【文章內(nèi)容簡介】 變更操作應(yīng)有操作記錄。 [必須][新增] 所有變更應(yīng)進行事后檢查。 [必須][延續(xù)] 風險較大的變更，應(yīng)在變更后對系統(tǒng)的運行情況進行跟蹤。 [必須][延續(xù)] 進行與核心系統(tǒng)相關(guān)的開發(fā)工作時，應(yīng)避免在生產(chǎn)環(huán)境上進行日常測試。 [必須][延續(xù)] 如果需要使用生產(chǎn)環(huán)境進行測試，應(yīng)納入變更管理。 配置管理 [必須][延續(xù)] 應(yīng)具有生產(chǎn)環(huán)境設(shè)計和部署文檔，并根據(jù)變更及時更新。 [必須][延續(xù)] 應(yīng)對重要的配置信息進行有效備份。 [必須][新增] 應(yīng)有恢復(fù)配置信息的流程。 容量管理 [必須][延續(xù)] 每年應(yīng)對核心系統(tǒng)的性能和容量情況進行評估。 [必須][新增] 應(yīng)根據(jù)核心系統(tǒng)的性能容量評估報告，結(jié)合業(yè)務(wù)發(fā)展情況及時提出改進計劃。 應(yīng)急演練 [必須][延續(xù)] 對核心系統(tǒng)的常見故障應(yīng)有書面的應(yīng)急預(yù)案和排障流程。 [必須][延續(xù)] 應(yīng)參與交易所等行業(yè)相關(guān)機構(gòu)組織的測試和應(yīng)急演練并有記錄。 [必須][新增] 應(yīng)根據(jù)機構(gòu)、人員、技術(shù)等變化，及時調(diào)整應(yīng)急預(yù)案。 [必須][延續(xù)] 應(yīng)有應(yīng)急演練計劃，并定期根據(jù)計劃進行演練。 [必須][新增] 應(yīng)準備必要工具，以便應(yīng)急預(yù)案的順利執(zhí)行。 技術(shù)事故管理 [必須][延續(xù)] 應(yīng)建立技術(shù)事故報告制度和流程。 [必須][延續(xù)] 應(yīng)保存技術(shù)事故的記錄。 [必須][新增] 應(yīng)根據(jù)技術(shù)事故情況，及時提出改進計劃，落實改進措施。 營業(yè)部技術(shù)要求 基本要求 [必須][延續(xù)] 應(yīng)設(shè)立獨立隔斷的設(shè)備區(qū)域，用于放置營業(yè)部開展業(yè)務(wù)所需的網(wǎng)絡(luò)、通信和主機設(shè)備。 [必須][延續(xù)] 應(yīng)確保在交易時間內(nèi)有技術(shù)人員進行技術(shù)系統(tǒng)維護工作。 [必須][延續(xù)] 應(yīng)有與當前運行情況相符的業(yè)務(wù)系統(tǒng)結(jié)構(gòu)文檔。 [必須][新增] 應(yīng)配備防火墻或相當?shù)陌踩雷o設(shè)備。 [必須][延續(xù)] 應(yīng)建立有效機制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補丁進行了解、評估、必要的測試和升級。 [必須][延續(xù)] 應(yīng)對使用Windows平臺的計算機部署防病毒軟件，定期進行全面檢查，并及時進行病毒庫的更新。 [必須][延續(xù)] 應(yīng)建立有效機制，保障總部了解各個營業(yè)部的運行情況。 [必須][延續(xù)] 應(yīng)有總部和信息技術(shù)服務(wù)提供商的準確聯(lián)系方式。 交易保障 [必須][新增] 提供現(xiàn)場交易的營業(yè)部，其設(shè)備區(qū)域應(yīng)是一個單獨的房間。 [必須][新增] 提供現(xiàn)場交易的營業(yè)部應(yīng)為設(shè)備區(qū)域配備UPS和空調(diào)。 [必須][延續(xù)] 提供現(xiàn)場交易的營業(yè)部，應(yīng)有至少兩條交易通信鏈路。 [必須][延續(xù)] 提供現(xiàn)場交易的營業(yè)部，關(guān)鍵設(shè)備應(yīng)有冗余。 [必須][延續(xù)] 提供現(xiàn)場交易的營業(yè)部，應(yīng)有有效的日常運行流程和應(yīng)急處理流程，并進行適當?shù)难菥殹?. 三類要求 技術(shù)管理 組織結(jié)構(gòu) [必須][延續(xù)] 應(yīng)設(shè)有技術(shù)部門并有專職技術(shù)人員，并有明確的職責分工和崗位說明。 [必須][延續(xù)] 總部技術(shù)部門人員總數(shù)占公司總部人數(shù)的比例不少于6%。 [必須][新增] 總部技術(shù)部門人員不少于7人。 [必須][延續(xù)] 應(yīng)建立負責本公司信息技術(shù)規(guī)劃和信息安全管理的跨部門機構(gòu)，其職責包括系統(tǒng)規(guī)劃、安全管理、IT治理等。 [必須][延續(xù)] 應(yīng)與所有總部技術(shù)部門人員簽署保密協(xié)議。 [必須][延續(xù)] 應(yīng)設(shè)立2名技術(shù)聯(lián)絡(luò)員，負責組織、協(xié)調(diào)和處理與信息安全管理部門、交易所及相關(guān)單位的各項技術(shù)事宜。 [必須][延續(xù)] 總部技術(shù)部門應(yīng)有至少1名安全管理人員。 [必須][延續(xù)] 每個營業(yè)部應(yīng)配備至少一名技術(shù)人員。 [必須][新增] 總部技術(shù)部門應(yīng)有至少2名網(wǎng)絡(luò)管理人員。 培訓(xùn) [必須][延續(xù)] 對所有上崗技術(shù)人員應(yīng)進行崗位培訓(xùn)。 [必須][延續(xù)] 總部技術(shù)部門的所有人員每兩年參加期貨業(yè)協(xié)會組織的技術(shù)培訓(xùn)應(yīng)達到18學時，其中至少有3學時的信息技術(shù)法律法規(guī)及標準培訓(xùn)。 [必須][延續(xù)] 應(yīng)有明確的培訓(xùn)教材，用于培訓(xùn)上崗操作人員。 [必須][延續(xù)] 應(yīng)有對總部技術(shù)部門人員的年度培訓(xùn)計劃，并根據(jù)計劃實施。 [必須][新增] 應(yīng)定期對各個崗位的人員進行安全教育和培訓(xùn)。 人員素質(zhì) [必須][延續(xù)] 總部技術(shù)部門人員50%以上應(yīng)有信息技術(shù)相關(guān)專業(yè)大學本科或以上教育背景。 [必須][新增] 總部技術(shù)部門人員50%以上應(yīng)具備2年及以上的系統(tǒng)運行維護經(jīng)驗。 信息技術(shù)服務(wù)提供商管理 [必須][延續(xù)] 應(yīng)與信息技術(shù)服務(wù)提供商簽訂服務(wù)保障協(xié)議。 [必須][延續(xù)] 應(yīng)與核心系統(tǒng)的服務(wù)提供商簽署保密協(xié)議。 [必須][延續(xù)] 應(yīng)有信息技術(shù)服務(wù)提供商的準確聯(lián)系方式。 [必須][延續(xù)] 選擇信息技術(shù)服務(wù)提供商時應(yīng)評估其資質(zhì)、經(jīng)營行為、業(yè)績、服務(wù)體系和服務(wù)品質(zhì)等要素。 [必須][延續(xù)] 應(yīng)定期對信息技術(shù)服務(wù)提供商的服務(wù)質(zhì)量進行評估。 IT投入 [必須][延續(xù)] 最近三個財政年度IT投入平均數(shù)額應(yīng)不少于最近三個財政年度平均凈利潤的6%或不少于最近三個財政年度平均營業(yè)收入的3%，取二者數(shù)額較大者。 機房建設(shè) 基本 [必須][延續(xù)] 機房應(yīng)為獨立封閉區(qū)域，并配備門禁。 [必須][新增] 機房承重應(yīng)達到500公斤每平方米。 [必須][延續(xù)] 機房應(yīng)具備火警檢測、滅火和應(yīng)急照明設(shè)施。 [必須][延續(xù)] 機房應(yīng)當具備自動滅火設(shè)施。 [必須][延續(xù)] 機房出入口和內(nèi)部應(yīng)安裝7*24小時錄像監(jiān)控設(shè)施，錄像至少保存一周。 [必須][延續(xù)] 機房應(yīng)有防雷和接地的設(shè)施。 [必須][新增] 機房內(nèi)應(yīng)安裝漏水檢測設(shè)施，并能夠自動報警。 [必須][新增] 機房內(nèi)應(yīng)采用鹵代烷或可替代的其他新型氣體滅火裝置。 [必須][新增] 應(yīng)具有機房環(huán)境監(jiān)控系統(tǒng)，至少能夠監(jiān)控供配電、空調(diào)、溫濕度等重要指標。 [必須][新增] 應(yīng)實現(xiàn)聲音或短信等自動報警或7*24小時值守。 供電 [必須][延續(xù)] 機房應(yīng)配備在線UPS設(shè)施。UPS應(yīng)當存放在獨立封閉區(qū)域。 [必須][新增] 應(yīng)提供雙路市電，雙路供電應(yīng)能實現(xiàn)自動切換，雙UPS供電，并能夠采用發(fā)電機應(yīng)急供電。 [必須][新增] 應(yīng)具有電力設(shè)施實時切換演練制度和記錄。 [必須][新增] UPS和發(fā)電機應(yīng)能夠提供不少于12小時的連續(xù)供電，在滿負載運行的情況下，UPS供電時間應(yīng)超過從斷電到發(fā)電機開始供電的間隔時間。 [必須][新增] 應(yīng)定期對發(fā)電機進行開機測試。 空調(diào) [必須][新增] 應(yīng)配有與機房熱容量匹配的精密空調(diào)，并有冗余的精密空調(diào)設(shè)備。 [必須][延續(xù)] 對機房溫濕度應(yīng)有監(jiān)控措施和記錄。 [必須][新增] 空調(diào)應(yīng)雙路供電。 [必須][新增] 機房應(yīng)配備新風設(shè)施。 [可選][新增] 應(yīng)具有為空調(diào)供電的發(fā)電機。 布線 [必須][延續(xù)] 強弱電布線應(yīng)分開。 [必須][延續(xù)] 所有弱電布線應(yīng)有清晰的線標。 [必須][新增] 強電電纜應(yīng)有屏蔽或隔離措施。 [必須][新增] 所有布線應(yīng)置于管道或橋架中。 維護 [必須][延續(xù)] 所有UPS和空調(diào)設(shè)施都應(yīng)有專業(yè)維護人員，或與專業(yè)機構(gòu)簽訂維護合同。 [必須][延續(xù)] 應(yīng)定期對所有UPS和空調(diào)設(shè)施進行恰當維護，有維護記錄。 核心系統(tǒng) 功能 [必須][延續(xù)] 交易系統(tǒng)應(yīng)實現(xiàn)數(shù)據(jù)與應(yīng)用分離，防止客戶終端繞過應(yīng)用程序界面直接訪問核心數(shù)據(jù)。 [必須][延續(xù)] 交易系統(tǒng)應(yīng)具備對客戶進行實時風險控制的能力。 [必須][延續(xù)] 交易系統(tǒng)應(yīng)產(chǎn)生、記錄并存儲必要的日志信息供審計使用。 [必須][延續(xù)] 核心系統(tǒng)應(yīng)具備向期貨保證金監(jiān)控中心上報規(guī)定數(shù)據(jù)的功能。 [必須][延續(xù)] 不應(yīng)具有篡改、偽造核心系統(tǒng)數(shù)據(jù)或其他可能導(dǎo)致數(shù)據(jù)失真的功能。 [必須][延續(xù)] 核心系統(tǒng)應(yīng)有授權(quán)管理功能。 [必須][延續(xù)] 核心系統(tǒng)應(yīng)有運行監(jiān)控功能。 [必須][新增] 交易系統(tǒng)應(yīng)具備流量控制管理功能。 [必須][延續(xù)] 應(yīng)要求交易系統(tǒng)供應(yīng)商提供交易、銀期及相關(guān)查詢接口。 性能和容量 [必須][延續(xù)] 交易系統(tǒng)的性能和容量應(yīng)達到所有其作為會員的交易所的要求。 [必須][延續(xù)] 應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)指標進行實時監(jiān)控。 [必須][延續(xù)] 應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)監(jiān)控指標進行記錄。 [必須][延續(xù)] 應(yīng)對所有接入交易所的交易通信鏈路進行監(jiān)控。 [必須][延續(xù)] 接入交易所的交易通信鏈路應(yīng)達到所有其作為會員的交易所的要求。 [必須][延續(xù)] 接入交易所的交易通信鏈路帶寬使用率每交易日峰值按月統(tǒng)計的平均值應(yīng)不超過80%。 [必須][延續(xù)] 應(yīng)對所有網(wǎng)上交易的通信鏈路進行監(jiān)控。 [必須][延續(xù)] 網(wǎng)上交易的通信鏈路帶寬使用率每交易日峰值按月統(tǒng)計的平均值應(yīng)不超過80%。 交易系統(tǒng)冗余 [必須][新增] 交易系統(tǒng)的所有部件應(yīng)有熱備份，具備5分鐘內(nèi)切換的能力。 [必須][延續(xù)] 與交易所連接的網(wǎng)絡(luò)設(shè)備應(yīng)無單點故障。 [必須][新增] 生產(chǎn)環(huán)境內(nèi)所有網(wǎng)絡(luò)設(shè)備應(yīng)有熱備份，具備1分鐘內(nèi)切換的能力。 [必須][延續(xù)] 應(yīng)使用多個電信運營商的鏈路作為網(wǎng)上交易的通信鏈路。 行情冗余 [必須][延續(xù)] 應(yīng)向客戶同時提供至少2套行情服務(wù)，且均使用至少2套服務(wù)器。 [必須][新增] 應(yīng)有至少2套行情服務(wù)，且均通過至少兩個電信運營商提供服務(wù)。 銀期系統(tǒng)冗余 [必須][延續(xù)] 應(yīng)與至少2家銀行實現(xiàn)全國性銀期轉(zhuǎn)帳。 安全 網(wǎng)絡(luò)隔離 [必須][延續(xù)] 生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)應(yīng)實現(xiàn)有效隔離。 [必須][延續(xù)] 網(wǎng)站與網(wǎng)上交易系統(tǒng)應(yīng)實現(xiàn)有效隔離。 [必須][延續(xù)] 生產(chǎn)網(wǎng)與辦公網(wǎng)應(yīng)實現(xiàn)有效隔離。 [必須][延續(xù)] 總部的生產(chǎn)網(wǎng)與營業(yè)部的網(wǎng)絡(luò)應(yīng)實現(xiàn)有效隔離。 [必須][延續(xù)] 生產(chǎn)網(wǎng)與交易所、銀行等外聯(lián)單位網(wǎng)絡(luò)應(yīng)實現(xiàn)有效隔離。 防病毒、補丁和安全加固 [必須][延續(xù)] 應(yīng)建立有效機制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補丁進行了解、評估、必要的測試和升級。 [必須][延續(xù)] 應(yīng)對使用Windows平臺的計算機部署防病毒軟件，定期進行全面檢查，并及時進行病毒庫的更新。 [必須][延續(xù)] 應(yīng)對生產(chǎn)環(huán)境所有服務(wù)器定期進行安全掃描和合理加固，關(guān)閉不需要的端口。 [必須][延續(xù)] 應(yīng)在計算機或存儲設(shè)備接入生產(chǎn)環(huán)境之前對其進行安全檢查。 [必須][延續(xù)] 應(yīng)對通過互聯(lián)網(wǎng)向外提供服務(wù)的設(shè)備和系統(tǒng)進行定期安全掃描，關(guān)閉不需要的端口。 [必須][延續(xù)] 在讀取移動存儲設(shè)備上的數(shù)據(jù)以及從網(wǎng)絡(luò)上接收文件或郵件之前，應(yīng)先進行病毒檢查。 [可選][新增] 對通過互聯(lián)網(wǎng)傳送的交易及結(jié)算數(shù)據(jù)應(yīng)有加密手段，以保護數(shù)據(jù)的安全。 [必須][延續(xù)] 所有生產(chǎn)環(huán)境服務(wù)器應(yīng)盡量避免使用telnet、ftp等有安全隱患的服務(wù)，與服務(wù)器通信應(yīng)采用加密方式，例如SSH。 網(wǎng)站安全 [必須][延續(xù)] 應(yīng)有專人監(jiān)控網(wǎng)站內(nèi)容，發(fā)現(xiàn)問題后及時處理。 [必須][延續(xù)] 應(yīng)定期對網(wǎng)站進行安全檢查，并對隱患進行及時處理。 [必須][延續(xù)] 應(yīng)準備足夠措施，能在發(fā)現(xiàn)網(wǎng)站被篡改后5分鐘內(nèi)停止發(fā)布被篡改的內(nèi)容。 [必須][延續(xù)] 應(yīng)安裝木馬防護軟件并定期更新。 [必須][延續(xù)] 網(wǎng)站的內(nèi)容發(fā)布應(yīng)有審核制度和完整的內(nèi)容發(fā)布流程。 [必須][新增] 應(yīng)對網(wǎng)站主頁內(nèi)容實現(xiàn)自動監(jiān)控，能在5分鐘內(nèi)檢測到篡改。 [必須][新增] 應(yīng)請有資質(zhì)的專業(yè)安全機構(gòu)定期對網(wǎng)站提供安全評估或掃描服務(wù)，并對安全漏洞進行整改。 網(wǎng)上交易安全 [必須][延續(xù)] 應(yīng)提供可靠的身份認證機制，網(wǎng)上交易客戶端支持多種方式與服務(wù)端完成身份認證。 [必須][延續(xù)] 服務(wù)器上的用戶認證信息應(yīng)加密存放。 [必須][延續(xù)] 應(yīng)在與客戶簽訂的服務(wù)合同（網(wǎng)上期貨服務(wù)合同或期貨經(jīng)紀合同）中載明，客戶使用網(wǎng)上期貨業(yè)務(wù)可能面臨的風險、期貨公司采取的風險控制措施、客戶應(yīng)采取的風險控制措施以及相關(guān)風險對應(yīng)的責任承擔（如防止用于網(wǎng)上交易的計算機或手機終端感染木馬、病毒，以免被惡意程序竊取口令；加強帳號、口令的保護，不使用簡單口令、定期修改口令、輸入口令時防止他人偷看、不對他人泄露口令等）。 [必須][延續(xù)] 應(yīng)提供預(yù)留驗證信息服務(wù)，在客戶進行登錄時向客戶進行顯示，幫助客戶有效識別仿冒的網(wǎng)上期貨信息系統(tǒng)，防范利用仿冒的網(wǎng)上期貨信息系統(tǒng)進行詐騙活動。 [可選][新增] 至少提供一種強度較高的用戶身份認證機制。 [必須][新增] 應(yīng)請有資質(zhì)的專業(yè)安全機構(gòu)定期對網(wǎng)上交易系統(tǒng)提供安全評估或掃描服務(wù)，并對安全漏洞進行整改。 賬戶與權(quán)限 [必須][延續(xù)] 應(yīng)有生產(chǎn)環(huán)境內(nèi)關(guān)鍵系統(tǒng)賬戶與權(quán)限的關(guān)系表。 [必須][延續(xù)] 賬戶和權(quán)限變更應(yīng)有審批和完整的記錄。 [必須][延續(xù)] 崗位變動應(yīng)及時調(diào)整對應(yīng)系統(tǒng)的賬戶和權(quán)限。 [必須][延續(xù)] 應(yīng)避免使用超級管理員賬戶完成日常業(yè)務(wù)操作。 口令管理 [必須][延續(xù)] 所有書面方式保存的口令應(yīng)有安全的物理保護措施。 [必須][延續(xù)] 口令應(yīng)有復(fù)雜度要求。 [必須][延續(xù)] 口令應(yīng)定期更換。 安全審計 [必須][延續(xù)] 核心系統(tǒng)的主要業(yè)務(wù)操作應(yīng)產(chǎn)生審計記錄。 [必須][