是双链路冗余, 包括通过三所联网接入交易所实现链路冗余的情况;c )核实相关部件是否真实存在;d )检查设备切换演练记录,并评估是否能够切换。检 查结果a )同时符合上述a ) - d ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司相关切换演练记录,作为证明材料。4 . 3 . 3 . 3 必须 延续生产环境内的网络设备应有热备份,备份能力应达到 证券期货经营机构信息系统备份能力标准的
386、要求及监管部门的有关规定. 检查方式访谈,检查 检查对象生产环境内的网络设备及技术部门负责人检 查措施a )期货公司提供所有网络设备清单;b )期货公司提供网络架构图;112c )访谈技术部门负责人网络设备备份情况( 包括生产环境中的所有路由器、 交换机、防火墙、负载均衡器、连接线);d )核实备份部件是否真实存在,并实现互备;e )每年应至少进行两次切换演练, 演练报告应明确演练步骤, 并记录每个步骤以及整体演练所用时间。f )抽杳交易系统网络设备的切换演练记录, 并评估备份能力能否达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定,设备须自动切换。检查结果a )同时符合上
387、述a ) - 1) 的所有检查措施,才达到本检查项的要求;b )获取设备清单、切换演练汇总报告,作为证明材料。4 . 3 . 3 . 4 必须 延续应使用多个电信运营商的链路作为网上交易的通信链路。 检查方式检查 检查对象网上交易的通信链路 检查措施a )期货公司提供所有网上交易的通信链路清单;b )网上交易的通信链路清单应包括电信运营商情况;c )检查电信运营商是否为两个或两个以上。 检查结果a )同时符合上述a ) - c ) 的检查措施,才达到本检查项的要求;b )获取网上交易通信链路清单( 应包括电信运营商情况),作为证明材料。4 . 3 . 4 行情冗余4 . 3 . 4 . 1 必
388、须 延续应向客户同时提供至少2 套行情服务,且均使用至少2 套服务器。 检查方式访谈,检查 检查对象客户开户相关人员、行情服务系统 检查措施a )访谈期货公司,提供行情服务情况说明;b )检查期货公司使用了至少2家行情商提供的行情服务;c )检查期货公司使用了 2 家至少能提供2 套行情服务器的行情商。 检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司行情服务情况说明,作为证明材料。4 . 3 . 4 . 2 必须 新增应有至少2 套行情服务,且均通过至少两个电信运营商提供服务。 检查方式访谈,检查 检查对象技术部门负责人、行情服务系统及其
389、电信链路 检查措施a )期货公司提供所有行情供应商及包含链路情况的部署清单;113b )访谈技术部门负责人行情系统部署情况;C )检查至少2 套行情服务,都通过至少两家电信运营商提供服务。检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取行情供应商及相关部署清单,作为证明材料。4 . 3 . 5 银期系统冗余4 . 3 . 5 . 1 必须 延续应与至少2 家银行实现全国性银期转帐。 检查方式访谈,检查 检查对象技术部门负责人、银期转账系统 检查措施a )期货公司提供注明正式上线的所有银期转帐系统清单;b )检查期货公司与银行签署相关合同及相关内容真
390、实有效;c )检查两家银期转账,且均为全国性银期转账。 检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取正式上线的所有银期转帐系统清单, 与银行签署相关合同首页和签名页, 作为证明材料。4 . 4安全4 . 4 . 1 网络隔离4 . 4 . 1 . 1 必须 延续生产网与互联网应实现有效隔离。 检查方式访谈,检查 检查对象技术部门网络管理人员、生产网与互联网的隔离情况 检查措施a )期货公司提供网络架构图( 详细) 及与当前运行情况相符的相关设施的配置清单和安全策略,启用访问控制功能;b )访谈生产网与互联网的隔离情况;c )检查隔离设备是否真实
391、存在;d )检查网络设备的安全规则是否配置允许访问规则, 控制粒度为网段级, 对没有明确定义的数据包缺省拒绝。 检查结果a )同时符合上述a ) - d ) 的所有检查措施,才达到本检查项的要求;b )期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存。4 . 4 . 1 . 2 必须 延续网站与网上交易系统应实现有效隔离。检查方式访谈,检查检查对象技术部门网络管理人员、网站与网上交易系统的隔离情况114检查措施a)期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;b)访谈网站与网上交易系统的隔离情况;c)检查隔离设备是否真实存在。检查结果a
392、)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c)如为物理分隔,期货公司应提供说明,作为证明材料。4. 4. 1. 3 必须 延续生产网与办公网应实现有效隔离。检 查方式访谈,检查检 查对象技术部门网络管理人员、生产网与办公网的隔离情况检 查措施a)期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;b)访谈生产网与办公网的隔离情况;c)检查隔离设备是否真实存在。 检查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)期货公司提供网络架构图(
393、详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c)如为物理分隔,期货公司应提供说明,作为证明材料。4. 4. 1. 4 必须 延续总部的生产网与营业部的网络应实现有效隔离。检 查方式访谈,检查检 查对象技术部门网络管理人员、总部的生产网与营业部的网络的隔离情况检 查措施a)期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;b)访谈总部的生产网与营业部的网络的隔离情况;c)检查隔离设备是否真实存在。 检查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留
394、存;c)如为物理分隔,期货公司应提供说明,作为证明材料。4.4. 1.5 必须 延续生产网与交易所、银行等外联单位网络应实现有效隔离。检 查方式访谈,检查检 查对象技术部门网络管理人员、生产网与交易所、银行等外联单位网络的隔离情况检 查措施a)期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;115b )访谈生产网与交易所、银行等外联单位网络的隔离情况;C )检查隔离设备是否真实存在。检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c )获取外联单位
395、网络隔离情况说明,作为证明材料。4 . 4 . 2 防病毒、补丁和安全加固4 . 4 . 2 . 1 必须 延续应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。检 查方式访谈,检查检 查对象技术部门安全管理人员、安全加固情况检 查措施a )期货公司提供系统补丁相关流程和制度;b )检查补丁评估的相关记录;c )访谈系统补丁更新的情况,跟踪最近一次补丁更新情况。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司系统补丁相关流程和制度,作为证明材料。4 . 4 . 2 . 2 必须 延续应对使用
396、W i n d o w s 平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。检 查方式访谈,检查检 查对象技术部门安全管理人员、W i n d o w s 病毒防护措施检 查措施a )期货公司提供病毒管理相关流程和制度;b )访谈公司病毒管理的情况,跟踪最近一次全面病毒检查和病毒更新情况;c )抽查W i n d o w s 服务器、 业务用机和办公机, 病毒特征库应根据公司病毒管理策略更新到最新日期。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司病毒管理流程和制度,作为证明材料。4. 4. 2. 3 必须 延续应
397、对生产环境所有服务器定期进行安全扫描和合理加固,关闭不需要的端口。检 查方式访谈,检查检 查对象技术部门安全管理人员、安全扫描和加固措施检 查措施a )期货公司提供安全扫描和加固的相关流程制度;b )期货公司应提供一年内至少1 次安全扫描和加固的报告;116c )访谈公司安全扫描和加固执行情况。检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司安全扫描、加固报告首页和相关制度,作为证明材料。4. 4. 2. 4 必须 延续应在计算机或存储设备接入生产环境之前对其进行安全检查。 检查方式访谈,检查检 查对象技术部门安全管理人员、接入安全检查检
398、查措施a )期货公司提供外来计算机管理制度;b )访谈公司外来计算机和存储接入生产环境前的安全扫描措施。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司外来计算机管理制度或公司信息技术管理制度的相关条款, 作为证明材料。4. 4. 2. 5 必须 延续应对通过互联网向外提供服务的设备和系统进行定期安全扫描,关闭不需要的端口。 检查方式检查检 查对象外联端口的安全措施检 查措施a )期货公司提供通过互联网向外提供服务的设备和系统及对应开放端口、 端口说明的清单;b )访谈公司安全扫描和加固安全制度,访谈执行情况;c )期货公司应提供一年内至
399、少1 次安全扫描和加固的报告。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司安全扫描报告首页,作为证明材料。4. 4. 2. 6 必须 延续在读取移动存储设备上的数据以及从网络上接收文件或邮件之前,应先进行病毒检查。 检查方式访谈,检查 检查对象技术部门安全管理人员、移动存储和外来文件的安全检查措施检 查措施a )期货公司提供数据管理的相关制度;b )访谈数据管理的相关管理和技术措施;c )检查期货公司从网络上下载结算数据的管理情况。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司
400、数据管理相关制度,作为证明材料 ;c )期货公司结算数据下载介质应专用,应有相关流程检查病毒木马情况。1174. 4. 2. 7 可选 新增对通过互联网传送的交易及结算数据应有加密手段,以保护数据的安全。 检查方式访谈,检查 检查对象技术部门安全管理人员,交易结算的数据保护措施 检查措施a )期货公司提供交易结算数据加密情况说明;b )访谈公司提供交易结算数据加密情况。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司交易结算数据加密情况说明,作为证明材料。4. 4. 2. 8 必须 延续所有生产环境服务器应尽量避免使用t e l n e
401、t 、f t p 等有安全隐患的服务,与服务器通信应采用加密方式,例如S S H 。 检查方式访谈,检查 检查对象技术部门安全管理人员,服务器通信方式 检查措施a )期货公司提供生产环境服务器及对应的远程登录、文件传输程序的清单;b )访谈远程登录、文件传输程序采用的加密措施。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司生产环境服务器及对应的远程登录、 文件传输程序清单, 作为证明材料。4. 4 . 3 网站安全4. 4. 3. 1 必须 延续应有专人监控网站内容,发现问题后及时处理。 检查方式访谈,检查 检查对象技术部门安全管理人员
402、,网站相关业务人员,网站内容管理 检查措施a )期货公司提供网站监控人员名单和处理流程情况说明:b )访谈网站监控管理流程。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取网站监控人员名单和处理流程情况说明,作为证明材料。4. 4. 3. 2 必须 延续应定期对网站进行安全检查,并对隐患进行及时处理。 检查方式访谈,检查 检查对象技术部门安全管理人员,网站安全检查 检查措施118a )对网站进行的安全检查应包括:S Q L注入漏洞、弱口令、口令验证不足、目录遍历、文件上传、H T T P 协议追踪、跨站脚本、后台漏洞、敏感信息泄漏、网络漏洞和S
403、S L加密漏洞、下单网页未使用H T T P S 加密机制等;b )期货公司提供一年内的网站安全检查报告;c )访谈网站安全检查情况。检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取网站安全检查报告作为证明材料。4 . 4 . 3 . 3 必须 延续应准备足够措施,能在发现网站被篡改后5 分钟内停止发布被篡改的内容。检 查方式访谈,检查检 查对象技术部门安全管理人员,网站内容管理检 查措施a )期货公司提供网站停止发布机制说明;b )检查最近一次的演练记录, 并评估从发现网站被篡改到停止发布被篡改的内容的时间是否不超过5 分钟。 检查结果a )同时
404、符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取网站停止发布机制说明,作为证明材料。4 . 4 . 3 . 4 必须 延续应安装木马防护软件并定期更新。检 查方式访谈,检查检 查对象技术部门安全管理人员,木马防护措施检 查措施a )期货公司提供网站木马防护机制说明;b )访谈木马防护软件的部署更新情况;c )有条件可检查防木马软件版本是否根据情况进行定期更新。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取网站防木马机制说明,作为证明材料4 . 4 . 3 . 5 必须 延续网站的内容发布应有审核制度和完整的内容发布流
405、程。 检查方式访谈,检查检 查对象技术部门安全管理人员,网站内容管理相关 业务人员,网站内容管理检 查措施a )期货公司提供网站内容审核制度及发布流程;b )检查并访谈网站内容审核制度和流程的执行情况。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取网站内容审核制度及发布流程,作为证明材料。1194. 4. 3. 6 必须 新增应对网站主页内容实现自动监控,能在5 分钟内检测到篡改。 检查方式访谈,检查 检查对象技术部门安全管理人员,网站内容管理相关业务人员,网站内容管理 检查措施a)期货公司提供网站主页篡改监控说明;b)访谈网站主页内容自动监控
406、机制。 检查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取网站主页内容自动监控机制说明,作为证明材料;c)期货公司应具备网站主页内容自动监控机制。4. 4. 3. 7 必须 新增应请有资质的专业安全机构定期对网站提供安全评估或扫描服务,并对安全漏洞进行整改。 检查方式访谈,检查 检查对象技术部门安全管理人员,网站安全管理 检查措施a)期货公司提供专业机构( 具有国家或者省级主管部门颁发的信息安全服务许可证书) 出具的网站安全评估报告,整改情况说明及安全机构的资质说明;b)访谈评估和整改情况。 检查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项
407、的要求;b)获取安全机构提供的评估报告、 整改情况说明及安全机构的资质说明, 作为证明材料;c)评估报告有效期为一年。4. 4. 3. 8 必须 延续应建立网站备份系统,备份能力应达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查方式访谈,检查 检查对象技术部门负责人,网站系统的所有部件 检查措施a)期货公司提供网站系统的所有部件清单;b)期货公司提供系统部署图;c)访谈网站系统部件备份情况( 例如WEB发布服务器、网站应用服务器、 数据库服务器等);d)核实备份部件真实存在,并实现互备;e) 抽查网站系统部件的切换演练记录,并评估系统备份能力是否能够达到 证券期货经
408、营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查结果a)同时符合上述a) -e) 的所有检查措施,才达到本检查项的要求;b)获取部件清单、切换演练汇总报告及操作手册目录页,作为证明材料。1204. 4 . 4 网上交易安全4.4.4. 1 必须 延续应提供可靠的身份认证机制,网上交易客户端支持多种方式与服务端完成身份认证。 检查方式访谈,检查检 查对象技术部门业务系统管理人员,网上交易的身份认证检 查措施a)期货公司提供网上交易系统的身份认证说明;b)检查期货公司网上交易系统是否支持多种身份认证方式;c)访谈网上交易系统的身份验证方式和措施。检 查结果a)同时符合上述a) -c)
409、的所有检查措施,才达到本检查项的要求;b)获取期货公司网上交易系统的身份认证说明,作为证明材料。4. 4. 4. 2 必须 延续服务器上的用户认证信息应加密存放。检 查方式访谈,检查检 查对象技术部门业务系统管理人员,服务器的用户认证检 查措施a)期货公司提供身份认证存放方式说明;b)检查用户认证信息是否加密存放;c)访谈网上交易系统的身份认证存放方式。检 查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司网上交易系统的身份认证存放方式说明,作为证明材料。4. 4. 4. 3 必须 延续应在与客户签订的服务合同( 网上期货服务合同、期货经纪合同及补充协议
410、、风险揭示书)中载明,客户使用网上期货业务可能面临的风险、期货公司采取的风险控制措施、客户应采取的风险控制措施以及相关风险对应的责任承担( 如防止用于网上交易的计算机或手机终端感染木马、病毒,以免被恶意程序窃取口令;加强帐号、口令的保护,不使用简单口令、定期修改口令、输入口令时防止他人偷看、不对他人泄露口令等)。检 查方式访谈,检查检 查对象投资者开户负责人员检 查措施a)期货公司提供网上期货服务合同( 协议);b)访谈开户时网上交易风险揭示的措施和流程。检 查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取期货公司网上期货服务合同( 协议) 中揭示网上交易风险
411、部分页作为证明材料。1214 . 4 . 4 . 4 必须 延续应提供预留验证信息服务,在客户进行登录时向客户进行显示,帮助客户有效识别仿冒的网上期货信息系统,防范利用仿冒的网上期货信息系统进行诈骗活动。 检查方式访谈,检查 检查对象技术部门业务系统管理人员,网上交易系统的预留验证信息服务 检查措施a )期货公司提供网上交易系统的预留验证信息相关服务的说明( 例如提供客户结算单信息等);b )访谈公司网上交易系统的预留验证信息相关服务的情况。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司网上交易系统的预留验证信息相关服务的说明,作为证明
412、材料。4 . 4 . 4 . 5 可选 新增至少提供一种强度较高的用户身份认证机制。 检查方式访谈,检查 检查对象技术部门业务系统管理人员或安全管理人员,网上交易的用户认证 检查措施a )期货公司提供除静态口令外的强度较高的用户身份认证机制的说明, 例如数字证书、动态口令、电脑或手机特征码绑定等;b )访谈公司其它认证机制的实施情况。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司除静态口令外其它认证措施的说明,作为证明材料。4 . 4 . 4 . 6 必须 新增应请有资质的专业安全机构定期对网上交易系统提供安全评估或扫描服务,并对安全漏
413、洞进行整改。 检查方式访谈,检查 检查对象技术部门安全管理人员,网上交易的安全管理 检查措施a)期货公司提供有资质的安全机构对网上交易系统安全的评估报告、 整改情况说明及安全机构的资质说明( 例如公安部、安全部等机构颁发的资质);b)访谈评估和整改情况。 检查结果a)同时符合上述a) - b) 的所有检查措施,才达到本检查项的要求;b)获取安全机构提供的评估报告、 整改情况说明及安全机构的资质说明, 作为证明材料;c )评估报告有效期为一年。4 . 4 . 4 . 7 必须 新增核心交易系统至少有一条网上交易线路部署了防拒绝服务攻击措施,包括部署防拒绝服务攻击设备或与基础运营商签署流量清洗协议
414、等。检查方式122访谈,检查 检查对象技术部门安全管理人员,网上交易的安全管理员 检查措施a)检查期货公司提供的防拒绝服务攻击设备物理存在或基础运营商流量清洗服务合同是否在有效期内;b)访谈期货公司防拒绝服务攻击策略情况。 检杳结果a)同时符合上述a) -b)的所有检查措施,才达到本检查项的要求;b)获取有效期内的设备维保协议或基础运营商流量清洗服务合同,作为证明材料;c)获取防拒绝服务攻击情况说明,作为证明材料。4. 4. 4. 8 必须 延续应遵守国家关于个人信息保护的相关规定,确保网上交易数据和客户信息的安全性和完整性。未经客户允许或期货公司授权,不得以任何方式向除中国证监会及其派出机构
415、、执法机关、审计机关以外的第三方提供交易数据和客户信息。 检查方式访谈,检查 检查对象技术部门业务系统管理人员 检查措施a)期货公司提供各类网上交易系统的交易数据及客户信息流转过程说明, 检查期货公司是否能对上述交易数据及客户信息流转过程进行控制;b)如存在向除中国证监会及其派出机构、 执法机关、 审计机关以外的第三方提供交易数据和客户信息的情况,检查是否经过客户允许或公司授权;c)检查期货公司是否对客户网上交易进行必要的风险提示。 检查结果a)同时符合上述a) -c)的所有检查措施,才达到本检查项的要求;b)获取期货公司网上交易系统交易数据及客户信息流转说明及网上交易客户端使用风险提示材料
416、,作为证明材料。4. 4 . 5账户与权限4. 4. 5. 1 必须 延续应有生产环境内关键系统账户与权限的关系表。 检查方式访谈,检查 检查对象技术部门业务系统管理员,权限管理 检查措施a)期货公司提供生产环境内关键应用系统( 包括交易、 结算和风险监控系统)的账户与权限的关系表;b)访谈生产环境内关键系统账户与权限的关系维护情况。 检查结果a)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;b)获取期货公司生产环境内关键系统账户与权限的关系表,作为证明材料。4. 4. 5. 2 必须 延续账户和权限变更应有审批和完整的记录。检查方式123访谈,检查 检查对象技术部门业务系统
417、管理员,权限管理 检查措施a)期货公司提供生产环境内关键应用系统( 包括交易、 结算和风险监控系统) 账户与权限的审批制度和流程;b)期货公司提供一年内全部生产环境内关键系统账户与权限的审批表, 并跟踪一次权限变更是否符合制度要求;c )访谈账户与权限审批制度和流程落实情况。检 查结果a)同时符合上述a) - c ) 的所有检查措施,才达到本检查项的要求;b)获取期货公司生产环境内关键系统账户与权限审批制度和流程,作为证明材料。4 . 4 . 5 . 3 必须 延续岗位变动应及时调整对应系统的账户和权限。检 查方式检查检 查对象权限管理检 查措施a)期货公司提供生产环境账户与权限变更制度和流程
418、;b)期货公司提供一年内全部生产环境账户与权限变更记录;c )抽查至少2 次账户权限变更是否及时( 岗位变动和权限变更时间间隔不得超过1个月)。检 查结果a)同时符合上述a) - c ) 的所有检查措施,才达到本检查项的要求;b)获取期货公司生产环境账户与权限变更制度和流程,作为证明材料。4 . 4 . 5 . 4 必须 延续应避免使用超级管理员账户完成日常 业务操作。检 查方式访谈,检查检 查对象技术部门业务系统管理员,权限管理检 查措施a )期货公司提供业务系统超级管理员账户的使用情况说明;b )访谈业务系统超级管理员账户的使用情况, 该账户应只进行开设账户、 权限分配等非日常业务操作。
419、检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司业务系统管理员账户的使用情况说明,作为证明材料。4 . 4 . 6 口令管理4 . 4 . 6 . 1 必须 延续所有书面方式保存的口令应有安全的物理保护措施。检 查方式访谈,检查检 查对象技术部门安全管理人员,口令管理 检查措施124a )以明文方式存放在计算机中的口令视同为书面方式保存的口令;b )期货公司提供书面口令保存方式的情况说明, 应有安全的物理保护措施, 例如放置于保险箱 带锁的柜子,以明文方式存放口令的计算机应放置于有出入控制的操作间内;c )检查口令保存方式措施真实存在。检查
420、结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司书面口令保存方式的情况说明,作为证明材料。4 . 4 . 6 . 2 必须 延续口令应有复杂度要求。 检查方式访谈,检查 检查对象技术部门安全管理人员,口令管理 检查措施a )期货公司提供口令复杂度要求的相关制度, 应包括具体的复杂度要求, 如口令长度、组合等;b )访谈口令复杂度的实施范围和措施。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司口令复杂度要求的相关制度,作为证明材料。4 . 4 . 6 . 3 必须 延续口令应定期更换。 检
421、查方式访谈,检查 检查对象技术部门安全管理人员,口令管理 检查措施a )期货公司提供口令定期更换的相关制度;b )访谈口令定期更换的实施范围和措施,重要系统口令变更的策略;c )期货公司提供年内根据口令更换制度和策略执行口令更换操作的相关记录。 检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司口令更换的相关制度和记录,作为证明材料。4 . 4 . 7 安全审计4 . 4 . 7 . 1 必须 延续核心系统的主要业务操作应产生审计记录。 检查方式检查 检查对象核心系统的业务操作审计 检查措施a )期货公司提供核心系统的主要业务操作的审计记录应
422、包括时间、发起者、类型、描述和结果;b )抽查一年内至少2 天的审计记录,时间间隔不少于两个月。 检查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;125b )获取被抽查的核心系统主要业务操作的审计记录,作为证明材料。4 . 4 . 7 . 2 必须 延续应采取有效措施防止删除、修改或覆盖审计记录。 检查方式检查 检查对象核心系统的业务操作审计 检查措施a )期货公司提供核心系统的主要业务操作的审计记录保存方式的说明, 应至少每日对审计记录进行备份;b )检查期货公司审计记录保存措施的落实情况。 检查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检
423、查项的要求;b )获取期货公司核心系统主要操作记录机制说明,作为证明材料。4 . 4 . 7 . 3 可选 新增所有的主要运维操作应采取恰当的认证措施,并产生审计记录。 检查方式访谈,检查 检查对象技术部门安全管理人员,核心系统的运维操作认证和审计 检查措施a )期货公司提供运维操作认证措施的说明;b )访谈期货公司的主要运维操作的审计记录保存范围和措施, 应包括日常运行、 生产系统变更等重要操作的用户、登录地址、时间、具体指令等;c )抽查一年内至少2 天的生产核心设备操作审计记录,时间间隔不小于两个月。 检查结果a )同时符合上述a ) - c ) 的检查措施,才达到本检查项的要求;b )
424、获取期货公司运维操作认证方式说明,作为证明材料。4 .5日常运行4 . 5 . 1 岗位4 . 5 . 1 . 1 必须 延续应建立日常值班制度,设立专门运行保障岗位,指定运维值班负责人,运维值班负责人应仃备岗,制定明确的每日值班表,保障交易期间有人值守。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,岗位说明书,排班表,交接班流程,值班记录 检查措施a )访谈技术部门负责人,了解期货公司日常运行维护的整体情况;b )期货公司提供日常值班制度( 含连续交易)、值班表、交接班记录、包括运行保障职责的岗位说明书和交易期间值班安排说明。 检查结果a )同时符合上述a ) - b ) 的检
425、查措施,才达到本检查项的要求;b )获取日常值班制度、 每日值班表、交接班记录, 运行保障岗位说明书和交易期间值班安排的说明,作为证明材料。1264 . 5 . 1. 2 必须 延续初始化、结算、数据备份等关键操作过程和结果应有复核。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,值班记录 检查措施a )访谈期货公司技术部门负责人了解关键操作保障情况;b )检查日常值班制度中是否要求了复核的规定;c )检查日常值班记录中是否体现了复核的要求。 检查结果a )同时符合上述a ) -c ) 的检查措施,才达到本检查项的要求;b )获取期货公司日常值班制度,作为证明材料。4 . 5 .
426、1 . 3 必须 延续交易运行期间应有现场保障人员,设置运维值班电活,以及时维护和应急处理。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,排班表 检查措施a )访谈期货公司技术部门负责人了解现场保障人员情况, 现场保障是指可以随时登录到核心系统各个服务器和网络设备;b )检查日常值班制度中是否要求了交易期间现场保障人员以及对应的职责;c )检查排班表中是否包含现场保障人员;d )检查是否设置运维值班电话。 检查结果a )同时符合上述a ) -d ) 的检查措施,才达到本检查项的要求;b )获取期货公司日常值班制度,作为证明材料”4 . 5 . 1 . 4 必须 延续网络、主机、数
427、据库、应用系统的运行维护等关键技术岗位应有备岗人员。 检查方式访谈,检查 检查对象技术部门负责人,岗位说明书 检查措施a )检查期货公司提供的网络、主机、 数据库、 应用系统运行维护等关键技术岗位的岗位说明书和主备岗人员名单;b )访谈期货公司关键技术岗位备岗人员,了解是否具有应有的岗位技能。 检查结果a )同时符合上述a ) -b ) 的检查措施,才达到本检查项的要求;b )获取期货公司网络、 主机、 数据库、 应用系统等主备岗人员名单, 作为证明材料。4 . 5 . 1 . 5 必须 延续应实现双人日常值班。检查方式检查检查对象127日常值班制度,排班表,每日值班记录检查措施a )期货公司
428、提供排班表是否体现双人值班;b )抽查排班表和值班记录是否为双人,值班期间无其它工作安排。检查结果a )同时符合上述a ) -b )的检查措施,才达到本检查项的要求;b )获取期货公司排班表,作为证明材料。4 . 5 . 1 . 6 必须 延续应建立文档管理制度,对运维过程中涉及的各类文档进行分类管理。 检查方式访谈,检查 检查对象技术部门负责人,文档管理人员,文档管理制度,岗位说明书 检查措施a )访谈技术部门负责人,了解期货公司日常文档管理的整体情况;b )检查文档管理制度及执行情况;c )抽查期货公司部分文档,检查是否按照文档制度的规定编制文档。 检查结果a )同时符合上述a ) -c
429、)的检查措施,才达到本检查项的要求;b )获取文档管理制度作为证明材料,作为证明材料。4 . 5.2制度与巡检4 . 5 . 2 . 1 必须 延续在关键时间点应对生产环境运行状态进行巡检。检 查方式检查检 查对象日常值班制度,巡检记录检 查措施a )期货公司提供对生产环境的日常巡检列表, 包括对生产环境运行状态的巡检, 应规定巡检内容、频度、人员等,巡检内容应覆盖应用、主机、网络、通信、安全等设备的运行状况;b )检查日常巡检列表,在关键时间点是否对生产环境运行状态进行巡检,关键时间点是否覆盖开盘前、休市、收市等;c )电力、空调、消防、安防等机房设施的巡检,在确保安全的情况下巡检时间可根据
430、实际情况安排,巡检频率每天不少于一次;d )期货公司提供一年内的所有巡检记录,抽查一年内至少4天的生产环境的日常巡检记录,时间间隔不小于两个月。检 查结果a )同时符合上述a ) -d )的检查措施,才达到本检查项的要求;b )获取一年内至少4天的生产环境的日常巡检记录,作为证明材料。4 . 5 . 2 . 2 必须 延续日常操作和巡检应保留记录,并有操作和复核人员的签名。检查方式检查检查对象巡检记录128检查措施a )检杳期货公司提供的一年内生产环境的所有操作和巡检记录;b )抽查期货公司一年内4 天的生产环境的巡检和操作记录,时间间隔不小于两个月;c )检查巡检记录是否包括巡检的对象、时间
431、、状态、巡检人、复核人,是否有巡检人员和复核人员签名确认;d )检查操作记录是否包括操作对象、时间、步骤、指令、操作结果、操作人、复核人等基本要素,是否有操作人员和复核人员签名确认。检查结果a )同时符合上述a ) -d ) 的检查措施,才达到本检查项的要求;b )获取期货公司一年内4 天的巡检记录,作为证明材料。4 . 5 . 2 . 3 必须 延续应有详细的操作手册( 包括日常操作和定期维护操作),手册中应有详细的操作步骤。检 查方式检查检 查对象日常操作手册、维护操作手册检 查措施a )期货公司提供生产环境的日常操作和定期维护的操作手册;b )检查期货公司生产环境的日常操作和定期维护的操
432、作手册, 是否有详细的操作步骤。检 查结果a )同时符合上述a ) -b ) 的检查措施,才达到本检查项的要求;b )获取期货公司生产环境的日常操作和定期维护的操作手册清单和目录, 作为证明材料。4 . 5 . 2 . 4 必须 延续交易期间应对核心系统和网络系统进行实时监控,并能及时、有效地报警。检 查方式检查检 查对象监控系统检 查措施a )期货公司提供交易期间对核心系统和网络系统实时监控的情况说明;b )检查交易期间对核心系统和网络系统实时监控,是否实现自动化监控;c )检查交易期间对核心系统和网络系统实时监控,是否可以及时、有效地报警。检 查结果a )同时符合上述a ) - c ) 的
433、检查措施,才达到本检查项的要求;b )获取期货公司关于实时监控情况的情况说明,作为证明材料。4 . 5 . 2 . 5 必须 延续应保留关键操作的记录和签名。检 查方式检查 检查对象操作记录 检查措施129a )期货公司提供一年内生产环境的操作记录;b )抽查期货公司一年内4 天的生产环境操作记录,时间间隔不小于两个月;c )检查关键操作记录是否有操作人员的签名确认, 至少包括系统的启停、 参数的修改、数据备份。检查结果a )同时符合上述a ) - c ) 的检查措施,才达到本检查项的要求;b )获取期货公司一年内4 天的生产环境操作记录,作为证明材料。4 . 5 . 2 . 6 必须 延续应
434、保留应用系统的操作H志记录。 检查方式检查检 查对象系统操作日志检 查措施a )期货公司提供应用系统的操作日志记录;b )抽查期货公司一年内两天的应用系统的操作日志记录,时间间隔不小于两个月,应保证重要操作是否有对应的应用系统操作记录。 检查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;b )获取应用系统的操作日志记录,作为证明材料”4 . 5 . 2 . 7 必须 延续应记录生产环境发生的故障和异常。检 查方式检查检 查对象故障记录检 查措施a )期货公司提供一年内生产环境发生故障和异常的记录和报告;b )检查生产环境发生的故障记录和报告应包含发生的时间、 现象
435、、处理措施、 后续处理手段等内容;c )检查故障记录和报告信息是否完整。检 查结果a )同时符合上述a ) - c ) 的检查措施,才达到本检查项的要求;b )获取被抽查的故障记录和报告,作为证明材料。4 . 5 . 2 . 8 必须 新增对核心系统和网络系统的实时监控应当包括系统的可用性和系统性能。 检查方式检查检 查对象监控系统检 查措施a )期货公司提供核心系统和网络系统的监控情况说明、监控情况记录;b )检查期货公司核心系统和网络系统的监控措施, 是否采用自动化的系统或软件进行实时监控;c )检查期货公司核心系统和网络系统的监控措施, 评估期货公司实时监控是否能覆盖核心系统和网络系统;
436、130d )检查期货公司监控情况记录, 是否提供系统的可用性( 如进程状态、 网络连通等)和系统性能( 如C P U 使用率、内存使用率、网络流量等)的监控数据。检查结果a )同时符合上述a ) - d ) 的检查措施,才达到本检查项的要求;b )如果期货公司没有自动化监控系统,不满足本检查项的要求;c )获取期货公司系统监控情况说明,作为证明材料。4 . 5 . 2 . 9 必须 延续应建立完善和更新重要手册的机制。检 查方式检查检 查对象变更操作手册、值班操作手册、应急操作手册、巡检卡检 查措施a )期货公司提供生产环境日常运行的重要手册完善和更新的制度和流程;b )检查重要手册( 如巡检
437、、应急操作手册等)的更新和修订记录,手册内容 至少包括信息系统日常运行操作的各个环节。检 查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;b )获取期货公司重要手册的更新记录,作为证明材料。4 . 5 .2 . 1 0 必须 延续应至少每季度全面评估监控日志和操作记录,分析异常情况,形成评估报告。 检查方式检查 检查对象监控H志和操作记录分析评估报告 检查措施a )检查期货公司是否制定了监控日志和操作记录分析评估的相关制度;b )检查评估报告内容。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司监控日志和操作记
438、录分析评估报告,作为证明材料。4 . 5 . 3 机房进出4 . 5 . 3 . 1 必须 延续应建立机房管理制度,对机房环境、供电、空调、消防、安防等基础设施进行运行维护,对设备和人员出入机房和值班操作间进行舂记,并保留相关记录。检 查方式检查检 查对象出入登记制度,出入登记记录检 查措施a )检杳期货公司机房管理制度,是否涵盖对机房环境、供电、空调、消防、安防等基础设施的运行维护要求,设备、人员出入等是否纳入机房管理工作;b )期货公司提供机房及值班操作间的一年内的出入登记记录;c )抽查期货公司一年内机房和值班操作间的人员以及设备的出入登记记录, 信息登记是否完全。131检查结果a)同时
439、符合上述a) -c) 的检查措施,才达到本检查项的要求;b)获取期货公司机房及值班操作间的出入登记制度和出入登记记录,作为证明材料。4. 5. 3. 2 必须 延续非技术保障人员进入机房应获得授权,并有技术保障人员陪同,所携带设备应专门登记。检 查方式访谈,检查检 查对象机房管理制度,出入登记记录检 查措施a)访谈技术部门负责人了解非技术保障人员进入机房的授权流程和控制措施;b)抽查期货公司一年内非技术保障人员进入机房的登记信息, 检查是否有相应的授权信息;c)检查期货公司一年内非技术保障人员进入机房的登记信息, 检查所携带设备信息描述是否清楚;d)检查期货公司一年内非技术保障人员进入机房的登
440、记信息, 检查是否有技术保障人员陪同信息。 检查结果a)同时符合上述a) -d) 的检查措施,才达到本检查项的要求;b)获取期货公司一年内非技术保障人员进入机房的登记记录,作为证明材料4. 5. 3. 3 必须 延续交易期间如无应急或者巡检需要,不应进入机房。检 查方式检查检 查对象机房管理制度,出入登记记录检 查措施a)期货公司提供机房出入管理制度;b)检查期货公司机房出入制度, 是否有交易期间如无应急或者巡检需要, 不应进入机房的要求;c)抽查期货公司一年内交易时间进入机房的出入记录, 检查是否有授权信息, 或对进入机房的必要性进行了说明。 检查结果a)同时符合上述a) -c) 的检查措施
441、,才达到本检查项的要求;b)获取被抽查的机房出入记录,作为证明材料4 . 6备份4. 6 . 1 数据备份4. 6. 1. 1 必须 延续应根据数据的重要性及其对核心系统运行的影响,制定数据备份策略和恢复策略。检查方式访谈,检查检查对象技术部门负责人,数据备份制度132检查措施a)检查期货公司数据备份、恢复的制度和策略;b)访谈技术部门负责人数据备份策略和恢复策略情况。检查结果a)同时符合上述a) -b) 的检查措施,才达到本检查项的要求;b)获取期货公司数据备份制度和策略,作为证明材料。4.6. 1.2 必须 延续应建立数据管理、介质维护、销毁和使用管理制度。检 查方式检查检 查对象技术部门
442、负责人,数据备份制度检 查措施a)检查期货公司数据管理制度中是否包含介质维护、 销毁和使用管理等内容, 应由介质管理员负责涉及敏感信息的介质送修。检 查结果a)符合上述a) 项的检查措施,才达到本检查项的要求;b)获取期货公司数据和介质管理的相关制度,作为证明材料。4. 6. 1. 3 必须 延续应对介质进行明确标识。 检查方式访谈,检查检 查对象介质标识相关规定,数据备份介质检 查措施a)访谈期货公司介质标识的相关规定;b)期货公司提供一年内所有的备份介质;c)抽查一年内期货公司4 次备份介质,时间间隔不少于两个月;d)检查备份介质是否有明确的标识,是否符合规定。检 查结果a)同时符合上述a
443、) -d) 的检查措施,才达到本检查项的要求;b)获取期货公司介质标识相关规定,作为证明材料。4.6. 1.4 必须 延续应确保介质存放在安全环境中,实现对备份数据的控制和保护。检 查方式检查检 查对象数据备份介质检 查措施a)期货公司提供备份介质保存环境说明;b)检查介质存放环境是否具有防盗措施, 如保险柜、 加锁的抽屉或者有出入控制措施的专用储藏室;c)应至少有一种介质具有可离线存放的特性,如磁带、光盘、移动硬盘等。检 查结果a)同时符合上述a) -c) 的检查措施,才达到本检查项的要求;b)获取期货公司备份介质相关说明,作为证明材料。1334. 6. 1.5 必须 延续每日应对结算后数据
444、进行备份,网站数据成按照备份计划进行备份。 检查方式检查检 查对象数据备份管理检 查措施a)根据期货公司备份策略, 抽查期货公司至少2 次结算后数据及网站数据备份介质或文件,实际操作情况应与备份策略一致;b)检查期货公司每日值班记录中是否包括结算后数据备份操作, 检查网站数据备份记录;c)期货公司应提供网站数据备份范围、备份计划及相关的执行记录。检 查结果a)同时符合上述a) -c) 项的检查措施,才达到本检查项的要求;b)获取期货公司值班记录备份相关页,作为证明材料。4. 6.1. 6 必须 新增每周应将结算后数据备份介质异地存放。 检查方式访谈,检查 检查对象备份管理人员,数据备份管理检
445、查措施a)期货公司提供介质异地存放的说明材料, 其中必须明确描述介质放置位置和离场存放频率;b)访谈备份介质管理人员,了解备份数据是否异地存放( 可接受同城不同楼),以及异地存放的频率是否符合要求。 检查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取存放方式相关说明,作为证明材料。4.6. 1.7 必须 延续应定期对主要备份业务数据进行恢复验证,根据介质使用期限及时转储数据。检 查方式访谈,检查 检查对象备份管理人员,数据备份管理 检查措施a)访谈数据备份管理人员,了解数据恢复验证频率、 措施及数据转储操作流程,应至少每季度对核心交易业务系统的备份数据进行一次有
446、效性 蠢 &b)检查数据恢复验证和转储的操作手册,抽查一年内进行恢复验证和转储的操作记录。检 查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司数据备份操作手册和近期转储操作记录,作为证明材料。4. 6.1. 8 可选 新增应利用通信网络将关键业务数据实时传送至异地数据备份场所。134 检查方式访谈,检查 检查对象技术部门负责人,数据备份管理 检查措施a)访谈技术部门负责人,了解保障业务数据实时备份的具体措施和技术手段;b)期货公司提供数据实时备份系统的设计和部署方案;c)检查数据实时备份系统的设计和部署方案, 是否包括利用通信网络将关键业务数据实时传送至
447、异地数据备份场所。 检查结果a)同时符合上述a) -c) 项的检查措施,才达到本检查项的要求;b)获取期货公司数据实时备份系统的设计和部署方案,作为证明材料。4. 6. 1. 9 必须 新增当日皆野的交易和结算数据应立即进行恢复验证, 检查方式检查 检查对象数据备份管理 检查措施a)期货公司提供每日值班手册;b)检查期货公司每日值班手册中是否包含对交易和结算后的原始数据的备份进行恢复验证的内容;c)检查期货公司是否具有用于数据恢复验证的环境和工具, 要求恢复后数据可供浏览或查询。 检查结果a)同时符合上述a) -c) 项的检查措施,才达到本检查项的要求;b)获取期货公司数据备份恢复验证记录,作
448、为证明材料。4. 6. 1. 10 必须 延续应指定专人负责保管业务数据备份介质。 检查方式访谈,检查 检查对象备份管理人员,数据备份管理 检查措施a)期货公司提供包括业务数据备份介质管理职责的岗位说明书;b)检查岗位说明书是杳包含相应工作职责;c)访谈备份介质管理人员, 评估其是否掌握介质分类、维护、 使用管理和转储相关的制度和操作流程。 检查结果a)同时符合上述a) -c) 项的检查措施,才达到本检查项的要求;b)获取期货公司包括业务数据备份介质管理职责的岗位说明书,作为证明材料4. 6 . 2 灾难备份4. 6. 2. 1 可选 新增应有灾难备份中心,可以接管所有核心业务的运行。检查方式
449、访谈,检查检查对象135技术部门负责人检查措施a )访谈技术部门负责人,了解灾难备份中心的设计原理和切换措施;b )检查灾备中心的实际运行情况。检查结果a )同时符合上述a ) -b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司灾难备份中心设计方案,作为证明材料。4 . 6 . 2 . 2 可选 新增灾难备份中心应有满足关键业务功能恢复运作要求的场地和设施。检 查方式访谈,检查检 查对象技术部门负责人,灾难备份检 查措施a )访谈技术部门负责人, 了解灾难备份中心是否预留满足关键业务功能恢复运作要求的场地和设施;b )期货公司提供满足关键业务功能恢复运作要求的场地的状况说明, 检
450、查是否具有满足放置生产环境的机房的条件;c )检查期货公司灾难备份中心设计方案, 是否具有互联网通信链路、 接入交易所的通信链路;是否部署了业务正常运行所需要的交易、结算系统;d )核查期货公司灾难备份中心的场地和设施情况。检 查结果a )同时符合上述a ) -d ) 项的检查措施,才达到本检查项的要求;b )获取期货公司满足关键业务功能恢复运作要求的场地和设施的状况说明, 作为证明材料。4 . 6 . 2 . 3 可选 新增采用远程数据复制技术,并利用通信网络将关键数据实时复制到灾难备份中心。检 查方式访谈,检查检 查对象技术部门负责人,灾难备份检 查措施a )访谈技术部门负责人,了解保障业
451、务关键数据远程复制的具体措施和技术手段;b )检查远程数据复制系统的设计和部署方案,是否能够实现数据的实时复制。 检查结果a )同时符合上述a ) -b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司数据复制系统运行情况说明,作为证明材料。4 . 6 . 2 . 4 可选 新增灾难备份中心应配备灾难恢复所需的全部运行环境,并处于就绪状态或运行状态。检 查方式访谈,检查检 查对象技术部门负责人,灾难备份检 查措施136a )访谈技术部门负责人,了解灾难备份中心的运行状态和切换方法;b )期货公司提供灾难备份中心运行环境的运行状态的情况说明;c )检查运行环境各个部件是否都处于就绪状态
452、或运行状态( 例如服务器、 网络设备处于运行状态,软件已经安装和配置,处于就绪状态)。检查结果a )同时符合上述a ) - c ) 项的检查措施,才达到本检查项的要求;b )获取期货公司的灾难备份中心运行环境的运行状态的情况说明,作为证明材料。4 . 6 . 2 . 5 可选 新增灾难备份中心应配备灾难恢复所需的通信链路和网络设备,并处于就绪状态。检 查方式访谈,检查检 查对象技术部门负责人,灾难备份检 查措施a )期货公司提供灾难备份中心通信链路和网络设备清单;b )访谈技术部门负责人,了解灾难备份中心通信链路和网络设备运行情况;c )检查灾难备份中心网络设计和实施方案;d )期货公司提供灾
453、难备份中心通信链路和网络设备的运行状态的情况说明;e )检查通信链路和网络设备是否处于就绪状态。检 查结果a )灾难备份中心无通信链路接入交易所的,则认为不符合上述a ) 的检查措施;b )同时符合上述a ) - e ) 项的检查措施,才达到本检查项的要求;c )获取灾备通信链路和网络设备清单,作为证明材料。4 . 6 . 2 . 6 可选 新增灾难备份中心应在交易和结算时间内有相关技术支持和保障人员。检 查方式访谈,检查检 查对象技术部门负责人,灾难备份中心技术支持人员,灾难备份检 查措施a )期货公司提供灾难备份中心技术支持的情况说明;b )访谈技术部门负责人,了解灾难备份中心技术支持人员
454、每日工作内容和排班情况;c )访谈灾难备份中心技术支持人员,了解其每日工作内容。 检查结果a )同时符合上述a ) - c ) 项的检查措施,才达到本检查项的要求;b )获取期货公司灾难备份中心情况说明,作为证明材料。4 . 6 . 2 . 7 可选 新增灾难备份中心应有相应的运行维护流程。检 查方式检查检 查对象灾难备份检 查措施a )检查灾难备份中心运行维护制度和流程;137b)检查灾难备份中心运维值班操作记录。检查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司灾难备份中心运行维护流程、值班操作记录,作为证明材料。4. 6. 2. 8 可选 新增应有
455、详细的灾难恢复预案及操作流程,并根据流程每年进行演练。检 查方式检查检 查对象灾难备份检 查措施a)检查期货公司灾难恢复预案和操作流程;b)检查期货公司一年内的灾难恢复演练记录。检 查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司灾难恢复演练记录,作为证明材料。4. 6. 2. 9 可选 新增灾难备份中心的备份能力应达到期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查方式访谈,检查检 查对象技术部门负责人,灾难备份检 查措施a)访谈期货公司技术部门负责人, 了解灾难备份中心设计方案以及达到相应备份能力标准的具体措施;b)检查期货公司一年
456、内的灾备演练记录、 切换演练的恢复时间是否行合其应达到的备份能力标准。检 查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司灾难备份演练记录,作为证明材料。4. 6. 2. 10 可选 新增设计灾难备份中心运行时, 处理能力应不低于主系统处理能力的50%o 检查方式访谈,检查 检查对象技术部门负责人,灾难备份检 查措施a)访谈期货公司技术部门负责人,了解灾难备份中心设计方案、 主机和网络配置情况;b)访谈期货公司技术部门负责人,了解主系统处理能力和灾难备份中心的处理能力;c)检查期货公司灾难备份中心处理能力评估报告或者测试报告。 检查结果a)同时符合上述a
457、) -c) 项的检查措施,才达到本检查项的要求;138b)获取期货公司灾难备份中心处理能力评估报告或者测试报告,作为证明材料。4 . 7系统维护4. 7. 1 变更管理4. 7.1.1 必须 延续应将所有涉及核心系统的软硬件变更纳入变更管理范围。 检查方式检查 检查对象变更管理制度检 查措施a)检查期货公司变更管理制度,是否核心系统的软硬件变更都纳入变更管理范围。检 查结果a)符合上述a) 项的检查措施,才达到本检查项的要求;b)获取期货公司变更管理制度的相关章节,作为证明材料。4. 7.1.2 必须 延续每次变更前应进行评估。检 查方式访谈,检查检 查对象技术部门负责人,变更评估报告检 查措
458、施a)评估结果应包括风险、变更方案、检验方法、影响通知范围等内容;b)访谈期货公司技术部门负责人,了解变更前的风险评估流程;c)期货公司提供一年内变更记录;d)抽查一年内两次变更记录和相关文档,检查是否在变更前进行评估。检 查结果a)同时符合上述a) -d) 项的检查措施,才达到本检查项的要求;b)获取被抽查的期货公司变更记录和相关文档,作为证明材料。4. 7. 1. 3 必须 延续所有变更操作应有操作记录。检 查方式检查检 查对象变更管理制度,变更记录检 查措施a)期货公司提供变更管理制度;b)检查期货公司变更管理制度,是否包含变更应有操作记录的要求;c)期货公司提供一年内变更记录;d)抽查
459、期货公司变更记录,是否包含操作人,操作步骤,操作内容等操作记录;e)变更管理制度应明确要求除紧急变更外不允许在交易时段进行变更。检 查结果a)同时符合上述a) -e) 项的检查措施,才达到本检查项的要求;b)获取被抽查的期货公司变更记录和相关文档,作为证明材料。4. 7. 1. 4 必须 延续所有变更应进行事后检查。检查方式检查139 检查对象变更管理制度,变更记录 检查措施a)期货公司提供变更管理制度;b)检查期货公司变更管理制度,是否包含变更必须进行事后检查的要求;c)期货公司提供一年内变更记录;d)抽查期货公司变更操作记录,是否包含事后检查的内容。检 查结果a)同时符合上述a) -d)
460、项的检查措施,才达到本检查项的要求;b)获取被抽查的期货公司变更操作记录,作为证明材料。4. 7. 1.5 必须 延续对于风险较大的变更,在条件允许的情况卜一 ,应制定应急和回退方案。检 查方式访谈,检查检 查对象技术部门负责人,变更管理制度,回退方案 检查措施a)检查变更管理制度,是否包含制订应急和回退方案的内容;b)抽查期货公司一年内两次风险较大的变更操作手册和记录, 其中应包含应急和回退方案。检 查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取被抽查的期货公司变更操作手册和记录,作为证明材料。4.7. 1.6 必须 延续风险较大的变更,应在变更后对系统的运
461、行情况进行跟踪。检 查方式访谈,检查检 查对象技术部门负责人,变更管理制度,值班记录检 查措施a)访谈技术部门负责人,了解变更前的风险评估流程和变更之后的跟踪机制;b)抽查期货公司一年内两次风险较大的变更, 检查其后的值班记录是否对变更系统进行了跟踪观察。 检查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取被抽查的值班记录,作为证明材料4. 7. 1. 7 必须 新增应及时对变更涉及的系统配置和操作手册进行修改。检 查方式访谈,检查检 查对象技术部门负责人,变更管理制度检 查措施a)访谈技术部门负责人,了解更新系统配置和操作手册的机制;b)检查变更管理制度,是否
462、包含变更后及时更新系统配置和操作手册的要求。 检查结果140a)同时符合上述a) - b)项的检查措施,才达到本检查项的要求;b)获取期货公司变更管理制度中相关章节,作为证明材料。4.7. 1.8 必须 延续对于风险较大的核心系统变更,在条件允许的情况下,应在上线前进行演练。 检查方式访谈,检查 检查对象技术部门负责人,变更演练记录 检查措施a)访谈技术部门负责人,了解核心系统上线前的演练情况;b)检查风险较大的核心系统变更在上线前的演练记录, 记录应体现演练结果的评估和分析过程。 检查结果a)同时符合上述a) -b)项的检查措施,才达到本检查项的要求;b)获取被抽查的期货公司核心系统变更上线
463、演练记录,作为证明材料。4.7. 1.9 必须 新增应定期进行风险评估,及时发现风险隐患,并予以处理。 检查方式访谈,检查 检查对象技术部门负责人,风险评估报告 检查措施a)访谈技术部门负责人,了解期货公司技术系统风险评估的具体情况;b)检查期货公司一年内的风险评估报告及处理情况。 检查结果a)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;b)获取风险评估报告及处理情况,作为证明材料。4. 7.1.10 必须 延续进行与核心系统相关的开发工作时, 应避免在生产环境上进行日常测试。 检查方式访谈 检查对象技术部门负责人 检查措施a)期货公司提供核心系统相关开发工作的情况说明;b
464、)访谈期货公司技术部门负责人, 了解期货公司是否进行核心系统的开发工作。 如果进行相关开发,是否具有独立的开发或者测试环境。 检查结果a)如果期货公司不进行核心系统开发,本检查项可判定为满足;b)同时符合上述a) -b)项的检查措施,才达到本检查项要求;c)获取期货公司核心系统相关开发工作的情况说明,作为证明材料。4. 7. 1. 11 必须 延续如果需要使用生产环境进行测试,应纳入变更管理。检查方式访谈检查对象141技术部门负责人检查措施a)期货公司提供是否使用生产环境进行测试及相应的情况说明;b)访谈期货公司技术部门负责人,使用生产环境进行测试是否纳入变更管理;c)抽查一次使用生产环境的测
465、试记录和相关文档。检查结果a)同时符合上述a) -c) 项的检查措施,才达到本检查项的要求;b)获取期货公司使用生产环境进行测试的情况说明,作为证明材料。4. 7. 1. 12 必须 延续应建立核心系统软硬件上线前测试的流程和制度, 规范系统上线前进行的测试。 检查方式访谈 检查对象技术部门负责人 检查措施a)检杳期货公司关于系统测试的流程和制度;b)访谈期货公司技术负责人系统上线计划和实施测试的流程。 检查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司系统测试相关制度或流程作为证明材料4. 7. 1. 13 必须 延续应有模拟测试环境,并与生产环境进行
466、有效隔离。 检查方式访谈 检杳对象技术部门负责人 检查措施a)访谈期货公司负责人测试环境设计和部署方案;b)提供测试环境网络架构图( 详细) 及与当前运行情况相符的相关设施的配置清单;c)模拟测试环境与生产环境要彼此独立,不得互相干扰;d)现场检查模拟测试环境所需设备是否真实存在,是否满足核心系统测试需要。检查结果a)同时符合上述a) -d) 项的检查措施,才达到本检查项的要求;b)期货公司提供测试环境网络架构图( 详细) 及相关设施的配置清单,因属于敏感信息,不留存。4. 7. 1. 14 必须 延续应有专人负责系统测试计划、 组织、 实施和记录, 并对参与测试的各方进行统筹协调。 检查方式
467、访谈 检查对象技术部门负责人 检查措施a)访谈期货公司负责系统测试的相关人员,了 解公司系统测试流程和制度执行情况;142b )检查期货公司关系统测试的流程和制度, 是否要求专人负责测试组织和实施等工作;C )提供参与核心系统测试各方联系方式或服务电话。检查结果a )同时符合上述a ) - c ) 项的检查措施,才达到本检查项的要求:b )获取期货公司系统测试流程和制度相关章节作为证明材料。4 . 7 . 2 配置管理4 . 7 . 2 . 1 必须 延续应具有生产环境设计和部署文档,并根据变更及时更新。 检查方式检查 检查对象配置文档检 查措施a )期货公司提供生产环境设计和部署文档及清单;
468、b )检查生产环境设计和部署文档,至少有完整的网络拓扑图和应用系统部署方案,应有与网络拓扑图相对应的网络配置表,表中应包含I P 地址等主要信息;c)抽查相关文档是否与当前生产环境相符,包括网络拓扑图、应用系统部署方案、网络配置表等所有文档应及时更新。检 查结果a )同时符合上述a ) - c) 项的检查措施,才达到本检查项的要求;b )获取期货公司生产环境设计和部署文档清单,作为证明材料。4 . 7 . 2 . 2 必须 延续应对重要的配置信息进行有效备份。检 查方式访谈,检查检 查对象配置管理人员及技术部门负责人,配置文档检 查措施a )期货公司提供备份配置信息的相关流程, 至少包括核心业
469、务系统的操作系统、 网络设备、数据库以及应用系统的配置;b )访谈技术部门负责人和配置管理人员,了解流程执行情况;c)抽查备份信息是否和生产环境配置吻合。检 查结果a )同时符合上述a ) - c) 项的检查措施,才达到本检查项的要求;b )获取期货公司配置信息备份的相关流程,作为证明材料。4 . 7 . 2 . 3 必须 延续应有恢复配置信息的流程。 检查方式访谈,检查检 查对象配置管理人员及技术部门负责人,配置恢复流程检 查措施a )期货公司提供恢复配置信息的相关流程;b )访谈技术部门负责人和配置管理人员,了解流程执行情况。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才
470、达到本检查项的要求;143b )获取期货公司恢复配置信息的相关流程,作为证明材料。4 . 7 . 2 . 4 可选 新增应对配置信息的恢复进行演练。 检查方式检查 检查对象恢复演练记录检 查措施a )检查期货公司配置信息恢复演练的记录。检 查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求;b )获取期货公司配置信息恢复演练记录,作为证明材料。4 . 7 . 2 . 5 必须 新增应建立配置管理制度和配置文档库。检 查方式检查检 查对象配置管理制度,配置文档检 查措施a )期货公司提供配置管理制度和文档库设计说明;b )检查配置文档库真实存在。检 查结果a )同时符合上述a ) -
471、 b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司配置管理制度和文档库设计说明,作为证明材料。4 . 7 . 2 . 6 必须 新增应有专人负责生产环境配置管理。检 查方式访谈,检查检 查对象配置管理人员,配置文档检 查措施a )检查期货公司相关人员岗位说明书是否包括生产环境配置管理的内容;b )访谈配置管理人员,了解其配置管理的主要工作方法和流程, 采用何种措施确保生产环境变更后配置可及时更新。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司包括配置管理职责的岗位说明书,作为证明材料。4 . 7 . 3 容量管理4 . 7
472、. 3 . 1 必须 延续每年应对核心系统的性能和容量情况进行评估。检 查方式检查检 查对象容量评估报告检 查措施a )检查期货公司上一年度核心系统性能和容量情况的评估报告。 检查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求;144b )获取期货公司上一年度核心系统性能和容量情况的评估报告,作为证明材料。4 . 7 . 3 . 2 必须 延续应根据核心系统的性能容量评估报告,结合业务发展情况及时提出改进计划。 检查方式检查 检查对象性能和容量改进计划 检查措施a )检查期货公司是否制定了核心系统性能容量的改进计划;b )检查改进计划是否符合要求。 检查结果a )同时符合上述a
473、) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司核心系统性能容量改进计划,作为证明材料。4 . 7 . 3 . 3 必须 新增应及时执行改进计划,并对执行结果进行跟踪和评估。 检查方式访谈,检查 检查对象技术部门负责人,容量评估报告 检查措施a )访谈期货公司是否及时执行了改进计划;b )检查针对执行结果的跟踪和评估报告。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司核心系统性能容量改进评估说明,作为证明材料。4 . 7 . 4 应急演练4 . 7 . 4 . 1 必须 延续应建立健哈网络叮信息安全事件应急组织体系,
474、对核心系统的常见故障应有书面的应急预案和排障流程。 检查方式检查 检查对象应急组织体系成员名单. ,应急预案,排障流程 检查措施a )检查是否建立健全网络与信息安全事件应急处置组织体系, 是否明确应急指挥决策机构由主要领导负责,成员包括但不限于业务、技术、风险控制、结算、财务、客服及综合等有关部门负责人;b )检杳期货公司网络与信息安全事件应急预案, 是否明确应急指挥决策和执行机构的职责,是否包括但不限于针对网络与信息安全事件的预防预警、应急处置、报告和调杳处理工作;c )检查期货公司核心系统的常见故障技术排障流程, 场景包括但不限 核心系统的关键部件、网络关键部件、网上交易关键部件、银期转账
475、关键部件、网站关键部件等;d ) 检杳期货公司是否及时调整信息安全事件报告流程, 以满足监管部门的最新要求。 检查结果a )符合上述a ) - d ) 项的检查措施,才达到本检查项的要求;145b )获取期货公司 急 织体系成员名甲、 核心系统应急预案目录、 排障流程清单作为证明材料。4 . 7 . 4 . 2 必须 延续应参与交易所等行业相关机构组织的测试和应急演练并有记录。 检查方式检查检 查对象测试记录,应急演练记录检 查措施a )期货公司提供参加交易所等行业相关机构组织的应急演练的情况说明;b )抽查期货公司参加应急演练的记录或者报告。检 查结果a )同时符合上述a ) - b ) 项
476、的检查措施,才达到本检查项的要求;b )获取期货公司参加交易所等行业相关机构组织的应急演练的情况说明, 作为证明材料。4 . 7 . 4 . 3 必须 延续应根据机构、人员、技术等变化,及时调整应急预案。 检查方式检查 检查对象应急预案检 查措施a )检查期货公司应急预案的历史版本,是否反映了相关变化。检 查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求。4 . 7 . 4 . 4 必须 延续演练而应制定详细的应急演练计划,并根据计划进行演练。检 查方式检查检 查对象应急演练记录,应急演练计划检 查措施a )抽查期货公司两年内的应急演练计划。 查看是否根据应急预案的内容, 制定详
477、细的应急演练计划。计划中是否至少包括演练的目的、内容、时间、参与方、方式、前期准备情况、统计与记录要求、系统恢复与验证要求等内容;b )抽查期货公司两年内的应急演练报告或记录, 检查期货公司是否何 : 牛至少组织全公司各部门进行两次应急演练,是否按应急演练计划中规定的场景完成演练。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司附急预案I I 录、应急演练计划目录和报告目录,作为证明材料。4 . 7 . 4 . 5 必须 延续应准备必要工具,以便应急预案的顺利执行。 检查方式检查 检查对象应急预案,应急工具 检查措施146a)根据应急预案,
478、抽查其中需要使用的相关应急软、硬件工具是否真实存在。检查结果a)符合上述a) 项的检查措施,才达到本检查项的要求。4. 7 . 5 技术事故管理4. 7. 5. 1 必须 延续应建立技术事故报告制度和流程。 检查方式检查 检查对象事故管理制度 检查措施a)检查期货公司技术事故报告制度和流程;b)检查期货公司技术事故报告制度是否包括事故报告及事故的调查处理机制。 检查结果a)符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司技术事故报告制度和流程,作为证明材料。4. 7. 5. 2 必须 延续应保存技术事故的记录。 检查方式检查 检查对象事故记录 检查措施a)期货公司提供
479、一年内技术事故的记录;b)抽查期货公司技术事故记录,应包括事故时间、现象、处理流程、处理结果、原因、改进措施等。 检查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司技术事故报告,作为证明材料。4. 7. 5. 3 必须 延续应根据技术事故情况,及时提出改进计划,落实改进措施。 检查方式访谈,检查 检查对象技术部门负责人,改进计划 检查措施a)期货公司提供针对近期技术事故情况的改进计划;b)访谈技术部门负责人,了解落实改进情况。 检查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司针对近期技术事故情况的改进计划,作为证
480、明材料。4 . 8营业部技术要求4. 8. 1 基本要求4.8. 1. 1 必须 延续营业部设备区域应是一个单独的区域,用于放置营业部开展业务所需的网络、通信和主机设备。147 检查方式检查 检查对象营业部设备区域情况说明 检查措施a)期货公司提供所有营业部的设备区域的情况说明,其中必须包含设备区的照片;b) 检查情况说明, 营业部设备区域是否是单独的区域, 与其他办公区域进行了有效隔断;c)检查情况说明,营业部业务所需的网络、通信和主机是否放在设备区域内。 检查结果a)同时符合上述a) -c) 项的检查措施,才达到本检查项的要求;b)获取期货公司所有营业部的设备区域的情况说明,作为证明材料。
481、4. 8. 1.2 必须 延续应确保在交易时间内有技术人员进行技术系统维护工作。 检查方式检查 检查对象营业部交易期间技术人员值守情况说明 检查措施a)期货公司提供所有营业部交易期间技术人员值守情况说明, 包括技术人员的联系方 式 ( 固定出话号码、移动电话号码);b)检查情况说明中的交易时间内的系统维护工作。 检查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司所有营业部交易期间值守情况说明,作为证明材料。4. 8.1.3 必须 延续应有与当前运行情况相符的业务系统结构文档。 检查方式检查 检查对象业务系统结构文档 检查措施a)检查期货公司提供的所有营业
482、部为业务开展提供支持的信息系统的结构文档, 应包括系统组成、网络拓扑等。 检查结果a)符合上述a) 项的检查措施,才达到本检查项的要求;b)获取期货公司所有营业部业务系统结构文档,作为证明材料。4. 8. 1.4 必须 延续应配备防火墙或相当的安全防护设备。 检查方式检查 检查对象安全防护设备情况说明 检查措施a)检查期货公司提供的所有营业部的安全防护设备情况说明。 检查结果a)符合上述a) 项的检查措施,才达到本检查项的要求;148b )获取期货公司所有营业部安全防护设备情况说明,作为证明材料。4 . 8 . 1 . 5 必须 延续应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的
483、补丁进行了解、评估、必要的测试和升级。 检查方式检查 检查对象补丁管理制度、测试和升级记录 检查措施a )检查期货公司提供的营业部补丁管理制度和流程;b )抽查营业部核心系统依赖的系统软件的测试和升级记录。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司营业部补丁管理制度和流程,作为证明材料。4 . 8 . 1 . 6 必须 延续应对使用W i n d o w s 平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。 检查方式检查 检查对象营业部的防病毒管理流程和制度 检查措施a )期货公司提供营业部的防病毒管理的相关流程
484、和制度;b )检查防病毒管理的相关流程和制度, 是否能够进行全面检查, 是否能保障病毒库的及时更新。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司营业部的防病毒管理流程和制度,作为证明材料。4 . 8 . 1 . 7 必须 延续应建立有效机制,保障总部了解各个营业部的运行情况。 检查方式检查 检查对象营业部运行情况报告 检查措施a )期货公司提供一年内所有营业部向总部提交的运行情况报告, 频度应不低于每月一次;b )抽查至少2 次运行报告,时间间隔不小于两个月。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项
485、的要求;b )获取被抽查的期货公司营业部2 次运行报告,作为证明材料。4 . 8 . 1 . 8 必须 延续应有总部和信息技术服务提供商的准确联系方式。 检查方式检查 检查对象营业部联系方式表 检查措施149a )检查期货公司的所有营业部联系方式表, 是否包括总部和信息技术服务提供商的联系方式;b )抽查信息技术服务提供商的联系方式。检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司营业部联系方式表,作为证明材料。4 . 8 . 2 交易保障4 . 8 . 2 . 1 必须 延续提供现场交易的营业部应有至少两条交易通信链路。 检查方式检查 检查
486、对象营业部交易通信链路情况说明 检查措施a )检查期货公司提供现场交易的营业部的交易通信链路情况说明;b )抽查链路情况说明,查看提供现场交易的营业部是否提供两条交易通信链路。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司提供现场交易的营业部的交易通信链路情况说明,作为证明材料。4 . 8 . 2 . 2 必须 延续提供现场交易的营业部关键设备应有冗余。 检查方式检查 检查对象营业部关键设备情况说明 检查措施a )检查期货公司提供现场交易的营业部的关键设备情况说明, 应包括服务器、 网络设备、安全防护设备等;b )抽查设备情况说明,查看关
487、键设备是否达到冗余要求。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司提供现场交易的营业部的关键设备情况说明,作为证明材料。4 . 8 . 2 . 3 必须 新增营业部应对设备容量、交易通信链路进行监控,及时进行必要的升级。 检查方式检查 检查对象营业部监控措施说明和升级记录 检查措施a )检查期货公司提供的所有营业部的设备容量、 交易通信链路监控措施说明和升级记录。 检查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求;b )获取期货公司营业部设备容量和交易通信的链路监控措施说明和升级记录, 作为证明材料。1504. 8.
488、2. 4 必须 延续营业部应有有效的日常运行流程和应急处理流程,并进行适当的演练。 检查方式检查检 查对象营业部日常运行流程,应急处理流程,演练记录检 查措施a)检查期货公司提供的所有营业部的日常运行流程、 应急处理流程和一年内的演练记录。检 查结果a)符合上述a)项的检查措施,才达到本检查项的要求;b)获取期货公司营业部日常运行流程、应急处理流程和演练记录,作为证明材料。5.四类要求5 . 1 技术管理5 . 1 . 1 组织结构5. 1. 1. 1 必须 延续应设有技术部门并有专职技术人员,并有明确的职责分工和岗位说明。 检查方式访谈,检查检 查对象期货公司人力资源相关人员,岗位职责检 查
489、措施a)访谈期货公司, 提供技术部门员工的情况说明, 包括人员信息、 岗位和基本职责;b)检查技术人员的岗位说明书和技术部门组织架构说明, 查看是否有职责划分不清或是否遗漏重要职责划分,技术人员不得从事开户、风控、资金存取、结算等关键业务操作。检 查结果a)同时符合上述a) -b)的所有检查措施,才达到本检查项的要求;b)获取期货公司技术部门员工的情况说明和组织架构说明,作为证明材料。5. 1. 1. 2 必须 延续总部技术部门人员总数占公司总部人数的比例不少于8%检 查方式访谈,检查检 查对象期货公司人力资源相关人员检 查措施a)访谈期货公司, 提供技术部门员工的情况说明, 应包括总部技术部
490、门人员名单及占比情况计算;b)检查期货公司正式员工花名册及员工人数统计( 以与公司签订劳动合同, 且具有期货从业资格为准);c)检查期货公司技术部门技术人员的简历及工资单,是否符合情况说明。检 查结果a)同时符合上述a) -c )的所有检查措施,才达到本检查项的要求;151b )获取期货公司技术部门员工的情况说明,作为证明材料。5 . 1 . 1 . 3 必须 新增总部技术部门人员不少于1 5 人,对于开展连续交易的期货公司应达到2 0 人。 检查方式访谈,检查 检查对象期货公司人力资源相关人员 检查措施a )检查期货公司总部技术部门员工人数是否达到1 5 人,对 开展连续交易的公司应达到2
491、0 人 ( 以与公司签订劳动合同,且具有期货从业资格为准);对于与母公司共用机房,并由母公司提供机房运维服务,或与第一: 方签署机房基础设施运维协议的期货公司,可在总部技术部门总人数最低要求的基础卜一最多核减3 人。 检查结果a )符合上述a ) 的检查措施,才达到本检查项的要求;b )获取期货公司技术部门员工的情况说明, 作为证明材料( 可使用上一项的证明材料)。5 . 1 . 1 . 4 必须 新增公司应设立内部审计岗位,定期对I T 流程执行情况进行审计。 检查方式访谈,检查 检查对象期货公司人力资源相关人员,岗位职责 检查措施a )访谈期货公司内部审计人员, 检查其岗位职责和人员素质,
492、 评估其是否达到岗位能力要求;b )检查一年内的I T 流程执行审计记录。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司一年内的审计记录作为证明材料。5 . 1 . 1 . 5 必须 延续应建立负责本公司信息技术规划和信息安全管理的跨部门机构,其职责包括系统规划、安全管理、I T 治理等。 检查方式访谈,检查 检查对象期货公司人力资源相关人员、信息安全管理机构负责人、组织架构 检查措施a )访谈负责信息技术规划和信息安全管理的跨部门机构负责人, 检查其是否清楚信息技术规划和信息安全的职责和工作内容;b )检查期货公司组织架构说明和该机构
493、成立的正式文件;c )检查公司安全管理制度, 信息安全工作的总体方针和安全策略, 说明该机构安全工作的总体目标、范围、原则和安全框架等;d )检查是否召开会议,查看会议记录,是否进行有关规划、安全管理、I T 治理等制度和规程制定,是否进行审定和修订、发布落实等。 检查结果a )同时符合上述a ) - d ) 的所有检查措施,才达到本检查项的要求;152b)获取期货公司负责信息技术规划和信息安全管理的跨部f 机构的组织架构说明和组织成立的正式文件,作为证明材料。5. 1.1.6 必须 延续应与所有总部技术部门人员签署保密协议,应对技术人员的离岗严格管理。 检查方式检查检 查对象保密协议检 查措
494、施a)检查期货公司总部技术人员的保密协议( 或劳动合同中的保密条款);b)检查是否办理了严格的调离手续,检查交接记录。检 查结果a)符合上述a) -b)的检查措施,才达到本检查项的要求;b)获取期货公司总部技术人员保密协议的首页和签名页( 或劳动合同相关页), 作为证明材料。5. 1. 1. 7 必须 延续应设立2名技术联络员,负责组织、协调和处理与信息安全管理部门、交易所及相关单位的各项技术事宜。检 查方式访谈,检查检 查对象期货公司技术部门负责人,技术联络员,联系方式检 查措施a)访谈技术部门负责人是否清楚技术联络员的职责,了解技术联络员更换的流程;b)访谈技术联络员, 抽查各交易所、监管
495、机构、 保证金监控中心、中期协和存管银行等单位和部门的联系方式;c)检查技术联络员是否至少为2名。检 查结果a)如技术联络员更换的流程中不包含通知交易所和监管机构, 则认为不符合上述检查措施;b)同时符合上述a) -c )的所有检查措施,才达到本检查项的要求;c)获取期货公司技术联络员变更相关流程,作为证明材料。5. 1.1.8 必须 延续总部技术部门应有至少1名安全管理人员。 检查方式访谈,检查 检查对象期货公司人力资源相关人员,技术部安全管理人员,岗位职责检 查措施a)检查期货公司总部安全管理岗人员的个人简历和岗位说明书, 查看是否具有安全管理方面的资质和经历,安全管理人员不可外包;b)访
496、谈期货公司总部安全管理人员, 了解其是否明确岗位职责和工作内容, 评估其是否达到岗位能力要求。检 查结果a)同时符合上述a) -b)的所有检查措施,才达到本检查项的要求;b)获取期货公司总部安全管理人员的个人简历、岗位说明书,作为证明材料。1535. 1. 1. 9 必须 延续每个营业部应配备至少1名技术人员。 检查方式访谈,检查 检查对象期货公司人力资源相关人员,岗位职责检 查措施a)现场访谈或电话访谈,抽查营业部技术人员,了解其工作职责和日常工作内容;b)检查期货公司营业部的正式员工花名册, 总部应有各营业部的技术人员总表, 包含联系方式( 营业部技术人员不得外包,以与公司签订劳动合同,且
497、具有期货从业资格为准),检查营业部技术人员岗位说明书。检查结果a)同时符合上述a) -b)项的所有检查措施,才达到本检查项的要求;b)获取各营业部的技术人员总表,作为证明材料。5. 1. 1. 10 必须 延续总部技术部门应有至少2名网络管理人员。检 查方式访谈,检查检 查对象期货公司人力资源相关人员,网络管理人员,岗位职责检 查措施a)访谈期货公司网络管理人员,了解其岗位职责和工作内容, 评估其是否达到岗位能力要求;b)检查期货公司网络管理人员的个人简历和岗位说明书, 查看是否具有网络管理方面的资质和经历。检 查结果a)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;b)获取
498、期货公司总部网络管理人员的个人简历和岗位说明书,作为证明材料。5 . 1 . 2培训5. 1. 2. 1 必须 延续对所有上岗技术人员应进行岗位培训。检 查方式访谈,检查检 查对象期货公司人力资源相关人员,技术培训检 查措施a)期货公司提供一年内所有上岗技术人员( 包含营业部) 岗位培训的书面记录,要包含基本制度及技能培训内容;b)培训记录要求包括培训时间、地点、培训讲师、参加培训的人员等信息,并有参加培训人员的签名;c)抽查一年内的培训记录;d)营业部技术人员应定期参加协会组织的技术培训。检 查结果a)同时符合上述a) -d)的所有检查措施,才达到本检查项的要求;b)获取期货公司上岗技术人员
499、的书面培训抽查的记录,作为证明材料5. 1.2.2 必须 延续总部技术部门的所有人员每两年参加期货业协会组织的技术培训应达到18学时,其中至少有3学时的信息技术法律法规及标准培训。154 检查方式检查 检查对象技术培训检 查措施a )检查期货公司近两年参加期货业协会组织的技术培训的清单和协会提供的证明材料;b )培训清单要求包括培训时间、地点、培训讲师、参加培训的人员等信息;c )新入职员工应在两个年度( 含入职当年) 之内完成期货业协会组织的技术培训。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司近两年参加期货业协会组织的技术培训清单
500、,作为证明材料。5. 1 . 2 . 3 必须 延续应有明确的培训教材,用于培训上岗操作人员。检 查方式检查检 查对象技术培训检 查措施a )检查期货公司的培训教材,确定培训教材是否符合岗位实际能力要求;b )培训教材的形式不限,可以是纸质或电子的。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司技术培训教材清单,作为证明材料。5. 1 . 2 . 4 必须 延续应有对总部技术部门人员的年度培训计划,并根据计划实施。检 查方式检查检 查对象技术培训检 查措施a )检查期货公司对技术员工的年度培训计划;b )检查一年内的技术员工的培训记录,
501、检查执行实施情况。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司对技术员工的年度培训计划和培训记录,作为证明材料。5 . 1. 2 . 5 必须 延续应定期对各个岗位的人员进行安全教育和培训,培训内容应包含机房消防及相关应急内容等。检 查方式访谈,检查检 查对象期货公司技术部门负责人,技术培训 检查措施a )期货公司提供一年内各岗位人员安全教育的培训记录;b )检查培训内容是否包括机房消防安全教育和应急培训,应急培训内容应包括应急预案、证券期货业信息安全应急处置的有关规定等。155检查结果a )符合上述a ) - b ) 的所有检查措施
502、,才达到本检查项的要求;b )获取期货公司一年内的各岗位人员安全教育的培训记录,作为证明材料。5 . 1. 3 人员素质5 . 1. 3 . 1 必须 延续总部技术部门人员5 0 % 以上应有信息技术相关专业大学本科或以上教育背景。 检查方式检查检 查对象人员简历检 查措施a )检查期货公司总部花名册中技术部门人员部分( 以与公司签订劳动合同, 且具有期货从业资格为准);b )期货公司提供总部技术人员的情况说明,包括人员岗位、教育背景;c )检查期货公司总部技术人员中信息技术相关专业大学本科或以上教育背景的是否达到5 0 % ;d )检查期货公司的总部技术人员的学历证书或个人简历,是否符合情况
503、说明。检 查结果a )同时符合上述a ) - d ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司总部技术人员情况说明,作为证明材料。5 . 1 . 3 . 2 必须 新增总部技术部门人员8人以上应具备2 年及以上的系统运行维护经验。检 查方式检查检 查对象人员简历检 查措施a )检查期货公司总部花名册中技术部门人员部分( 以与公司签订劳动合同, 且具有期货从业资格为准);b )期货公司提供技术人员的情况说明,应包括系统运行维护工作年限;c )检查期货公司的技术人员的个人简历,是否符合情况说明;d )检查期货公司技术人员中具备2 年及以上的系统运行维护经验的是否达到8 人。检查结果
504、a )同时符合上述a ) - d ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司总部技术人员情况说明, 作为证明材料。( 可使用上一项的证明材料)。5 . 1. 4 信息技术服务提供商管理5 . 1. 4 . 1 必须 延续应与信息技术服务提供商签订服务保障协议。检 查方式访谈,检查 检查对象期货公司技术部门负责人,信息技术服务提供商管理 检查措施156a )访谈期货公司技术部门负责人,了解信息技术服务提供商状况;b )检查期货公司的服务提供商包含服务保障承诺的协议。检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司与信息技术服务
505、提供商之间的协议首页和签名页,作为证明材料。5 . 1. 4 . 2 必须 延续应与核心系统的服务提供商签署保密协议。 检查方式检查 检查对象期货公司技术部门负责人,信息技术服务提供商管理 检查措施a )检查期货公司与所有交易结算应用系统供应商( 包括所有席位的系统) 的保密协议或在合同中有保密条款。 检查结果a )符合上述a )的检查措施,才达到本检查项的要求;b )获取期货公司与交易结算应用系统供应商的保密协议或带有保密条款的合同的首页和签名页,作为证明材料5 . 1. 4 . 3 必须 延续应有信息技术服务提供商的准确联系方式。 检查方式检查 检查对象信息技术服务提供商管理,联系方式 检
506、查措施a )期货公司提供所有的服务方联系方式表;b )检查期货公司的服务提供商联系方式表,并抽查准确性。 检查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司服务提供商的联系方式表,作为证明材料。5 . 1. 4 . 4 必须 延续选择信息技术服务提供商时应评估其资质、经营行为、业绩、服务体系和服务品质等要素。 检查方式检查 检查对象信息技术服务提供商管理 检查措施a )访谈期货公司选择服务提供商时的相关评估制度或措施;b )抽查评估记录,评估记录中应包括服务提供商的资质、经营行为、业绩、服务体系和服务品质。 检查结果a )同时符合上述a ) - b
507、 )的所有检查措施,才达到本检查项的要求;b )获取期货公司服务商的评估制度或相关措施说明,以及抽查的评估记录, 作为证明材料。5 . 1. 4 . 5 必须 延续应定期对信息技术服务提供商的服务质量进行评估。检查方式157访谈,检查检查对象期货公司技术部门负责人,信息技术服务商管理检查措施a)访谈期货公司定期评估服务提供商的相关制度或措施;b)访谈期货公司技术部门负责人,了解服务提供商服务质量定期评估的实施情况;c)检查一年内期货公司的服务提供商服务质量的评估报告。检查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司定期评估服务提供商的制度或相关措施说
508、明,以及抽查的评估报告,作为证明材料。5. 1.5 IT 投入5. 1. 5. 1 必须 延续最近三个财政年度IT投入平均数额应不少于最近三个财政年度平均净利润的6% 或不少于最近三个财政年度平均营业收入的3%,取二者数额较大者。检 查方式检查 检查对象财务报表检 查措施a) IT投入的计算范围包括技术类资产投入、运行、维护、信息技术服务和外包费用,不包括人员薪酬福利,计算方法采用权责发生制;b)检查期货公司前三个财政年度经审计的财务报表;c)检查期货公司的最近三个财政年度IT投入的清单和对应的费用及比例说明;d)对于成立时间不足三年的期货公司,只考虑成立以后的时间。检查结果a)同时符合上述a
509、) -d) 的所有检查措施,才达到本检查项的要求;b)获取期货公司最近三个财政年度IT投入的清单和对应的费用及比例说明,作为证明材料。5 . 2机房建设5. 2. 1 基本5. 2. 1. 1 必须 延续机房应为独立封闭区域,并配备门禁。检 查方式检查 检查对象机房基础设施检 查措施a)检查期货公司的机房, 是否为独立封闭区域( 独立封闭区域是指机房内不得包括办公、生活等设施,但可以包括监控终端),并配备门禁( 门禁应专门控制机房的出入),并获取机房以及门禁的照片;b)检查期货公司的机房平面图纸( 标注机房区域),图纸中是否为独立区域。检 查结果158a )同时符合上述a ) - b )的所有
510、检查措施,才达到本检查项的要求;b )获取机房以及门禁的照片,以及机房平面图纸作为证明材料。5 . 2 . 1 . 2 必须 延续机房承重应达到5 0 0公斤每平方米。 检查方式检查 检查对象机房基础设施 检查措施a )期货公司提供由相关机构出具的机房承重相关证明材料, 说明机房承重是否达到5 0 0公斤每平方米。 检查结果a )符合上述a )的检查措施,才达到本检查项的要求;b )获取由相关机构出具的期货公司机房承重相关证明材料,作为证明材料。5 . 2 . 1 . 3 必须 延续机房应具备火警检测、灭火和应急照明设施。 检查方式访谈,检查 检查对象机房基础设施 检查措施a )期货公司提供机
511、房情况说明, 包括火警检测、 灭火和应急照明设施等信息;检杳机房消防报验或报备材料 :b )检查期货公司的机房的火警检测设施, 是否符合情况说明( 火警检测设施应分布于机房的每个独立房间);c )检查期货公司的机房的灭火设施,是否符合情况说明;d )检查期货公司的机房的应急照明设施,是否符合情况说明。 检查结果a )同时符合上述a ) - d )的所有检查措施,才达到本检查项的要求;b )获取期货公司机房情况说明,作为证明材料。5 . 2 . 1 . 4 必须 延续机房应当具备自动灭火设施。 检查方式检查 检查对象灭火设施 检查措施a )期货公司提供机房情况说明,包括自动灭火设施,查看消防验收
512、材料 ;b )检查期货公司的机房的自动灭火设施, 是否符合情况说明( 自动灭火设施应当分布于机房的每个独立房间)。 检查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司的机房情况说明,作为证明材料。5 . 2 . 1 . 5 必须 延续机房出入口和内部应安装7 * 2 4小时录像监控设施,录像至少保存9 0天。检查方式检查159 检查对象机房管理 检查措施a )期货公司提供机房情况说明, 包括机房出入口和内部的录像监控设施和录像保存措施等信息;b )检查期货公司的机房的出入口和内部是否安装录像监控设施,是否与a )的情况说明相符;c )检查近9 0天
513、的机房监控录像,并抽查两个不同日期的录像记录。 检查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司的机房情况说明,作为证明材料。5 . 2 . 1 . 6 必须 延续机房应有防雷接地、防鼠以及防静比的设施。 检查方式检查 检查对象机房基础设施 检查措施a )期货公司提供情况说明, 说明防雷和接地、 防鼠以及防静电等措施。 其中应包括交流接地、直流接地、安全工作接地电阻不大于4欧姆,防雷接地电阻不大于1 0欧姆的书面证明材料;b )检查期货公司的机房的防雷和接地、防尿以及防静电设施,是否与a )的情况说明相符;c )检查期货公司的机房防雷和接地设
514、施布置平面图纸,是否与实际相符。 检查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司的机房情况说明,作为证明材料。5 . 2 . 1 . 7 必须 延续机房内应安装漏水检测设施,并能够自动报警。 检查方式检查 检查对象机房基础设施 检查措施a )期货公司提供机房情况说明, 包括漏水检测设施、自动报警设施( 重点在每台精密空调周围设置漏水检测装置);b )检查机房漏水检测设施,是否符合情况说明。 检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司的机房情况说明,作为证明材料。5 . 2 . 1 .
515、 8 必须 延续机房内应采用卤代烷或可替代的其他新型气体灭火装置。 检查方式检查 检查对象机房灭火装置 检查措施160a)期货公司提供机房情况说明,包括气体灭火装置;b)检查机房的气体灭火装置, 是否为卤代烷或可替代的其他新型气体灭火装置, 查看消防验收材料;c)检查机房的气体灭火装置,并注意查看其设备的有效期,是否符合情况说明;d)检查机房的气体灭火系统的专业维护保养,是否处于有效维保状态。检查结果a)同时符合上述a) -d)的所有检查措施,才达到本检查项的要求;b)获取期货公司机房的灭火装置情况,作为证明材料;c)获取期货公司气体消防的维保合同以及一年内维护保养记录。5.2. 1.9 必须
516、 延续应具有机房环境监控系统,至少能够监控供配电、空调、温湿度等重要指标。 检查方式检查 检查对象机房监控 检查措施a)期货公司提供机房情况说明,包括机房环境监控措施;b)检查机房的环境监控系统,是否有供配电、空调、温度、湿度等监控,是否符合情况说明。 检查结果a)供配电、空调、温度、湿度等监控指标缺少任意一项,都为不符合上述a)的检查措施;b)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;c)获取期货公司机房的环境监控系统的情况说明,作为证明材料。5. 2. 1. 10 必须 延续应实现声音或短信等自动报警或7*24小时值守。 检查方式访谈,检查 检查对象技术部门负责人,机
517、房管理 检查措施a)期货公司提供机房情况说明,包括机房报警或值守措施;b)检查机房报警是否实现声音或短信等自动报警,是否符合情况说明;c)如不能自动报警,访谈技术部门负责人,了解是否采取7*24小时值守的机制,检查期货公司的值守记录,抽查一年内4个时点相应的记录,间隔不小于2个月。 检查结果a)同时符合上述a)和b) ,或者a)和c)的检查措施,才达到本检查项的要求;b)获取期货公司机房报警或值守的情况说明,作为证明材料。5. 2 . 2供电5. 2. 2. 1 必须 延续机房应配备在线UPS设施。UPS应当存放在独立封闭区域。 检查方式检查 检查对象机房UPS 检查措施161a )期货公司提
518、供U P S情况说明, 应说明在线U P S设备功率和U P S设备连接方式,U P S应与计算机、网络设备在不同的独立封闭区域;b )检查机房的在线U P S设施,是否符合情况说明。检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司机房的U P S设施的情况说明,作为证明材料。5 . 2 . 2 . 2 必须 延续应提供双路市电,双路供电应能实现自动切换,双U P S供电,并能够采用发电机应急供电检 查方式检查检 查对象机房供甩设施检 查措施a )检查期货公司提供的市电供电、U P S设施和应急供电发电机情况说明;b )检查双路市电来源的说明
519、是否符合实际情况;c )检查是否配备了发电机予以保护( 不包括移动式的发电机);d )检查所有生产环境的双电源设备分别连接到不同的U P S ;e )检查所有生产环境的单电源设备都连接到S T S设备, 或采用双机热备, 或其它等效措施,并分别连接到不同的U P S ;f )检查两年内的电力切换演练记录,切换应当包括在一路市电、 一路U P S完全失效或者一路电源开关发生故障的情况卜,剩余的市电和U P S可以支撑机房的全部设备的情况。检 查结果a )同时符合上述a ) - f )中的所有检查措施,才达到本检查项的要求;b )获取期货公司应急供电情况说明,作为证明材料。5 . 2 . 2 .
520、3 必须 延续应具有电力设施实时切换演练制度和记录。检 查方式检查检 查对象机房管理检 查措施a )检查期货公司提供的电力设施实时切换演练制度;b )检查期货公司近两年内电力设施实时切换演练记录; 实时切换应当做到模拟路市电中断、 路U P S完全失效和一路电源开关发生故障的情况下,所有的生产环境设备不需要任何人工操作,仍然能够正常工作。检 查结果a)同时符合上述a) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司近两年内电力设施实时切换演练记录,作为证明材料。5 . 2 . 2 . 4 必须 新增发电机应能够提供不少于1 2小时的连续供电,在满负载运行的情况下,U P S
521、供电时间应超过从断电到发电机开始供电的间隔时间。检查方式检查检查对象机房供电设施162检查措施a)期货公司提供发电机情况说明,包括发电机应急供电时间等信息;b )检查发电机情况说明,根据可供油量,计算供电时间是否不少于1 2小时;根据现场油箱大小及标尺计算现场油量,根据发电机每小时油耗来计算现场供油量,计算能实际达到的供电时间;如签署应急供电协议,则该协议提供的后备供电时间不得超过6小时;c )计算U P S的供电时间; 计算时, 根据机房的满负载用电量和U P S电池的实际电量,计算U P S供电时间能否超过从断电到发电机开始供电所需的时间间隔:d )检查机房的供电系统图,与实际情况是否相符
522、。检查结果a)符合上述a) - d )的检查措施,才达到本检查项的要求;b )获取期货公司发电机情况说明,作为证明材料。5 . 2 . 2 . 5 必须 延续应定期对发电机进行开机测试。检 查方式检查检 查对象机房供电管理检 查措施a)期货公司提供一年内发电机开机测试记录,应包括测试时间,测试结果等内容。检 查结果a)符合上述a)的所有检查措施,才达到本检查项的要求;b )获取期货公司发电机测试记录,作为证明材料。5 . 2.3空调5 . 2 . 3 . 1 必须 延续应配有与机房热容量匹配的精密空调,并有冗余的精密空调设备。检 查方式检查检 查对象机房空调设备检 查措施a)期货公司提供机房精
523、密空调情况说明,包括空调的正常温度;b )检杳期货公司机房精密空调情况说明, 精密空调热容量是否与机房中配置的设备功率相匹配;c )检查机房精密空调的冗余, 应当在缺少任何一台精密空调工作的情况下, 剩余精密空调的热容量与机房中配置的设备功率相匹配。检 查结果a)同时符合上述a) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司机房精密空调情况说明,作为证明材料。5 . 2 . 3 . 2 必须 延续对机房温湿度应有监控措施和记录。检 查方式检查检 查对象机房管理 检查措施163a)检查期货公司近一年内机房温度、 湿度的监控记录。 如采用人工监控方式,得大应至少记录3个时点的
524、温湿度情况( 每个连续交易时段至少记录1个时点);如采用自动化监控方式, 则监控时间应覆盖交易时间, 监控工具应能实现短信自动报警,并能导出监控记录:b )检查机房内除空调显示外的温湿度检测点是否真实存在, 抽查其中三天的监控记录,时间间隔不小于两个月。检查结果a)同时符合上述a) - b )的所有检查措施,才达到本检查项的要求;b )获取被抽查的期货公司机房温度、湿度监控记录,作为证明材料。5 . 2 . 3 . 3 必须 延续空调应双路供电。 检查方式检查 检查对象机房空调设备,机房供电设施检 查措施a)期货公司提供的机房空调情况说明,包括空调供电信息;b )根据机房空调情况说明,检查空调
525、供电是否双路( 不要求自动切换)。检 查结果a)同时符合上述a) - b )的所有检查措施,才达到本检查项的要求;b )获取检查期货公司机房空调情况说明,作为证明材料。5 . 2 . 3 . 4 必须 延续机房应配备新风设施。检 查方式检查检 查对象机房新风设施 检查措施a)期货公司提供的机房情况说明,包括是否配备新风设施信息;b )检查期货公司新风设施,是否符合情况说明。检 查结果a)同时符合上述a) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司机房情况说明,作为证明材料。5 . 2 . 3 . 5 必须 延续应具有为空调供电的发电机。 检查方式检查 检查对象机房供电设
526、施,机房空调设施检 查措施a)期货公司提供机房的空调情况说明,包括发电机信息和机房供电图;b )检查期货公司机房的为空调供电的发电机,是否符合情况说明;c )检查机房的空调供电系统图( 含发电机供电)。检 查结果a)同时符合上述a) - c )的所有检查措施,才达到本检查项的要求;b )获取机房的空调情况说明,作为证明材料。1645 . 2.4布线5 . 2 . 4 . 1 必须 延续强弱电布线应分开。 检查方式检查 检查对象机房管理检 查措施a)期货公司提供机柜外的布线图, 包括强弱电布线情况; 本项要求不包括机柜内布线.b )抽查期货公司机房强弱电的布线, 不应存在强弱电线路平行铺设且无间
527、距、 无隔断的情况。检 查结果a)同时符合上述a) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司布线图,作为证明材料。5 . 2 . 4 . 2 必须 延续所有弱电布线应有清晰的线标。检 查方式检查检 查对象机房管理检 查措施a)期货公司提供机房线标规划方案;线标上应当可以直接或者可以通过查表的方式,明确知道该线连接的位置和用途;b )抽查期货公司机房弱电线标是否根据规划实施。检 查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取机房线标规划方案,作为证明材料。5 . 2 . 4 . 3 必须 延续强电电缆应有屏蔽或隔离措施。检 查方式
528、检查检 查对象机房管理检 查措施a )期货公司提供强电情况说明, 包括机柜外的强电电缆是否有屏蔽或隔离措施; 本项要求不包括机柜内强电电缆;b )对于强电电缆与弱电电缆分开铺设的,认为符合隔离措施;c )对于强电电缆与弱电电缆一起铺设的( 指直接相邻、无间距且平行), 应采取屏蔽措施。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司强电情况说明,作为证明材料。5 . 2 . 4 . 4 必须 延续所有布线应置于管道或桥架中。检查方式检查检查对象165机房管理检查措施a )期货公司提供机柜外的布线情况说明; 这些布线应当放置在管道或桥架中,
529、但是不要求完全封闭;本项要求不包括机柜内布线;b )检查期货公司机房的布线情况,是否符合情况说明。检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司布线情况说明,作为证明材料。5 . 2. 5维护5 . 2 . 5 . 1 必须 延续所有U P S和空调设施都应有专业维护人员,或与专业机构签订维护合同。 检查方式访谈,检查 检查对象U P S和空调设施维护人员或维护合同 检查措施a )访谈U P S和空调设施维护人员,或检查期货公司机房的空调和U P S维护合同。 检查结果a )符合上述a )的检查措施,才达到本检查项的要求;b )获取U P
530、S和空调设施专业维护人员的情况说明或维护合同签名页,作为证明材料。5 . 2 . 5 . 2 必须 延续应定期对所有U P S和空调设施进行恰当维护,有维护记录。 检查方式检查 检查对象U P S和空调设施维护记录 检查措施a )检查期货公司机房一年内U P S和空调设施的维护记录,每季度至少次维护记录。 检查结果a )符合上述a )的检查措施,才达到本检查项的要求;b )获取期货公司机房一年内U P S和空调设施的维护记录,作为证明材料。5. 3核心系统5 . 3. 1功能5 .3. 1 . 1 必须 延续交易系统应实现数据与应用分离,防止客户终端绕过应用程序界面直接访问核心数据。 检查方式
531、访谈,检查 检查对象技术部门负责人,期货公司交易系统 检查措施a )访谈期货公司技术部门负责人交易系统的软件来源、版本情况、软件架构说明;166b )检查软件架构说明, 不应存在客户终端直接使用数据库接口, 访问核心数据的情况;C )检查软件架构说明, 不应存在为客户终端或者管理员终端提供通用的直接修改核心数据的方法。检查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司交易系统的软件来源、版本情况、软件架构说明,作为证明材料。5 . 3.1 . 2 必须 延续交易系统应具备对客户进行实时风险控制的功能。检 查方式访谈,检查检 查对象技术部门负责人
532、,期货公司交易系统风险控制措施检 查措施a )访谈期货公司技术部门负责人交易系统对客户的实时风险控制措施;b )期货公司提供情况说明, 包括交易系统对客户的实时风险控制措施, 至少应具备强行平仓和防止保证金透支的功能;c )检查期货公司交易系统实时风险控制模块。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取加盖了公章的期货公司交易系统对客户的实时风险控制的情况说明, 作为证明材料5 . 3. 1 .3 必须 延续交易系统应产生、记录并存储必要的日志信息供审计使用。检 查方式访谈,检查检 查对象技术部门负责人,期货公司交易系统检 查措施a )访谈期
533、货公司技术部门负责人交易系统的软件架构说明和日志功能;b )期货公司提供情况说明, 包括交易系统的日志功能,日志信息至少应包括所有接入客户的身份信息、I P地址和交易信息;c )检查是否产生必要的日志信息;d )检查是否记录必要的日志信息;e )检查是否存储必要的日志信息。检 查结果a )同时符合上述a ) - e )的所有检查措施,才达到本检查项的要求;b )获取期货公司交易系统的软件架构说明和日志功能材料,作为证明材料。5 . 3 . 1 . 4 必须 延续核心系统应具备向期货保证金监控中心上报规定数据的功能。检 查方式访谈,检查检 查对象相关管理人员,核心系统 检查措施a )访谈核心系统
534、管理人员保证金数据报送的方式和方法;b )期货公司提供材料,说明已按要求报送保证金监控中心规定的数据。167检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取报送数据情况说明材料,作为证明材料。5 . 3 . 1 . 5 必须 延续不应具有篡改、伪造核心系统数据或其他可能导致数据失真的功能。检 查方式访谈,检查检 查对象相关管理人员,核心系统检 查措施a )期货公司提供说明核心系统功能清单的资料一b )检查核心系统功能清单,不应具有篡改成交信息或资金信息的功能。检 查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获
535、取期货公司核心系统功能清单,作为证明材料。5 . 3 . 1 . 6 必须 延续核心系统应有授权管理功能。检 查方式访谈,检查检 查对象部门负责人,期货公司核心系统权限管理措施检 查措施a )访谈期货公司技术部门负责人核心系统的权限管理机制;b )期货公司提供核心系统说明,包括授权管理功能;c )检查授权管理功能,应至少做到对单个菜单条目、单个操作人员进行授权。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司核心系统说明,作为证明材料。5 . 3 . 1 . 7 必须 延续核心系统应有运行监控功能。检 查方式访谈,检查检 查对象期货公司核心
536、系统监控措施及相关负责人检 查措施a )访谈期货公司技术部门负责人核心系统的运行监控措施,是否能够覆盖核心系统;b )期货公司提供核心系统的架构说明,包括运行监控措施;c )检查期货公司核心系统的监控功能, 是否符合情况说明, 监控信息应当至少包括各个核心系统的服务器、磁盘阵列、数据库的基本运行情况。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司核心系统架构说明,作为证明材料。5 . 3 . 1 . 8 必须 延续交易系统应具备流量控制管理功能。检查方式访谈,检查168 检查对象期货公司交易系统流量控制措施及部门负责人 检查措施a)访谈期
537、货公司技术部门负责人核心系统的架构和流量控制措施, 流量控制应至少包括控制单位时间委托笔数上限的功能;b)期货公司提供交易系统流量控制管理的情况说明,包括具体的流量控制措施;c)期货公司提供交易系统流量控制的测试报告。检 查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)获取期货公司交易系统情况说明,作为证明材料。5.3. 1.9 必须 延续应要求交易系统供应商提供交易、银期及相关查询接口。检 查方式访谈,检查检 查对象期货公司技术部门负责人,银期系统检 查措施a)检查期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明。检 查结果a)符合上述a) 的检
538、查措施,才达到本检查项的要求;b)获取期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明,作为证明材料。5. 3. 1. 10 必须 延续核心系统应具备通过监控中心统一开户系统进行开户的功能。检 查方式检查检 查对象期货公司核心系统管理人员、核心系统功能检 查措施a)访谈核心系统管理人员统一开户的方式和方法;b)期货公司提供材料,说明已按要求通过监控中心统一开户系统进行开户。检 查结果a)同时符合上述a) -b) 的所有检查措施,才达到本检查项的要求;b)获取统一开户情况说明材料- ,作为证明材料”5. 3. 1. 11 必须 延续核心系统应具备链接监控中心投资者查询服务系统的功
539、能。检 查方式检查检 查对象期货公司核心系统管理人员、核心系统功能检 查措施a)期货公司提供材料,说明已具备链接监控中心投资者查询服务系统的功能。检 查结果a)获取对接投资者查询服务系统的说明材料,作为证明材料。1695 . 3.2性能和容量5 . 3 . 2 . 1 必须 延续交易系统的性能和容量应达到所有其作为会员的交易所的要求。 检查方式检查 检查对象期货公司交易系统 检查措施a )期货公司提供交易系统的性能和容量的情况说明, 包括交易系统的性能和容量的最大值;b )检查期货公司其作为会员的交易所出具的相关测试报告。 检查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检
540、查项的要求;b )获取期货公司交易系统的性能和容量的情况说明或相关测试报告,作为证明材料。5 . 3 . 2 . 2 必须 延续应对交易系统的主要业务指标进行实时监控。 检查方式访谈,检查 检查对象期货公司交易系统及相关负责人 检查措施a )访谈期货公司技术部门负责人, 了解实时监控交易系统的主要业务指标以及相应的监控措施;b )期货公司提供对交易系统的主要业务指标进行实时监控的情况说明, 包括交易系统的业务指标监控列表;c )检查交易系统的主要业务指标监控列表, 应至少包括在线用户、 报单和成交记录数量等。 检查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )
541、获取期货公司交易系统的主要业务指标的实时监控情况说明,作为证明材料。5 . 3 . 2 . 3 必须 延续应对交易系统的主要业务监控指标进行记录。 检查方式访谈,检查 检查对象期货公司技术部门应用管理人员,运行管理 检查措施a )期货公司提供一年内全部业务监控记录, 记录应至少包括在线用户、 报单和成交记录数量;b )检查期货公司业务监控手段和记录流程;c )抽查4个时点的监控记录,每个时点的间隔不少于两个月。检查结果a )同时符合上述a ) - c )的所有检查措施,才能达到本检查项的要求;b )获取4个时点的监控记录,作为证明材料。5 . 3 . 2 . 4 必须 延续应对所有接入交易所的
542、交易通信链路进行监控。170 检查方式访谈,检查 检查对象技术部门网络管理员,接入交易所的交易通信链路 检查措施a )期货公司提供所有接入交易所链路清单和监控方法;b )访谈期货公司网络管理员链路监控的方法;c )抽查至少两条链路的监控实施情况,应当至少监控链路的通断情况、流量情况。 检查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取连接交易所链路清单和监控方法以及抽查的监控记录,作为证明材料5 . 3 . 2 . 5 必须 延续接入交易所的交易通信链路应达到所有其作为会员的交易所的要求,并采用不同运营商的通讯线路作为备份线路。 检查方式检查 检查对象
543、接入交易所的交易通信链路 检查措施a )期货公司提供所有接入交易所链路清单;b )检查链路带宽和备份是否满足所有其作为会员的交易所的要求;c )检查期货公司根据交易所要求进行的链路测试情况;d )检查期货公司应当至少有两条线路接入三所联网。 检查结果a )同时符合上述a ) - d )的所有检查措施,才达到本检查项的要求;b )获取连接交易所链路清单和参加交易所规定的链路测试并通过的证明, 作为证明材料。5 . 3 . 2 . 6 必须 延续接入交易所的交易通信链路带宽使用率每交易日峰值按月统计的平均值应不超过8 0 % 检查方式访谈,检查 检查对象技术部门网络管理人员,接入交易所的交易通信链
544、路 检查措施a )期货公司提供所有接入交易所链路清单;b )访谈网络管理人员链路容量实时监控的方法,应使用| |动手段实时监控网络带宽;c )抽查至少两条链路容量自动监控的实施情况;d )检查期货公司交易所链路一年内每日峰值按月统计的平均值是否不超过8 0机 检查结果a )同时符合上述a ) - d )的所有检查措施,才达到本检查项的要求;b )获取期货公司接入交易所链路每月的日峰值统计情况,作为证明材料。5 . 3. 2 . 7 必须 延续应对所有网上交易的通信链路进行监控。检查方式访谈,检查171 检查对象技术部门网络管理员,网上交易的通信链路 检查措施a )期货公司提供所有网上交易专有链
545、路及监控手段清单;b )检查网上交易非专有链路的通断监控情况;c )抽查至少一条专有链路监控实施情况,应当至少监控链路的通断情况。 检查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取网上交易的通信链路清单, 作为证明材料。5 . 3. 2 . 8 必须 延续网上交易的通信链路带宽使用率每交易日峰值按月统计的平均值应不超过8 0 % o 检查方式访谈,检查 检查对象网络管理人员,网上交易的通信链路 检查措施a )期货公司提供所有网上交易专有链路清单;b )访谈网络管理人员链路容量实时监控的方法, 应使用It动手段实时监控网络带宽;c )抽查至少一条专有链
546、路容量自动监控的实施情况;d )检查期货网上交易专有链路一年内每日峰值按月统计的平均值不超过8 0 % o 检查结果a )同时符合上述a ) - d )的所有检查措施,才达到本检查项的要求;b )获取期货公司网上交易专有链路每月的日峰值统计情况,作为证明材料。5 . 3. 2 . 9 可选 新增 应正确设置自动化监控工具的预警阀值,并定期进行检查和评估。 检查方式检查 检查对象运维负责人 检查措施a )检查期货公司是否对自动化监控工具的预警阀值进行设置;b )检查相关制度是否要求对监控I:具的预警阀值设置进行评估, 抽查最近次评估报告及阀值调整情况。 检查结果a )同时符合上述a ) - b
547、)项的检查措施,才达到本检查项的要求;b )获取期货公司有关自动化监控工具的预警阀值评估的相关制度, 评估报告, 作为证明材料。5 . 3 .3交易系统冗余5 . 3. 3. 1 必须 延续交易系统及其部件应有热备份,备份能力应达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的仃关规定。检查方式访谈,检查检查对象172技术部门负责人,交易系统及其部件检查措施a )期货公司提供交易系统及部件清单;b )期货公司提供系统部署图;c )访谈交易系统部件备份情况( 包括交易依赖的所有服务器、 磁盘阵列、 数据库) ;d )核实备份部件真实存在,并实现互备;e )每年应至少进行两次切换演练,
548、演练报告应明确演练步骤, 并记录每个步骤以及整体演练所用时间和数据丢失情况;f )抽查交易系统部件的切换演练记录,以证明备份能力能够达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。检查结果a )同时符合上述a ) - f ) 的所有检查措施,才达到本检查项的要求;b )获取部件清单、切换演练汇总报告及操作手册目录页,作为证明材料。5 . 3. 3. 2 必须 延续与交易所连接的网络设备应无单点故障。 检查方式访谈,检查 检查对象技术部门负责人,与交易所连接的网络设备检 查措施a )期货公司提供与交易所连接的网络结构和设备清单;b )与交易所的连接应是双链路冗余, 包括通过
549、三所联网接入交易所实现链路冗余的情况;c )核实相关部件是否真实存在;d )检查设备切换演练记录,并评估是否能够切换。 检查结果a )同时符合上述a ) - d ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司相关切换演练记录,作为证明材料5. 3 . 3 . 3 必须 延续生产环境内的网络设备应有热备份,备份能力应达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。检 查方式访谈,检查检 查对象生产环境内的网络设备及技术部门负责人检 查措施a )期货公司提供所有网络设备清单;b )期货公司提供网络架构图;c )访谈技术部门负责人网络设备备份情况( 包括生产环境中
550、的所有路由器、 交换机、防火墙、负载均衡器、连接线);d )核实备份部件是否真实存在,并实现互备;e )每年应至少进行两次切换演练, 演练报告应明确演练步骤, 并记录每个步骤以及整体演练所用时间。f )抽查交易系统网络设备的切换演练记录, 并评估备份能力能否达到 证券期货经仃机构信息系统备份能力标准的要求及监管部门的仃关规定,设备须自动切换。 检查结果173a )同时符合上述a ) T)的所有检查措施,才达到本检查项的要求;b )获取设备清单、切换演练汇总报告,作为证明材料。5. 3 . 3 . 4 必须 延续应使用多个电信运营商的链路作为网上交易的通信链路。 检查方式检查 检查对象网上交易的
551、通信链路检 查措施a )期货公司提供所有网上交易的通信链路清单;b )网上交易的通信链路清单应包括电信运营商情况;c )检查电信运营商是否为多个。检 查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取连接交易所的通信链路清单( 应包括电信运营商情况),作为证明材料。5. 3 . 4行情冗余5. 3 . 4 . 1 必须 延续应向客户同时提供至少2套行情服务,且均使用至少2套服务器。 检查方式访谈,检查检 查对象客户开户相关人员、行情服务系统检 查措施a )访谈期货公司,提供行情服务情况说明;b )检查期货公司使用了至少2家行情商提供的行情服务;c )检查期货
552、公司使用了 2家至少能提供2套行情服务器的行情商。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司行情服务情况说明,作为证明材料。5. 3 . 4 . 2 必须 延续应有至少2套行情服务,且均通过至少两个电信运营商提供服务。检 查方式访谈,检查检 查对象技术部门负责人、行情服务系统及其电信链路检 查措施a )期货公司提供所有行情供应商及包含链路情况的部署清单;b )访谈技术部门负责人行情系统部署情况;c )检查至少2套行情服务,都通过至少两家电信运营商提供服务。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要
553、求;b )获取行情供应商及相关部署清单,作为证明材料。5. 3.5银期系统冗余5. 3 . 5. 1 必须 延续应与至少2家银行实现全国性银期转帐。174 检查方式访谈,检查 检查对象技术部门负责人、银期转账系统 检查措施a)期货公司提供注明正式上线的所有银期转帐系统清单;b)检查期货公司与银行签署相关合同及相关内容真实有效;c)检查两家银期转账,且均为全国性银期转账。 检查结果a)同时符合上述a) -c )的所有检查措施,才达到本检查项的要求;b)获取正式上线的所有银期转帐系统清单, 与银行签署相关合同首页和签名页, 作为证明材料。5. 3. 5. 2 必须 新增所有银期转账系统应具备抗单点
554、故障的能力。 检查方式访谈,检查 检查对象技术部门负责人、银期转账系统 检查措施a)期货公司提供每个银期转账系统的设备、链路备份清单;b)应保证至少两套银期转账系统具备抗单点故障的能力;c)访谈银期转账系统抗单点措施,提供切换演练记录;d)检查设备真实存在,检查链路相关资料。 检查结果a)同时符合上述a) -d)的所有检查措施,才达到本检查项的要求;b)获取期货公司银期转账系统设备、链路备份清单作为证明材料。5 . 4安全5. 4 .1网络隔离5. 4. 1. 1 必须 延续生产网与互联网应实现有效隔离。 检查方式访谈,检查 检查对象技术部门网络管理人员、生产网与互联网的隔离情况 检查措施a)
555、期货公司提供网络架构图( 详细) 及与当前运行情况相符的相关设施的配置清单和安全策略,启用访问控制功能;b)访谈生产网与互联网的隔离情况;c)检查隔离设备是否真实存在;d)检查网络设备的安全规则是否配置允许访问规则, 控制粒度为网段级, 对没有明确定义的数据包缺省拒绝。 检查结果a)同时符合上述a) -d)的所有检查措施,才达到本检查项的要求;b)期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存。1755. 4. 1. 2 必须 延续网站与网上交易系统应实现有效隔离。 检查方式访谈,检查 检查对象技术部门网络管理人员、网站与网上交易系统的隔离情况 检查措
556、施a)期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;b)访谈网站与网上交易系统的隔离情况;c)检查隔离设备是否真实存在。 检查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c)如为物理分隔,期货公司应提供说明,作为证明材料。5. 4. 1.3 必须 延续生产网与办公网应实现有效隔离。 检查方式访谈,检查 检查对象技术部门网络管理人员、生产网与办公网的隔离情况 检查措施a)期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;b)访谈生产网与办公网的
557、隔离情况;c)检查隔离设备是否真实存在。 检查结果a)同时符合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c)如为物理分隔,期货公司应提供说明,作为证明材料。5. 4. 1. 4 必须 延续总部的生产网与营业部的网络应实现有效隔离。 检查方式访谈,检查 检查对象技术部门网络管理人员、总部的生产网与营业部的网络的隔离情况 检查措施a)期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略;b)访谈总部的生产网与营业部的网络的隔离情况;c)检查隔离设备是否真实存在。 检查结果a)同时符
558、合上述a) -c) 的所有检查措施,才达到本检查项的要求;b)期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c)如为物理分隔,期货公司应提供说明,作为证明材料。5.4. 1.5 必须 延续生产网与交易所、银行等外联单位网络应实现有效隔离。检查方式176访谈,检查 检查对象技术部门网络管理人员、生产网与交易所、银行等外联单位网络的隔离情况 检查措施a)期货公司提供网络架构图( 详细)及相关设施的配置清单及安全策略:b)访谈生产网与交易所、银行等外联单位网络的隔离情况;c)检查隔离设备是否真实存在。检 查结果a)同时符合上述a) -c)的所有检查措施,才
559、达到本检查项的要求;b)期货公司提供网络架构图( 详细) 及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c)获取外联单位网络隔离情况说明,作为证明材料。5.4. 1.6 必须 新增支持核心业务的网络、主机设备应通过独立网络进行管理,实现监控数据流和生产数据流的分离。检 查方式访谈,检查检 查对象技术部门网络管理人员、网管与监控系统检 查措施a)期货公司提供网管网部署说明;b)访谈网管网部署情况, 应采取制蒯4 P登录等手段,捶制对交易业务主机、主干网络设备、安全设备等的访问,原则上不允许通过无线网络对交易 业务网进行网络管理;c)检查相关设备是否真实存在。检 查结果a)同时符合上述a
560、) -c )的所有检查措施,才达到本检查项的要求;b)期货公司提供网管网部署说明,因属于敏感信息,不留存。5. 4 . 2防病毒、补丁和安全加固5. 4. 2. 1 必须 延续应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。检 查方式访谈,检查检 查对象技术部门安全管理人员、安全加固情况检 查措施a)期货公司提供系统补丁相关流程和制度;b)检查补丁评估的相关记录;c )访谈系统补丁更新的情况,跟踪最近一次补丁更新情况。检 查结果a)同时符合上述a) -c )的所有检查措施,才达到本检查项的要求;b)获取期货公司系统补丁相关流程和制度,作为证明材
561、料。5. 4. 2. 2 必须 延续应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。检查方式177访谈,检查 检查对象技术部门安全管理人员、W i n d o w s 病毒防护措施 检查措施a )期货公司提供病毒管理相关流程和制度;b )访谈公司病毒管理的情况,跟踪最近一次全面病毒检查和病毒更新情况;c )抽查W i n d o w s 服务器、 业务用机和办公机, 病毒特征库应根据公司病毒管理策略更新到最新日期。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司病毒管理流程和制度,作为证明材料。
562、5 . 4 . 2 . 3 必须 延续应对生产环境所有服务器定期进行安全扫描和合理加固,关闭不需要的端口。检 查方式访谈,检查检 查对象技术部门安全管理人员、安全扫描和加固措施检 查措施a )期货公司提供安全扫描和加固的相关流程制度;b )期货公司应提供一年内至少1 次安全扫描和加固的报告;c )访谈公司安全扫描和加固执行情况。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司安全扫描、加固报告首页和相关制度,作为证明材料。5 . 4 . 2. 4 必须 延续应在计算机或存储设备接入生产环境之前对其进行安全检查。检 查方式访谈,检查检 查对
563、象技术部门安全管理人员、接入安全检查检 查措施a )期货公司提供外来计算机管理制度;b )访谈公司外来计算机和存储接入生产环境前的安全扫描措施。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司外来计算机管理制度或公司信息技术管理制度的相关条款, 作为证明材料。5 . 4 . 2. 5 必须 延续应对通过互联网向外提供服务的设备和系统进行定期安全扫描,关闭不需要的端口。检 查方式检查检 查对象外联端口的安全措施检 查措施178a )期货公司提供通过互联网向外提供服务的设备和系统及对应开放端口、 端口说明的清单;b )访谈公司安全扫描和加固安
564、全制度,访谈执行情况;c )期货公司应提供一年内至少1 次安全扫描和加固的报告。检查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司安全扫描报告首页,作为证明材料。5 . 4 . 2. 6 必须 延续在读取移动存储设备上的数据以及从网络上接收文件或邮件之前,应先进行病毒检查。检 查方式访谈,检查检 查对象技术部门安全管理人员、移动存储和外来文件的安全检查措施检 查措施a )期货公司提供数据管理的相关制度;b )访谈数据管理的相关管理和技术措施;c )检查期货公司从网络上卜载结算数据的管理情况。检 查结果a )同时符合上述a ) - c ) 的所
565、有检查措施,才达到本检查项的要求;b )获取期货公司数据管理相关制度,作为证明材料;c )期货公司结算数据下载介质应专用,应有相关流程检查病毒木马情况。5 . 4 . 2. 7 必须 延续对通过互联网传送的交易及结算数据应有加密手段,以保护数据的安全。检 查方式访谈,检查检 查对象技术部门安全管理人员,交易结算的数据保护措施检 查措施a )期货公司提供交易结算数据加密情况说明;b )访谈公司提供交易结算数据加密情况。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司交易结算数据加密情况说明,作为证明材料。5 . 4 . 2. 8 必须 延续
566、所有生产环境服务器应尽量避免使用t e l n e t 、f t p 等有安全隐患的服务,与服务器通信应采用加密方式,例如S S H 。检 查方式访谈,检查检 查对象技术部门安全管理人员,服务器通信方式检 查措施a )期货公司提供生产环境服务器及对应的远程登录、文件传输程序的清单;b )访谈远程登录、文件传输程序采用的加密措施。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;179b )获取期货公司生产环境服务器及对应的远程登录、 文件传输程序清单, 作为证明材料。5 . 4 . 2. 9 必须 新增对存有重要生产数据计算机的光盘刻录、U S B接口等功能
567、应采取有效的控制手段,防止非授权的数据复制。 检查方式访谈,检查检 查对象技术部门安全管理人员,重要生产数据的授权复制检 查措施a )期货公司提供业务用计算机及相关接口控制手段的情况说明;b )访谈公司数据接口控制手段和管理流程;c )抽查结算、风控和交易终端的接口控制实施情况。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )期货公司提供业务用计算机及相关数据接口控制手段情况说明,作为证明材料。5 . 4.3网站安全5 . 4 . 3 . 1 必须 延续应有专人监控网站内容,发现问题后及时处理。 检查方式访谈,检查检 查对象技术部门安全管理人员,网站相
568、关业务人员,网站内容管理检 查措施a )期货公司提供网站监控人员名单和处理流程情况说明;b )访谈网站监控管理流程。检 查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取网站监控人员名单和处理流程情况说明,作为证明材料。5 . 4 . 3 . 2 必须 延续应定期对网站进行安全检查,并对隐患进行及时处理。检 查方式访谈,检查检 查对象技术部门安全管理人员,网站安全检查检 查措施a )对网站进行的安全检查应包括:S Q L注入漏洞、弱口令、口令验证不足、目录遍历、文件上传、H T T P协议追踪、跨站脚本、后台漏洞、敏感信息泄漏、网络漏洞和S S L加密漏
569、洞、下单网页未使用H T T PS加密机制等;b )期货公司提供一年内的网站安全检查报告;c )访谈网站安全检查情况。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取网站安全检查报告作为证明材料。5 . 4. 3 . 3 必须 延续应准备足够措施,能在发现网站被篡改后5分钟内停止发布被篡改的内容。检查方式180访谈,检查 检查对象技术部门安全管理人员,网站内容管理 检查措施a )期货公司提供网站停止发布机制说明;b )检查最近一次的演练记录, 并评估从发现网站被篡改到停止发布被篡改的内容的时间是否不超过5分钟。检 查结果a )同时符合上述a ) -
570、 b )的所有检查措施,才达到本检查项的要求;b )获取网站停止发布机制说明,作为证明材料。5 . 4. 3 . 4 必须 延续应安装木马防护软件并定期更新。检 查方式访谈,检查检 查对象技术部门安全管理人员,木马防护措施检 查措施a )期货公司提供网站木马防护机制说明;b )访谈木马防护软件的部署更新情况;c )有条件可检查防木耳软件版本是否根据情况进行定期更新。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取网站防木马机制说明,作为证明材料。5 . 4. 3 . 5 必须 延续网站的内容发布应有审核制度和完整的内容发布流程。检 查方式访谈,检查
571、检 查对象技术部门安全管理人员,网站内容管理相关业务人员,网站内容管理检 查措施a )期货公司提供网站内容审核制度及发布流程;b )检查并访谈网站内容审核制度和流程的执行情况。检 查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取网站内容审核制度及发布流程,作为证明材料5 . 4. 3 . 6 必须 延续应对网站主页内容实现自动监控,能在5分钟内检测到篡改。检 查方式访谈,检查检 查对象技术部门安全管理人员,网站内容管理相关业务人员,网站内容管理检 查措施a )期货公司提供网站主页篡改监控说明;b )访谈网站主页内容自动监控机制。 检查结果a )同时符合
572、上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取网站主页内容自动监控机制说明,作为证明材料;181c)期货公司应具备网站主页内容自动监控机制。5. 4. 3. 7 必须 延续应请有资质的专业安全机构定期对网站提供安全评估或扫描服务,并对安全漏洞进行整改。 检查方式访谈,检查检 查对象技术部门安全管理人员,网站安全管理检 查措施a)期货公司提供专业机构( 具有国家或者省级主管部门颁发的信息安全服务许可证书) 出具的网站安全评估报告,整改情况说明及安全机构的资质说明;b)访谈评估和整改情况。检 查结果a)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;b)获取
573、安全机构提供的评估报告、 整改情况说明及安全机构的资质说明, 作为证明材料;c)评估报告有效期为一年。5. 4. 3. 8 必须 延续应建立网站备份系统,备份能力应达到 证券期货经营机构信息系统备份能力标准的要求及监管部门的有关规定。 检查方式访谈,检查 检查对象技术部门负责人,网站系统的所有部件 检查措施a)期货公司提供网站系统的所有部件清单;b)期货公司提供系统部署图;c)访谈网站系统部件备份情况( 例如WEB发布服务器、网站应用服务器、 数据库服务器等);d)核实备份部件真实存在,并实现互备;e )抽查网站系统部件的切换演练记录,并评估系统备份能力是否能够达到 证券期货经营机构信息系统备
574、份能力标准的要求及监管部门的有关规定。 检查结果a)同时符合上述a) -e )的所有检查措施,才达到本检查项的要求;b)获取部件清单、切换演练汇总报告及操作手册目录页,作为证明材料。5. 4 . 4网上交易安全5.4.4. 1 必须 延续应提供可靠的身份认证机制,网上交易客户端支持多种方式与服务端完成身份认证。检 查方式访谈,检查检 查对象技术部门业务系统管理人员,网上交易的身份认证检 查措施a)期货公司提供网上交易系统的身份认证说明;b)检查期货公司网上交易系统是否支持多种身份认证方式;c)访谈网上交易系统的身份验证方式和措施。182检查结果a )同时符合上述a ) - c) 的所有检查措施
575、,才达到本检查项的要求;b )获取期货公司网上交易系统的身份认证说明,作为证明材料。5 . 4 . 4 . 2 必须 延续服务器上的用户认证信息应加密存放。 检查方式访谈,检查检 查对象技术部门业务系统管理人员,服务器的用户认证检 查措施a )期货公司提供身份认证存放方式说明;b )检查用户认证信息是否加密存放;c)访谈网上交易系统的身份认证存放方式。检 查结果a )同时符合上述a ) - c) 的所有检查措施,才达到本检查项的要求;b )获取期货公司网上交易系统的身份认证存放方式说明,作为证明材料。5 . 4 . 4 . 3 必须 延续应在与客户签订的服务合同( 网上期货服务合同、期货经纪合
576、同及补充协议、风险揭示书)中载明,客户使用网上期货业务可能面临的风险、期货公司采取的风险控制措施、客户应采取的风险控制措施以及相关风险对应的责任承担( 如防止用于网上交易的计算机或手机终端感染木马、病毒,以免被恶意程序窃取口令;加强帐号、口令的保护,不使用简单口令、定期修改口令、输入口令时防止他人偷看、不对他人泄露口令等)。检 查方式访谈,检查检 查对象投资者开户负责人员检 查措施a )期货公司提供网上期货服务合同( 协议);b )访谈开户时网上交易风险揭示的措施和流程。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司网上期货服务合同(
577、协议) 中揭示网上交易风险部分页作为证明材料。5 . 4 . 4 . 4 必须 延续应提供预留验证信息服务,在客户进行登录时向客户进行显示,帮助客户有效识别仿冒的网上期货信息系统,防范利用仿冒的网上期货信息系统进行诈骗活动。检 查方式访谈,检查检 查对象技术部门业务系统管理人员,网上交易系统的预留验证信息服务检 查措施a )期货公司提供网上交易系统的预留验证信息相关服务的说明( 例如提供客户结算单信息等);b )访谈公司网上交易系统的预留验证信息相关服务的情况。检 查结果183a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司网上交易系统的预留验证信息
578、相关服务的说明,作为证明材料。5 . 4 . 4 . 5 必须 延续至少提供一种强度较高的用户身份认证机制。 检查方式访谈,检查 检查对象技术部门业务系统管理人员或安全管理人员,网上交易的用户认证检 查措施a )期货公司提供除静态口令外的强度较高的用户身份认证机制的说明, 例如数字证书、动态口令、电脑或手机特征码绑定等;b )访谈公司其它认证机制的实施情况。检 查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司除静态口令外其它认证措施的说明,作为证明材料。5 . 4 . 4 . 6 必须 延续应请有资质的专业安全机构定期对网上交易系统提供安全评估
579、或扫描服务,并对安全漏洞进行整改。 检查方式访谈,检查 检查对象技术部门安全管理人员,网上交易的安全管理检 查措施a )期货公司提供有资质的安全机构对网上交易系统安全的评估报告、 整改情况说明及安全机构的资质说明( 例如公安部、安全部等机构颁发的资质);b )访谈评估和整改情况。检 查结果a )同时符合上述a ) -b )的所有检查措施,才达到本检查项的要求;b )获取安全机构提供的评估报告、 整改情况说明及安全机构的资质说明, 作为证明材料;c )评估报告有效期为一年。5 . 4 . 4 . 7 必须 延续核心交易系统至少有一条网卜一交易线路部署门防拒绝服务攻击措施,包括部署防拒绝服务攻击设
580、备或与基础运营商签署流量清洗协议等。 检查方式访谈,检查 检查对象技术部门安全管理人员,网上交易的安全管理员 检查措施a )检查期货公司提供的防拒绝服务攻击设备物理存在或基础运营商流量清洗服务合同是否在有效期内;b )访谈期货公司防拒绝服务攻击策略情况。 检查结果a )同时符合上述a ) -b )的所有检查措施,才达到本检查项的要求;b )获取有效期内的设备维保协议或基础运营商流量清洗服务合同,作为证明材料;c )获取防拒绝服务攻击情况说明,作为证明材料1845. 4. 4. 8 必须 延续应遵守国家关于个人信息保护的相关规定,确保网上交易数据和客户信息的安全性和完整性。未经客户允许或期货公司
581、授权,不得以任何方式向除中国证监会及其派出机构、执法机关、审计机关以外的第三方提供交易数据和客户信息。 检查方式访谈,检查 检查对象技术部门业务系统管理人员 检查措施a)期货公司提供各类网上交易系统的交易数据及客户信息流转过程说明, 检查期货公司是否能对上述交易数据及客户信息流转过程进行控制;b)如存在向除中国证监会及其派出机构、 执法机关、 审计机关以外的第三方提供交易数据和客户信息的情况,检查是否经过客户允许或公司授权;c)检杳期货公司是否对客户网上交易进行必要的风险提示。 检查结果a)同时符合上述a) -c)的所有检杳措施,才达到本检杳项的要求;b)获取期货公司网上交易系统交易数据及客户
582、信息流转说明及网上交易客户端使用风险提示材料,作为证明材料。5. 4 . 5账户与权限5. 4. 5. 1 必须 延续应有生产环境内关键系统账户与权限的关系表。检 查方式访谈,检查检 查对象技术部门业务系统管理员,权限管理检 查措施a)期货公司提供生产环境内关键应用系统( 包括交易、 结算和风险监控系统)的账户与权限的关系表;b)访谈生产环境内关键系统账户与权限的关系维护情况。检 查结果a)同时符合上述a) -b)的所有检查措施,才达到本检查项的要求;b)获取期货公司生产环境内关键系统账户与权限的关系表,作为证明材料。5. 4. 5. 2 必须 延续账户和权限变更应有审批和完整的记录。检 查方
583、式访谈,检查检 查对象技术部门业务系统管理员,权限管理检 查措施a)期货公司提供生产环境内关键应用系统( 包括交易、结算和风险监控系统) 账户与权限的审批制度和流程;b)期货公司提供一年内全部生产环境内关键系统账户与权限的审批表, 并跟踪一次权限变更是否符合制度要求;c)访谈账户与权限审批制度和流程落实情况。检 查结果a)同时符合上述a) -c)的所有检查措施,才达到本检查项的要求;185b )获取期货公司生产环境内关键系统账户与权限审批制度和流程,作为证明材料。5 . 4 . 5 . 3 必须 延续岗位变动应及时调整对应系统的账户和权限。 检查方式检查 检查对象权限管理检 查措施a )期货公
584、司提供生产环境账户与权限变更制度和流程;b )期货公司提供一年内全部生产环境账户与权限变更记录;c )抽查至少2次账户权限变更是否及时( 岗位变动和权限变更时间间隔不得超过1个月)。检 查结果a )同时符合上述a ) -c )的所有检查措施,才达到本检查项的要求;b )获取期货公司生产环境账户与权限变更制度和流程,作为证明材料。5 . 4 . 5 . 4 必须 延续应避免使用超级管理员账户完成日常业务操作。检 查方式访谈,检查检 查对象技术部门业务系统管理员,权限管理检 查措施a )期货公司提供业务系统超级管理员账户的使用情况说明;b )访谈业务系统超级管理员账户的使用情况, 该账户应只进行开
585、设账户、 权限分配等非日常业务操作。检 查结果a )同时符合上述a ) - b )的所有检查措施,才达到本检查项的要求;b )获取期货公司业务系统管理员账户的使用情况说明,作为证明材料。5 . 4 . 6 口令管理5 . 4 . 6 . 1 必须 延续所有书面方式保存的口令应有安全的物理保护措施。检 查方式访谈,检查检 查对象技术部门安全管理人员,口令管理检 查措施a )以明文方式存放在计算机中的口令视同为一5面方式保存的口令;b )期货公司提供书面口令保存方式的情况说明, 应有安全的物理保护措施, 例如放置于保险箱、带锁的柜子,以明文方式存放口令的计算机应放置于有出入控制的操作间内;c )检
586、查口令保存方式措施真实存在。检 查结果a )同时符合上述a ) - c )的所有检查措施,才达到本检查项的要求;b )获取期货公司书面口令保存方式的情况说明,作为证明材料。5 . 4 . 6 . 2 必须 延续口令应有复杂度要求。检查方式访谈,检查186 检查对象技术部门安全管理人员,口令管理 检查措施a )期货公司提供口令复杂度要求的相关制度, 应包括具体的复杂度要求, 如口令长度、组合等;b )访谈口令复杂度的实施范围和措施。检 查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司口令复杂度要求的相关制度,作为证明材料。5 . 4 . 6 .
587、 3 必须 延续口令应定期更换。检 查方式访谈,检查检 查对象技术部门安全管理人员,口令管理检 查措施a )期货公司提供口令定期更换的相关制度;b )访谈口令定期更换的实施范围和措施,重要系统口令变更的策略;c )期货公司提供一年内根据口令更换制度和策略执行口令更换操作的相关记录。检 查结果a )同时符合上述a ) - c ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司口令更换的相关制度和记录,作为证明材料。5 . 4 . 6 . 4 必须 新增数据库用户口令不得明文存放在计算机中。检 查方式检查检 查对象口令管理检 查措施a )期货公司提供业务系统连接数据库时使用用户口令加密情
588、况的说明。检 查结果a )符合上述a ) 的检查措施,才达到本检查项的要求;b )期货公司提供业务系统连接数据库时使用用户口令加密情况的说明, 作为证明材料。5 . 4 . 7 安全审计5 . 4 . 7 . 1 必须 延续核心系统的主要业务操作应产生审计记录。检 查方式检查检 查对象核心系统的业务操作审计检 查措施a )期货公司提供核心系统的主要业务操作的审计记录应包括时间、发起者、类型、描述和结果;b )抽查一年内至少2 天的审计记录,时间间隔不少于两个月。 检查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;187b )获取被抽查的核心系统主要业务操作的审计记
589、录,作为证明材料。5 . 4 . 7 . 2 必须 延续应采取有效措施防止删除、修改或覆盖审计记录。 检查方式检查 检查对象核心系统的业务操作审计 检查措施a )期货公司提供核心系统的主要业务操作的审计记录保存方式的说明, 应至少每日对审计记录进行备份;b )检查期货公司审计记录保存措施的落实情况。 检查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;b )获取期货公司核心系统主要操作记录机制说明,作为证明材料。5 . 4 . 7 . 3 必须 延续所有的主要运维操作应采取恰当的认证措施,并产生审计记录。 检查方式访谈,检查 检查对象技术部门安全管理人员,核心系统的
590、运维操作认证和审计 检查措施a )期货公司提供运维操作认证措施的说明;b )访谈期货公司的主要运维操作的审计记录保存范围和措施, 应包括日常运行、 生产系统变更等重要操作的用户、登录地址、时间、具体指令等;c )抽查一年内至少2 天的生产核心设备操作审计记录,时间间隔不小于两个月。 检查结果a )同时符合上述a ) - c ) 的检查措施,才达到本检查项的要求;b )获取期货公司运维操作认证方式说明,作为证明材料。5 . 5日常运行5 . 5 . 1 岗位5 . 5 . 1 . 1 必须 延续应建立日常值班制度,设立专门运行保障岗位,指定运维值班负责人,运维值班负责人应仃备岗,制定明确的每日值
591、班表,保障交易期间有人值守。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,岗位说明书,排班表,交接班流程,值班记录 检查措施a )访谈技术部门负责人,了解期货公司日常运行维护的整体情况;b )期货公司提供日常值班制度( 含连续交易)、值班表、交接班记录、包括运行保障职责的岗位说明书和交易期间值班安排说明。 检查结果a )同时符合上述a ) - b ) 的检查措施,才达到本检查项的要求;b )获取日常值班制度、 每日值班表、交接班记录, 运行保障岗位说明书和交易期间值班安排的说明,作为证明材料。1885 . 5 . 1 . 2 必须 延续初始化、结算、数据备份等关键操作过程和结果应
592、有复核。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,值班记录 检查措施a )访谈期货公司技术部门负责人了解关键操作保障情况;b )检查日常值班制度中是否要求了复核的规定;c )检查日常值班记录中是否体现了复核的要求。 检查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司日常值班制度,作为证明材料。5 . 5 . 1 . 3 必须 延续交易运行期间应有现场保障人员,设置运维值班电话,以及时维护和应急处理。 检查方式访谈,检查 检查对象技术部门负责人,日常值班制度,排班表 检查措施a )访谈期货公司技术部门负责人了解现场保障人员情况, 现
593、场保障是指可以随时登录到核心系统各个服务器和网络设备;b )检查日常值班制度中是否要求了交易期间现场保障人员以及对应的职责;c )检查排班表中是否包含现场保障人员;d )检查是否设置运维值班电话,检查值班电话是否有录音功能。 检查结果a )同时符合上述a ) - d )的检查措施,才达到本检查项的要求;b )获取期货公司日常值班制度,作为证明材料5 . 5 . 1 . 4 必须 延续网络、主机、数据库、应用系统的运行维护等关键技术岗位应有备岗人员。 检查方式访谈,检查 检查对象技术部门负责人,岗位说明书 检查措施a )检查期货公司提供的网络、主机、 数据库、 应用系统运行维护等关键技术岗位的岗
594、位说明书和主备岗人员名单;b )访谈期货公司关键技术岗位备岗人员,了解是否具有应有的岗位技能。 检查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司网络、 主机、 数据库、 应用系统等主备岗人员名单, 作为证明材料。5 . 5 . 1 . 5 必须 延续应实现双人日常值班。检查方式检查检查对象189日常值班制度,排班表,每日值班记录检查措施a )期货公司提供排班表是否体现双人值班;b )抽查排班表和值班记录是否为双人,值班期间无其它工作安排。检查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司排班表,作为证
595、明材料。5 . 5 . 1 . 6 必须 新增应实现对机房和网站的2 4小时连续监控。检 查方式访谈,检查检 查对象技术部门负责人,监控系统检 查措施a )期货公司提供机房和网站2 4小时连续监控措施的说明;b )检查机房和网站的监控真实存在,同时应实现自动监控,并能及时通知;c )检查机房和网站的2 4小时连续监控措施的实施情况。 检查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取货公司机房和网站2 4小时连续监控措施的说明,作为证明材料。5 . 5 . 1 . 7 必须 延续应建立文档管理制度,对运维过程中涉及的各类文档进行分类管理。 检查方式访谈,检
596、查 检杳对象技术部门负责人,文档管理人员,文档管理制度,岗位说明书 检查措施a )访谈技术部门负责人,了解期货公司日常文档管理的整体情况;b )检查文档管理制度及执行情况;c )抽查期货公司部分文档,检查是否按照文档制度的规定编制文档。 检查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求:b )获取文档管理制度作为证明材料。5 . 5.2制度与巡检5 . 5 . 2 . 1 必须 延续在关键时间点应对生产环境运行状态进行巡检。检 查方式检查检 查对象日常值班制度,巡检记录检 查措施a )期货公司提供对生产环境的日常巡检列表, 包括对生产环境运行状态的巡检, 应规定巡检
597、内容、频度、人员等,巡检内容应覆盖应用、主机、网络、通信、安全等设备的运行状况;b )检查日常巡检列表,在关键时间点是否对生产环境运行状态进行巡检,关键时间点是否覆盖开盘前、休市、收市等;190c )电力、空调、消防、安防等机房设施的巡检,在确保安全的情况下巡检时间可根据实际情况安排,巡检频率每天不少于一次;d )期货公司提供一年内的所有巡检记录,抽查一年内至少4天的生产环境的日常巡检记录,时间间隔不小于两个月。检查结果a )同时符合上述a ) - d )的检查措施,才达到本检查项的要求;b )获取一年内至少4天的生产环境的日常巡检记录,作为证明材料。5 . 5 . 2 . 2 必须 延续日常
598、操作和巡检应保留记录,并有操作和复核人员的签名。 检查方式检查 检查对象巡检记录 检查措施a )检杏期货公司提供的一年内生产环境的所有操作和巡检记录;b )抽查期货公司一年内4天的生产环境的巡检和操作记录,时间间隔不小于两个月;c )检查巡检记录是否包括巡检的对象、时间、状态、巡检人、复核人,是否有巡检人员和复核人员签名确认;d )检查操作记录是否包括操作对象、时间、步骤、指令、操作结果、操作人、复核人等基本要素,是否有操作人员和复核人员签名确认。 检查结果a )同时符合上述a ) - d )的检查措施,才达到本检查项的要求;b )获取期货公司一年内4天的巡检记录,作为证明材料。5 . 5 .
599、 2 . 3 必须 延续应有详细的操作手册( 包括日常操作和定期维护操作),手册中应有详细的操作步骤。 检查方式检查 检查对象日常操作手册、维护操作手册 检查措施a )期货公司提供生产环境的日常操作和定期维护的操作手册;b )检查期货公司生产环境的日常操作和定期维护的操作手册, 是否有详细的操作步骤。 检查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司生产环境的日常操作和定期维护的操作手册清单和目录, 作为证明材料。5. 5. 2 . 4 必须 延续交易期间应对核心系统和网络系统进行实时监控,并能及时、有效地报警。 检查方式检查 检查对象监控系统
600、检查措施191a )期货公司提供交易期间对核心系统和网络系统实时监控的情况说明;b )检查交易期间对核心系统和网络系统实时监控,是否实现自动化监控;c )检查交易期间对核心系统和网络系统实时监控,是否可以及时、有效地报警。检查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司关于实时监控情况的情况说明,作为证明材料。5. 5. 2 . 5 必须 延续应保留关键操作的记录和签名。检 查方式检查检 查对象操作记录检 查措施a )期货公司提供一年内生产环境的操作记录;b )抽查期货公司一年内4天的生产环境操作记录,时间间隔不小于两个月;c )检查关键操作记录
601、是否有操作人员的签名确认, 至少包括系统的启停、 参数的修改、数据备份。检 查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取期货公司一年内4天的生产环境操作记录,作为证明材料5. 5. 2 . 6 必须 延续应保留应用系统的操作日志记录。检 查方式检查检 查对象系统操作日志检 查措施a )期货公司提供应用系统的操作日志记录;b )抽查期货公司年内两天的应用系统的操作日志记录,时间间隔不小于两个月,应保证重要操作是否有对应的应用系统操作记录。检 查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取应用系统的操作日志记录,作为
602、证明材料。5. 5. 2 . 7 必须 延续应记录生产环境发生的故障和异常。检 查方式检查检 查对象故障记录检 查措施a )期货公司提供一年内生产环境发生故障和异常的记录和报告;b )检查生产环境发生的故障记录和报告应包含发生的时间、 现象、处理措施、 后续处理手段等内容;c )检查故障记录和报告信息是否完整。检 查结果a )同时符合上述a ) - c )的检查措施,才达到本检查项的要求;b )获取被抽查的故障记录和报告,作为证明材料。1925. 5. 2 . 8 必须 延续对核心系统和网络系统的实时监控应当包括系统的可用性和系统性能。 检查方式检查检 查对象监控系统检 查措施a )期货公司提
603、供核心系统和网络系统的监控情况说明、监控情况记录;b )检查期货公司核心系统和网络系统的监控措施, 是否采用自动化的系统或软件进行实时监控;c )检查期货公司核心系统和网络系统的监控措施, 评估期货公司实时监控是否能覆盖核心系统和网络系统;d )检查期货公司监控情况记录, 是否提供系统的可用性( 如进程状态、 网络连通等)和系统性能( 如C P U使用率、内存使用率、网络流量等)的监控数据。检 查结果a )同时符合上述a ) - d )的检查措施,才达到本检查项的要求;b )如果期货公司没有自动化监控系统,不满足本检查项的要求;c )获取期货公司系统监控情况说明,作为证明材料。5. 5. 2
604、. 9 必须 延续应建立完善和更新重要手册的机制。检 查方式检查检 查对象变更操作手册、值班操作手册、应急操作手册、巡检卡检 查措施a )期货公司提供生产环境日常运行的重要手册完善和更新的制度和流程;b )检查重要手册( 如巡检、应急操作手册等)的更新和修订记录,手册内容应至少包括信息系统日常运行操作的各个环节。检 查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司重要手册的更新记录,作为证明材料。5. 5. 2 . 1 0 必须 新增应采取管理和技术手段对业务部门进行的关键参数修改予以复核。 检查方式检查 检查对象参数复核手段检 查措施a )期货公
605、司提供关键业务参数复核措施情况说明;b )抽查相关的技术复核手段,如自动化脚本或专用的系统; 缺乏自动化工具, 而是直接通过 业务系统或者直接通过数据库查询进行参数复核的,则认为不符合本项要求。 检查结果a )同时符合上述a ) - b )的检查措施,才达到本检查项的要求;b )获取期货公司系统参数复核手段的情况说明,作为证明材料。1935. 5.2. 11 必须 延续应至少每季度全面评估监控日志和操作记录,分析异常情况,形成评估报告。 检查方式检查 检查对象监控日志和操作记录分析评估报告 检查措施a)检杳期货公司是否制定了监控日志和操作记录分析评估的相关制度;b)检查评估报告内容。 检查结果
606、a)同时符合上述a) -b)项的检查措施,才达到本检查项的要求;b)获取期货公司监控H志和操作记录分析评估报告,作为证明材料。5. 5 . 3机房进出5. 5. 3. 1 必须 延续应建立机房管理制度,对机房环境、供电、空调、消防、安防等居础设施进行运行维护,对设备和人员出入机房和值班操作间进行登记,并保留相关记录。 检查方式检查 检查对象出入登记制度,出入登记记录 检查措施a)检查期货公司机房管理制度,是否涵盖对机房环境、供电、空调、消防、安防等基础设施的运行维护要求,设备、人员出入等是否纳入机房管理工作;b)期货公司提供机房及值班操作间的一年内的出入登记记录;c)抽查期货公司一年内机房和值
607、班操作间的人员以及设备的出入登记记录, 信息登记是否完全。 检查结果a)同时符合上述a) -c)的检查措施,才达到本检查项的要求;b)获取期货公司机房及值班操作间的出入登记制度和出入登记记录,作为证明材料。5. 5. 3. 2 必须 延续非技术保障人员进入机房应获得授权,并有技术保障人员陪同,所携带设备应专门登记。 检查方式访谈,检查 检查对象机房管理制度,出入登记记录 检查措施a)访谈技术部门负责人了解非技术保障人员进入机房的授权流程和控制措施;b)抽查期货公司一年内非技术保障人员进入机房的登记信息, 检查是否有相应的授权信息;c)检查期货公司一年内非技术保障人员进入机房的登记信息, 检查所
608、携带设备信息描述是否清楚;d)检查期货公司一年内非技术保障人员进入机房的登记信息, 检查是否有技术保障人员陪同信息。194检查结果a)同时符合上述a) -d)的检查措施,才达到本检查项的要求;b)获取期货公司一年内非技术保障人员进入机房的登记记录,作为证明材料。5. 5. 3. 3 必须 延续交易期间如无应急或者巡检需要,不应进入机房。 检查方式检查检 查对象机房管理制度,出入登记记录检 查措施a)期货公司提供机房出入管理制度;b)检查期货公司机房出入制度, 是否有交易期间如无应急或者巡检需要, 不应进入机房的要求;c)抽查期货公司一年内交易时间进入机房的出入记录, 检查是否有授权信息, 或对
609、进入机房的必要性进行了说明。检 查结果a)同时符合上述a) -c )的检查措施,才达到本检查项的要求;b)获取被抽查的机房出入记录,作为证明材料5 . 6备份5. 6 . 1数据备份5. 6. 1. 1 必须 延续应根据数据的重要性及其对核心系统运行的影响,制定数据备份策略和恢复策略。 检查方式访谈,检查检 查对象技术部门负责人,数据备份制度检 查措施a)检查期货公司数据备份、恢复的制度和策略;b)访谈技术部门负责人数据备份策略和恢复策略情况。检 查结果a)同时符合上述a) -b)的检查措施,才达到本检查项的要求;b)获取期货公司数据备份制度和策略,作为证明材料。5.6. 1.2 必须 延续应
610、建立数据管理、介质维护、销毁和使用管理制度。检 查方式检查检 查对象技术部门负责人,数据备份制度检 查措施a)检查期货公司数据管理制度中是否包含介质维护、 销毁和使用管理等内容, 应由介质管理员负责涉及敏感信息的介质送修。检 查结果a)符合上述a)项的检查措施,才达到本检查项的要求;b)获取期货公司数据和介质管理的相关制度,作为证明材料。5. 6. 1. 3 必须 延续应对介质进行明确标识。195 检查方式访谈,检查 检查对象介质标识相关规定,数据备份介质 检查措施a )访谈期货公司介质标识的相关规定;b )期货公司提供一年内所有的备份介质;c )抽查一年内期货公司4次备份介质,时间间隔不少于
611、两个月;d )检查备份介质是否有明确的标识,是否符合规定。 检查结果a )同时符合上述a ) - d )的检查措施,才达到本检查项的要求;b )获取期货公司介质标识相关规定,作为证明材料。5 . 6 . 1 . 4 必须 延续应确保介质存放在安全环境中,实现对备份数据的控制和保护。 检查方式检查 检查对象数据备份介质 检查措施a )期货公司提供备份介质保存环境说明:b )检查介质存放环境是否具有防盗措施, 如保险柜、 加锁的抽屉或者有出入控制措施的专用储藏室;c )应至少有一种介质具有可离线存放的特性,如磁带、光盘、移动硬盘等。 检查结果a )同时符合上述a ) - c )的检查措施,才达到本
612、检查项的要求;b )获取期货公司备份介质相关说明,作为证明材料。5 . 6 . 1 . 5 必须 延续每日应对结算后数据进行备份,网站数据应按照备份计划进行备份。 检查方式检查 检查对象数据备份管理 检查措施a )根据期货公司备份策略, 抽查期货公司至少2次结算后数据及网站数据备份介质或文件,实际操作情况应与备份策略一致;b )检查期货公司每日值班记录中是否包括结算后数据备份操作, 检查网站数据备份记录;c )期货公司应提供网站数据备份范围、备份计划及相关的执行记录。 检查结果a )同时符合上述a ) - c )项的检查措施,才达到本检查项的要求;b )获取期货公司值班记录备份相关页,作为证明
613、材料。5 . 6 . 1 . 6 必须 新增每周应将结算后数据备份介质送到不同城市存放。检查方式访谈,检查检查对象196备份管理人员,数据备份管理检查措施a)期货公司提供介质不同城市地存放的说明材料, 其中必须明确描述介质放置位置和离场存放频率;b)访谈备份介质管理人员,了解备份数据是否不同城市存放, 以及不同城市存放的频率是否符合要求。检查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取存放方式相关说明,作为证明材料。5.6. 1.7 必须 延续应定期对主要备份业务数据进行恢复验证,根据介质使用期限及时转储数据。检 查方式访谈,检查检 查对象备份管理人员,数据备
614、份管理检 查措施a)访谈数据备份管理人员,了解数据恢复验证频率、 措施及数据转储操作流程, 应至少每季度对核心交易业务系统的备份数据进行一次有效性验证;b)检查数据恢复验证和转储的操作手册, 抽查一年内进行恢复验证和转储的操作记录。检 查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司数据备份操作手册和近期转储操作记录,作为证明材料。5. 6.1.8 必须 延续应利用通信网络将关键业务数据实时传送至异地数据备份场所。检 查方式访谈,检查检 查对象技术部门负责人,数据备份管理检 查措施a)访谈技术部门负责人,了解保障业务数据实时备份的具体措施和技术手段;b)
615、期货公司提供数据实时备份系统的设计和部署方案;c)检查数据实时备份系统的设计和部署方案, 是否包括利用通信网络将关键业务数据实时传送至异地数据备份场所。 检查结果a)同时符合上述a) -c) 项的检查措施,才达到本检查项的要求;b)获取期货公司数据实时备份系统的设计和部署方案,作为证明材料5. 6. 1. 9 必须 延续当I I备份的交易和结算数据应立即进行恢复验证。检 查方式检查检 查对象数据备份管理 检查措施a)期货公司提供每日值班手册;197b )检查期货公司每日值班手册中是否包含对交易和结算后的原始数据的备份进行恢复验证的内容;C )检查期货公司是否具有用于数据恢复验证的环境和工具,
616、要求恢复后数据可供浏览或查询。检查结果a )同时符合上述a ) - c )项的检查措施,才达到本检查项的要求;b )获取期货公司数据备份恢复验证记录,作为证明材料。5 . 6 . 1 . 1 0 必须 延续应指定专人负责保管业务数据备份介质. 检查方式访谈,检查 检查对象备份管理人员,数据备份管理 检查措施a )期货公司提供包括业务数据备份介质管理职责的岗位说明书;b )检查岗位说明书是否包含相应工作职责;c )访谈备份介质管理人员,评估其是否掌握介质分类、 维护、 使用管理和转储相关的制度和操作流程。 检查结果a )同时符合上述a ) - c )项的检查措施,才达到本检查项的要求;b )获取
617、期货公司包括业务数据备份介质管理职责的岗位说明书,作为证明材料。5 . 6.2灾难备份5 . 6 . 2 . 1 必须 新增应有与生产中心直线距离至少达到1 0 0公里且位于不同城市的灾难备份中心,可以接管所有核心业务的运行。 检查方式访谈,检查 检查对象技术部门负责人,灾难备份方案和评审报告 检查措施a )期货公司提供灾难备份的设计方案和评审报告, 并注明灾难备份中心所在城市及其与主生产中心的直线距离;b )访谈技术部门负责人,了解灾难备份中心的运行情况。 检查结果a )同时符合上述a ) - b )项的检查措施,才达到本检查项的要求;b )获取期货公司灾难备份设计方案的评审报告,作为证明材
618、料。5 . 6 . 2 . 2 必须 延续灾难备份中心应有满足关键业务功能恢复运作要求的场地和设施。 检查方式访谈,检查 检查对象技术部门负责人,灾难备份 检查措施a )访谈技术部门负责人, 了解灾难备份中心是否预留满足关键业务功能恢复运作要求的场地和设施;198b )期货公司提供满足关键业务功能恢复运作要求的场地的状况说明, 检查是否具有满足放置生产环境的机房的条件;C )检查期货公司灾难备份中心设计方案, 是否具有互联网通信链路、 接入交易所的通信链路;是否部署了业务正常运行所需要的交易、结算系统;d )核查期货公司灾难备份中心的场地和设施情况。检查结果a )同时符合上述a ) - d )
619、项的检查措施,才达到本检查项的要求;b )获取期货公司满足关键业务功能恢复运作要求的场地和设施的状况说明, 作为证明材料。5. 6 . 2 . 3 必须 延续采用远程数据复制技术,并利用通信网络将关键数据实时复制到灾难备份中心。检 查方式访谈,检查检 查对象技术部门负责人,灾难备份检 查措施a )访谈技术部门负责人,了解保障业务关键数据远程复制的具体措施和技术手段;b )检查远程数据复制系统的设计和部署方案,是否能够实现数据的实时复制。 检查结果a )同时符合上述a ) - b )项的检查措施,才达到本检查项的要求;b )获取期货公司数据复制系统运行情况说明,作为证明材料。5. 6 . 2 .
620、 4 必须 延续灾难备份中心应配备灾难恢复所需的全部运行环境,并处于就绪状态或运行状态。检 查方式访谈,检查检 查对象技术部门负责人,灾难备份检 查措施a )访谈技术部门负责人,了解灾难备份中心的运行状态和切换方法;b )期货公司提供灾难备份中心运行环境的运行状态的情况说明;c )检查运行环境各个部件是否都处于就绪状态或运行状态( 例如服务器、 网络设备处于运行状态,软件已经安装和配置,处于就绪状态)。 检查结果a )同时符合上述a ) - c )项的检查措施,才达到本检查项的要求;b )获取期货公司的灾难备份中心运行环境的运行状态的情况说明,作为证明材料。5. 6 . 2 . 5 必须 延续
621、灾难备份中心应配备灾难恢复所需的通信链路和网络设备,并处于就绪状态。检 查方式访谈,检查检 查对象技术部门负责人,灾难备份检 查措施a )期货公司提供灾难备份中心通信链路和网络设备清单;b )访谈技术部门负责人,了解灾难备份中心通信链路和网络设备运行情况;199C )检查灾难备份中心网络设计和实施方案;d )期货公司提供灾难备份中心通信链路和网络设备的运行状态的情况说明;e )检查通信链路和网络设备是否处于就绪状态。检查结果a )灾难备份中心无通信链路接入交易所的,则认为不符合上述a )的检查措施;b )同时符合上述a ) - e )项的检查措施,才达到本检查项的要求;c )获取灾备通信链路和
622、网络设备清单,作为证明材料。5. 6 . 2 . 6 必须 延续灾难备份中心应在交易和结算时间内有相关技术支持和保障人员。检 查方式访谈,检查检 查对象技术部门负责人,灾难备份中心技术支持人员,灾难备份检 查措施a )期货公司提供灾难备份中心技术支持的情况说明;b )访谈技术部门负责人,了解灾难备份中心技术支持人员每F 1工作内容和排班情况;c )访谈灾难备份中心技术支持人员,了解其每日工作内容。 检查结果a )同时符合上述a ) - c )项的检查措施,才达到本检查项的要求;b )获取期货公司灾难备份中心情况说明,作为证明材料。5. 6 . 2 . 7 必须 延续灾难备份中心应有相应的运行维
623、护流程。检 查方式检查检 查对象灾难备份检 查措施a )检查灾难备份中心运行维护制度和流程;b )检查灾难备份中心运维值班操作记录。检 查结果a )同时符合上述a ) - b )项的检查措施,才达到本检查项的要求;b )获取期货公司灾难备份中心运行维护流程、值班操作记录,作为证明材料。5. 6 2 . 8 必须 延续应有详细的灾难恢复预案及操作流程,并根据流程每年进行演练。 检查方式检查检 查对象灾难备份检 查措施a )检查期货公司灾难恢复预案和操作流程;b )检查期货公司一年内的灾难恢复演练记录。检 查结果a )同时符合上述a ) - b )项的检查措施,才达到本检查项的要求;b )获取期货
624、公司灾难恢复演练记录,作为证明材料。2005. 6. 2. 9 可选 延续灾难备份中心的备份能力应达到 证券期货经管机构信息系统备份能力标准的要求及监管部门的有关规定。 检查方式访谈,检查 检查对象技术部门负责人,灾难备份 检查措施a)访谈期货公司技术部门负责人, 了解灾难备份中心设计方案以及达到和附备份能力标准的具体措施;b)检查期货公司一年内的灾备演练记录、 切换演练的恢复时间是否符合其应达到的备份能力标准。 检查结果a)同时符合上述a) - b)项的检查措施,才达到本检查项的要求;b)获取期货公司灾难备份演练记录,作为证明材料。5. 6. 2. 10 必须 延续设计灾难备份中心运行时,处
625、理能力应不低于主系统处理能力的50%。 检查方式访谈,检查 检查对象技术部门负责人,灾难备份 检查措施a)访谈期货公司技术部门负责人,了解灾难备份中心设计方案、 主机和网络配置情况;b)访谈期货公司技术部门负责人,了解主系统处理能力和灾难备份中心的处理能力;c)检查期货公司灾难备份中心处理能力评估报告或者测试报告。 检查结果a)同时符合上述a) -c )项的检查措施,才达到本检查项的要求;b)获取期货公司灾难备份中心处理能力评估报告或者测试报告,作为证明材料。5 . 7系统维护5. 7 . 1变更管理5. 7. 1. 1 必须 延续应将所有涉及核心系统的软硬件变更纳入变更管理范围。 检查方式检
626、查 检查对象变更管理制度 检查措施a)检查期货公司变更管理制度,是否核心系统的软硬件变更都纳入变更管理范围。 检查结果a)符合上述a)项的检查措施,才达到本检查项的要求;b)获取期货公司变更管理制度的相关章节,作为证明材料。5. 7. 1.2 必须 延续每次变更前应进行评估。检查方式201访谈,检查 检查对象技术部门负责人,变更评估报告 检查措施a)评估结果应包括风险、变更方案、检验方法、影响通知范围等内容;b)访谈期货公司技术部门负责人,了解变更前的风险评估流程;c)期货公司提供一年内变更记录;d)抽查一年内两次变更记录和相关文档,检查是否在变更前进行评估。检 查结果a)同时符合上述a) -
627、d) 项的检查措施,才达到本检查项的要求;b)获取被抽查的期货公司变更记录和相关文档,作为证明材料。5. 7.1. 3 必须 延续所有变更操作应有操作记录。检 查方式检查检 查对象变更管理制度,变更记录检 查措施a)期货公司提供变更管理制度;b)检查期货公司变更管理制度,是否包含变更应有操作记录的要求:c)期货公司提供一年内变更记录;d)抽查期货公司变更记录,是否包含操作人,操作步骤,操作内容等操作记录;e)变更管理制度应明确要求除紧急变更外不允许在交易时段进行变更。检 查结果a)同时符合上述a) -e) 项的检查措施,才达到本检查项的要求;b)获取被抽查的期货公司变更记录和相关文档,作为证明
628、材料。5. 7. 1.4 必须 延续所有变更应进行事后检查。检 查方式检查检 查对象变更管理制度,变更记录检 查措施a)期货公司提供变更管理制度;b)检查期货公司变更管理制度,是否包含变更必须进行事后检查的要求;c)期货公司提供一年内变更记录;d)抽查期货公司变更操作记录,是否包含事后检查的内容。检 查结果a)同时符合上述a) -d) 项的检查措施,才达到本检查项的要求;b)获取被抽查的期货公司变更操作记录,作为证明材料。5. 7. 1.5 必须 延续对于风险较大的变更,在条件允许的情况卜一,应制定应急和回退方案。检查方式访谈,检查检查对象技术部门负责人,变更管理制度,回退方案202检查措施a
629、 )检查变更管理制度,是否包含制订应急和回退方案的内容;b )抽查期货公司一年内两次风险较大的变更操作手册和记录, 其中应包含应急和回退方案。检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司变更操作手册和记录,作为证明材料。5 . 7 . 1 . 6 必须 延续风险较大的变更,应在变更后对系统的运行情况进行跟踪。检 查方式访谈,检查检 查对象技术部门负责人,变更管理制度,值班记录检 查措施a )访谈技术部门负责人,了解变更前的风险评估流程和变更之后的跟踪机制;b )抽查期货公司一年内两次风险较大的变更, 检查其后的值班记录是否对变更系
630、统进行了跟踪观察。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取被抽查的值班记录,作为证明材料5 . 7 . 1 . 7 必须 延续应及时对变更涉及的系统配置和操作手册进行修改。检 查方式访谈,检查检 查对象技术部门负责人,变更管理制度检 查措施a )访谈技术部门负责人,了解更新系统配置和操作手册的机制;b )检查变更管理制度,是否包含变更后及时更新系统配置和操作手册的要求。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司变更管理制度中相关章节,作为证明材料。5 . 7 . 1 . 8 必须
631、延续对于风险较大的核心系统变更,在条件允许的情况下,应在上线前进行演练。 检查方式访谈,检查 检查对象技术部门负责人,变更演练记录检 查措施a )访谈技术部门负责人,了解核心系统上线前的演练情况;b )检查风险较大的核心系统变更在上线前的演练记录, 记录应体现演练结果的评估和分析过程。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司核心系统变更上线演练记录,作为证明材料。5 . 7 . 1 . 9 必须 延续应定期进行风险评估,及时发现风险隐患,并予以处理。203 检查方式访谈,检查 检查对象技术部门负责人,风险评估报告检 查措施a
632、)访谈技术部门负责人,了解期货公司技术系统风险评估的具体情况;b)检查期货公司一年内的风险评估报告及处理情况。检 查结果a)同时符合上述a) - b)的所有检查措施,才达到本检查项的要求;b)获取风险评估报告及处理情况,作为证明材料。5. 7.1.10 必须 延续进行与核心系统相关的开发工作时, 应避免在生产环境上进行日常测试。检 查方式访谈检 查对象技术部门负责人检 查措施a)期货公司提供核心系统相关开发工作的情况说明;b)访谈期货公司技术部门负责人, 了解期货公司是否进行核心系统的开发工作。 如果进行相关开发,是否具有独立的开发或者测试环境。检 查结果a)如果期货公司不进行核心系统开发,本
633、检查项可判定为满足;b)同时符合上述a) - b)项的检查措施,才达到本检查项要求;c)获取期货公司核心系统相关开发工作的情况说明,作为证明材料。5. 7. 1. 11 必须 延续如果需要使用生产环境进行测试,应纳入变更管理。检 查方式访谈检 查对象技术部门负责人检 查措施a)期货公司提供是否使用生产环境进行测试及相应的情况说明;b)访谈期货公司技术部门负责人,使用生产环境进行测试是否纳入变更管理;c)抽查一次使用生产环境的测试记录和相关文档。检 查结果a)同时符合上述a) -c)项的检查措施,才达到本检查项的要求;b)获取期货公司使用生产环境进行测试的情况说明,作为证明材料。5. 7. 1.
634、 12 必须 延续应建立核心系统软硬件上线前测试的流程和制度, 规范系统上线前进行的测试。 检查方式访谈 检查对象技术部门负责人 检查措施a)检查期货公司关于系统测试的流程和制度;204b)访谈期货公司技术负责人系统上线计划和实施测试的流程。检查结果a)同时符合上述a) -b) 项的检查措施,才达到本检查项的要求;b)获取期货公司系统测试相关制度或流程作为证明材料。5. 7. 1. 13 必须 延续应有模拟测试环境,并与生产环境进行有效隔离。 检查方式访谈 检杳对象技术部门负责人 检查措施a)访谈期货公司负责人测试环境设计和部署方案;b)提供测试环境网络架构图( 详细) 及与当前运行情况相符的
635、相关设施的配置清单;c)模拟测试环境与生产环境要彼此独立,不得互相干扰;d)现场检查模拟测试环境所需设备是否真实存在,是否满足核心系统测试需要。 检查结果a)同时符合上述a) -d) 项的检杳措施,才达到本检皆项的要求;b)期货公司提供测试环境网络架构图( 详细) 及相关设施的配置清单,因属于敏感信息,不留存。5. 7. 1. 14 必须 延续应有专人负责系统测试计划、 组织、 实施和记录, 并对参与测试的各方进行统筹协调。 检查方式访谈 检查对象技术部门负责人 检查措施a)访谈期货公司负责系统测试的相关人员,了 解公司系统测试流程和制度执行情况;b)检查期货公司关于系统测试的流程和制度, 是
636、否要求专人负责测试组织和实施等工作;c)提供参与核心系统测试各方联系方式或服务电话。 检查结果a)同时符合上述a) -c) 项的检查措施,才达到本检查项的要求;b)获取期货公司系统测试流程和制度相关章节作为证明材料”5. 7 .2 配置管理5. 7. 2. 1 必须 延续应具有生产环境设计和部署文档,并根据变更及时更新。 检查方式检查 检查对象配置文档 检查措施a)期货公司提供生产环境设计和部署文档及清单;b)检查生产环境设计和部署文档,至少有完整的网络拓扑图和应用系统部署方案,应有与网络拓扑图相对应的网络配置表,表中应包含1P地址等主要信息;205c )抽查相关文档是否与当前生产环境相符,包
637、括网络拓扑图、应用系统部署方案、网络配置表等所有文档应及时更新。检查结果a )同时符合上述a ) - c ) 项的检查措施,才达到本检查项的要求;b )获取期货公司生产环境设计和部署文档清单,作为证明材料。5 . 7 . 2 . 2 必须 延续应对重要的配置信息进行有效备份。 检查方式访谈,检查检 查对象配置管理人员及技术部门负责人,配置文档检 查措施a )期货公司提供备份配置信息的相关流程, 至少包括核心 业 务系统的操作系统、 网络设备、数据库以及应用系统的配置;b )访谈技术部门负责人和配置管理人员,了解流程执行情况;c )抽查备份信息是否和生产环境配置吻合。检 查结果a )同时符合上述
638、a ) - c ) 项的检查措施,才达到本检查项的要求;b )获取期货公司配置信息备份的相关流程,作为证明材料。5 . 7 . 2 . 3 必须 延续应有恢复配置信息的流程。检 查方式访谈,检查检 查对象配置管理人员及技术部门负责人,配置恢复流程检 查措施a )期货公司提供恢复配置信息的相关流程;b )访谈技术部门负责人和配置管理人员,了解流程执行情况。检 查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司恢复配置信息的相关流程,作为证明材料。5 . 7 . 2 . 4 必须 延续应对配置信息的恢复进行演练。检 查方式检查检 查对象恢复演练记录检
639、 查措施a )检查期货公司配置信息恢复演练的记录。检 查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求;b )获取期货公司配置信息恢复演练记录,作为证明材料5 . 7 . 2 . 5 必须 延续应建立配置管理制度和配置文档库。检查方式检查检查对象配置管理制度,配置文档206检查措施a )期货公司提供配置管理制度和文档库设计说明;b )检查配置文档库真实存在。检查结果a )同时符合上述a ) - b )项的检查措施,才达到本检查项的要求;b )获取期货公司配置管理制度和文档库设计说明,作为证明材料。5 . 7 . 2 . 6 必须 延续应有专人负责生产环境配置管理。检 查方式访谈,
640、检查检 查对象配置管理人员,配置文档检 查措施a )检查期货公司相关人员岗位说明书是否包括生产环境配置管理的内容;b )访谈配置管理人员,了解其配置管理的主要工作方法和流程, 采用何种措施确保生产环境变更后配置可及时更新。检 查结果a )同时符合上述a ) - b )项的检查措施,才达到本检查项的要求;b )获取期货公司包括配置管理职责的岗位说明书,作为证明材料。5 . 7 . 2 . 7 必须 新增应定期对核心系统进行配置比对、 以及时发现配置的变化。检 查方式访谈,检查检 查对象配置管理人员,配置比对工具检 查措施a )访谈配置比对工作机制和原理;b )检查期货公司核心系统配置基线是否真实
641、存在;c )检查期货公司近期发现的配置变动记录或报告。检 查结果a )缺乏自动化工具,完全采用人工进行配置比对,则认为不符合上述检查措施;b )同时符合上述a ) - c )项的检查措施,才达到本检查项的要求;c )获取期货公司配置变动记录或报告,作为证明材料。5 . 7.3容量管理5 . 7 . 3 . 1 必须 延续每年应对核心系统的性能和容量情况进行评估。检 查方式检查检 查对象容量评估报告检 查措施a )检查期货公司上一年度核心系统性能和容量情况的评估报告。检 查结果a )符合上述a )项的检查措施,才达到本检查项的要求;b )获取期货公司上一年度核心系统性能和容量情况的评估报告,作为
642、证明材料。5 . 7 . 3 . 2 必须 延续应根据核心系统的性能容量评估报告,结合业务发展情况及时提出改进计划。207 检查方式检查 检查对象性能和容量改进计划 检查措施a )检查期货公司是否制定了核心系统性能容量的改进计划;b )检查改进计划是否符合要求。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司核心系统性能容量改进计划,作为证明材料。5. 7 . 3 . 3 必须 延续应及时执行改进计划,并对执行结果进行跟踪和评估。 检查方式访谈,检查 检查对象技术部门负责人,容量评估报告 检查措施a )访谈期货公司是否及时执行了改进计划;b
643、 )检查针对执行结果的跟踪和评估报告。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司核心系统性能容量改进评估说明,作为证明材料。5. 7 . 4 应急演练5. 7 . 4 . 1 必须 延续应建立健全网络与信息安全事件应急组织体系, 对核心系统的常见故障应有书面的应急预案和排障流程。 检查方式检查 检查对象应急组织体系成员 单,应急预案,排障流程 检查措施a )检杳是否建立健全网络与信息安全事件应急处置组织体系, 是否明确应急指挥决策机构由主要领导负责,成员包括但不限于业务、技术、风险控制、结算、财务、客服及综合等有关部门负责人;b )检
644、查期货公司网络与信息安全事件应急预案, 是否明确应急指挥决策和执行机构的职责,是否包括但不限于针对网络与信息安全事件的预防预警、应急处置、报告和调查处理工作;c)检查期货公司核心系统的常见故障技术排隙流程, 场景包括但不限核心系统的关键部件、网络关键部件、网上交易关键部件、银期转账关键部件、网站关键部件等;d ) 检查期货公司是否及时调整信息安全事件报告流程, 以满足监管部门的最新要求。 检查结果a )符合上述a ) - d ) 项的检查措施,才达到本检查项的要求;b )获取期货公司应急组织体系成员名单、 核心系统应急预案目录、 排障流程清单作为证明材料。2085. 7 . 4 . 2 必须
645、延续应参与交易所等行业相关机构组织的测试和应急演练并有记录。 检查方式检查 检查对象测试记录,应急演练记录 检查措施a )期货公司提供参加交易所等行业相关机构组织的应急演练的情况说明;b )抽查期货公司参加应急演练的记录或者报告。 检查结果a )同时符合上述a ) - b )项的检查措施,才达到本检查项的要求;b )获取期货公司参加交易所等行业相关机构组织的应急演练的情况说明, 作为证明材料。5. 7 . 4 . 3 必须 延续应根据机构、人员、技术等变化,及时调整应急预案。 检查方式检查 检查对象应急预案 检查措施a )检查期货公司应急预案的历史版本,是否反映了相关变化。 检查结果a )符合
646、上述a )项的检查措施,才达到本检查项的要求。5. 7 . 4 . 4 必须 延续演练前应制定详细的应急演练计划,并根据计划进行演练。 检查方式检查 检查对象应急演练记录,应急演练计划 检查措施a )抽查期货公司两年内的应急演练计划。 查看是否根据应急预案的内容, 制定详细的应急演练计划。计划中是否至少包括演练的目的、内容、时间、参与方、方式、前期准备情况、统计与记录要求、系统恢复与验证要求等内容;b )抽查期货公司两年内的应急演练报告或记录, 检查期货公司是否每年至少组织全公司各部门进行两次应急演练,是否按应急演练计划中规定的场景完成演练。 检查结果a )同时符合上述a ) - b )项的检
647、查措施,才达到本检查项的要求;b )获取期货公司应急预案I隶、应急演练计划目录和报告目录,作为证明材料。5. 7 . 4 . 5 必须 延续应准备必要工具,以便应急预案的顺利执行。 检查方式检查 检查对象应急预案,应急工具 检查措施a )根据应急预案,抽查其中需要使用的相关应急软、硬件工具是否真实存在。 检查结果209a)符合上述a)项的检查措施,才达到本检查项的要求。5. 7 . 5技术事故管理5. 7. 5. 1 必须 延续应建立技术事故报告制度和流程。 检查方式检查 检查对象事故管理制度 检查措施a)检查期货公司技术事故报告制度和流程;b)检查期货公司技术事故报告制度是否包括事故报告及事
648、故的调查处理机制。 检查结果a)符合上述a) -b)项的检查措施,才达到本检查项的要求;b)获取期货公司技术事故报告制度和流程,作为证明材料。5. 7. 5. 2 必须 延续应保存技术事故的记录。 检查方式检查 检查对象事故记录 检查措施a)期货公司提供一年内技术事故的记录;b)抽查期货公司技术事故记录,应包括事故时间、现象、处理流程、处理结果、原因、改进措施等。 检查结果a)同时符合上述a) -b)项的检查措施,才达到本检查项的要求;b)获取期货公司技术事故报告,作为证明材料。5. 7. 5. 3 必须 延续应根据技术事故情况,及时提出改进计划,落实改进措施。 检查方式访谈,检查 检查对象技
649、术部门负责人,改进计划 检查措施a)期货公司提供针对近期技术事故情况的改进计划;b)访谈技术部门负责人,了解落实改进情况。 检查结果a)同时符合上述a) - b)项的检查措施,才达到本检查项的要求;b)获取期货公司针对近期技术事故情况的改进计划,作为证明材料。5 . 8营业部技术要求5. 8. 1基本要求5.8. 1. 1 必须 延续营业部设备区域应是一个单独的区域,用于放置营业部开展业务所需的网络、通信和主机设备。检查方式检查210 检查对象营业部设备区域情况说明 检查措施a)期货公司提供所有营业部的设备区域的情况说明,其中必须包含设备区的照片;b) 检查情况说明, 营业部设备区域是否是单独
650、的区域,与其他办公区域进行了有效隔断;c)检查情况说明,营业部业务所需的网络、通信和主机是否放在设备区域内。检 查结果a)同时符合上述a) -c) 项的检查措施,才达到本检查项的要求;b)获取期货公司所有营业部的设备区域的情况说明,作为证明材料。5. 8.1.2 必须 延续应确保在交易时间内有技术人员进行技术系统维护工作。检 查方式检查检 查对象营业部交易期间技术人员值守情况说明检 查措施a)期货公司提供所有营业部交易期间技术人员值守情况说明, 包括技术人员的联系方 式 ( 固定电话号码、移动电话号码);b)检查情况说明中的交易时间内的系统维护工作。检 查结果a)同时符合上述a) -b) 项的
651、检查措施,才达到本检查项的要求;b)获取期货公司所有营业部交易期间值守情况说明,作为证明材料。5. 8. 1.3 必须 延续应有与当前运行情况相符的业务系统结构文档。检 查方式检查 检查对象业务系统结构文档检 查措施a)检查期货公司提供的所有营业部为业务开展提供支持的信息系统的结构文档, 应包括系统组成、网络拓扑等。检 查结果a)符合上述a) 项的检查措施,才达到本检查项的要求;b)获取期货公司所有营业部业务系统结构文档,作为证明材料。5. 8. 1.4 必须 延续应配备防火墙或相当的安全防护设备。 检查方式检查检 查对象安全防护设备情况说明检 查措施a)检查期货公司提供的所有营业部的安全防护
652、设备情况说明。 检查结果a)符合上述a) 项的检查措施,才达到本检查项的要求;b)获取期货公司所有营业部安全防护设备情况说明,作为证明材料2115 . 8 . 1 . 5 必须 延续应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。 检查方式检查 检查对象补丁管理制度、测试和升级记录 检查措施a )检查期货公司提供的营业部补丁管理制度和流程;b )抽查营业部核心系统依赖的系统软件的测试和升级记录。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司营业部补丁管理制度和流程,作为证明材料。5 . 8
653、 . 1 . 6 必须 延续应对使用W i n d o w s 平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。 检查方式检查 检查对象营业部的防病毒管理流程和制度 检查措施a )期货公司提供营业部的防病毒管理的相关流程和制度;b )检查防病毒管理的相关流程和制度, 是否能够进行全面检查, 是否能保障病毒库的及时更新。 检查结果a )同时符合上述a ) - b ) 的所有检查措施,才达到本检查项的要求;b )获取期货公司营业部的防病毒管理流程和制度,作为证明材料。5 . 8 . 1 . 7 必须 延续应建立有效机制,保障总部了解各个营业部的运行情况。 检查方式检查 检查对
654、象营业部运行情况报告 检查措施a )期货公司提供一年内所有营业部向总部提交的运行情况报告, 频度应不低于每月一次;b )抽查至少2 次运行报告,时间间隔不小于两个月。 检查结果a )同时符合上述a ) - b ) 项的检查措施,才达到本检查项的要求;b )获取被抽查的期货公司营业部2次运行报告,作为证明材料。5 . 8 . 1 . 8 必须 延续应有总部和信息技术服务提供商的准确联系方式。 检查方式检查 检查对象营业部联系方式表 检查措施212a )检查期货公司的所有营业部联系方式表, 是否包括总部和信息技术服务提供商的联系方式;b )抽查信息技术服务提供商的联系方式。检查结果a )同时符合上
655、述a ) -b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司营业部联系方式表,作为证明材料。5 . 8 . 2 交易保障5 . 8 . 2 . 1 必须 延续提供现场交易的营业部应有至少两条交易通信链路。 检查方式检查 检查对象营业部交易通信链路情况说明 检查措施a )检查期货公司提供现场交易的营业部的交易通信链路情况说明;b )抽查链路情况说明,查看提供现场交易的营业部是否提供两条交易通信链路。 检查结果a )同时符合上述a ) -b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司提供现场交场的营业部的交易通信链路情况说明,作为证明材料。5 . 8 . 2 . 2
656、必须 延续提供现场交易的营业部关键设备应有冗余。 检查方式检查 检查对象营业部关键设备情况说明 检查措施a )检查期货公司提供现场交易的营业部的关键设备情况说明, 应包括服务器、 网络设备、安全防护设备等;b )抽查设备情况说明,查看关键设备是否达到冗余要求。 检查结果a )同时符合上述a ) -b ) 项的检查措施,才达到本检查项的要求;b )获取期货公司提供现场交易的营业部的关键设备情况说明,作为证明材料。5 . 8 . 2 . 3 必须 延续营业部应对设备容量、交易通信链路进行监控,及时进行必要的升级。 检查方式检查 检查对象营业部监控措施说明和升级记录 检查措施a )检查期货公司提供的
657、所有营业部的设备容量、 交易通信链路监控措施说明和升级记录。 检查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求;b )获取期货公司营业部设备容量和交易通信的链路监控措施说明和升级记录, 作为证明材料。2135 . 8 . 2 . 4 必须 延续营业部应有有效的日常运行流程和应急处理流程,并进行适当的演练。 检查方式检查 检查对象营业部日常运行流程,应急处理流程,演练记录 检查措施a )检查期货公司提供的所有营业部的日常运行流程、 应急处理流程和一年内的演练记录。 检查结果a )符合上述a ) 项的检查措施,才达到本检查项的要求;b )获取期货公司营业部日常运行流程、应急处理流程和演练记录,作为证明材料。214
