JRT 0099-2012 证券期货业信息系统运维管理规范

ICS03.060A11备案号中华人民共和国金融行业标准JR/T0099—2012证券期货业信息系统运维管理规范Informationsystemoperationandmaintenancemanagementspecificationforsecuritiesandfuturesindustry2013-1-31发布2013-1-31实施中国证券监督管理委员会发布JR/T0099—2012I目次前言................................................................................II1范围..............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14基本要求...........................................................................44.1运维组织.......................................................................44.2经费管理.......................................................................44.3制度和流程管理.................................................................44.4文档管理.......................................................................44.5设备和软件管理.................................................................44.6供应商管理.....................................................................54.7关联单位关系管理...............................................................54.8督促检查.......................................................................55运行保障...........................................................................65.1值班管理.......................................................................65.2日常操作.......................................................................65.3监控分析.......................................................................65.4数据与介质管理.................................................................75.5机房管理.......................................................................85.6网络与系统管理.................................................................95.7安全管理......................................................................105.8事件与问题管理................................................................106系统维护..........................................................................116.1交付管理......................................................................116.2系统测试......................................................................116.3系统变更......................................................................116.4配置管理......................................................................127应急管理..........................................................................127.1应急准备......................................................................127.2应急处置......................................................................147.3调查处理......................................................................14参考文献............................................................................15JR/T0099—2012II前言本标准依据GB/T1.1-2009给出的规则起草。本标准由全国金融标准化技术委员会提出并归口。本标准起草单位：中国证监会信息中心、上海证券交易所、深圳证券交易所、上海期货交易所、中国金融期货交易所、中信建投证券股份有限公司、国泰君安证券股份有限公司、海通证券股份有限公司、长城证券有限责任公司、兴业证券股份有限公司、南方基金管理有限公司。本标准主要起草人：张野、罗凯、严少辉、黎峰、马晨、赵亮、张斗刚、支晓繁、杨威、戴晖、肖钢、黄韦、王洪涛、兰朝晖、王伟强、葛峰、张引。JR/T0099—20121证券期货行业信息系统运维管理规范1范围本标准规定了证券期货业信息系统运维管理工作的要求。本标准适用于证券期货机构，包括：承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构（以下简称核心机构），以及证券公司、基金管理公司、期货公司、证券期货服务机构等证券期货经营机构（以下简称经营机构）。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20269—2006信息安全技术信息系统安全管理要求GB/T22080—2008信息技术安全技术信息安全管理体系要求GB/T24405.1—2009信息技术服务管理第1部分规范ISO31000:2009风险管理原则和指南（Riskmanagement--Principlesandguidelines）3术语和定义下列术语和定义适用于本文件。3.1交易业务系统tradingbusinesssystem承载证券期货交易、结算相关的各类业务系统。按照其重要性，交易业务系统可分为核心交易业务系统和非核心交易业务系统。3.2核心交易业务系统coretradingbusinesssystem承载面向客户和对外服务的最基本、最核心交易业务的系统。注：这类业务对运维保障的要求很高，一旦出现中断，将直接影响证券期货市场。如：证券公司的集中交易系统、网上交易系统、银证（第三方存管）系统、结算系统、行情系统、融资融券系统等；期货公司的集中交易系统、网上交易系统、银期转账系统、结算系统、行情系统、风控系统等；基金管理公司的注册登记系统、基金估值系统、直销与网上交易系统、投资交易系统等。3.3非核心交易业务系统non-coretradingbusinesssystem承载除核心交易业务外与交易业务有数据交换的其他业务的系统。JR/T0099—20122注：这类业务重要性相对较低，一旦出现中断，可能间接或不一定影响证券期货市场。如：稽核系统、呼叫中心系统、客户关系管理系统、证券公司的风控系统等。3.4交易业务网tradingbusinessnetwork承载交易业务系统的计算机网络统称交易业务网，承载核心交易业务系统的计算机网络统称核心交易业务网，承载非核心交易业务系统的计算机网络统称非核心交易业务网。3.5生产环境productionenvironment支持日常业务活动的基础设施、网络、主机、存储、数据库及应用等。3.6在线数据onlinedata在生产环境中使用的所有数据。3.7离线数据offlinedata脱离生产环境用于存储备份的所有数据。3.8事件incident不属于某项服务的标准操作，导致或可能导致服务中断或服务质量降低的任一事态。[GB/T24405.1—2009，定义2.7]3.9问题problem一个或多个事件的未知的潜在原因。[GB/T24405.1—2009，定义2.8]3.10交付delivery负责规划、安排、控制发布的构建、测试和部署，以及在保护现有服务完整性的同时，提供业务所需新功能的流程。3.11关键岗位keypositionJR/T0099—20123负责交易业务系统运行维护的机房管理员、系统管理员、网络管理员、数据库管理员、安全管理员等岗位。3.12配置项configurationitem处于或将处于配置管理之下的基础设施部件或项。[GB/T24405.1-2009，定义2.4]注：配置项在复杂性、规模和类型方面变化可能很大，配置项可以是整个系统包括所有的硬件、软件和文档，也可以是单个模块或很小的硬件部件。3.13风险risk对目标不确定性的影响。[ISO31000:2009，定义2.1]3.14技术风险technicalrisk因信息技术发展、信息系统变更、人员操作失误等导致的风险。3.15业务风险businessrisk因流程变化、业务发展、市场环境改变等导致的风险。3.16信息安全事态informationsecurityevent信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。[GB/T22080-2008，定义3.5]3.17网络与信息安全事件networkandinformationsecurityincident网络与信息安全事件是突发事件的一种，也被称为信息安全事件,一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大可能性。注：改写GB/T22080-2008，定义3.6。3.18敏感性sensitivity表征资源价值或重要性的特征，也可能包含这一