《期货公司信息技术管理指引 (修订)》检查细则 目 录1. 总则 11.1 范围 11.2 术语和定义 11.2.1 检查方式 11.2.2 检查对象 11.2.3 检查措施 11.2.4 检查结果 11.3 检查原则 11.3.1 客观公正原则 11.3.2 检查结果二元原则 11.3.3 证明材料验证原则 21.3.4 进入机房原则 21.3.5 测试被检查单位系统的原则 21.3.6 保密原则 21.4 检查技术等级判定 21.4.1 完全达到某章要求的定义 21.4.2 基本达到某章要求的定义 21.4.3 达到等级类的定义 21.5 其他检查说明 22. 一类要求 32.1 技术管理 32.1.1 组织结构 3培训 52.1.3 人员素质 72.1.4 信息技术服务提供商管理 72.1.5 IT投入 92.2 机房建设 92.2.1 基本 92.2.2 供电 112.2.3 空调 112.2.4 布线 122.3 核心系统 122.3.1 功能 122.3.2 性能和容量 152.3.3 交易系统冗余 162.3.4 行情冗余 172.3.5 银期系统冗余 172.4 安全 182.4.1 网络隔离 182.4.2 防病毒、补丁和安全加固 192.4.3 网站安全 202.4.4 网上交易安全 222.4.5 账户与权限 232.4.6 口令管理 242.4.7 安全审计 252.5 日常运行 252.5.1 岗位 252.5.2 制度与巡检 262.5.3 机房进出 282.6 备份 292.6.1 数据备份 292.7 系统维护 312.7.1 变更管理 312.7.2 配置管理 332.7.3 容量管理 342.7.4 应急演练 342.7.5 技术事故管理 362.8 营业部技术要求 362.8.1 基本要求 362.8.2 交易保障 383. 二类要求 403.1 技术管理 403.1.1 组织结构 403.1.2 培训 433.1.3 人员素质 443.1.4 信息技术服务提供商管理 453.1.5 IT投入 463.2 机房建设 473.2.1 基本 473.2.2 供电 493.2.3 空调 503.2.4 布线 503.2.5 维护 513.3 核心系统 513.3.1 功能 513.3.2 性能和容量 543.3.3 交易系统冗余 573.3.4 行情冗余 583.3.5 银期系统冗余 593.4 安全 593.4.1 网络隔离 593.4.2 防病毒、补丁和安全加固 613.4.3 网站安全 633.4.4 网上交易安全 643.4.5 账户与权限 663.4.6 口令管理 673.4.7 安全审计 683.5 日常运行 693.5.1 岗位 693.5.2 制度与巡检 703.5.3 机房进出 723.6 备份 743.6.1 数据备份 743.7 系统维护 763.7.1 变更管理 763.7.2 配置管理 783.7.3 容量管理 793.7.4 应急演练 803.7.5 技术事故管理 813.8 营业部技术要求 823.8.1 基本要求 823.8.2 交易保障 844. 三类要求 854.1 技术管理 854.1.1 组织结构 854.1.2 培训 884.1.3 人员素质 904.1.4 信息技术服务提供商管理 904.1.5 IT投入 924.2 机房建设 924.2.1 基本 924.2.2 供电 954.2.3 空调 974.2.4 布线 984.2.5 维护 994.3 核心系统 1004.3.1 功能 1004.3.2 性能和容量 1034.3.3 交易系统冗余 1064.3.4 行情冗余 1074.3.5 银期系统冗余 1084.4 安全 1084.4.1 网络隔离 1084.4.2 防病毒、补丁和安全加固 1104.4.3 网站安全 1124.4.4 网上交易安全 1144.4.5 账户与权限 1164.4.6 口令管理 1184.4.7 安全审计 1194.5 日常运行 1194.5.1 岗位 1194.5.2 制度与巡检 1214.5.3 机房进出 1244.6 备份 1254.6.1 数据备份 1254.6.2 灾难备份 1284.7 系统维护 1314.7.1 变更管理 1314.7.2 配置管理 1344.7.3 容量管理 1364.7.4 应急演练 1374.7.5 技术事故管理 1384.8 营业部技术要求 1394.8.1 基本要求 1394.8.2 交易保障 1415. 四类要求 1425.1 技术管理 1425.1.1 组织结构 1425.1.2 培训 1465.1.3 人员素质 1475.1.4 信息技术服务提供商管理 1485.1.5 IT投入 1495.2 机房建设 1505.2.1 基本 1505.2.2 供电 1535.2.3 空调 1545.2.4 布线 1565.2.5 维护 1575.3 核心系统 1575.3.1 功能 1575.3.2 性能和容量 1615.3.3 交易系统冗余 1635.3.4 行情冗余 1655.3.5 银期系统冗余 1655.4 安全 1665.4.1 网络隔离 1665.4.2 防病毒、补丁和安全加固 1685.4.3 网站安全 1715.4.4 网上交易安全 1735.4.5 账户与权限 1755.4.6 口令管理 1765.4.7 安全审计 1775.5 日常运行 1785.5.1 岗位 1785.5.2 制度与巡检 1805.5.3 机房进出 1835.6 备份 1845.6.1 数据备份 1845.6.2 灾难备份 1875.7 系统维护 1905.7.1 变更管理 1905.7.2 配置管理 1935.7.3 容量管理 1955.7.4 应急演练 1965.7.5 技术事故管理 1975.8 营业部技术要求 1985.8.1 基本要求 1985.8.2 交易保障 2002051. 总则1.1 范围为加强期货公司信息系统建设,提高运维保障水平,依据《期货公司信息技术管理指引》(以下简称指引),特制订针对期货公司信息系统和技术管理的检查细则。
依据指引中的四类要求,相应地制定了四类检查要点从一类到四类,要求依次提高本检查细则可作为期货行业主管部门、行业协会及期货交易所检查期货公司信息系统和技术管理的指引,也可用于期货公司自查1.2 术语和定义1.2.1 检查方式检查方式是检查人员为判断被检查单位是否达到某检查项而采取的工作方式本检查要点中,检查方式分为检查和访谈两种检查是通过对被检查单位按照预定的方法/工具使其产生特定的行为等活动,查看、分析输出结果,获取证据以证明其是否达到、满足检查项要求的一种方法访谈是通过与被检查单位有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明其是否达到、满足检查项要求的一种方法1.2.2 检查对象检查对象是指被检查单位的有关人员、相关机制、流程、数据或物理上可见的系统设备1.2.3 检查措施检查措施是为判定被检查单位是否达到、满足检查项要求而采取的工作步骤或者方法检查措施包括获取相关的制度、文档和记录,访谈有关人员,检查设备的存在及运行状态等等除了本检查细则中规定的内容,检查人员可以按照实际情况的需要,检查与要求相关的其他材料1.2.4 检查结果检查结果是根据检查措施的执行结果,对被检查单位是否达到某项技术要求作出的判定,在本检查要点中,判定只能是“达到要求” 或者“未达到要求”两种。
必要时,检查结果中还应包括证明该判定的相关材料1.3 检查原则1.3.1 客观公正原则检查工作应尽量减少个人主张或判断,在最小主观判断情形下,基于明确定义的检查方法和解释,对每个技术要求项进行检查1.3.2 检查结果二元原则对于每一个技术要求项只有达到要求和未达到要求两种结论对于被检查单位的等级结论也只有达到某等级类和未达到某等级类两种结论1.3.3 证明材料验证原则对于被检查单位提供的证明材料,应根据具体技术要求项的检查措施进行验证,证明材料应符合实际情况1.3.4 进入机房原则尽量安排非交易时间进入机房检查,最佳进入机房时间应为收盘后1.3.5 测试被检查单位系统的原则原则上,不应对被检查单位系统进行操作,包括运行程序、脚本等禁止交易期间操作被检查单位系统不应在交易期间要求被检查单位进行各类系统切换测试和升级操作1.3.6 保密原则在检查期间接触到被检查单位的技术、商业机密应严格保密证明材料中不应包含被检查单位的相关机密1.4 检查技术等级判定1.4.1 完全达到某章要求的定义如果被检查单位对于某个等级类的某一章(包括:技术管理、机房建设、核心系统、安全、日常运行、备份、系统维护、营业部要求八大章)所有技术要求项(包括必须和可选)都能够达到要求,那么该被检查单位就是完全达到该等级类中该章的要求。
1.4.2 基本达到某章要求的定义如果被检查单位对于某个等级类的某个章所有要求程度为必须的技术要求项,都能够达到要求,但不能达到全部或部分可选项的要求,那么该被检查单位就是基本达到该等级类中该章的要求1.4.3 达到等级类的定义如果被检查单位对于某个等级的各章,至多只有两章是基本达到要求,其它章都是完全达到要求,那么该被检查单位即达到了该等级类的要求1.5 其他检查说明本检查细则中要求的所有人员,除特别指出是专职的以外,都可以兼任本检查细则中涉及的所有对营业部的检查,原则上都不进行现场检查正在筹建中的,尚未正式开展业务的营业部不需要检查但需要检查的营业部中,只要有一个营业部不能达到某技术要求项,则该期货公司就不能达到该技术要求项所有需要加盖公章的证明材料,可以采取在材料清单上加盖公章,并给材料统一加盖骑缝章的形式,不必逐份盖章2. 一类要求2.1 技术管理2.1.1 组织结构2.1.1.1 [必须][新增] 应设有技术部门并有专职技术人员,并有明确的职责分工和岗位说明l 检查方式访谈,检查l 检查对象期货公司人力资源相关人员,岗位职责l 检查措施a) 访谈期货公司,提供技术部门员工的情况说明,包括人员信息、岗位和基本职责;b) 检查技术人员的岗位说明书和技术部门组织架构说明,查看是否有职责划分不清或是否遗漏重要职责划分,技术人员不得从事开户、风控、资金存取、结算等关键业务操作。
l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司技术部门员工的情况说明和组织架构说明,作为证明材料2.1.1.2 [必须][新增] 总部技术部门人员总数占公司总部人数的比例不少于8%l 检查方式访谈,检查l 检查对象期货公司人力资源相关人员l 检查措施a) 访谈期货公司,提供技术部门员工的情况说明,应包括总部技术部门人员名单及占比情况计算;b) 检查期货公司正式员工花名册及员工人数统计(以与公司签订劳动合同,且具有期货从业资格为准);c) 检查期货公司技术部门技术人员的简历及工资单,是否符合情况说明l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司技术部门员工的情况说明,作为证明材料2.1.1.3 [必须][新增] 总部技术部门人员不少于5人l 检查方式访谈,检查l 检查对象期货公司人力资源相关人员l 检查措施a) 检查期货公司总部技术部门员工人数是否达到5人(以与公司签订劳动合同,且具有期货从业资格为准)l 检查结果a) 符合上述a)的检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司技术部门员工的情况说明,作为证明材料(可使用上一项的证明材料)。
2.1.1.4 [必须][新增] 应建立负责本公司信息技术规划和信息安全管理的跨部门机构,其职责包括系统规划、安全管理、IT治理等l 检查方式访谈,检查l 检查对象期货公司人力资源相关人员、信息安全管理机构负责人、组织架构l 检查措施a) 访谈负责信息技术规划和信息安全管理的跨部门机构负责人,检查其是否清楚信息技术规划和信息安全的职责和工作内容;b) 检查期货公司组织架构说明和该机构成立的正式文件c) 检查公司安全管理制度,信息安全工作的总体方针和安全策略,说明该机构安全工作的总体目标、范围、原则和安全框架等;d) 检查是否召开会议,查看会议记录,是否进行有关规划、安全管理、IT治理等制度和规程制定,是否进行审定和修订、发布落实等l 检查结果a) 同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司负责信息技术规划和信息安全管理的跨部门机构的组织架构说明和组织成立的正式文件,作为证明材料2.1.1.5 [必须][新增] 应与所有总部技术部门人员签署保密协议,应对技术人员的离岗严格管理l 检查方式检查l 检查对象保密协议l 检查措施a) 检查期货公司总部技术人员的保密协议(或劳动合同中的保密条款)。
b) 检查是否办理了严格的调离手续,检查交接记录l 检查结果a) 符合上述a)-b)的检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司总部技术人员保密协议的首页和签名页(或劳动合同相关页)复印件,作为证明材料2.1.1.6 [必须][新增] 应设立2名技术联络员,负责组织、协调和处理与信息安全管理部门、交易所及相关单位的各项技术事宜l 检查方式访谈,检查l 检查对象期货公司技术部门负责人,技术联络员,联系方式l 检查措施a) 访谈技术部门负责人是否清楚技术联络员的职责,了解技术联络员更换的流程;b) 访谈技术联络员,抽查各交易所、监管机构、保证金监控中心、中期协和存管银行等单位和部门的联系方式;c) 检查技术联络员是否至少为2名l 检查结果a) 如技术联络员更换的流程中不包含通知交易所和监管机构,则认为不符合上述检查措施;b) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;c) 获取加盖了公章的期货公司技术联络员变更相关流程,作为证明材料2.1.1.7 [必须][新增] 总部技术部门应有至少1名安全管理人员l 检查方式访谈,检查l 检查对象期货公司人力资源相关人员,技术部安全管理人员,岗位职责l 检查措施a) 检查期货公司总部安全管理岗人员的个人简历和岗位说明书,查看是否具有安全管理方面的资质和经历,安全管理人员不可外包;b) 访谈期货公司总部安全管理人员,了解其是否明确岗位职责和工作内容,评估其是否达到岗位能力要求。
l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司总部安全管理人员的个人简历、岗位说明书复印件,作为证明材料2.1.1.8 [必须][新增] 每个营业部应配备至少1名技术人员l 检查方式访谈,检查l 检查对象期货公司人力资源相关人员,岗位职责l 检查措施a) 现场访谈或电话访谈,抽查营业部技术人员,了解其工作职责和日常工作内容;b) 检查期货公司营业部的正式员工花名册,总部应有各营业部的技术人员总表,包含联系方式(营业部技术人员不得外包,以与公司签订劳动合同,且具有期货从业资格为准),检查营业部技术人员岗位说明书l 检查结果a) 同时符合上述a)-b)项的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的各营业部的技术人员总表,作为证明材料2.1.2 培训2.1.2.1 [必须][新增] 对所有上岗技术人员应进行岗位培训l 检查方式访谈,检查l 检查对象期货公司人力资源相关人员,技术培训l 检查措施a) 期货公司提供一年内所有上岗技术人员岗位培训的书面记录;b) 培训记录要求包括培训时间、地点、培训讲师、参加培训的人员等信息,并有参加培训人员的签名;c) 抽查一年内的培训记录。
l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司上岗技术人员的书面培训抽查的记录,作为证明材料2.1.2.2 [必须][新增] 总部技术部门的所有人员每两年参加期货业协会组织的技术培训应达到18学时,其中至少有3学时的信息技术法律法规及标准培训l 检查方式检查l 检查对象技术培训l 检查措施a) 检查期货公司近两年参加期货业协会组织的技术培训的清单和协会提供的证明材料;b) 培训清单要求包括培训时间、地点、培训讲师、参加培训的人员等信息l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司近两年参加期货业协会组织的技术培训清单,作为证明材料2.1.2.3 [必须][新增] 应有明确的培训教材,用于培训上岗操作人员l 检查方式检查l 检查对象技术培训l 检查措施a) 检查期货公司的培训教材,确定培训教材是否符合岗位实际能力要求;b) 培训教材的形式不限,可以是纸质或电子的l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司技术培训教材清单,作为证明材料。
2.1.2.4 [必须][新增] 应有对总部技术部门人员的年度培训计划,并根据计划实施l 检查方式检查l 检查对象技术培训l 检查措施a) 检查期货公司对技术员工的年度培训计划;b) 检查一年内的技术员工的培训记录,检查执行实施情况l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司对技术员工的年度培训计划和培训记录复印件,作为证明材料2.1.2.5 [必须][新增] 应定期对各个岗位的人员进行安全教育和培训l 检查方式访谈,检查l 检查对象期货公司技术部门负责人,技术培训l 检查措施a) 期货公司提供一年内的各岗位人员安全教育的培训记录l 检查结果a) 符合上述a)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司一年内的各岗位人员安全教育的培训记录复印件,作为证明材料2.1.3 人员素质2.1.3.1 [必须][新增] 总部技术部门人员50%以上应有信息技术相关专业大学本科或以上教育背景l 检查方式检查l 检查对象人员简历l 检查措施a) 检查期货公司总部花名册中技术部门人员部分(以与公司签订劳动合同,且具有期货从业资格为准);b) 期货公司提供总部技术人员的情况说明,包括人员岗位、教育背景;c) 检查期货公司总部技术人员中信息技术相关专业大学本科或以上教育背景的是否达到50%;d) 检查期货公司的总部技术人员的学历证书或个人简历,是否符合情况说明。
l 检查结果a) 同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司总部技术人员情况说明,作为证明材料2.1.4 信息技术服务提供商管理2.1.4.1 [必须][新增] 应与信息技术服务提供商签订服务保障协议l 检查方式访谈,检查l 检查对象期货公司技术部门负责人,信息技术服务提供商管理l 检查措施a) 访谈期货公司技术部门负责人,了解信息技术服务提供商状况;b) 检查期货公司的服务提供商包含服务保障承诺的协议l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司与信息技术服务提供商之间的协议首页和签名页复印,作为证明材料2.1.4.2 [必须][新增] 应与核心系统的服务提供商签署保密协议l 检查方式检查l 检查对象期货公司技术部门负责人,信息技术服务提供商管理l 检查措施a) 检查期货公司与所有交易结算应用系统供应商(包括所有席位的系统)的保密协议或在合同中有保密条款l 检查结果a) 符合上述a)的检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司与交易结算应用系统供应商的保密协议或带有保密条款的合同的首页和签名页复印件,作为证明材料。
2.1.4.3 [必须][新增] 应有信息技术服务提供商的准确联系方式l 检查方式检查l 检查对象信息技术服务提供商管理,联系方式l 检查措施a) 期货公司提供所有的服务方联系方式表;b) 检查期货公司的服务提供商联系方式表,并抽查准确性l 检查结果a) 同时符合上述a)-b)的检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司服务提供商的联系方式表,作为证明材料2.1.4.4 [必须][新增] 选择信息技术服务提供商时应评估其资质、经营行为、业绩、服务体系和服务品质等要素l 检查方式检查l 检查对象信息技术服务提供商管理l 检查措施a) 访谈期货公司选择服务提供商时的相关评估制度或措施;b) 抽查评估记录,评估记录中应包括服务提供商的资质、经营行为、业绩、服务体系和服务品质l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司服务商的评估制度或相关措施说明,以及抽查的评估记录,作为证明材料2.1.4.5 [必须][新增] 应定期对信息技术服务提供商的服务质量进行评估l 检查方式访谈,检查l 检查对象期货公司技术部门负责人,信息技术服务商管理l 检查措施a) 访谈期货公司定期评估服务提供商的相关制度或措施;b) 访谈期货公司技术部门负责人,了解服务提供商服务质量定期评估的实施情况;c) 检查一年内期货公司的服务提供商服务质量的评估报告。
l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司定期评估服务提供商的制度或相关措施说明,以及抽查的评估报告,作为证明材料2.1.5 IT投入2.1.5.1 [必须][新增] 最近三个财政年度IT投入平均数额应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%,取二者数额较大者l 检查方式检查l 检查对象财务报表l 检查措施a) IT投入的计算范围包括技术类资产投入、运行、维护、信息技术服务和外包费用,不包括人员薪酬福利,计算方法采用权责发生制;b) 检查期货公司前三个财政年度经审计的财务报表;c) 检查期货公司的最近三个财政年度IT投入的清单和对应的费用及比例说明;d) 对于成立时间不足三年的期货公司,只考虑成立以后的时间l 检查结果a) 同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司最近三个财政年度IT投入的清单和对应的费用及比例说明,作为证明材料2.2 机房建设2.2.1 基本2.2.1.1 [必须][新增] 机房应为独立封闭区域,并配备门禁l 检查方式检查l 检查对象机房基础设施l 检查措施a) 检查期货公司的机房,是否为独立封闭区域(独立封闭区域是指机房内不得包括办公、生活等设施,但可以包括监控终端),并配备门禁(门禁应专门控制机房的出入),并获取机房以及门禁的照片。
l 检查结果a) 符合上述a)的检查措施,才达到本检查项的要求;b) 获取机房以及门禁的照片,作为证明材料2.2.1.2 [必须][新增] 机房应具备火警检测、灭火和应急照明设施l 检查方式访谈,检查l 检查对象机房基础设施l 检查措施a) 期货公司提供机房情况说明,包括火警检测、灭火和应急照明设施等信息;b) 检查期货公司的机房的火警检测设施,是否符合情况说明(火警检测设施应分布于机房的每个独立房间);c) 检查期货公司的机房的灭火设施,是否符合情况说明;d) 检查期货公司的机房的应急照明设施,是否符合情况说明l 检查结果a) 同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司机房情况说明,作为证明材料2.2.1.3 [必须][新增] 机房出入口和内部应安装7*24小时录像监控设施,录像至少保存90天l 检查方式检查l 检查对象机房管理l 检查措施a) 期货公司提供机房情况说明,包括机房出入口和内部的录像监控设施和录像保存措施等信息;b) 检查期货公司的机房的出入口和内部是否安装录像监控设施,是否与a)的情况说明相符;c) 检查近90天的机房监控录像,并抽查两个不同日期的录像记录。
l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司的机房情况说明,作为证明材料2.2.1.4 [必须][新增] 机房应有防雷和接地的设施l 检查方式检查l 检查对象机房基础设施l 检查措施a) 期货公司提供情况说明,包括防雷和接地等措施,以及交流接地、直流接地、安全工作接地电阻不大于4欧姆,防雷接地电阻不大于10欧姆的书面证明材料;b) 检查期货公司的机房的防雷和接地设施,是否与a)的情况说明相符l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司的机房情况说明,作为证明材料2.2.1.5 [必须][新增] 应实现声音或短信等自动报警或7*24小时值守l 检查方式访谈,检查l 检查对象技术部门负责人,机房管理l 检查措施a) 期货公司提供机房情况说明,包括机房报警或值守措施;b) 检查机房报警是否实现声音或短信等自动报警,是否符合情况说明;c)如不能自动报警,访谈技术部门负责人,了解是否采取7*24小时值守的机制,检查期货公司的值守记录,抽查一年内4个时点相应的记录,间隔不小于2个月。
l 检查结果a) 同时符合上述a)和b),或者a)和c)的检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司机房报警或值守的情况说明,作为证明材料2.2.2 供电2.2.2.1 [必须][新增] 机房应配备在线UPS设施,UPS应当存放在独立封闭区域l 检查方式检查l 检查对象机房UPSl 检查措施a) 期货公司提供UPS情况说明,应说明在线UPS设备功率和UPS设备连接方式,UPS应与计算机、网络设备在不同的独立封闭区域;b) 检查机房的在线UPS设施,是否符合情况说明l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司机房的UPS设施的情况说明,作为证明材料2.2.2.2 [必须][新增] UPS供电时间应超过从断电到发电机启动或者应急供电协议规定到场响应时间的2倍如无发电设备,UPS的电池应能够支撑4个小时l 检查方式检查l 检查对象机房供电设施l 检查措施a) 期货公司提供UPS供电情况说明;b) 如果没有发电设备,那么计算UPS在保证业务支撑时间的前提下,持续供电的时间应当至少达到4小时;计算时,根据UPS和电池的实际用电量进行计算;c) 如果有发电设备或者应急供电协议,那么计算UPS可以支撑从断电到发电机启动或者应急供电协议规定响应到场时间的2倍;计算时,根据UPS和电池的实际用电量进行计算;有发电设备的,开始供电时间根据发电设备的说明;有应急供电协议的,开始供电时间根据协议规定;d) 检查两年内的电力切换演练记录。
l 检查结果a) 符合上述a)、b)和d),或者a)、c)和d)的检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司的UPS和发电机(或应急供电协议)供电情况说明作为证明材料2.2.3 空调2.2.3.1 [必须][新增] 应配有与机房热容量匹配的空调l 检查方式检查l 检查对象期货公司机房空调设备及相关负责人l 检查措施a) 期货公司提供机房空调情况说明,包括空调的正常温度;b) 检查期货公司机房空调情况说明,空调热容量是否与机房中配置的设备功率相匹配l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司机房空调情况说明作为证明材料2.2.3.2 [必须][新增] 对机房温湿度应有监控措施和记录l 检查方式检查l 检查对象机房管理l 检查措施a) 检查期货公司机房近一年内机房温度、湿度的监控记录,至少4个时点,时间间隔不小于两个月l 检查结果a) 符合上述a)的检查措施,才达到本检查项的要求;b) 获取加盖了公章的被抽查的期货公司机房温度、湿度监控记录复印件,作为证明材料2.2.4 布线2.2.4.1 [必须][新增] 所有弱电布线应有清晰的线标。
l 检查方式检查l 检查对象机房管理l 检查措施a) 期货公司提供机房线标规划方案;线标上应当可以直接或者可以通过查表的方式,明确知道该线连接的位置和用途;b) 抽查期货公司机房弱电线标是否根据规划实施l 检查结果a) 同时符合上述a)-b)的检查措施,才达到本检查项的要求;b) 获取加盖了公章的机房线标规划方案,作为证明材料2.3 核心系统2.3.1 功能2.3.1.1 [必须][新增] 交易系统应实现数据与应用分离,防止客户终端绕过应用程序界面直接访问核心数据l 检查方式访谈,检查l 检查对象技术部门负责人,期货公司交易系统l 检查措施a) 访谈期货公司技术部门负责人交易系统的软件来源、版本情况、软件架构说明;b) 检查软件架构说明,不应存在客户终端直接使用数据库接口,访问核心数据的情况;c) 检查软件架构说明,不应存在为客户终端或者管理员终端提供通用的直接修改核心数据的方法l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司交易系统的软件来源、版本情况、软件架构说明,作为证明材料2.3.1.2 [必须][新增] 交易系统应具备对客户进行实时风险控制的能力。
l 检查方式访谈,检查l 检查对象技术部门负责人,期货公司交易系统风险控制措施l 检查措施a) 访谈期货公司技术部门负责人交易系统对客户的实时风险控制措施;b) 期货公司提供情况说明,包括交易系统对客户的实时风险控制措施,至少应具备强行平仓和防止保证金透支的功能;c) 检查期货公司交易系统实时风险控制模块l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司交易系统对客户的实时风险控制的情况说明,作为证明材料2.3.1.3 [必须][新增] 交易系统应产生、记录并存储必要的日志信息供审计使用l 检查方式访谈,检查l 检查对象技术部门负责人,期货公司交易系统l 检查措施a) 访谈期货公司技术部门负责人交易系统的软件架构说明和日志功能;b) 期货公司提供情况说明,包括交易系统的日志功能,日志信息至少应包括所有接入客户的身份信息、IP地址和交易信息;c) 检查是否产生必要的日志信息;d) 检查是否记录必要的日志信息;e) 检查是否存储必要的日志信息l 检查结果a) 同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司交易系统的软件架构说明和日志功能材料,作为证明材料。
2.3.1.4 [必须][新增] 核心系统应具备向期货保证金监控中心上报规定数据的功能l 检查方式访谈,检查l 检查对象相关管理人员,核心系统l 检查措施a) 访谈核心系统管理人员保证金数据报送的方式和方法;b) 期货公司提供材料,说明已按要求报送保证金监控中心规定的数据l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的报送数据情况说明材料,作为证明材料2.3.1.5 [必须][新增] 不应具有篡改、伪造核心系统数据或其他可能导致数据失真的功能l 检查方式访谈,检查l 检查对象相关管理人员,核心系统l 检查措施a) 期货公司提供说明核心系统功能清单的资料;b) 检查核心系统功能清单,不应具有篡改成交信息或资金信息的功能l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司核心系统功能清单,作为证明材料2.3.1.6 [必须][新增] 核心系统应有授权管理功能l 检查方式访谈,检查l 检查对象部门负责人,期货公司核心系统权限管理措施l 检查措施a) 访谈期货公司技术部门负责人核心系统的权限管理机制;b) 期货公司提供核心系统说明,包括授权管理功能;c) 检查授权管理功能,应至少做到对单个菜单条目、单个操作人员进行授权。
l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司核心系统说明,作为证明材料2.3.1.7 [必须][新增] 应要求交易系统供应商提供交易、银期及相关查询接口l 检查方式访谈,检查l 检查对象期货公司技术部门负责人,银期系统l 检查措施a) 检查期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明l 检查结果a) 符合上述a)的检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明,作为证明材料2.3.1.8 [必须][新增] 核心系统应具备通过监控中心统一开户系统进行开户的功能l 检查方式检查l 检查对象期货公司核心系统管理人员、核心系统功能l 检查措施a) 访谈核心系统管理人员统一开户的方式和方法;b) 期货公司提供材料,说明已按要求通过监控中心统一开户系统进行开户l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的统一开户情况说明材料,作为证明材料2.3.1.9 [必须][新增] 核心系统应具备链接监控中心投资者查询服务系统的功能。
l 检查方式检查l 检查对象期货公司核心系统管理人员、核心系统功能l 检查措施a) 期货公司提供材料,说明已具备链接监控中心投资者查询服务系统的功能l 检查结果a) 获取加盖了公章的对接投资者查询服务系统的说明材料,作为证明材料2.3.2 性能和容量2.3.2.1 [必须][新增] 交易系统的性能和容量应达到所有其作为会员的交易所的要求l 检查方式检查l 检查对象期货公司交易系统l 检查措施a) 期货公司提供交易系统的性能和容量的情况说明,包括交易系统的性能和容量的最大值;b) 检查期货公司其作为会员的交易所出具的相关测试报告l 检查结果a) 同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司交易系统的性能和容量的情况说明或相关测试报告,作为证明材料2.3.2.2 [必须][新增] 应对交易系统的主要业务指标进行实时监控l 检查方式访谈,检查l 检查对象期货公司交易系统及相关负责人l 检查措施a) 访谈期货公司技术部门负责人,了解实时监控交易系统的主要业务指标以及相应的监控措施;b) 期货公司提供对交易系统的主要业务指标进行实时监控的情况说明,包括交易系统的业务指标监控列表;c) 检查交易系统的主要业务指标监控列表,应至少包括在线用户、报单和成交记录数量等。
l 检查结果a) 同时符合上述a)-c)的检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司交易系统的主要业务指标的实时监控情况说明,作为证明材料2.3.2.3 [必须][新增] 应对所有接入交易所的交易通信链路进行监控l 检查方式访谈,检查l 检查对象技术部门网络管理员,接入交易所的交易通信链路l 检查措施a) 期货公司提供所有接入交易所的链路清单和监控方法;b) 访谈期货公司网络管理员链路监控的方法;c) 抽查至少两条链路的监控实施情况,应当至少监控链路的通断情况、流量情况l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的连接交易所链路清单和监控方法以及抽查的监控记录,作为证明材料2.3.2.4 [必须][新增] 接入交易所的交易通信链路应达到所有其作为会员的交易所的要求,并采用不同运营商的通讯线路作为备份线路l 检查方式检查l 检查对象接入交易所的交易通信链路l 检查措施a) 期货公司提供所有接入交易所的链路清单;b) 检查链路带宽和备份是否满足所有其作为会员的交易所的要求;c) 检查期货公司根据交易所要求进行的链路测试情况;d) 期货公司应当至少有两条线路接入三所联网。
l 检查结果a) 同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的连接交易所链路清单和参加交易所规定的链路测试并通过的证明,作为证明材料2.3.2.5 [必须][新增] 应对所有网上交易的通信链路进行监控l 检查方式访谈,检查l 检查对象技术部门网络管理员,网上交易的通信链路l 检查措施a) 期货公司提供所有网上交易专有链路及监控手段清单;b) 检查网上交易非专有链路的通断监控情况;c) 抽查至少一条专有链路监控实施情况,应当至少监控链路的通断情况l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的网上交易的通信链路清单,作为证明材料2.3.3 交易系统冗余2.3.3.1 [必须][新增] 交易系统的所有部件应有备份l 检查方式访谈,检查l 检查对象技术部门负责人,交易系统的所有部件l 检查措施a) 期货公司提供交易系统的所有部件清单;b) 期货公司提供系统部署图;c) 访谈交易系统部件备份情况(包括交易依赖的所有服务器、磁盘阵列、数据库);d) 核实备份部件真实存在,并实现互备(可以接受需要人工操作的切换流程);e) 抽查交易系统部件的切换演练记录。
l 检查结果a) 同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的部件清单、切换演练汇总报告及操作手册目录页复印件,作为证明材料2.3.4 行情冗余2.3.4.1 [必须][新增] 应使用至少2家行情商提供的行情服务,其中至少有1家使用至少2套服务器l 检查方式访谈,检查l 检查对象客户开户相关人员、行情服务系统l 检查措施a) 访谈期货公司,提供行情服务情况说明;b) 检查期货公司使用了至少2家行情商提供的行情服务;c) 检查期货公司使用了1家至少能提供2套行情服务器的行情商l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司行情服务情况说明,作为证明材料2.3.5 银期系统冗余2.3.5.1 [必须][新增] 应与至少2家银行实现银期转账,其中至少一家提供全国性银期转账服务l 检查方式访谈,检查l 检查对象技术部门负责人、银期转账系统l 检查措施a) 期货公司提供注明正式上线的所有银期转帐系统清单;b) 检查期货公司与银行签署的相关合同及相关内容真实有效;c) 检查两家银期转账;d) 检查至少一家为全国性银期转账。
l 检查结果a) 同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的正式上线的所有银期转帐系统清单,与银行签署相关合同首页和签名页复印件,作为证明材料2.4 安全2.4.1 网络隔离2.4.1.1 [必须][新增] 生产网与互联网应实现有效隔离l 检查方式访谈,检查l 检查对象技术部门网络管理人员、生产网与互联网的隔离情况l 检查措施a) 期货公司提供网络架构图(详细)及与当前运行情况相符的相关设施的配置清单和安全策略,启用访问控制功能;b) 访谈生产网与互联网的隔离情况;c) 检查隔离设备是否真实存在;d) 检查网络设备的安全规则是否配置允许访问规则,控制粒度为网段级,对没有明确定义的数据包缺省拒绝l 检查结果a) 同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;b) 期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存2.4.1.2 [必须][新增] 网站与网上交易系统应实现有效隔离l 检查方式访谈,检查l 检查对象技术部门网络管理人员、网站与网上交易系统的隔离情况l 检查措施a) 期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;b) 访谈网站与网上交易系统的隔离情况;c) 检查隔离设备是否真实存在。
l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c) 如为物理分隔,期货公司应提供说明加盖公章,作为证明材料2.4.1.3 [必须][新增] 生产网与办公网应实现有效隔离l 检查方式访谈,检查l 检查对象技术部门网络管理人员、生产网与办公网的隔离情况l 检查措施a) 期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;b) 访谈生产网与办公网的隔离情况;c) 检查隔离设备是否真实存在l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c) 如为物理分隔,期货公司应提供说明加盖公章,作为证明材料2.4.1.4 [必须][新增] 总部的生产网与营业部的网络应实现有效隔离l 检查方式访谈,检查l 检查对象技术部门网络管理人员、总部的生产网与营业部的网络的隔离情况l 检查措施a) 期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;b) 访谈总部的生产网与营业部的网络的隔离情况;c) 检查隔离设备是否真实存在。
l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c) 如为物理分隔,期货公司应提供说明加盖公章,作为证明材料2.4.1.5 [必须][新增] 生产网与交易所、银行等外联单位网络应实现有效隔离l 检查方式访谈,检查l 检查对象技术部门网络管理人员、生产网与交易所、银行等外联单位网络的隔离情况l 检查措施a) 期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;b) 访谈生产网与交易所、银行等外联单位网络的隔离情况;c) 检查隔离设备是否真实存在l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;c) 获取加盖了公章的外联单位网络隔离情况说明,作为证明材料2.4.2 防病毒、补丁和安全加固2.4.2.1 [必须][新增] 应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级l 检查方式访谈,检查l 检查对象技术部门安全管理人员、安全加固情况l 检查措施a) 期货公司提供系统补丁相关流程和制度;b) 检查补丁评估的相关记录;c)访谈系统补丁更新的情况,跟踪最近一次补丁更新情况。
l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司系统补丁相关流程和制度,作为证明材料2.4.2.2 [必须][新增] 应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新l 检查方式访谈,检查l 检查对象技术部门安全管理人员、Windows病毒防护措施l 检查措施a) 期货公司提供病毒管理相关流程和制度;b) 访谈公司病毒管理的情况,跟踪最近一次全面病毒检查和病毒更新情况;c) 抽查Windows服务器、业务用机和办公机,病毒特征库应根据公司病毒管理策略更新到最新日期l 检查结果a) 同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;b) 获取加盖了公章的期货公司病毒管理流程和制度,作为证明材料2.4.2.3 [必须][新增] 应对通过互联网向外提供服务的设备和系统进行定期安全扫描,关闭不需要的端口l 检查方式检查l 检查对象外联端口的安全措施l 检查措施a) 期货公司提供通过互联网向外提供服务的设备和系统及对应。
