第三章 系統(tǒng)運維
第十三條 會員系統(tǒng)應(yīng)達(dá)到以下安全要求:
一、 建立健全安全體系,遵循技術(shù)保護(hù)方式和管理保護(hù)方式相結(jié)合的原則;
二、利用成熟的網(wǎng)絡(luò)安全技術(shù),防止非法訪問、攻擊和破壞計算機(jī)網(wǎng)絡(luò)等活動;
三、所有可配置的網(wǎng)絡(luò)設(shè)備按最小安全訪問原則設(shè)置訪
問控制權(quán)限,關(guān)閉不必要的端口及服務(wù),妥善保管和定期更換網(wǎng)絡(luò)設(shè)備的訪問口令;
四、對于來自互聯(lián)網(wǎng)的訪問采用可靠的身份認(rèn)證、訪問控制和安全審計措施,防止非法接入和非法訪問;
五、做好計算機(jī)病毒防范工作,統(tǒng)一組織和實施網(wǎng)絡(luò)的計算機(jī)病毒防范工作。
第十四條 應(yīng)定期備份業(yè)務(wù)系統(tǒng)的信息,重要服務(wù)器和網(wǎng)絡(luò)設(shè)備的配置應(yīng)有備份,對備份介質(zhì)應(yīng)定期測試,對恢復(fù)步驟應(yīng)進(jìn)行演練。
第十五條 應(yīng)建立密碼管理措施,規(guī)定密碼的強度和安全使用方法。
第十六條 應(yīng)建立業(yè)務(wù)系統(tǒng)運營管理組織,負(fù)責(zé)業(yè)務(wù)系統(tǒng)的運行和管理。
第十七條 技術(shù)運維人員應(yīng)至少達(dá)到三人,負(fù)責(zé)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、應(yīng)用等日常管理工作。應(yīng)保證交易結(jié)算期間有值班人員監(jiān)控業(yè)務(wù)系統(tǒng)的運行以及與交易所的應(yīng)急聯(lián)系。
第十八條 應(yīng)設(shè)至少一名技術(shù)聯(lián)絡(luò)人,負(fù)責(zé)組織、協(xié)調(diào)和處理與交易所及相關(guān)系統(tǒng)的各項技術(shù)事宜。
第十九條 會員業(yè)務(wù)系統(tǒng)在日常運行管理方面應(yīng)達(dá)到以下要求:
一、制訂日常操作流程,關(guān)鍵操作應(yīng)建立復(fù)核機(jī)制,建立操作日志,并及時備份參數(shù)文件;
二、制訂故障處理流程,建立故障日志;
三、制訂值班工作制度,建立值班日志;
四、制訂變更流程,控制生產(chǎn)環(huán)境的變更;
五、運維崗位的描述應(yīng)明確清晰,應(yīng)建立重要崗位的雙
人、雙職、雙責(zé)制,并加強對單人單崗的監(jiān)控。
第二十條 應(yīng)建立系統(tǒng)測試操作流程,規(guī)定測試工作的計劃、實施及總結(jié)。對于在生產(chǎn)系統(tǒng)上進(jìn)行的測試工作,必須制訂系統(tǒng)及數(shù)據(jù)備份、測試環(huán)境搭建、測試后系統(tǒng)及數(shù)據(jù)恢復(fù)、恢復(fù)后檢查等計劃。
第四章 事故管理
第二十一條 會員應(yīng)建立信息安全事故報告機(jī)制,一旦發(fā)現(xiàn)影響業(yè)務(wù)系統(tǒng)的信息安全事故,應(yīng)及時聯(lián)系相關(guān)方解決,并報告交易所。
第二十二條 會員應(yīng)建立信息安全事故分級、預(yù)警、跟蹤、處理、總結(jié)等機(jī)制,并定期進(jìn)行演練。
第二十三條 會員在信息安全事故發(fā)生時應(yīng)注意收集相關(guān)信息,以便于進(jìn)行事件追查和問題分析。
第二十四條 會員應(yīng)制訂應(yīng)急預(yù)案,用以處理業(yè)務(wù)系統(tǒng)重大技術(shù)故障。應(yīng)急預(yù)案應(yīng)規(guī)定應(yīng)急處置措施、職責(zé)分工、處理流程和保障機(jī)制。
第二十五條 會員應(yīng)建立內(nèi)部責(zé)任機(jī)制,堅持安全事故問責(zé)制度。
|