期货企业单位信息技术管理组织指引.docx
《期货企业单位信息技术管理组织指引.docx》由会员分享,可在线阅读,更多相关《期货企业单位信息技术管理组织指引.docx(54页珍藏版)》请在冰点文库上搜索。
期货企业单位信息技术管理组织指引
期货公司信息技术
管理指引
版本号:
1.01
中国期货业协会
二〇一四年八月二十七日
1.总则
1.1为了进一步促进期货公司信息系统建设,提高运维保障水平,根据《期货交易管理条例》、《期货公司管理办法》和国家有关技术要求,特制定《期货公司信息技术管理指引》(以下简称“本指引”)。
1.2本指引按照分类管理以适应期货公司的不同信息技术基础和不同的技术要求。
本指引共分四类,从一类到四类,要求依次提高,且高类别的要求包含低类别的要求,低类别的可选要求在高类别中自动成为必须要求。
所有要求,如果在前面一类要求中没有出现,将被标为“[新增]”,否则将被标为“[延续]”。
1.3期货公司做好信息技术管理工作是一项全面、科学、严谨的系统工程,本指引是开展此项工作的要点,并不涵盖所有的技术细节。
期货公司除认真落实本指引的各项具体要求外,仍应加强其他技术细节的管理工作。
1.4本指引中使用的名词解释如下:
1.4.1核心系统指期货公司集中进行交易、结算和银期转账等业务运作所使用的系统;
1.4.2生产环境,是指正式运行核心系统的计算机环境,包括生产机房、网络、主机、存储、数据库及应用等为业务运行提供服务的所有软硬件环境;
1.4.3交易系统的所有部件指交易服务器、交换机、报盘机、路由器、网关、防火墙等;
1.4.4有效隔离指物理分隔、防火墙、网闸、VLAN及等效措施;
1.4.5本指引中的机房指部署生产环境的所有机房。
2.一类要求
2.1技术管理
2.1.1组织结构
2.1.1.1[必须][新增]应设有技术部门并有专职技术人员,并有明确的职责分工和岗位说明。
2.1.1.2[必须][新增]总部技术部门人员总数占公司总部人数的比例不少于8%。
2.1.1.3[必须][新增]总部技术部门人员不少于5人,对于开展连续交易的期货公司应达到7人。
2.1.1.4[必须][新增]应建立负责本公司信息技术规划和信息安全管理的跨部门机构,其职责包括系统规划、安全管理、IT治理等。
2.1.1.5[必须][新增]应与所有总部技术部门人员签署保密协议,应对技术人员的离岗严格管理。
2.1.1.6[必须][新增]应设立2名技术联络员,负责组织、协调和处理与信息安全管理部门、交易所及相关单位的各项技术事宜。
2.1.1.7[必须][新增]总部技术部门应有至少1名安全管理人员。
2.1.1.8[必须][新增]每个营业部应配备至少1名技术人员。
2.1.2培训
2.1.2.1[必须][新增]对所有上岗技术人员应进行岗位培训。
2.1.2.2[必须][新增]总部技术部门的所有人员每两年参加期货业协会组织的技术培训应达到18学时,其中至少有3学时的信息技术法律法规及标准培训。
2.1.2.3[必须][新增]应有明确的培训教材,用于培训上岗操作人员。
2.1.2.4[必须][新增]应有对总部技术部门人员的年度培训计划,并根据计划实施。
2.1.2.5[必须][新增]应定期对各个岗位的人员进行安全教育和培训,培训内容应包含机房消防及相关应急内容等。
2.1.3人员素质
2.1.3.1[必须][新增]总部技术部门人员50%以上应有信息技术相关专业大学本科或以上教育背景。
2.1.4信息技术服务提供商管理
2.1.4.1[必须][新增]应与信息技术服务提供商签订服务保障协议。
2.1.4.2[必须][新增]应与核心系统的服务提供商签署保密协议。
2.1.4.3[必须][新增]应有信息技术服务提供商的准确联系方式。
2.1.4.4[必须][新增]选择信息技术服务提供商时应评估其资质、经营行为、业绩、服务体系和服务品质等要素。
2.1.4.5[必须][新增]应定期对信息技术服务提供商的服务质量进行评估。
2.1.5IT投入
2.1.5.1[必须][新增]最近三个财政年度IT投入平均数额应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%,取二者数额较大者。
2.2机房建设
2.2.1基本
2.2.1.1[必须][新增]机房应为独立封闭区域,并配备门禁。
2.2.1.2[必须][新增]机房应具备火警检测、灭火和应急照明设施。
2.2.1.3[必须][新增]机房出入口和内部应安装7*24小时录像监控设施,录像至少保存90天。
2.2.1.4[必须][新增]机房应有防雷和接地的设施。
2.2.1.5[必须][新增]应实现声音或短信等自动报警或7*24小时值守。
2.2.2供电
2.2.2.1[必须][新增]机房应配备在线UPS设施。
UPS应当存放在独立封闭区域。
2.2.2.2[必须][新增]UPS供电时间应超过从断电到发电机启动或者应急供电协议规定到场响应时间的2倍。
如无发电设备,UPS的电池应能够支撑4个小时。
2.2.3空调
2.2.3.1[必须][新增]应配有与机房热容量匹配的空调。
2.2.3.2[必须][新增]对机房温湿度应有监控措施和记录。
2.2.4布线
2.2.4.1[必须][新增]所有弱电布线应有清晰的线标。
2.3核心系统
2.3.1功能
2.3.1.1[必须][新增]交易系统应实现数据与应用分离,防止客户终端绕过应用程序界面直接访问核心数据。
2.3.1.2[必须][新增]交易系统应具备对客户进行实时风险控制的功能。
2.3.1.3[必须][新增]交易系统应产生、记录并存储必要的日志信息供审计使用。
2.3.1.4[必须][新增]核心系统应具备向期货保证金监控中心上报规定数据的功能。
2.3.1.5[必须][新增]不应具有篡改、伪造核心系统数据或其他可能导致数据失真的功能。
2.3.1.6[必须][新增]核心系统应有授权管理功能。
2.3.1.7[必须][新增]应要求交易系统供应商提供交易、银期及相关查询接口。
2.3.1.8[必须][新增]核心系统应具备通过监控中心统一开户系统进行开户的功能。
2.3.1.9[必须][新增]核心系统应具备链接监控中心投资者查询服务系统的功能。
2.3.2性能和容量
2.3.2.1[必须][新增]交易系统的性能和容量应达到所有其作为会员的交易所的要求。
2.3.2.2[必须][新增]应对交易系统的主要业务指标进行实时监控。
2.3.2.3[必须][新增]应对所有接入交易所的交易通信链路进行监控。
2.3.2.4[必须][新增]接入交易所的交易通信链路应达到所有其作为会员的交易所的要求,并采用不同运营商的通讯线路作为备份线路。
2.3.2.5[必须][新增]应对所有网上交易的通信链路进行监控。
2.3.3交易系统冗余
2.3.3.1[必须][新增]交易系统及其部件应有备份,备份能力应达到《证券期货经营机构信息系统备份能力标准》的要求及监管部门的有关规定。
2.3.3.2[必须][新增]生产环境内的网络设备应有备份,备份能力应达到《证券期货经营机构信息系统备份能力标准》的要求及监管部门的有关规定。
2.3.4行情冗余
2.3.4.1[必须][新增]应使用至少2家行情商提供的行情服务,其中至少有1家使用至少2套服务器。
2.3.5银期系统冗余
2.3.5.1[必须][新增]应与至少2家银行实现银期转账,其中至少一家提供全国性银期转账服务。
2.4安全
2.4.1网络隔离
2.4.1.1[必须][新增]生产网与互联网应实现有效隔离。
2.4.1.2[必须][新增]网站与网上交易系统应实现有效隔离。
2.4.1.3[必须][新增]生产网与办公网应实现有效隔离。
2.4.1.4[必须][新增]总部的生产网与营业部的网络应实现有效隔离。
2.4.1.5[必须][新增]生产网与交易所、银行等外联单位网络应实现有效隔离。
2.4.2防病毒、补丁和安全加固
2.4.2.1[必须][新增]应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。
2.4.2.2[必须][新增]应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。
2.4.2.3[必须][新增]应对通过互联网向外提供服务的设备和系统进行定期安全扫描,关闭不需要的端口。
2.4.3网站安全
2.4.3.1[必须][新增]应有专人监控网站内容,发现问题后及时处理。
2.4.3.2[必须][新增]应定期对网站进行安全检查,并对隐患进行及时处理。
2.4.3.3[必须][新增]应准备足够措施,能在发现网站被篡改后5分钟内停止发布被篡改的内容。
2.4.3.4[必须][新增]应安装木马防护软件并定期更新。
2.4.3.5[必须][新增]网站的内容发布应有审核制度和完整的内容发布流程。
2.4.3.6[必须][新增]应建立网站备份系统,备份能力应达到《证券期货经营机构信息系统备份能力标准》的要求及监管部门的有关规定。
2.4.4网上交易安全
2.4.4.1[必须][新增]应提供可靠的身份认证机制,网上交易客户端支持多种方式与服务端完成身份认证。
2.4.4.2[必须][新增]服务器上的用户认证信息应加密存放。
2.4.4.3[必须][新增]应在与客户签订的服务合同(网上期货服务合同、期货经纪合同及补充协议、风险揭示书)中载明,客户使用网上期货业务可能面临的风险、期货公司采取的风险控制措施、客户应采取的风险控制措施以及相关风险对应的责任承担(如防止用于网上交易的计算机或手机终端感染木马、病毒,以免被恶意程序窃取口令;加强帐号、口令的保护,不使用简单口令、定期修改口令、输入口令时防止他人偷看、不对他人泄露口令等)。
2.4.4.4[必须][新增]应提供预留验证信息服务,在客户进行登录时向客户进行显示,帮助客户有效识别仿冒的网上期货信息系统,防范利用仿冒的网上期货信息系统进行诈骗活动。
2.4.4.5[必须][新增]应遵守国家关于个人信息保护的相关规定,确保网上交易数据和客户信息的安全性和完整性。
未经客户允许或期货公司授权,不得以任何方式向除中国证监会及其派出机构、执法机关、审计机关以外的第三方提供交易数据和客户信息。
2.4.5账户与权限
2.4.5.1[必须][新增]应有生产环境内关键系统账户与权限的关系表。
2.4.5.2[必须][新增]账户和权限变更应有审批和完整的记录。
2.4.5.3[必须][新增]岗位变动应及时调整对应系统的账户和权限。
2.4.5.4[必须][新增]应避免使用超级管理员账户完成日常业务操作。
2.4.6口令管理
2.4.6.1[必须][新增]所有书面方式保存的口令应有安全的物理保护措施。
2.4.6.2[必须][新增]口令应有复杂度要求。
2.4.7安全审计
2.4.7.1[必须][新增]核心系统的主要业务操作应产生审计记录。
2.4.7.2[必须][新增]应采取有效措施防止删除、修改或覆盖审计记录。
2.5日常运行
2.5.1岗位
2.5.1.1[必须][新增]应建立日常值班制度,设立专门运行保障岗位,指定运维值班负责人,运维值班负责人应有备岗,制定明确的每日值班表,保障交易期间有人值守。
2.5.1.2[必须][新增]初始化、结算、数据备份等关键操作过程和结果应有复核。
2.5.1.3[必须][新增]交易运行期间应有现场保障人员,设置运维值班电话,以及时维护和应急处理。
2.5.1.4[必须][新增]应建立文档管理制度,对运维过程中涉及的各类文档进行分类管理。
2.5.2制度与巡检
2.5.2.1[必须][新增]在关键时间点应对生产环境运行状态进行巡检。
2.5.2.2[必须][新增]日常操作和巡检应保留记录,并有操作和复核人员的签名。
2.5.2.3[必须][新增]交易期间应对核心系统和网络系统进行实时监控,并能及时、有效地报警。
2.5.2.4[必须][新增]应记录生产环境发生的故障和异常。
2.5.2.5[必须][新增]应建立完善和更新重要手册的机制。
2.5.2.6[必须][新增]应至少每季度全面评估监控日志和操作记录,分析异常情况,形成评估报告。
2.5.3机房进出
2.5.3.1[必须][新增]应建立机房管理制度,对机房环境、供电、空调、消防、安防等基础设施进行运行维护,对设备和人员出入机房和值班操作间进行登记,并保留相关记录。
2.5.3.2[必须][新增]非技术保障人员进入机房应获得授权,并有技术保障人员陪同,所携带设备应专门登记。
2.5.3.3[必须][新增]交易期间如无应急或者巡检需要,不应进入机房。
2.6备份
2.6.1数据备份
2.6.1.1[必须][新增]应根据数据的重要性及其对核心系统运行的影响,制定数据备份策略和恢复策略。
2.6.1.2[必须][新增]应建立数据管理、介质维护、销毁和使用管理制度。
2.6.1.3[必须][新增]应对介质进行明确标识。
2.6.1.4[必须][新增]应确保介质存放在安全环境中,实现对备份数据的控制和保护。
2.6.1.5[必须][新增]每日应对结算后数据进行备份,网站数据应按照备份计划进行备份。
2.6.1.6[必须][新增]每周应将结算后数据备份介质离场存放。
2.6.1.7[必须][新增]应定期对主要备份业务数据进行恢复验证,根据介质使用期限及时转储数据。
2.6.1.8[必须][新增]应指定专人负责保管业务数据备份介质。
2.7系统维护
2.7.1变更管理
2.7.1.1[必须][新增]应将所有涉及核心系统的软硬件变更纳入变更管理范围。
2.7.1.2[必须][新增]每次变更前应进行评估。
2.7.1.3[必须][新增]所有变更操作应有操作记录。
2.7.1.4[必须][新增]所有变更应进行事后检查。
2.7.1.5[必须][新增]对于风险较大的变更,在条件允许的情况下,应制定应急和回退方案。
2.7.1.6[必须][新增]风险较大的变更,应在变更后对系统的运行情况进行跟踪。
2.7.1.7[必须][新增]进行与核心系统相关的开发工作时,应避免在生产环境上进行日常测试。
2.7.1.8[必须][新增]如果需要使用生产环境进行测试,应纳入变更管理。
2.7.2配置管理
2.7.2.1[必须][新增]应具有生产环境设计和部署文档,并根据变更及时更新。
2.7.2.2[必须][新增]应对重要的配置信息进行有效备份。
2.7.3容量管理
2.7.3.1[必须][新增]每年应对核心系统的性能和容量情况进行评估。
2.7.3.2[必须][新增]应根据核心系统的性能容量评估报告,结合业务发展情况及时提出改进计划。
2.7.4应急演练
2.7.4.1[必须][新增]应建立健全网络与信息安全事件应急组织体系,对核心系统的常见故障应有书面的应急预案和排障流程。
2.7.4.2[必须][新增]应参与交易所等行业相关机构组织的测试和应急演练并有记录。
2.7.4.3[必须][新增]应根据机构、人员、技术等变化,及时调整应急预案。
2.7.4.4[必须][新增]演练前应制定详细的应急演练计划,并根据计划进行演练。
2.7.4.5[必须][新增]应准备必要工具,以便应急预案的顺利执行。
2.7.5技术事故管理
2.7.5.1[必须][新增]应建立技术事故报告制度和流程。
2.7.5.2[必须][新增]应保存技术事故的记录。
2.7.5.3[必须][新增]应根据技术事故情况,及时提出改进计划,落实改进措施。
2.8营业部技术要求
2.8.1基本要求
2.8.1.1[必须][新增]营业部设备区域应是一个单独的区域,用于放置营业部开展业务所需的网络、通信和主机设备。
2.8.1.2[必须][新增]应确保在交易时间内有技术人员进行技术系统维护工作。
2.8.1.3[必须][新增]应有与当前运行情况相符的业务系统结构文档。
2.8.1.4[必须][新增]应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。
2.8.1.5[必须][新增]应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。
2.8.1.6[必须][新增]应建立有效机制,保障总部了解各个营业部的运行情况。
2.8.1.7[必须][新增]应有总部和信息技术服务提供商的准确联系方式。
2.8.2交易保障
2.8.2.1[必须][新增]提供现场交易的营业部应有至少两条交易通信链路。
2.8.2.2[必须][新增]提供现场交易的营业部关键设备应有冗余。
2.8.2.3[必须][新增]营业部应有有效的日常运行流程和应急处理流程,并进行适当的演练。
3.二类要求
3.1技术管理
3.1.1组织结构
3.1.1.1[必须][延续]应设有技术部门并有专职技术人员,并有明确的职责分工和岗位说明。
3.1.1.2[必须][延续]总部技术部门人员总数占公司总部人数的比例不少于8%。
3.1.1.3[必须][新增]总部技术部门人员不少于8人,对于开展连续交易的期货公司应达到11人。
3.1.1.4[必须][延续]应建立负责本公司信息技术规划和信息安全管理的跨部门机构,其职责包括系统规划、安全管理、IT治理等。
3.1.1.5[必须][延续]应与所有总部技术部门人员签署保密协议,应对技术人员的离岗严格管理。
3.1.1.6[必须][延续]应设立2名技术联络员,负责组织、协调和处理与信息安全管理部门、交易所及相关单位的各项技术事宜。
3.1.1.7[必须][延续]总部技术部门应有至少1名安全管理人员。
3.1.1.8[必须][延续]每个营业部应配备至少1名技术人员。
3.1.1.9[必须][新增]总部技术部门应有至少1名网络管理人员。
3.1.2培训
3.1.2.1[必须][延续]对所有上岗技术人员应进行岗位培训。
3.1.2.2[必须][延续]总部技术部门的所有人员每两年参加期货业协会组织的技术培训应达到18学时,其中至少有3学时的信息技术法律法规及标准培训。
3.1.2.3[必须][延续]应有明确的培训教材,用于培训上岗操作人员。
3.1.2.4[必须][延续]应有对总部技术部门人员的年度培训计划,并根据计划实施。
3.1.2.5[必须][延续]应定期对各个岗位的人员进行安全教育和培训,培训内容应包含机房消防及相关应急内容等。
3.1.3人员素质
3.1.3.1[必须][延续]总部技术部门人员50%以上应有信息技术相关专业大学本科或以上教育背景。
3.1.3.2[必须][新增]总部技术部门人员4人以上应具备1年及以上的系统运行维护经验。
3.1.4信息技术服务提供商管理
3.1.4.1[必须][延续]应与信息技术服务提供商签订服务保障协议。
3.1.4.2[必须][延续]应与核心系统的服务提供商签署保密协议。
3.1.4.3[必须][延续]应有信息技术服务提供商的准确联系方式。
3.1.4.4[必须][延续]选择信息技术服务提供商时应评估其资质、经营行为、业绩、服务体系和服务品质等要素。
3.1.4.5[必须][延续]应定期对信息技术服务提供商的服务质量进行评估。
3.1.5IT投入
3.1.5.1[必须][延续]最近三个财政年度IT投入平均数额应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%,取二者数额较大者。
3.2机房建设
3.2.1基本
3.2.1.1[必须][延续]机房应为独立封闭区域,并配备门禁。
3.2.1.2[必须][新增]机房承重应达到300公斤每平方米。
3.2.1.3[必须][延续]机房应具备火警检测、灭火和应急照明设施。
3.2.1.4[必须][新增]机房应当具备自动灭火设施。
3.2.1.5[必须][延续]机房出入口和内部应安装7*24小时录像监控设施,录像至少保存90天。
3.2.1.6[必须][新增]机房应有防雷接地、防鼠以及防静电的设施。
3.2.1.7[必须][延续]应实现声音或短信等自动报警或7*24小时值守。
3.2.2供电
3.2.2.1[必须][延续]机房应配备在线UPS设施。
UPS应当存放在独立封闭区域。
3.2.2.2[必须][新增]应具有双路市电供电,双路供电应能实现自动切换,或在单路供电情况下,备用供电措施能提供超过4小时的供电时间。
3.2.3空调
3.2.3.1[必须][新增]应配有与机房热容量匹配的精密空调,并有冗余的空调设备。
3.2.3.2[必须][延续]对机房温湿度应有监控措施和记录。
3.2.4布线
3.2.4.1[必须][新增]强弱电布线应分开。
3.2.4.2[必须][延续]所有弱电布线应有清晰的线标。
3.2.5维护
3.2.5.1[必须][新增]所有UPS和空调设施都应有专业维护人员,或与专业机构签订维护合同。
3.2.5.2[必须][新增]应定期对所有UPS和空调设施进行恰当维护,有维护记录。
3.3核心系统
3.3.1功能
3.3.1.1[必须][延续]交易系统应实现数据与应用分离,防止客户终端绕过应用程序界面直接访问核心数据。
3.3.1.2[必须][延续]交易系统应具备对客户进行实时风险控制的功能。
3.3.1.3[必须][延续]交易系统应产生、记录并存储必要的日志信息供审计使用。
3.3.1.4[必须][延续]核心系统应具备向期货保证金监控中心上报规定数据的功能。
3.3.1.5[必须][延续]不应具有篡改、伪造核心系统数据或其他可能导致数据失真的功能。
3.3.1.6[必须][延续]核心系统应有授权管理功能。
3.3.1.7[必须][新增]核心系统应有运行监控功能。
3.3.1.8[必须][延续]应要求交易系统供应商提供交易、银期及相关查询接口。
3.3.1.9[必须][延续]核心系统应具备通过监控中心统一开户系统进行开户的功能。
3.3.1.10[必须][延续]核心系统应具备链接监控中心投资者查询服务系统的功能。
3.3.2性能和容量
3.3.2.1[必须][延续]交易系统的性能和容量应达到所有其作为会员的交易所的要求。
3.3.2.2[必须][延续]应对交易系统的主要业务指标进行实时监控。
3.3.2.3[可选][新增]应对交易系统的主要业务监控指标进行记录。
3.3.2.4[必须][延续]应对所有接入交易所的交易通信链路进行监控。
3.3.2.5[必须][延续]接入交易所的交易通信链路应达到所有其作为会员的交易所的要求,并采用不同运营商的通讯线路作为备份线路。
3.3.2.6[可选][新增]接入交易所的交易通信链路带宽使用率每交易日峰值按月统计的平均值应不超过80%。
3.3.2.7[必须][延续]应对所有网上交易的通信链路进行监控。
3.3.2.8[可选][新增]网上交易的通信链路带宽使用率每交易日峰值按月统计的平均值应不超过80%。
3.3.3交易系统冗余
3.3.3.1[必须][延续]交易系统及其部件应有备份,备份能力应达到《证券期货经营机构信息系统备份能力标准》的要求及监管部门的有关规定。
3.3.3.2[必须][新增]与交易所连接的网络设备应无单点故障。
3.3.3.3[必须][延续]生产环境内的网络设备应有备份,备份能力应
升级会员 