(2000年12月26日颁布,证监期货字[2000]38号)
第一章 总则
第一条 为加强期货交易所、期货经营机构信息技术管理,有效地保护和利用信息技术资源,最大程度地防范技术风险,保护期货交易所、期货经营机构和期货投资者的合法权益,保障期货市场的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关法律、法规和政策,结合期货交易所、期货经营机构的实际情况,制定本规范。
第二条 本规范所称的信息技术,是指所有与期货交易所、期货经营机构业务相关的信息和技术的集合。
第三条 本规范所称的期货经营机构,是指所有在期货交易所、期货交易厅进行期货交易活动的会员和其营业部以及与期货交易所联网的期货交易厅。
第四条 期货交易所、期货经营机构及其相关工作人员,均须遵守本规范。
第二章 管理体系
第一节 组织结构
第五条 期货交易所、期货经营机构的信息技术工作必须实行统一归口管理,建立、健全组织机构。期货交易所、期货经营机构总部应设立信息技术管理部门,作为信息技术系统规划、建设、运行、管理与维护的主管部门;期货营业部至少应设1名信息技术管理人员。
第六条 信息技术管理部门的主要职责:
1、 负责制定与信息技术相关的规章制度;
2、 负责信息技术建设的总体规划并组织实施;
3、 根据业务目标与计划制定信息技术工作计划并组织实施;
4、 负责信息技术人员的培训与考核;
5、 负责计算机硬件、网络设备和软件的选型;
6、 审核计算机硬件设备及网络设备的购置、报损、报废;
7、 负责计算机软件的开发与购买;
8、 保障信息技术系统安全运行,提供技术支持;
9、 负责交易业务数据及其它重要数据的备份管理;
10、负责技术资料的管理;
11、负责对信息技术系统进行定期或不定期的专项检查;
12、指导和监督信息技术工作;
13、跟踪研究信息技术的发展;
14、期货交易所或期货经营机构总部授权的其它管理职能。
第七条 信息技术管理部门的日常工作:
1、 负责信息技术系统的安全运行,交易开市之前做好系统的运行准备工作,开市期间实时监控系统的运行状况,收市以后配合结算人员完成结算等盘后工作;
2、 及时处理涉及信息技术系统运行的数据与文件;
3、 负责对业务人员进行计算机操作指导,协助业务人员进行技术培训;
4、 完整、准确地记录信息技术系统的运行日志,详细记载发生异常时的现象、时间、处理方式和处理结果等内容并妥善保存有关原始资料,及时报告技术事故;
5、 负责计算机硬件设备及网络设备的管理和维护,保持系统处于良好的运行状态;
6、 负责交易业务数据及其它重要数据的备份;
7、 根据业务发展的要求,提交软件需求报告及硬件采购计划;
8、 编制计算机设备的维修、报损和报废计划;
9、 建立动态、静态信息库,为资料查询提供服务;
10、处理经核准的其它事务。
第二节 人员管理
第八条 为保障信息技术系统的开发与运行管理的质量,期货交易所的信息技术人员编制应不少于总人数的百分之二十,期货经营机构的信息技术人员编制应不少于总人数的百分之十。
第九条 信息技术人员应具备大专以上学历,具有计算机基础理论知识和专业信息技术经验,较强的业务工作能力和再学习能力,良好的职业道德和服务意识,富有敬业精神和团队合作精神。
第十条 禁止录用有劣迹、违法犯罪记录人员及期货行业规定的市场禁入者从事信息技术工作。
第十一条 关键信息技术岗位的人员必须经过严格考核,合格后方可上岗。
第十二条 期货交易所、期货经营机构人事部门应当会同信息管理部门定期对信息技术人员进行考核,对信息技术人员定期或不定期轮岗。
第十三条 对信息技术人员应当定期进行业务培训和技术培训,不合格或未参加培训者严禁上岗。
第十四条 离岗人员必须严格办理离岗手续,明确其离岗后的保密义务,退还全部技术资料,信息技术系统的口令必须立即更换。
第三节 安全管理
第十五条 计算机信息技术安全管理的主要内容包括安全防范设施和安全保障机制,以有效降低系统风险和操作风险,并预防计算机犯罪。
第十六条 期货交易所、期货经营机构应当建立计算机信息技术安全管理组织,负责计算机信息技术安全管理。由总经理主管计算机信息技术安全工作,计算机信息技术管理部门负责人为计算机安全工作责任人。期货营业部至少应设1名信息技术安全管理人员。
第十七条 计算机信息技术安全管理组织的主要任务是:制定计算机信息技术安全管理制度,广泛开展计算机信息技术安全教育,定期或不定期进行计算机信息技术安全检查,保证计算机系统安全运行。
第十八条 期货交易所、期货经营机构应当建立计算机机房安全管理制度:
1、 建立完整的计算机运行日志、操作记录及其它与安全有关的资料;
2、 交易时间内机房必须有值班人员;
3、 定期检查安全保障设备,确保其处于正常工作状态;
4、 建立并严格执行机房进出管理制度,无关人员未经安全责任人批准严禁进出机房;
5、 严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房;
6、 没有设立计算机机房的期货经营机构,应参照本条第1款至第5款,制定相应的、适合计算机安全运行的管理制度。
第十九条 期货交易所、期货经营机构应当建立操作安全管理制度:
1、 应采取严密的安全措施,防止无关用户进入系统;
2、 数据库管理系统的口令必须由专人掌管,并定期更换。禁止同一人掌管操作系统口令和数据库管理系统口令;
3、 操作人员应有互不相同的用户名操作权限,定期更换操作口令。操作人员认真做好操作记录,严禁泄露自己的操作口令;
4、 必须启用系统软件提供的安全审计留痕功能;
5、 各岗位操作权限要严格按岗位职责设置。应定期检查操作员的权限;
6、 重要岗位的登录过程应增加必要的限制措施;
7、 必须建立系统开发、维护与使用分离的安全操作原则,计算机信息技术人员不得担任清算员从事结算记帐工作;
8、 建立和完善技术监管系统,定期进行系统的安全性、稳定性、可靠性和异常操作等方面的监管,定期进行独立的对帐,核对交易数据、清算数据、保证金数据及会计数据的一致性和连续性;
9、 业务部门的计算机应定人管理,禁止非本部门人员操作或从事与本部门业务工作无关的工作。
第二十条 期货交易所、期货经营机构应当建立计算机病毒防范制度:
1、 指定专人负责计算机病毒防范工作。定期进行病毒检测,发现病毒立即处理并报告;
2、 新系统安装前应进行病毒例行检测;
3、 经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用;
4、 禁止运行未经审核批准的软件;
5、 应采用国家许可的正版防病毒软件并及时更新软件版本。
第四节 技术资料管理
第二十一条 期货交易所、期货经营机构应当制定技术资料的管理制度,明确执行管理制度的责任人。
第二十二条 技术资料是指与信息技术有关的技术文件、图表、程序和数据,包括信息技术系统建设规划、网络设计方案、软件设计方案、安全设计方案、源代码、系统配置参数、技术数据及相关技术资料。
第二十三条 借阅、复制技术资料应履行必要的手续。
第二十四条 重要技术资料应有副本并异地存放。
第二十五条 技术资料应实施密期管理办法。
第二十六条 报废的技术资料应有严格的销毁和监销制度。
第三章 硬件设施
第一节 计算机机房
第二十七条 期货交易所、期货经营机构计算机机房建设应符合国标GB2887-89《计算机场地技术条件》和GB9361-88《计算站场地安全要求》,并根据情况及时修改和完善。
第二十八条 没有设立计算机机房的期货经营机构,应参照第三十七条,建立相应的、适合计算机安全运行的环境。
第二十九条 机房应有单独的配电柜,计算机系统要设有独立于一般照明电的专用的供配电线路,其容量应有一定的余量,建议采用双路供电。
第三十条 机房应配备不间断电源设备,其容量应保证机房设备和关键交易设备在断电情况下维持到后备电源供电。无备用发电机时,不间断电源设备应能够持续供电2小时以上。
第三十一条 如果供电系统无双路供电且无备用发电机时,不间断电源设备应能够持续供电4小时以上。
第三十二条 机房的接地与防雷系统应达到如下要求:
1、机房应采用独立的直流地、交流工作地和防雷保护地。直流地和防雷保护地之间的距离应大于10米;
2、直流地的接地电阻应小于2欧姆,交流工作地的接地电阻应小于4欧姆,防雷保护地的接地电阻应小于10欧姆;
3、各类通信线路和设备宜增加相应的防雷设施;
4、没有设立计算机机房的期货经营机构,应做好计算机等设备的接地工作。
第三十三条 机房应具备如下环境:
1、机房的使用面积(不包括不间断电源放置面积)不得小于30平方米;
2、机房的操作间与设备间应作分隔,布局应有良好的人机工作环境,保障工作人员的安全与健康;
3、机房宜安装独立空调设备;
4、机房应有防火、防潮、防尘、防盗、防磁、防鼠等设施;
5、机房应配置备用应急照明装置;
6、没有设立计算机机房的期货经营机构,应参照本条中有关要求,建立相应的、适合计算机安全运行的环境。
第二节 远程通信
第三十四条 期货交易所与期货经营机构之间必须建立安全、可靠的通信线路。
第三十五条 重要通信线路必须建立备份线路并定期检修。
第三十六条 通信线路接口部分应采取防止非法进入的安全措施。
第三十七条 通信设备应具有防干扰、防截取能力,具有加密传输功能。
第三十八条 通信设备应建立设备备份。
第三节 计算机设备
第三十九条 期货交易所、期货经营机构计算机服务器应当达到如下要求:
(1) 服务器应具有较好的可靠性和充足的容量;
(2) 服务器应具有一定的容错特性,宜采用镜像、阵列、双机、群集等容错技术;
(3) 服务器应有一定量的备品备件。
第四十条 期货交易所、期货经营机构计算机工作站应当达到如下要求:
(1) 工作站应具有良好的性能及可靠性;
(2) 除计算机机房及确实有需要的业务部门外,一律使用无软驱或光驱等可卸存储装置的网络工作站;
(3) 重要工作站应有冗余备份。
第四十一条 期货交易所、期货经营机构数据存储设备应当达到如下要求:
(1) 应配备安全可靠的数据备份设备;
(2) 至少应有两种不同存储介质的数据存储设备;
(3) 交易业务数据的存储应采用只读式数据记录设备。
第四节 局域网络
第四十二条 期货交易所、期货经营机构布线系统设计可参照CECS 89-97《建筑与建筑群综合布线系统工程设计规范》。在现行技术条件下,不宜继续使用同轴细缆。
第四十三条 网络结构应合理可靠。
第四十四条 网络设备应兼具技术先进性和产品成熟性,具有防攻击等功能。
第四十五条 网络设备应有一定的冗余备份。
第四十六条 通信速率应保证满足正常业务开展的需要。
第五节 电子交易设备
第四十七条 期货交易所、期货经营机构配备的电子交易系统必须达到一定的安全级别。
第四十八条 操作电子交易设备应有严格的身份识别机制。
第四十九条 期货交易所、期货经营机构应采取适当措施,保证设备完好率不低于百分之九十。
第五十条 各种形式的远程交易系统必须采取严格的安全措施。
第五十一条 期货交易所、期货经营机构交易场所应配备行情揭示设备,完整、准确、及时地显示行情信息。
第六节 设备管理
第五十二条 期货交易所、期货经营机构计算机信息技术管理部门应当负责统一管理计算机设备。
第五十三条 计算机设备的选型、购置、登记、保养、维修及报废等必须严格按规定手续办理,重大设备应建立维护档案。
第五十四条 选用的计算机设备必须经过技术论证,符合国家有关标准的规定,满足可靠性与兼容性要求。
第五十五条 新购置的设备应经过测试,测试合格后方能投入使用。
第五十六条 期货交易所、期货经营机构必须定期对计算机设备进行专业维护保养。
第五十七条 未经许可,不得擅自开拆设备或调换设备配件。
第四章 软件环境
第一节 系统软件
第五十八条 期货交易所、期货经营机构使用的系统软件主要包括操作系统软件和数据库管理软件。系统软件的选用应充分考虑软件的安全性、可靠性、稳定性和健壮性。
第五十九条 期货交易所、期货经营机构应使用正版软件。
第六十条 系统软件应具备如下功能:
(1)身份验证功能,防止非法用户随意进入系统;
(2)访问控制功能,防止系统中出现越权访问;
(3)故障恢复功能,能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混乱和数据丢失;
(4)安全保护功能,对信息技术的交换、传输、存储提供安全保护;
(5)安全审计功能,便于应用系统建立访问用户资源的审计记录;
(6)分权制约功能,支持对操作员和管理员的权限分离与相互制约;
(7)安全预警功能,对来自外部的恶意代码和违规操作进行识别、跟踪、记录、和报警。
第六十一条 货交易所、期货经营机构必须启用系统软件提供的安全审计留痕功能。
第六十二条 数据库管理软件除上述功能要求外,还应具有数据库的安全性、完整性、一致性及可恢复性等保障机制。
第六十三条 系统软件应达到C2级以上(含C2级)安全级别。
第二节 应用软件
第六十四条 期货交易所、期货经营机构应用软件包括交易业务处理系统、信息揭示与分析系统及其它业务处理系统等。
第六十五条 交易业务处理系统必须具有如下特性:
(1)自动记录全部操作过程;
(2)关键数据不得以明码存放;
(3)无法绕过应用界面直接查看或操作数据库;
(4)系统管理与业务操作权限严格分开;
(5)防止异常中断后非法进入系统;
(6)提供超时键盘锁定功能;
(7)交易业务数据在通信网络上以加密方式传输;
(8)应存储一年以上完整的系统运行记录与交易清算记录;
(9)提供系统运行状态监控模块;
(10)提供数据接口,满足稽核、审计及技术监控的要求;
(11)其它有助于控制业务操作风险的功能特性。
第六十六条 信息揭示与分析系统及其它业务处理系统必须保证信息揭示的完整、准确和及时。
第三节 软件管理
第六十七条 期货交易所、期货经营机构应用软件在开发或购买之前应正式立项,成立由技术人员、业务人员和管理人员共同组成的项目小组并建立软件质量保证体系。
第六十八条 期货交易所、期货经营机构应当根据应用系统对安全的要求,对应用软件同步进行安全保密设计。
第六十九条 软件开发过程应符合GB8566-88《计算机软件开发规范》。
第七十条 开发维护人员与操作人员必须实行岗位分离,开发环境和现场必须与运行环境和现场隔离。软件设计方案、数据结构、加密算法、源代码等技术资料严禁散失和外泄。
第七十一条 应用软件在正式投入使用前必须经过内部评审,确认系统功能、测试结果和试运行结果均满足设计要求,技术文档齐全,并经批准。
第七十二条 期货交易所、期货经营机构应规定软件的使用范围和使用权限。
第七十三条 软件使用人员应经过适当的操作培训和安全教育。
第七十四条 建立应用软件的文档管理制度、版本管理制度及软件分发制度,防止软件的盗用、误用、流失及越权使用。
第七十五条 期货交易所、期货经营机构使用的系统软件和应用软件应具有统一性。
第七十六条 信息技术人员不得擅自进行软件维护和系统参数调整。
第七十七条 期货交易所、期货经营机构应采取有效措施,防止对应用软件的非法修改。对软件的正常升级、修改,必须进行严格地全面测试无误后方可投入使用。
第五章 数据管理
第一节 交易业务数据
第七十八条 期货交易所、期货经营机构应建立交易业务数据管理制度,对交易业务数据实施严格的安全保密管理。
第七十九条 交易业务数据主要包括交易数据、清算数据及其它相关数据。
第八十条 期货交易所、期货经营机构应当设置数据库管理员岗位,对交易业务数据实行专人管理。信息技术人员未经许可不得拥有数据库管理员操作口令。
第八十一条 期货交易所、期货经营机构信息系统内应至少保存一年以上的交易业务数据。
第八十二条 期货交易所、期货经营机构应建立交易业务数据映象并定期和不定期与交易业务数据进行核对,防止使用过程中产生误操作或被非法篡改。
第八十三条 期货交易所、期货经营机构应按如下要求进行数据备份:
(1) 每个工作日结束后必须制作数据的备份,数据应至少备份在两种不同的介质上并异地存放,保证系统发生故障时能够快速恢复;
(2) 交易业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存。保存期限为期货交易所至少保存20年, 期货经营机构至少保存2年,但对有关期货交易有争议的,应保存至该争议消除时为止;
(3) 备份的数据必须指定专人负责保管,由计算机信息技术人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管;
(4) 数据保管员必须对备份数据进行规范的登记管理;
(5) 备份数据不得更改;
(6) 备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
第八十四条 期货交易所、期货经营机构应按如下要求做好数据保密工作:
(1) 数据不得泄露,禁止外借;
(2) 数据应仅用于明确规定的目的,未经批准不得它用;
(3) 无正当理由和有关批准手续,不得查阅客户资料。经正式批件查阅数据时必须登记,并由查阅人签字;
(4) 保密数据不得以明码形式存储和传输;
(5) 根据数据的保密规定和用途,确定数据使用人员的存取权限、存取方式和审批手续。
第八十五条 交易业务数据不得随意更改。
第二节 系统数据
第八十六条 期货交易所、期货经营机构应制定系统数据管理制度,对系统数据实施严格的安全与保密管理,并定期对系统数据进行备份,防止系统数据的非法生成、变更、泄漏、丢失与破坏。
第八十七条 系统数据主要包括数据字典、权限设置、存贮分配、网络地址、硬件配置及其它系统配置参数。
第八十八条 期货交易所、期货经营机构设置系统管理员岗位,对系统数据实行专人管理。
第八十九条 系统数据不得泄露。
第九十条 期货交易所、期货经营机构应保存系统数据,并定期进行核对。
第六章 技术事故的防范与处理
第一节 技术事故及其防范
第九十一条 技术事故是指由于硬件故障、软件故障和操作失误等原因引起系统无法运行,经启动备用系统仍未恢复正常,导致交易中断并造成经济损失的事件。
第九十二条 技术事故的防范和处理原则是:预防为主,处理及时,力争把事故的损失降低到最小程度。
第九十三条 期货交易所、期货经营机构应当建立健全技术事故的防范对策,严格按本规范要求建设、管理信息技术系统的硬件设施和软件环境,定期进行事故防范演习,针对薄弱环节不断改进完善。
第九十四条 期货交易所、期货经营机构应制定技术事故发生时的应急计划:
(1) 应急计划必须形成文字;
(2) 应急计划应针对可能发生的故障制定紧急处理程序;
(3) 紧急处理程序应张贴在规定的地方;
(4) 对执行应急计划的全体人员进行专项培训,定期进行演习;
(5) 根据演习结果不断完善应急计划。
第二节 技术事故的处理
第九十五条 下列情况期货交易所、期货经营机构免责:
(1) 因不可抗力引发的技术事故;
(2) 因软硬件故障导致的技术事故,经技术专家论证,确认信息技术管理符合本规范要求,确属小概率或偶发性事件;
(3) 其它经技术专家认定的免责事故。
第九十六条 因通信线路故障导致的技术事故,期货交易所、期货经营机构应会同通信部门共同调查解决。
第九十七条 因期货交易所、期货经营机构操作失误导致的技术事故,经调查核实后,期货交易所、期货经营机构负相关责任。
第九十八条 技术事故的事后处理:
(1) 期货交易所、期货经营机构安全管理组织应立即进行事故调查,提出书面调查报告,必要时可组织有关专家鉴定,确定事故的原因和责任;
(2) 对调查中发现的技术薄弱环节,应限期整改。
第七章 附则
第九十九条 本规范自2001年1月1日起实施。