证券期货业信息系统运维管理规范.docx

资源描述

证券期货业信息系统运维管理规范.docx

《证券期货业信息系统运维管理规范.docx》由会员分享，可在线阅读，更多相关《证券期货业信息系统运维管理规范.docx（28页珍藏版）》请在冰豆网上搜索。

证券期货业信息系统运维管理规范.docx

证券期货业信息系统运维管理规范

ICS03.060

A11

备案号

JR中华人民共和国金融行业标准

JR/T0099—2012

证券期货业信息系统运维管理规范Informationsystemoperationandmaintenancemanagementspecificationfor

securitiesandfuturesindustry

2013-1-31发布2013-1-31实施

发布中国证券监督管理委员会

JR/T0099—2012

前言................................................................................II1范围..............................................................................12规范性引用文件....................................................................13术语和定义........................................................................14基本要求..........................................................................44.1运维组织......................................................................44.2经费管理......................................................................44.3制度和流程管理................................................................44.4文档管理......................................................................44.5设备和软件管理................................................................44.6供应商管理....................................................................54.7关联单位关系管理..............................................................54.8督促检查......................................................................55运行保障..........................................................................65.1值班管理......................................................................65.2日常操作......................................................................65.3监控分析......................................................................65.4数据与介质管理................................................................75.5机房管理......................................................................85.6网络与系统管理................................................................95.7安全管理.....................................................................105.8事件与问题管理...............................................................106系统维护.........................................................................116.1交付管理.....................................................................116.2系统测试.....................................................................116.3系统变更.....................................................................116.4配置管理.....................................................................127应急管理.........................................................................127.1应急准备.....................................................................127.2应急处置.....................................................................147.3调查处理.....................................................................14参考文献............................................................................15

JR/T0099—2012

前言

本标准依据GB/T1.1-2009给出的规则起草。

本标准由全国金融标准化技术委员会提出并归口。

本标准起草单位:

中国证监会信息中心、上海证券交易所、深圳证券交易所、上海期货交易所、中国金融期货交易所、中信建投证券股份有限公司、国泰君安证券股份有限公司、海通证券股份有限公司、长城证券有限责任公司、兴业证券股份有限公司、南方基金管理有限公司。

本标准主要起草人:

张野、罗凯、严少辉、黎峰、马晨、赵亮、张斗刚、支晓繁、杨威、戴晖、肖钢、黄韦、王洪涛、兰朝晖、王伟强、葛峰、张引。

JR/T0099—2012

证券期货行业信息系统运维管理规范

1范围

本标准规定了证券期货业信息系统运维管理工作的要求。

本标准适用于证券期货机构，包括:

承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构（以下简称核心机构），以及证券公司、基金管理公司、期货公司、证券期货服务机构等证券期货经营机构（以下简称经营机构）。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅所注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20269—2006信息安全技术信息系统安全管理要求

GB/T22080—2008信息技术安全技术信息安全管理体系要求

GB/T24405.1—2009信息技术服务管理第1部分规范

ISO31000:

2009风险管理原则和指南（Riskmanagement--Principlesandguidelines）3术语和定义

下列术语和定义适用于本文件。

3.1

交易业务系统tradingbusinesssystem

承载证券期货交易、结算相关的各类业务系统。

按照其重要性，交易业务系统可分为核心交易业务系统和非核心交易业务系统。

3.2

核心交易业务系统coretradingbusinesssystem

承载面向客户和对外服务的最基本、最核心交易业务的系统。

注:

这类业务对运维保障的要求很高，一旦出现中断，将直接影响证券期货市场。

如:

证券公司的集中交易系统、

网上交易系统、银证（第三方存管）系统、结算系统、行情系统、融资融券系统等;期货公司的集中交易系统、

网上交易系统、银期转账系统、结算系统、行情系统、风控系统等;基金管理公司的注册登记系统、基金估值

系统、直销与网上交易系统、投资交易系统等。

3.3

非核心交易业务系统non-coretradingbusinesssystem

承载除核心交易业务外与交易业务有数据交换的其他业务的系统。

JR/T0099—2012

注:

这类业务重要性相对较低，一旦出现中断，可能间接或不一定影响证券期货市场。

如:

稽核系统、呼叫中心系

统、客户关系管理系统、证券公司的风控系统等。

3.4

交易业务网tradingbusinessnetwork

承载交易业务系统的计算机网络统称交易业务网，承载核心交易业务系统的计算机网络统称核心交

易业务网，承载非核心交易业务系统的计算机网络统称非核心交易业务网。

3.5

生产环境productionenvironment

支持日常业务活动的基础设施、网络、主机、存储、数据库及应用等。

3.6

在线数据onlinedata

在生产环境中使用的所有数据。

3.7

离线数据offlinedata

脱离生产环境用于存储备份的所有数据。

3.8

事件incident

不属于某项服务的标准操作，导致或可能导致服务中断或服务质量降低的任一事态。

[GB/T24405.1—2009，定义2.7]

3.9

问题problem

一个或多个事件的未知的潜在原因。

[GB/T24405.1—2009，定义2.8]

3.10

交付delivery

负责规划、安排、控制发布的构建、测试和部署，以及在保护现有服务完整性的同时，提供业务所

需新功能的流程。

3.11

关键岗位keyposition

JR/T0099—2012

负责交易业务系统运行维护的机房管理员、系统管理员、网络管理员、数据库管理员、安全管理员等岗位。

3.12

配置项configurationitem

处于或将处于配置管理之下的基础设施部件或项。

[GB/T24405.1-2009，定义2.4]

注:

配置项在复杂性、规模和类型方面变化可能很大，配置项可以是整个系统包括所有的硬件、软件和文档，也可

以是单个模块或很小的硬件部件。

3.13

风险risk

对目标不确定性的影响。

[ISO31000:

2009，定义2.1]

3.14

技术风险technicalrisk

因信息技术发展、信息系统变更、人员操作失误等导致的风险。

3.15

业务风险businessrisk

因流程变化、业务发展、市场环境改变等导致的风险。

3.16

信息安全事态informationsecurityevent

信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。

[GB/T22080-2008，定义3.5]

3.17

网络与信息安全事件networkandinformationsecurityincident

网络与信息安全事件是突发事件的一种，也被称为信息安全事件,一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大可能性。

注:

改写GB/T22080-2008，定义3.6。

3.18

敏感性sensitivity

表征资源价值或重要性的特征，也可能包含这一资源的脆弱性。

[GB/T20269—2006，定义3.6]

JR/T0099—2012

4基本要求

4.1运维组织

4.1.1证券期货机构应设立信息系统运维组织，负责信息系统的运行维护工作。

4.1.2证券期货机构应任命运维组织负责人，负责组织、协调、管理信息系统的运行维护工作。

4.1.3证券期货机构应合理设置运维岗位，规定岗位职责及技能要求，并符合如下要求:

a）运维岗位应至少包括机房管理员、网络管理员、系统管理员、数据库管理员、安全管理员等关

键岗位，并设置主备岗;

b）关键岗位应进行分离，兼岗时应满足岗位相互制约的要求。

4.1.4证券期货机构应配备足够的运维人员。

运维人员应具备一定的计算机基础理论知识和专业技术经验。

经营机构运维人员应具有相应的从业资格。

4.1.5证券期货机构应与运维人员签署保密协议，保密协议应至少包括保密范围、保密期限等内容。

4.1.6证券期货机构应制定年度培训计划，对运维人员进行必要的技术、业务、安全等培训，并留存培训记录。

4.2经费管理

4.2.1证券期货机构应制定信息系统运行维护年度预算计划，每年进行核算。

预算和核算应接受监督和审计。

4.2.2证券期货机构应将信息系统运行维护的各项费用纳入预算管理。

费用至少应包括:

机房物理环境、信息系统软硬件、网络与通信设施的使用费和维修费，以及应急保障费用、技术服务费用、人员培训费用等。

4.3制度和流程管理

4.3.1证券期货机构应制定覆盖运维工作各个环节的、体系化的运维管理制度和操作流程。

运维管理制度应包括但不限于:

机房管理、网络与系统管理、数据和介质管理、交付管理、测试管理、配置管理、安全管理、值班管理、监控管理、文档管理、设备和软件管理、供应商管理、关联单位关系管理、检查审计等制度。

运维操作流程应包括但不限于日常操作、事件处理、问题处理、系统变更、应急处置等流程。

4.3.2证券期货机构应建立运维管理制度和操作流程的制定、发布、维护和更新的机制。

至少每年一次评审、修订运维管理制度和操作流程。

4.4文档管理

4.4.1证券期货机构应建立文档管理制度，对文档的分类、命名规则、编写人、审批人、版本、敏感性标识、发布时间、存放方式、修订记录、废止等做出规定。

4.4.2证券期货机构应明确文档管理的责任人。

4.4.3证券期货机构应对运维过程中涉及的各类文档进行分类管理，可按照制度文档、技术文档、合同文档、审批记录、日志记录等进行分类，并统一存放。

4.4.4证券期货机构应规范文档的发布管理，对文档的版本应当进行控制。

文档应标识敏感性、使用范围、使用权限、审批权限等。

文档在使用时应能读取、使用最新版本，防止作废文件的逾期使用。

4.4.5证券期货机构对超范围、超权限使用文档时应保存相关审批、使用记录。

4.5设备和软件管理

JR/T0099—20124.5.1证券期货机构应建立计算机相关设备和软件管理制度，对设备和软件的验证性测试、出入库、安装、盘点、维修（升级）、报废等进行规范。

4.5.2证券期货机构应明确设备和软件管理责任人。

4.5.3证券期货机构应在设备和软件投入使用前进行必要的验证性测试，并保留测试记录。

4.5.4证券期货机构应编制信息系统设备清单，主要包括设备名称、设备编号、入库时间、设备主要参数、设备序列号、设备状态、设备保修期、设备位置、设备用途和设备使用责任人等内容，并保留设备启用、转移、维修、报废等过程的记录。

4.5.5证券期货机构应使用正版软件并保存软件授权证书和许可协议，应编制软件清单，主要包括软件名称、软件编号、入库时间、软件版本，授权和许可情况、软件序列号、软件状态、软件维护期、软件安装设备、用途和使用责任人等内容，并保留软件启用、转移、升级、报废等过程的记录。

4.5.6证券期货机构应对设备进行标识，标识应放在设备明显位置。

4.5.7证券期货机构应规定设备和软件的使用年限，定期进行盘点，并对设备状态进行评估和更新。

4.5.8证券期货机构应对外送设备的维修进行严格管理，防止数据泄露。

4.5.9证券期货机构应对拟下线和拟报废设备的存储介质中的全部信息进行清除或销毁。

对正式下线设备和软件交指定部门统一管理、保存或处置，并保留相应记录。

设备和软件报废应符合资产管理规定。

4.6供应商管理

4.6.1证券期货机构应建立供应商管理制度，对供应商支持运维服务的相关活动进行统一管理。

4.6.2证券期货机构应在与供应商签订的合同中明确其应承担的责任、义务，并约定服务要求和范围等内容。

4.6.3证券期货机构应与供应商签署保密协议，不得泄露所服务机构的保密信息，并要求供应商签署承诺书，承诺产品不存在恶意代码或未授权的功能，不提供违反我国法律法规的功能模块，并符合证券期货行业有关技术规范和技术指引。

4.6.4证券期货机构应在涉及证券期货交易、行情、开户、结算等软件产品或技术服务的采购合同中，明确供应商应接受证券期货行业监管部门的信息安全延伸检查。

4.6.5证券期货机构应定期收集、更新供应商信息，组织对供应商的服务质量、合同履行情况、人员工作情况等内容进行评价，形成评价报告，并跟踪和记录供应商改进情况。

4.6.6证券期货机构应加强运维外包服务管理，主要包括:

a）与外包公司及外包人员签订保密协议;

b）明确外包公司应当承担的责任及追究方式;

c）明确界定外包人员的工作职责、活动范围、操作权限;

d）对外包人员工作情况进行监督和检查，并保留相应记录;

e）对驻场外包人员的入场和离场进行管理;

f）定期评估外包的服务质量;

g）制定外包服务意外终止的应急措施。

4.7关联单位关系管理

4.7.1证券期货机构应建立关联单位联系制度。

关联单位包括证券期货行业监管部门、协会，当地政府部门，公安机关，交易所等市场核心机构，其他证券期货经营机构，银行机构，电力和通信设施保障机构，软硬件供应商，技术服务商和物业公司等。

4.7.2证券期货机构应建立关联单位联系表，表的内容至少包括单位名称、业务事项、联系人、联系方式、备注等，并及时更新。

JR/T0099—2012

4.8督促检查

4.8.1证券期货机构应建立检查审计制度，对运维制度的执行情况和运维工作开展情况定期进行检查和审计，以督促运维工作持续改进。

4.8.2证券期货机构应指定人员负责对日常操作执行情况进行每日检查，确保运维管理制度和操作流程有效执行。

4.8.3证券期货机构应每季组织开展内部检查，形成检查报告。

4.8.4证券期货机构应在每年审计工作中包含信息系统运维管理工作审计项目，并形成审计报告。

4.8.5检查和审计范围至少包括对运维管理制度和操作流程的合理性和完整性进行评估，对运维管理制度和操作流程的执行情况进行评估，对文档、配置、数据的有效性进行评估，对整体安全状况进行评估，对运维人员履职能力进行评估等。

4.8.6证券期货机构应对检查和审计的结果采取纠正性和预防性的措施。

5运行保障

5.1运维值班管理

5.1.1证券期货机构应建立运维值班管理制度，对日常操作、监控管理、事件处理、问题处理、数据和介质管理、机房管理、安全管理、应急处置进行规范。

5.1.2证券期货机构应指定运维值班负责人。

运维值班负责人负责日常操作的部署、检查、风险控制、业务衔接等工作。

运维值班负责人应有备岗。

主备岗不得同时离岗。

5.1.3证券期货机构应制定运维值班安排表，可根据实际情况实施倒班制度。

在值班期间值班人员不得擅离岗位。

5.1.4证券期货机构应制定交接班流程，并严格执行，留存记录。

5.1.5证券期货机构应设置运维值班电话，并保持畅通。

5.2日常操作

5.2.1证券期货机构应制定操作手册。

操作手册的内容应至少包括信息系统日常运行操作的各个环节。

针对各个操作环节制定操作规程。

5.2.2交易业务系统的操作规程应至少包括操作的对象、时间、步骤、指令、操作要点、复核要点、操作人、复核人等基本要素。

5.2.3证券期货机构应严格按照操作手册执行运维操作，对交易业务系统的操作过程应进行记录留痕，记录的保存时间不少于一年。

5.2.4特殊操作、临时操作应经批准后方可双岗执行。

操作过程应进行记录留痕，记录的保存时间不少于一年。

5.2.5证券期货机构应依据业务、信息系统的变化对操作手册及规程进行及时修订，经审批通过后遵照执行。

5.2.6证券期货机构应对核心交易业务系统设置独立的操作和监控环境，并与开发、测试等其他操作环境严格分离。

5.3监控分析

JR/T0099—20125.3.1证券期货机构应采取监控措施，配备监控和报警工具，对影响信息系统正常运行的关键对象，包括机房环境、网络、通信线路、主机、存储、数据库、核心交易业务相关的应用系统、安全设备等进行监控。

报警方式可包括声光、电话、短信、邮件等。

5.3.2证券期货机构应采取人工值守和自动化工具相结合的方式，对交易业务系统进行24小时监控。

交易时段应指定人员对交易业务系统进行监控，交易时段以外如无法做到人工监控，应开启自动监控系统和自动报警系统。

5.3.3证券期货机构应建立辅助的人工巡检制度，规定巡检内容、频度、人员等。

巡检内容应覆盖电力、空调、消防、安防等机房设施，主机、网络、通信、安全等设备的运行状况。

巡检结果应及时记录，如遇异常应及时处理，并按规定要求进行报告。

5.3.4证券期货机构应正确设置自动化监控工具的预警阈值，并定期进行检查和评估。

5.3.5主要监控指标具体如下:

a）机房:

电力状态、空调运行状态、消防设施状态、温湿度、漏水、人员及设备进出等;

b）网络与通信:

设备运行状态、中央处理器使用率、通信连接状态、网络流量、核心节点间网络

延时、丢包率等;

c）主机:

设备运行状态、中央处理器使用率、内存利用率、磁盘空间利用率、通信端口状态等;

d）存储:

设备运行状态、数据交换延时、存储电池状态等;

e）安全设备:

设备运行状态、中央处理器使用率、内存利用率、端口状态、数据流量、并发连接

数、安全事件记录情况等;

f）数据库:

日志信息、表空间使用率、连接数等;

g）核心交易业务相关的应用系统:

进程的活动状态、日志信息、中央处理器使用率、内存利用率、

并发线程数量、并发

展开阅读全文