【正文】 書面方式保存的口令應(yīng)有安全的物理保護措施。 [可選][新增] 崗位變動應(yīng)及時調(diào)整對應(yīng)系統(tǒng)的賬戶和權(quán)限。 賬戶與權(quán)限 [必須][新增] 應(yīng)有生產(chǎn)環(huán)境內(nèi)關(guān)鍵系統(tǒng)賬戶與權(quán)限的關(guān)系表。 [必須][新增] 應(yīng)在與客戶簽訂的服務(wù)合同（網(wǎng)上期貨服務(wù)合同或期貨經(jīng)紀合同）中載明，客戶使用網(wǎng)上期貨業(yè)務(wù)可能面臨的風險、期貨公司采取的風險控制措施、客戶應(yīng)采取的風險控制措施以及相關(guān)風險對應(yīng)的責任承擔（如防止用于網(wǎng)上交易的計算機或手機終端感染木馬、病毒，以免被惡意程序竊取口令；加強帳號、口令的保護，不使用簡單口令、定期修改口令、輸入口令時防止他人偷看、不對他人泄露口令等）。 網(wǎng)上交易安全 [必須][新增] 應(yīng)提供可靠的身份認證機制，網(wǎng)上交易客戶端支持多種方式與服務(wù)端完成身份認證。 [必須][新增] 應(yīng)安裝木馬防護軟件并定期更新。 [必須][新增] 應(yīng)定期對網(wǎng)站進行安全檢查，并對隱患進行及時處理。 [必須][新增] 應(yīng)對通過互聯(lián)網(wǎng)向外提供服務(wù)的設(shè)備和系統(tǒng)進行定期安全掃描，關(guān)閉不需要的端口。 防病毒、補丁和安全加固 [必須][新增] 應(yīng)建立有效機制，保障及時對核心系統(tǒng)依賴的各種系統(tǒng)軟件所需要的補丁進行了解、評估、必要的測試和升級。 [必須][新增] 總部的生產(chǎn)網(wǎng)與營業(yè)部的網(wǎng)絡(luò)應(yīng)實現(xiàn)有效隔離。 [必須][新增] 網(wǎng)站與網(wǎng)上交易系統(tǒng)應(yīng)實現(xiàn)有效隔離。 銀期系統(tǒng)冗余 [必須][新增] 應(yīng)與至少2家銀行實現(xiàn)銀期轉(zhuǎn)賬，其中至少一家提供全國性銀期轉(zhuǎn)賬服務(wù)。 交易系統(tǒng)冗余 [必須][新增] 交易系統(tǒng)的所有部件應(yīng)有備份。 [必須][新增] 接入交易所的交易通信鏈路應(yīng)達到所有其作為會員的交易所的要求。 [必須][新增] 應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)指標進行實時監(jiān)控。 [必須][新增] 應(yīng)要求交易系統(tǒng)供應(yīng)商提供交易、銀期及相關(guān)查詢接口。 [必須][新增] 不應(yīng)具有篡改、偽造核心系統(tǒng)數(shù)據(jù)或其他可能導致數(shù)據(jù)失真的功能。 [必須][新增] 交易系統(tǒng)應(yīng)產(chǎn)生、記錄并存儲必要的日志信息供審計使用。 核心系統(tǒng) 功能 [必須][新增] 交易系統(tǒng)應(yīng)實現(xiàn)數(shù)據(jù)與應(yīng)用分離，防止客戶終端繞過應(yīng)用程序界面直接訪問核心數(shù)據(jù)。 空調(diào) [必須][新增] 應(yīng)配有與機房熱容量匹配的空調(diào)。 [必須][新增] UPS供電時間應(yīng)超過從斷電到發(fā)電設(shè)備開始供電的間隔時間。 [必須][新增] 機房應(yīng)具備火警檢測、滅火和應(yīng)急照明設(shè)施。 IT投入 [必須][新增] 最近三個財政年度IT投入平均數(shù)額應(yīng)不少于最近三個財政年度平均凈利潤的6%或不少于最近三個財政年度平均營業(yè)收入的3%，取二者數(shù)額較大者。 [必須][新增] 應(yīng)與核心系統(tǒng)的服務(wù)提供商簽署保密協(xié)議。 人員素質(zhì) [必須][新增] 總部技術(shù)部門人員50%以上應(yīng)有信息技術(shù)相關(guān)專業(yè)大學本科或以上教育背景。 [必須][新增] 總部技術(shù)部門的所有人員每兩年參加期貨業(yè)協(xié)會組織的技術(shù)培訓應(yīng)達到18學時，其中至少有3學時的信息技術(shù)法律法規(guī)及標準培訓。 [必須][新增] 每個營業(yè)部應(yīng)配備至少一名技術(shù)人員。 [必須][新增] 應(yīng)設(shè)立2名技術(shù)聯(lián)絡(luò)員，負責組織、協(xié)調(diào)和處理與信息安全管理部門、交易所及相關(guān)單位的各項技術(shù)事宜。 [必須][新增] 應(yīng)建立負責本公司信息技術(shù)規(guī)劃和信息安全管理的跨部門機構(gòu)，其職責包括系統(tǒng)規(guī)劃、安全管理、IT治理等。 [必須][新增] 總部技術(shù)部門人員總數(shù)占公司總部人數(shù)的比例不少于6%。 本指引中使用的名詞解釋如下： 核心系統(tǒng)指期貨公司集中進行交易、結(jié)算和銀期轉(zhuǎn)賬等業(yè)務(wù)運作所使用的系統(tǒng)； 生產(chǎn)環(huán)境，是指正式運行核心系統(tǒng)的計算機環(huán)境，包括生產(chǎn)機房、網(wǎng)絡(luò)、主機、存儲、數(shù)據(jù)庫及應(yīng)用等為業(yè)務(wù)運行提供服務(wù)的所有軟硬件環(huán)境； 交易系統(tǒng)的所有部件指交易服務(wù)器、交換機、報盤機、路由器、網(wǎng)關(guān)、防火墻等； 有效隔離指物理分隔、防火墻、網(wǎng)閘、VLAN及等效措施； 本指引中的機房指部署生產(chǎn)環(huán)境的所有機房。 期貨公司做好信息技術(shù)管理工作是一項全面、科學、嚴謹?shù)南到y(tǒng)工程，本指引是開展此項工作的要點，并不涵蓋所有的技術(shù)細節(jié)。本指引共分四類，從一類到四類，要求依次提高，且高類別的要求包含低類別的要求，且低類別的可選要求在高類別中自動成為必須要求。期貨公司信息技術(shù)管理指引中國期貨業(yè)協(xié)會二〇〇九年七月九日目 錄1. 總則 62. 一類要求 6 技術(shù)管理 6 組織結(jié)構(gòu) 6 培訓 6 人員素質(zhì) 7 信息技術(shù)服務(wù)提供商管理 7 IT投入 7 機房建設(shè) 7 基本 7 供電 7 空調(diào) 7 核心系統(tǒng) 7 功能 7 性能和容量 8 交易系統(tǒng)冗余 8 行情冗余 8 銀期系統(tǒng)冗余 8 安全 8 網(wǎng)絡(luò)隔離 8 防病毒、補丁和安全加固 8 網(wǎng)站安全 8 網(wǎng)上交易安全 9 賬戶與權(quán)限 9 口令管理 9 安全審計 9 日常運行 9 崗位 9 制度與巡檢 9 機房進出 9 備份 10 數(shù)據(jù)備份 10 系統(tǒng)維護 10 變更管理 10 配置管理 10 容量管理 10 應(yīng)急演練 10 技術(shù)事故管理 10 營業(yè)部技術(shù)要求 10 基本要求 10 交易保障 113. 二類要求 11 技術(shù)管理 11 組織結(jié)構(gòu) 11 培訓 11 人員素質(zhì) 11 信息技術(shù)服務(wù)提供商管理 12 IT投入 12 機房建設(shè) 12 基本 12 供電 12 空調(diào) 12 布線 12 維護 12 核心系統(tǒng) 13 功能 13 性能和容量 13 交易系統(tǒng)冗余 13 行情冗余 13 銀期系統(tǒng)冗余 13 安全 13 網(wǎng)絡(luò)隔離 13 防病毒、補丁和安全加固 14 網(wǎng)站安全 14 網(wǎng)上交易安全 14 賬戶與權(quán)限 14 口令管理 15 安全審計 15 日常運行 15 崗位 15 制度與巡檢 15 機房進出 15 備份 15 數(shù)據(jù)備份 15 系統(tǒng)維護 16 變更管理 16 配置管理 16 容量管理 16 應(yīng)急演練 16 技術(shù)事故管理 16 營業(yè)部技術(shù)要求 16 基本要求 16 交易保障 174. 三類要求 17 技術(shù)管理 17 組織結(jié)構(gòu) 17 培訓 17 人員素質(zhì) 17 信息技術(shù)服務(wù)提供商管理 18 IT投入 18 機房建設(shè) 18 基本 18 供電 18 空調(diào) 18 布線 19 維護 19 核心系統(tǒng) 19 功能 19 性能和容量 19 交易系統(tǒng)冗余 19 行情冗余 20 銀期系統(tǒng)冗余 20 安全 20 網(wǎng)絡(luò)隔離 20 防病毒、補丁和安全加固 20 網(wǎng)站安全 20 網(wǎng)上交易安全 21 賬戶與權(quán)限 21 口令管理 21 安全審計 21 日常運行 21 崗位 21 制度與巡檢 22 機房進出 22 備份 22 數(shù)據(jù)備份 22 災(zāi)難備份 22 系統(tǒng)維護 23 變更管理 23 配置管理 23 容量管理 23 應(yīng)急演練 24 技術(shù)事故管理 24 營業(yè)部技術(shù)要求 24 基本要求 24 交易保障 245. 四類要求 25 技術(shù)管理 25 組織結(jié)構(gòu) 25 培訓 25 人員素質(zhì) 25 信息技術(shù)服務(wù)提供商管理 25 IT投入 25 機房建設(shè) 26 基本 26 供電 26 空調(diào) 26 布線 26 維護 26 核心系統(tǒng) 27 功能 27 性能和容量 27 交易系統(tǒng)冗余 27 行情冗余 27 銀期系統(tǒng)冗余 27 安全 28 網(wǎng)絡(luò)隔離 28 防病毒、補丁和安全加固 28 網(wǎng)站安全 28 網(wǎng)上交易安全 28 賬戶與權(quán)限 29 口令管理 29 安全審計 29 日常運行 29 崗位 29 制度與巡檢 29 機房進出 30 備份 30 數(shù)據(jù)備份 30 災(zāi)難備份 30 系統(tǒng)維護 31 變更管理 31 配置管理 31 容量管理 31 應(yīng)急演練 32 技術(shù)事故管理 32 營業(yè)部技術(shù)要求 32 基本要求 32 交易保障 321. 總則 為了進一步促進期貨公司信息系統(tǒng)建設(shè)，提高運維保障水平，根據(jù)《期貨交易管理條例》、《期貨公司管理辦法》和國家有關(guān)技術(shù)要求，特制定《期貨公司信息技術(shù)管理指引》（以下簡稱“本指引”）。 本指引按照分類管理以適應(yīng)期貨公司的不同信息技術(shù)基礎(chǔ)和不同的技術(shù)要求。所有要求，如果在前面一類要求中沒有出現(xiàn)，將被標為“[新增]”，否則將被標為“[延續(xù)]”。期貨公司除認真落實本指引的各項具體要求外，仍應(yīng)加強其他技術(shù)細節(jié)的管理工作。2. 一類要求 技術(shù)管理 組織結(jié)構(gòu) [必須][新增] 應(yīng)設(shè)有技術(shù)部門并有專職技術(shù)人員，并有明確的職責分工和崗位說明。 [必須][新增] 總部技術(shù)部門人員不少于3人。 [必須][新增] 應(yīng)與所有總部技術(shù)部門人員簽署保密協(xié)議。 [必須][新增] 總部技術(shù)部門應(yīng)有至少1名安全管理人員。 培訓 [必須][新增] 對所有上崗技術(shù)人員應(yīng)進行崗位培訓。 [必須][新增] 應(yīng)有明確的培訓教材，用于培訓上崗操作人員。 信息技術(shù)服務(wù)提供商管理 [必須][新增] 應(yīng)與信息技術(shù)服務(wù)提供商簽訂服務(wù)保障協(xié)議。 [必須][新增] 應(yīng)有信息技術(shù)服務(wù)提供商的準確聯(lián)系方式。 機房建設(shè) 基本 [必須][新增] 機房應(yīng)為獨立封閉區(qū)域，并配備門禁。 供電 [必須][新增] 機房應(yīng)配備UPS設(shè)施。如無發(fā)電設(shè)備，UPS的電池應(yīng)能夠支撐開展業(yè)務(wù)所需時間。 [必須][新增] 對機房溫濕度應(yīng)有監(jiān)控措施和記錄。 [必須][新增] 交易系統(tǒng)應(yīng)具備對客戶進行實時風險控制的能力。 [必須][新增] 核心系統(tǒng)應(yīng)具備向期貨保證金監(jiān)控中心上報規(guī)定數(shù)據(jù)的功能。 [必須][新增] 核心系統(tǒng)應(yīng)有授權(quán)管理功能。 性能和容量 [必須][新增] 交易系統(tǒng)的性能和容量應(yīng)達到所有其作為會員的交易所的要求。 [必須][新增] 應(yīng)對所有接入交易所的交易通信鏈路進行監(jiān)控。 [可選][新增] 應(yīng)對所有網(wǎng)上交易的通信鏈路進行監(jiān)控。 行情冗余 [必須][新增] 應(yīng)使用至少2家行情商提供的行情服務(wù)，其中至少有1家使用至少2套服務(wù)器。 安全 網(wǎng)絡(luò)隔離 [必須][新增] 生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)應(yīng)實現(xiàn)有效隔離。 [必須][新增] 生產(chǎn)網(wǎng)與辦公網(wǎng)應(yīng)實現(xiàn)有效隔離。 [必須][新增] 生產(chǎn)網(wǎng)與交易所、銀行等外聯(lián)單位網(wǎng)絡(luò)應(yīng)實現(xiàn)有效隔離。 [必須][新增] 應(yīng)對使用Windows平臺的計算機部署防病毒軟件，定期進行全面檢查，并及時進行病毒庫的更新。 網(wǎng)站安全 [必須][新增] 應(yīng)有專人監(jiān)控網(wǎng)站內(nèi)容，發(fā)現(xiàn)問題后及時處理。 [必須][新增] 應(yīng)準備足夠措施，能在發(fā)現(xiàn)網(wǎng)站被篡改后5分鐘內(nèi)停止發(fā)布被篡改的內(nèi)容。 [必須][新增] 網(wǎng)站的內(nèi)容發(fā)布應(yīng)有審核制度和完整的內(nèi)容發(fā)布流程。 [必須][新增] 服務(wù)器上的用戶認證信息應(yīng)加密存放。 [必須][新增] 應(yīng)提供預留驗證信息服務(wù)，在客戶進行登錄時向客戶進行顯示，幫助客戶有效識別仿冒的網(wǎng)上期貨信息系統(tǒng)，防范利用仿冒的網(wǎng)上期貨信息系統(tǒng)進行詐騙活動。 [必須][新增] 賬戶和權(quán)限變更應(yīng)有審批和完整的記錄。 [可選][新增] 應(yīng)避免使用超級管理員賬戶完成日常業(yè)務(wù)操作。 [必須][新增] 口令應(yīng)有復雜度要求。 [必須][新增] 應(yīng)采取有效措施防止刪除、修改或覆蓋審計記錄。 [必須][新增] 初始化、結(jié)算、數(shù)據(jù)備份等關(guān)鍵操作過程和結(jié)果應(yīng)有復核。 [必須][新增] 巡檢應(yīng)保留記錄，并有操作和復核人員的簽名。 [必須][新增] 非技術(shù)保障人員進入機房應(yīng)獲得授權(quán)，并有技術(shù)保障人員陪同，所攜帶設(shè)備應(yīng)專門登記。 備份 數(shù)據(jù)備份 [必須][新增] 應(yīng)根據(jù)數(shù)據(jù)的重要性及其對核心系統(tǒng)運行的影響，制定數(shù)據(jù)備份策略和恢復策略。 [必須][新增] 應(yīng)確保介質(zhì)存放在安全環(huán)境中，實現(xiàn)對備份數(shù)據(jù)的控制和保護。 [可選][新增] 應(yīng)定期對主要備份業(yè)務(wù)數(shù)據(jù)進行恢復驗證，根據(jù)介質(zhì)使用期限及時轉(zhuǎn)儲數(shù)據(jù)。 [必須][新增] 每次變更前應(yīng)進行評估。 [必須][新增] 進行與核心系統(tǒng)相關(guān)的開發(fā)工作時，應(yīng)避免在生產(chǎn)環(huán)境上進行日常測試。 配置管理 [必須][新增] 應(yīng)具有生產(chǎn)環(huán)境設(shè)計和部署文檔，并根據(jù)變更及時更新。 容量管理 [必須][新增] 每年應(yīng)對核心系統(tǒng)的性能和容量情況進行評估。 [必須][新增] 應(yīng)參與交易所等行業(yè)相關(guān)機構(gòu)組織的測試和應(yīng)急演練并有記錄。 技術(shù)事故管理 [必須][新增] 應(yīng)建立技術(shù)事故報告制度和流程。 營業(yè)部技術(shù)要求 基本要求 [必須][新增] 應(yīng)設(shè)立獨立隔斷的設(shè)備區(qū)域，用于放置營業(yè)部開展業(yè)務(wù)所需的網(wǎng)絡(luò)、通信和主機設(shè)備。