期货公司信息技术管理指引(修订)检查细则V101.docx

《期货公司信息息技术管理指指引 》检查细则版本号：1.001中国期货业协会会二〇一四年八月月二十七日目 录1. 总则 111.1 范围 11.2 术语和和定义 11.2.1 检检查方式 11.2.2 检检查对象 11.2.3 检检查措施 11.2.4 检检查结果 11.3 检查原原则 11.3.1 客客观公正原则则 11.3.2 检检查结果二元元原则 11.3.3 证证明材料验证证原则 11.3.4 进进入机房原则则 21.3.5 测测试被检查单单位系统的原原则 21.3.6 保保密原则 21.4 检查技技术等级判定定 21.4.1 完完全达到某章章要求的定义义 21.4.2 基基本达到某章章要求的定义义 21.4.3 达达到等级类的的定义 21.5 其他检检查说明 22. 一类要求求 22.1 技术管管理 22.1.1 组组织结构 22.1.2 培培训 52.1.3 人人员素质 72.1.4 信信息技术服务务提供商管理理 72.1.5 IIT投入 82.2 机房建建设 92.2.1 基基本 92.2.2 供供电 102.2.3 空空调 112.2.4 布布线 122.3 核心系系统 122.3.1 功功能 122.3.2 性性能和容量 152.3.3 交交易系统冗余余 162.3.4 行行情冗余 172.3.5 银银期系统冗余余 172.4 安全 182.4.1 网网络隔离 182.4.2 防防病毒、补丁丁和安全加固固 192.4.3 网网站安全 202.4.4 网网上交易安全全 222.4.5 账账户与权限 242.4.6 口口令管理 252.4.7 安安全审计 262.5 日常运运行 262.5.1 岗岗位 262.5.2 制制度与巡检 282.5.3 机机房进出 302.6 备份 312.6.1 数数据备份 312.7 系统维维护 332.7.1 变变更管理 332.7.2 配配置管理 352.7.3 容容量管理 362.7.4 应应急演练 372.7.5 技技术事故管理理 382.8 营业部部技术要求 392.8.1 基基本要求 392.8.2 交交易保障 413. 二类要求求 423.1 技术管管理 423.1.1 组组织结构 423.1.2 培培训 453.1.3 人人员素质 463.1.4 信信息技术服务务提供商管理理 473.1.5 IIT投入 483.2 机房建建设 493.2.1 基基本 493.2.2 供供电 513.2.3 空空调 523.2.4 布布线 533.2.5 维维护 533.3 核心系系统 543.3.1 功功能 543.3.2 性性能和容量 563.3.3 交交易系统冗余余 593.3.4 行行情冗余 603.3.5 银银期系统冗余余 613.4 安全 613.4.1 网网络隔离 613.4.2 防防病毒、补丁丁和安全加固固 633.4.3 网网站安全 653.4.4 网网上交易安全全 673.4.5 账账户与权限 683.4.6 口口令管理 703.4.7 安安全审计 713.5 日常运运行 713.5.1 岗岗位 713.5.2 制制度与巡检 733.5.3 机机房进出 763.6 备份 773.6.1 数数据备份 773.7 系统维维护 803.7.1 变变更管理 803.7.2 配配置管理 833.7.3 容容量管理 843.7.4 应应急演练 853.7.5 技技术事故管理理 863.8 营业部部技术要求 873.8.1 基基本要求 873.8.2 交交易保障 894. 三类要求求 904.1 技术管管理 904.1.1 组组织结构 904.1.2 培培训 934.1.3 人人员素质 944.1.4 信信息技术服务务提供商管理理 954.1.5 IIT投入 974.2 机房建建设 974.2.1 基基本 974.2.2 供供电 1004.2.3 空空调 1024.2.4 布布线 1034.2.5 维维护 1054.3 核心系系统 1054.3.1 功功能 1054.3.2 性性能和容量 1084.3.3 交交易系统冗余余 1114.3.4 行行情冗余 1124.3.5 银银期系统冗余余 1134.4 安全 1134.4.1 网网络隔离 1134.4.2 防防病毒、补丁丁和安全加固固 1154.4.3 网网站安全 1174.4.4 网网上交易安全全 1204.4.5 账账户与权限 1224.4.6 口口令管理 1234.4.7 安安全审计 1244.5 日常运运行 1254.5.1 岗岗位 1254.5.2 制制度与巡检 1274.5.3 机机房进出 1304.6 备份 1314.6.1 数数据备份 1314.6.2 灾灾难备份 1344.7 系统维维护 1384.7.1 变变更管理 1384.7.2 配配置管理 1424.7.3 容容量管理 1434.7.4 应应急演练 1444.7.5 技技术事故管理理 1464.8 营业部部技术要求 1464.8.1 基基本要求 1464.8.2 交交易保障 1495. 四类要求求 1505.1 技术管管理 1505.1.1 组组织结构 1505.1.2 培培训 1535.1.3 人人员素质 1555.1.4 信信息技术服务务提供商管理理 1555.1.5 IIT投入 1575.2 机房建建设 1575.2.1 基基本 1575.2.2 供供电 1605.2.3 空空调 1625.2.4 布布线 1635.2.5 维维护 1655.3 核心系系统 1655.3.1 功功能 1655.3.2 性性能和容量 1685.3.3 交交易系统冗余 1715.3.4 行行情冗余 1735.3.5 银银期系统冗余余 1735.4 安全 1745.4.1 网网络隔离 1745.4.2 防防病毒、补丁丁和安全加固固 1765.4.3 网网站安全 1795.4.4 网网上交易安全全 1815.4.5 账账户与权限 1845.4.6 口口令管理 1855.4.7 安安全审计 1865.5 日常运运行 1875.5.1 岗岗位 1875.5.2 制制度与巡检 1895.5.3 机机房进出 1925.6 备份 1945.6.1 数数据备份 1945.6.2 灾灾难备份 1975.7 系统维维护 2005.7.1 变变更管理 2005.7.2 配配置管理 2045.7.3 容容量管理 2065.7.4 应应急演练 2075.7.5 技技术事故管理理 2085.8 营业部部技术要求 2095.8.1 基基本要求 2095.8.2 交交易保障 2112151. 总则1.1 范围为加强期货公司司信息系统建建设，提高运运维保障水平平，依据《期期货公司信息息技术管理指指引》（以下下简称指引），特特制订针对期期货公司信息息系统和技术术管理的检查查细则。

依据据指引中的四四类要求，相相应地制定了了四类检查要要点从一类类到四类，要要求依次提高高本检查细则可作作为期货行业业主管部门、行行业协会及期期货交易所检检查期货公司司信息系统和和技术管理的的指引，也可可用于期货公公司自查1.2 术语和定义1.2.1 检查方式检查方式是检查查人员为判断断被检查单位位是否达到某某检查项而采采取的工作方方式本检查查要点中，检检查方式分为为检查和访谈谈两种检查是通过对被被检查单位按按照预定的方方法/工具使其产产生特定的行行为等活动，查查看、分析输输出结果，获获取证据以证证明其是否达达到、满足检检查项要求的的一种方法访谈是通过与被被检查单位有有关人员（个个人/群体）进行行交流、讨论论等活动，获获取证据以证证明其是否达达到、满足检检查项要求的的一种方法1.2.2 检查对象检查对象是指被被检查单位的的有关人员、相相关机制、流流程、数据或或物理上可见见的系统设备备1.2.3 检查措施检查措施是为判判定被检查单单位是否达到到、满足检查查项要求而采采取的工作步步骤或者方法法检查措施施包括获取相相关的制度、文文档和记录，访访谈有关人员员，检查设备备的存在及运运行状态等等等除了本检查细则则中规定的内内容，检查人人员可以按照照实际情况的的需要，检查查与要求相关关的其他材料料。

1.2.4 检查结果检查结果是根据据检查措施的的执行结果，对对被检查单位位是否达到某某项技术要求求作出的判定定，在本检查查要点中，判判定只能是“达到要求” 或者“未达到要求求”两种必要要时，检查结结果中还应包包括证明该判判定的相关材材料1.3 检查原则1.3.1 客观公正原则检查工作应尽量量减少个人主主张或判断，在在最小主观判判断情形下，基基于明确定义义的检查方法法和解释，对对每个技术要要求项进行检检查1.3.2 检查结果二元原原则对于每一个技术术要求项只有有达到要求和和未达到要求求两种结论对对于被检查单单位的等级结结论也只有达达到某等级类类和未达到某某等级类两种种结论1.3.3 证明材料验证原原则对于被检查单位位提供的证明明材料,应根据具体体技术要求项项的检查措施施进行验证,,证明材料应应符合实际情情况1.3.4 进入机房原则尽量安排非交易易时间进入机机房检查,最佳进入机机房时间应为为收盘后1.3.5 测试被检查单位位系统的原则则原则上，不应对对被检查单位位系统进行操操作，包括运运行程序、脚脚本等禁止止交易期间操操作被检查单单位系统不不应在交易期期间要求被检检查单位进行行各类系统切切换测试和升升级操作。

1.3.6 保密原则在检查期间接触触到被检查单单位的技术、商商业机密应严严格保密证证明材料中不不应包含被检检查单位的相相关机密1.4 检查技术等级判判定1.4.1 完全达到某章要要求的定义如果被检查单位位对于某个等等级类的某一一章（包括：：技术管理、机机房建设、核核心系统、安安全、日常运运行、备份、系系统维护、营营业部要求八八大章）所有有技术要求项项（包括必须须和可选）都都能够达到要要求，那么该该被检查单位位就是完全达达到该等级类类中该章的要要求1.4.2 基本达到某章要要求的定义如果被检查单位位对于某个等等级类的某个个章所有要求求程度为必须须的技术要求求项，都能够够达到要求，但但不能达到全全部或部分可可选项的要求求，那么该被被检查单位就就是基本达到到该等级类中中该章的要求求1.4.3 达到等级类的定定义如果被检查单位位对于某个等等级的各章，至至多只有两章章是基本达到到要求，其它它章都是完全全达到要求，那那么该被检查查单位即达到到了该等级类类的要求1.5 其他检查说明本检查细则中要要求的所有人人员，除特别别指出是专职职的以外，都都可以兼任本检查细则中涉涉及的所有对对营业部的检检查，原则上上都不进行现现场检查。

正正在筹建中的的，尚未正式式开展业务的的营业部不需需要检。