DOC《ICS 03.060》

基金管理公司的注册登记系统、基金估值系统、直销与网上交易系统、投资交易系统等. 非核心交易业务系统 non-core trading business system 承载除核心交易业务外与交易业务有数据交换的其他业务的系统. 这类业务重要性相对较低,一旦出现中断,可能间接或不一定影响证券期货市场.如:稽核系统、呼叫中心系统、客户关系管理系统、证券公司的风控系统等. 交易业务网 trading business network 承载交易业务系统的计算机网络统称交易业务网,承载核心交易业务系统的计算机网络统称核心交易业务网,承载非核心交易业务系统的计算机网络统称非核心交易业务网. 生产环境 production environment 支持日常业务活动的基础设施、网络、主机、存储、数据库及应用等. 在线数据 online data 在生产环境中使用的所有数据. 离线数据 offline data 脱离生产环境用于存储备份的所有数据. 事件 incident 不属于某项服务的标准操作,导致或可能导致服务中断或服务质量降低的任一事态. [GB/T 24405.1―2009,定义2.7] 问题 problem 一个或多个事件的未知的潜在原因. [GB/T 24405.1―2009,定义2.8] 交付 delivery 负责规划、安排、控制发布的构建、测试和部署,以及在保护现有服务完整性的同时,提供业务所需新功能的流程. 关键岗位 key position 负责交易业务系统运行维护的机房管理员、系统管理员、网络管理员、数据库管理员、安全管理员等岗位. 配置项 configuration item 处于或将处于配置管理之下的基础设施部件或项. [GB/T 24405.1-2009,定义2.4] 配置项在复杂性、规模和类型方面变化可能很大,配置项可以是整个系统包括所有的硬件、软件和文档,也可以是单个模块或很小的硬件部件. 风险 risk 对目标不确定性的影响. [ISO 31000:2009,定义2.1] 技术风险 technical risk 因信息技术发展、信息系统变更、人员操作失误等导致的风险. 业务风险 business risk 因流程变化、业务发展、市场环境改变等导致的风险. 信息安全事态 information security event 信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态. [GB/T 22080-2008,定义3.5] 网络与信息安全事件 network and information security incident 网络与信息安全事件是突发事件的一种,也被称为信息安全事件,一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大可能性. 改写 GB/T 22080-2008,定义3.6. 敏感性 sensitivity 表征资源价值或重要性的特征,也可能包含这一资源的脆弱性. [GB/T 20269―2006,定义3.6] 基本要求 运维组织 证券期货机构应设立信息系统运维组织,负责信息系统的运行维护工作. 证券期货机构应任命运维组织负责人,负责组织、协调、管理信息系统的运行维护工作. 证券期货机构应合理设置运维岗位,规定岗位职责及技能要求,并符合如下要求: 运维岗位应至少包括机房管理员、网络管理员、系统管理员、数据库管理员、安全管理员等关键岗位,并设置主备岗;

关键岗位应进行分离,兼岗时应满足岗位相互制约的要求. 证券期货机构应配备足够的运维人员.运维人员应具备一定的计算机基础理论知识和专业技术经验.经营机构运维人员应具有相应的从业资格. 证券期货机构应与运维人员签署保密协议,保密协议应至少包括保密范围、保密期限等内容. 证券期货机构应制定年度培训计划,对运维人员进行必要的技术、业务、安全等培训,并留存培训记录. 经费管理 证券期货机构应制定信息系统运行维护年度预算计划,每年进行核算.预算和核算应接受监督和审计. 证券期货机构应将信息系统运行维护的各项费用纳入预算管理.费用至少应包括:机房物理环境、信息系统软硬件、网络与通信设施的使用费和维修费,以及应急保障费用、技术服务费用、人员培训费用等. 制度和流程管理 证券期货机构应制定覆盖运维工作各个环节的、体系化的运维管理制度和操作流程.运维管理制度应包括但不限于:机房管理、网络与系统管理、数据和介质管理、交付管理、测试管理、配置管理、安全管理、值班管理、监控管理、文档管理、设备和软件管理、供应商管理、关联单位关系管理、检查审计等制度.运维操作流程应包括但不限于日常操作、事件处理、问题处理、系统变更、应急处置等流程. 证券期货机构应建立运维管理制度和操作流程的制定、发布、维护和更新的机制.至少每年一次评审、修订运维管理制度和操作流程. 文档管理 证券期货机构应建立文档管理制度,对文档的分类、命名规则、编写人、审批人、版本、敏感性标识、发布时间、存放方式、修订记录、废止等做出规定. 证券期货机构应明确文档管理的责任人. 证券期货机构应对运维过程中涉及的各类文档进行分类管理,可按照制度文档、技术文档、合同文档、审批记录、日志记录等进行分类,并统一存放. 证券期货机构应规范文档的发布管理,对文档的版本应当进行控制.文档应标识敏感性、使用范围、使用权限、审批权限等.文档在使用时应能读取、使用最新版本,防止作废文件的逾期使用. 证券期货机构对超范围、超权限使用文档时应保存相关审批、使用记录. 设备和软件管理 证券期货机构应建立计算机相关设备和软件管理制度,对设备和软件的验证性测试、出入库、安装、盘点、维修(升级)、报废等进行规范. 证券期货机构应明确设备和软件管理责任人. 证券期货机构应在设备和软件投入使用前进行必要的验证性测试,并保留测试记录. 证券期货机构应编制信息系统设备清单,主要包括设备名称、设备编号、入库时间、设备主要参数、设备序列号、设备状态、设备保修期、设备位置、设备用途和设备使用责任人等内容,并保留设备启用、转移、维修、报废等过程的记录. 证券期货机构应使用正版软件并保存软件授权证书和许可协议,应编制软件清单,主要包括软件名称、软件编号、入库时间、软件版本,授权和许可情况、软件序列号、软件状态、软件维护期、软件安装设备、用途和使用责任人等内容,并保留软件启用、转移、升级、报废等过程的记录. 证券期货机构应对设备进行标识,标识应放在设备明显位置. 证券期货机构应规定设备和软件的使用年限,定期进行盘点,并对设备状态进行评估和更新. 证券期货机构应对外送设备的维修进行严格管理,防止数据泄露. 证券期货机构应对拟下线和拟报废设备的存储介质中的全部信息进行清除或销毁.对正式下线设备和软件交指定部门统一管理、保存或处置,并保留相应记录.设备和软件报废应符合资产管理规定. 供应商管理 证券期货机构应建立供应商管理制度,对供应商支持运维服务的相关活动进行统一管理. 证券期货机构应在与供应商签订的合同中明确其应承担的责任、义务,并约定服务要求和范围等内容. 证券期货机构应与供应商签署保密协议,不得泄露所服务机构的保密信息,并要求供应商签署承诺书,承诺产品不存在恶意代码或未授权的功能,不提供违反我国法律法规的功能模块,并符合证券期货行业有关技术规范和技术指引. 证券期货机构应在涉及证券期货交易、行情、开户、结算等软件产品或技术服务的采购合同中,明确供应商应接受证券期货行业监管部门的信息安全延伸检查. 证券期货机构应定期收集、更新供应商信息,组织对供应商的服务质量、合同履行情况、人员工作情况等内容进行评价,形成评价报告,并跟踪和记录供应商改进情况. 证券期货机构应加强运维外包服务管理,主要包括: 与外包公司及外包人员签订保密协议;