目录
1.总则
1.1 范围
1.2 术语和定义
1.2.1 检查方式
1.2.2 检查对象
1.2.3 检查措施
1.2.4 检查结果
1.3 检查原则
1.3.1 客观公正原则
1.3.2 检查结果二元原则
1.3.3 证明材料验证原则
1.3.4 进入机房原则
1.3.5 测试被检查单位系统的原则
1.3.6 保密原则
1.4 检查技术等级判定
1.4.1 完全达到某章要求的定义
1.4.2 基本达到某章要求的定义
1.4.3 达到等级类的定义
1.5 其他检查说明
2.一类要求
2.1 技术管理
2.1.1 组织结构
培训
2.1.3 人员素质
2.1.4 信息技术服务提供商管理
2.1.5 IT投入
2.2 机房建设
2.2.1 基本
2.2.2 供电
2.2.3 空调
2.2.4 布线
2.3 核心系统
2.3.1 功能
2.3.2 性能和容量
2.3.3 交易系统冗余
2.3.4 行情冗余
2.3.5 银期系统冗余
2.4 安全
2.4.1 网络隔离
2.4.2 防病毒、补丁和安全加固
2.4.3 网站安全
2.4.4 网上交易安全
2.4.5 账户与权限
2.4.6 口令管理
2.4.7 安全审计
2.5 日常运行
2.5.1 岗位
2.5.2 制度与巡检
2.5.3 机房进出
2.6 备份
2.6.1 数据备份
2.7 系统维护
2.7.1 变更管理
2.7.2 配置管理
2.7.3 容量管理
2.7.4 应急演练
2.7.5 技术事故管理
2.8 营业部技术要求
2.8.1 基本要求
2.8.2 交易保障
3.二类要求
3.1 技术管理
3.1.1 组织结构
3.1.2 培训
3.1.3 人员素质
3.1.4 信息技术服务提供商管理
3.1.5 IT投入
3.2 机房建设
3.2.1 基本
3.2.2 供电
3.2.3 空调
3.2.4 布线
3.2.5 维护
3.3 核心系统
3.3.1 功能
3.3.2 性能和容量
3.3.3 交易系统冗余
3.3.4 行情冗余
3.3.5 银期系统冗余
3.4 安全
3.4.1 网络隔离
3.4.2 防病毒、补丁和安全加固
3.4.3 网站安全
3.4.4 网上交易安全
3.4.5 账户与权限
3.4.6 口令管理
3.4.7 安全审计
3.5 日常运行
3.5.1 岗位
3.5.2 制度与巡检
3.5.3 机房进出
3.6 备份
3.6.1 数据备份
3.7 系统维护
3.7.1 变更管理
3.7.2 配置管理
3.7.3 容量管理
3.7.4 应急演练
3.7.5 技术事故管理
3.8 营业部技术要求
3.8.1 基本要求
3.8.2 交易保障
4.三类要求
4.1 技术管理
4.1.1 组织结构
4.1.2 培训
4.1.3 人员素质
4.1.4 信息技术服务提供商管理
4.1.5 IT投入
4.2 机房建设
4.2.1 基本
4.2.2 供电
4.2.3 空调
4.2.4 布线
4.2.5 维护
4.3 核心系统
4.3.1 功能
4.3.2 性能和容量
4.3.3 交易系统冗余
4.3.4 行情冗余
4.3.5 银期系统冗余
4.4 安全
4.4.1 网络隔离
4.4.2 防病毒、补丁和安全加固
4.4.3 网站安全
4.4.4 网上交易安全
4.4.5 账户与权限
4.4.6 口令管理
4.4.7 安全审计
4.5 日常运行
4.5.1 岗位
4.5.2 制度与巡检
4.5.3 机房进出
4.6 备份
4.6.1 数据备份
4.6.2 灾难备份
4.7 系统维护
4.7.1 变更管理
4.7.2 配置管理
4.7.3 容量管理
4.7.4 应急演练
4.7.5 技术事故管理
4.8 营业部技术要求
4.8.1 基本要求
4.8.2 交易保障
5.四类要求
5.1 技术管理
5.1.1 组织结构
5.1.2 培训
5.1.3 人员素质
5.1.4 信息技术服务提供商管理
5.1.5 IT投入
5.2 机房建设
5.2.1 基本
5.2.2 供电
5.2.3 空调
5.2.4 布线
5.2.5 维护
5.3 核心系统
5.3.1 功能
5.3.2 性能和容量
5.3.3 交易系统冗余
5.3.4 行情冗余
5.3.5 银期系统冗余
5.4 安全
5.4.1 网络隔离
5.4.2 防病毒、补丁和安全加固
5.4.3 网站安全
5.4.4 网上交易安全
5.4.5 账户与权限
5.4.6 口令管理
5.4.7 安全审计
5.5 日常运行
5.5.1 岗位
5.5.2 制度与巡检
5.5.3 机房进出
5.6 备份
5.6.1 数据备份
5.6.2 灾难备份
5.7 系统维护
5.7.1 变更管理
5.7.2 配置管理
5.7.3 容量管理
5.7.4 应急演练
5.7.5 技术事故管理
5.8 营业部技术要求
5.8.1 基本要求
5.8.2 交易保障
1.总则
1.1 范围
为加强期货公司信息系统建设,提高运维保障水平,依据《期货公司信息技术管理指引》(以下简称指引),特制订针对期货公司信息系统和技术管理的检查细则。依据指引中的四类要求,相应地制定了四类检查要点。从一类到四类,要求依次提高。
本检查细则可作为期货行业主管部门、行业协会及期货交易所检查期货公司信息系统和技术管理的指引,也可用于期货公司自查。
1.2 术语和定义
1.2.1 检查方式
检查方式是检查人员为判断被检查单位是否达到某检查项而采取的工作方式。本检查要点中,检查方式分为检查和访谈两种。
检查是通过对被检查单位按照预定的方法/工具使其产生特定的行为等活动,查看、分析输出结果,获取证据以证明其是否达到、满足检查项要求的一种方法。
访谈是通过与被检查单位有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明其是否达到、满足检查项要求的一种方法。
1.2.2 检查对象
检查对象是指被检查单位的有关人员、相关机制、流程、数据或物理上可见的系统设备。
1.2.3 检查措施
检查措施是为判定被检查单位是否达到、满足检查项要求而采取的工作步骤或者方法。检查措施包括获取相关的制度、文档和记录,访谈有关人员,检查设备的存在及运行状态等等。
除了本检查细则中规定的内容,检查人员可以按照实际情况的需要,检查与要求相关的其他材料。
1.2.4 检查结果
检查结果是根据检查措施的执行结果,对被检查单位是否达到某项技术要求作出的判定,在本检查要点中,判定只能是“达到要求” 或者“未达到要求”两种。必要时,检查结果中还应包括证明该判定的相关材料。
1.3 检查原则
1.3.1 客观公正原则
检查工作应尽量减少个人主张或判断,在最小主观判断情形下,基于明确定义的检查方法和解释,对每个技术要求项进行检查。
1.3.2 检查结果二元原则
对于每一个技术要求项只有达到要求和未达到要求两种结论。对于被检查单位的等级结论也只有达到某等级类和未达到某等级类两种结论。
1.3.3 证明材料验证原则
对于被检查单位提供的证明材料,应根据具体技术要求项的检查措施进行验证,证明材料应符合实际情况。
1.3.4 进入机房原则
尽量安排非交易时间进入机房检查,最佳进入机房时间应为收盘后。
1.3.5 测试被检查单位系统的原则
原则上,不应对被检查单位系统进行操作,包括运行程序、脚本等。禁止交易期间操作被检查单位系统。不应在交易期间要求被检查单位进行各类系统切换测试和升级操作。
1.3.6 保密原则
在检查期间接触到被检查单位的技术、商业机密应严格保密。证明材料中不应包含被检查单位的相关机密。
1.4 检查技术等级判定
1.4.1 完全达到某章要求的定义
如果被检查单位对于某个等级类的某一章(包括:技术管理、机房建设、核心系统、安全、日常运行、备份、系统维护、营业部要求八大章)所有技术要求项(包括必须和可选)都能够达到要求,那么该被检查单位就是完全达到该等级类中该章的要求。
1.4.2 基本达到某章要求的定义
如果被检查单位对于某个等级类的某个章所有要求程度为必须的技术要求项,都能够达到要求,但不能达到全部或部分可选项的要求,那么该被检查单位就是基本达到该等级类中该章的要求。
1.4.3 达到等级类的定义
如果被检查单位对于某个等级的各章,至多只有两章是基本达到要求,其它章都是完全达到要求,那么该被检查单位即达到了该等级类的要求。
1.5 其他检查说明
本检查细则中要求的所有人员,除特别指出是专职的以外,都可以兼任。
本检查细则中涉及的所有对营业部的检查,原则上都不进行现场检查。正在筹建中的,尚未正式开展业务的营业部不需要检查。但需要检查的营业部中,只要有一个营业部不能达到某技术要求项,则该期货公司就不能达到该技术要求项。
所有需要加盖公章的证明材料,可以采取在材料清单上加盖公章,并给材料统一加盖骑缝章的形式,不必逐份盖章。
2.一类要求
2.1 技术管理
2.1.1 组织结构
2.1.1.1 [必须][新增] 应设有技术部门并有专职技术人员,并有明确的职责分工和岗位说明。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,岗位职责
检查措施
a)访谈期货公司,提供技术部门员工的情况说明,包括人员信息、岗位和基本职责;
b)检查技术人员的岗位说明书和技术部门组织架构说明,查看是否有职责划分不清或是否遗漏重要职责划分,技术人员不得从事开户、风控、资金存取、结算等关键业务操作。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明和组织架构说明,作为证明材料。
2.1.1.2 [必须][新增] 总部技术部门人员总数占公司总部人数的比例不少于8%。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员
检查措施
a)访谈期货公司,提供技术部门员工的情况说明,应包括总部技术部门人员名单及占比情况计算;
b)检查期货公司正式员工花名册及员工人数统计(以与公司签订劳动合同,且具有期货从业资格为准);
c)检查期货公司技术部门技术人员的简历及工资单,是否符合情况说明。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明,作为证明材料。
2.1.1.3 [必须][新增] 总部技术部门人员不少于5人。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员
检查措施
a)检查期货公司总部技术部门员工人数是否达到5人(以与公司签订劳动合同,且具有期货从业资格为准)。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明,作为证明材料(可使用上一项的证明材料)。
2.1.1.4 [必须][新增] 应建立负责本公司信息技术规划和信息安全管理的跨部门机构,其职责包括系统规划、安全管理、IT治理等。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员、信息安全管理机构负责人、组织架构
检查措施
a)访谈负责信息技术规划和信息安全管理的跨部门机构负责人,检查其是否清楚信息技术规划和信息安全的职责和工作内容;
b)检查期货公司组织架构说明和该机构成立的正式文件。
c)检查公司安全管理制度,信息安全工作的总体方针和安全策略,说明该机构安全工作的总体目标、范围、原则和安全框架等;
d)检查是否召开会议,查看会议记录,是否进行有关规划、安全管理、IT治理等制度和规程制定,是否进行审定和修订、发布落实等。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司负责信息技术规划和信息安全管理的跨部门机构的组织架构说明和组织成立的正式文件,作为证明材料。
2.1.1.5 [必须][新增] 应与所有总部技术部门人员签署保密协议,应对技术人员的离岗严格管理。
检查方式
检查
检查对象
保密协议
检查措施
a)检查期货公司总部技术人员的保密协议(或劳动合同中的保密条款)。
b)检查是否办理了严格的调离手续,检查交接记录。
检查结果
a)符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部技术人员保密协议的首页和签名页(或劳动合同相关页)复印件,作为证明材料。
2.1.1.6 [必须][新增] 应设立2名技术联络员,负责组织、协调和处理与信息安全管理部门、交易所及相关单位的各项技术事宜。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,技术联络员,联系方式
检查措施
a)访谈技术部门负责人是否清楚技术联络员的职责,了解技术联络员更换的流程;
b)访谈技术联络员,抽查各交易所、监管机构、保证金监控中心、中期协和存管银行等单位和部门的联系方式;
c)检查技术联络员是否至少为2名。
检查结果
a)如技术联络员更换的流程中不包含通知交易所和监管机构,则认为不符合上述检查措施;
b)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
c)获取加盖了公章的期货公司技术联络员变更相关流程,作为证明材料。
2.1.1.7 [必须][新增] 总部技术部门应有至少1名安全管理人员。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,技术部安全管理人员,岗位职责
检查措施
a)检查期货公司总部安全管理岗人员的个人简历和岗位说明书,查看是否具有安全管理方面的资质和经历,安全管理人员不可外包;
b)访谈期货公司总部安全管理人员,了解其是否明确岗位职责和工作内容,评估其是否达到岗位能力要求。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部安全管理人员的个人简历、岗位说明书复印件,作为证明材料。
2.1.1.8 [必须][新增] 每个营业部应配备至少1名技术人员。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,岗位职责
检查措施
a)现场访谈或电话访谈,抽查营业部技术人员,了解其工作职责和日常工作内容;
b)检查期货公司营业部的正式员工花名册,总部应有各营业部的技术人员总表,包含联系方式(营业部技术人员不得外包,以与公司签订劳动合同,且具有期货从业资格为准),检查营业部技术人员岗位说明书。
检查结果
a)同时符合上述a)-b)项的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的各营业部的技术人员总表,作为证明材料。
2.1.2 培训
2.1.2.1 [必须][新增] 对所有上岗技术人员应进行岗位培训。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,技术培训
检查措施
a)期货公司提供一年内所有上岗技术人员岗位培训的书面记录;
b)培训记录要求包括培训时间、地点、培训讲师、参加培训的人员等信息,并有参加培训人员的签名;
c)抽查一年内的培训记录。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司上岗技术人员的书面培训抽查的记录,作为证明材料。
2.1.2.2 [必须][新增] 总部技术部门的所有人员每两年参加期货业协会组织的技术培训应达到18学时,其中至少有3学时的信息技术法律法规及标准培训。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司近两年参加期货业协会组织的技术培训的清单和协会提供的证明材料;
b)培训清单要求包括培训时间、地点、培训讲师、参加培训的人员等信息。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司近两年参加期货业协会组织的技术培训清单,作为证明材料。
2.1.2.3 [必须][新增] 应有明确的培训教材,用于培训上岗操作人员。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司的培训教材,确定培训教材是否符合岗位实际能力要求;
b)培训教材的形式不限,可以是纸质或电子的。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术培训教材清单,作为证明材料。
2.1.2.4 [必须][新增] 应有对总部技术部门人员的年度培训计划,并根据计划实施。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司对技术员工的年度培训计划;
b)检查一年内的技术员工的培训记录,检查执行实施情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司对技术员工的年度培训计划和培训记录复印件,作为证明材料。
2.1.2.5 [必须][新增] 应定期对各个岗位的人员进行安全教育和培训。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,技术培训
检查措施
a)期货公司提供一年内的各岗位人员安全教育的培训记录。
检查结果
a)符合上述a)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内的各岗位人员安全教育的培训记录复印件,作为证明材料。
2.1.3 人员素质
2.1.3.1 [必须][新增] 总部技术部门人员50%以上应有信息技术相关专业大学本科或以上教育背景。
检查方式
检查
检查对象
人员简历
检查措施
a)检查期货公司总部花名册中技术部门人员部分(以与公司签订劳动合同,且具有期货从业资格为准);
b)期货公司提供总部技术人员的情况说明,包括人员岗位、教育背景;
c)检查期货公司总部技术人员中信息技术相关专业大学本科或以上教育背景的是否达到50%;
d)检查期货公司的总部技术人员的学历证书或个人简历,是否符合情况说明。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部技术人员情况说明,作为证明材料。
2.1.4 信息技术服务提供商管理
2.1.4.1 [必须][新增] 应与信息技术服务提供商签订服务保障协议。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,信息技术服务提供商管理
检查措施
a)访谈期货公司技术部门负责人,了解信息技术服务提供商状况;
b)检查期货公司的服务提供商包含服务保障承诺的协议。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司与信息技术服务提供商之间的协议首页和签名页复印,作为证明材料。
2.1.4.2 [必须][新增] 应与核心系统的服务提供商签署保密协议。
检查方式
检查
检查对象
期货公司技术部门负责人,信息技术服务提供商管理
检查措施
a)检查期货公司与所有交易结算应用系统供应商(包括所有席位的系统)的保密协议或在合同中有保密条款。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司与交易结算应用系统供应商的保密协议或带有保密条款的合同的首页和签名页复印件,作为证明材料。
2.1.4.3 [必须][新增] 应有信息技术服务提供商的准确联系方式。
检查方式
检查
检查对象
信息技术服务提供商管理,联系方式
检查措施
a)期货公司提供所有的服务方联系方式表;
b)检查期货公司的服务提供商联系方式表,并抽查准确性。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司服务提供商的联系方式表,作为证明材料。
2.1.4.4 [必须][新增] 选择信息技术服务提供商时应评估其资质、经营行为、业绩、服务体系和服务品质等要素。
检查方式
检查
检查对象
信息技术服务提供商管理
检查措施
a)访谈期货公司选择服务提供商时的相关评估制度或措施;
b)抽查评估记录,评估记录中应包括服务提供商的资质、经营行为、业绩、服务体系和服务品质。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司服务商的评估制度或相关措施说明,以及抽查的评估记录,作为证明材料。
2.1.4.5 [必须][新增] 应定期对信息技术服务提供商的服务质量进行评估。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,信息技术服务商管理
检查措施
a)访谈期货公司定期评估服务提供商的相关制度或措施;
b)访谈期货公司技术部门负责人,了解服务提供商服务质量定期评估的实施情况;
c)检查一年内期货公司的服务提供商服务质量的评估报告。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司定期评估服务提供商的制度或相关措施说明,以及抽查的评估报告,作为证明材料。
2.1.5 IT投入
2.1.5.1 [必须][新增] 最近三个财政年度IT投入平均数额应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%,取二者数额较大者。
检查方式
检查
检查对象
财务报表
检查措施
a)IT投入的计算范围包括技术类资产投入、运行、维护、信息技术服务和外包费用,不包括人员薪酬福利,计算方法采用权责发生制;
b)检查期货公司前三个财政年度经审计的财务报表;
c)检查期货公司的最近三个财政年度IT投入的清单和对应的费用及比例说明;
d)对于成立时间不足三年的期货公司,只考虑成立以后的时间。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司最近三个财政年度IT投入的清单和对应的费用及比例说明,作为证明材料。
2.2 机房建设
2.2.1 基本
2.2.1.1 [必须][新增] 机房应为独立封闭区域,并配备门禁。
检查方式
检查
检查对象
机房基础设施
检查措施
a)检查期货公司的机房,是否为独立封闭区域(独立封闭区域是指机房内不得包括办公、生活等设施,但可以包括监控终端),并配备门禁(门禁应专门控制机房的出入),并获取机房以及门禁的照片。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取机房以及门禁的照片,作为证明材料。
2.2.1.2 [必须][新增] 机房应具备火警检测、灭火和应急照明设施。
检查方式
访谈,检查
检查对象
机房基础设施
检查措施
a)期货公司提供机房情况说明,包括火警检测、灭火和应急照明设施等信息;
b)检查期货公司的机房的火警检测设施,是否符合情况说明(火警检测设施应分布于机房的每个独立房间);
c)检查期货公司的机房的灭火设施,是否符合情况说明;
d)检查期货公司的机房的应急照明设施,是否符合情况说明。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房情况说明,作为证明材料。
2.2.1.3 [必须][新增] 机房出入口和内部应安装7*24小时录像监控设施,录像至少保存90天。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机房情况说明,包括机房出入口和内部的录像监控设施和录像保存措施等信息;
b)检查期货公司的机房的出入口和内部是否安装录像监控设施,是否与a)的情况说明相符;
c)检查近90天的机房监控录像,并抽查两个不同日期的录像记录。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
2.2.1.4 [必须][新增] 机房应有防雷和接地的设施。
检查方式
检查
检查对象
机房基础设施
检查措施
a)期货公司提供情况说明,包括防雷和接地等措施,以及交流接地、直流接地、安全工作接地电阻不大于4欧姆,防雷接地电阻不大于10欧姆的书面证明材料;
b)检查期货公司的机房的防雷和接地设施,是否与a)的情况说明相符。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
2.2.1.5 [必须][新增] 应实现声音或短信等自动报警或7*24小时值守。
检查方式
访谈,检查
检查对象
技术部门负责人,机房管理
检查措施
a)期货公司提供机房情况说明,包括机房报警或值守措施;
b)检查机房报警是否实现声音或短信等自动报警,是否符合情况说明;
c)如不能自动报警,访谈技术部门负责人,了解是否采取7*24小时值守的机制,检查期货公司的值守记录,抽查一年内4个时点相应的记录,间隔不小于2个月。
检查结果
a)同时符合上述a)和b),或者a)和c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房报警或值守的情况说明,作为证明材料。
2.2.2 供电
2.2.2.1 [必须][新增] 机房应配备在线UPS设施,UPS应当存放在独立封闭区域。
检查方式
检查
检查对象
机房UPS
检查措施
a)期货公司提供UPS情况说明,应说明在线UPS设备功率和UPS设备连接方式,UPS应与计算机、网络设备在不同的独立封闭区域;
b)检查机房的在线UPS设施,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房的UPS设施的情况说明,作为证明材料。
2.2.2.2 [必须][新增] UPS供电时间应超过从断电到发电机启动或者应急供电协议规定到场响应时间的2倍。如无发电设备,UPS的电池应能够支撑4个小时。
检查方式
检查
检查对象
机房供电设施
检查措施
a)期货公司提供UPS供电情况说明;
b)如果没有发电设备,那么计算UPS在保证业务支撑时间的前提下,持续供电的时间应当至少达到4小时;计算时,根据UPS和电池的实际用电量进行计算;
c)如果有发电设备或者应急供电协议,那么计算UPS可以支撑从断电到发电机启动或者应急供电协议规定响应到场时间的2倍;计算时,根据UPS和电池的实际用电量进行计算;有发电设备的,开始供电时间根据发电设备的说明;有应急供电协议的,开始供电时间根据协议规定;
d)检查两年内的电力切换演练记录。
检查结果
a)符合上述a)、b)和d),或者a)、c)和d)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的UPS和发电机(或应急供电协议)供电情况说明作为证明材料。
2.2.3 空调
2.2.3.1 [必须][新增] 应配有与机房热容量匹配的空调。
检查方式
检查
检查对象
期货公司机房空调设备及相关负责人
检查措施
a)期货公司提供机房空调情况说明,包括空调的正常温度;
b)检查期货公司机房空调情况说明,空调热容量是否与机房中配置的设备功率相匹配。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房空调情况说明作为证明材料。
2.2.3.2 [必须][新增] 对机房温湿度应有监控措施和记录。
检查方式
检查
检查对象
机房管理
检查措施
a)检查期货公司机房近一年内机房温度、湿度的监控记录,至少4个时点,时间间隔不小于两个月。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司机房温度、湿度监控记录复印件,作为证明材料。
2.2.4 布线
2.2.4.1 [必须][新增] 所有弱电布线应有清晰的线标。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机房线标规划方案;线标上应当可以直接或者可以通过查表的方式,明确知道该线连接的位置和用途;
b)抽查期货公司机房弱电线标是否根据规划实施。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的机房线标规划方案,作为证明材料。
2.3 核心系统
2.3.1 功能
2.3.1.1 [必须][新增] 交易系统应实现数据与应用分离,防止客户终端绕过应用程序界面直接访问核心数据。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统
检查措施
a)访谈期货公司技术部门负责人交易系统的软件来源、版本情况、软件架构说明;
b)检查软件架构说明,不应存在客户终端直接使用数据库接口,访问核心数据的情况;
c)检查软件架构说明,不应存在为客户终端或者管理员终端提供通用的直接修改核心数据的方法。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的软件来源、版本情况、软件架构说明,作为证明材料。
2.3.1.2 [必须][新增] 交易系统应具备对客户进行实时风险控制的能力。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统风险控制措施
检查措施
a)访谈期货公司技术部门负责人交易系统对客户的实时风险控制措施;
b)期货公司提供情况说明,包括交易系统对客户的实时风险控制措施,至少应具备强行平仓和防止保证金透支的功能;
c)检查期货公司交易系统实时风险控制模块。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统对客户的实时风险控制的情况说明,作为证明材料。
2.3.1.3 [必须][新增] 交易系统应产生、记录并存储必要的日志信息供审计使用。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统
检查措施
a)访谈期货公司技术部门负责人交易系统的软件架构说明和日志功能;
b)期货公司提供情况说明,包括交易系统的日志功能,日志信息至少应包括所有接入客户的身份信息、IP地址和交易信息;
c)检查是否产生必要的日志信息;
d)检查是否记录必要的日志信息;
e)检查是否存储必要的日志信息。
检查结果
a)同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的软件架构说明和日志功能材料,作为证明材料。
2.3.1.4 [必须][新增] 核心系统应具备向期货保证金监控中心上报规定数据的功能。
检查方式
访谈,检查
检查对象
相关管理人员,核心系统
检查措施
a)访谈核心系统管理人员保证金数据报送的方式和方法;
b)期货公司提供材料,说明已按要求报送保证金监控中心规定的数据。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的报送数据情况说明材料,作为证明材料。
2.3.1.5 [必须][新增] 不应具有篡改、伪造核心系统数据或其他可能导致数据失真的功能。
检查方式
访谈,检查
检查对象
相关管理人员,核心系统
检查措施
a)期货公司提供说明核心系统功能清单的资料;
b)检查核心系统功能清单,不应具有篡改成交信息或资金信息的功能。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统功能清单,作为证明材料。
2.3.1.6 [必须][新增] 核心系统应有授权管理功能。
检查方式
访谈,检查
检查对象
部门负责人,期货公司核心系统权限管理措施
检查措施
a)访谈期货公司技术部门负责人核心系统的权限管理机制;
b)期货公司提供核心系统说明,包括授权管理功能;
c)检查授权管理功能,应至少做到对单个菜单条目、单个操作人员进行授权。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统说明,作为证明材料。
2.3.1.7 [必须][新增] 应要求交易系统供应商提供交易、银期及相关查询接口。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,银期系统
检查措施
a)检查期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明,作为证明材料。
2.3.1.8 [必须][新增] 核心系统应具备通过监控中心统一开户系统进行开户的功能。
检查方式
检查
检查对象
期货公司核心系统管理人员、核心系统功能
检查措施
a)访谈核心系统管理人员统一开户的方式和方法;
b)期货公司提供材料,说明已按要求通过监控中心统一开户系统进行开户。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的统一开户情况说明材料,作为证明材料。
2.3.1.9 [必须][新增] 核心系统应具备链接监控中心投资者查询服务系统的功能。
检查方式
检查
检查对象
期货公司核心系统管理人员、核心系统功能
检查措施
a)期货公司提供材料,说明已具备链接监控中心投资者查询服务系统的功能。
检查结果
a)获取加盖了公章的对接投资者查询服务系统的说明材料,作为证明材料。
2.3.2 性能和容量
2.3.2.1 [必须][新增] 交易系统的性能和容量应达到所有其作为会员的交易所的要求。
检查方式
检查
检查对象
期货公司交易系统
检查措施
a)期货公司提供交易系统的性能和容量的情况说明,包括交易系统的性能和容量的最大值;
b)检查期货公司其作为会员的交易所出具的相关测试报告。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的性能和容量的情况说明或相关测试报告,作为证明材料。
2.3.2.2 [必须][新增] 应对交易系统的主要业务指标进行实时监控。
检查方式
访谈,检查
检查对象
期货公司交易系统及相关负责人
检查措施
a)访谈期货公司技术部门负责人,了解实时监控交易系统的主要业务指标以及相应的监控措施;
b)期货公司提供对交易系统的主要业务指标进行实时监控的情况说明,包括交易系统的业务指标监控列表;
c)检查交易系统的主要业务指标监控列表,应至少包括在线用户、报单和成交记录数量等。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的主要业务指标的实时监控情况说明,作为证明材料。
2.3.2.3 [必须][新增] 应对所有接入交易所的交易通信链路进行监控。
检查方式
访谈,检查
检查对象
技术部门网络管理员,接入交易所的交易通信链路
检查措施
a)期货公司提供所有接入交易所的链路清单和监控方法;
b)访谈期货公司网络管理员链路监控的方法;
c)抽查至少两条链路的监控实施情况,应当至少监控链路的通断情况、流量情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的连接交易所链路清单和监控方法以及抽查的监控记录,作为证明材料。
2.3.2.4 [必须][新增] 接入交易所的交易通信链路应达到所有其作为会员的交易所的要求,并采用不同运营商的通讯线路作为备份线路。
检查方式
检查
检查对象
接入交易所的交易通信链路
检查措施
a)期货公司提供所有接入交易所的链路清单;
b)检查链路带宽和备份是否满足所有其作为会员的交易所的要求;
c)检查期货公司根据交易所要求进行的链路测试情况;
d)期货公司应当至少有两条线路接入三所联网。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的连接交易所链路清单和参加交易所规定的链路测试并通过的证明,作为证明材料。
2.3.2.5 [必须][新增] 应对所有网上交易的通信链路进行监控。
检查方式
访谈,检查
检查对象
技术部门网络管理员,网上交易的通信链路
检查措施
a)期货公司提供所有网上交易专有链路及监控手段清单;
b)检查网上交易非专有链路的通断监控情况;
c)抽查至少一条专有链路监控实施情况,应当至少监控链路的通断情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网上交易的通信链路清单,作为证明材料。
2.3.3 交易系统冗余
2.3.3.1 [必须][新增] 交易系统的所有部件应有备份。
检查方式
访谈,检查
检查对象
技术部门负责人,交易系统的所有部件
检查措施
a)期货公司提供交易系统的所有部件清单;
b)期货公司提供系统部署图;
c)访谈交易系统部件备份情况(包括交易依赖的所有服务器、磁盘阵列、数据库);
d)核实备份部件真实存在,并实现互备(可以接受需要人工操作的切换流程);
e)抽查交易系统部件的切换演练记录。
检查结果
a)同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的部件清单、切换演练汇总报告及操作手册目录页复印件,作为证明材料。
2.3.4 行情冗余
2.3.4.1 [必须][新增] 应使用至少2家行情商提供的行情服务,其中至少有1家使用至少2套服务器。
检查方式
访谈,检查
检查对象
客户开户相关人员、行情服务系统
检查措施
a)访谈期货公司,提供行情服务情况说明;
b)检查期货公司使用了至少2家行情商提供的行情服务;
c)检查期货公司使用了1家至少能提供2套行情服务器的行情商。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司行情服务情况说明,作为证明材料。
2.3.5 银期系统冗余
2.3.5.1 [必须][新增] 应与至少2家银行实现银期转账,其中至少一家提供全国性银期转账服务。
检查方式
访谈,检查
检查对象
技术部门负责人、银期转账系统
检查措施
a)期货公司提供注明正式上线的所有银期转帐系统清单;
b)检查期货公司与银行签署的相关合同及相关内容真实有效;
c)检查两家银期转账;
d)检查至少一家为全国性银期转账。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的正式上线的所有银期转帐系统清单,与银行签署相关合同首页和签名页复印件,作为证明材料。
2.4 安全
2.4.1 网络隔离
2.4.1.1 [必须][新增] 生产网与互联网应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与互联网的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及与当前运行情况相符的相关设施的配置清单和安全策略,启用访问控制功能;
b)访谈生产网与互联网的隔离情况;
c)检查隔离设备是否真实存在;
d)检查网络设备的安全规则是否配置允许访问规则,控制粒度为网段级,对没有明确定义的数据包缺省拒绝。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存。
2.4.1.2 [必须][新增] 网站与网上交易系统应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、网站与网上交易系统的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈网站与网上交易系统的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
2.4.1.3 [必须][新增] 生产网与办公网应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与办公网的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈生产网与办公网的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
2.4.1.4 [必须][新增] 总部的生产网与营业部的网络应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、总部的生产网与营业部的网络的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈总部的生产网与营业部的网络的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
2.4.1.5 [必须][新增] 生产网与交易所、银行等外联单位网络应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与交易所、银行等外联单位网络的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈生产网与交易所、银行等外联单位网络的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)获取加盖了公章的外联单位网络隔离情况说明,作为证明材料。
2.4.2 防病毒、补丁和安全加固
2.4.2.1 [必须][新增] 应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、安全加固情况
检查措施
a)期货公司提供系统补丁相关流程和制度;
b)检查补丁评估的相关记录;
c)访谈系统补丁更新的情况,跟踪最近一次补丁更新情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司系统补丁相关流程和制度,作为证明材料。
2.4.2.2 [必须][新增] 应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、Windows病毒防护措施
检查措施
a)期货公司提供病毒管理相关流程和制度;
b)访谈公司病毒管理的情况,跟踪最近一次全面病毒检查和病毒更新情况;
c)抽查Windows服务器、业务用机和办公机,病毒特征库应根据公司病毒管理策略更新到最新日期。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司病毒管理流程和制度,作为证明材料。
2.4.2.3 [必须][新增] 应对通过互联网向外提供服务的设备和系统进行定期安全扫描,关闭不需要的端口。
检查方式
检查
检查对象
外联端口的安全措施
检查措施
a)期货公司提供通过互联网向外提供服务的设备和系统及对应开放端口、端口说明的清单;
b)访谈公司安全扫描和加固安全制度,访谈执行情况;
c)期货公司应提供一年内至少1次安全扫描和加固的报告。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司安全扫描报告首页,作为证明材料。
2.4.3 网站安全
2.4.3.1 [必须][新增] 应有专人监控网站内容,发现问题后及时处理。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站相关业务人员,网站内容管理
检查措施
a)期货公司提供网站监控人员名单和处理流程情况说明;
b)访谈网站监控管理流程。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站监控人员名单和处理流程情况说明,作为证明材料。
2.4.3.2 [必须][新增] 应定期对网站进行安全检查,并对隐患进行及时处理。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站安全检查
检查措施
a)对网站进行的安全检查应包括:SQL注入漏洞、弱口令、口令验证不足、目录遍历、文件上传、HTTP协议追踪、跨站脚本、后台漏洞、敏感信息泄漏、网络漏洞和SSL加密漏洞、下单网页未使用HTTPS加密机制等;
b)期货公司提供一年内的网站安全检查报告;
c)访谈网站安全检查情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站安全检查报告,注明证监会网站相关检查情况,作为证明材料。
2.4.3.3 [必须][新增] 应准备足够措施,能在发现网站被篡改后5分钟内停止发布被篡改的内容。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站内容管理
检查措施
a)期货公司提供网站停止发布机制说明;
b)检查最近一次的演练记录,并评估从发现网站被篡改到停止发布被篡改的内容的时间是否不超过5分钟。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站停止发布机制说明,作为证明材料。
2.4.3.4 [必须][新增] 应安装木马防护软件并定期更新。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,木马防护措施
检查措施
a)期货公司提供网站木马防护机制说明;
b)访谈木马防护软件的部署更新情况;
c)有条件可检查防木马软件版本是否根据情况进行定期更新。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站防木马机制说明,作为证明材料。
2.4.3.5 [必须][新增] 网站的内容发布应有审核制度和完整的内容发布流程。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站内容管理相关业务人员,网站内容管理
检查措施
a)期货公司提供网站内容审核制度及发布流程;
b)检查并访谈网站内容审核制度和流程的执行情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站内容审核制度及发布流程,作为证明材料。
2.4.4 网上交易安全
2.4.4.1 [必须][新增] 应提供可靠的身份认证机制,网上交易客户端支持多种方式与服务端完成身份认证。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,网上交易的身份认证
检查措施
a)期货公司提供网上交易系统的身份认证说明;
b)检查期货公司网上交易系统是否支持多种身份认证方式;
c)访谈网上交易系统的身份验证方式和措施。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司网上交易系统的身份认证说明,作为证明材料。
2.4.4.2 [必须][新增] 服务器上的用户认证信息应加密存放。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,服务器的用户认证
检查措施
a)期货公司提供身份认证存放方式说明;
b)检查用户认证信息是否加密存放;
c)访谈网上交易系统的身份认证存放方式。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司网上交易系统的身份认证存放方式说明,作为证明材料。
2.4.4.3 [必须][新增] 应在与客户签订的服务合同(网上期货服务合同、期货经纪合同及补充协议、风险揭示书)中载明,客户使用网上期货业务可能面临的风险、期货公司采取的风险控制措施、客户应采取的风险控制措施以及相关风险对应的责任承担(如防止用于网上交易的计算机或手机终端感染木马、病毒,以免被恶意程序窃取口令;加强帐号、口令的保护,不使用简单口令、定期修改口令、输入口令时防止他人偷看、不对他人泄露口令等)。
检查方式
访谈,检查
检查对象
投资者开户负责人员
检查措施
a)期货公司提供网上期货服务合同(协议);
b)访谈开户时网上交易风险揭示的措施和流程。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司网上期货服务合同(协议)中揭示网上交易风险部分页作为证明材料。
2.4.4.4 [必须][新增] 应提供预留验证信息服务,在客户进行登录时向客户进行显示,帮助客户有效识别仿冒的网上期货信息系统,防范利用仿冒的网上期货信息系统进行诈骗活动。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,网上交易系统的预留验证信息服务
检查措施
a)期货公司提供网上交易系统的预留验证信息相关服务的说明(例如提供客户结算单信息等);
b)访谈公司网上交易系统的预留验证信息相关服务的情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网上交易系统的预留验证信息相关服务的说明,作为证明材料。
2.4.5 账户与权限
2.4.5.1 [必须][新增] 应有生产环境内关键系统账户与权限的关系表。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供生产环境内关键应用系统(包括交易、结算和风险监控系统)的账户与权限的关系表;
b)访谈生产环境内关键系统账户与权限的关系维护情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司生产环境内关键系统账户与权限的关系表,作为证明材料。
2.4.5.2 [必须][新增] 账户和权限变更应有审批和完整的记录。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供生产环境内关键应用系统(包括交易、结算和风险监控系统)账户与权限的审批制度和流程;
b)期货公司提供一年内全部生产环境内关键系统账户与权限的审批表,并跟踪一次权限变更是否符合制度要求;
c)访谈账户与权限审批制度和流程落实情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司生产环境内关键系统账户与权限审批制度和流程,作为证明材料。
2.4.5.3 [必须][新增] 岗位变动应及时调整对应系统的账户和权限。
检查方式
检查
检查对象
权限管理
检查措施
a)期货公司提供生产环境账户与权限变更制度和流程;
b)期货公司提供一年内全部生产环境账户与权限变更记录;
c)抽查至少2次账户权限变更是否及时(岗位变动和权限变更时间间隔不得超过1个月)。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司生产环境账户与权限变更制度和流程,作为证明材料。
2.4.5.4 [必须][新增] 应避免使用超级管理员账户完成日常业务操作。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供业务系统超级管理员账户的使用情况说明;
b)访谈业务系统超级管理员账户的使用情况,该账户应只进行开设账户、权限分配等非日常业务操作。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司业务系统管理员账户的使用情况说明,作为证明材料。
2.4.6 口令管理
2.4.6.1 [必须][新增] 所有书面方式保存的口令应有安全的物理保护措施。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,口令管理
检查措施
a)以明文方式存放在计算机中的口令视同为书面方式保存的口令;
b)期货公司提供书面口令保存方式的情况说明,应有安全的物理保护措施,例如放置于保险箱、带锁的柜子,以明文方式存放口令的计算机应放置于有出入控制的操作间内;
c)检查口令保存方式措施真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司书面口令保存方式的情况说明,作为证明材料。
2.4.6.2 [必须][新增] 口令应有复杂度要求。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,口令管理
检查措施
a)期货公司提供口令复杂度要求的相关制度,应包括具体的复杂度要求,如口令长度、组合等;
b)访谈口令复杂度的实施范围和措施。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司口令复杂度要求的相关制度,作为证明材料。
2.4.7 安全审计
2.4.7.1 [必须][新增] 核心系统的主要业务操作应产生审计记录。
检查方式
检查
检查对象
核心系统的业务操作审计
检查措施
a)期货公司提供核心系统的主要业务操作的审计记录,应包括时间、发起者、类型、描述和结果;
b)抽查一年内至少2天的审计记录,时间间隔不少于两个月。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的核心系统主要业务操作的审计记录,作为证明材料。
2.4.7.2 [必须][新增] 应采取有效措施防止删除、修改或覆盖审计记录。
检查方式
检查
检查对象
核心系统的业务操作审计
检查措施
a)期货公司提供核心系统的主要业务操作的审计记录保存方式的说明,应至少每日对审计记录进行备份;
b)检查期货公司审计记录保存措施的落实情况。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统主要操作记录机制说明,作为证明材料。
2.5 日常运行
2.5.1 岗位
2.5.1.1 [必须][新增] 应建立日常值班制度,设立专门运行保障岗位,制定明确的每日值班表,保障交易期间有人值守。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,岗位说明书,排班表,值班记录
检查措施
a)访谈技术部门负责人,了解期货公司日常运行维护的整体情况;
b)期货公司提供日常值班制度、值班表、包括运行保障职责的岗位说明书和交易期间值班安排说明。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的日常值班制度、每日值班表、运行保障岗位说明书和交易期间值班安排的说明,作为证明材料。
2.5.1.2 [必须][新增] 初始化、结算、数据备份等关键操作过程和结果应有复核。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,值班记录
检查措施
a)访谈期货公司技术部门负责人,了解关键操作保障情况;
b)检查日常值班制度中是否有复核的规定;
c)检查日常值班记录中是否体现了复核的要求。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司日常值班制度,作为证明材料。
2.5.1.3 [必须][新增] 交易运行期间应有现场保障人员,以及时维护和应急处理。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,排班表
检查措施
a)访谈期货公司技术部门负责人了解现场保障人员情况,现场保障是指可以随时登录到核心系统各个服务器和网络设备;
b)检查日常值班制度中是否要求了交易期间现场保障人员以及对应的职责;
c)检查排班表中是否包含现场保障人员。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供日常值班制度,作为证明材料。
2.5.2 制度与巡检
2.5.2.1 [必须][新增] 在关键时间点应对生产环境运行状态进行巡检。
检查方式
检查
检查对象
日常值班制度,巡检记录
检查措施
a)期货公司提供对生产环境的日常巡检列表,包括对生产环境运行状态的巡检,巡检对象应包括生产环境的机房基础设施、应用、主机、网络等;
b)检查日常巡检列表,在关键时间点是否对生产环境运行状态进行巡检,关键时间点是否覆盖开盘前、中午休市、下午收市等;
c)期货公司提供一年内的所有巡检记录,抽查一年内至少4天的生产环境的日常巡检记录,时间间隔不小于两个月。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的一年内至少4天的生产环境的日常巡检记录,作为证明材料。
2.5.2.2[必须][新增] 巡检应保留记录,并有操作和复核人员的签名。
检查方式
检查
检查对象
巡检记录
检查措施
a)期货公司提供一年内生产环境的所有巡检记录;
b)抽查期货公司一年内4天的生产环境的巡检记录,时间间隔不小于两个月;
c)检查巡检记录是否有操作人员和复核人员签名确认。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内4天的巡检记录复印件,作为证明材料。
2.5.2.3 [必须][新增] 应记录生产环境发生的故障和异常。
检查方式
检查
检查对象
故障记录
检查措施
a)期货公司提供一年内生产环境发生故障和异常的记录和报告;
b)检查生产环境发生的故障记录和报告应包含发生的时间、现象、处理措施、后续处理手段等内容;
c)检查故障记录和报告信息是否完整。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的抽查的故障记录和报告复印件,作为证明材料。
2.5.2.4 [必须][新增] 应建立完善和更新重要手册的机制。
检查方式
检查
检查对象
变更操作手册、值班操作手册、应急操作手册、巡检卡
检查措施
a)期货公司提供生产环境日常运行的重要手册完善和更新的制度和流程;
b)检查重要手册(如巡检、应急操作手册等)的更新和修订记录。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司重要手册的更新记录,作为证明材料。
2.5.3 机房进出
2.5.3.1 [必须][新增] 应建立机房及值班操作间的出入登记制度,并保留相关记录。
检查方式
检查
检查对象
出入登记制度,出入登记记录
检查措施
a)期货公司提供机房及值班操作间的出入登记制度及一年内的相关记录;
b)检查期货公司机房和操作间出入登记制度,是否明确登记要求;
c)抽查期货公司一年内机房和值班操作间的出入登记记录,信息登记是否完全。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房及值班操作间的出入登记制度和出入登记记录复印件,作为证明材料。
2.5.3.2 [必须][新增] 非技术保障人员进入机房应获得授权,并有技术保障人员陪同,所携带设备应专门登记。
检查方式
访谈,检查
检查对象
机房管理制度,出入登记记录
检查措施
a)访谈技术部门负责人,了解非技术保障人员进入机房的授权流程和控制措施;
b)抽查期货公司一年内非技术保障人员进入机房的登记信息,检查是否有相应的授权信息;
c)检查期货公司一年内非技术保障人员进入机房的登记信息,检查所携带设备信息描述是否清楚;
d)检查期货公司一年内非技术保障人员进入机房的登记信息,检查是否有技术保障人员陪同信息。
检查结果
a)同时符合上述a)-d)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内非技术保障人员进入机房的登记记录复印件,作为证明材料。
2.5.3.3 [必须][新增] 交易期间如无应急或者巡检需要,不应进入机房。
检查方式
检查
检查对象
机房管理制度,出入登记记录
检查措施
a)期货公司提供机房出入管理制度;
b)检查期货公司机房出入制度,是否有交易期间如无应急或者巡检需要,不应进入机房的要求;
c)抽查期货公司一年内交易时间进入机房的出入记录,检查是否有授权信息,或对进入机房的必要性进行了说明。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的机房出入记录复印件,作为证明材料。
2.6 备份
2.6.1 数据备份
2.6.1.1 [必须][新增] 应根据数据的重要性及其对核心系统运行的影响,制定数据备份策略和恢复策略。
检查方式
访谈,检查
检查对象
技术部门负责人,数据备份制度
检查措施
a)检查期货公司数据备份、恢复的制度和策略;
b)访谈技术部门负责人数据备份策略和恢复策略情况。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据备份制度和策略,作为证明材料。
2.6.1.2 [必须][新增] 应建立数据管理、介质维护、销毁和使用管理制度。
检查方式
检查
检查对象
技术部门负责人,数据备份制度
检查措施
a)检查期货公司数据管理制度中是否包含介质维护、销毁和使用管理等内容。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据和介质管理的相关制度复印件,作为证明材料。
2.6.1.3 [必须][新增] 应对介质进行明确标识。
检查方式
访谈,检查
检查对象
介质标识相关规定,数据备份介质
检查措施
a)访谈期货公司介质标识的相关规定;
b)期货公司提供一年内所有的备份介质;
c)抽查一年内期货公司4次备份介质,时间间隔不少于两个月;
d)检查备份介质是否有明确的标识,是否符合规定。
检查结果
a)同时符合上述a)-d)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司介质标识相关规定复印件,作为证明材料。
2.6.1.4 [必须][新增] 应确保介质存放在安全环境中,实现对备份数据的控制和保护。
检查方式
检查
检查对象
数据备份介质
检查措施
a)期货公司提供备份介质保存环境说明;
b)检查介质存放环境是否具有防盗措施,如保险柜、加锁的抽屉或者有出入控制措施的专用储藏室;
c)应至少有一种介质具有可离线存放的特性,如磁带、光盘、移动硬盘等。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司备份介质相关说明,作为证明材料。
2.6.1.5 [必须][新增] 每日应对结算后数据进行备份。
检查方式
检查
检查对象
数据备份管理
检查措施
a)根据期货公司备份策略,抽查期货公司至少2次结算后备份介质或文件,实际操作情况应与备份策略一致;
b)检查期货公司每日值班记录中是否包括备份结算后数据的操作。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司值班记录备份相关页,作为证明材料。
2.6.1.6 [必须][新增] 应定期对主要备份业务数据进行恢复验证,根据介质使用期限及时转储数据。
检查方式
访谈,检查
检查对象
备份管理人员,数据备份管理
检查措施
a)访谈数据备份管理人员,了解数据恢复验证频率、措施及数据转储操作流程;
b)检查数据恢复验证和转储的操作手册,抽查一年内进行恢复验证和转储的操作记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据备份操作手册和近期转储操作记录复印件,作为证明材料。
2.6.1.7 [必须][新增] 应指定专人负责保管业务数据备份介质。
检查方式
访谈,检查
检查对象
备份管理人员,数据备份管理
检查措施
a)期货公司提供包括业务数据备份介质管理职责的岗位说明书;
b)检查岗位说明书是否包含相应工作职责;
c)访谈备份介质管理人员,评估其是否掌握介质分类、维护、使用管理和转储相关的制度和操作流程。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供的包括业务数据备份介质管理职责的岗位说明书复印件,作为证明材料。
2.7 系统维护
2.7.1 变更管理
2.7.1.1 [必须][新增] 应将所有涉及核心系统的软硬件变更纳入变更管理范围。
检查方式
检查
检查对象
变更管理制度
检查措施
a)检查期货公司变更管理制度,是否核心系统的软硬件变更都纳入变更管理范围。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司变更管理制度的相关章节,作为证明材料。
2.7.1.2 [必须][新增] 每次变更前应进行评估。
检查方式
访谈,检查
检查对象
技术部门负责人,变更评估报告
检查措施
a)评估结果应包括风险、变更方案、检验方法、影响通知范围等内容;
b)访谈期货公司技术部门负责人,了解变更前的风险评估流程;
c)期货公司提供一年内变更记录;
d)抽查一年内两次变更记录和相关文档,检查是否在变更前进行评估。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更记录和相关文档,作为证明材料。
2.7.1.3 [必须][新增] 所有变更操作应有操作记录。
检查方式
检查
检查对象
变更管理制度,变更记录
检查措施
a)期货公司提供变更管理制度;
b)检查期货公司变更管理制度,是否包含变更应有操作记录的要求;
c)期货公司提供一年内变更记录;
d)抽查期货公司变更记录,是否包含操作人,操作步骤,操作内容等操作记录。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更记录和相关文档,作为证明材料。
2.7.1.4 [必须][新增] 所有变更应进行事后检查。
检查方式
检查
检查对象
变更管理制度,变更记录
检查措施
a)期货公司提供变更管理制度;
b)检查期货公司变更管理制度,是否包含变更必须进行事后检查的要求;
c)期货公司提供一年内变更记录;
d)抽查期货公司变更操作记录,是否包含事后检查的内容。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更操作记录复印件,作为证明材料。
2.7.1.5 [必须][新增] 对于风险较大的变更,在条件允许的情况下,应制定应急和回退方案。
检查方式
访谈,检查
检查对象
技术部门负责人,变更管理制度,回退方案
检查措施
a)检查变更管理制度,是否包含制订应急和回退方案的内容;
b)抽查期货公司一年内两次风险较大的变更操作手册和记录,其中应包含应急和回退方案。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更操作手册和记录复印件,作为证明材料。
2.7.1.6 [必须][新增] 风险较大的变更,应在变更后对系统的运行情况进行跟踪。
检查方式
访谈,检查
检查对象
技术部门负责人,变更管理制度,值班记录
检查措施
a)访谈技术部门负责人,了解变更前的风险评估流程和变更之后的跟踪机制;
b)抽查期货公司一年内两次风险较大的变更,检查其后的值班记录是否对变更系统进行了跟踪观察。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的值班记录复印件,作为证明材料。
2.7.1.7 [必须][新增] 进行与核心系统相关的开发工作时,应避免在生产环境上进行日常测试。
检查方式
访谈
检查对象
技术部门负责人
检查措施
a)期货公司提供核心系统相关开发工作的情况说明;
b)访谈期货公司技术部门负责人,了解期货公司是否进行核心系统的开发工作。如果进行相关开发,是否具有独立的开发或者测试环境。
检查结果
a)如果期货公司不进行核心系统开发,本检查项可判定为满足;
b)同时符合上述a)-b)项的检查措施,才达到本检查项要求;
c)获取加盖了公章的期货公司核心系统相关开发工作的情况说明,作为证明材料。
2.7.1.8 [必须][新增] 如果需要使用生产环境进行测试,应纳入变更管理。
检查方式
访谈
检查对象
技术部门负责人
检查措施
a)期货公司提供是否使用生产环境进行测试及相应的情况说明;
b)访谈期货公司技术部门负责人,使用生产环境进行测试是否纳入变更管理;
c)抽查一次使用生产环境的测试记录和相关文档。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司使用生产环境进行测试的情况说明,作为证明材料。
2.7.2 配置管理
2.7.2.1 [必须][新增] 应具有生产环境设计和部署文档,并根据变更及时更新。
检查方式
检查
检查对象
配置文档
检查措施
a)期货公司提供生产环境设计和部署文档及清单;
b)检查生产环境设计和部署文档,至少有完整的网络拓扑图和应用系统部署方案,应有与网络拓扑图相对应的网络配置表,表中应包含IP地址等主要信息;
c)抽查相关文档是否与当前生产环境相符,包括网络拓扑图、应用系统部署方案、网络配置表等所有文档应及时更新。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司生产环境设计和部署文档清单,作为证明材料。
2.7.2.2 [必须][新增] 应对重要的配置信息进行有效备份。
检查方式
访谈,检查
检查对象
配置管理人员及技术部门负责人,配置文档
检查措施
a)期货公司提供备份配置信息的相关流程,至少包括核心业务系统的操作系统、网络设备、数据库以及应用系统的配置;
b)访谈技术部门负责人和配置管理人员,了解流程执行情况;
c)抽查备份信息是否和生产环境配置吻合。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司配置信息备份的相关流程,作为证明材料。
2.7.3 容量管理
2.7.3.1 [必须][新增] 每年应对核心系统的性能和容量情况进行评估。
检查方式
检查
检查对象
容量评估报告
检查措施
a)检查期货公司上一年度核心系统性能和容量情况的评估报告。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司上一年度核心系统性能和容量情况的评估报告复印件,作为证明材料。
2.7.3.2 [必须][新增] 应根据核心系统的性能容量评估报告,结合业务发展情况及时提出改进计划。
检查方式
检查
检查对象
性能和容量改进计划
检查措施
a)检查期货公司是否制定了核心系统性能容量的改进计划;
b)检查改进计划是否符合要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统性能容量改进计划复印件,作为证明材料。
2.7.4 应急演练
2.7.4.1 [必须][新增] 对核心系统的常见故障应有书面的应急预案和排障流程。
检查方式
检查
检查对象
应急预案,排障流程
检查措施
a)检查期货公司核心系统的常见故障应急预案和排障流程。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统应急预案目录、排障流程清单,作为证明材料。
2.7.4.2 [必须][新增] 应参与交易所等行业相关机构组织的测试和应急演练并有记录。
检查方式
检查
检查对象
测试记录,应急演练记录
检查措施
a)期货公司提供参加交易所等行业相关机构组织的应急演练的情况说明;
b)抽查期货公司参加应急演练的记录或者报告。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司参加交易所等行业相关机构组织的应急演练的情况说明,作为证明材料。
2.7.4.3 [必须][新增] 应根据机构、人员、技术等变化,及时调整应急预案。
检查方式
检查
检查对象
应急预案
检查措施
a)检查期货公司应急预案的历史版本,是否反映了相关变化。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求。
2.7.4.4 [必须][新增] 应有应急演练计划,并定期根据计划进行演练。
检查方式
检查
检查对象
应急演练记录
检查措施
a)应急演练应包含对部分自身应急预案和排障流程的执行;
b)检查期货公司应急演练计划;
c)抽查两年内演练的报告或记录,检查期货公司是否按计划进行了应急演练。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司应急演练计划目录和报告目录,作为证明材料。
2.7.4.5 [必须][新增] 应准备必要工具,以便应急预案的顺利执行。
检查方式
检查
检查对象
应急预案,应急工具
检查措施
a)根据应急预案,抽查其中需要使用的相关应急软、硬件工具是否真实存在。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求。
2.7.5 技术事故管理
2.7.5.1 [必须][新增] 应建立技术事故报告制度和流程。
检查方式
检查
检查对象
事故管理制度
检查措施
a)检查期货公司技术事故报告制度和流程。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术事故报告制度和流程,作为证明材料。
2.7.5.2 [必须][新增] 应保存技术事故的记录。
检查方式
检查
检查对象
事故记录
检查措施
a)期货公司提供一年内技术事故的记录;
b)抽查期货公司技术事故记录,应包括事故时间、现象、处理流程、处理结果、原因、改进措施等。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术事故报告复印件,作为证明材料。
2.7.5.3 [必须][新增] 应根据技术事故情况,及时提出改进计划,落实改进措施。
检查方式
访谈,检查
检查对象
技术部门负责人,改进计划
检查措施
a)期货公司提供针对近期技术事故情况的改进计划;
b)访谈技术部门负责人,了解落实改进情况。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司针对近期技术事故情况的改进计划复印件,作为证明材料。
2.8 营业部技术要求
2.8.1 基本要求
2.8.1.1 [必须][新增] 营业部设备区域应是一个单独的房间,用于放置营业部开展业务所需的网络、通信和主机设备。
检查方式
检查
检查对象
营业部设备区域情况说明
检查措施
a)期货公司提供所有营业部的设备区域的情况说明,其中必须包含设备区的照片;
b)检查情况说明,营业部设备区域是否是单独的房间,与其他办公区域进行了有效隔断;
c)检查情况说明,营业部业务所需的网络、通信和主机是否放在设备区域内。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部的设备区域的情况说明,作为证明材料。
2.8.1.2 [必须][新增] 应确保在交易时间内有技术人员进行技术系统维护工作。
检查方式
检查
检查对象
营业部交易期间技术人员值守情况说明
检查措施
a)期货公司提供所有营业部交易期间技术人员值守情况说明,包括技术人员的联系方式(固定电话号码、移动电话号码);
b)检查情况说明中的交易时间内的系统维护工作。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部交易期间值守情况说明,作为证明材料。
2.8.1.3 [必须][新增] 应有与当前运行情况相符的业务系统结构文档。
检查方式
检查
检查对象
业务系统结构文档
检查措施
a)检查期货公司提供的所有营业部为业务开展提供支持的信息系统的结构文档,应包括系统组成、网络拓扑等。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部业务系统结构文档,作为证明材料。
2.8.1.4 [必须][新增] 应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。
检查方式
检查
检查对象
补丁管理制度、测试和升级记录
检查措施
a)检查期货公司提供的营业部补丁管理制度和流程;
b)抽查营业部核心系统依赖的系统软件的测试和升级记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部补丁管理制度和流程,作为证明材料。
2.8.1.5 [必须][新增] 应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。
检查方式
检查
检查对象
营业部的防病毒管理流程和制度
检查措施
a)期货公司提供营业部的防病毒管理的相关流程和制度;
b)检查防病毒管理的相关流程和制度,是否能够进行全面检查,是否能保障病毒库的及时更新。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的防病毒管理流程和制度,作为证明材料。
2.8.1.6 [必须][新增] 应建立有效机制,保障总部了解各个营业部的运行情况。
检查方式
检查
检查对象
营业部运行情况报告
检查措施
a)期货公司提供一年内所有营业部向总部提交的运行情况报告,频度应不低于每月一次;
b)抽查至少2次运行报告,时间间隔不小于两个月。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司营业部2次运行报告,作为证明材料。
2.8.1.7 [必须][新增] 应有总部和信息技术服务提供商的准确联系方式。
检查方式
检查
检查对象
营业部联系方式表
检查措施
a)检查期货公司的所有营业部联系方式表,是否包括总部和信息技术服务提供商的联系方式;
b)抽查信息技术服务提供商的联系方式。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部联系方式表,作为证明材料。
2.8.2 交易保障
2.8.2.1 [必须][新增] 营业部应为设备区域配备UPS和空调。
检查方式
检查
检查对象
营业部UPS、空调情况说明
检查措施
a)检查期货公司提供的所有营业部配备UPS和空调的情况说明。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的UPS和空调的情况说明,作为证明材料。
2.8.2.2 [必须][新增] 营业部应有至少两条交易通信链路。
检查方式
检查
检查对象
营业部交易通信链路情况说明
检查措施
a)期货公司提供所有营业部的交易通信链路情况说明;
b)抽查链路情况说明,查看营业部是否提供两条交易通信链路。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的交易通信链路情况说明,作为证明材料。
2.8.2.3 [必须][新增] 营业部关键设备应有冗余。
检查方式
检查
检查对象
营业部关键设备情况说明
检查措施
a)期货公司提供所有营业部的关键设备情况说明,应包括服务器、网络设备、安全防护设备等;
b)抽查设备情况说明,查看关键设备是否达到冗余要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的关键设备情况说明,作为证明材料。
2.8.2.4 [必须][新增] 营业部应有有效的日常运行流程和应急处理流程,并进行适当的演练。
检查方式
检查
检查对象
营业部日常运行流程,应急处理流程,演练记录
检查措施
a)检查期货公司提供的所有营业部的日常运行流程、应急处理流程和一年内的演练记录。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部日常运行流程、应急处理流程和演练记录,作为证明材料。
3.二类要求
3.1 技术管理
3.1.1 组织结构
3.1.1.1 [必须][延续] 应设有技术部门并有专职技术人员,并有明确的职责分工和岗位说明。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,岗位职责
检查措施
a)访谈期货公司,提供技术部门员工的情况说明,包括人员信息、岗位和基本职责;
b)检查技术人员的岗位说明书和技术部门组织架构说明,查看是否有职责划分不清或是否遗漏重要职责划分,技术人员不得从事开户、风控、资金存取、结算等关键业务操作。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明和组织架构说明,作为证明材料。
3.1.1.2 [必须][延续] 总部技术部门人员总数占公司总部人数的比例不少于8%。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员
检查措施
a)访谈期货公司,提供技术部门员工的情况说明,应包括总部技术部门人员名单及占比情况计算;
b)检查期货公司正式员工花名册及员工人数统计(以与公司签订劳动合同,且具有期货从业资格为准);
c)检查期货公司技术部门技术人员的简历及工资单,是否符合情况说明。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明,作为证明材料。
3.1.1.3 [必须][新增] 总部技术部门人员不少于8人。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员
检查措施
a)检查期货公司总部技术部门员工人数是否达到8人(以与公司签订劳动合同,且具有期货从业资格为准)。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明,作为证明材料(可使用上一项的证明材料)。
3.1.1.4 [必须][延续] 应建立负责本公司信息技术规划和信息安全管理的跨部门机构,其职责包括系统规划、安全管理、IT治理等。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员、信息安全管理机构负责人、组织架构
检查措施
a)访谈负责信息技术规划和信息安全管理的跨部门机构负责人,检查其是否清楚信息技术规划和信息安全的职责和工作内容;
b)检查期货公司组织架构说明和该机构成立的正式文件。
c)检查公司安全管理制度,信息安全工作的总体方针和安全策略,说明该机构安全工作的总体目标、范围、原则和安全框架等;
d)检查是否召开会议,查看会议记录,是否进行有关规划、安全管理、IT治理等制度和规程制定,是否进行审定和修订、发布落实等。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司负责信息技术规划和信息安全管理的跨部门机构的组织架构说明和组织成立的正式文件,作为证明材料。
3.1.1.5 [必须][延续] 应与所有总部技术部门人员签署保密协议,应对技术人员的离岗严格管理。
检查方式
检查
检查对象
保密协议
检查措施
a)检查期货公司总部技术人员的保密协议(或劳动合同中的保密条款)。
b)检查是否办理了严格的调离手续,检查交接记录。
检查结果
a)符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部技术人员保密协议的首页和签名页(或劳动合同相关页)复印件,作为证明材料。
3.1.1.6 [必须][延续] 应设立2名技术联络员,负责组织、协调和处理与信息安全管理部门、交易所及相关单位的各项技术事宜。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,技术联络员,联系方式
检查措施
a)访谈技术部门负责人是否清楚技术联络员的职责,了解技术联络员更换的流程;
b)访谈技术联络员,抽查各交易所、监管机构、保证金监控中心、中期协和存管银行等单位和部门的联系方式;
c)检查技术联络员是否至少为2名。
检查结果
a)如技术联络员更换的流程中不包含通知交易所和监管机构,则认为不符合上述检查措施;
b)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
c)获取加盖了公章的期货公司技术联络员变更相关流程,作为证明材料。
3.1.1.7 [必须][延续] 总部技术部门应有至少1名安全管理人员。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,技术部安全管理人员,岗位职责
检查措施
a)检查期货公司总部安全管理岗人员的个人简历和岗位说明书,查看是否具有安全管理方面的资质和经历,安全管理人员不可外包;
b)访谈期货公司总部安全管理人员,了解其是否明确岗位职责和工作内容,评估其是否达到岗位能力要求。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部安全管理人员的个人简历、岗位说明书复印件,作为证明材料。
3.1.1.8 [必须][延续] 每个营业部应配备至少1名技术人员。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,岗位职责
检查措施
a)现场访谈或电话访谈,抽查营业部技术人员,了解其工作职责和日常工作内容;
b)检查期货公司营业部的正式员工花名册,总部应有各营业部的技术人员总表,包含联系方式(营业部技术人员不得外包,以与公司签订劳动合同,且具有期货从业资格为准),检查营业部技术人员岗位说明书。
检查结果
a)同时符合上述a)-b)项的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的各营业部的技术人员总表,作为证明材料。
3.1.1.9 [必须][新增] 总部技术部门应有至少1名网络管理人员。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,网络管理人员,岗位职责
检查措施
a)访谈期货公司网络管理人员,了解其岗位职责和工作内容,评估其是否达到岗位能力要求;
b)检查期货公司网络管理人员的个人简历和岗位说明书,查看是否具有网络管理方面的资质和经历。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部网络管理人员的个人简历和岗位说明书复印件,作为证明材料。
3.1.2 培训
3.1.2.1 [必须][延续] 对所有上岗技术人员应进行岗位培训。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,技术培训
检查措施
a)期货公司提供一年内所有上岗技术人员岗位培训的书面记录;
b)培训记录要求包括培训时间、地点、培训讲师、参加培训的人员等信息,并有参加培训人员的签名;
c)抽查一年内的培训记录。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司上岗技术人员的书面培训抽查的记录,作为证明材料。
3.1.2.2 [必须][延续] 总部技术部门的所有人员每两年参加期货业协会组织的技术培训应达到18学时,其中至少有3学时的信息技术法律法规及标准培训。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司近两年参加期货业协会组织的技术培训的清单和协会提供的证明材料;
b)培训清单要求包括培训时间、地点、培训讲师、参加培训的人员等信息。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司近两年参加期货业协会组织的技术培训清单,作为证明材料。
3.1.2.3 [必须][延续] 应有明确的培训教材,用于培训上岗操作人员。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司的培训教材,确定培训教材是否符合岗位实际能力要求;
b)培训教材的形式不限,可以是纸质或电子的。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术培训教材清单,作为证明材料。
3.1.2.4 [必须][延续] 应有对总部技术部门人员的年度培训计划,并根据计划实施。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司对技术员工的年度培训计划;
b)检查一年内的技术员工的培训记录,检查执行实施情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司对技术员工的年度培训计划和培训记录复印件,作为证明材料。
3.1.2.5 [必须][延续] 应定期对各个岗位的人员进行安全教育和培训。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,技术培训
检查措施
a)期货公司提供一年内的各岗位人员安全教育的培训记录。
检查结果
a)符合上述a)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内的各岗位人员安全教育的培训记录复印件,作为证明材料。
3.1.3 人员素质
3.1.3.1 [必须][延续] 总部技术部门人员50%以上应有信息技术相关专业大学本科或以上教育背景。
检查方式
检查
检查对象
人员简历
检查措施
a)检查期货公司总部花名册中技术部门人员部分(以与公司签订劳动合同,且具有期货从业资格为准);
b)期货公司提供总部技术人员的情况说明,包括人员岗位、教育背景;
c)检查期货公司总部技术人员中信息技术相关专业大学本科或以上教育背景的是否达到50%;
d)检查期货公司的总部技术人员的学历证书或个人简历,是否符合情况说明。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部技术人员情况说明,作为证明材料。
3.1.3.2 [必须][新增] 总部技术部门人员50%以上应具备1年及以上的系统运行维护经验。
检查方式
检查
检查对象
人员简历
检查措施
a)检查期货公司总部花名册中技术部门人员部分(以与公司签订劳动合同,且具有期货从业资格为准);
b)期货公司提供技术人员的情况说明,应包括系统运行维护工作年限;
c)检查期货公司的技术人员的个人简历,是否符合情况说明;
d)检查期货公司技术人员中具备1年及以上的系统运行维护经验的是否达到50%。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部技术人员情况说明,作为证明材料。(可使用上一项的证明材料)。
3.1.4 信息技术服务提供商管理
3.1.4.1 [必须][延续] 应与信息技术服务提供商签订服务保障协议。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,信息技术服务提供商管理
检查措施
a)访谈期货公司技术部门负责人,了解信息技术服务提供商状况;
b)检查期货公司的服务提供商包含服务保障承诺的协议。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司与信息技术服务提供商之间的协议首页和签名页复印件,作为证明材料。
3.1.4.2 [必须][延续] 应与核心系统的服务提供商签署保密协议。
检查方式
检查
检查对象
期货公司技术部门负责人,信息技术服务提供商管理
检查措施
a)检查期货公司与所有交易结算应用系统供应商(包括所有席位的系统)的保密协议或在合同中有保密条款。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司与交易结算应用系统供应商的保密协议或带有保密条款的合同的首页和签名页复印件,作为证明材料。
3.1.4.3 [必须][延续] 应有信息技术服务提供商的准确联系方式。
检查方式
检查
检查对象
信息技术服务提供商管理,联系方式
检查措施
a)期货公司提供所有的服务方联系方式表;
b)检查期货公司的服务提供商联系方式表,并抽查准确性。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司服务提供商的联系方式表,作为证明材料。
3.1.4.4 [必须][延续] 选择信息技术服务提供商时应评估其资质、经营行为、业绩、服务体系和服务品质等要素。
检查方式
检查
检查对象
信息技术服务提供商管理
检查措施
a)访谈期货公司选择服务提供商时的相关评估制度或措施;
b)抽查评估记录,评估记录中应包括服务提供商的资质、经营行为、业绩、服务体系和服务品质。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司服务商的评估制度或相关措施说明,以及抽查的评估记录,作为证明材料。
3.1.4.5 [必须][延续] 应定期对信息技术服务提供商的服务质量进行评估。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,信息技术服务商管理
检查措施
a)访谈期货公司定期评估服务提供商的相关制度或措施;
b)访谈期货公司技术部门负责人,了解服务提供商服务质量定期评估的实施情况;
c)检查一年内期货公司的服务提供商服务质量的评估报告。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司定期评估服务提供商的制度或相关措施说明,以及抽查的评估报告,作为证明材料。
3.1.5 IT投入
3.1.5.1 [必须][延续] 最近三个财政年度IT投入平均数额应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%,取二者数额较大者。
检查方式
检查
检查对象
财务报表
检查措施
a)IT投入的计算范围包括技术类资产投入、运行、维护、信息技术服务和外包费用,不包括人员薪酬福利,计算方法采用权责发生制;
b)检查期货公司前三个财政年度经审计的财务报表;
c)检查期货公司的最近三个财政年度IT投入的清单和对应的费用及比例说明;
d)对于成立时间不足三年的期货公司,只考虑成立以后的时间。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司最近三个财政年度IT投入的清单和对应的费用及比例说明,作为证明材料。
3.2 机房建设
3.2.1 基本
3.2.1.1 [必须][延续] 机房应为独立封闭区域,并配备门禁。
检查方式
检查
检查对象
机房基础设施
检查措施
a)检查期货公司的机房,是否为独立封闭区域(独立封闭区域是指机房内不得包括办公、生活等设施,但可以包括监控终端),并配备门禁(门禁应专门控制机房的出入),并获取机房以及门禁的照片。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取机房以及门禁的照片,作为证明材料。
3.2.1.2 [必须][新增] 机房承重应达到300公斤每平方米。
检查方式
检查
检查对象
机房基础设施
检查措施
a)期货公司提供相关机构出具的机房承重相关证明材料,说明机房承重是否达到300公斤每平方米。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的由相关机构出具的期货公司机房承重相关证明材料复印件,作为证明材料。
3.2.1.3 [必须][延续] 机房应具备火警检测、灭火和应急照明设施。
检查方式
访谈,检查
检查对象
机房基础设施
检查措施
a)期货公司提供机房情况说明,包括火警检测、灭火和应急照明设施等信息;
b)检查期货公司的机房的火警检测设施,是否符合情况说明(火警检测设施应分布于机房的每个独立房间);
c)检查期货公司的机房的灭火设施,是否符合情况说明;
d)检查期货公司的机房的应急照明设施,是否符合情况说明。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房情况说明,作为证明材料。
3.2.1.4 [必须][新增] 机房应当具备自动灭火设施。
检查方式
检查
检查对象
灭火设施
检查措施
a)期货公司提供机房情况说明,包括自动灭火设施,查看消防验收材料;
b)检查期货公司的机房的自动灭火设施,是否符合情况说明(自动灭火设施应当分布于机房的每个独立房间)。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
3.2.1.5 [必须][延续] 机房出入口和内部应安装7*24小时录像监控设施,录像至少保存90天。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机房情况说明,包括机房出入口和内部的录像监控设施和录像保存措施等信息;
b)检查期货公司的机房的出入口和内部是否安装录像监控设施,是否与a)的情况说明相符;
c)检查近90天的机房监控录像,并抽查两个不同日期的录像记录。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
3.2.1.6 [必须][延续] 机房应有防雷和接地的设施。
检查方式
检查
检查对象
机房基础设施
检查措施
a)期货公司提供情况说明,包括防雷和接地等措施,以及交流接地、直流接地、安全工作接地电阻不大于4欧姆,防雷接地电阻不大于10欧姆的书面证明材料;
b)检查期货公司的机房的防雷和接地设施,是否与a)的情况说明相符。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
3.2.1.7 [必须][延续] 应实现声音或短信等自动报警或7*24小时值守。
检查方式
访谈,检查
检查对象
技术部门负责人,机房管理
检查措施
a)期货公司提供机房情况说明,包括机房报警或值守措施;
b)检查机房报警是否实现声音或短信等自动报警,是否符合情况说明;
c)如不能自动报警,访谈技术部门负责人,了解是否采取7*24小时值守的机制,检查期货公司的值守记录,抽查一年内4个时点相应的记录,间隔不小于2个月。
检查结果
a)同时符合上述a)和b),或者a)和c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房报警或值守的情况说明,作为证明材料。
3.2.2 供电
3.2.2.1 [必须][延续] 机房应配备在线UPS设施。UPS应当存放在独立封闭区域。
检查方式
检查
检查对象
机房UPS
检查措施
a)期货公司提供UPS情况说明,应说明在线UPS设备功率和UPS设备连接方式,UPS应与计算机、网络设备在不同的独立封闭区域;
b)检查机房的在线UPS设施,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房的UPS设施的情况说明,作为证明材料。
3.2.2.2 [必须][新增] 应具有双路市电供电,双路供电应能实现自动切换,或在单路供电情况下,备用供电措施能提供超过4小时的供电时间。
检查方式
检查
检查对象
机房供电设施
检查措施
a)期货公司提供市电供电、UPS和应急供电情况说明;
b)如果具有双路市电供电,应当说明双路供电的来源;
c)如果没有双路市电供电,则UPS和后备发电设施的供电时间和在保证业务支撑时间的前提下,持续供电的时间应当超过4小时;计算时,UPS的供电时间根据UPS和电池的实际用电量进行计算;如果使用发电机,后备发电设施的时间根据可供油量计算;如果使用应急供电协议,则可以认为不必检查4小时的时间;同时,UPS的供电时间应当超过发电机启动或者应急供电协议规定的时间,否则此种供电措施支持的时间不应当被加入总供电时间中;
d)检查两年内的电力切换演练记录。
检查结果
a)符合上述a)、b)和d),或者a)、c)和d)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的UPS和发电机(或应急供电协议)供电情况说明作为证明材料。
3.2.3 空调
3.2.3.1 [必须][新增] 应配有与机房热容量匹配的精密空调,并有冗余的空调设备。
检查方式
检查
检查对象
期货公司机房空调设备及相关负责人
检查措施
a)期货公司提供机房空调情况说明,包括空调的正常温度;
b)检查期货公司机房精密空调情况说明,精密空调热容量是否与机房中配置的设备功率相匹配;
c)检查机房空调的冗余,应当在缺少任何一台空调工作的情况下,剩余空调的热容量与机房中配置的设备功率相匹配;但是,在此种情况下,可以加入非精密空调提供的热容量。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司机房空调情况说明加盖公章,作为证明材料。
3.2.3.2 [必须][延续] 对机房温湿度应有监控措施和记录。
检查方式
检查
检查对象
机房管理
检查措施
a)检查期货公司机房近一年内机房温度、湿度的监控记录,至少4个时点,时间间隔不小于两个月。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司机房温度、湿度监控记录复印件,作为证明材料。
3.2.4 布线
3.2.4.1 [必须][新增] 强弱电布线应分开。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机柜外的布线图,包括强弱电布线情况;本项要求不包括机柜内布线;
b)抽查期货公司机房强弱电的布线,不应存在强弱电线路平行铺设且无间距、无隔断的情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司布线图,作为证明材料。
3.2.4.2 [必须][延续] 所有弱电布线应有清晰的线标。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机房线标规划方案;线标上应当可以直接或者可以通过查表的方式,明确知道该线连接的位置和用途;
b)抽查期货公司机房弱电线标是否根据规划实施。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的机房线标规划方案,作为证明材料。
3.2.5 维护
3.2.5.1 [必须][新增] 所有UPS和空调设施都应有专业维护人员,或与专业机构签订维护合同。
检查方式
访谈,检查
检查对象
UPS和空调设施维护人员或维护合同
检查措施
a)访谈UPS和空调设施维护人员,或检查期货公司机房的空调和UPS维护合同。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的UPS和空调设施专业维护人员的情况说明或维护合同签名页复印件,作为证明材料。
3.2.5.2 [必须][新增] 应定期对所有UPS和空调设施进行恰当维护,有维护记录。
检查方式
检查
检查对象
UPS和空调设施维护记录
检查措施
a)检查期货公司机房一年内UPS和空调设施的维护记录。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房一年内UPS和空调设施的维护记录复印件,作为证明材料。
3.3 核心系统
3.3.1 功能
3.3.1.1 [必须][延续] 交易系统应实现数据与应用分离,防止客户终端绕过应用程序界面直接访问核心数据。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统
检查措施
a)访谈期货公司技术部门负责人交易系统的软件来源、版本情况、软件架构说明;
b)检查软件架构说明,不应存在客户终端直接使用数据库接口,访问核心数据的情况;
c)检查软件架构说明,不应存在为客户终端或者管理员终端提供通用的直接修改核心数据的方法。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的软件来源、版本情况、软件架构说明,作为证明材料。
3.3.1.2 [必须][延续] 交易系统应具备对客户进行实时风险控制的能力。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统风险控制措施
检查措施
a)访谈期货公司技术部门负责人交易系统对客户的实时风险控制措施;
b)期货公司提供情况说明,包括交易系统对客户的实时风险控制措施,至少应具备强行平仓和防止保证金透支的功能;
c)检查期货公司交易系统实时风险控制模块。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统对客户的实时风险控制的情况说明,作为证明材料。
3.3.1.3 [必须][延续] 交易系统应产生、记录并存储必要的日志信息供审计使用。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统
检查措施
a)访谈期货公司技术部门负责人交易系统的软件架构说明和日志功能;
b)期货公司提供情况说明,包括交易系统的日志功能,日志信息至少应包括所有接入客户的身份信息、IP地址和交易信息;
c)检查是否产生必要的日志信息;
d)检查是否记录必要的日志信息;
e)检查是否存储必要的日志信息。
检查结果
a)同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的软件架构说明和日志功能材料,作为证明材料。
3.3.1.4 [必须][延续] 核心系统应具备向期货保证金监控中心上报规定数据的功能。
检查方式
访谈,检查
检查对象
相关管理人员,核心系统
检查措施
a)访谈核心系统管理人员保证金数据报送的方式和方法;
b)期货公司提供材料,说明已按要求报送保证金监控中心规定的数据。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的报送数据情况说明材料,作为证明材料。
3.3.1.5 [必须][延续] 不应具有篡改、伪造核心系统数据或其他可能导致数据失真的功能。
检查方式
访谈,检查
检查对象
相关管理人员,核心系统
检查措施
a)期货公司提供说明核心系统功能清单的资料;
b)检查核心系统功能清单,不应具有篡改成交信息或资金信息的功能。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统功能清单,作为证明材料。
3.3.1.6 [必须][延续] 核心系统应有授权管理功能。
检查方式
访谈,检查
检查对象
部门负责人,期货公司核心系统权限管理措施
检查措施
a)访谈期货公司技术部门负责人核心系统的权限管理机制;
b)期货公司提供核心系统说明,包括授权管理功能;
c)检查授权管理功能,应至少做到对单个菜单条目、单个操作人员进行授权。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统说明,作为证明材料。
3.3.1.7 [必须][新增] 核心系统应有运行监控功能。
检查方式
访谈,检查
检查对象
期货公司核心系统监控措施及相关负责人
检查措施
a)访谈期货公司技术部门负责人核心系统的运行监控措施,是否能够覆盖核心系统;
b)期货公司提供核心系统的架构说明,包括运行监控措施;
c)检查期货公司核心系统的监控功能,是否符合情况说明,监控信息应当至少包括各个核心系统的服务器、磁盘阵列、数据库的基本运行情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统架构说明,作为证明材料。
3.3.1.8 [必须][延续] 应要求交易系统供应商提供交易、银期及相关查询接口。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,银期系统
检查措施
a)检查期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明,作为证明材料。
3.3.1.9 [必须][延续] 核心系统应具备通过监控中心统一开户系统进行开户的功能。
检查方式
检查
检查对象
期货公司核心系统管理人员、核心系统功能
检查措施
a)访谈核心系统管理人员统一开户的方式和方法;
b)期货公司提供材料,说明已按要求通过监控中心统一开户系统进行开户。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的统一开户情况说明材料,作为证明材料。
3.3.1.10 [必须][延续] 核心系统应具备链接监控中心投资者查询服务系统的功能。
检查方式
检查
检查对象
期货公司核心系统管理人员、核心系统功能
检查措施
a)期货公司提供材料,说明已具备链接监控中心投资者查询服务系统的功能。
检查结果
a)获取加盖了公章的对接投资者查询服务系统的说明材料,作为证明材料。
3.3.2 性能和容量
3.3.2.1 [必须][延续] 交易系统的性能和容量应达到所有其作为会员的交易所的要求。
检查方式
检查
检查对象
期货公司交易系统
检查措施
a)期货公司提供交易系统的性能和容量的情况说明,包括交易系统的性能和容量的最大值;
b)检查期货公司其作为会员的交易所出具的相关测试报告。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的性能和容量的情况说明或相关测试报告,作为证明材料。
3.3.2.2 [必须][延续] 应对交易系统的主要业务指标进行实时监控。
检查方式
访谈,检查
检查对象
期货公司交易系统及相关负责人
检查措施
a)访谈期货公司技术部门负责人,了解实时监控交易系统的主要业务指标以及相应的监控措施;
b)期货公司提供对交易系统的主要业务指标进行实时监控的情况说明,包括交易系统的业务指标监控列表;
c)检查交易系统的主要业务指标监控列表,应至少包括在线用户、报单和成交记录数量等。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的主要业务指标的实时监控情况说明,作为证明材料。
3.3.2.3 [可选][新增] 应对交易系统的主要业务监控指标进行记录。
检查方式
访谈,检查
检查对象
期货公司技术部门应用管理人员,运行管理
检查措施
a)期货公司提供一年内全部业务监控记录,记录应至少包括在线用户、报单和成交记录数量;
b)检查期货公司业务监控手段和记录流程;
c)抽查4个时点的监控记录,每个时点的间隔不少于两个月。
检查结果
a)同时符合上述a)-c)的所有检查措施,才能达到本检查项的要求;
b)获取加盖了公章的4个时点的监控记录复印件,作为证明材料。
3.3.2.4 [必须][延续] 应对所有接入交易所的交易通信链路进行监控。
检查方式
访谈,检查
检查对象
技术部门网络管理员,接入交易所的交易通信链路
检查措施
a)期货公司提供所有接入交易所链路清单和监控方法;
b)访谈期货公司网络管理员链路监控的方法;
c)抽查至少两条链路的监控实施情况,应当至少监控链路的通断情况、流量情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的连接交易所链路清单和监控方法以及抽查的监控记录,作为证明材料。
3.3.2.5 [必须][延续] 接入交易所的交易通信链路应达到所有其作为会员的交易所的要求,并采用不同运营商的通讯线路作为备份线路。
检查方式
检查
检查对象
接入交易所的交易通信链路
检查措施
a)期货公司提供所有接入交易所链路清单;
b)检查链路带宽和备份是否满足所有其作为会员的交易所的要求;
c)检查期货公司根据交易所要求进行的链路测试情况;
d)检查期货公司应当至少有两条线路接入三所联网。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的连接交易所链路清单和参加交易所规定的链路测试并通过的证明,作为证明材料。
3.3.2.6 [可选][新增] 接入交易所的交易通信链路带宽使用率每交易日峰值按月统计的平均值应不超过80%。
检查方式
访谈,检查
检查对象
技术部门网络管理人员,接入交易所的交易通信链路
检查措施
a)期货公司提供所有接入交易所链路清单;
b)访谈网络管理人员链路容量实时监控的方法;
c)抽查至少两条链路容量自动监控的实施情况;
d)检查期货公司交易所链路一年内每日峰值按月统计的平均值是否不超过80%。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司接入交易所链路每月的日峰值统计情况,作为证明材料;
c)期货公司应使用自动手段实时监控网络带宽。
3.3.2.7 [必须][延续] 应对所有网上交易的通信链路进行监控。
检查方式
访谈,检查
检查对象
技术部门网络管理员,网上交易的通信链路
检查措施
a)期货公司提供所有网上交易专有链路及监控手段清单;
b)检查网上交易非专有链路的通断监控情况;
c)抽查至少一条专有链路监控实施情况,应当至少监控链路的通断情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网上交易的通信链路清单,作为证明材料。
3.3.2.8 [可选][新增] 网上交易的通信链路带宽使用率每交易日峰值按月统计的平均值应不超过80%。
检查方式
访谈,检查
检查对象
网络管理人员,网上交易的通信链路
检查措施
a)期货公司提供所有网上交易专有链路清单;
b)访谈网络管理人员链路容量实时监控的方法;
c)抽查至少一条专有链路容量自动监控的实施情况;
d)检查期货网上交易专有链路一年内每日峰值按月统计的平均值不超过80%。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司网上交易专有链路每月的日峰值统计情况,作为证明材料;
c)期货公司应使用自动手段实时监控网络带宽。
3.3.3 交易系统冗余
3.3.3.1 [必须][新增] 交易系统的所有部件应有备份,具有30分钟内切换的能力。
检查方式
访谈,检查
检查对象
技术部门负责人,交易系统的所有部件
检查措施
a)期货公司提供交易系统的所有部件清单;
b)期货公司提供系统部署图;
c)访谈交易系统部件备份情况(包括交易依赖的所有服务器、磁盘阵列、数据库);
d)核实备份部件真实存在,并实现互备(可以接受需要人工操作的切换流程);
e)抽查交易系统部件的切换演练记录,并评估切换时间是否不超过30分钟。
检查结果
a)同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的部件清单、切换演练汇总报告及操作手册目录页复印件,作为证明材料。
3.3.3.2 [必须][新增] 与交易所连接的网络设备应无单点故障。
检查方式
访谈,检查
检查对象
技术部门负责人,与交易所连接的网络设备
检查措施
a)期货公司提供与交易所连接的网络结构和设备清单;
b)与交易所的连接应是双链路冗余,包括通过三所联网接入交易所实现链路冗余的情况;
c)核实相关部件是否真实存在;
d)检查设备切换演练记录,并评估是否能够切换。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司相关切换演练记录复印件,作为证明材料。
3.3.3.3 [必须][新增] 生产环境内所有网络设备应有备份,具备30分钟内切换的能力。
检查方式
访谈,检查
检查对象
所有网络设备及技术部门负责人
检查措施
a)期货公司提供所有网络设备清单;
b)期货公司提供网络架构图;
c)访谈技术部门负责人网络设备备份情况(包括生产环境中的所有路由器、交换机、防火墙、负载均衡器、连接线);
d)核实备份部件是否真实存在,并实现互备;
e)抽查交易系统网络设备的切换演练记录,并评估切换时间是否不超过30分钟。
检查结果
a)同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的设备清单、切换演练汇总报告复印件,作为证明材料。
3.3.3.4 [必须][新增] 应使用多个电信运营商的链路作为网上交易的通信链路。
检查方式
检查
检查对象
网上交易的通信链路
检查措施
a)期货公司提供所有网上交易的通信链路清单;
b)网上交易的通信链路清单应包括电信运营商情况;
c)检查电信运营商是否为多个。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的连接交易所的通信链路清单(应包括电信运营商情况),作为证明材料。
3.3.4 行情冗余
3.3.4.1 [必须][新增] 应向客户同时提供至少2套行情服务,且均使用至少2套服务器。
检查方式
访谈,检查
检查对象
客户开户相关人员、行情服务系统
检查措施
a)访谈期货公司,提供行情服务情况说明;
b)检查期货公司使用了至少2家行情商提供的行情服务;
c)检查期货公司使用了2家至少能提供2套行情服务器的行情商。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司行情服务情况说明,作为证明材料。
3.3.4.2 [必须][新增] 应通过至少两个电信运营商提供行情服务。
检查方式
访谈,检查
检查对象
技术部门负责人、行情服务系统及其电信链路
检查措施
a)期货公司提供所有行情供应商及包含链路情况的部署清单;
b)访谈技术部门负责人行情系统部署情况;
c)检查通过至少两家电信运营商提供服务。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的行情供应商及相关部署清单,作为证明材料。
3.3.5 银期系统冗余
3.3.5.1 [必须][新增] 应与至少2家银行实现全国性银期转帐。
检查方式
访谈,检查
检查对象
技术部门负责人、银期转账系统
检查措施
a)期货公司提供注明正式上线的所有银期转帐系统清单;
b)检查期货公司与银行签署相关合同及相关内容真实有效;
c)检查两家银期转账,且均为全国性银期转账。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的正式上线的所有银期转帐系统清单,与银行签署相关合同首页和签名页复印件,作为证明材料。
3.4 安全
3.4.1 网络隔离
3.4.1.1 [必须][延续] 生产网与互联网应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与互联网的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及与当前运行情况相符的相关设施的配置清单和安全策略,启用访问控制功能;
b)访谈生产网与互联网的隔离情况;
c)检查隔离设备是否真实存在;
d)检查网络设备的安全规则是否配置允许访问规则,控制粒度为网段级,对没有明确定义的数据包缺省拒绝。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存。
3.4.1.2 [必须][延续] 网站与网上交易系统应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、网站与网上交易系统的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈网站与网上交易系统的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
3.4.1.3 [必须][延续] 生产网与办公网应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与办公网的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈生产网与办公网的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
3.4.1.4 [必须][延续] 总部的生产网与营业部的网络应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、总部的生产网与营业部的网络的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈总部的生产网与营业部的网络的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
3.4.1.5 [必须][延续] 生产网与交易所、银行等外联单位网络应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与交易所、银行等外联单位网络的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈生产网与交易所、银行等外联单位网络的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)获取加盖了公章的外联单位网络隔离情况说明,作为证明材料。
3.4.2 防病毒、补丁和安全加固
3.4.2.1 [必须][延续] 应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、安全加固情况
检查措施
a)期货公司提供系统补丁相关流程和制度;
b)检查补丁评估的相关记录;
c)访谈系统补丁更新的情况,跟踪最近一次补丁更新情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司系统补丁相关流程和制度,作为证明材料。
3.4.2.2 [必须][延续] 应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、Windows病毒防护措施
检查措施
a)期货公司提供病毒管理相关流程和制度;
b)访谈公司病毒管理的情况,跟踪最近一次全面病毒检查和病毒更新情况;
c)抽查Windows服务器、业务用机和办公机,病毒特征库应根据公司病毒管理策略更新到最新日期。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司病毒管理流程和制度,作为证明材料。
3.4.2.3 [必须][新增] 应对生产环境所有服务器定期进行安全扫描和合理加固,关闭不需要的端口。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、安全扫描和加固措施
检查措施
a)期货公司提供安全扫描和加固的相关流程制度;
b)期货公司应提供一年内至少1次安全扫描和加固的报告;
c)访谈公司安全扫描和加固执行情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供安全扫描、加固报告首页和相关制度,作为证明材料。
3.4.2.4 [必须][新增] 应在计算机或存储设备接入生产环境之前对其进行安全检查。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、接入安全检查
检查措施
a)期货公司提供外来计算机管理制度;
b)访谈公司外来计算机和存储接入生产环境前的安全扫描措施。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供外来计算机管理制度或公司信息技术管理制度的相关条款,作为证明材料。
3.4.2.5 [必须][延续] 应对通过互联网向外提供服务的设备和系统进行定期安全扫描,关闭不需要的端口。
检查方式
检查
检查对象
外联端口的安全措施
检查措施
a)期货公司提供通过互联网向外提供服务的设备和系统及对应开放端口、端口说明的清单;
b)访谈公司安全扫描和加固安全制度,访谈执行情况;
c)期货公司应提供一年内至少1次安全扫描和加固的报告。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供安全扫描报告首页,作为证明材料。
3.4.2.6 [必须][新增] 在读取移动存储设备上的数据以及从网络上接收文件或邮件之前,应先进行病毒检查。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、移动存储和外来文件的安全检查措施
检查措施
a)期货公司提供数据管理的相关制度;
b)访谈数据管理的相关管理和技术措施;
c)检查期货公司从网络上下载结算数据的管理情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据管理相关制度,作为证明材料;
c)期货公司结算数据下载介质应专用,应有相关流程检查病毒木马情况。
3.4.2.7 [可选][新增] 所有生产环境服务器应尽量避免使用telnet、ftp等有安全隐患的服务,与服务器通信应采用加密方式,例如SSH。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,服务器通信方式
检查措施
a)期货公司提供生产环境服务器及对应的远程登录、文件传输程序的清单;
b)访谈远程登录、文件传输程序采用的加密措施。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供生产环境服务器及对应的远程登录、文件传输程序清单,作为证明材料。
3.4.3 网站安全
3.4.3.1 [必须][延续] 应有专人监控网站内容,发现问题后及时处理。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站相关业务人员,网站内容管理
检查措施
a)期货公司提供网站监控人员名单和处理流程情况说明;
b)访谈网站监控管理流程。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站监控人员名单和处理流程情况说明,作为证明材料。
3.4.3.2 [必须][延续] 应定期对网站进行安全检查,并对隐患进行及时处理。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站安全检查
检查措施
a)对网站进行的安全检查应包括:SQL注入漏洞、弱口令、口令验证不足、目录遍历、文件上传、HTTP协议追踪、跨站脚本、后台漏洞、敏感信息泄漏、网络漏洞和SSL加密漏洞、下单网页未使用HTTPS加密机制等;
b)期货公司提供一年内的网站安全检查报告;
c)访谈网站安全检查情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站安全检查报告,注明证监会网站相关检查情况,作为证明材料。
3.4.3.3 [必须][延续] 应准备足够措施,能在发现网站被篡改后5分钟内停止发布被篡改的内容。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站内容管理
检查措施
a)期货公司提供网站停止发布机制说明;
b)检查最近一次的演练记录,并评估从发现网站被篡改到停止发布被篡改的内容的时间是否不超过5分钟。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站停止发布机制说明,作为证明材料。
3.4.3.4 [必须][延续] 应安装木马防护软件并定期更新。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,木马防护措施
检查措施
a)期货公司提供网站木马防护机制说明;
b)访谈木马防护软件的部署更新情况;
c)有条件可检查防木马软件版本是否根据情况进行定期更新。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站防木马机制说明,作为证明材料。
3.4.3.5 [必须][延续] 网站的内容发布应有审核制度和完整的内容发布流程。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站内容管理相关业务人员,网站内容管理
检查措施
a)期货公司提供网站内容审核制度及发布流程;
b)检查并访谈网站内容审核制度和流程的执行情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站内容审核制度及发布流程,作为证明材料。
3.4.4 网上交易安全
3.4.4.1 [必须][延续] 应提供可靠的身份认证机制,网上交易客户端支持多种方式与服务端完成身份认证。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,网上交易的身份认证
检查措施
a)期货公司提供网上交易系统的身份认证说明;
b)检查期货公司网上交易系统是否支持多种身份认证方式;
c)访谈网上交易系统的身份验证方式和措施。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网上交易系统的身份认证说明,作为证明材料。
3.4.4.2 [必须][延续] 服务器上的用户认证信息应加密存放。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,服务器的用户认证
检查措施
a)期货公司提供身份认证存放方式说明;
b)检查用户认证信息是否加密存放;
c)访谈网上交易系统的身份认证存放方式。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网上交易系统的身份认证存放方式说明,作为证明材料。
3.4.4.3 [必须][延续] 应在与客户签订的服务合同(网上期货服务合同、期货经纪合同及补充协议、风险揭示书)中载明,客户使用网上期货业务可能面临的风险、期货公司采取的风险控制措施、客户应采取的风险控制措施以及相关风险对应的责任承担(如防止用于网上交易的计算机或手机终端感染木马、病毒,以免被恶意程序窃取口令;加强帐号、口令的保护,不使用简单口令、定期修改口令、输入口令时防止他人偷看、不对他人泄露口令等)。
检查方式
访谈,检查
检查对象
投资者开户负责人员
检查措施
a)期货公司提供网上期货服务合同(协议);
b)访谈开户时网上交易风险揭示的措施和流程。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司网上期货服务合同(协议)中揭示网上交易风险部分页作为证明材料。
3.4.4.4 [必须][延续] 应提供预留验证信息服务,在客户进行登录时向客户进行显示,帮助客户有效识别仿冒的网上期货信息系统,防范利用仿冒的网上期货信息系统进行诈骗活动。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,网上交易系统的预留验证信息服务
检查措施
a)期货公司提供网上交易系统的预留验证信息相关服务的说明(例如提供客户结算单信息等);
b)访谈公司网上交易系统的预留验证信息相关服务的情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网上交易系统的预留验证信息相关服务的说明,作为证明材料。
3.4.5 账户与权限
3.4.5.1 [必须][延续] 应有生产环境内关键系统账户与权限的关系表。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供生产环境内关键应用系统(包括交易、结算和风险监控系统)的账户与权限的关系表;
b)访谈生产环境内关键系统账户与权限的关系维护情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司生产环境内关键系统账户与权限的关系表,作为证明材料。
3.4.5.2 [必须][延续] 账户和权限变更应有审批和完整的记录。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供生产环境内关键应用系统(包括交易、结算和风险监控系统)账户与权限的审批制度和流程;
b)期货公司提供一年内全部生产环境内关键系统账户与权限的审批表,并跟踪一次权限变更是否符合制度要求;
c)访谈账户与权限审批制度和流程落实情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供生产环境内关键系统账户与权限审批制度和流程,作为证明材料。
3.4.5.3 [必须][延续] 岗位变动应及时调整对应系统的账户和权限。
检查方式
检查
检查对象
权限管理
检查措施
a)期货公司提供生产环境账户与权限变更制度和流程;
b)期货公司提供一年内全部生产环境账户与权限变更记录;
c)抽查至少2次账户权限变更是否及时(岗位变动和权限变更时间间隔不得超过1个月)。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供生产环境账户与权限变更制度和流程,作为证明材料。
3.4.5.4 [必须][延续] 应避免使用超级管理员账户完成日常业务操作。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供业务系统超级管理员账户的使用情况说明;
b)访谈业务系统超级管理员账户的使用情况,该账户应只进行开设账户、权限分配等非日常业务操作。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供业务系统管理员账户的使用情况说明,作为证明材料。
3.4.6 口令管理
3.4.6.1 [必须][延续] 所有书面方式保存的口令应有安全的物理保护措施。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,口令管理
检查措施
a)以明文方式存放在计算机中的口令视同为书面方式保存的口令;
b)期货公司提供书面口令保存方式的情况说明,应有安全的物理保护措施,例如放置于保险箱、带锁的柜子,以明文方式存放口令的计算机应放置于有出入控制的操作间内;
c)检查口令保存方式措施真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司书面口令保存方式的情况说明,作为证明材料。
3.4.6.2 [必须][延续] 口令应有复杂度要求。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,口令管理
检查措施
a)期货公司提供口令复杂度要求的相关制度,应包括具体的复杂度要求,如口令长度、组合等;
b)访谈口令复杂度的实施范围和措施。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供口令复杂度要求的相关制度,作为证明材料。
3.4.6.3 [必须][新增] 口令应定期更换。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,口令管理
检查措施
a)期货公司提供口令定期更换的相关制度;
b)访谈口令定期更换的实施范围和措施,重要系统口令变更的策略;
c)期货公司提供一年内根据口令更换制度和策略执行口令更换操作的相关记录。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供口令更换的相关制度和记录,作为证明材料。
3.4.7 安全审计
3.4.7.1 [必须][延续] 核心系统的主要业务操作应产生审计记录。
检查方式
检查
检查对象
核心系统的业务操作审计
检查措施
a)期货公司提供核心系统的主要业务操作的审计记录应包括时间、发起者、类型、描述和结果;
b)抽查一年内至少2天的审计记录,时间间隔不少于两个月。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的核心系统主要业务操作的审计记录,作为证明材料。
3.4.7.2 [必须][延续] 应采取有效措施防止删除、修改或覆盖审计记录。
检查方式
检查
检查对象
核心系统的业务操作审计
检查措施
a)期货公司提供核心系统的主要业务操作的审计记录保存方式的说明,应至少每日对审计记录进行备份;
b)检查期货公司审计记录保存措施的落实情况。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供核心系统主要操作记录机制说明,作为证明材料。
3.5 日常运行
3.5.1 岗位
3.5.1.1 [必须][延续] 应建立日常值班制度,设立专门运行保障岗位,制定明确的每日值班表,保障交易期间有人值守。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,岗位说明书,排班表,值班记录
检查措施
a)访谈技术部门负责人,了解期货公司日常运行维护的整体情况;
b)期货公司提供日常值班制度、值班表、包括运行保障职责的岗位说明书和交易期间值班安排说明。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的日常值班制度、每日值班表、运行保障岗位说明书和交易期间值班安排的说明,作为证明材料。
3.5.1.2 [必须][延续] 初始化、结算、数据备份等关键操作过程和结果应有复核。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,值班记录
检查措施
a)访谈期货公司技术部门负责人了解关键操作保障情况;
b)检查日常值班制度中是否要求了复核的规定;
c)检查日常值班记录中是否体现了复核的要求。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供日常值班制度,作为证明材料。
3.5.1.3 [必须][延续] 交易运行期间应有现场保障人员,以及时维护和应急处理。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,排班表
检查措施
a)访谈期货公司技术部门负责人了解现场保障人员情况,现场保障是指可以随时登录到核心系统各个服务器和网络设备;
b)检查日常值班制度中是否要求了交易期间现场保障人员以及对应的职责;
c)检查排班表中是否包含现场保障人员。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供日常值班制度,作为证明材料。
3.5.1.4 [必须][新增] 网络、主机、数据库、应用系统的运行维护等关键技术岗位应有备岗人员。
检查方式
访谈,检查
检查对象
技术部门负责人,岗位说明书
检查措施
a)检查期货公司提供的网络、主机、数据库、应用系统运行维护等关键技术岗位的岗位说明书和主备岗人员名单;
b)访谈期货公司关键技术岗位备岗人员,了解是否具有应有的岗位技能。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网络、主机、数据库、应用系统等主备岗人员名单,作为证明材料。
3.5.1.5 [必须][新增] 应实现双人日常值班。
检查方式
检查
检查对象
日常值班制度,排班表,每日值班记录
检查措施
a)期货公司提供排班表是否体现双人值班;
b)抽查排班表和值班记录是否为双人,值班期间无其它工作安排。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供排班表,作为证明材料。
3.5.2 制度与巡检
3.5.2.1 [必须][延续] 在关键时间点应对生产环境运行状态进行巡检。
检查方式
检查
检查对象
日常值班制度,巡检记录
检查措施
a)期货公司提供对生产环境的日常巡检列表,包括对生产环境运行状态的巡检,巡检对象应包括生产环境的机房基础设施、应用、主机、网络等;
b)检查日常巡检列表,在关键时间点是否对生产环境运行状态进行巡检,关键时间点是否覆盖开盘前、中午休市、下午收市等;
c)期货公司提供一年内的所有巡检记录,抽查一年内至少4天的生产环境的日常巡检记录,时间间隔不小于两个月。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的一年内至少4天的生产环境的日常巡检记录,作为证明材料。
3.5.2.2 [必须][延续] 巡检应保留记录,并有操作和复核人员的签名。
检查方式
检查
检查对象
巡检记录
检查措施
a)期货公司提供一年内生产环境的所有巡检记录;
b)抽查期货公司一年内4天的生产环境的巡检记录,时间间隔不小于两个月;
c)检查巡检记录是否有操作人员和复核人员签名确认。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的一年内4天的巡检记录复印件,作为证明材料。
3.5.2.3 [必须][新增] 应有详细的操作手册(包括日常操作和定期维护操作),手册中应有详细的操作步骤。
检查方式
检查
检查对象
日常操作手册、维护操作手册
检查措施
a)期货公司提供生产环境的日常操作和定期维护的操作手册;
b)检查期货公司生产环境的日常操作和定期维护的操作手册,是否有详细的操作步骤。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的生产环境的日常操作和定期维护的操作手册清单和目录,作为证明材料。
3.5.2.4 [必须][新增] 交易期间应对核心系统和网络系统进行实时监控,并能及时、有效地报警。
检查方式
检查
检查对象
监控系统
检查措施
a)期货公司提供交易期间对核心系统和网络系统实时监控的情况说明;
b)检查交易期间对核心系统和网络系统实时监控,是否实现自动化监控;
c)检查交易期间对核心系统和网络系统实时监控,是否可以及时、有效地报警。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司关于实时监控情况的情况说明,作为证明材料。
3.5.2.5 [必须][新增] 应保留关键操作的记录和签名。
检查方式
检查
检查对象
操作记录
检查措施
a)期货公司提供一年内生产环境的操作记录;
b)抽查期货公司一年内4天的生产环境操作记录,时间间隔不小于两个月;
c)检查关键操作记录是否有操作人员的签名确认,至少包括系统的启停、参数的修改、数据备份。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内4天的生产环境操作记录复印件,作为证明材料。
3.5.2.6 [必须][新增] 应保留应用系统的操作日志记录。
检查方式
检查
检查对象
系统操作日志
检查措施
a)期货公司提供应用系统的操作日志记录;
b)抽查期货公司一年内两天的应用系统的操作日志记录,时间间隔不小于两个月,应保证重要操作是否有对应的应用系统操作记录。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的应用系统的操作日志记录复印件,作为证明材料。
3.5.2.7 [必须][延续] 应记录生产环境发生的故障和异常。
检查方式
检查
检查对象
故障记录
检查措施
a)期货公司提供一年内生产环境发生故障和异常的记录和报告;
b)检查生产环境发生的故障记录和报告应包含发生的时间、现象、处理措施、后续处理手段等内容;
c)检查故障记录和报告信息是否完整。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的抽查的故障记录和报告复印件,作为证明材料。
3.5.2.8 [必须][延续] 应建立完善和更新重要手册的机制。
检查方式
检查
检查对象
变更操作手册、值班操作手册、应急操作手册、巡检卡
检查措施
a)期货公司提供生产环境日常运行的重要手册完善和更新的制度和流程;
b)检查重要手册(如巡检、应急操作手册等)的更新和修订记录。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司重要手册的更新记录,作为证明材料。
3.5.3 机房进出
3.5.3.1 [必须][延续] 应建立机房及值班操作间的出入登记制度,并保留相关记录。
检查方式
检查
检查对象
出入登记制度,出入登记记录
检查措施
a)期货公司提供机房及值班操作间的出入登记制度及一年内的相关记录;
b)检查期货公司机房和操作间出入登记制度,是否明确登记要求;
c)抽查期货公司一年内机房和值班操作间的出入登记记录,是否信息登记完全。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房及值班操作间的出入登记制度和出入登记记录复印件,作为证明材料。
3.5.3.2 [必须][延续] 非技术保障人员进入机房应获得授权,并有技术保障人员陪同,所携带设备应专门登记。
检查方式
访谈,检查
检查对象
机房管理制度,出入登记记录
检查措施
a)访谈技术部门负责人了解非技术保障人员进入机房的授权流程和控制措施;
b)抽查期货公司一年内非技术保障人员进入机房的登记信息,检查是否有相应的授权信息;
c)检查期货公司一年内非技术保障人员进入机房的登记信息,检查所携带设备信息描述是否清楚;
d)检查期货公司一年内非技术保障人员进入机房的登记信息,检查是否有技术保障人员陪同信息。
检查结果
a)同时符合上述a)-d)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内非技术保障人员进入机房的登记记录复印件,作为证明材料。
3.5.3.3 [必须][延续] 交易期间如无应急或者巡检需要,不应进入机房。
检查方式
检查
检查对象
机房管理制度,出入登记记录
检查措施
a)期货公司提供机房出入管理制度;
b)检查期货公司机房出入制度,是否有交易期间如无应急或者巡检需要,不应进入机房的要求;
c)抽查期货公司一年内交易时间进入机房的出入记录,检查是否有授权信息,或对进入机房的必要性进行了说明。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的机房出入记录复印件,作为证明材料。
3.6 备份
3.6.1 数据备份
3.6.1.1 [必须][延续] 应根据数据的重要性及其对核心系统运行的影响,制定数据备份策略和恢复策略。
检查方式
访谈,检查
检查对象
技术部门负责人,数据备份制度
检查措施
a)检查期货公司数据备份、恢复的制度和策略;
b)访谈技术部门负责人数据备份策略和恢复策略情况。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据备份制度和策略,作为证明材料。
3.6.1.2 [必须][延续] 应建立数据管理、介质维护、销毁和使用管理制度。
检查方式
检查
检查对象
技术部门负责人,数据备份制度
检查措施
a)检查期货公司数据管理制度中是否包含介质维护、销毁和使用管理等内容。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据和介质管理的相关制度复印件,作为证明材料。
3.6.1.3 [必须][延续] 应对介质进行明确标识。
检查方式
访谈,检查
检查对象
介质标识相关规定,数据备份介质
检查措施
a)访谈期货公司介质标识的相关规定;
b)期货公司提供一年内所有的备份介质;
c)抽查一年内期货公司4次备份介质,时间间隔不少于两个月;
d)检查备份介质是否有明确的标识,是否符合规定。
检查结果
a)同时符合上述a)-d)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司介质标识相关规定复印件,作为证明材料。
3.6.1.4 [必须][延续] 应确保介质存放在安全环境中,实现对备份数据的控制和保护。
检查方式
检查
检查对象
数据备份介质
检查措施
a)期货公司提供备份介质保存环境说明;
b)检查介质存放环境是否具有防盗措施,如保险柜、加锁的抽屉或者有出入控制措施的专用储藏室;
c)应至少有一种介质具有可离线存放的特性,如磁带、光盘、移动硬盘等。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司备份介质相关说明,作为证明材料。
3.6.1.5 [必须][延续] 每日应对结算后数据进行备份。
检查方式
检查
检查对象
数据备份管理
检查措施
a)根据期货公司备份策略,抽查期货公司至少2次结算后备份介质或文件,实际操作情况应与备份策略一致;
b)检查期货公司每日值班记录中是否包括备份结算后数据的操作。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司值班记录备份相关页,作为证明材料。
3.6.1.6 [必须][新增] 每周应将结算后数据备份介质离场存放。
检查方式
访谈,检查
检查对象
备份管理人员,数据备份管理
检查措施
a)期货公司提供介质离场存放的说明材料,其中必须明确描述介质放置位置和离场存放频率;
b)访谈备份介质管理人员,了解备份数据是否离场存放(只需出机房即可),以及离场存放的频率是否符合要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的存放方式相关说明,作为证明材料。
3.6.1.7 [必须][延续] 应定期对主要备份业务数据进行恢复验证,根据介质使用期限及时转储数据。
检查方式
访谈,检查
检查对象
备份管理人员,数据备份管理
检查措施
a)访谈数据备份管理人员,了解数据恢复验证频率、措施及数据转储操作流程;
b)检查数据恢复验证和转储的操作手册和抽查一年内进行恢复验证和转储的操作记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据备份操作手册和近期转储操作记录复印件,作为证明材料。
3.6.1.8 [必须][延续] 应指定专人负责保管业务数据备份介质。
检查方式
访谈,检查
检查对象
备份管理人员,数据备份管理
检查措施
a)期货公司提供包括业务数据备份介质管理职责的岗位说明书;
b)检查岗位说明书是否包含相应工作职责;
c)访谈备份介质管理人员,评估其是否掌握介质分类、维护、使用管理和转储相关的制度和操作流程。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供的包括业务数据备份介质管理职责的岗位说明书复印件,作为证明材料。
3.7 系统维护
3.7.1 变更管理
3.7.1.1 [必须][延续] 应将所有涉及核心系统的软硬件变更纳入变更管理范围。
检查方式
检查
检查对象
变更管理制度
检查措施
a)检查期货公司变更管理制度,是否核心系统的软硬件变更都纳入变更管理范围。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司变更管理制度的相关章节,作为证明材料。
3.7.1.2 [必须][延续] 每次变更前应进行评估。
检查方式
访谈,检查
检查对象
技术部门负责人,变更评估报告
检查措施
a)评估结果应包括风险、变更方案、检验方法、影响通知范围等内容;
b)访谈期货公司技术部门负责人,了解变更前的风险评估流程;
c)期货公司提供一年内变更记录;
d)抽查一年内两次变更记录和相关文档,检查是否在变更前进行评估。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更记录和相关文档,作为证明材料。
3.7.1.3 [必须][延续] 所有变更操作应有操作记录。
检查方式
检查
检查对象
变更管理制度,变更记录
检查措施
a)期货公司提供变更管理制度;
b)检查期货公司变更管理制度,是否包含变更应有操作记录的要求;
c)期货公司提供一年内变更记录;
d)抽查期货公司变更记录,是否包含操作人,操作步骤,操作内容等操作记录。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更记录和相关文档,作为证明材料。
3.7.1.4 [必须][延续] 所有变更应进行事后检查。
检查方式
检查
检查对象
变更管理制度,变更记录
检查措施
a)期货公司提供变更管理制度;
b)检查期货公司变更管理制度,是否包含变更必须进行事后检查的要求;
c)期货公司提供一年内变更记录;
d)抽查期货公司变更操作记录,是否包含事后检查的内容。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更操作记录复印件,作为证明材料。
3.7.1.5 [必须][延续] 对于风险较大的变更,在条件允许的情况下,应制定应急和回退方案。
检查方式
访谈,检查
检查对象
技术部门负责人,变更管理制度,回退方案
检查措施
a)检查变更管理制度,是否包含制订应急和回退方案的内容;
b)抽查期货公司一年内两次风险较大的变更操作手册和记录,其中应包含应急和回退方案。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更操作手册和记录复印件,作为证明材料。
3.7.1.6 [必须][延续] 风险较大的变更,应在变更后对系统的运行情况进行跟踪。
检查方式
访谈,检查
检查对象
技术部门负责人,变更管理制度,值班记录
检查措施
a)访谈技术部门负责人,了解变更前的风险评估流程和变更之后的跟踪机制;
b)抽查期货公司一年内两次风险较大的变更,检查其后的值班记录是否对变更系统进行了跟踪观察。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的值班记录复印件,作为证明材料。
3.7.1.7 [必须][延续] 进行与核心系统相关的开发工作时,应避免在生产环境上进行日常测试。
检查方式
访谈
检查对象
技术部门负责人
检查措施
a)期货公司提供核心系统相关开发工作的情况说明;
b)访谈期货公司技术部门负责人,了解期货公司是否进行核心系统的开发工作。如果进行相关开发,是否具有独立的开发或者测试环境。
检查结果
a)如果期货公司不进行核心系统开发,本检查项可判定为满足;
b)同时符合上述a)-b)项的检查措施,才达到本检查项要求;
c)获取加盖了公章的期货公司核心系统相关开发工作的情况说明,作为证明材料。
3.7.1.8 [必须][延续] 如果需要使用生产环境进行测试,应纳入变更管理。
检查方式
访谈
检查对象
技术部门负责人
检查措施
a)期货公司提供是否使用生产环境进行测试及相应的情况说明;
b)访谈期货公司技术部门负责人,使用生产环境进行测试是否纳入变更管理;
c)抽查一次使用生产环境的测试记录和相关文档。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司使用生产环境进行测试的情况说明,作为证明材料。
3.7.2 配置管理
3.7.2.1 [必须][延续] 应具有生产环境设计和部署文档,并根据变更及时更新。
检查方式
检查
检查对象
配置文档
检查措施
a)期货公司提供生产环境设计和部署文档及清单;
b)检查生产环境设计和部署文档,至少有完整的网络拓扑图和应用系统部署方案,应有与网络拓扑图相对应的网络配置表,表中应包含IP地址等主要信息;
c)抽查相关文档是否与当前生产环境相符,包括网络拓扑图、应用系统部署方案、网络配置表等所有文档应及时更新。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司生产环境设计和部署文档清单,作为证明材料。
3.7.2.2 [必须][延续] 应对重要的配置信息进行有效备份。
检查方式
访谈,检查
检查对象
配置管理人员及技术部门负责人,配置文档
检查措施
a)期货公司提供备份配置信息的相关流程,至少包括核心业务系统的操作系统、网络设备、数据库以及应用系统的配置;
b)访谈技术部门负责人和配置管理人员,了解流程执行情况;
c)抽查备份信息是否和生产环境配置吻合。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司配置信息备份的相关流程,作为证明材料。
3.7.2.3 [必须][新增] 应有恢复配置信息的流程。
检查方式
访谈,检查
检查对象
配置管理人员及技术部门负责人,配置恢复流程
检查措施
a)期货公司提供恢复配置信息的相关流程;
b)访谈技术部门负责人和配置管理人员,了解流程执行情况。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司恢复配置信息的相关流程,作为证明材料。
3.7.3 容量管理
3.7.3.1 [必须][延续] 每年应对核心系统的性能和容量情况进行评估。
检查方式
检查
检查对象
容量评估报告
检查措施
a)检查期货公司上一年度核心系统性能和容量情况的评估报告。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司上一年度核心系统性能和容量情况的评估报告复印件,作为证明材料。
3.7.3.2 [必须][延续] 应根据核心系统的性能容量评估报告,结合业务发展情况及时提出改进计划。
检查方式
检查
检查对象
性能和容量改进计划
检查措施
a)检查期货公司是否制定了核心系统性能容量的改进计划;
b)检查改进计划是否符合要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统性能容量改进计划复印件,作为证明材料。
3.7.4 应急演练
3.7.4.1 [必须][延续] 对核心系统的常见故障应有书面的应急预案和排障流程。
检查方式
检查
检查对象
应急预案,排障流程
检查措施
a)检查期货公司核心系统的常见故障应急预案和排障流程。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统应急预案目录、排障流程清单,作为证明材料。
3.7.4.2 [必须][延续] 应参与交易所等行业相关机构组织的测试和应急演练并有记录。
检查方式
检查
检查对象
测试记录,应急演练记录
检查措施
a)期货公司提供参加交易所等行业相关机构组织的应急演练的情况说明;
b)抽查期货公司参加应急演练的记录或者报告。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司参加交易所等行业相关机构组织的应急演练的情况说明,作为证明材料。
3.7.4.3 [必须][延续] 应根据机构、人员、技术等变化,及时调整应急预案。
检查方式
检查
检查对象
应急预案
检查措施
a)检查期货公司应急预案的历史版本,是否反映了相关变化。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求。
3.7.4.4 [必须][延续] 应有应急演练计划,并定期根据计划进行演练。
检查方式
检查
检查对象
应急演练记录
检查措施
a)应急演练应包含对部分自身应急预案和排障流程的执行;
b)检查期货公司应急演练计划;
c)抽查两年内演练的报告或记录,检查期货公司是否按计划进行了应急演练。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司应急演练计划目录和报告目录,作为证明材料。
3.7.4.5 [必须][延续] 应准备必要工具,以便应急预案的顺利执行。
检查方式
检查
检查对象
应急预案,应急工具
检查措施
a)根据应急预案,抽查其中需要使用的相关应急软、硬件工具是否真实存在。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求。
3.7.5 技术事故管理
3.7.5.1 [必须][延续] 应建立技术事故报告制度和流程。
检查方式
检查
检查对象
事故管理制度
检查措施
a)检查期货公司技术事故报告制度和流程。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术事故报告制度和流程,作为证明材料。
3.7.5.2 [必须][延续] 应保存技术事故的记录。
检查方式
检查
检查对象
事故记录
检查措施
a)期货公司提供一年内技术事故的记录;
b)抽查期货公司技术事故记录,应包括事故时间、现象、处理流程、处理结果、原因、改进措施等。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术事故报告复印件,作为证明材料。
3.7.5.3 [必须][延续] 应根据技术事故情况,及时提出改进计划,落实改进措施。
检查方式
访谈,检查
检查对象
技术部门负责人,改进计划
检查措施
a)期货公司提供针对近期技术事故情况的改进计划;
b)访谈技术部门负责人,了解落实改进情况。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司针对近期技术事故情况的改进计划复印件,作为证明材料。
3.8 营业部技术要求
3.8.1 基本要求
3.8.1.1 [必须][延续] 营业部设备区域应是一个单独的房间,用于放置营业部开展业务所需的网络、通信和主机设备。
检查方式
检查
检查对象
营业部设备区域情况说明
检查措施
a)期货公司提供所有营业部的设备区域的情况说明,其中必须包含设备区的照片;
b)检查情况说明,营业部设备区域是否是单独的房间,与其他办公区域进行了有效隔断;
c)检查情况说明,营业部业务所需的网络、通信和主机是否放在设备区域内。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部的设备区域的情况说明,作为证明材料。
3.8.1.2 [必须][延续] 应确保在交易时间内有技术人员进行技术系统维护工作。
检查方式
检查
检查对象
营业部交易期间技术人员值守情况说明
检查措施
a)期货公司提供所有营业部交易期间技术人员值守情况说明,包括技术人员的联系方式(固定电话号码、移动电话号码);
b)检查情况说明中的交易时间内的系统维护工作。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部交易期间值守情况说明,作为证明材料。
3.8.1.3 [必须][延续] 应有与当前运行情况相符的业务系统结构文档。
检查方式
检查
检查对象
业务系统结构文档
检查措施
a)检查期货公司提供的所有营业部为业务开展提供支持的信息系统的结构文档,应包括系统组成、网络拓扑等。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部业务系统结构文档,作为证明材料。
3.8.1.4 [必须][新增] 应配备防火墙或相当的安全防护设备。
检查方式
检查
检查对象
安全防护设备情况说明
检查措施
a)检查期货公司提供的所有营业部的安全防护设备情况说明。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部安全防护设备情况说明,作为证明材料。
3.8.1.5 [必须][延续] 应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。
检查方式
检查
检查对象
补丁管理制度、测试和升级记录
检查措施
a)检查期货公司提供的营业部补丁管理制度和流程;
b)抽查营业部核心系统依赖的系统软件的测试和升级记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部补丁管理制度和流程,作为证明材料。
3.8.1.6 [必须][延续] 应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。
检查方式
检查
检查对象
营业部的防病毒管理流程和制度
检查措施
a)期货公司提供营业部的防病毒管理的相关流程和制度;
b)检查防病毒管理的相关流程和制度,是否能够进行全面检查,是否能保障病毒库的及时更新。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的防病毒管理流程和制度,作为证明材料。
3.8.1.7 [必须][延续] 应建立有效机制,保障总部了解各个营业部的运行情况。
检查方式
检查
检查对象
营业部运行情况报告
检查措施
a)期货公司提供一年内所有营业部向总部提交的运行情况报告,频度应不低于每月一次;
b)抽查至少2次运行报告,时间间隔不小于两个月。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的抽查的期货公司营业部2次运行报告,作为证明材料。
3.8.1.8 [必须][延续] 应有总部和信息技术服务提供商的准确联系方式。
检查方式
检查
检查对象
营业部联系方式表
检查措施
a)检查期货公司的所有营业部联系方式表,是否包括总部和信息技术服务提供商的联系方式;
b)抽查信息技术服务提供商的联系方式。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部联系方式表,作为证明材料。
3.8.2 交易保障
3.8.2.1 [必须][延续] 营业部应为设备区域配备UPS和空调。
检查方式
检查
检查对象
营业部UPS、空调情况说明
检查措施
a)检查期货公司提供的所有营业部配备UPS和空调的情况说明。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的UPS和空调的情况说明,作为证明材料。
3.8.2.2 [必须][延续] 营业部应有至少两条交易通信链路。
检查方式
检查
检查对象
营业部交易通信链路情况说明
检查措施
a)期货公司提供所有营业部的交易通信链路情况说明;
b)抽查链路情况说明,查看营业部是否提供两条交易通信链路。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的交易通信链路情况说明,作为证明材料。
3.8.2.3 [必须][延续] 营业部关键设备应有冗余。
检查方式
检查
检查对象
营业部关键设备情况说明
检查措施
a)期货公司提供所有营业部的关键设备情况说明,应包括服务器、网络设备、安全防护设备等;
b)抽查设备情况说明,查看关键设备是否达到冗余要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的关键设备情况说明,作为证明材料。
3.8.2.4 [必须][延续] 营业部应有有效的日常运行流程和应急处理流程,并进行适当的演练。
检查方式
检查
检查对象
营业部日常运行流程,应急处理流程,演练记录
检查措施
a)检查期货公司提供的所有营业部的日常运行流程、应急处理流程和一年内的演练记录。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部日常运行流程、应急处理流程和演练记录,作为证明材料。
4.三类要求
4.1 技术管理
4.1.1 组织结构
4.1.1.1 [必须][延续] 应设有技术部门并有专职技术人员,并有明确的职责分工和岗位说明。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,岗位职责
检查措施
a)访谈期货公司,提供技术部门员工的情况说明,包括人员信息、岗位和基本职责;
b)检查技术人员的岗位说明书和技术部门组织架构说明,查看是否有职责划分不清或遗漏重要职责划分,技术人员不得从事开户、风控、资金存取、结算等关键业务操作。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明和组织架构说明,作为证明材料。
4.1.1.2 [必须][延续] 总部技术部门人员总数占公司总部人数的比例不少于8%。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员
检查措施
a)访谈期货公司,提供技术部门员工的情况说明,应包括总部技术部门人员名单及占比情况计算;
b)检查期货公司正式员工花名册及员工人数统计(以与公司签订劳动合同,且具有期货从业资格为准);
c)检查期货公司技术部门技术人员的简历及工资单,是否符合情况说明。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明,作为证明材料。
4.1.1.3 [必须][新增] 总部技术部门人员不少于11人。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员
检查措施
a)检查期货公司总部技术部门员工人数是否达到11人(以与公司签订劳动合同,且具有期货从业资格为准)。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明,作为证明材料(可使用上一项的证明材料)。
4.1.1.4 [必须][延续] 应建立负责本公司信息技术规划和信息安全管理的跨部门机构,其职责包括系统规划、安全管理、IT治理等。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员、信息安全管理机构负责人、组织架构
检查措施
a)访谈负责信息技术规划和信息安全管理的跨部门机构负责人,检查其是否清楚信息技术规划和信息安全的职责和工作内容;
b)检查期货公司组织架构说明和该机构成立的正式文件。
c)检查公司安全管理制度,信息安全工作的总体方针和安全策略,说明该机构安全工作的总体目标、范围、原则和安全框架等;
d)检查是否召开会议,查看会议记录,是否进行有关规划、安全管理、IT治理等制度和规程制定,是否进行审定和修订、发布落实等。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司负责信息技术规划和信息安全管理的跨部门机构的组织架构说明和组织成立的正式文件,作为证明材料。
4.1.1.5 [必须][延续] 应与所有总部技术部门人员签署保密协议,应对技术人员的离岗严格管理。
检查方式
检查
检查对象
保密协议
检查措施
a)检查期货公司总部技术人员的保密协议(或劳动合同中的保密条款)。
b)检查是否办理了严格的调离手续,检查交接记录。
检查结果
a)符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部技术人员保密协议的首页和签名页(或劳动合同相关页)复印件,作为证明材料。
4.1.1.6 [必须][延续] 应设立2名技术联络员,负责组织、协调和处理与信息安全管理部门、交易所及相关单位的各项技术事宜。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,技术联络员,联系方式
检查措施
a)访谈技术部门负责人是否清楚技术联络员的职责,了解技术联络员更换的流程;
b)访谈技术联络员,抽查各交易所、监管机构、保证金监控中心、中期协和存管银行等单位和部门的联系方式;
c)检查技术联络员是否至少为2名。
检查结果
a)如技术联络员更换的流程中不包含通知交易所和监管机构,则认为不符合上述检查措施;
b)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
c)获取加盖了公章的期货公司技术联络员变更相关流程,作为证明材料。
4.1.1.7 [必须][延续] 总部技术部门应有至少1名安全管理人员。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,技术部安全管理人员,岗位职责
检查措施
a)检查期货公司总部安全管理岗人员的个人简历和岗位说明书,查看是否具有安全管理方面的资质和经历,安全管理人员不可外包;
b)访谈期货公司总部安全管理人员,了解其是否明确岗位职责和工作内容,评估其是否达到岗位能力要求。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部安全管理人员的个人简历、岗位说明书复印件,作为证明材料。
4.1.1.8 [必须][延续] 每个营业部应配备至少1名技术人员。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,岗位职责
检查措施
a)现场访谈或电话访谈,抽查营业部技术人员,了解其工作职责和日常工作内容;
b)检查期货公司营业部的正式员工花名册,总部应有各营业部的技术人员总表,包含联系方式(营业部技术人员不得外包,以与公司签订劳动合同,且具有期货从业资格为准),检查营业部技术人员岗位说明书。
检查结果
a)同时符合上述a)-b)项的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的各营业部的技术人员总表,作为证明材料。
4.1.1.9 [必须][新增] 总部技术部门应有至少2名网络管理人员。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,网络管理人员,岗位职责
检查措施
a)访谈期货公司网络管理人员,了解其岗位职责和工作内容,评估其是否达到岗位能力要求;
b)检查期货公司网络管理人员的个人简历和岗位说明书,查看是否具有网络管理方面的资质和经历。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部网络管理人员的个人简历和岗位说明书复印件,作为证明材料。
4.1.2 培训
4.1.2.1 [必须][延续] 对所有上岗技术人员应进行岗位培训。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,技术培训
检查措施
a)期货公司提供一年内所有上岗技术人员岗位培训的书面记录;
b)培训记录要求包括培训时间、地点、培训讲师、参加培训的人员等信息,并有参加培训人员的签名;
c)抽查一年内的培训记录。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司上岗技术人员的书面培训抽查的记录,作为证明材料。
4.1.2.2 [必须][延续] 总部技术部门的所有人员每两年参加期货业协会组织的技术培训应达到18学时,其中至少有3学时的信息技术法律法规及标准培训。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司近两年参加期货业协会组织的技术培训的清单和协会提供的证明材料;
b)培训清单要求包括培训时间、地点、培训讲师、参加培训的人员等信息。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司近两年参加期货业协会组织的技术培训清单,作为证明材料。
4.1.2.3 [必须][延续] 应有明确的培训教材,用于培训上岗操作人员。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司的培训教材,确定培训教材是否符合岗位实际能力要求;
b)培训教材的形式不限,可以是纸质或电子的。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术培训教材清单,作为证明材料。
4.1.2.4 [必须][延续] 应有对总部技术部门人员的年度培训计划,并根据计划实施。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司对技术员工的年度培训计划;
b)检查一年内的技术员工的培训记录,检查执行实施情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司对技术员工的年度培训计划和培训记录复印件,作为证明材料。
4.1.2.5 [必须][延续] 应定期对各个岗位的人员进行安全教育和培训。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,技术培训
检查措施
a)期货公司提供一年内的各岗位人员安全教育的培训记录。
检查结果
a)符合上述a)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内的各岗位人员安全教育的培训记录复印件,作为证明材料。
4.1.3 人员素质
4.1.3.1 [必须][延续] 总部技术部门人员50%以上应有信息技术相关专业大学本科或以上教育背景。
检查方式
检查
检查对象
人员简历
检查措施
a)检查期货公司总部花名册中技术部门人员部分(以与公司签订劳动合同,且具有期货从业资格为准);
b)期货公司提供总部技术人员的情况说明,包括人员岗位、教育背景;
c)检查期货公司总部技术人员中信息技术相关专业大学本科或以上教育背景的是否达到50%;
d)检查期货公司的总部技术人员的学历证书或个人简历,是否符合情况说明。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部技术人员情况说明,作为证明材料。
4.1.3.2 [必须][新增] 总部技术部门人员50%以上应具备2年及以上的系统运行维护经验。
检查方式
检查
检查对象
人员简历
检查措施
a)检查期货公司总部花名册中技术部门人员部分(以与公司签订劳动合同,且具有期货从业资格为准);
b)期货公司提供技术人员的情况说明,应包括系统运行维护工作年限;
c)检查期货公司的技术人员的个人简历,是否符合情况说明;
d)检查期货公司技术人员中具备2年及以上的系统运行维护经验的是否达到50%。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部技术人员情况说明,作为证明材料。(可使用上一项的证明材料)。
4.1.4 信息技术服务提供商管理
4.1.4.1 [必须][延续] 应与信息技术服务提供商签订服务保障协议。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,信息技术服务提供商管理
检查措施
a)访谈期货公司技术部门负责人,了解信息技术服务提供商状况;
b)检查期货公司的服务提供商包含服务保障承诺的协议。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司与信息技术服务提供商之间的协议首页和签名页复印件,作为证明材料。
4.1.4.2 [必须][延续] 应与核心系统的服务提供商签署保密协议。
检查方式
检查
检查对象
期货公司技术部门负责人,信息技术服务提供商管理
检查措施
a)检查期货公司与所有交易结算应用系统供应商(包括所有席位的系统)的保密协议或在合同中有保密条款。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司与交易结算应用系统供应商的保密协议或带有保密条款的合同的首页和签名页复印件,作为证明材料。
4.1.4.3 [必须][延续] 应有信息技术服务提供商的准确联系方式。
检查方式
检查
检查对象
信息技术服务提供商管理,联系方式
检查措施
a)期货公司提供所有的服务方联系方式表;
b)检查期货公司的服务提供商联系方式表,并抽查准确性。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司服务提供商的联系方式表,作为证明材料。
4.1.4.4 [必须][延续] 选择信息技术服务提供商时应评估其资质、经营行为、业绩、服务体系和服务品质等要素。
检查方式
检查
检查对象
信息技术服务提供商管理
检查措施
a)访谈期货公司选择服务提供商时的相关评估制度或措施;
b)抽查评估记录,评估记录中应包括服务提供商的资质、经营行为、业绩、服务体系和服务品质。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司服务商的评估制度或相关措施说明,以及抽查的评估记录,作为证明材料。
4.1.4.5 [必须][延续] 应定期对信息技术服务提供商的服务质量进行评估。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,信息技术服务商管理
检查措施
a)访谈期货公司定期评估服务提供商的相关制度或措施;
b)访谈期货公司技术部门负责人,了解服务提供商服务质量定期评估的实施情况;
c)检查一年内期货公司的服务提供商服务质量的评估报告。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司定期评估服务提供商的制度或相关措施说明,以及抽查的评估报告,作为证明材料。
4.1.5 IT投入
4.1.5.1 [必须][延续] 最近三个财政年度IT投入平均数额应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%,取二者数额较大者。
检查方式
检查
检查对象
财务报表
检查措施
a)IT投入的计算范围包括技术类资产投入、运行、维护、信息技术服务和外包费用,不包括人员薪酬福利,计算方法采用权责发生制;
b)检查期货公司前三个财政年度经审计的财务报表;
c)检查期货公司的最近三个财政年度IT投入的清单和对应的费用及比例说明;
d)对于成立时间不足三年的期货公司,只考虑成立以后的时间。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司最近三个财政年度IT投入的清单和对应的费用及比例说明,作为证明材料。
4.2 机房建设
4.2.1 基本
4.2.1.1 [必须][延续] 机房应为独立封闭区域,并配备门禁。
检查方式
检查
检查对象
机房基础设施
检查措施
a)检查期货公司的机房,是否为独立封闭区域(独立封闭区域是指机房内不得包括办公、生活等设施,但可以包括监控终端),并配备门禁(门禁应专门控制机房的出入),并获取机房以及门禁的照片。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取机房以及门禁的照片,作为证明材料。
4.2.1.2 [必须][新增] 机房承重应达到500公斤每平方米。
检查方式
检查
检查对象
机房基础设施
检查措施
a)期货公司提供由相关机构出具的机房承重相关证明材料,说明机房承重是否达到500公斤每平方米。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的由相关机构出具的期货公司机房承重相关证明材料复印件,作为证明材料。
4.2.1.3 [必须][延续] 机房应具备火警检测、灭火和应急照明设施。
检查方式
访谈,检查
检查对象
机房基础设施
检查措施
a)期货公司提供机房情况说明,包括火警检测、灭火和应急照明设施等信息;
b)检查期货公司的机房的火警检测设施,是否符合情况说明(火警检测设施应分布于机房的每个独立房间);
c)检查期货公司的机房的灭火设施,是否符合情况说明;
d)检查期货公司的机房的应急照明设施,是否符合情况说明。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房情况说明,作为证明材料。
4.2.1.4 [必须][延续] 机房应当具备自动灭火设施。
检查方式
检查
检查对象
灭火设施
检查措施
a)期货公司提供机房情况说明,包括自动灭火设施,查看消防验收材料;
b)检查期货公司的机房的自动灭火设施,是否符合情况说明(自动灭火设施应当分布于机房的每个独立房间)。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
4.2.1.5 [必须][延续] 机房出入口和内部应安装7*24小时录像监控设施,录像至少保存90天。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机房情况说明,包括机房出入口和内部的录像监控设施和录像保存措施等信息;
b)检查期货公司的机房的出入口和内部是否安装录像监控设施,是否与a)的情况说明相符;
c)检查近90天的机房监控录像,并抽查两个不同日期的录像记录。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
4.2.1.6 [必须][延续] 机房应有防雷和接地的设施。
检查方式
检查
检查对象
机房基础设施
检查措施
a)期货公司提供情况说明,包括防雷和接地等措施,以及交流接地、直流接地、安全工作接地电阻不大于4欧姆,防雷接地电阻不大于10欧姆的书面证明材料;
b)检查期货公司的机房的防雷和接地设施,是否与a)的情况说明相符。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
4.2.1.7 [必须][新增] 机房内应安装漏水检测设施,并能够自动报警。
检查方式
检查
检查对象
机房基础设施
检查措施
a)期货公司提供机房情况说明,包括漏水检测设施、自动报警设施(重点在每台精密空调周围设置漏水检测装置);
b)检查机房漏水检测设施,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
4.2.1.8 [必须][新增] 机房内应采用卤代烷或可替代的其他新型气体灭火装置。
检查方式
检查
检查对象
机房灭火装置
检查措施
a)期货公司提供机房情况说明,包括气体灭火装置;
b)检查机房的气体灭火装置,是否为卤代烷或可替代的其他新型气体灭火装置,查看消防验收材料;
c)检查机房的气体灭火装置,并注意查看其设备的有效期,是否符合情况说明。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房的灭火装置情况,作为证明材料。
4.2.1.9 [必须][新增] 应具有机房环境监控系统,至少能够监控供配电、空调、温湿度等重要指标。
检查方式
检查
检查对象
机房监控
检查措施
a)期货公司提供机房情况说明,包括机房环境监控措施;
b)检查机房的环境监控系统,是否有供配电、空调、温度、湿度等监控,是否符合情况说明。
检查结果
a)供配电、空调、温度、湿度等监控指标缺少任意一项,都为不符合上述a)的检查措施;
b)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
c)获取加盖了公章的期货公司机房的环境监控系统的情况说明,作为证明材料。
4.2.1.10 [必须][延续] 应实现声音或短信等自动报警或7*24小时值守。
检查方式
访谈,检查
检查对象
技术部门负责人,机房管理
检查措施
a)期货公司提供机房情况说明,包括机房报警或值守措施;
b)检查机房报警是否实现声音或短信等自动报警,是否符合情况说明;
c)如不能自动报警,访谈技术部门负责人,了解是否采取7*24小时值守的机制,检查期货公司的值守记录,抽查一年内4个时点相应的记录,间隔不小于2个月。
检查结果
a)同时符合上述a)和b),或者a)和c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房报警或值守的情况说明,作为证明材料。
4.2.2 供电
4.2.2.1 [必须][延续] 机房应配备在线UPS设施。UPS应当存放在独立封闭区域。
检查方式
检查
检查对象
机房UPS
检查措施
a)期货公司提供UPS情况说明,应说明在线UPS设备功率和UPS设备连接方式,UPS应与计算机、网络设备在不同的独立封闭区域;
b)检查机房的在线UPS设施,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房的UPS设施的情况说明,作为证明材料。
4.2.2.2 [必须][新增] 应提供双路市电,双路供电应能实现自动切换,双UPS供电,并能够采用发电机应急供电。
检查方式
检查
检查对象
机房供电设施
检查措施
a)检查期货公司提供的市电供电、UPS设施和应急供电发电机情况说明;
b)检查双路市电来源的说明是否符合实际情况;
c)检查是否配备了发电机予以保护(不包括移动式的发电机);
d)检查所有生产环境的双电源设备分别连接到不同的UPS;
e)检查所有生产环境的单电源设备都连接到STS设备,或采用双机热备,或其它等效措施,并分别连接到不同的UPS;
f)检查两年内的电力切换演练记录,切换应当包括在一路市电、一路UPS完全失效或者一路电源开关发生故障的情况下,剩余的市电和UPS可以支撑机房的全部设备的情况。
检查结果
a)同时符合上述a)-f)中的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司应急供电情况说明,作为证明材料。
4.2.2.3 [必须][新增] 应具有电力设施实时切换演练制度和记录。
检查方式
检查
检查对象
机房管理
检查措施
a)检查期货公司提供的电力设施实时切换演练制度;
b)检查期货公司近两年内电力设施实时切换演练记录;实时切换应当做到模拟一路市电中断、一路UPS完全失效和一路电源开关发生故障的情况下,所有的生产环境设备不需要任何人工操作,仍然能够正常工作。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司近两年内电力设施实时切换演练记录复印件,作为证明材料。
4.2.2.4 [必须][新增] UPS和发电机应能够提供不少于12小时的连续供电,在满负载运行的情况下,UPS供电时间应超过从断电到发电机开始供电的间隔时间。
检查方式
检查
检查对象
机房供电设施
检查措施
a)期货公司提供发电机情况说明,包括发电机应急供电时间等信息;
b)检查发电机情况说明,根据可供油量,计算供电时间是否不少于12小时;
c)计算UPS的供电时间;计算时,根据机房的满负载用电量和UPS电池的实际电量计算。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司发电机情况说明,作为证明材料。
4.2.2.5 [必须][新增] 应定期对发电机进行开机测试。
检查方式
检查
检查对象
机房供电管理
检查措施
a)期货公司提供一年内发电机开机测试记录,应包括测试时间,测试结果等内容。
检查结果
a)符合上述a)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司发电机测试记录复印件,作为证明材料。
4.2.3 空调
4.2.3.1 [必须][新增] 应配有与机房热容量匹配的精密空调,并有冗余的精密空调设备。
检查方式
检查
检查对象
机房空调设备
检查措施
a)期货公司提供机房精密空调情况说明,包括空调的正常温度;
b)检查期货公司机房精密空调情况说明,精密空调热容量是否与机房中配置的设备功率相匹配;
c)检查机房精密空调的冗余,应当在缺少任何一台精密空调工作的情况下,剩余精密空调的热容量与机房中配置的设备功率相匹配。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房精密空调情况说明,作为证明材料。
4.2.3.2 [必须][延续] 对机房温湿度应有监控措施和记录。
检查方式
检查
检查对象
机房管理
检查措施
a)检查期货公司机房近一年内机房温度、湿度的监控记录,至少4个时点,时间间隔不小于两个月。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司机房温度、湿度监控记录复印件,作为证明材料。
4.2.3.3 [必须][新增] 空调应双路供电。
检查方式
检查
检查对象
机房空调设备,机房供电设施
检查措施
a)期货公司提供的机房空调情况说明,包括空调供电信息;
b)根据机房空调情况说明,检查空调供电是否双路(不要求自动切换)。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的检查期货公司机房空调情况说明,作为证明材料。
4.2.3.4 [必须][新增] 机房应配备新风设施。
检查方式
检查
检查对象
机房新风设施
检查措施
a)期货公司提供的机房情况说明,包括是否配备新风设施信息;
b)检查期货公司新风设施,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的检查期货公司机房情况说明,作为证明材料。
4.2.3.5 [可选][新增] 应具有为空调供电的发电机。
检查方式
检查
检查对象
机房供电设施,机房空调设施
检查措施
a)期货公司提供机房的空调情况说明,包括发电机信息和机房供电图;
b)检查期货公司机房的为空调供电的发电机,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的机房的空调情况说明,作为证明材料。
4.2.4 布线
4.2.4.1 [必须][延续] 强弱电布线应分开。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机柜外的布线图,包括强弱电布线情况;本项要求不包括机柜内布线;
b)抽查期货公司机房强弱电的布线,不应存在强弱电线路平行铺设且无间距、无隔断的情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司布线图,作为证明材料。
4.2.4.2 [必须][延续] 所有弱电布线应有清晰的线标。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机房线标规划方案;线标上应当可以直接或者可以通过查表的方式,明确知道该线连接的位置和用途;
b)抽查期货公司机房弱电线标是否根据规划实施。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的机房线标规划方案,作为证明材料。
4.2.4.3 [必须][新增] 强电电缆应有屏蔽或隔离措施。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供强电情况说明,包括机柜外的强电电缆是否有屏蔽或隔离措施;本项要求不包括机柜内强电电缆;
b)对于强电电缆与弱电电缆分开铺设的,认为符合隔离措施;
c)对于强电电缆与弱电电缆一起铺设的(指直接相邻、无间距且平行),应采取屏蔽措施。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司强电情况说明,作为证明材料。
4.2.4.4 [必须][新增] 所有布线应置于管道或桥架中。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机柜外的布线情况说明;这些布线应当放置在管道或桥架中,但是不要求完全封闭;本项要求不包括机柜内布线;
b)检查期货公司机房的布线情况,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司布线情况说明,作为证明材料。
4.2.5 维护
4.2.5.1 [必须][延续] 所有UPS和空调设施都应有专业维护人员,或与专业机构签订维护合同。
检查方式
访谈,检查
检查对象
UPS和空调设施维护人员或维护合同
检查措施
a)访谈UPS和空调设施维护人员,或检查期货公司机房的空调和UPS维护合同。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的UPS和空调设施专业维护人员的情况说明或维护合同签名页复印件,作为证明材料。
4.2.5.2 [必须][延续] 应定期对所有UPS和空调设施进行恰当维护,有维护记录。
检查方式
检查
检查对象
UPS和空调设施维护记录
检查措施
a)检查期货公司机房一年内UPS和空调设施的维护记录。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房一年内UPS和空调设施的维护记录复印件,作为证明材料。
4.3 核心系统
4.3.1 功能
4.3.1.1 [必须][延续] 交易系统应实现数据与应用分离,防止客户终端绕过应用程序界面直接访问核心数据。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统
检查措施
a)访谈期货公司技术部门负责人交易系统的软件来源、版本情况、软件架构说明;
b)检查软件架构说明,不应存在客户终端直接使用数据库接口,访问核心数据的情况;
c)检查软件架构说明,不应存在为客户终端或者管理员终端提供通用的直接修改核心数据的方法。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的软件来源、版本情况、软件架构说明,作为证明材料。
4.3.1.2 [必须][延续] 交易系统应具备对客户进行实时风险控制的能力。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统风险控制措施
检查措施
a)访谈期货公司技术部门负责人交易系统对客户的实时风险控制措施;
b)期货公司提供情况说明,包括交易系统对客户的实时风险控制措施,至少应具备强行平仓和防止保证金透支的功能;
c)检查期货公司交易系统实时风险控制模块。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统对客户的实时风险控制的情况说明,作为证明材料。
4.3.1.3 [必须][延续] 交易系统应产生、记录并存储必要的日志信息供审计使用。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统
检查措施
a)访谈期货公司技术部门负责人交易系统的软件架构说明和日志功能;
b)期货公司提供情况说明,包括交易系统的日志功能,日志信息至少应包括所有接入客户的身份信息、IP地址和交易信息;
c)检查是否产生必要的日志信息;
d)检查是否记录必要的日志信息;
e)检查是否存储必要的日志信息。
检查结果
a)同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的软件架构说明和日志功能材料,作为证明材料。
4.3.1.4 [必须][延续] 核心系统应具备向期货保证金监控中心上报规定数据的功能。
检查方式
访谈,检查
检查对象
相关管理人员,核心系统
检查措施
a)访谈核心系统管理人员保证金数据报送的方式和方法;
b)期货公司提供材料,说明已按要求报送保证金监控中心规定的数据。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的报送数据情况说明材料,作为证明材料。
4.3.1.5 [必须][延续] 不应具有篡改、伪造核心系统数据或其他可能导致数据失真的功能。
检查方式
访谈,检查
检查对象
相关管理人员,核心系统
检查措施
a)期货公司提供说明核心系统功能清单的资料;
b)检查核心系统功能清单,不应具有篡改成交信息或资金信息的功能。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统功能清单,作为证明材料。
4.3.1.6 [必须][延续] 核心系统应有授权管理功能。
检查方式
访谈,检查
检查对象
部门负责人,期货公司核心系统权限管理措施
检查措施
a)访谈期货公司技术部门负责人核心系统的权限管理机制;
b)期货公司提供核心系统说明,包括授权管理功能;
c)检查授权管理功能,应至少做到对单个菜单条目、单个操作人员进行授权。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统说明,作为证明材料。
4.3.1.7 [必须][延续] 核心系统应有运行监控功能。
检查方式
访谈,检查
检查对象
期货公司核心系统监控措施及相关负责人
检查措施
a)访谈期货公司技术部门负责人核心系统的运行监控措施,是否能够覆盖核心系统;
b)期货公司提供核心系统的架构说明,包括运行监控措施;
c)检查期货公司核心系统的监控功能,是否符合情况说明,监控信息应当至少包括各个核心系统的服务器、磁盘阵列、数据库的基本运行情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统架构说明,作为证明材料。
4.3.1.8 [必须][新增] 交易系统应具备流量控制管理功能。
检查方式
访谈,检查
检查对象
期货公司交易系统流量控制措施及部门负责人
检查措施
a)访谈期货公司技术部门负责人核心系统的架构和流量控制措施,流量控制应至少包括控制单位时间委托笔数上限的功能;
b)期货公司提供交易系统流量控制管理的情况说明,包括具体的流量控制措施;
c)期货公司提供交易系统流量控制的测试报告。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统情况说明,作为证明材料。
4.3.1.9 [必须][延续] 应要求交易系统供应商提供交易、银期及相关查询接口。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,银期系统
检查措施
a)检查期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明,作为证明材料。
4.3.1.10 [必须][延续] 核心系统应具备通过监控中心统一开户系统进行开户的功能。
检查方式
检查
检查对象
期货公司核心系统管理人员、核心系统功能
检查措施
a)访谈核心系统管理人员统一开户的方式和方法;
b)期货公司提供材料,说明已按要求通过监控中心统一开户系统进行开户。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的统一开户情况说明材料,作为证明材料。
4.3.1.11 [必须][延续] 核心系统应具备链接监控中心投资者查询服务系统的功能。
检查方式
检查
检查对象
期货公司核心系统管理人员、核心系统功能
检查措施
a)期货公司提供材料,说明已具备链接监控中心投资者查询服务系统的功能。
检查结果
a)获取加盖了公章的对接投资者查询服务系统的说明材料,作为证明材料。
4.3.2 性能和容量
4.3.2.1 [必须][延续] 交易系统的性能和容量应达到所有其作为会员的交易所的要求。
检查方式
检查
检查对象
期货公司交易系统
检查措施
a)期货公司提供交易系统的性能和容量的情况说明,包括交易系统的性能和容量的最大值;
b)检查期货公司其作为会员的交易所出具的相关测试报告。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的性能和容量的情况说明或相关测试报告,作为证明材料。
4.3.2.2 [必须][延续] 应对交易系统的主要业务指标进行实时监控。
检查方式
访谈,检查
检查对象
期货公司交易系统及相关负责人
检查措施
a)访谈期货公司技术部门负责人,了解实时监控交易系统的主要业务指标以及相应的监控措施;
b)期货公司提供对交易系统的主要业务指标进行实时监控的情况说明,包括交易系统的业务指标监控列表;
c)检查交易系统的主要业务指标监控列表,应至少包括在线用户、报单和成交记录数量等。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的主要业务指标的实时监控情况说明,作为证明材料。
4.3.2.3 [必须][延续] 应对交易系统的主要业务监控指标进行记录。
检查方式
访谈,检查
检查对象
期货公司技术部门应用管理人员,运行管理
检查措施
a)期货公司提供一年内全部业务监控记录,记录应至少包括在线用户、报单和成交记录数量;
b)检查期货公司业务监控手段和记录流程;
c)抽查4个时点的监控记录,每个时点的间隔不少于两个月。
检查结果
a)同时符合上述a)-c)的所有检查措施,才能达到本检查项的要求;
b)获取加盖了公章的4个时点的监控记录复印件,作为证明材料。
4.3.2.4 [必须][延续] 应对所有接入交易所的交易通信链路进行监控。
检查方式
访谈,检查
检查对象
技术部门网络管理员,接入交易所的交易通信链路
检查措施
a)期货公司提供所有接入交易所链路清单和监控方法;
b)访谈期货公司网络管理员链路监控的方法;
c)抽查至少两条链路的监控实施情况,应当至少监控链路的通断情况、流量情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的连接交易所链路清单和监控方法以及抽查的监控记录,作为证明材料。
4.3.2.5 [必须][延续] 接入交易所的交易通信链路应达到所有其作为会员的交易所的要求,并采用不同运营商的通讯线路作为备份线路。
检查方式
检查
检查对象
接入交易所的交易通信链路
检查措施
a)期货公司提供所有接入交易所链路清单;
b)检查链路带宽和备份是否满足所有其作为会员的交易所的要求;
c)检查期货公司根据交易所要求进行的链路测试情况;
d)检查期货公司应当至少有两条线路接入三所联网。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的连接交易所链路清单和参加交易所规定的链路测试并通过的证明,作为证明材料。
4.3.2.6 [必须][延续] 接入交易所的交易通信链路带宽使用率每交易日峰值按月统计的平均值应不超过80%。
检查方式
访谈,检查
检查对象
技术部门网络管理人员,接入交易所的交易通信链路
检查措施
a)期货公司提供所有接入交易所链路清单;
b)访谈网络管理人员链路容量实时监控的方法;
c)抽查至少两条链路容量自动监控的实施情况;
d)检查期货公司交易所链路一年内每日峰值按月统计的平均值是否不超过80%。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司接入交易所链路每月的日峰值统计情况,作为证明材料;
c)期货公司应使用自动手段实时监控网络带宽。
4.3.2.7 [必须][延续] 应对所有网上交易的通信链路进行监控。
检查方式
访谈,检查
检查对象
技术部门网络管理员,网上交易的通信链路
检查措施
a)期货公司提供所有网上交易专有链路及监控手段清单;
b)检查网上交易非专有链路的通断监控情况;
c)抽查至少一条专有链路监控实施情况,应当至少监控链路的通断情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网上交易的通信链路清单,作为证明材料。
4.3.2.8 [必须][延续] 网上交易的通信链路带宽使用率每交易日峰值按月统计的平均值应不超过80%。
检查方式
访谈,检查
检查对象
网络管理人员,网上交易的通信链路
检查措施
a)期货公司提供所有网上交易专有链路清单;
b)访谈网络管理人员链路容量实时监控的方法;
c)抽查至少一条专有链路容量自动监控的实施情况;
d)检查期货网上交易专有链路一年内每日峰值按月统计的平均值不超过80%。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司网上交易专有链路每月的日峰值统计情况,作为证明材料;
c)期货公司应使用自动手段实时监控网络带宽。
4.3.3 交易系统冗余
4.3.3.1 [必须][新增] 交易系统的所有部件应有热备份,具备5分钟内切换的能力。
检查方式
访谈,检查
检查对象
技术部门负责人,交易系统的所有部件
检查措施
a)期货公司提供交易系统的所有部件清单;
b)期货公司提供系统部署图;
c)访谈交易系统部件备份情况(包括交易依赖的所有服务器、磁盘阵列、数据库);
d)核实备份部件真实存在,并实现互备,且具有5分钟内切换的能力。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的部件清单、切换演练汇总报告及操作手册目录页复印件,作为证明材料。
4.3.3.2 [必须][延续] 与交易所连接的网络设备应无单点故障。
检查方式
访谈,检查
检查对象
技术部门负责人,与交易所连接的网络设备
检查措施
a)期货公司提供与交易所连接的网络结构和设备清单;
b)与交易所的连接应是双链路冗余,包括通过三所联网接入交易所实现链路冗余的情况;
c)核实相关部件是否真实存在;
d)检查设备切换演练记录,并评估是否能够切换。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司相关切换演练记录复印件,作为证明材料。
4.3.3.3 [必须][新增] 生产环境内所有网络设备应有热备份,具备1分钟内切换的能力。
检查方式
访谈,检查
检查对象
所有网络设备及技术部门负责人
检查措施
a)期货公司提供所有网络设备清单;
b)期货公司提供网络架构图;
c)访谈技术部门负责人网络设备备份情况(包括生产环境中的所有路由器、交换机、防火墙、负载均衡器、连接线);
d)核实备份部件是否真实存在,并实现互备;
e)抽查交易系统网络设备的切换演练记录,并评估切换时间是否不超过1分钟,设备须自动切换。
检查结果
a)同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的设备清单、切换演练汇总报告复印件,作为证明材料。
4.3.3.4 [必须][延续] 应使用多个电信运营商的链路作为网上交易的通信链路。
检查方式
检查
检查对象
网上交易的通信链路
检查措施
a)期货公司提供所有网上交易的通信链路清单;
b)网上交易的通信链路清单应包括电信运营商情况;
c)检查电信运营商是否为两个或两个以上。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的网上交易通信链路清单(应包括电信运营商情况),作为证明材料。
4.3.4 行情冗余
4.3.4.1 [必须][延续] 应向客户同时提供至少2套行情服务,且均使用至少2套服务器。
检查方式
访谈,检查
检查对象
客户开户相关人员、行情服务系统
检查措施
a)访谈期货公司,提供行情服务情况说明;
b)检查期货公司使用了至少2家行情商提供的行情服务;
c)检查期货公司使用了2家至少能提供2套行情服务器的行情商。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司行情服务情况说明,作为证明材料。
4.3.4.2 [必须][新增] 应有至少2套行情服务,且均通过至少两个电信运营商提供服务。
检查方式
访谈,检查
检查对象
技术部门负责人、行情服务系统及其电信链路
检查措施
a)期货公司提供所有行情供应商及包含链路情况的部署清单;
b)访谈技术部门负责人行情系统部署情况;
c)检查至少2套行情服务,都通过至少两家电信运营商提供服务。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的行情供应商及相关部署清单,作为证明材料。
4.3.5 银期系统冗余
4.3.5.1 [必须][延续] 应与至少2家银行实现全国性银期转帐。
检查方式
访谈,检查
检查对象
技术部门负责人、银期转账系统
检查措施
a)期货公司提供注明正式上线的所有银期转帐系统清单;
b)检查期货公司与银行签署相关合同及相关内容真实有效;
c)检查两家银期转账,且均为全国性银期转账。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的正式上线的所有银期转帐系统清单,与银行签署相关合同首页和签名页复印件,作为证明材料。
4.4 安全
4.4.1 网络隔离
4.4.1.1 [必须][延续] 生产网与互联网应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与互联网的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及与当前运行情况相符的相关设施的配置清单和安全策略,启用访问控制功能;
b)访谈生产网与互联网的隔离情况;
c)检查隔离设备是否真实存在;
d)检查网络设备的安全规则是否配置允许访问规则,控制粒度为网段级,对没有明确定义的数据包缺省拒绝。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存。
4.4.1.2 [必须][延续] 网站与网上交易系统应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、网站与网上交易系统的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈网站与网上交易系统的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
4.4.1.3 [必须][延续] 生产网与办公网应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与办公网的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈生产网与办公网的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
4.4.1.4 [必须][延续] 总部的生产网与营业部的网络应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、总部的生产网与营业部的网络的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈总部的生产网与营业部的网络的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
4.4.1.5 [必须][延续] 生产网与交易所、银行等外联单位网络应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与交易所、银行等外联单位网络的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈生产网与交易所、银行等外联单位网络的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)获取加盖了公章的外联单位网络隔离情况说明,作为证明材料。
4.4.2 防病毒、补丁和安全加固
4.4.2.1 [必须][延续] 应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、安全加固情况
检查措施
a)期货公司提供系统补丁相关流程和制度;
b)检查补丁评估的相关记录;
c)访谈系统补丁更新的情况,跟踪最近一次补丁更新情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司系统补丁相关流程和制度,作为证明材料。
4.4.2.2 [必须][延续] 应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、Windows病毒防护措施
检查措施
a)期货公司提供病毒管理相关流程和制度;
b)访谈公司病毒管理的情况,跟踪最近一次全面病毒检查和病毒更新情况;
c)抽查Windows服务器、业务用机和办公机,病毒特征库应根据公司病毒管理策略更新到最新日期。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司病毒管理流程和制度,作为证明材料。
4.4.2.3 [必须][延续] 应对生产环境所有服务器定期进行安全扫描和合理加固,关闭不需要的端口。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、安全扫描和加固措施
检查措施
a)期货公司提供安全扫描和加固的相关流程制度;
b)期货公司应提供一年内至少1次安全扫描和加固的报告;
c)访谈公司安全扫描和加固执行情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供安全扫描、加固报告首页和相关制度,作为证明材料。
4.4.2.4 [必须][延续] 应在计算机或存储设备接入生产环境之前对其进行安全检查。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、接入安全检查
检查措施
a)期货公司提供外来计算机管理制度;
b)访谈公司外来计算机和存储接入生产环境前的安全扫描措施。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供外来计算机管理制度或公司信息技术管理制度的相关条款,作为证明材料。
4.4.2.5 [必须][延续] 应对通过互联网向外提供服务的设备和系统进行定期安全扫描,关闭不需要的端口。
检查方式
检查
检查对象
外联端口的安全措施
检查措施
a)期货公司提供通过互联网向外提供服务的设备和系统及对应开放端口、端口说明的清单;
b)访谈公司安全扫描和加固安全制度,访谈执行情况;
c)期货公司应提供一年内至少1次安全扫描和加固的报告。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供安全扫描报告首页,作为证明材料。
4.4.2.6 [必须][延续] 在读取移动存储设备上的数据以及从网络上接收文件或邮件之前,应先进行病毒检查。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、移动存储和外来文件的安全检查措施
检查措施
a)期货公司提供数据管理的相关制度;
b)访谈数据管理的相关管理和技术措施;
c)检查期货公司从网络上下载结算数据的管理情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据管理相关制度,作为证明材料;
c)期货公司结算数据下载介质应专用,应有相关流程检查病毒木马情况。
4.4.2.7 [可选][新增] 对通过互联网传送的交易及结算数据应有加密手段,以保护数据的安全。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,交易结算的数据保护措施
检查措施
a)期货公司提供交易结算数据加密情况说明;
b)访谈公司提供交易结算数据加密情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供交易结算数据加密情况说明,作为证明材料。
4.4.2.8 [必须][延续] 所有生产环境服务器应尽量避免使用telnet、ftp等有安全隐患的服务,与服务器通信应采用加密方式,例如SSH。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,服务器通信方式
检查措施
a)期货公司提供生产环境服务器及对应的远程登录、文件传输程序的清单;
b)访谈远程登录、文件传输程序采用的加密措施。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供生产环境服务器及对应的远程登录、文件传输程序清单,作为证明材料。
4.4.3 网站安全
4.4.3.1 [必须][延续] 应有专人监控网站内容,发现问题后及时处理。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站相关业务人员,网站内容管理
检查措施
a)期货公司提供网站监控人员名单和处理流程情况说明;
b)访谈网站监控管理流程。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站监控人员名单和处理流程情况说明,作为证明材料。
4.4.3.2 [必须][延续] 应定期对网站进行安全检查,并对隐患进行及时处理。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站安全检查
检查措施
a)对网站进行的安全检查应包括:SQL注入漏洞、弱口令、口令验证不足、目录遍历、文件上传、HTTP协议追踪、跨站脚本、后台漏洞、敏感信息泄漏、网络漏洞和SSL加密漏洞、下单网页未使用HTTPS加密机制等;
b)期货公司提供一年内的网站安全检查报告;
c)访谈网站安全检查情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站安全检查报告,注明证监会网站相关检查情况,作为证明材料。
4.4.3.3 [必须][延续] 应准备足够措施,能在发现网站被篡改后5分钟内停止发布被篡改的内容。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站内容管理
检查措施
a)期货公司提供网站停止发布机制说明;
b)检查最近一次的演练记录,并评估从发现网站被篡改到停止发布被篡改的内容的时间是否不超过5分钟。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站停止发布机制说明,作为证明材料。
4.4.3.4 [必须][延续] 应安装木马防护软件并定期更新。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,木马防护措施
检查措施
a)期货公司提供网站木马防护机制说明;
b)访谈木马防护软件的部署更新情况;
c)有条件可检查防木马软件版本是否根据情况进行定期更新。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站防木马机制说明,作为证明材料。
4.4.3.5 [必须][延续] 网站的内容发布应有审核制度和完整的内容发布流程。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站内容管理相关业务人员,网站内容管理
检查措施
a)期货公司提供网站内容审核制度及发布流程;
b)检查并访谈网站内容审核制度和流程的执行情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站内容审核制度及发布流程,作为证明材料。
4.4.3.6 [必须][新增] 应对网站主页内容实现自动监控,能在5分钟内检测到篡改。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站内容管理相关业务人员,网站内容管理
检查措施
a)期货公司提供网站主页篡改监控说明;
b)访谈网站主页内容自动监控机制。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站主页内容自动监控机制说明,作为证明材料;
c)期货公司应具备网站主页内容自动监控机制。
4.4.3.7 [必须][新增] 应请有资质的专业安全机构定期对网站提供安全评估或扫描服务,并对安全漏洞进行整改。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站安全管理
检查措施
a)期货公司提供专业机构(具有国家或者省级主管部门颁发的信息安全服务许可证书)出具的网站安全评估报告,整改情况说明及安全机构的资质说明;
b)访谈评估和整改情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的安全机构提供的评估报告、整改情况说明及安全机构的资质说明,作为证明材料;
c)评估报告有效期为一年。
4.4.4 网上交易安全
4.4.4.1 [必须][延续] 应提供可靠的身份认证机制,网上交易客户端支持多种方式与服务端完成身份认证。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,网上交易的身份认证
检查措施
a)期货公司提供网上交易系统的身份认证说明;
b)检查期货公司网上交易系统是否支持多种身份认证方式;
c)访谈网上交易系统的身份验证方式和措施。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网上交易系统的身份认证说明,作为证明材料。
4.4.4.2 [必须][延续] 服务器上的用户认证信息应加密存放。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,服务器的用户认证
检查措施
a)期货公司提供身份认证存放方式说明;
b)检查用户认证信息是否加密存放;
c)访谈网上交易系统的身份认证存放方式。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网上交易系统的身份认证存放方式说明,作为证明材料。
4.4.4.3 [必须][延续] 应在与客户签订的服务合同(网上期货服务合同、期货经纪合同及补充协议、风险揭示书)中载明,客户使用网上期货业务可能面临的风险、期货公司采取的风险控制措施、客户应采取的风险控制措施以及相关风险对应的责任承担(如防止用于网上交易的计算机或手机终端感染木马、病毒,以免被恶意程序窃取口令;加强帐号、口令的保护,不使用简单口令、定期修改口令、输入口令时防止他人偷看、不对他人泄露口令等)。
检查方式
访谈,检查
检查对象
投资者开户负责人员
检查措施
a)期货公司提供网上期货服务合同(协议);
b)访谈开户时网上交易风险揭示的措施和流程。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司网上期货服务合同(协议)中揭示网上交易风险部分页作为证明材料。
4.4.4.4 [必须][延续] 应提供预留验证信息服务,在客户进行登录时向客户进行显示,帮助客户有效识别仿冒的网上期货信息系统,防范利用仿冒的网上期货信息系统进行诈骗活动。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,网上交易系统的预留验证信息服务
检查措施
a)期货公司提供网上交易系统的预留验证信息相关服务的说明(例如提供客户结算单信息等);
b)访谈公司网上交易系统的预留验证信息相关服务的情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网上交易系统的预留验证信息相关服务的说明,作为证明材料。
4.4.4.5 [可选][新增] 至少提供一种强度较高的用户身份认证机制。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员或安全管理人员,网上交易的用户认证
检查措施
a)期货公司提供除静态口令外的强度较高的用户身份认证机制的说明,例如数字证书、动态口令、电脑或手机特征码绑定等;
b)访谈公司其它认证机制的实施情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供除静态口令外其它认证措施的说明,作为证明材料。
4.4.4.6 [必须][新增] 应请有资质的专业安全机构定期对网上交易系统提供安全评估或扫描服务,并对安全漏洞进行整改。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网上交易的安全管理
检查措施
a)期货公司提供有资质的安全机构对网上交易系统安全的评估报告、整改情况说明及安全机构的资质说明(例如公安部、安全部等机构颁发的资质);
b)访谈评估和整改情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的安全机构提供的评估报告、整改情况说明及安全机构的资质说明,作为证明材料;
c)评估报告有效期为一年。
4.4.5 账户与权限
4.4.5.1 [必须][延续] 应有生产环境内关键系统账户与权限的关系表。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供生产环境内关键应用系统(包括交易、结算和风险监控系统)的账户与权限的关系表;
b)访谈生产环境内关键系统账户与权限的关系维护情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司生产环境内关键系统账户与权限的关系表,作为证明材料。
4.4.5.2 [必须][延续] 账户和权限变更应有审批和完整的记录。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供生产环境内关键应用系统(包括交易、结算和风险监控系统)账户与权限的审批制度和流程;
b)期货公司提供一年内全部生产环境内关键系统账户与权限的审批表,并跟踪一次权限变更是否符合制度要求;
c)访谈账户与权限审批制度和流程落实情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供生产环境内关键系统账户与权限审批制度和流程,作为证明材料。
4.4.5.3 [必须][延续] 岗位变动应及时调整对应系统的账户和权限。
检查方式
检查
检查对象
权限管理
检查措施
a)期货公司提供生产环境账户与权限变更制度和流程;
b)期货公司提供一年内全部生产环境账户与权限变更记录;
c)抽查至少2次账户权限变更是否及时(岗位变动和权限变更时间间隔不得超过1个月)。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供生产环境账户与权限变更制度和流程,作为证明材料。
4.4.5.4 [必须][延续] 应避免使用超级管理员账户完成日常业务操作。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供业务系统超级管理员账户的使用情况说明;
b)访谈业务系统超级管理员账户的使用情况,该账户应只进行开设账户、权限分配等非日常业务操作。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供业务系统管理员账户的使用情况说明,作为证明材料。
4.4.6 口令管理
4.4.6.1 [必须][延续] 所有书面方式保存的口令应有安全的物理保护措施。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,口令管理
检查措施
a)以明文方式存放在计算机中的口令视同为书面方式保存的口令;
b)期货公司提供书面口令保存方式的情况说明,应有安全的物理保护措施,例如放置于保险箱、带锁的柜子,以明文方式存放口令的计算机应放置于有出入控制的操作间内;
c)检查口令保存方式措施真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司书面口令保存方式的情况说明,作为证明材料。
4.4.6.2 [必须][延续] 口令应有复杂度要求。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,口令管理
检查措施
a)期货公司提供口令复杂度要求的相关制度,应包括具体的复杂度要求,如口令长度、组合等;
b)访谈口令复杂度的实施范围和措施。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供口令复杂度要求的相关制度,作为证明材料。
4.4.6.3 [必须][延续] 口令应定期更换。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,口令管理
检查措施
a)期货公司提供口令定期更换的相关制度;
b)访谈口令定期更换的实施范围和措施,重要系统口令变更的策略;
c)期货公司提供一年内根据口令更换制度和策略执行口令更换操作的相关记录。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供口令更换的相关制度和记录,作为证明材料。
4.4.7 安全审计
4.4.7.1 [必须][延续] 核心系统的主要业务操作应产生审计记录。
检查方式
检查
检查对象
核心系统的业务操作审计
检查措施
a)期货公司提供核心系统的主要业务操作的审计记录应包括时间、发起者、类型、描述和结果;
b)抽查一年内至少2天的审计记录,时间间隔不少于两个月。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的核心系统主要业务操作的审计记录,作为证明材料。
4.4.7.2 [必须][延续] 应采取有效措施防止删除、修改或覆盖审计记录。
检查方式
检查
检查对象
核心系统的业务操作审计
检查措施
a)期货公司提供核心系统的主要业务操作的审计记录保存方式的说明,应至少每日对审计记录进行备份;
b)检查期货公司审计记录保存措施的落实情况。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供核心系统主要操作记录机制说明,作为证明材料。
4.4.7.3 [可选][新增] 所有的主要运维操作应采取恰当的认证措施,并产生审计记录。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,核心系统的运维操作认证和审计
检查措施
a)期货公司提供运维操作认证措施的说明;
b)访谈期货公司的主要运维操作的审计记录保存范围和措施,应包括日常运行、生产系统变更等重要操作;
c)抽查一年内至少2天的生产核心设备操作审计记录,时间间隔不小于两个月。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供运维操作认证方式说明,作为证明材料。
4.5 日常运行
4.5.1 岗位
4.5.1.1 [必须][延续] 应建立日常值班制度,设立专门运行保障岗位,制定明确的每日值班表,保障交易期间有人值守。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,岗位说明书,排班表,值班记录
检查措施
a)访谈技术部门负责人,了解期货公司日常运行维护的整体情况;
b)期货公司提供日常值班制度、值班表、包括运行保障职责的岗位说明书和交易期间值班安排说明。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的日常值班制度、每日值班表、运行保障岗位说明书和交易期间值班安排的说明,作为证明材料。
4.5.1.2 [必须][延续] 初始化、结算、数据备份等关键操作过程和结果应有复核。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,值班记录
检查措施
a)访谈期货公司技术部门负责人了解关键操作保障情况;
b)检查日常值班制度中是否要求了复核的规定;
c)检查日常值班记录中是否体现了复核的要求。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供日常值班制度,作为证明材料。
4.5.1.3 [必须][延续] 交易运行期间应有现场保障人员,以及时维护和应急处理。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,排班表
检查措施
a)访谈期货公司技术部门负责人了解现场保障人员情况,现场保障是指可以随时登录到核心系统各个服务器和网络设备;
b)检查日常值班制度中是否要求了交易期间现场保障人员以及对应的职责;
c)检查排班表中是否包含现场保障人员。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供日常值班制度,作为证明材料。
4.5.1.4 [必须][延续] 网络、主机、数据库、应用系统的运行维护等关键技术岗位应有备岗人员。
检查方式
访谈,检查
检查对象
技术部门负责人,岗位说明书
检查措施
a)检查期货公司提供的网络、主机、数据库、应用系统运行维护等关键技术岗位的岗位说明书和主备岗人员名单;
b)访谈期货公司关键技术岗位备岗人员,了解是否具有应有的岗位技能。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网络、主机、数据库、应用系统等主备岗人员名单,作为证明材料。
4.5.1.5 [必须][延续] 应实现双人日常值班。
检查方式
检查
检查对象
日常值班制度,排班表,每日值班记录
检查措施
a)期货公司提供排班表是否体现双人值班;
b)抽查排班表和值班记录是否为双人,值班期间无其它工作安排。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供排班表,作为证明材料。
4.5.2 制度与巡检
4.5.2.1 [必须][延续] 在关键时间点应对生产环境运行状态进行巡检。
检查方式
检查
检查对象
日常值班制度,巡检记录
检查措施
a)期货公司提供对生产环境的日常巡检列表,包括对生产环境运行状态的巡检,巡检对象应包括生产环境的机房基础设施、应用、主机、网络等;
b)检查日常巡检列表,在关键时间点是否对生产环境运行状态进行巡检,关键时间点是否覆盖开盘前、中午休市、下午收市等;
c)期货公司提供一年内的所有巡检记录,抽查一年内至少4天的生产环境的日常巡检记录,时间间隔不小于两个月。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的一年内至少4天的生产环境的日常巡检记录,作为证明材料。
4.5.2.2 [必须][延续] 巡检应保留记录,并有操作和复核人员的签名。
检查方式
检查
检查对象
巡检记录
检查措施
a)期货公司提供一年内生产环境的所有巡检记录;
b)抽查期货公司一年内4天的生产环境的巡检记录,时间间隔不小于两个月;
c)检查巡检记录是否有操作人员和复核人员签名确认。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的一年内4天的巡检记录复印件,作为证明材料。
4.5.2.3 [必须][延续] 应有详细的操作手册(包括日常操作和定期维护操作),手册中应有详细的操作步骤。
检查方式
检查
检查对象
日常操作手册、维护操作手册
检查措施
a)期货公司提供生产环境的日常操作和定期维护的操作手册;
b)检查期货公司生产环境的日常操作和定期维护的操作手册,是否有详细的操作步骤。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的生产环境的日常操作和定期维护的操作手册清单和目录,作为证明材料。
4.5.2.4 [必须][延续] 交易期间应对核心系统和网络系统进行实时监控,并能及时、有效地报警。
检查方式
检查
检查对象
监控系统
检查措施
a)期货公司提供交易期间对核心系统和网络系统实时监控的情况说明;
b)检查交易期间对核心系统和网络系统实时监控,是否实现自动化监控;
c)检查交易期间对核心系统和网络系统实时监控,是否可以及时、有效地报警。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司关于实时监控情况的情况说明,作为证明材料。
4.5.2.5 [必须][延续] 应保留关键操作的记录和签名。
检查方式
检查
检查对象
操作记录
检查措施
a)期货公司提供一年内生产环境的操作记录;
b)抽查期货公司一年内4天的生产环境操作记录,时间间隔不小于两个月;
c)检查关键操作记录是否有操作人员的签名确认,至少包括系统的启停、参数的修改、数据备份。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内4天的生产环境操作记录复印件,作为证明材料。
4.5.2.6 [必须][延续] 应保留应用系统的操作日志记录。
检查方式
检查
检查对象
系统操作日志
检查措施
a)期货公司提供应用系统的操作日志记录;
b)抽查期货公司一年内两天的应用系统的操作日志记录,时间间隔不小于两个月,应保证重要操作是否有对应的应用系统操作记录。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的应用系统的操作日志记录复印件,作为证明材料。
4.5.2.7 [必须][延续] 应记录生产环境发生的故障和异常。
检查方式
检查
检查对象
故障记录
检查措施
a)期货公司提供一年内生产环境发生故障和异常的记录和报告;
b)检查生产环境发生的故障记录和报告应包含发生的时间、现象、处理措施、后续处理手段等内容;
c)检查故障记录和报告信息是否完整。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的抽查的故障记录和报告复印件,作为证明材料。
4.5.2.8 [必须][新增] 对核心系统和网络系统的实时监控应当包括系统的可用性和系统性能。
检查方式
检查
检查对象
监控系统
检查措施
a)期货公司提供核心系统和网络系统的监控情况说明、监控情况记录;
b)检查期货公司核心系统和网络系统的监控措施,是否采用自动化的系统或软件进行实时监控;
c)检查期货公司核心系统和网络系统的监控措施,评估期货公司实时监控是否能覆盖核心系统和网络系统;
d)检查期货公司监控情况记录,是否提供系统的可用性(如进程状态、网络连通等)和系统性能(如CPU使用率、内存使用率、网络流量等)的监控数据。
检查结果
a)同时符合上述a)-d)的检查措施,才达到本检查项的要求;
b)如果期货公司没有自动化监控系统,不满足本检查项的要求;
c)获取加盖了公章的期货公司系统监控情况说明,作为证明材料。
4.5.2.9 [必须][延续] 应建立完善和更新重要手册的机制。
检查方式
检查
检查对象
变更操作手册、值班操作手册、应急操作手册、巡检卡
检查措施
a)期货公司提供生产环境日常运行的重要手册完善和更新的制度和流程;
b)检查重要手册(如巡检、应急操作手册等)的更新和修订记录。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司重要手册的更新记录,作为证明材料。
4.5.3 机房进出
4.5.3.1 [必须][延续] 应建立机房及值班操作间的出入登记制度,并保留相关记录。
检查方式
检查
检查对象
出入登记制度,出入登记记录
检查措施
a)期货公司提供机房及值班操作间的出入登记制度及一年内的相关记录;
b)检查期货公司机房和操作间出入登记制度,是否明确登记要求;
c)抽查期货公司一年内机房和值班操作间的出入登记记录,是否信息登记完全。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房及值班操作间的出入登记制度和出入登记记录复印件,作为证明材料。
4.5.3.2 [必须][延续] 非技术保障人员进入机房应获得授权,并有技术保障人员陪同,所携带设备应专门登记。
检查方式
访谈,检查
检查对象
机房管理制度,出入登记记录
检查措施
a)访谈技术部门负责人了解非技术保障人员进入机房的授权流程和控制措施;
b)抽查期货公司一年内非技术保障人员进入机房的登记信息,检查是否有相应的授权信息;
c)检查期货公司一年内非技术保障人员进入机房的登记信息,检查所携带设备信息描述是否清楚;
d)检查期货公司一年内非技术保障人员进入机房的登记信息,检查是否有技术保障人员陪同信息。
检查结果
a)同时符合上述a)-d)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内非技术保障人员进入机房的登记记录复印件,作为证明材料。
4.5.3.3 [必须][延续] 交易期间如无应急或者巡检需要,不应进入机房。
检查方式
检查
检查对象
机房管理制度,出入登记记录
检查措施
a)期货公司提供机房出入管理制度;
b)检查期货公司机房出入制度,是否有交易期间如无应急或者巡检需要,不应进入机房的要求;
c)抽查期货公司一年内交易时间进入机房的出入记录,检查是否有授权信息,或对进入机房的必要性进行了说明。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的机房出入记录复印件,作为证明材料。
4.6 备份
4.6.1 数据备份
4.6.1.1 [必须][延续] 应根据数据的重要性及其对核心系统运行的影响,制定数据备份策略和恢复策略。
检查方式
访谈,检查
检查对象
技术部门负责人,数据备份制度
检查措施
a)检查期货公司数据备份、恢复的制度和策略;
b)访谈技术部门负责人数据备份策略和恢复策略情况。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据备份制度和策略,作为证明材料。
4.6.1.2 [必须][延续] 应建立数据管理、介质维护、销毁和使用管理制度。
检查方式
检查
检查对象
技术部门负责人,数据备份制度
检查措施
a)检查期货公司数据管理制度中是否包含介质维护、销毁和使用管理等内容。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据和介质管理的相关制度复印件,作为证明材料。
4.6.1.3 [必须][延续] 应对介质进行明确标识。
检查方式
访谈,检查
检查对象
介质标识相关规定,数据备份介质
检查措施
a)访谈期货公司介质标识的相关规定;
b)期货公司提供一年内所有的备份介质;
c)抽查一年内期货公司4次备份介质,时间间隔不少于两个月;
d)检查备份介质是否有明确的标识,是否符合规定。
检查结果
a)同时符合上述a)-d)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司介质标识相关规定复印件,作为证明材料。
4.6.1.4 [必须][延续] 应确保介质存放在安全环境中,实现对备份数据的控制和保护。
检查方式
检查
检查对象
数据备份介质
检查措施
a)期货公司提供备份介质保存环境说明;
b)检查介质存放环境是否具有防盗措施,如保险柜、加锁的抽屉或者有出入控制措施的专用储藏室;
c)应至少有一种介质具有可离线存放的特性,如磁带、光盘、移动硬盘等。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司备份介质相关说明,作为证明材料。
4.6.1.5 [必须][延续] 每日应对结算后数据进行备份。
检查方式
检查
检查对象
数据备份管理
检查措施
a)根据期货公司备份策略,抽查期货公司至少2次结算后备份介质或文件,实际操作情况应与备份策略一致;
b)检查期货公司每日值班记录中是否包括备份结算后数据的操作。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司值班记录备份相关页,作为证明材料。
4.6.1.6 [必须][新增] 每周应将结算后数据备份介质异地存放。
检查方式
访谈,检查
检查对象
备份管理人员,数据备份管理
检查措施
a)期货公司提供介质异地存放的说明材料,其中必须明确描述介质放置位置和离场存放频率;
b)访谈备份介质管理人员,了解备份数据是否异地存放(可接受同城不同楼),以及异地存放的频率是否符合要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的存放方式相关说明,作为证明材料。
4.6.1.7 [必须][延续] 应定期对主要备份业务数据进行恢复验证,根据介质使用期限及时转储数据。
检查方式
访谈,检查
检查对象
备份管理人员,数据备份管理
检查措施
a)访谈数据备份管理人员,了解数据恢复验证频率、措施及数据转储操作流程;
b)检查数据恢复验证和转储的操作手册和抽查一年内进行恢复验证和转储的操作记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据备份操作手册和近期转储操作记录复印件,作为证明材料。
4.6.1.8 [可选][新增] 应利用通信网络将关键业务数据实时传送至异地数据备份场所。
检查方式
访谈,检查
检查对象
技术部门负责人,数据备份管理
检查措施
a)访谈技术部门负责人,了解保障业务数据实时备份的具体措施和技术手段;
b)期货公司提供数据实时备份系统的设计和部署方案;
c)检查数据实时备份系统的设计和部署方案,是否包括利用通信网络将关键业务数据实时传送至异地数据备份场所。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据实时备份系统的设计和部署方案,作为证明材料。
4.6.1.9 [可选][新增] 每日备份后应立即进行恢复验证。
检查方式
检查
检查对象
数据备份管理
检查措施
a)期货公司提供每日值班手册;
b)检查期货公司每日值班手册中是否包含对交易和结算后的原始数据的备份进行恢复验证的内容;
c)检查期货公司是否具有用于数据恢复验证的环境和工具,要求恢复后数据可供浏览或查询。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据备份恢复验证记录复印件,作为证明材料。
4.6.1.10 [必须][延续] 应指定专人负责保管业务数据备份介质。
检查方式
访谈,检查
检查对象
备份管理人员,数据备份管理
检查措施
a)期货公司提供包括业务数据备份介质管理职责的岗位说明书;
b)检查岗位说明书是否包含相应工作职责;
c)访谈备份介质管理人员,评估其是否掌握介质分类、维护、使用管理和转储相关的制度和操作流程。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供的包括业务数据备份介质管理职责的岗位说明书复印件,作为证明材料。
4.6.2 灾难备份
4.6.2.1 [可选][新增] 应有灾难备份中心,可以接管所有核心业务的运行。
检查方式
访谈,检查
检查对象
技术部门负责人
检查措施
a)访谈技术部门负责人,了解灾难备份中心的设计原理和切换措施;
b)检查灾备中心的实际运行情况。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司灾难备份中心设计方案,作为证明材料。
4.6.2.2 [可选][新增] 灾难备份中心应有满足关键业务功能恢复运作要求的场地和设施。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)访谈技术部门负责人,了解灾难备份中心是否预留满足关键业务功能恢复运作要求的场地和设施;
b)期货公司提供满足关键业务功能恢复运作要求的场地的状况说明,检查是否具有满足放置生产环境的机房的条件;
c)检查期货公司灾难备份中心设计方案,是否具有互联网通信链路、接入交易所的通信链路;是否部署了业务正常运行所需要的交易、结算系统;
d)核查期货公司灾难备份中心的场地和设施情况。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供的满足关键业务功能恢复运作要求的场地和设施的状况说明,作为证明材料。
4.6.2.3 [可选][新增] 采用远程数据复制技术,并利用通信网络将关键数据实时复制到灾难备份中心。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)访谈技术部门负责人,了解保障业务关键数据远程复制的具体措施和技术手段;
b)检查远程数据复制系统的设计和部署方案,是否能够实现数据的实时复制。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据复制系统运行情况说明,作为证明材料。
4.6.2.4 [可选][新增] 灾难备份中心应配备灾难恢复所需的全部运行环境,并处于就绪状态或运行状态。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)访谈技术部门负责人,了解灾难备份中心的运行状态和切换方法;
b)期货公司提供灾难备份中心运行环境的运行状态的情况说明;
c)检查运行环境各个部件是否都处于就绪状态或运行状态(例如服务器、网络设备处于运行状态,软件已经安装和配置,处于就绪状态)。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的灾难备份中心运行环境的运行状态的情况说明,作为证明材料。
4.6.2.5 [可选][新增] 灾难备份中心应配备灾难恢复所需的通信链路和网络设备,并处于就绪状态。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)期货公司提供灾难备份中心通信链路和网络设备清单;
b)访谈技术部门负责人,了解灾难备份中心通信链路和网络设备运行情况;
c)检查灾难备份中心网络设计和实施方案;
d)期货公司提供灾难备份中心通信链路和网络设备的运行状态的情况说明;
e)检查通信链路和网络设备是否处于就绪状态。
检查结果
a)灾难备份中心无通信链路接入交易所的,则认为不符合上述a)的检查措施;
b)同时符合上述a)-e)项的检查措施,才达到本检查项的要求;
c)获取加盖了公章的灾备通信链路和网络设备清单,作为证明材料。
4.6.2.6 [可选][新增] 灾难备份中心应在交易和结算时间内有相关技术支持和保障人员。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份中心技术支持人员,灾难备份
检查措施
a)期货公司提供灾难备份中心技术支持的情况说明;
b)访谈技术部门负责人,了解灾难备份中心技术支持人员每日工作内容和排班情况;
c)访谈灾难备份中心技术支持人员,了解其每日工作内容。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司灾难备份中心情况说明,作为证明材料。
4.6.2.7 [可选][新增] 灾难备份中心应有相应的运行维护流程。
检查方式
检查
检查对象
灾难备份
检查措施
a)检查灾难备份中心运行维护制度和流程;
b)检查灾难备份中心运维值班操作记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司灾难备份中心运行维护流程、值班操作记录,作为证明材料。
4.6.2.8 [可选][新增] 应有详细的灾难恢复预案及操作流程,并根据流程每年进行演练。
检查方式
检查
检查对象
灾难备份
检查措施
a)检查期货公司灾难恢复预案和操作流程;
b)检查期货公司一年内的灾难恢复演练记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司灾难恢复演练记录,作为证明材料。
4.6.2.9 [可选][新增] 恢复时间目标(RTO)应<=12小时。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)访谈期货公司技术部门负责人,了解灾难备份中心设计方案以及保障RTO小于等于12小时的具体措施;
b)检查期货公司一年内的灾备演练记录、切换演练的恢复时间是否小于等于12小时。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司灾难备份演练记录,作为证明材料。
4.6.2.10 [可选][新增] 设计灾难备份中心运行时,处理能力应不低于主系统处理能力的50%。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)访谈期货公司技术部门负责人,了解灾难备份中心设计方案、主机和网络配置情况;
b)访谈期货公司技术部门负责人,了解主系统处理能力和灾难备份中心的处理能力;
c)检查期货公司灾难备份中心处理能力评估报告或者测试报告。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司灾难备份中心处理能力评估报告或者测试报告,作为证明材料。
4.7 系统维护
4.7.1 变更管理
4.7.1.1 [必须][延续] 应将所有涉及核心系统的软硬件变更纳入变更管理范围。
检查方式
检查
检查对象
变更管理制度
检查措施
a)检查期货公司变更管理制度,是否核心系统的软硬件变更都纳入变更管理范围。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司变更管理制度的相关章节,作为证明材料。
4.7.1.2 [必须][延续] 每次变更前应进行评估。
检查方式
访谈,检查
检查对象
技术部门负责人,变更评估报告
检查措施
a)评估结果应包括风险、变更方案、检验方法、影响通知范围等内容;
b)访谈期货公司技术部门负责人,了解变更前的风险评估流程;
c)期货公司提供一年内变更记录;
d)抽查一年内两次变更记录和相关文档,检查是否在变更前进行评估。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更记录和相关文档,作为证明材料。
4.7.1.3 [必须][延续] 所有变更操作应有操作记录。
检查方式
检查
检查对象
变更管理制度,变更记录
检查措施
a)期货公司提供变更管理制度;
b)检查期货公司变更管理制度,是否包含变更应有操作记录的要求;
c)期货公司提供一年内变更记录;
d)抽查期货公司变更记录,是否包含操作人,操作步骤,操作内容等操作记录。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更记录和相关文档,作为证明材料。
4.7.1.4 [必须][延续] 所有变更应进行事后检查。
检查方式
检查
检查对象
变更管理制度,变更记录
检查措施
a)期货公司提供变更管理制度;
b)检查期货公司变更管理制度,是否包含变更必须进行事后检查的要求;
c)期货公司提供一年内变更记录;
d)抽查期货公司变更操作记录,是否包含事后检查的内容。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更操作记录复印件,作为证明材料。
4.7.1.5 [必须][延续] 对于风险较大的变更,在条件允许的情况下,应制定应急和回退方案。
检查方式
访谈,检查
检查对象
技术部门负责人,变更管理制度,回退方案
检查措施
a)检查变更管理制度,是否包含制订应急和回退方案的内容;
b)抽查期货公司一年内两次风险较大的变更操作手册和记录,其中应包含应急和回退方案。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更操作手册和记录复印件,作为证明材料。
4.7.1.6 [必须][延续] 风险较大的变更,应在变更后对系统的运行情况进行跟踪。
检查方式
访谈,检查
检查对象
技术部门负责人,变更管理制度,值班记录
检查措施
a)访谈技术部门负责人,了解变更前的风险评估流程和变更之后的跟踪机制;
b)抽查期货公司一年内两次风险较大的变更,检查其后的值班记录是否对变更系统进行了跟踪观察。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的值班记录复印件,作为证明材料。
4.7.1.7 [必须][新增] 应及时对变更涉及的系统配置和操作手册进行修改。
检查方式
访谈,检查
检查对象
技术部门负责人,变更管理制度
检查措施
a)访谈技术部门负责人,了解更新系统配置和操作手册的机制;
b)检查变更管理制度,是否包含变更后及时更新系统配置和操作手册的要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司变更管理制度中相关章节,作为证明材料。
4.7.1.8 [可选][新增] 对于风险较大的核心系统变更,在条件允许的情况下,应在上线前进行演练。
检查方式
访谈,检查
检查对象
技术部门负责人,变更演练记录
检查措施
a)访谈技术部门负责人,了解核心系统上线前的演练情况;
b)检查风险较大的核心系统变更,在上线前的演练记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司核心系统变更上线演练记录复印件,作为证明材料。
4.7.1.9 [必须][新增] 应定期进行风险评估,及时发现风险隐患,并予以处理。
检查方式
访谈,检查
检查对象
技术部门负责人,风险评估报告
检查措施
a)访谈技术部门负责人,了解期货公司技术系统风险评估的具体情况;
b)检查期货公司一年内的风险评估报告及处理情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的风险评估报告及处理情况,作为证明材料。
4.7.1.10 [必须][延续] 进行与核心系统相关的开发工作时,应避免在生产环境上进行日常测试。
检查方式
访谈
检查对象
技术部门负责人
检查措施
a)期货公司提供核心系统相关开发工作的情况说明;
b)访谈期货公司技术部门负责人,了解期货公司是否进行核心系统的开发工作。如果进行相关开发,是否具有独立的开发或者测试环境。
检查结果
a)如果期货公司不进行核心系统开发,本检查项可判定为满足;
b)同时符合上述a)-b)项的检查措施,才达到本检查项要求;
c)获取加盖了公章的期货公司核心系统相关开发工作的情况说明,作为证明材料。
4.7.1.11 [必须][延续] 如果需要使用生产环境进行测试,应纳入变更管理。
检查方式
访谈
检查对象
技术部门负责人
检查措施
a)期货公司提供是否使用生产环境进行测试及相应的情况说明;
b)访谈期货公司技术部门负责人,使用生产环境进行测试是否纳入变更管理;
c)抽查一次使用生产环境的测试记录和相关文档。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司使用生产环境进行测试的情况说明,作为证明材料。
4.7.2 配置管理
4.7.2.1 [必须][延续] 应具有生产环境设计和部署文档,并根据变更及时更新。
检查方式
检查
检查对象
配置文档
检查措施
a)期货公司提供生产环境设计和部署文档及清单;
b)检查生产环境设计和部署文档,至少有完整的网络拓扑图和应用系统部署方案,应有与网络拓扑图相对应的网络配置表,表中应包含IP地址等主要信息;
c)抽查相关文档是否与当前生产环境相符,包括网络拓扑图、应用系统部署方案、网络配置表等所有文档应及时更新。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司生产环境设计和部署文档清单,作为证明材料。
4.7.2.2 [必须][延续] 应对重要的配置信息进行有效备份。
检查方式
访谈,检查
检查对象
配置管理人员及技术部门负责人,配置文档
检查措施
a)期货公司提供备份配置信息的相关流程,至少包括核心业务系统的操作系统、网络设备、数据库以及应用系统的配置;
b)访谈技术部门负责人和配置管理人员,了解流程执行情况;
c)抽查备份信息是否和生产环境配置吻合。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司配置信息备份的相关流程,作为证明材料。
4.7.2.3 [必须][延续] 应有恢复配置信息的流程。
检查方式
访谈,检查
检查对象
配置管理人员及技术部门负责人,配置恢复流程
检查措施
a)期货公司提供恢复配置信息的相关流程;
b)访谈技术部门负责人和配置管理人员,了解流程执行情况。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司恢复配置信息的相关流程,作为证明材料。
4.7.2.4 [可选][新增] 应对配置信息的恢复进行演练。
检查方式
检查
检查对象
恢复演练记录
检查措施
a)检查期货公司配置信息恢复演练的记录。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司配置信息恢复演练记录复印件,作为证明材料。
4.7.2.5 [必须][新增] 应建立配置管理制度和配置文档库。
检查方式
检查
检查对象
配置管理制度,配置文档
检查措施
a)期货公司提供配置管理制度和文档库设计说明;
b)检查配置文档库真实存在。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司配置管理制度和文档库设计说明,作为证明材料。
4.7.2.6 [必须][新增] 应有专人负责生产环境配置管理。
检查方式
访谈,检查
检查对象
配置管理人员,配置文档
检查措施
a)检查期货公司相关人员岗位说明书是否包括生产环境配置管理的内容;
b)访谈配置管理人员,了解其配置管理的主要工作方法和流程,采用何种措施确保生产环境变更后配置可及时更新。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司包括配置管理职责的岗位说明书,作为证明材料。
4.7.3 容量管理
4.7.3.1 [必须][延续] 每年应对核心系统的性能和容量情况进行评估。
检查方式
检查
检查对象
容量评估报告
检查措施
a)检查期货公司上一年度核心系统性能和容量情况的评估报告。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司上一年度核心系统性能和容量情况的评估报告复印件,作为证明材料。
4.7.3.2 [必须][延续] 应根据核心系统的性能容量评估报告,结合业务发展情况及时提出改进计划。
检查方式
检查
检查对象
性能和容量改进计划
检查措施
a)检查期货公司是否制定了核心系统性能容量的改进计划;
b)检查改进计划是否符合要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统性能容量改进计划复印件,作为证明材料。
4.7.3.3 [必须][新增] 应及时执行改进计划,并对执行结果进行跟踪和评估。
检查方式
访谈,检查
检查对象
技术部门负责人,容量评估报告
检查措施
a)访谈期货公司是否及时执行了改进计划;
b)检查针对执行结果的跟踪和评估报告。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统性能容量改进评估说明,作为证明材料。
4.7.4 应急演练
4.7.4.1 [必须][延续] 对核心系统的常见故障应有书面的应急预案和排障流程。
检查方式
检查
检查对象
应急预案,排障流程
检查措施
a)检查期货公司核心系统的常见故障应急预案和排障流程。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统应急预案目录、排障流程清单,作为证明材料。
4.7.4.2 [必须][延续] 应参与交易所等行业相关机构组织的测试和应急演练并有记录。
检查方式
检查
检查对象
测试记录,应急演练记录
检查措施
a)期货公司提供参加交易所等行业相关机构组织的应急演练的情况说明;
b)抽查期货公司参加应急演练的记录或者报告。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司参加交易所等行业相关机构组织的应急演练的情况说明,作为证明材料。
4.7.4.3 [必须][延续] 应根据机构、人员、技术等变化,及时调整应急预案。
检查方式
检查
检查对象
应急预案
检查措施
a)检查期货公司应急预案的历史版本,是否反映了相关变化。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求。
4.7.4.4 [必须][延续] 应有应急演练计划,并定期根据计划进行演练。
检查方式
检查
检查对象
应急演练记录
检查措施
a)应急演练应包含对部分自身应急预案和排障流程的执行;
b)检查期货公司应急演练计划;
c)抽查两年内演练的报告或记录,检查期货公司是否按计划进行了应急演练。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司应急演练计划目录和报告目录,作为证明材料。
4.7.4.5 [必须][延续] 应准备必要工具,以便应急预案的顺利执行。
检查方式
检查
检查对象
应急预案,应急工具
检查措施
a)根据应急预案,抽查其中需要使用的相关应急软、硬件工具是否真实存在。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求。
4.7.5 技术事故管理
4.7.5.1 [必须][延续] 应建立技术事故报告制度和流程。
检查方式
检查
检查对象
事故管理制度
检查措施
a)检查期货公司技术事故报告制度和流程。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术事故报告制度和流程,作为证明材料。
4.7.5.2 [必须][延续] 应保存技术事故的记录。
检查方式
检查
检查对象
事故记录
检查措施
a)期货公司提供一年内技术事故的记录;
b)抽查期货公司技术事故记录,应包括事故时间、现象、处理流程、处理结果、原因、改进措施等。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术事故报告复印件,作为证明材料。
4.7.5.3 [必须][延续] 应根据技术事故情况,及时提出改进计划,落实改进措施。
检查方式
访谈,检查
检查对象
技术部门负责人,改进计划
检查措施
a)期货公司提供针对近期技术事故情况的改进计划;
b)访谈技术部门负责人,了解落实改进情况。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司针对近期技术事故情况的改进计划复印件,作为证明材料。
4.8 营业部技术要求
4.8.1 基本要求
4.8.1.1 [必须][延续] 营业部设备区域应是一个单独的房间,用于放置营业部开展业务所需的网络、通信和主机设备。
检查方式
检查
检查对象
营业部设备区域情况说明
检查措施
a)期货公司提供所有营业部的设备区域的情况说明,其中必须包含设备区的照片;
b)检查情况说明,营业部设备区域是否是单独的房间,与其他办公区域进行了有效隔断;
c)检查情况说明,营业部业务所需的网络、通信和主机是否放在设备区域内。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部的设备区域的情况说明,作为证明材料。
4.8.1.2 [必须][延续] 应确保在交易时间内有技术人员进行技术系统维护工作。
检查方式
检查
检查对象
营业部交易期间技术人员值守情况说明
检查措施
a)期货公司提供所有营业部交易期间技术人员值守情况说明,包括技术人员的联系方式(固定电话号码、移动电话号码);
b)检查情况说明中的交易时间内的系统维护工作。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部交易期间值守情况说明,作为证明材料。
4.8.1.3 [必须][延续] 应有与当前运行情况相符的业务系统结构文档。
检查方式
检查
检查对象
业务系统结构文档
检查措施
a)检查期货公司提供的所有营业部为业务开展提供支持的信息系统的结构文档,应包括系统组成、网络拓扑等。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部业务系统结构文档,作为证明材料。
4.8.1.4 [必须][延续] 应配备防火墙或相当的安全防护设备。
检查方式
检查
检查对象
安全防护设备情况说明
检查措施
a)检查期货公司提供的所有营业部的安全防护设备情况说明。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部安全防护设备情况说明,作为证明材料。
4.8.1.5 [必须][延续] 应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。
检查方式
检查
检查对象
补丁管理制度、测试和升级记录
检查措施
a)检查期货公司提供的营业部补丁管理制度和流程;
b)抽查营业部核心系统依赖的系统软件的测试和升级记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部补丁管理制度和流程,作为证明材料。
4.8.1.6 [必须][延续] 应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。
检查方式
检查
检查对象
营业部的防病毒管理流程和制度
检查措施
a)期货公司提供营业部的防病毒管理的相关流程和制度;
b)检查防病毒管理的相关流程和制度,是否能够进行全面检查,是否能保障病毒库的及时更新。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的防病毒管理流程和制度,作为证明材料。
4.8.1.7 [必须][延续] 应建立有效机制,保障总部了解各个营业部的运行情况。
检查方式
检查
检查对象
营业部运行情况报告
检查措施
a)期货公司提供一年内所有营业部向总部提交的运行情况报告,频度应不低于每月一次;
b)抽查至少2次运行报告,时间间隔不小于两个月。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的抽查的期货公司营业部2次运行报告,作为证明材料。
4.8.1.8 [必须][延续] 应有总部和信息技术服务提供商的准确联系方式。
检查方式
检查
检查对象
营业部联系方式表
检查措施
a)检查期货公司的所有营业部联系方式表,是否包括总部和信息技术服务提供商的联系方式;
b)抽查信息技术服务提供商的联系方式。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部联系方式表,作为证明材料。
4.8.2 交易保障
4.8.2.1 [必须][延续] 营业部应为设备区域配备UPS和空调。
检查方式
检查
检查对象
营业部UPS、空调情况说明
检查措施
a)检查期货公司提供的所有营业部配备UPS和空调的情况说明。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的UPS和空调的情况说明,作为证明材料。
4.8.2.2 [必须][延续] 营业部应有至少两条交易通信链路。
检查方式
检查
检查对象
营业部交易通信链路情况说明
检查措施
a)期货公司提供所有营业部的交易通信链路情况说明;
b)抽查链路情况说明,查看营业部是否提供两条交易通信链路。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的交易通信链路情况说明,作为证明材料。
4.8.2.3 [必须][延续] 营业部关键设备应有冗余。
检查方式
检查
检查对象
营业部关键设备情况说明
检查措施
a)期货公司提供所有营业部的关键设备情况说明,应包括服务器、网络设备、安全防护设备等;
b)抽查设备情况说明,查看关键设备是否达到冗余要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的关键设备情况说明,作为证明材料。
4.8.2.4 [必须][新增] 营业部应对设备容量、交易通信链路进行监控,及时进行必要的升级。
检查方式
检查
检查对象
营业部监控措施说明和升级记录
检查措施
a)检查期货公司提供的所有营业部的设备容量、交易通信链路监控措施说明和升级记录。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部设备容量和交易通信的链路监控措施说明和升级记录,作为证明材料。
4.8.2.5 [必须][延续] 营业部应有有效的日常运行流程和应急处理流程,并进行适当的演练。
检查方式
检查
检查对象
营业部日常运行流程,应急处理流程,演练记录
检查措施
a)检查期货公司提供的所有营业部的日常运行流程、应急处理流程和一年内的演练记录。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部日常运行流程、应急处理流程和演练记录,作为证明材料。
5.四类要求
5.1 技术管理
5.1.1 组织结构
5.1.1.1 [必须][延续] 应设有技术部门并有专职技术人员,并有明确的职责分工和岗位说明。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,岗位职责
检查措施
a)访谈期货公司,提供技术部门员工的情况说明,包括人员信息、岗位和基本职责;
b)检查技术人员的岗位说明书和技术部门组织架构说明,查看是否有职责划分不清或是否遗漏重要职责划分,技术人员不得从事开户、风控、资金存取、结算等关键业务操作。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明和组织架构说明,作为证明材料。
5.1.1.2 [必须][延续] 总部技术部门人员总数占公司总部人数的比例不少于8%。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员
检查措施
a)访谈期货公司,提供技术部门员工的情况说明,应包括总部技术部门人员名单及占比情况计算;
b)检查期货公司正式员工花名册及员工人数统计(以与公司签订劳动合同,且具有期货从业资格为准);
c)检查期货公司技术部门技术人员的简历及工资单,是否符合情况说明。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明,作为证明材料。
5.1.1.3 [必须][新增] 总部技术部门人员不少于15人。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员
检查措施
a)检查期货公司总部技术部门员工人数是否达到15人(以与公司签订劳动合同,且具有期货从业资格为准)。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术部门员工的情况说明,作为证明材料(可使用上一项的证明材料)。
5.1.1.4 [必须][新增] 公司应设立内部审计岗位,定期对IT流程执行情况进行审计。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,岗位职责
检查措施
a)访谈期货公司内部审计人员,检查其岗位职责和人员素质,评估其是否达到岗位能力要求;
b)检查一年内的IT流程执行审计记录。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)期货公司一年内的审计记录复印件加盖公章,作为证明材料。
5.1.1.5 [必须][延续] 应建立负责本公司信息技术规划和信息安全管理的跨部门机构,其职责包括系统规划、安全管理、IT治理等。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员、信息安全管理机构负责人、组织架构
检查措施
a)访谈负责信息技术规划和信息安全管理的跨部门机构负责人,检查其是否清楚信息技术规划和信息安全的职责和工作内容;
b)检查期货公司组织架构说明和该机构成立的正式文件。
c)检查公司安全管理制度,信息安全工作的总体方针和安全策略,说明该机构安全工作的总体目标、范围、原则和安全框架等;
d)检查是否召开会议,查看会议记录,是否进行有关规划、安全管理、IT治理等制度和规程制定,是否进行审定和修订、发布落实等。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司负责信息技术规划和信息安全管理的跨部门机构的组织架构说明和组织成立的正式文件,作为证明材料。
5.1.1.6 [必须][延续] 应与所有总部技术部门人员签署保密协议,应对技术人员的离岗严格管理。
检查方式
检查
检查对象
保密协议
检查措施
a)检查期货公司总部技术人员的保密协议(或劳动合同中的保密条款)。
b)检查是否办理了严格的调离手续,检查交接记录。
检查结果
a)符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部技术人员保密协议的首页和签名页(或劳动合同相关页)复印件,作为证明材料。
5.1.1.7 [必须][延续] 应设立2名技术联络员,负责组织、协调和处理与信息安全管理部门、交易所及相关单位的各项技术事宜。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,技术联络员,联系方式
检查措施
a)访谈技术部门负责人是否清楚技术联络员的职责,了解技术联络员更换的流程;
b)访谈技术联络员,抽查各交易所、监管机构、保证金监控中心、中期协和存管银行等单位和部门的联系方式;
c)检查技术联络员是否至少为2名。
检查结果
a)如技术联络员更换的流程中不包含通知交易所和监管机构,则认为不符合上述检查措施;
b)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
c)获取加盖了公章的期货公司技术联络员变更相关流程,作为证明材料。
5.1.1.8 [必须][延续] 总部技术部门应有至少1名安全管理人员。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,技术部安全管理人员,岗位职责
检查措施
a)检查期货公司总部安全管理岗人员的个人简历和岗位说明书,查看是否具有安全管理方面的资质和经历,安全管理人员不可外包;
b)访谈期货公司总部安全管理人员,了解其是否明确岗位职责和工作内容,评估其是否达到岗位能力要求。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部安全管理人员的个人简历、岗位说明书复印件,作为证明材料。
5.1.1.9 [必须][延续] 每个营业部应配备至少1名技术人员。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,岗位职责
检查措施
a)现场访谈或电话访谈,抽查营业部技术人员,了解其工作职责和日常工作内容;
b)检查期货公司营业部的正式员工花名册,总部应有各营业部的技术人员总表,包含联系方式(营业部技术人员不得外包,以与公司签订劳动合同,且具有期货从业资格为准),检查营业部技术人员岗位说明书。
检查结果
a)同时符合上述a)-b)项的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的各营业部的技术人员总表,作为证明材料。
5.1.1.10 [必须][延续] 总部技术部门应有至少2名网络管理人员。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,网络管理人员,岗位职责
检查措施
a)访谈期货公司网络管理人员,了解其岗位职责和工作内容,评估其是否达到岗位能力要求;
b)检查期货公司网络管理人员的个人简历和岗位说明书,查看是否具有网络管理方面的资质和经历。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部网络管理人员的个人简历和岗位说明书复印件,作为证明材料。
5.1.2 培训
5.1.2.1 [必须][延续] 对所有上岗技术人员应进行岗位培训。
检查方式
访谈,检查
检查对象
期货公司人力资源相关人员,技术培训
检查措施
a)期货公司提供一年内所有上岗技术人员岗位培训的书面记录;
b)培训记录要求包括培训时间、地点、培训讲师、参加培训的人员等信息,并有参加培训人员的签名;
c)抽查一年内的培训记录。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司上岗技术人员的书面培训抽查的记录,作为证明材料。
5.1.2.2 [必须][延续] 总部技术部门的所有人员每两年参加期货业协会组织的技术培训应达到18学时,其中至少有3学时的信息技术法律法规及标准培训。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司近两年参加期货业协会组织的技术培训的清单和协会提供的证明材料;
b)培训清单要求包括培训时间、地点、培训讲师、参加培训的人员等信息。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司近两年参加期货业协会组织的技术培训清单,作为证明材料。
5.1.2.3 [必须][延续] 应有明确的培训教材,用于培训上岗操作人员。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司的培训教材,确定培训教材是否符合岗位实际能力要求;
b)培训教材的形式不限,可以是纸质或电子的。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术培训教材清单,作为证明材料。
5.1.2.4 [必须][延续] 应有对总部技术部门人员的年度培训计划,并根据计划实施。
检查方式
检查
检查对象
技术培训
检查措施
a)检查期货公司对技术员工的年度培训计划;
b)检查一年内的技术员工的培训记录,检查执行实施情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司对技术员工的年度培训计划和培训记录复印件,作为证明材料。
5.1.2.5 [必须][延续] 应定期对各个岗位的人员进行安全教育和培训。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,技术培训
检查措施
a)期货公司提供一年内的各岗位人员安全教育的培训记录。
检查结果
a)符合上述a)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内的各岗位人员安全教育的培训记录复印件,作为证明材料。
5.1.3 人员素质
5.1.3.1 [必须][延续] 总部技术部门人员50%以上应有信息技术相关专业大学本科或以上教育背景。
检查方式
检查
检查对象
人员简历
检查措施
a)检查期货公司总部花名册中技术部门人员部分(以与公司签订劳动合同,且具有期货从业资格为准);
b)期货公司提供总部技术人员的情况说明,包括人员岗位、教育背景;
c)检查期货公司总部技术人员中信息技术相关专业大学本科或以上教育背景的是否达到50%;
d)检查期货公司的总部技术人员的学历证书或个人简历,是否符合情况说明。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部技术人员情况说明,作为证明材料。
5.1.3.2 [必须][延续] 总部技术部门人员50%以上应具备2年及以上的系统运行维护经验。
检查方式
检查
检查对象
人员简历
检查措施
a)检查期货公司总部花名册中技术部门人员部分(以与公司签订劳动合同,且具有期货从业资格为准);
b)期货公司提供技术人员的情况说明,应包括系统运行维护工作年限;
c)检查期货公司的技术人员的个人简历,是否符合情况说明;
d)检查期货公司技术人员中具备2年及以上的系统运行维护经验的是否达到50%。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司总部技术人员情况说明,作为证明材料。(可使用上一项的证明材料)。
5.1.4 信息技术服务提供商管理
5.1.4.1 [必须][延续] 应与信息技术服务提供商签订服务保障协议。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,信息技术服务提供商管理
检查措施
a)访谈期货公司技术部门负责人,了解信息技术服务提供商状况;
b)检查期货公司的服务提供商包含服务保障承诺的协议。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司与信息技术服务提供商之间的协议首页和签名页复印件,作为证明材料。
5.1.4.2 [必须][延续] 应与核心系统的服务提供商签署保密协议。
检查方式
检查
检查对象
期货公司技术部门负责人,信息技术服务提供商管理
检查措施
a)检查期货公司与所有交易结算应用系统供应商(包括所有席位的系统)的保密协议或在合同中有保密条款。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司与交易结算应用系统供应商的保密协议或带有保密条款的合同的首页和签名页复印件,作为证明材料。
5.1.4.3 [必须][延续] 应有信息技术服务提供商的准确联系方式。
检查方式
检查
检查对象
信息技术服务提供商管理,联系方式
检查措施
a)期货公司提供所有的服务方联系方式表;
b)检查期货公司的服务提供商联系方式表,并抽查准确性。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司服务提供商的联系方式表,作为证明材料。
5.1.4.4 [必须][延续] 选择信息技术服务提供商时应评估其资质、经营行为、业绩、服务体系和服务品质等要素。
检查方式
检查
检查对象
信息技术服务提供商管理
检查措施
a)访谈期货公司选择服务提供商时的相关评估制度或措施;
b)抽查评估记录,评估记录中应包括服务提供商的资质、经营行为、业绩、服务体系和服务品质。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司服务商的评估制度或相关措施说明,以及抽查的评估记录,作为证明材料。
5.1.4.5 [必须][延续] 应定期对信息技术服务提供商的服务质量进行评估。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,信息技术服务商管理
检查措施
a)访谈期货公司定期评估服务提供商的相关制度或措施;
b)访谈期货公司技术部门负责人,了解服务提供商服务质量定期评估的实施情况;
c)检查一年内期货公司的服务提供商服务质量的评估报告。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司定期评估服务提供商的制度或相关措施说明,以及抽查的评估报告,作为证明材料。
5.1.5 IT投入
5.1.5.1 [必须][延续] 最近三个财政年度IT投入平均数额应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%,取二者数额较大者。
检查方式
检查
检查对象
财务报表
检查措施
a)IT投入的计算范围包括技术类资产投入、运行、维护、信息技术服务和外包费用,不包括人员薪酬福利,计算方法采用权责发生制;
b)检查期货公司前三个财政年度经审计的财务报表;
c)检查期货公司的最近三个财政年度IT投入的清单和对应的费用及比例说明;
d)对于成立时间不足三年的期货公司,只考虑成立以后的时间。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司最近三个财政年度IT投入的清单和对应的费用及比例说明,作为证明材料。
5.2 机房建设
5.2.1 基本
5.2.1.1 [必须][延续] 机房应为独立封闭区域,并配备门禁。
检查方式
检查
检查对象
机房基础设施
检查措施
a)检查期货公司的机房,是否为独立封闭区域(独立封闭区域是指机房内不得包括办公、生活等设施,但可以包括监控终端),并配备门禁(门禁应专门控制机房的出入),并获取机房以及门禁的照片。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取机房以及门禁的照片,作为证明材料。
5.2.1.2 [必须][延续] 机房承重应达到500公斤每平方米。
检查方式
检查
检查对象
机房基础设施
检查措施
a)期货公司提供由相关机构出具的机房承重相关证明材料,说明机房承重是否达到500公斤每平方米。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的由相关机构出具的期货公司机房承重相关证明材料复印件,作为证明材料。
5.2.1.3 [必须][延续] 机房应具备火警检测、灭火和应急照明设施。
检查方式
访谈,检查
检查对象
机房基础设施
检查措施
a)期货公司提供机房情况说明,包括火警检测、灭火和应急照明设施等信息;
b)检查期货公司的机房的火警检测设施,是否符合情况说明(火警检测设施应分布于机房的每个独立房间);
c)检查期货公司的机房的灭火设施,是否符合情况说明;
d)检查期货公司的机房的应急照明设施,是否符合情况说明。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房情况说明,作为证明材料。
5.2.1.4 [必须][延续] 机房应当具备自动灭火设施。
检查方式
检查
检查对象
灭火设施
检查措施
a)期货公司提供机房情况说明,包括自动灭火设施,查看消防验收材料;
b)检查期货公司的机房的自动灭火设施,是否符合情况说明(自动灭火设施应当分布于机房的每个独立房间)。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
5.2.1.5 [必须][延续] 机房出入口和内部应安装7*24小时录像监控设施,录像至少保存90天。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机房情况说明,包括机房出入口和内部的录像监控设施和录像保存措施等信息;
b)检查期货公司的机房的出入口和内部是否安装录像监控设施,是否与a)的情况说明相符;
c)检查近90天的机房监控录像,并抽查两个不同日期的录像记录。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
5.2.1.6 [必须][延续] 机房应有防雷和接地的设施。
检查方式
检查
检查对象
机房基础设施
检查措施
a)期货公司提供情况说明,包括防雷和接地等措施,以及交流接地、直流接地、安全工作接地电阻不大于4欧姆,防雷接地电阻不大于10欧姆的书面证明材料;
b)检查期货公司的机房的防雷和接地设施,是否与a)的情况说明相符。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
5.2.1.7 [必须][延续] 机房内应安装漏水检测设施,并能够自动报警。
检查方式
检查
检查对象
机房基础设施
检查措施
a)期货公司提供机房情况说明,包括漏水检测设施、自动报警设施(重点在每台精密空调周围设置漏水检测装置);
b)检查机房漏水检测设施,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的机房情况说明,作为证明材料。
5.2.1.8 [必须][延续] 机房内应采用卤代烷或可替代的其他新型气体灭火装置。
检查方式
检查
检查对象
机房灭火装置
检查措施
a)期货公司提供机房情况说明,包括气体灭火装置;
b)检查机房的气体灭火装置,是否为卤代烷或可替代的其他新型气体灭火装置,查看消防验收材料;
c)检查机房的气体灭火装置,并注意查看其设备的有效期,是否符合情况说明。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房的灭火装置情况,作为证明材料。
5.2.1.9 [必须][延续] 应具有机房环境监控系统,至少能够监控供配电、空调、温湿度等重要指标。
检查方式
检查
检查对象
机房监控
检查措施
a)期货公司提供机房情况说明,包括机房环境监控措施;
b)检查机房的环境监控系统,是否有供配电、空调、温度、湿度等监控,是否符合情况说明。
检查结果
a)供配电、空调、温度、湿度等监控指标缺少任意一项,都为不符合上述a)的检查措施;
b)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
c)获取加盖了公章的期货公司机房的环境监控系统的情况说明,作为证明材料。
5.2.1.10 [必须][延续] 应实现声音或短信等自动报警或7*24小时值守。
检查方式
访谈,检查
检查对象
技术部门负责人,机房管理
检查措施
a)期货公司提供机房情况说明,包括机房报警或值守措施;
b)检查机房报警是否实现声音或短信等自动报警,是否符合情况说明;
c)如不能自动报警,访谈技术部门负责人,了解是否采取7*24小时值守的机制,检查期货公司的值守记录,抽查一年内4个时点相应的记录,间隔不小于2个月。
检查结果
a)同时符合上述a)和b),或者a)和c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房报警或值守的情况说明,作为证明材料。
5.2.2 供电
5.2.2.1 [必须][延续] 机房应配备在线UPS设施。UPS应当存放在独立封闭区域。
检查方式
检查
检查对象
机房UPS
检查措施
a)期货公司提供UPS情况说明,应说明在线UPS设备功率和UPS设备连接方式,UPS应与计算机、网络设备在不同的独立封闭区域;
b)检查机房的在线UPS设施,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房的UPS设施的情况说明,作为证明材料。
5.2.2.2 [必须][延续] 应提供双路市电,双路供电应能实现自动切换,双UPS供电,并能够采用发电机应急供电。
检查方式
检查
检查对象
机房供电设施
检查措施
a)检查期货公司提供的市电供电、UPS设施和应急供电发电机情况说明;
b)检查双路市电来源的说明是否符合实际情况;
c)检查是否配备了发电机予以保护(不包括移动式的发电机);
d)检查所有生产环境的双电源设备分别连接到不同的UPS;
e)检查所有生产环境的单电源设备都连接到STS设备,或采用双机热备,或其它等效措施,并分别连接到不同的UPS;
f)检查两年内的电力切换演练记录,切换应当包括在一路市电、一路UPS完全失效或者一路电源开关发生故障的情况下,剩余的市电和UPS可以支撑机房的全部设备的情况。
检查结果
a)同时符合上述a)-f)中的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司应急供电情况说明,作为证明材料。
5.2.2.3 [必须][延续] 应具有电力设施实时切换演练制度和记录。
检查方式
检查
检查对象
机房管理
检查措施
a)检查期货公司提供的电力设施实时切换演练制度;
b)检查期货公司近两年内电力设施实时切换演练记录;实时切换应当做到模拟一路市电中断、一路UPS完全失效和一路电源开关发生故障的情况下,所有的生产环境设备不需要任何人工操作,仍然能够正常工作。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司近两年内电力设施实时切换演练记录复印件,作为证明材料。
5.2.2.4 [必须][新增] UPS和发电机应能够提供不少于24小时的连续供电,在满负载运行的情况下,UPS供电时间应超过从断电到发电机开始供电的间隔时间。
检查方式
检查
检查对象
机房供电设施
检查措施
a)期货公司提供发电机情况说明,包括发电机应急供电时间等信息;
b)检查发电机情况说明,根据可供油量,计算供电时间是否不少于24小时;
c)计算UPS的供电时间;计算时,根据机房的满负载用电量和UPS电池的实际电量计算。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司发电机情况说明,作为证明材料。
5.2.2.5 [必须][延续] 应定期对发电机进行开机测试。
检查方式
检查
检查对象
机房供电管理
检查措施
a)期货公司提供一年内发电机开机测试记录,应包括测试时间,测试结果等内容。
检查结果
a)符合上述a)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司发电机测试记录复印件,作为证明材料。
5.2.3 空调
5.2.3.1 [必须][延续] 应配有与机房热容量匹配的精密空调,并有冗余的精密空调设备。
检查方式
检查
检查对象
机房空调设备
检查措施
a)期货公司提供机房精密空调情况说明,包括空调的正常温度;
b)检查期货公司机房精密空调情况说明,精密空调热容量是否与机房中配置的设备功率相匹配;
c)检查机房精密空调的冗余,应当在缺少任何一台精密空调工作的情况下,剩余精密空调的热容量与机房中配置的设备功率相匹配。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房精密空调情况说明,作为证明材料。
5.2.3.2 [必须][延续] 对机房温湿度应有监控措施和记录。
检查方式
检查
检查对象
机房管理
检查措施
a)检查期货公司机房近一年内机房温度、湿度的监控记录,至少4个时点,时间间隔不小于两个月。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司机房温度、湿度监控记录复印件,作为证明材料。
5.2.3.3 [必须][延续] 空调应双路供电。
检查方式
检查
检查对象
机房空调设备,机房供电设施
检查措施
a)期货公司提供的机房空调情况说明,包括空调供电信息;
b)根据机房空调情况说明,检查空调供电是否双路(不要求自动切换)。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的检查期货公司机房空调情况说明,作为证明材料。
5.2.3.4 [必须][延续] 机房应配备新风设施。
检查方式
检查
检查对象
机房新风设施
检查措施
a)期货公司提供的机房情况说明,包括是否配备新风设施信息;
b)检查期货公司新风设施,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的检查期货公司机房情况说明,作为证明材料。
5.2.3.5 [必须][延续] 应具有为空调供电的发电机。
检查方式
检查
检查对象
机房供电设施,机房空调设施
检查措施
a)期货公司提供机房的空调情况说明,包括发电机信息和机房供电图;
b)检查期货公司机房的为空调供电的发电机,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的机房的空调情况说明,作为证明材料。
5.2.4 布线
5.2.4.1 [必须][延续] 强弱电布线应分开。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机柜外的布线图,包括强弱电布线情况;本项要求不包括机柜内布线;
b)抽查期货公司机房强弱电的布线,不应存在强弱电线路平行铺设且无间距、无隔断的情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司布线图,作为证明材料。
5.2.4.2 [必须][延续] 所有弱电布线应有清晰的线标。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机房线标规划方案;线标上应当可以直接或者可以通过查表的方式,明确知道该线连接的位置和用途;
b)抽查期货公司机房弱电线标是否根据规划实施。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的机房线标规划方案,作为证明材料。
5.2.4.3 [必须][延续] 强电电缆应有屏蔽或隔离措施。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供强电情况说明,包括机柜外的强电电缆是否有屏蔽或隔离措施;本项要求不包括机柜内强电电缆;
b)对于强电电缆与弱电电缆分开铺设的,认为符合隔离措施;
c)对于强电电缆与弱电电缆一起铺设的(指直接相邻、无间距且平行),应采取屏蔽措施。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司强电情况说明,作为证明材料。
5.2.4.4 [必须][延续] 所有布线应置于管道或桥架中。
检查方式
检查
检查对象
机房管理
检查措施
a)期货公司提供机柜外的布线情况说明;这些布线应当放置在管道或桥架中,但是不要求完全封闭;本项要求不包括机柜内布线;
b)检查期货公司机房的布线情况,是否符合情况说明。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司布线情况说明,作为证明材料。
5.2.5 维护
5.2.5.1 [必须][延续] 所有UPS和空调设施都应有专业维护人员,或与专业机构签订维护合同。
检查方式
访谈,检查
检查对象
UPS和空调设施维护人员或维护合同
检查措施
a)访谈UPS和空调设施维护人员,或检查期货公司机房的空调和UPS维护合同。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的UPS和空调设施专业维护人员的情况说明或维护合同签名页复印件,作为证明材料。
5.2.5.2 [必须][延续] 应定期对所有UPS和空调设施进行恰当维护,有维护记录。
检查方式
检查
检查对象
UPS和空调设施维护记录
检查措施
a)检查期货公司机房一年内UPS和空调设施的维护记录。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房一年内UPS和空调设施的维护记录复印件,作为证明材料。
5.3 核心系统
5.3.1 功能
5.3.1.1 [必须][延续] 交易系统应实现数据与应用分离,防止客户终端绕过应用程序界面直接访问核心数据。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统
检查措施
a)访谈期货公司技术部门负责人交易系统的软件来源、版本情况、软件架构说明;
b)检查软件架构说明,不应存在客户终端直接使用数据库接口,访问核心数据的情况;
c)检查软件架构说明,不应存在为客户终端或者管理员终端提供通用的直接修改核心数据的方法。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的软件来源、版本情况、软件架构说明,作为证明材料。
5.3.1.2 [必须][延续] 交易系统应具备对客户进行实时风险控制的能力。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统风险控制措施
检查措施
a)访谈期货公司技术部门负责人交易系统对客户的实时风险控制措施;
b)期货公司提供情况说明,包括交易系统对客户的实时风险控制措施,至少应具备强行平仓和防止保证金透支的功能;
c)检查期货公司交易系统实时风险控制模块。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统对客户的实时风险控制的情况说明,作为证明材料。
5.3.1.3 [必须][延续] 交易系统应产生、记录并存储必要的日志信息供审计使用。
检查方式
访谈,检查
检查对象
技术部门负责人,期货公司交易系统
检查措施
a)访谈期货公司技术部门负责人交易系统的软件架构说明和日志功能;
b)期货公司提供情况说明,包括交易系统的日志功能,日志信息至少应包括所有接入客户的身份信息、IP地址和交易信息;
c)检查是否产生必要的日志信息;
d)检查是否记录必要的日志信息;
e)检查是否存储必要的日志信息。
检查结果
a)同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的软件架构说明和日志功能材料,作为证明材料。
5.3.1.4 [必须][延续] 核心系统应具备向期货保证金监控中心上报规定数据的功能。
检查方式
访谈,检查
检查对象
相关管理人员,核心系统
检查措施
a)访谈核心系统管理人员保证金数据报送的方式和方法;
b)期货公司提供材料,说明已按要求报送保证金监控中心规定的数据。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的报送数据情况说明材料,作为证明材料。
5.3.1.5 [必须][延续] 不应具有篡改、伪造核心系统数据或其他可能导致数据失真的功能。
检查方式
访谈,检查
检查对象
相关管理人员,核心系统
检查措施
a)期货公司提供说明核心系统功能清单的资料;
b)检查核心系统功能清单,不应具有篡改成交信息或资金信息的功能。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统功能清单,作为证明材料。
5.3.1.6 [必须][延续] 核心系统应有授权管理功能。
检查方式
访谈,检查
检查对象
部门负责人,期货公司核心系统权限管理措施
检查措施
a)访谈期货公司技术部门负责人核心系统的权限管理机制;
b)期货公司提供核心系统说明,包括授权管理功能;
c)检查授权管理功能,应至少做到对单个菜单条目、单个操作人员进行授权。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统说明,作为证明材料。
5.3.1.7 [必须][延续] 核心系统应有运行监控功能。
检查方式
访谈,检查
检查对象
期货公司核心系统监控措施及相关负责人
检查措施
a)访谈期货公司技术部门负责人核心系统的运行监控措施,是否能够覆盖核心系统;
b)期货公司提供核心系统的架构说明,包括运行监控措施;
c)检查期货公司核心系统的监控功能,是否符合情况说明,监控信息应当至少包括各个核心系统的服务器、磁盘阵列、数据库的基本运行情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统架构说明,作为证明材料。
5.3.1.8 [必须][延续] 交易系统应具备流量控制管理功能。
检查方式
访谈,检查
检查对象
期货公司交易系统流量控制措施及部门负责人
检查措施
a)访谈期货公司技术部门负责人核心系统的架构和流量控制措施,流量控制应至少包括控制单位时间委托笔数上限的功能;
b)期货公司提供交易系统流量控制管理的情况说明,包括具体的流量控制措施;
c)期货公司提供交易系统流量控制的测试报告。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统情况说明,作为证明材料。
5.3.1.9 [必须][延续] 应要求交易系统供应商提供交易、银期及相关查询接口。
检查方式
访谈,检查
检查对象
期货公司技术部门负责人,银期系统
检查措施
a)检查期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司要求交易系统供应商提供交易、银期及相关查询接口的情况说明,作为证明材料。
5.3.1.10 [必须][延续] 核心系统应具备通过监控中心统一开户系统进行开户的功能。
检查方式
检查
检查对象
期货公司核心系统管理人员、核心系统功能
检查措施
a)访谈核心系统管理人员统一开户的方式和方法;
b)期货公司提供材料,说明已按要求通过监控中心统一开户系统进行开户。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的统一开户情况说明材料,作为证明材料。
5.3.1.11 [必须][延续] 核心系统应具备链接监控中心投资者查询服务系统的功能。
检查方式
检查
检查对象
期货公司核心系统管理人员、核心系统功能
检查措施
a)期货公司提供材料,说明已具备链接监控中心投资者查询服务系统的功能。
检查结果
a)获取加盖了公章的对接投资者查询服务系统的说明材料,作为证明材料。
5.3.2 性能和容量
5.3.2.1 [必须][延续] 交易系统的性能和容量应达到所有其作为会员的交易所的要求。
检查方式
检查
检查对象
期货公司交易系统
检查措施
a)期货公司提供交易系统的性能和容量的情况说明,包括交易系统的性能和容量的最大值;
b)检查期货公司其作为会员的交易所出具的相关测试报告。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的性能和容量的情况说明或相关测试报告,作为证明材料。
5.3.2.2 [必须][延续] 应对交易系统的主要业务指标进行实时监控。
检查方式
访谈,检查
检查对象
期货公司交易系统及相关负责人
检查措施
a)访谈期货公司技术部门负责人,了解实时监控交易系统的主要业务指标以及相应的监控措施;
b)期货公司提供对交易系统的主要业务指标进行实时监控的情况说明,包括交易系统的业务指标监控列表;
c)检查交易系统的主要业务指标监控列表,应至少包括在线用户、报单和成交记录数量等。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司交易系统的主要业务指标的实时监控情况说明,作为证明材料。
5.3.2.3 [必须][延续] 应对交易系统的主要业务监控指标进行记录。
检查方式
访谈,检查
检查对象
期货公司技术部门应用管理人员,运行管理
检查措施
a)期货公司提供一年内全部业务监控记录,记录应至少包括在线用户、报单和成交记录数量;
b)检查期货公司业务监控手段和记录流程;
c)抽查4个时点的监控记录,每个时点的间隔不少于两个月。
检查结果
a)同时符合上述a)-c)的所有检查措施,才能达到本检查项的要求;
b)获取加盖了公章的4个时点的监控记录复印件,作为证明材料。
5.3.2.4 [必须][延续] 应对所有接入交易所的交易通信链路进行监控。
检查方式
访谈,检查
检查对象
技术部门网络管理员,接入交易所的交易通信链路
检查措施
a)期货公司提供所有接入交易所链路清单和监控方法;
b)访谈期货公司网络管理员链路监控的方法;
c)抽查至少两条链路的监控实施情况,应当至少监控链路的通断情况、流量情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的连接交易所链路清单和监控方法以及抽查的监控记录,作为证明材料。
5.3.2.5 [必须][延续] 接入交易所的交易通信链路应达到所有其作为会员的交易所的要求,并采用不同运营商的通讯线路作为备份线路。
检查方式
检查
检查对象
接入交易所的交易通信链路
检查措施
a)期货公司提供所有接入交易所链路清单;
b)检查链路带宽和备份是否满足所有其作为会员的交易所的要求;
c)检查期货公司根据交易所要求进行的链路测试情况;
d)检查期货公司应当至少有两条线路接入三所联网。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的连接交易所链路清单和参加交易所规定的链路测试并通过的证明,作为证明材料。
5.3.2.6 [必须][延续] 接入交易所的交易通信链路带宽使用率每交易日峰值按月统计的平均值应不超过80%。
检查方式
访谈,检查
检查对象
技术部门网络管理人员,接入交易所的交易通信链路
检查措施
a)期货公司提供所有接入交易所链路清单;
b)访谈网络管理人员链路容量实时监控的方法;
c)抽查至少两条链路容量自动监控的实施情况;
d)检查期货公司交易所链路一年内每日峰值按月统计的平均值是否不超过80%。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司接入交易所链路每月的日峰值统计情况,作为证明材料;
c)期货公司应使用自动手段实时监控网络带宽。
5.3.2.7 [必须][延续] 应对所有网上交易的通信链路进行监控。
检查方式
访谈,检查
检查对象
技术部门网络管理员,网上交易的通信链路
检查措施
a)期货公司提供所有网上交易专有链路及监控手段清单;
b)检查网上交易非专有链路的通断监控情况;
c)抽查至少一条专有链路监控实施情况,应当至少监控链路的通断情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网上交易的通信链路清单,作为证明材料。
5.3.2.8 [必须][延续] 网上交易的通信链路带宽使用率每交易日峰值按月统计的平均值应不超过80%。
检查方式
访谈,检查
检查对象
网络管理人员,网上交易的通信链路
检查措施
a)期货公司提供所有网上交易专有链路清单;
b)访谈网络管理人员链路容量实时监控的方法;
c)抽查至少一条专有链路容量自动监控的实施情况;
d)检查期货网上交易专有链路一年内每日峰值按月统计的平均值不超过80%。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司网上交易专有链路每月的日峰值统计情况,作为证明材料;
c)期货公司应使用自动手段实时监控网络带宽。
5.3.3 交易系统冗余
5.3.3.1 [必须][新增] 交易系统的所有部件应有热备份,具备1分钟内切换的能力。
检查方式
访谈,检查
检查对象
技术部门负责人,交易系统的所有部件
检查措施
a)期货公司提供交易系统的所有部件清单;
b)期货公司提供系统部署图;
c)访谈交易系统部件备份情况(包括交易依赖的所有服务器、磁盘阵列、数据库);
d)核实备份部件真实存在,并实现互备(不接受需要人工操作的切换流程,所有切换必须自动完成);
e)抽查交易系统部件的切换演练记录,并评估切换时间是否不超过1分钟。
检查结果
a)同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的部件清单、切换演练汇总报告及操作手册目录页复印件,作为证明材料。
5.3.3.2 [必须][延续] 与交易所连接的网络设备应无单点故障。
检查方式
访谈,检查
检查对象
技术部门负责人,与交易所连接的网络设备
检查措施
a)期货公司提供与交易所连接的网络结构和设备清单;
b)与交易所的连接应是双链路冗余,包括通过三所联网接入交易所实现链路冗余的情况;
c)核实相关部件是否真实存在;
d)检查设备切换演练记录,并评估是否能够切换。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司相关切换演练记录复印件,作为证明材料。
5.3.3.3 [必须][延续] 生产环境内所有网络设备应有热备份,具备1分钟内切换的能力。
检查方式
访谈,检查
检查对象
所有网络设备及技术部门负责人
检查措施
a)期货公司提供所有网络设备清单;
b)期货公司提供网络架构图;
c)访谈技术部门负责人网络设备备份情况(包括生产环境中的所有路由器、交换机、防火墙、负载均衡器、连接线);
d)核实备份部件是否真实存在,并实现互备;
e)抽查交易系统网络设备的切换演练记录,并评估切换时间是否不超过1分钟,设备须自动切换。
检查结果
a)同时符合上述a)-e)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的设备清单、切换演练汇总报告复印件,作为证明材料。
5.3.3.4 [必须][延续] 应使用多个电信运营商的链路作为网上交易的通信链路。
检查方式
检查
检查对象
网上交易的通信链路
检查措施
a)期货公司提供所有网上交易的通信链路清单;
b)网上交易的通信链路清单应包括电信运营商情况;
c)检查电信运营商是否为多个。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的连接交易所的通信链路清单(应包括电信运营商情况),作为证明材料。
5.3.4 行情冗余
5.3.4.1 [必须][延续] 应向客户同时提供至少2套行情服务,且均使用至少2套服务器。
检查方式
访谈,检查
检查对象
客户开户相关人员、行情服务系统
检查措施
a)访谈期货公司,提供行情服务情况说明;
b)检查期货公司使用了至少2家行情商提供的行情服务;
c)检查期货公司使用了2家至少能提供2套行情服务器的行情商。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司行情服务情况说明,作为证明材料。
5.3.4.2 [必须][延续] 应有至少2套行情服务,且均通过至少两个电信运营商提供服务。
检查方式
访谈,检查
检查对象
技术部门负责人、行情服务系统及其电信链路
检查措施
a)期货公司提供所有行情供应商及包含链路情况的部署清单;
b)访谈技术部门负责人行情系统部署情况;
c)检查至少2套行情服务,都通过至少两家电信运营商提供服务。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的行情供应商及相关部署清单,作为证明材料。
5.3.5 银期系统冗余
5.3.5.1 [必须][延续] 应与至少2家银行实现全国性银期转帐。
检查方式
访谈,检查
检查对象
技术部门负责人、银期转账系统
检查措施
a)期货公司提供注明正式上线的所有银期转帐系统清单;
b)检查期货公司与银行签署相关合同及相关内容真实有效;
c)检查两家银期转账,且均为全国性银期转账。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的正式上线的所有银期转帐系统清单,与银行签署相关合同首页和签名页复印件,作为证明材料。
5.3.5.2 [必须][新增] 所有银期转账系统应具备抗单点故障的能力。
检查方式
访谈,检查
检查对象
技术部门负责人、银期转账系统
检查措施
a)期货公司提供每个银期转账系统的设备、链路备份清单;
b)应保证至少两套银期转账系统具备抗单点故障的能力;
c)访谈银期转账系统抗单点措施,提供切换演练记录;
d)检查设备真实存在,检查链路相关资料。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)期货公司提供每个银期转账系统设备,链路备份清单加盖公章,作为证明材料。
5.4 安全
5.4.1 网络隔离
5.4.1.1 [必须][延续] 生产网与互联网应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与互联网的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及与当前运行情况相符的相关设施的配置清单和安全策略,启用访问控制功能;
b)访谈生产网与互联网的隔离情况;
c)检查隔离设备是否真实存在;
d)检查网络设备的安全规则是否配置允许访问规则,控制粒度为网段级,对没有明确定义的数据包缺省拒绝。
检查结果
a)同时符合上述a)-d)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存。
5.4.1.2 [必须][延续] 网站与网上交易系统应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、网站与网上交易系统的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈网站与网上交易系统的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
5.4.1.3 [必须][延续] 生产网与办公网应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与办公网的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈生产网与办公网的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
5.4.1.4 [必须][延续] 总部的生产网与营业部的网络应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、总部的生产网与营业部的网络的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈总部的生产网与营业部的网络的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)如为物理分隔,期货公司应提供说明加盖公章,作为证明材料。
5.4.1.5 [必须][延续] 生产网与交易所、银行等外联单位网络应实现有效隔离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、生产网与交易所、银行等外联单位网络的隔离情况
检查措施
a)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略;
b)访谈生产网与交易所、银行等外联单位网络的隔离情况;
c)检查隔离设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网络架构图(详细)及相关设施的配置清单及安全策略,因属于敏感信息,不留存;
c)获取加盖了公章的外联单位网络隔离情况说明,作为证明材料。
5.4.1.6 [必须][新增] 支持核心业务的网络、主机设备应通过独立网络进行管理,实现监控数据流和生产数据流的分离。
检查方式
访谈,检查
检查对象
技术部门网络管理人员、网管与监控系统
检查措施
a)期货公司提供网管网部署说明;
b)访谈网管网部署情况;
c)检查相关设备是否真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供网管网部署说明,因属于敏感信息,不留存。
5.4.2 防病毒、补丁和安全加固
5.4.2.1 [必须][延续] 应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、安全加固情况
检查措施
a)期货公司提供系统补丁相关流程和制度;
b)检查补丁评估的相关记录;
c)访谈系统补丁更新的情况,跟踪最近一次补丁更新情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司系统补丁相关流程和制度,作为证明材料。
5.4.2.2 [必须][延续] 应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、Windows病毒防护措施
检查措施
a)期货公司提供病毒管理相关流程和制度;
b)访谈公司病毒管理的情况,跟踪最近一次全面病毒检查和病毒更新情况;
c)抽查Windows服务器、业务用机和办公机,病毒特征库应根据公司病毒管理策略更新到最新日期。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司病毒管理流程和制度,作为证明材料。
5.4.2.3 [必须][延续] 应对生产环境所有服务器定期进行安全扫描和合理加固,关闭不需要的端口。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、安全扫描和加固措施
检查措施
a)期货公司提供安全扫描和加固的相关流程制度;
b)期货公司应提供一年内至少1次安全扫描和加固的报告;
c)访谈公司安全扫描和加固执行情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供安全扫描、加固报告首页和相关制度,作为证明材料。
5.4.2.4 [必须][延续] 应在计算机或存储设备接入生产环境之前对其进行安全检查。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、接入安全检查
检查措施
a)期货公司提供外来计算机管理制度;
b)访谈公司外来计算机和存储接入生产环境前的安全扫描措施。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供外来计算机管理制度或公司信息技术管理制度的相关条款,作为证明材料。
5.4.2.5 [必须][延续] 应对通过互联网向外提供服务的设备和系统进行定期安全扫描,关闭不需要的端口。
检查方式
检查
检查对象
外联端口的安全措施
检查措施
a)期货公司提供通过互联网向外提供服务的设备和系统及对应开放端口、端口说明的清单;
b)访谈公司安全扫描和加固安全制度,访谈执行情况;
c)期货公司应提供一年内至少1次安全扫描和加固的报告。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供安全扫描报告首页,作为证明材料。
5.4.2.6 [必须][延续] 在读取移动存储设备上的数据以及从网络上接收文件或邮件之前,应先进行病毒检查。
检查方式
访谈,检查
检查对象
技术部门安全管理人员、移动存储和外来文件的安全检查措施
检查措施
a)期货公司提供数据管理的相关制度;
b)访谈数据管理的相关管理和技术措施;
c)检查期货公司从网络上下载结算数据的管理情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据管理相关制度,作为证明材料;
c)期货公司结算数据下载介质应专用,应有相关流程检查病毒木马情况。
5.4.2.7 [必须][延续] 对通过互联网传送的交易及结算数据应有加密手段,以保护数据的安全。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,交易结算的数据保护措施
检查措施
a)期货公司提供交易结算数据加密情况说明;
b)访谈公司提供交易结算数据加密情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供交易结算数据加密情况说明,作为证明材料。
5.4.2.8 [必须][延续] 所有生产环境服务器应尽量避免使用telnet、ftp等有安全隐患的服务,与服务器通信应采用加密方式,例如SSH。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,服务器通信方式
检查措施
a)期货公司提供生产环境服务器及对应的远程登录、文件传输程序的清单;
b)访谈远程登录、文件传输程序采用的加密措施。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供生产环境服务器及对应的远程登录、文件传输程序清单,作为证明材料。
5.4.2.9 [必须][新增] 对存有重要生产数据计算机的光盘刻录、USB接口等功能应采取有效的控制手段,防止非授权的数据复制。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,重要生产数据的授权复制
检查措施
a)期货公司提供业务用计算机及相关接口控制手段的情况说明;
b)访谈公司数据接口控制手段和管理流程;
c)抽查结算、风控和交易终端的接口控制实施情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)期货公司提供业务用计算机及相关数据接口控制手段情况说明加盖公章,作为证明材料。
5.4.3 网站安全
5.4.3.1 [必须][延续] 应有专人监控网站内容,发现问题后及时处理。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站相关业务人员,网站内容管理
检查措施
a)期货公司提供网站监控人员名单和处理流程情况说明;
b)访谈网站监控管理流程。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站监控人员名单和处理流程情况说明,作为证明材料。
5.4.3.2 [必须][延续] 应定期对网站进行安全检查,并对隐患进行及时处理。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站安全检查
检查措施
a)对网站进行的安全检查应包括:SQL注入漏洞、弱口令、口令验证不足、目录遍历、文件上传、HTTP协议追踪、跨站脚本、后台漏洞、敏感信息泄漏、网络漏洞和SSL加密漏洞、下单网页未使用HTTPS加密机制等;
b)期货公司提供一年内的网站安全检查报告;
c)访谈网站安全检查情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站安全检查报告,注明证监会网站相关检查情况,作为证明材料。
5.4.3.3 [必须][延续] 应准备足够措施,能在发现网站被篡改后5分钟内停止发布被篡改的内容。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站内容管理
检查措施
a)期货公司提供网站停止发布机制说明;
b)检查最近一次的演练记录,并评估从发现网站被篡改到停止发布被篡改的内容的时间是否不超过5分钟。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站停止发布机制说明,作为证明材料。
5.4.3.4 [必须][延续] 应安装木马防护软件并定期更新。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,木马防护措施
检查措施
a)期货公司提供网站木马防护机制说明;
b)访谈木马防护软件的部署更新情况;
c)有条件可检查防木马软件版本是否根据情况进行定期更新。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站防木马机制说明,作为证明材料。
5.4.3.5 [必须][延续] 网站的内容发布应有审核制度和完整的内容发布流程。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站内容管理相关业务人员,网站内容管理
检查措施
a)期货公司提供网站内容审核制度及发布流程;
b)检查并访谈网站内容审核制度和流程的执行情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站内容审核制度及发布流程,作为证明材料。
5.4.3.6 [必须][延续] 应对网站主页内容实现自动监控,能在5分钟内检测到篡改。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站内容管理相关业务人员,网站内容管理
检查措施
a)期货公司提供网站主页篡改监控说明;
b)访谈网站主页内容自动监控机制。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的网站主页内容自动监控机制说明,作为证明材料;
c)期货公司应具备网站主页内容自动监控机制。
5.4.3.7 [必须][延续] 应请有资质的专业安全机构定期对网站提供安全评估或扫描服务,并对安全漏洞进行整改。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网站安全管理
检查措施
a)期货公司提供专业机构(具有国家或者省级主管部门颁发的信息安全服务许可证书)出具的网站安全评估报告,整改情况说明及安全机构的资质说明;
b)访谈评估和整改情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的安全机构提供的评估报告、整改情况说明及安全机构的资质说明,作为证明材料;
c)评估报告有效期为一年。
5.4.4 网上交易安全
5.4.4.1 [必须][延续] 应提供可靠的身份认证机制,网上交易客户端支持多种方式与服务端完成身份认证。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,网上交易的身份认证
检查措施
a)期货公司提供网上交易系统的身份认证说明;
b)检查期货公司网上交易系统是否支持多种身份认证方式;
c)访谈网上交易系统的身份验证方式和措施。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网上交易系统的身份认证说明,作为证明材料。
5.4.4.2 [必须][延续] 服务器上的用户认证信息应加密存放。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,服务器的用户认证
检查措施
a)期货公司提供身份认证存放方式说明;
b)检查用户认证信息是否加密存放;
c)访谈网上交易系统的身份认证存放方式。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网上交易系统的身份认证存放方式说明,作为证明材料。
5.4.4.3 [必须][延续] 应在与客户签订的服务合同(网上期货服务合同、期货经纪合同及补充协议、风险揭示书)中载明,客户使用网上期货业务可能面临的风险、期货公司采取的风险控制措施、客户应采取的风险控制措施以及相关风险对应的责任承担(如防止用于网上交易的计算机或手机终端感染木马、病毒,以免被恶意程序窃取口令;加强帐号、口令的保护,不使用简单口令、定期修改口令、输入口令时防止他人偷看、不对他人泄露口令等)。
检查方式
访谈,检查
检查对象
投资者开户负责人员
检查措施
a)期货公司提供网上期货服务合同(协议);
b)访谈开户时网上交易风险揭示的措施和流程。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司网上期货服务合同(协议)中揭示网上交易风险部分页作为证明材料。
5.4.4.4 [必须][延续] 应提供预留验证信息服务,在客户进行登录时向客户进行显示,帮助客户有效识别仿冒的网上期货信息系统,防范利用仿冒的网上期货信息系统进行诈骗活动。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员,网上交易系统的预留验证信息服务
检查措施
a)期货公司提供网上交易系统的预留验证信息相关服务的说明(例如提供客户结算单信息等);
b)访谈公司网上交易系统的预留验证信息相关服务的情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网上交易系统的预留验证信息相关服务的说明,作为证明材料。
5.4.4.5 [必须][延续] 至少提供一种强度较高的用户身份认证机制。
检查方式
访谈,检查
检查对象
技术部门业务系统管理人员或安全管理人员,网上交易的用户认证
检查措施
a)期货公司提供除静态口令外的强度较高的用户身份认证机制的说明,例如数字证书、动态口令、电脑或手机特征码绑定等;
b)访谈公司其它认证机制的实施情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供除静态口令外其它认证措施的说明,作为证明材料。
5.4.4.6 [必须][延续] 应请有资质的专业安全机构定期对网上交易系统提供安全评估或扫描服务,并对安全漏洞进行整改。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,网上交易的安全管理
检查措施
a)期货公司提供有资质的安全机构对网上交易系统安全的评估报告、整改情况说明及安全机构的资质说明(例如公安部、安全部等机构颁发的资质);
b)访谈评估和整改情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的安全机构提供的评估报告、整改情况说明及安全机构的资质说明,作为证明材料;
c)评估报告有效期为一年。
5.4.5 账户与权限
5.4.5.1 [必须][延续] 应有生产环境内关键系统账户与权限的关系表。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供生产环境内关键应用系统(包括交易、结算和风险监控系统)的账户与权限的关系表;
b)访谈生产环境内关键系统账户与权限的关系维护情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司生产环境内关键系统账户与权限的关系表,作为证明材料。
5.4.5.2 [必须][延续] 账户和权限变更应有审批和完整的记录。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供生产环境内关键应用系统(包括交易、结算和风险监控系统)账户与权限的审批制度和流程;
b)期货公司提供一年内全部生产环境内关键系统账户与权限的审批表,并跟踪一次权限变更是否符合制度要求;
c)访谈账户与权限审批制度和流程落实情况。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供生产环境内关键系统账户与权限审批制度和流程,作为证明材料。
5.4.5.3 [必须][延续] 岗位变动应及时调整对应系统的账户和权限。
检查方式
检查
检查对象
权限管理
检查措施
a)期货公司提供生产环境账户与权限变更制度和流程;
b)期货公司提供一年内全部生产环境账户与权限变更记录;
c)抽查至少2次账户权限变更是否及时(岗位变动和权限变更时间间隔不得超过1个月)。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供生产环境账户与权限变更制度和流程,作为证明材料。
5.4.5.4 [必须][延续] 应避免使用超级管理员账户完成日常业务操作。
检查方式
访谈,检查
检查对象
技术部门业务系统管理员,权限管理
检查措施
a)期货公司提供业务系统超级管理员账户的使用情况说明;
b)访谈业务系统超级管理员账户的使用情况,该账户应只进行开设账户、权限分配等非日常业务操作。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供业务系统管理员账户的使用情况说明,作为证明材料。
5.4.6 口令管理
5.4.6.1 [必须][延续] 所有书面方式保存的口令应有安全的物理保护措施。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,口令管理
检查措施
a)以明文方式存放在计算机中的口令视同为书面方式保存的口令;
b)期货公司提供书面口令保存方式的情况说明,应有安全的物理保护措施,例如放置于保险箱、带锁的柜子,以明文方式存放口令的计算机应放置于有出入控制的操作间内;
c)检查口令保存方式措施真实存在。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司书面口令保存方式的情况说明,作为证明材料。
5.4.6.2 [必须][延续] 口令应有复杂度要求。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,口令管理
检查措施
a)期货公司提供口令复杂度要求的相关制度,应包括具体的复杂度要求,如口令长度、组合等;
b)访谈口令复杂度的实施范围和措施。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供口令复杂度要求的相关制度,作为证明材料。
5.4.6.3 [必须][延续] 口令应定期更换。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,口令管理
检查措施
a)期货公司提供口令定期更换的相关制度;
b)访谈口令定期更换的实施范围和措施,重要系统口令变更的策略;
c)期货公司提供一年内根据口令更换制度和策略执行口令更换操作的相关记录。
检查结果
a)同时符合上述a)-c)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供口令更换的相关制度和记录,作为证明材料。
5.4.6.4 [必须][新增] 数据库用户口令不得明文存放在计算机中。
检查方式
检查
检查对象
口令管理
检查措施
a)期货公司提供业务系统连接数据库时使用用户口令加密情况的说明。
检查结果
a)符合上述a)的检查措施,才达到本检查项的要求;
b)期货公司提供业务系统连接数据库时使用用户口令加密情况的说明加盖公章,作为证明材料。
5.4.7 安全审计
5.4.7.1 [必须][延续] 核心系统的主要业务操作应产生审计记录。
检查方式
检查
检查对象
核心系统的业务操作审计
检查措施
a)期货公司提供核心系统的主要业务操作的审计记录应包括时间、发起者、类型、描述和结果;
b)抽查一年内至少2天的审计记录,时间间隔不少于两个月。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的核心系统主要业务操作的审计记录,作为证明材料。
5.4.7.2 [必须][延续] 应采取有效措施防止删除、修改或覆盖审计记录。
检查方式
检查
检查对象
核心系统的业务操作审计
检查措施
a)期货公司提供核心系统的主要业务操作的审计记录保存方式的说明,应至少每日对审计记录进行备份;
b)检查期货公司审计记录保存措施的落实情况。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供核心系统主要操作记录机制说明,作为证明材料。
5.4.7.3 [必须][延续] 所有的主要运维操作应采取恰当的认证措施,并产生审计记录。
检查方式
访谈,检查
检查对象
技术部门安全管理人员,核心系统的运维操作认证和审计
检查措施
a)期货公司提供运维操作认证措施的说明;
b)访谈期货公司的主要运维操作的审计记录保存范围和措施,应包括日常运行、生产系统变更等重要操作;
c)抽查一年内至少2天的生产核心设备操作审计记录,时间间隔不小于两个月。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供运维操作认证方式说明,作为证明材料。
5.5 日常运行
5.5.1 岗位
5.5.1.1 [必须][延续] 应建立日常值班制度,设立专门运行保障岗位,制定明确的每日值班表,保障交易期间有人值守。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,岗位说明书,排班表,值班记录
检查措施
a)访谈技术部门负责人,了解期货公司日常运行维护的整体情况;
b)期货公司提供日常值班制度、值班表、包括运行保障职责的岗位说明书和交易期间值班安排说明。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的日常值班制度、每日值班表、运行保障岗位说明书和交易期间值班安排的说明,作为证明材料。
5.5.1.2 [必须][延续] 初始化、结算、数据备份等关键操作过程和结果应有复核。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,值班记录
检查措施
a)访谈期货公司技术部门负责人了解关键操作保障情况;
b)检查日常值班制度中是否要求了复核的规定;
c)检查日常值班记录中是否体现了复核的要求。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供日常值班制度,作为证明材料。
5.5.1.3 [必须][延续] 交易运行期间应有现场保障人员,以及时维护和应急处理。
检查方式
访谈,检查
检查对象
技术部门负责人,日常值班制度,排班表
检查措施
a)访谈期货公司技术部门负责人了解现场保障人员情况,现场保障是指可以随时登录到核心系统各个服务器和网络设备;
b)检查日常值班制度中是否要求了交易期间现场保障人员以及对应的职责;
c)检查排班表中是否包含现场保障人员。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供日常值班制度,作为证明材料。
5.5.1.4 [必须][延续] 网络、主机、数据库、应用系统的运行维护等关键技术岗位应有备岗人员。
检查方式
访谈,检查
检查对象
技术部门负责人,岗位说明书
检查措施
a)检查期货公司提供的网络、主机、数据库、应用系统运行维护等关键技术岗位的岗位说明书和主备岗人员名单;
b)访谈期货公司关键技术岗位备岗人员,了解是否具有应有的岗位技能。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供网络、主机、数据库、应用系统等主备岗人员名单,作为证明材料。
5.5.1.5 [必须][延续] 应实现双人日常值班。
检查方式
检查
检查对象
日常值班制度,排班表,每日值班记录
检查措施
a)期货公司提供排班表是否体现双人值班;
b)抽查排班表和值班记录是否为双人,值班期间无其它工作安排。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供排班表,作为证明材料。
5.5.1.6 [必须][新增] 应实现对机房和网站的24小时连续监控。
检查方式
访谈,检查
检查对象
技术部门负责人,监控系统
检查措施
a)期货公司提供机房和网站24小时连续监控措施的说明;
b)检查机房和网站的监控真实存在,同时应实现自动监控,并能及时通知;
c)检查机房和网站的24小时连续监控措施的实施情况。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的货公司机房和网站24小时连续监控措施的说明,作为证明材料。
5.5.2 制度与巡检
5.5.2.1 [必须][延续] 在关键时间点应对生产环境运行状态进行巡检。
检查方式
检查
检查对象
日常值班制度,巡检记录
检查措施
a)期货公司提供对生产环境的日常巡检列表,包括对生产环境运行状态的巡检,巡检对象应包括生产环境的机房基础设施、应用、主机、网络等;
b)检查日常巡检列表,在关键时间点是否对生产环境运行状态进行巡检,关键时间点是否覆盖开盘前、中午休市、下午收市等;
c)期货公司提供一年内的所有巡检记录,抽查一年内至少4天的生产环境的日常巡检记录,时间间隔不小于两个月。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的一年内至少4天的生产环境的日常巡检记录,作为证明材料。
5.5.2.2 [必须][延续] 巡检应保留记录,并有操作和复核人员的签名。
检查方式
检查
检查对象
巡检记录
检查措施
a)期货公司提供一年内生产环境的所有巡检记录;
b)抽查期货公司一年内4天的生产环境的巡检记录,时间间隔不小于两个月;
c)检查巡检记录是否有操作人员和复核人员签名确认。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的一年内4天的巡检记录复印件,作为证明材料。
5.5.2.3 [必须][延续] 应有详细的操作手册(包括日常操作和定期维护操作),手册中应有详细的操作步骤。
检查方式
检查
检查对象
日常操作手册、维护操作手册
检查措施
a)期货公司提供生产环境的日常操作和定期维护的操作手册;
b)检查期货公司生产环境的日常操作和定期维护的操作手册,是否有详细的操作步骤。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的生产环境的日常操作和定期维护的操作手册清单和目录,作为证明材料。
5.5.2.4 [必须][延续] 交易期间应对核心系统和网络系统进行实时监控,并能及时、有效地报警。
检查方式
检查
检查对象
监控系统
检查措施
a)期货公司提供交易期间对核心系统和网络系统实时监控的情况说明;
b)检查交易期间对核心系统和网络系统实时监控,是否实现自动化监控;
c)检查交易期间对核心系统和网络系统实时监控,是否可以及时、有效地报警。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司关于实时监控情况的情况说明,作为证明材料。
5.5.2.5 [必须][延续] 应保留关键操作的记录和签名。
检查方式
检查
检查对象
操作记录
检查措施
a)期货公司提供一年内生产环境的操作记录;
b)抽查期货公司一年内4天的生产环境操作记录,时间间隔不小于两个月;
c)检查关键操作记录是否有操作人员的签名确认,至少包括系统的启停、参数的修改、数据备份。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内4天的生产环境操作记录复印件,作为证明材料。
5.5.2.6 [必须][延续] 应保留应用系统的操作日志记录。
检查方式
检查
检查对象
系统操作日志
检查措施
a)期货公司提供应用系统的操作日志记录;
b)抽查期货公司一年内两天的应用系统的操作日志记录,时间间隔不小于两个月,应保证重要操作是否有对应的应用系统操作记录。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的应用系统的操作日志记录复印件,作为证明材料。
5.5.2.7 [必须][延续] 应记录生产环境发生的故障和异常。
检查方式
检查
检查对象
故障记录
检查措施
a)期货公司提供一年内生产环境发生故障和异常的记录和报告;
b)检查生产环境发生的故障记录和报告应包含发生的时间、现象、处理措施、后续处理手段等内容;
c)检查故障记录和报告信息是否完整。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的抽查的故障记录和报告复印件,作为证明材料。
5.5.2.8 [必须][延续] 对核心系统和网络系统的实时监控应当包括系统的可用性和系统性能。
检查方式
检查
检查对象
监控系统
检查措施
a)期货公司提供核心系统和网络系统的监控情况说明、监控情况记录;
b)检查期货公司核心系统和网络系统的监控措施,是否采用自动化的系统或软件进行实时监控;
c)检查期货公司核心系统和网络系统的监控措施,评估期货公司实时监控是否能覆盖核心系统和网络系统;
d)检查期货公司监控情况记录,是否提供系统的可用性(如进程状态、网络连通等)和系统性能(如CPU使用率、内存使用率、网络流量等)的监控数据。
检查结果
a)同时符合上述a)-d)的检查措施,才达到本检查项的要求;
b)如果期货公司没有自动化监控系统,不满足本检查项的要求;
c)获取加盖了公章的期货公司系统监控情况说明,作为证明材料。
5.5.2.9 [必须][延续] 应建立完善和更新重要手册的机制。
检查方式
检查
检查对象
变更操作手册、值班操作手册、应急操作手册、巡检卡
检查措施
a)期货公司提供生产环境日常运行的重要手册完善和更新的制度和流程;
b)检查重要手册(如巡检、应急操作手册等)的更新和修订记录。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司重要手册的更新记录,作为证明材料。
5.5.2.10 [必须][新增] 应采取管理和技术手段对业务部门进行的关键参数修改予以复核。
检查方式
检查
检查对象
参数复核手段
检查措施
a)期货公司提供关键业务参数复核措施情况说明;
b)抽查相关的技术复核手段,如自动化脚本或专用的系统;缺乏自动化工具,而是直接通过业务系统或者直接通过数据库查询进行参数复核的,则认为不符合本项要求。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司系统参数复核手段的情况说明,作为证明材料。
5.5.3 机房进出
5.5.3.1 [必须][延续] 应建立机房及值班操作间的出入登记制度,并保留相关记录。
检查方式
检查
检查对象
出入登记制度,出入登记记录
检查措施
a)期货公司提供机房及值班操作间的出入登记制度及一年内的相关记录;
b)检查期货公司机房和操作间出入登记制度,是否明确登记要求;
c)抽查期货公司一年内机房和值班操作间的出入登记记录,是否信息登记完全。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司机房及值班操作间的出入登记制度和出入登记记录复印件,作为证明材料。
5.5.3.2 [必须][延续] 非技术保障人员进入机房应获得授权,并有技术保障人员陪同,所携带设备应专门登记。
检查方式
访谈,检查
检查对象
机房管理制度,出入登记记录
检查措施
a)访谈技术部门负责人了解非技术保障人员进入机房的授权流程和控制措施;
b)抽查期货公司一年内非技术保障人员进入机房的登记信息,检查是否有相应的授权信息;
c)检查期货公司一年内非技术保障人员进入机房的登记信息,检查所携带设备信息描述是否清楚;
d)检查期货公司一年内非技术保障人员进入机房的登记信息,检查是否有技术保障人员陪同信息。
检查结果
a)同时符合上述a)-d)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司一年内非技术保障人员进入机房的登记记录复印件,作为证明材料。
5.5.3.3 [必须][延续] 交易期间如无应急或者巡检需要,不应进入机房。
检查方式
检查
检查对象
机房管理制度,出入登记记录
检查措施
a)期货公司提供机房出入管理制度;
b)检查期货公司机房出入制度,是否有交易期间如无应急或者巡检需要,不应进入机房的要求;
c)抽查期货公司一年内交易时间进入机房的出入记录,检查是否有授权信息,或对进入机房的必要性进行了说明。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的机房出入记录复印件,作为证明材料。
5.6 备份
5.6.1 数据备份
5.6.1.1 [必须][延续] 应根据数据的重要性及其对核心系统运行的影响,制定数据备份策略和恢复策略。
检查方式
访谈,检查
检查对象
技术部门负责人,数据备份制度
检查措施
a)检查期货公司数据备份、恢复的制度和策略;
b)访谈技术部门负责人数据备份策略和恢复策略情况。
检查结果
a)同时符合上述a)-b)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据备份制度和策略,作为证明材料。
5.6.1.2 [必须][延续] 应建立数据管理、介质维护、销毁和使用管理制度。
检查方式
检查
检查对象
技术部门负责人,数据备份制度
检查措施
a)检查期货公司数据管理制度中是否包含介质维护、销毁和使用管理等内容。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据和介质管理的相关制度复印件,作为证明材料。
5.6.1.3 [必须][延续] 应对介质进行明确标识。
检查方式
访谈,检查
检查对象
介质标识相关规定,数据备份介质
检查措施
a)访谈期货公司介质标识的相关规定;
b)期货公司提供一年内所有的备份介质;
c)抽查一年内期货公司4次备份介质,时间间隔不少于两个月;
d)检查备份介质是否有明确的标识,是否符合规定。
检查结果
a)同时符合上述a)-d)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司介质标识相关规定复印件,作为证明材料。
5.6.1.4 [必须][延续] 应确保介质存放在安全环境中,实现对备份数据的控制和保护。
检查方式
检查
检查对象
数据备份介质
检查措施
a)期货公司提供备份介质保存环境说明;
b)检查介质存放环境是否具有防盗措施,如保险柜、加锁的抽屉或者有出入控制措施的专用储藏室;
c)应至少有一种介质具有可离线存放的特性,如磁带、光盘、移动硬盘等。
检查结果
a)同时符合上述a)-c)的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司备份介质相关说明,作为证明材料。
5.6.1.5 [必须][延续] 每日应对结算后数据进行备份。
检查方式
检查
检查对象
数据备份管理
检查措施
a)根据期货公司备份策略,抽查期货公司至少2次结算后备份介质或文件,实际操作情况应与备份策略一致;
b)检查期货公司每日值班记录中是否包括备份结算后数据的操作。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司值班记录备份相关页,作为证明材料。
5.6.1.6 [必须][新增] 每周应将结算后数据备份介质送到不同城市存放。
检查方式
访谈,检查
检查对象
备份管理人员,数据备份管理
检查措施
a)期货公司提供介质不同城市地存放的说明材料,其中必须明确描述介质放置位置和离场存放频率;
b)访谈备份介质管理人员,了解备份数据是否不同城市存放,以及不同城市存放的频率是否符合要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的存放方式相关说明,作为证明材料。
5.6.1.7 [必须][延续] 应定期对主要备份业务数据进行恢复验证,根据介质使用期限及时转储数据。
检查方式
访谈,检查
检查对象
备份管理人员,数据备份管理
检查措施
a)访谈数据备份管理人员,了解数据恢复验证频率、措施及数据转储操作流程;
b)检查数据恢复验证和转储的操作手册和抽查一年内进行恢复验证和转储的操作记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据备份操作手册和近期转储操作记录复印件,作为证明材料。
5.6.1.8 [必须][延续] 应利用通信网络将关键业务数据实时传送至异地数据备份场所。
检查方式
访谈,检查
检查对象
技术部门负责人,数据备份管理
检查措施
a)访谈技术部门负责人,了解保障业务数据实时备份的具体措施和技术手段;
b)期货公司提供数据实时备份系统的设计和部署方案;
c)检查数据实时备份系统的设计和部署方案,是否包括利用通信网络将关键业务数据实时传送至异地数据备份场所。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据实时备份系统的设计和部署方案,作为证明材料。
5.6.1.9 [必须][延续] 每日备份后应立即进行恢复验证。
检查方式
检查
检查对象
数据备份管理
检查措施
a)期货公司提供每日值班手册;
b)检查期货公司每日值班手册中是否包含对交易和结算后的原始数据的备份进行恢复验证的内容;
c)检查期货公司是否具有用于数据恢复验证的环境和工具,要求恢复后数据可供浏览或查询。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据备份恢复验证记录复印件,作为证明材料。
5.6.1.10 [必须][延续] 应指定专人负责保管业务数据备份介质。
检查方式
访谈,检查
检查对象
备份管理人员,数据备份管理
检查措施
a)期货公司提供包括业务数据备份介质管理职责的岗位说明书;
b)检查岗位说明书是否包含相应工作职责;
c)访谈备份介质管理人员,评估其是否掌握介质分类、维护、使用管理和转储相关的制度和操作流程。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供的包括业务数据备份介质管理职责的岗位说明书复印件,作为证明材料。
5.6.2 灾难备份
5.6.2.1 [必须][新增] 应有与生产中心直线距离至少达到100公里且位于不同城市的灾难备份中心,可以接管所有核心业务的运行。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份方案和评审报告
检查措施
a)期货公司提供灾难备份的设计方案和评审报告,并注明灾难备份中心所在城市及其与主生产中心的直线距离;
b)访谈技术部门负责人,了解灾难备份中心的运行情况。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)期货公司灾难备份设计方案的评审报告,加盖公章,作为证明材料。
5.6.2.2 [必须][延续] 灾难备份中心应有满足关键业务功能恢复运作要求的场地和设施。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)访谈技术部门负责人,了解灾难备份中心是否预留满足关键业务功能恢复运作要求的场地和设施;
b)期货公司提供满足关键业务功能恢复运作要求的场地的状况说明,检查是否具有满足放置生产环境的机房的条件;
c)检查期货公司灾难备份中心设计方案,是否具有互联网通信链路、接入交易所的通信链路;是否部署了业务正常运行所需要的交易、结算系统;
d)核查期货公司灾难备份中心的场地和设施情况。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司提供的满足关键业务功能恢复运作要求的场地和设施的状况说明,作为证明材料。
5.6.2.3 [必须][延续] 采用远程数据复制技术,并利用通信网络将关键数据实时复制到灾难备份中心。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)访谈技术部门负责人,了解保障业务关键数据远程复制的具体措施和技术手段;
b)检查远程数据复制系统的设计和部署方案,是否能够实现数据的实时复制。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司数据复制系统运行情况说明,作为证明材料。
5.6.2.4 [必须][延续] 灾难备份中心应配备灾难恢复所需的全部运行环境,并处于就绪状态或运行状态。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)访谈技术部门负责人,了解灾难备份中心的运行状态和切换方法;
b)期货公司提供灾难备份中心运行环境的运行状态的情况说明;
c)检查运行环境各个部件是否都处于就绪状态或运行状态(例如服务器、网络设备处于运行状态,软件已经安装和配置,处于就绪状态)。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司的灾难备份中心运行环境的运行状态的情况说明,作为证明材料。
5.6.2.5 [必须][延续] 灾难备份中心应配备灾难恢复所需的通信链路和网络设备,并处于就绪状态。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)期货公司提供灾难备份中心通信链路和网络设备清单;
b)访谈技术部门负责人,了解灾难备份中心通信链路和网络设备运行情况;
c)检查灾难备份中心网络设计和实施方案;
d)期货公司提供灾难备份中心通信链路和网络设备的运行状态的情况说明;
e)检查通信链路和网络设备是否处于就绪状态。
检查结果
a)灾难备份中心无通信链路接入交易所的,则认为不符合上述a)的检查措施;
b)同时符合上述a)-e)项的检查措施,才达到本检查项的要求;
c)获取加盖了公章的灾备通信链路和网络设备清单,作为证明材料。
5.6.2.6 [必须][延续] 灾难备份中心应在交易和结算时间内有相关技术支持和保障人员。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份中心技术支持人员,灾难备份
检查措施
a)期货公司提供灾难备份中心技术支持的情况说明;
b)访谈技术部门负责人,了解灾难备份中心技术支持人员每日工作内容和排班情况;
c)访谈灾难备份中心技术支持人员,了解其每日工作内容。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司灾难备份中心情况说明,作为证明材料。
5.6.2.7 [必须][延续] 灾难备份中心应有相应的运行维护流程。
检查方式
检查
检查对象
灾难备份
检查措施
a)检查灾难备份中心运行维护制度和流程;
b)检查灾难备份中心运维值班操作记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司灾难备份中心运行维护流程、值班操作记录,作为证明材料。
5.6.2.8 [必须][延续] 应有详细的灾难恢复预案及操作流程,并根据流程每年进行演练。
检查方式
检查
检查对象
灾难备份
检查措施
a)检查期货公司灾难恢复预案和操作流程;
b)检查期货公司一年内的灾难恢复演练记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司灾难恢复演练记录,作为证明材料。
5.6.2.9 [必须][新增] 恢复时间目标(RTO)应<=2小时。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)访谈期货公司技术部门负责人,了解灾难备份中心设计方案以及保障RTO小于等于2小时的具体措施;
b)检查期货公司一年内的灾备演练记录、切换演练的恢复时间是否小于等于2小时。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司灾难备份演练记录,作为证明材料。
5.6.2.10 [必须][新增] 恢复点目标(RPO)应<=10分钟。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)访谈期货公司技术部门负责人,了解灾难备份中心设计方案以及保障RPO小于等于10分钟的具体措施;
b)检查期货公司一年内的灾备演练记录、切换演练时数据丢失时间是否小于等于10分钟。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)期货公司灾难备份演练记录,加盖公章,作为证明材料。
5.6.2.11 [必须][延续] 设计灾难备份中心运行时,处理能力应不低于主系统处理能力的50%。
检查方式
访谈,检查
检查对象
技术部门负责人,灾难备份
检查措施
a)访谈期货公司技术部门负责人,了解灾难备份中心设计方案、主机和网络配置情况;
b)访谈期货公司技术部门负责人,了解主系统处理能力和灾难备份中心的处理能力;
c)检查期货公司灾难备份中心处理能力评估报告或者测试报告。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司灾难备份中心处理能力评估报告或者测试报告,作为证明材料。
5.7 系统维护
5.7.1 变更管理
5.7.1.1 [必须][延续] 应将所有涉及核心系统的软硬件变更纳入变更管理范围。
检查方式
检查
检查对象
变更管理制度
检查措施
a)检查期货公司变更管理制度,是否核心系统的软硬件变更都纳入变更管理范围。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司变更管理制度的相关章节,作为证明材料。
5.7.1.2 [必须][延续] 每次变更前应进行评估。
检查方式
访谈,检查
检查对象
技术部门负责人,变更评估报告
检查措施
a)评估结果应包括风险、变更方案、检验方法、影响通知范围等内容;
b)访谈期货公司技术部门负责人,了解变更前的风险评估流程;
c)期货公司提供一年内变更记录;
d)抽查一年内两次变更记录和相关文档,检查是否在变更前进行评估。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更记录和相关文档,作为证明材料。
5.7.1.3 [必须][延续] 所有变更操作应有操作记录。
检查方式
检查
检查对象
变更管理制度,变更记录
检查措施
a)期货公司提供变更管理制度;
b)检查期货公司变更管理制度,是否包含变更应有操作记录的要求;
c)期货公司提供一年内变更记录;
d)抽查期货公司变更记录,是否包含操作人,操作步骤,操作内容等操作记录。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更记录和相关文档,作为证明材料。
5.7.1.4 [必须][延续] 所有变更应进行事后检查。
检查方式
检查
检查对象
变更管理制度,变更记录
检查措施
a)期货公司提供变更管理制度;
b)检查期货公司变更管理制度,是否包含变更必须进行事后检查的要求;
c)期货公司提供一年内变更记录;
d)抽查期货公司变更操作记录,是否包含事后检查的内容。
检查结果
a)同时符合上述a)-d)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更操作记录复印件,作为证明材料。
5.7.1.5 [必须][延续] 对于风险较大的变更,在条件允许的情况下,应制定应急和回退方案。
检查方式
访谈,检查
检查对象
技术部门负责人,变更管理制度,回退方案
检查措施
a)检查变更管理制度,是否包含制订应急和回退方案的内容;
b)抽查期货公司一年内两次风险较大的变更操作手册和记录,其中应包含应急和回退方案。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司变更操作手册和记录复印件,作为证明材料。
5.7.1.6 [必须][延续] 风险较大的变更,应在变更后对系统的运行情况进行跟踪。
检查方式
访谈,检查
检查对象
技术部门负责人,变更管理制度,值班记录
检查措施
a)访谈技术部门负责人,了解变更前的风险评估流程和变更之后的跟踪机制;
b)抽查期货公司一年内两次风险较大的变更,检查其后的值班记录是否对变更系统进行了跟踪观察。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的值班记录复印件,作为证明材料。
5.7.1.7 [必须][延续] 应及时对变更涉及的系统配置和操作手册进行修改。
检查方式
访谈,检查
检查对象
技术部门负责人,变更管理制度
检查措施
a)访谈技术部门负责人,了解更新系统配置和操作手册的机制;
b)检查变更管理制度,是否包含变更后及时更新系统配置和操作手册的要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司变更管理制度中相关章节,作为证明材料。
5.7.1.8 [必须][延续] 对于风险较大的核心系统变更,在条件允许的情况下,应在上线前进行演练。
检查方式
访谈,检查
检查对象
技术部门负责人,变更演练记录
检查措施
a)访谈技术部门负责人,了解核心系统上线前的演练情况;
b)检查风险较大的核心系统变更,在上线前的演练记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的被抽查的期货公司核心系统变更上线演练记录复印件,作为证明材料。
5.7.1.9 [必须][延续] 应定期进行风险评估,及时发现风险隐患,并予以处理。
检查方式
访谈,检查
检查对象
技术部门负责人,风险评估报告
检查措施
a)访谈技术部门负责人,了解期货公司技术系统风险评估的具体情况;
b)检查期货公司一年内的风险评估报告及处理情况。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的风险评估报告及处理情况,作为证明材料。
5.7.1.10 [必须][延续] 进行与核心系统相关的开发工作时,应避免在生产环境上进行日常测试。
检查方式
访谈
检查对象
技术部门负责人
检查措施
a)期货公司提供核心系统相关开发工作的情况说明;
b)访谈期货公司技术部门负责人,了解期货公司是否进行核心系统的开发工作。如果进行相关开发,是否具有独立的开发或者测试环境。
检查结果
a)如果期货公司不进行核心系统开发,本检查项可判定为满足;
b)同时符合上述a)-b)项的检查措施,才达到本检查项要求;
c)获取加盖了公章的期货公司核心系统相关开发工作的情况说明,作为证明材料。
5.7.1.11 [必须][延续] 如果需要使用生产环境进行测试,应纳入变更管理。
检查方式
访谈
检查对象
技术部门负责人
检查措施
a)期货公司提供是否使用生产环境进行测试及相应的情况说明;
b)访谈期货公司技术部门负责人,使用生产环境进行测试是否纳入变更管理;
c)抽查一次使用生产环境的测试记录和相关文档。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司使用生产环境进行测试的情况说明,作为证明材料。
5.7.2 配置管理
5.7.2.1 [必须][延续] 应具有生产环境设计和部署文档,并根据变更及时更新。
检查方式
检查
检查对象
配置文档
检查措施
a)期货公司提供生产环境设计和部署文档及清单;
b)检查生产环境设计和部署文档,至少有完整的网络拓扑图和应用系统部署方案,应有与网络拓扑图相对应的网络配置表,表中应包含IP地址等主要信息;
c)抽查相关文档是否与当前生产环境相符,包括网络拓扑图、应用系统部署方案、网络配置表等所有文档应及时更新。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司生产环境设计和部署文档清单,作为证明材料。
5.7.2.2 [必须][延续] 应对重要的配置信息进行有效备份。
检查方式
访谈,检查
检查对象
配置管理人员及技术部门负责人,配置文档
检查措施
a)期货公司提供备份配置信息的相关流程,至少包括核心业务系统的操作系统、网络设备、数据库以及应用系统的配置;
b)访谈技术部门负责人和配置管理人员,了解流程执行情况;
c)抽查备份信息是否和生产环境配置吻合。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司配置信息备份的相关流程,作为证明材料。
5.7.2.3 [必须][延续] 应有恢复配置信息的流程。
检查方式
访谈,检查
检查对象
配置管理人员及技术部门负责人,配置恢复流程
检查措施
a)期货公司提供恢复配置信息的相关流程;
b)访谈技术部门负责人和配置管理人员,了解流程执行情况。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司恢复配置信息的相关流程,作为证明材料。
5.7.2.4 [必须][延续] 应对配置信息的恢复进行演练。
检查方式
检查
检查对象
恢复演练记录
检查措施
a)检查期货公司配置信息恢复演练的记录。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司配置信息恢复演练记录复印件,作为证明材料。
5.7.2.5 [必须][延续] 应建立配置管理制度和配置文档库。
检查方式
检查
检查对象
配置管理制度,配置文档
检查措施
a)期货公司提供配置管理制度和文档库设计说明;
b)检查配置文档库真实存在。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司配置管理制度和文档库设计说明,作为证明材料。
5.7.2.6 [必须][延续] 应有专人负责生产环境配置管理。
检查方式
访谈,检查
检查对象
配置管理人员,配置文档
检查措施
a)检查期货公司相关人员岗位说明书是否包括生产环境配置管理的内容;
b)访谈配置管理人员,了解其配置管理的主要工作方法和流程,采用何种措施确保生产环境变更后配置可及时更新。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司包括配置管理职责的岗位说明书,作为证明材料。
5.7.2.7 [必须][新增] 应定期对核心系统进行配置比对,以及时发现配置的变化。
检查方式
访谈,检查
检查对象
配置管理人员,配置比对工具
检查措施
a)访谈配置比对工作机制和原理;
b)检查期货公司核心系统配置基线是否真实存在;
c)检查期货公司近期发现的配置变动记录或报告。
检查结果
a)缺乏自动化工具,完全采用人工进行配置比对,则认为不符合上述检查措施;
b)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
c)期货公司配置变动记录或报告,复印并加盖公章,作为证明材料。
5.7.3 容量管理
5.7.3.1 [必须][延续] 每年应对核心系统的性能和容量情况进行评估。
检查方式
检查
检查对象
容量评估报告
检查措施
a)检查期货公司上一年度核心系统性能和容量情况的评估报告。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司上一年度核心系统性能和容量情况的评估报告复印件,作为证明材料。
5.7.3.2 [必须][延续] 应根据核心系统的性能容量评估报告,结合业务发展情况及时提出改进计划。
检查方式
检查
检查对象
性能和容量改进计划
检查措施
a)检查期货公司是否制定了核心系统性能容量的改进计划;
b)检查改进计划是否符合要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统性能容量改进计划复印件,作为证明材料。
5.7.3.3 [必须][延续] 应及时执行改进计划,并对执行结果进行跟踪和评估。
检查方式
访谈,检查
检查对象
技术部门负责人,容量评估报告
检查措施
a)访谈期货公司是否及时执行了改进计划;
b)检查针对执行结果的跟踪和评估报告。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统性能容量改进评估说明,作为证明材料。
5.7.4 应急演练
5.7.4.1 [必须][延续] 对核心系统的常见故障应有书面的应急预案和排障流程。
检查方式
检查
检查对象
应急预案,排障流程
检查措施
a)检查期货公司核心系统的常见故障应急预案和排障流程。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司核心系统应急预案目录、排障流程清单,作为证明材料。
5.7.4.2 [必须][延续] 应参与交易所等行业相关机构组织的测试和应急演练并有记录。
检查方式
检查
检查对象
测试记录,应急演练记录
检查措施
a)期货公司提供参加交易所等行业相关机构组织的应急演练的情况说明;
b)抽查期货公司参加应急演练的记录或者报告。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司参加交易所等行业相关机构组织的应急演练的情况说明,作为证明材料。
5.7.4.3 [必须][延续] 应根据机构、人员、技术等变化,及时调整应急预案。
检查方式
检查
检查对象
应急预案
检查措施
a)检查期货公司应急预案的历史版本,是否反映了相关变化。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求。
5.7.4.4 [必须][延续] 应有应急演练计划,并定期根据计划进行演练。
检查方式
检查
检查对象
应急演练记录
检查措施
a)应急演练应包含对部分自身应急预案和排障流程的执行;
b)检查期货公司应急演练计划;
c)抽查两年内演练的报告或记录,检查期货公司是否按计划进行了应急演练。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司应急演练计划目录和报告目录,作为证明材料。
5.7.4.5 [必须][延续] 应准备必要工具,以便应急预案的顺利执行。
检查方式
检查
检查对象
应急预案,应急工具
检查措施
a)根据应急预案,抽查其中需要使用的相关应急软、硬件工具是否真实存在。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求。
5.7.5 技术事故管理
5.7.5.1 [必须][延续] 应建立技术事故报告制度和流程。
检查方式
检查
检查对象
事故管理制度
检查措施
a)检查期货公司技术事故报告制度和流程。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术事故报告制度和流程,作为证明材料。
5.7.5.2 [必须][延续] 应保存技术事故的记录。
检查方式
检查
检查对象
事故记录
检查措施
a)期货公司提供一年内技术事故的记录;
b)抽查期货公司技术事故记录,应包括事故时间、现象、处理流程、处理结果、原因、改进措施等。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司技术事故报告复印件,作为证明材料。
5.7.5.3 [必须][延续] 应根据技术事故情况,及时提出改进计划,落实改进措施。
检查方式
访谈,检查
检查对象
技术部门负责人,改进计划
检查措施
a)期货公司提供针对近期技术事故情况的改进计划;
b)访谈技术部门负责人,了解落实改进情况。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司针对近期技术事故情况的改进计划复印件,作为证明材料。
5.8 营业部技术要求
5.8.1 基本要求
5.8.1.1 [必须][延续] 营业部设备区域应是一个单独的房间,用于放置营业部开展业务所需的网络、通信和主机设备。
检查方式
检查
检查对象
营业部设备区域情况说明
检查措施
a)期货公司提供所有营业部的设备区域的情况说明,其中必须包含设备区的照片;
b)检查情况说明,营业部设备区域是否是单独的房间,与其他办公区域进行了有效隔断;
c)检查情况说明,营业部业务所需的网络、通信和主机是否放在设备区域内。
检查结果
a)同时符合上述a)-c)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部的设备区域的情况说明,作为证明材料。
5.8.1.2 [必须][延续] 应确保在交易时间内有技术人员进行技术系统维护工作。
检查方式
检查
检查对象
营业部交易期间技术人员值守情况说明
检查措施
a)期货公司提供所有营业部交易期间技术人员值守情况说明,包括技术人员的联系方式(固定电话号码、移动电话号码);
b)检查情况说明中的交易时间内的系统维护工作。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部交易期间值守情况说明,作为证明材料。
5.8.1.3 [必须][延续] 应有与当前运行情况相符的业务系统结构文档。
检查方式
检查
检查对象
业务系统结构文档
检查措施
a)检查期货公司提供的所有营业部为业务开展提供支持的信息系统的结构文档,应包括系统组成、网络拓扑等。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部业务系统结构文档,作为证明材料。
5.8.1.4 [必须][延续] 应配备防火墙或相当的安全防护设备。
检查方式
检查
检查对象
安全防护设备情况说明
检查措施
a)检查期货公司提供的所有营业部的安全防护设备情况说明。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司所有营业部安全防护设备情况说明,作为证明材料。
5.8.1.5 [必须][延续] 应建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。
检查方式
检查
检查对象
补丁管理制度、测试和升级记录
检查措施
a)检查期货公司提供的营业部补丁管理制度和流程;
b)抽查营业部核心系统依赖的系统软件的测试和升级记录。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部补丁管理制度和流程,作为证明材料。
5.8.1.6 [必须][延续] 应对使用Windows平台的计算机部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。
检查方式
检查
检查对象
营业部的防病毒管理流程和制度
检查措施
a)期货公司提供营业部的防病毒管理的相关流程和制度;
b)检查防病毒管理的相关流程和制度,是否能够进行全面检查,是否能保障病毒库的及时更新。
检查结果
a)同时符合上述a)-b)的所有检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的防病毒管理流程和制度,作为证明材料。
5.8.1.7 [必须][延续] 应建立有效机制,保障总部了解各个营业部的运行情况。
检查方式
检查
检查对象
营业部运行情况报告
检查措施
a)期货公司提供一年内所有营业部向总部提交的运行情况报告,频度应不低于每月一次;
b)抽查至少2次运行报告,时间间隔不小于两个月。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的抽查的期货公司营业部2次运行报告,作为证明材料。
5.8.1.8 [必须][延续] 应有总部和信息技术服务提供商的准确联系方式。
检查方式
检查
检查对象
营业部联系方式表
检查措施
a)检查期货公司的所有营业部联系方式表,是否包括总部和信息技术服务提供商的联系方式;
b)抽查信息技术服务提供商的联系方式。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部联系方式表,作为证明材料。
5.8.2 交易保障
5.8.2.1 [必须][延续] 营业部应为设备区域配备UPS和空调。
检查方式
检查
检查对象
营业部UPS、空调情况说明
检查措施
a)检查期货公司提供的所有营业部配备UPS和空调的情况说明。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的UPS和空调的情况说明,作为证明材料。
5.8.2.2 [必须][延续] 营业部应有至少两条交易通信链路。
检查方式
检查
检查对象
营业部交易通信链路情况说明
检查措施
a)期货公司提供所有营业部的交易通信链路情况说明;
b)抽查链路情况说明,查看营业部是否提供两条交易通信链路。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的交易通信链路情况说明,作为证明材料。
5.8.2.3 [必须][延续] 营业部关键设备应有冗余。
检查方式
检查
检查对象
营业部关键设备情况说明
检查措施
a)期货公司提供所有营业部的关键设备情况说明,应包括服务器、网络设备、安全防护设备等;
b)抽查设备情况说明,查看关键设备是否达到冗余要求。
检查结果
a)同时符合上述a)-b)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部的关键设备情况说明,作为证明材料。
5.8.2.4 [必须][延续] 营业部应对设备容量、交易通信链路进行监控,及时进行必要的升级。
检查方式
检查
检查对象
营业部监控措施说明和升级记录
检查措施
a)检查期货公司提供的所有营业部的设备容量、交易通信链路监控措施说明和升级记录。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部设备容量和交易通信的链路监控措施说明和升级记录,作为证明材料。
5.8.2.5 [必须][延续] 营业部应有有效的日常运行流程和应急处理流程,并进行适当的演练。
检查方式
检查
检查对象
营业部日常运行流程,应急处理流程,演练记录
检查措施
a)检查期货公司提供的所有营业部的日常运行流程、应急处理流程和一年内的演练记录。
检查结果
a)符合上述a)项的检查措施,才达到本检查项的要求;
b)获取加盖了公章的期货公司营业部日常运行流程、应急处理流程和演练记录,作为证明材料。 | 
