《證券期貨業信息系統託管基本要求》是中國證券監督管理委員會2016年1月13日發布和實施的一項金融行業標準。
基本介紹
- 中文名:證券期貨業信息系統託管基本要求
- 外文名:Basic requirements of information system colocation for securities and futures industry
- 頒布時間:2016年1月13日
- 實施時間:2016年1月13日
- 發布單位:中國證券監督管理委員會
- 標準號:JR/T 0133-2015
- 制修訂:制定
- 中國標準分類號:A11
- 國際標準分類號:03.060
- 行業分類:金融業
- 標準類別:通用
全文,目次,前言,1 範圍,2 規範性引用檔案,3 術語和定義,4 總體說明,5 二級系統受託方要求,6 三級系統受託方要求,7 三+級系統受託方要求,內容解讀,
全文
中華人民共和國金融行業標準
JR/T 0133—2015
證券期貨業信息系統託管基本要求
Basic requirements of information system colocationfor securities and futures industry
2016- 01 - 13 發布
2016- 01 - 13 實施
中國證券監督管理委員會 發布
目次
前 言 ............................................................................. III
1 範圍 .............................................................................. 1
2 規範性引用檔案 .................................................................... 1
3 術語和定義 ........................................................................ 1
4 總體說明 .......................................................................... 2
4.1 託管系統 ...................................................................... 2
4.2 託管系統分級 .................................................................. 2
4.3 託管服務類型 .................................................................. 2
4.4 託管要求 ...................................................................... 2
5 二級系統受託方要求 ................................................................ 3
5.1 機櫃租賃(A2B1) .............................................................. 3
5.2 機房租賃(A2B2) .............................................................. 4
5.3 基礎資源租賃(A2B3) .......................................................... 5
5.4 整體外包(A2B4) .............................................................. 7
6 三級系統受託方要求 ................................................................ 8
6.1 機櫃租賃(A3B1) .............................................................. 8
6.2 機房租賃(A3B2) .............................................................. 9
6.3 基礎資源租賃(A3B3) ......................................................... 10
6.4 整體外包(A3B4) ............................................................. 12
7 三+級系統受託方要求 .............................................................. 13
7.1 機櫃租賃(A3+B1) ............................................................ 14
7.2 機房租賃(A3+B2) ............................................................ 15
7.3 基礎資源租賃(A3+B3) ........................................................ 16
7.4 整體外包(A3+B4) ............................................................ 18
前言
本標準依據 GB/T 1.1-2009 給出的規則起草。本標準由全國金融標準化技術委員會(SAC/TC180)提出並歸口。
本標準起草單位:中國證監會信息中心、中國期貨業協會、中國證券業協會、中國證券登記結算有限責任公司北京數據技術分公司、上海證券通信有限責任公司、深圳證券通信有限公司、上海期貨信息技術有限公司、大連飛創信息技術有限公司、鄭州易盛信息技術有限公司、上海金融期貨信息技術有限公司、國泰君安證券股份有限公司、中國銀河證券股份有限公司、首創證券有限責任公司、博時基金管理有限公司、華夏基金管理有限公司、中信建投期貨有限公司、中證期貨有限公司、摩根大通期貨有限公司。
本標準主要起草人:張野、羅凱、劉鐵斌、汪萌、路一、魏明、劉雲清、張超、崔朝、陳銘、陳閩桂、吳寧、祁剛、朱家根、郭建生、鄭俊廣、胥海濤、顏夢、趙明、楊威、吳捷、姜雲安、俞楓、唐沛來、袁維舉、王侃侃、石亞晨、劉稚雅、林琦、張曉勇、黃海康、邵劍秋、姜學紅、馬衛華、魏利明、王曦、劉天羽、侯雪峰。
1 範圍
本標準規定了證券期貨業信息系統託管的基本要求。本標準適用於在監管規定範圍內使用託管服務的證券期貨機構和為證券期貨機構提供託管服務的證券期貨市場核心機構及其下屬機構。
2 規範性引用檔案
下列檔案對於本檔案的套用是必不可少的。凡是注日期的引用檔案,僅所注日期的版本適用於本檔案。凡是不注日期的引用檔案,其最新版本(包括所有的修改單)適用於本檔案。
GB 50174 電子信息系統機房設計規範
GB 50348 安全防範工程技術規範
JR/T 0059 證券期貨經營機構信息系統備份能力標準
JR/T 0060 證券期貨業信息系統安全等級保護基本要求(試行)
JR/T 0099 證券期貨業信息系統運維管理規範
GB/T 24405.1 信息技術 服務管理 第1部分:規範
GB/T 24405.2 信息技術 服務管理 第2部分:實踐規則
GB/T 22080 信息技術 安全技術 信息安全管理體系 要求
GB/T 23359 框架式低壓機櫃
GB/T 22690 數據通信設備通用機械結構 機櫃和插箱
3 術語和定義
下列術語和定義適用於本檔案。
3.1 託管 colocation
委託其他機構對信息系統進行管理,即租用其他機構提供的物理空間、基礎設施、網路通信設施、軟硬體設備、運維服務等資源,放置、建立、管理、維護自身信息系統。
3.2 委託方 clients
託管服務的使用者。
3.3 受託方 assignee
託管服務的提供者。
3.4 證券期貨機構 securities and futures institutions
包括承擔證券期貨市場公共職能的機構、承擔證劵期貨行業信息技術公共基礎設施運營的機構等證券期貨市場核心機構及其下屬機構,以及證券公司、基金管理公司、期貨公司、證券期貨服務機構等證券期貨經營機構。
4 總體說明
4.1 託管系統
可進行託管的系統包括證券期貨機構承載證券期貨交易、結算相關的各類業務系統(包括承載面向客戶和對外服務的最基本、最核心交易業務的系統,以及承載除核心交易業務外與交易業務有數據交換的其他業務的系統)和非業務系統。
4.2 託管系統分級
託管系統按照重要性分為二級、三級、三+級共 3 個級別,其中三+為最高級別。 證券期貨機構在進行託管時,應當按照機構類別和信息系統信息安全等級保護定級確定託管級別:
a) 證券期貨機構中的經營機構,其按照 信息安全等級保護二級要求進行定級的信息系統屬於本標準二級,按照信息安全等級保護三級要求進行定級的信息系統屬於本標準三級;
b) 證券期貨機構中的市場核心機構,其按照信息安全等級保護二級要求進行定級的信息系統屬於本標準三級,按照信息安全等級保護三級要求進行定級的信息系統屬於本標準三+級;
c) 證券期貨機構未進行信息安全等級保護定級備案的信息系統參照本標準二級。
4.3 託管服務類型
託管服務類型是指委託方使用受託方提供的託管服務的類型。包括:
a) 機櫃租賃
委託方租用受託方提供的機櫃空間運行自身信息系統,由受託方負責基礎設施及公共通信網路設施的運維工作,由委託方負責自身系統的運維工作;
b) 機房租賃
委託方租用受託方提供的機房空間運行自身信息系統,由受託方負責基礎設施及公共通信網路設施的運維工作,由委託方負責自身系統的運維工作;
c) 基礎資源租賃
委託方使用受託方提供的伺服器設備、網路設備、安全設備、存儲設備等基礎硬體產品,或者系統軟體等基礎軟體產品,或者虛擬機平台、存儲平台等基礎平台,由受託方負責所提供產品或平台的運維工作,由委託方負責自身系統的運維工作;
d) 整體外包
委託方使用受託方提供的證券期貨套用系統及其運行所需的基礎資源,並由受託方承擔相關運維工作。
4.4 託管要求
託管要求如下:
a) 委託方應選擇設立在中國人民共和國境內的受託方;
b) 委託方在進行託管時,應當明確選擇要使用的託管服務類型組合;
c) 委託方應每年按照相應託管要求評估受託方提供的託管服務,並督促受託方進行相應整改,當受託方提供的託管服務嚴重違反託管要求時,應及時更換受託方;
d) 委託方應每年將信息系統託管等級及相關材料向中國證監會報備;
e) 委託方在簽訂託管服務契約時,應明確違約責任,並約定受託方須接受中國證監會及其派出機構的信息安全延伸檢查;
f) 受託方應根據託管系統級別及委託方選擇的託管服務類型提供滿足要求的託管服務。託管系統級別、託管服務類型及託管要求的對應關係如表 1 所示;
g) 開展三級、三+級系統託管業務的受託方,應設立信息安全管理職能部門,在開展託管業務時兩年內宜通過 GB/T 24405 和 GB/T 22080 認證。
託管類型 | 二級系統 | 三級系統 | 三+級系統 |
機櫃租賃 | A2B1 | A3B1 | A3+B1 |
機房租賃 | A2B2 | A3B2 | A3+B2 |
基礎資源租賃 | A2B3 | A3B3 | A3+B3 |
整體外包 | A2B4 | A3B4 | A3+B4 |
注1:A 代表託管系統級別。其中,A2 代表二級系統,A3 代表三級系統,A3+代表三+級系統。 注2:B 代表託管服務類別。其中,B1 代表機櫃租賃,B2 代表機房租賃,B3 代表基礎資源租賃,B4 代表整體外包。 | |||
5 二級系統受託方要求
5.1 機櫃租賃(A2B1)
5.1.1 基礎設施要求
基礎設施要求如下:
a) 機櫃所在機房應滿足 GB 50174 中 B 級機房要求;
b) 機櫃的結構尺寸、機電接口、機械性能、外觀要求、通風散熱等技術指標應滿足 GB/T 23359和 GB/T 22690 的要求;
c) 在證券期貨交易時段,機櫃的電力可用性應達到 99.9%;
d) 機櫃宜配置兩路獨立的電源分配模組,並且每個機櫃的供電應由獨立開關控制;
e) 機櫃內強弱電線路應以不同標識或顏色區分,應確保線路安置清晰整潔;
f) 機櫃所在機房區域的溫濕度應達到 GB 50174 中 B 級的有關要求;
g) 機櫃所在機房宜配置環境監控系統,能夠對機櫃所在機房的支路供電、溫度、濕度等關鍵指標進行自動實時監控和報警;
h) 機櫃所在區域消防系統應採用高效滅火系統和火災自動報警系統,並通過當地消防部門驗收;
i) 受託方應做好機櫃所在機房基礎設施的日常巡檢工作,每日巡檢次數不少於三次;
j) 受託方應配備 7×24 小時值班基礎設施管理員,負責機櫃所在機房及機櫃基礎設施的日常維護、事件應急、故障處置等工作。
5.1.2 網路通信要求
網路通信要求如下:
a) 受託方應提供網路線路接入條件,滿足委託方交易專網、網際網路、數據專線等網路通信需求;
b) 受託方宜提供至少兩家基礎通信運營商的線路接入資源,且每家基礎通信運營商至少採用兩種不同的物理路由接入局端機房;
c) 機櫃網路接入集中網路前應採取有效的安全防護措施,實現機櫃網路環境與其它區域網路環境的有效隔離;
d) 受託方應 7×24 小時對機房公共網路運行情況進行實時監控,受託方未經委託方授權,禁止監聽、獲取、複製、利用通過網路傳輸的信息系統數據信息;
e) 受託方應配備 7×24 小時網路支持人員,負責其提供的機櫃公共網路的日常維護、事件應急、故障處置等工作。
5.1.3 安全保衛要求
安全保衛要求如下:
a) 受託方應為機櫃提供電子鎖或機械鎖。受託方可留有備用鑰匙以備應急使用,但應提前獲得委託方同意,並記錄使用情況;
b) 受託方應對機櫃所在機房設定視頻監控設備,監控範圍覆蓋機櫃操作面、機櫃所在機房出入口等關鍵區域。連續視頻監控記錄應保存至少 90 天;
c) 受託方宜在機櫃所在建築物入口處安裝出入控制和安全防護裝置,包括閘機、防爆桶、X 射線安全檢查設備等,並對出入人員和所帶物品應進行安全檢查;
d) 受託方應對機櫃所在區域出入人員身份執行審批審核流程,並記錄出入人員信息、進出時間、工作內容等,相關記錄應保存至少 360 天;
e) 受託方應配備 7×24 小時值班保全人員,負責機櫃所在機房的安全保衛工作。
5.1.4 運維保障要求
運維保障要求如下:
a) 受託方應制定並完善對機櫃的運維管理相關制度,包括對機櫃所在機房、機櫃本身、網路通信、安全保衛等運維操作流程、操作手冊、故障處理、應急預案、應急聯絡人聯絡方式等,並提供給委託方;
b) 受託方應為委託方提供信息系統運維和監控的場地條件,根據委託方要求,提供公共監控工位,滿足委託方運維和監控需要;
c) 受託方應向委託方告知值班基礎設施管理員、網路管理員、保全人員的職責,並公布值班電話。
d) 受託方在進行重大變更時,應提前至少 10 個工作日通過書面方式通知可能受到影響的委託方。
e) 受託方應為委託方提供 7×24 小時支持服務,應在 15 分鐘內回響委託方提出的服務請求。遇到突發事件,應積極配合委託方共同開展應急處置工作;
f) 受託方應至少每年一次向委託方提供服務報告,包括監控及巡檢、日常維護、應急處理工作等。
g) 受託方宜做好基礎設施演練的年度計畫,並按計畫予以實施。
5.2 機房租賃(A2B2)
5.2.1 基礎設施要求
基礎設施要求如下:
a) 機房應滿足 GB 50174 中 B 級機房要求;
b) 機房應有獨立的雙路電源配電櫃,在證券期貨交易時段,機房的電力可用性應達到 99.9%;
c) 機房區域的溫濕度應達到 GB 50174 中 B 級的有關要求;
d) 機房宜具備集成的環境監控系統、設備監控系統,對環境、供電、空調、給水排水、消防等重要系統進行自動實時監控和報警;
f) 受託方應做好對機房的基礎設施日常巡檢工作,每日巡檢次數不少於三次;
g) 受託方應配備 7×24 小時值班基礎設施管理員,負責機房的日常維護、事件應急、故障處置等工作。
5.2.2 網路通信要求
網路通信要求如下:
a) 受託方應提供網路線路接入條件,滿足委託方交易專網、網際網路、數據專線等網路通信需求;
b) 受託方宜提供至少兩家基礎通信運營商的線路接入資源,且每家基礎通信運營商至少採用兩種不同的物理路由接入局端機房;
c) 受託方應 7×24 小時對機房公共網路運行情況進行實時監控,受託方未經委託方授權,禁止監聽、獲取、複製、利用通過網路傳輸的信息系統數據信息;
d) 受託方應配備 7×24 小時網路支持人員,負責其提供的機房公共網路的日常維護、事件應急、故障處置等工作。
5.2.3 安全保衛要求
安全保衛要求如下:
a) 受託方應為機房劃定單獨區域,並進行物理隔離且設有電子門鎖;
b) 受託方應對機房設定視頻監控設備,監控範圍覆蓋機房區域出入口。連續視頻監控記錄應保存至少 90 天;
c) 機房所在建築物宜設定周界區域,建築物群體周界宜設定圍牆,宜安裝入侵報警系統、安全防護系統、防車輛撞擊設施等。各安全防範子系統應滿足 GB 50348 規定的集成式安全防範系統設計要求以及各子系統的設計要求;
d) 受託方宜在機房所在建築物入口處安裝出入控制和安全防護裝置,包括閘機、防爆桶、X 射線安全檢查設備等,並對出入人員和所帶物品應進行安全檢查;
e) 受託方應對機房所在區域出入人員身份執行審批審核流程,並記錄出入人員信息、進出時間、工作內容等,相關記錄應保存至少 360 天;
f) 受託方應配備 7×24 小時值班保全人員,負責機房的安全保衛工作。
5.2.4 運維保障要求
運維保障要求如下:
a) 受託方應制定並完善對機房的運維管理相關制度,包括對機房基礎設施、網路通信、安全保衛等運維操作流程、操作手冊、故障處理、應急預案、應急聯絡人聯絡方式等,並提供給委託方;
b) 受託方應為委託方提供信息系統運維和監控的場地條件,至少提供公共監控工位,滿足委託方運維和監控需要;
c) 受託方應向委託方告知值班基礎設施管理員、網路管理員、保全人員的職責,並公布值班電話;
d) 受託方在進行重大變更時,應提前至少 10 個工作日通過書面方式通知可能受到影響的委託方;
e) 受託方應為委託方提供 7×24 小時支持服務,應在 15 分鐘內回響委託方提出的服務請求。遇到突發事件,應積極配合委託方共同開展應急處置工作;
f) 受託方應至少每年一次向委託方提供服務報告,包括監控及巡檢、日常維護、應急處理工作等;
g) 受託方宜做好基礎設施演練的年度計畫,並按計畫予以實施。
5.3 基礎資源租賃(A2B3)
5.3.1 基礎設施要求
受託方應滿足同級機櫃租賃中的5.1.1基礎設施要求或機房租賃中的5.2.1基礎設施要求。
5.3.2 網路通信要求
受託方應滿足同級機櫃租賃中的5.1.2網路通信要求或機房租賃中的5.2.2網路通信要求。
5.3.3 安全保衛要求
受託方應滿足同級機櫃租賃中的5.1.3安全保衛要求或機房租賃中的5.2.3安全保衛要求。
5.3.4 基礎資源租賃產品要求
5.3.4.1 基礎硬體產品
基礎硬體產品要求如下:
a) 受託方提供的伺服器設備、網路設備、安全設備、存儲設備等基礎硬體產品應為冗餘架構,性能和可用性應滿足委託方需求;
b) 受託方應按照流程為提供的伺服器設備、網路設備、安全設備、存儲設備等基礎硬體產品進行設備信息登記(供貨日期,保修日期,序列號,廠家信息等)。
5.3.4.2 基礎軟體產品
基礎軟體產品要求如下:
a) 受託方應提供合法正版的系統軟體等基礎軟體產品,並及時更新軟體許可;
b) 受託方應負責對提供的系統軟體等基礎軟體產品的安裝、測試、升級和故障處理。
5.3.4.3 基礎平台
基礎平台要求如下:
a) 受託方應為虛擬機平台、存儲平台等基礎平台,提供安裝、調試、培訓、運行、升級等維護服務;
b) 受託方應保證委託方數據在虛擬機平台、存儲平台等基礎平台上的安全、可靠傳輸,並保留數據傳輸日誌記錄,時間不得少於一年;
c) 受託方應做好虛擬機平台、存儲平台等基礎平台的數據備份工作;
d) 受託方應做好虛擬機平台、存儲平台等基礎平台的容量管理工作。
5.3.5 運維保障要求
運維保障要求如下:
a) 受託方應制定並完善對基礎資源的運維管理相關制度,包括對基礎資源所在機房基礎設施、網路通信、安全保衛、基礎資源等運維操作流程、操作手冊、故障處理、應急預案、應急聯絡人聯絡方式等,並提供給委託方;
b) 受託方應為委託方提供信息系統運維和監控條件,滿足委託方運維和監控需要;
c) 受託方應提供專業監控工具對基礎資源租賃產品進行監控;
d) 受託方應定期對基礎資源租賃產品進行巡檢,並記錄巡檢結果;
e) 受託方應向委託方告知值班基礎設施管理員、網路管理員、保全人員、平台運維人員的職責,並確定明確的排班表;
f) 受託方在進行可能涉及基礎資源的變更時,應提前至少 10 個工作日通過書面方式通知可能受到影響的委託方;
g) 基礎資源發生故障時,受託方應按事件處理流程,積極配合委託方共同開展應急處置工作;
h) 受託方應採取有效措施限制單個委託方對基礎資源的使用限度;
i) 受託方在進行雙方契約中約定的關鍵操作時,應按契約約定的程式執行審批手續,確保雙人覆核,並進行留痕,相關記錄應保存至少一年;
j) 受託方應採取身份識別控制和許可權管理,杜絕非授權和越權訪問、更改委託方的數據;
k) 受託方應持續跟蹤廠商提供的系統升級更新情況,檢查基礎資源系統的補丁是否得到了及時更新;
l) 受託方應部署防病毒產品和支持防惡意代碼軟體的統一管理,並定期檢查惡意代碼庫的版本更新情況;
m) 受託方應採取入侵防範措施,及時檢測並阻斷對平台系統的入侵行為;
n) 受託方應為委託方提供 7×24 小時支持服務,應在 15 分鐘內回響委託方提出的服務請求。遇到突發事件,應積極配合委託方共同開展應急處置工作;
o) 受託方應至少每年一次向委託方提供基礎資源服務報告;
p) 受託方應做好數據保密工作,未經授權不得使用、分析、複製委託方數據,不得向第三方透露數據內容;
q) 雙方終止契約,受託方應協助委託方收回所有數據,並保證系統中全部相關數據被刪除,並不可恢復。
5.4 整體外包(A2B4)
5.4.1 基礎設施要求
受託方應滿足同級基礎資源租賃中的5.3.1基礎設施要求。
5.4.2 網路通信要求
受託方應滿足同級基礎資源租賃中的5.3.2網路通信要求。
5.4.3 安全保衛要求
受託方應滿足同級基礎資源租賃中的5.3.3安全保衛要求。
5.4.4 基礎資源租賃產品要求
受託方應滿足同級基礎資源租賃中的5.3.4基礎資源租賃產品要求。
5.4.5 套用系統要求
套用系統要求如下:
a) 受託方應向委託方提供套用系統的交付文檔,包括但不限於系統架構、功能說明和用戶手冊等;
b) 受託方提供的套用系統應穩定可靠,確保業務的正常運行;
c) 受託方提供的套用系統的性能和容量應滿足委託方的要求;
d) 受託方提供的套用系統應具備身份識別和許可權控制功能;e) 受託方提供的套用系統在數據傳輸、備份、存儲等過程中,應具備加密功能;
f) 受託方提供的套用系統應具備日誌記錄功能,滿足委託方的安全審計要求。
5.4.6 運維保障要求
運維保障要求如下:
a) 受託方應滿足同級基礎資源租賃中的 5.3.5 運維保障要求;
b) 受託方對受託套用系統的運維工作,應當按照 JR/T 0099 的各項要求開展;
c) 受託方應配合委託方進行套用系統必要的業務測試;
d) 受託方在進行可能影回響用系統的變更時,應提前至少 10 個工作日通過書面方式通知可能受到影響的委託方;
e) 受託方在進行雙方契約中約定的套用系統關鍵數據操作時,應按契約約定的程式執行審批手續,確保雙人覆核,並進行留痕,相關記錄應保存至少一年;
f) 受託方應至少每年對套用系統進行檢查,並形成相關檢查記錄和評估報告;
g) 受託方應根據委託方要求,為委託方提供 7×24 小時套用系統客戶支持服務,應在 15 分鐘內回響委託方提出的服務請求。遇到突發事件,應積極配合委託方共同開展應急處置工作;
h) 受託方應至少每年一次向委託方提供套用系統服務報告;
i) 受託方應做好套用系統數據保密工作,未經授權不得使用、分析、複製委託方數據,不得向第三方透露數據內容;
j) 雙方終止契約,受託方應協助委託方收回所有數據,並保證套用系統中全部相關數據被刪除,並不可恢復。
6 三級系統受託方要求
6.1 機櫃租賃(A3B1)
6.1.1 基礎設施要求
基礎設施要求如下:
a) 機櫃所在機房應滿足 GB 50174 中 A 級機房要求;
b) 機櫃的結構尺寸、機電接口、機械性能、外觀要求、通風散熱等技術指標應滿足 GB/T 23359和 GB/T 22690 的要求;
c) 在證券期貨交易時段,機櫃的電力可用性應達到 99.99%;
d) 機櫃應配置兩路獨立的電源分配模組,並且每個機櫃的供電應由獨立開關控制;
e) 機櫃內強弱電線路應以不同標識或顏色區分,應確保線路安置清晰整潔;
f) 機櫃所在機房精密空調至少採用 N+1 方式冗餘,機櫃所在機房區域的溫濕度應達到 GB 50174中 A 級的有關要求;
g) 機櫃所在機房應配置環境監控系統,能夠對機櫃所在機房的支路供電、溫度、濕度等關鍵指標進行自動實時監控和報警;
h) 機櫃所在區域消防系統應採用高效滅火系統和火災自動報警系統,並通過當地消防部門驗收;
i) 受託方應做好機櫃所在機房基礎設施的日常巡檢工作,每日巡檢次數不少於六次;
j) 受託方應配備 7×24 小時值班基礎設施管理員,負責機櫃所在機房及機櫃基礎設施的日常維護、事件應急、故障處置等工作。
6.1.2 網路通信要求
網路通信要求如下:
a) 受託方應提供網路線路接入條件,滿足委託方交易專網、網際網路、數據專線等網路通信需求;
b) 受託方應提供至少兩家基礎通信運營商的線路接入資源,且每家基礎通信運營商至少採用兩種不同的物理路由接入局端機房;
c) 機櫃網路接入集中網路前應採取有效的安全防護措施,實現機櫃網路環境與其它區域網路環境的有效隔離;
d) 受託方應 7×24 小時對機房公共網路運行情況進行實時監控,受託方未經委託方授權,禁止監聽、獲取、複製、利用通過網路傳輸的信息系統數據信息;
e) 受託方應配備 7×24 小時網路支持人員,負責其提供的機櫃公共網路的日常維護、事件應急、故障處置等工作。
6.1.3 安全保衛要求
安全保衛要求如下:
a) 受託方應為機櫃提供電子鎖或機械鎖。受託方可留有備用鑰匙以備應急使用,但應提前獲得委託方同意,並記錄使用情況;
b) 受託方應對機櫃所在機房設定視頻監控設備,監控範圍覆蓋機櫃操作面、機櫃所在機房出入口等關鍵區域。連續視頻監控記錄應保存至少 90 天;
c) 受託方應在機櫃所在建築物入口處安裝出入控制和安全防護裝置,包括閘機、防爆桶、X 射線安全檢查設備等,並對出入人員和所帶物品應進行安全檢查;
d) 受託方應對機櫃所在區域出入人員身份執行審批審核流程,並記錄出入人員信息、進出時間、工作內容等,相關記錄應保存至少 360 天;
e) 受託方應配備 7×24 小時值班保全人員,負責機櫃所在機房的安全保衛工作。
6.1.4 運維保障要求
運維保障要求如下:
a) 受託方應制定並完善對機櫃的運維管理相關制度,包括對機櫃所在機房、機櫃本身、網路通信、安全保衛等運維操作流程、操作手冊、故障處理、應急預案、應急聯絡人聯絡方式等,並提供給委託方;
b) 受託方應為委託方提供信息系統運維和監控的場地條件,根據委託方要求,提供專用監控工位或監控室,滿足委託方運維和監控需要;
c) 受託方應向委託方告知值班基礎設施管理員、網路管理員、保全人員的職責,並公布值班電話;
d) 受託方在進行重大變更時,應提前至少 20 個工作日通過書面方式通知可能受到影響的委託方;
e) 受託方應為委託方提供 7×24 小時支持服務,應在 10 分鐘內回響委託方提出的服務請求。遇到突發事件,應積極配合委託方共同開展應急處置工作;
f) 受託方應至少每半年一次向委託方提供服務報告,包括監控及巡檢、日常維護、應急處理工作等;
g) 受託方應做好基礎設施演練的年度計畫,並按計畫予以實施。
6.2 機房租賃(A3B2)
6.2.1 基礎設施要求
基礎設施要求如下:
a) 機房應滿足 GB 50174 中 A 級機房要求;
b) 機房應有獨立的雙路電源配電櫃,在證券期貨交易時段,機房的電力可用性應達到 99.99%;
c) 機房精密空調至少採用 N+1 方式冗餘,機房區域的溫濕度應達到 GB 50174 中A 級的有關要求;
d) 機房應具備集成的環境監控系統、設備監控系統,對環境、供電、空調、給水排水、消防等重要系統進行自動實時監控和報警;
e) 機房消防系統應採用高效滅火系統和火災自動報警系統,並通過當地消防部門驗收;
f) 受託方應做好對機房的基礎設施日常巡檢工作,每日巡檢次數不少於六次;
g) 受託方應配備 7×24 小時值班基礎設施管理員,負責機房的日常維護、事件應急、故障處置等工作。
6.2.2 網路通信要求
網路通信要求如下:
a) 受託方應提供網路線路接入條件,滿足委託方交易專網、網際網路、數據專線等網路通信需求;
b) 受託方應提供至少兩家基礎通信運營商的線路接入資源,且每家基礎通信運營商至少採用兩種不同的物理路由接入局端機房;
c) 受託方應 7×24 小時對機房公共網路運行情況進行實時監控,受託方未經委託方授權,禁止監聽、獲取、複製、利用通過網路傳輸的信息系統數據信息;
d) 受託方應配備 7×24 小時網路支持人員,負責其提供的機房公共網路的日常維護、事件應急、故障處置等工作。
6.2.3 安全保衛要求
安全保衛要求如下:
a) 受託方應為機房劃定單獨區域,並進行物理隔離且設有電子門鎖;
b) 受託方應對機房設定視頻監控設備,監控範圍覆蓋機房區域出入口,連續視頻監控記錄應保存至少 90 天;
c) 機房所在建築物應設定周界區域,建築物群體周界應設定圍牆,應安裝入侵報警系統、安全防護系統、防車輛撞擊設施等。各安全防範子系統應滿足 GB 50348 規定的集成式安全防範系統設計要求以及各子系統的設計要求;
d) 受託方應在機房所在建築物入口處安裝出入控制和安全防護裝置,包括閘機、防爆桶、X 射線安全檢查設備等,並對出入人員和所帶物品應進行安全檢查;
e) 受託方應對機房所在區域出入人員身份執行審批審核流程,並記錄出入人員信息、進出時間、工作內容等,相關記錄應保存至少 360 天;
f) 受託方應配備 7×24 小時值班保全人員,負責機房的安全保衛工作。
6.2.4 運維保障要求
運維保障要求如下:
a) 受託方應制定並完善對機房的運維管理相關制度,包括對機房基礎設施、網路通信、安全保衛等運維操作流程、操作手冊、故障處理、應急預案、應急聯絡人聯絡方式等,並提供給委託方;
b) 受託方應為委託方提供信息系統運維和監控的場地條件,至少提供專用的監控工位或專用監控室,滿足委託方運維和監控需要;
c) 受託方應向委託方告知值班基礎設施管理員、網路管理員、保全人員的職責,並公布值班電話;
d) 受託方在進行重大變更時,應提前至少 20 個工作日通過書面方式通知可能受到影響的委託方;
e) 受託方應為委託方提供 7×24 小時支持服務,應在 10 分鐘內回響委託方提出的服務請求。遇到突發事件,應積極配合委託方共同開展應急處置工作;
f) 受託方應至少每半年一次向委託方提供服務報告,包括監控及巡檢、日常維護、應急處理工作等;
g) 受託方應做好基礎設施演練的年度計畫,並按計畫予以實施。
6.3 基礎資源租賃(A3B3)
6.3.1 基礎設施要求
受託方應滿足同級機櫃租賃中的6.1.1基礎設施要求或機房租賃中的6.2.1基礎設施要求。
6.3.2 網路通信要求
網路通信要求如下:
a) 受託方應滿足同級機櫃租賃中的 6.1.2 網路通信要求或機房租賃中的 6.2.2 網路通信要求;
b) 受託方應為委託方提供冗餘通道,訪問委託方租賃的基礎資源。
6.3.3 安全保衛要求
受託方應滿足同級機櫃租賃中的6.1.3安全保衛要求或機房租賃中的6.2.3安全保衛要求。
6.3.4 基礎資源租賃產品要求
6.3.4.1 基礎硬體產品
基礎硬體產品要求如下:
a) 受託方提供的伺服器設備、網路設備、安全設備、存儲設備等基礎硬體產品應為冗餘架構,性能和可用性應滿足委託方需求;
c) 受託方應按照流程為提供的伺服器設備、網路設備、安全設備、存儲設備等基礎硬體產品進行設備信息登記(供貨日期,保修日期,序列號,廠家信息等);
6.3.4.2 基礎軟體產品
基礎軟體產品要求如下:
a) 受託方應提供合法正版的系統軟體等基礎軟體產品,並及時更新軟體許可;
b) 受託方應提供系統軟體等基礎軟體產品的升級手冊和升級包,且在提供升級補丁前,配合委託方進行可用性和風險評估;
c) 受託方應負責對提供的系統軟體等基礎軟體產品的安裝、測試、升級和故障處理;
d) 受託方應提供針對系統軟體等基礎軟體產品的培訓。
6.3.4.3 基礎平台
基礎平台要求如下:
a) 受託方提供的虛擬機平台、存儲平台等基礎平台的可用性應不低於 99.9%;
b) 受託方應為虛擬機平台、存儲平台等基礎平台,提供安裝、調試、培訓、運行、升級等維護服務;
c) 受託方應為虛擬機平台、存儲平台等基礎平台建立災備系統,並制定應急方案。委託方應配合受託方進行切換演練;
d) 受託方應保證委託方數據在虛擬機平台、存儲平台等基礎平台上的安全、可靠傳輸,並保留數據傳輸日誌記錄,時間不得少於一年;
e) 受託方應做好虛擬機平台、存儲平台等基礎平台的數據備份工作;
f) 受託方應做好虛擬機平台、存儲平台等基礎平台的容量管理工作,並定期提供容量監控報告;
g) 受託方應採取有效的安全隔離措施,防止基礎平台內不同客戶間的風險傳導。
6.3.5 運維保障要求
運維保障要求如下:
a) 受託方應制定並完善對基礎資源的運維管理相關制度,包括對基礎資源所在機房基礎設施、網路通信、安全保衛、基礎資源等運維操作流程、操作手冊、故障處理、應急預案、應急聯絡人聯絡方式等,並提供給委託方;
b) 受託方應為委託方提供信息系統運維和監控條件,滿足委託方運維和監控需要;
c) 受託方應提供專業監控工具對基礎資源租賃產品進行監控,並定期提供監控報告;
d) 受託方應定期對基礎資源租賃產品進行巡檢,並記錄巡檢結果;
e) 受託方應向委託方告知值班基礎設施管理員、網路管理員、保全人員、平台運維人員的職責,並確定明確的排班表;
f) 受託方在進行可能涉及基礎資源的變更時,應提前至少 20 個工作日通過書面方式通知可能受到影響的委託方;
g) 基礎資源發生故障時,受託方應按事件處理流程,積極配合委託方共同開展應急處置工作;
h) 受託方應採取有效措施限制單個委託方對基礎資源的使用限度;
i) 受託方在進行雙方契約中約定的關鍵操作時,應按契約規定的程式執行審批手續,確保雙人覆核,並進行留痕,相關記錄應保存至少一年;
j) 受託方應採取身份識別控制和許可權管理,杜絕非授權和越權訪問、更改委託方的數據;
k) 受託方應持續跟蹤廠商提供的系統升級更新情況,檢查基礎資源系統的補丁是否得到了及時更新;
l) 受託方應部署防病毒產品和支持防惡意代碼軟體的統一管理,並定期檢查惡意代碼庫的版本更新情況;
m) 受託方應採取入侵防範措施,及時檢測並阻斷對平台系統的入侵行為。應能夠檢測到對重要伺服器進行入侵的行為,能夠記錄入侵的源 IP、攻擊的類型、攻擊的目的、攻擊的時間,並在發生嚴重入侵事件時提供報警;
n) 受託方應為委託方提供 7×24 小時支持服務,應在 10 分鐘內回響委託方提出的服務請求,並在 60 分鐘內到場服務。遇到突發事件,應積極配合委託方共同開展應急處置工作;
o) 受託方應至少每半年一次向委託方提供基礎資源服務報告,包括監控及巡檢、日常維護、應急處理工作等;
p) 受託方宜至少每年組織一次基礎資源的應急切換演練,並向委託方提供應急演練預案、應急演練報告;
q) 受託方應做好數據保密工作,未經授權不得使用、分析、複製委託方數據,不得向第三方透露數據內容;
r) 雙方終止契約,受託方應協助委託方收回所有數據,並保證系統中全部相關數據被刪除,並不可恢復。
6.4 整體外包(A3B4)
6.4.1 基礎設施要求
受託方應滿足同級基礎資源租賃中的6.3.1基礎設施要求。
6.4.2 網路通信要求
受託方應滿足同級基礎資源租賃中的6.3.2網路通信要求。
6.4.3 安全保衛要求
受託方應滿足同級基礎資源租賃中的6.3.3安全保衛要求。
6.4.4 基礎資源租賃產品要求
受託方應滿足同級基礎資源租賃中的6.3.4基礎資源租賃產品要求。
6.4.5 套用系統要求
套用系統要求如下:
a) 受託方應向委託方提供套用系統的交付文檔,包括但不限於系統架構、功能說明和用戶手冊等;
b) 受託方提供的套用系統應穩定可靠,確保業務的正常運行;
c) 受託方提供的套用系統的性能和容量應滿足委託方的要求;
d) 受託方提供的套用系統的設計和部署應滿足 JR/T 0099 的要求;
e) 受託方提供的套用系統應為委託方提供監控工具或者接口,滿足委託方的監控需要;
f) 受託方提供的套用系統應具備身份識別和許可權控制功能;
g) 受託方提供的套用系統在數據傳輸、備份、存儲等過程中,應具備加密功能;
h) 受託方提供的套用系統應具備日誌記錄功能,滿足委託方的安全審計要求;
i) 受託方提供的套用系統應滿足委託方對於信息系統隔離的要求。
6.4.6 運維保障要求
運維保障要求如下:
a) 受託方應滿足同級基礎資源租賃中的 6.3.5 運維保障要求;
b) 受託方對受託套用系統的運維工作,應當按照 JR/T 0099 的各項要求開展;
c) 受託方應配合委託方進行套用系統必要的業務測試;
d) 受託方應向委託方告知值班基礎設施管理員、網路管理員、保全人員、平台運維人員、套用系統人員的職責,並確定明確的排班表;
e) 受託方在進行可能影回響用系統的變更時,應提前至少 20 個工作日通過書面方式通知可能受到影響的委託方;
f) 受託方在進行雙方契約中約定的套用系統關鍵數據操作時,應按契約規定的程式執行審批手續,確保雙人覆核,並進行留痕,相關記錄應保存至少一年;
g) 受託方應至少每半年對套用系統進行檢查,包括套用系統可用性、參數配置、系統性能容量、許可權設定、系統版本等,並形成相關檢查記錄和評估報告;
h) 受託方應為委託方提供 7×24 小時套用系統客戶支持服務,應在 10 分鐘內回響委託方提出的服務請求,並在 60 分鐘內到場服務。遇到突發事件,應積極配合委託方共同開展應急處置工作;
i) 受託方應至少每半年一次向委託方提供套用系統服務報告,包括監控及巡檢、日常維護、應急處理工作等;
j) 受託方應提供套用系統的應急預案,當故障發生時,能恢復原來的工作狀態。組織用戶至少每年進行一次故障應急演練;
k) 受託方應做好套用系統數據保密工作,未經授權不得使用、分析、複製委託方數據,不得向第三方透露數據內容;
l) 雙方終止契約,受託方應協助委託方收回所有數據,並保證套用系統中全部相關數據被刪除,並不可恢復。
7 三+級系統受託方要求
7.1 機櫃租賃(A3+B1)
7.1.1 基礎設施要求
基礎設施要求如下:
a) 機櫃所在機房應滿足 GB 50174 中 A 級機房要求;
b) 機櫃的結構尺寸、機電接口、機械性能、外觀要求、通風散熱等技術指標應滿足 GB/T 23359和 GB/T 22690 的要求;
c) 在證券期貨交易時段,機櫃的電力可用性應達到 99.99%;
d) 機櫃應配置兩路獨立的電源分配模組,並且每個機櫃的供電應由獨立開關控制;
e) 機櫃內強弱電線路應以不同標識或顏色區分,應確保線路安置清晰整潔;
f) 機櫃所在機房精密空調至少採用 N+1 方式冗餘,機櫃所在機房區域的溫濕度應達到 GB 50174中 A 級的有關要求;
g) 機櫃所在機房應配置環境監控系統,能夠對機櫃所在機房的支路供電、溫度、濕度等關鍵指標進行自動實時監控和報警;
h) 機櫃所在區域消防系統應採用高效滅火系統和火災自動報警系統,並通過當地消防部門驗收;
i) 受託方應做好機櫃所在機房基礎設施的日常巡檢工作,每日巡檢次數不少於六次;
j) 受託方應配備 7×24 小時值班基礎設施管理員,負責機櫃所在機房及機櫃基礎設施的日常維護、事件應急、故障處置等工作。
7.1.2 網路通信要求
網路通信要求如下:
a) 受託方應提供網路線路接入條件,滿足委託方交易專網、網際網路、數據專線等網路通信需求;
b) 受託方應提供至少兩家基礎通信運營商的線路接入資源,且每家基礎通信運營商至少採用兩種不同的物理路由接入局端機房;
c) 機櫃網路接入集中網路前應採取有效的安全防護措施,實現機櫃網路環境與其它區域網路環境的有效隔離;
d) 受託方應 7×24 小時對機房公共網路運行情況進行實時監控,受託方未經委託方授權,禁止監聽、獲取、複製、利用通過網路傳輸的信息系統數據信息;
e) 受託方應配備 7×24 小時網路支持人員,負責其提供的機櫃公共網路的日常維護、事件應急、故障處置等工作;
7.1.3 安全保衛要求
安全保衛要求如下:
a) 受託方應為機櫃提供電子鎖或機械鎖。受託方可留有備用鑰匙以備應急使用,但應提前獲得委託方同意,並記錄使用情況;
b) 受託方應對機櫃所在機房設定視頻監控設備,監控範圍覆蓋機櫃操作面、機櫃所在機房出入口等關鍵區域。連續視頻監控記錄應保存至少 90 天;
c) 受託方應在機櫃所在建築物入口處安裝出入控制和安全防護裝置,包括閘機、防爆桶、X 射線安全檢查設備等,並對出入人員和所帶物品應進行安全檢查;
d) 受託方應對機櫃所在區域出入人員身份執行審批審核流程,並記錄出入人員信息、進出時間、工作內容等,相關記錄應保存至少 360 天;
e) 受託方應配備 7×24 小時值班保全人員,負責機櫃所在機房的安全保衛工作。
7.1.4 運維保障要求
運維保障要求如下:
a) 受託方應制定並完善對機櫃的運維管理相關制度,包括對機櫃所在機房、機櫃本身、網路通信、安全保衛等運維操作流程、操作手冊、故障處理、應急預案、應急聯絡人聯絡方式等,並提供給委託方;
b) 受託方應為委託方提供信息系統運維和監控的場地條件,根據委託方要求,提供專用監控工位或監控室,滿足委託方運維和監控需要;
c) 受託方應向委託方告知值班基礎設施管理員、網路管理員、保全人員的職責,並公布值班電話;
d) 受託方在進行重大變更時,應提前至少 30 個工作日通過書面方式通知可能受到影響的委託方;
e) 受託方應為委託方提供 7×24 小時支持服務,應在 5 分鐘內回響委託方提出的服務請求。遇到突發事件,應積極配合委託方共同開展應急處置工作;
f) 受託方應至少每半年一次向委託方提供服務報告,包括監控及巡檢、日常維護、應急處理工作等;
g) 受託方應做好基礎設施演練的年度計畫,並按計畫予以實施。
7.2 機房租賃(A3+B2)
7.2.1 基礎設施要求
基礎設施要求如下:
a) 機房應滿足 GB 50174 中 A 級機房要求;
b) 機房應有獨立的雙路電源配電櫃,在證券期貨交易時段,機房的電力可用性應達到 99.99%;
c) 機房精密空調至少採用 N+1 方式冗餘,機房區域的溫濕度應達到 GB 50174 中A 級的有關要求;
d) 機房應具備集成的環境監控系統、設備監控系統,對環境、供電、空調、給水排水、消防等重要系統進行自動實時監控和報警;
e) 機房消防系統應採用高效滅火系統和火災自動報警系統,並通過當地消防部門驗收;
f) 受託方應做好對機房的基礎設施日常巡檢工作,每日巡檢次數不少於六次;
g) 受託方應配備 7×24 小時值班基礎設施管理員,負責機房的日常維護、事件應急、故障處置等工作。
7.2.2 網路通信要求
網路通信要求如下:
a) 受託方應提供網路線路接入條件,滿足委託方交易專網、網際網路、數據專線等網路通信需求;
b) 受託方應提供至少兩家基礎通信運營商的線路接入資源,且每家基礎通信運營商至少採用兩種不同的物理路由接入局端機房;
c) 受託方應 7×24 小時對機房公共網路運行情況進行實時監控,受託方未經委託方授權,禁止監聽、獲取、複製、利用通過網路傳輸的信息系統數據信息;
d) 受託方應配備 7×24 小時網路支持人員,負責其提供的機房公共網路的日常維護、事件應急、故障處置等工作。
7.2.3 安全保衛要求
安全保衛要求如下:
a) 受託方應為機房劃定單獨區域,並進行物理隔離且設有電子門鎖;
b) 受託方應對機房設定視頻監控設備,監控範圍覆蓋機房區域出入口。連續視頻監控記錄應保存至少 90 天;
c) 機房所在建築物應設定周界區域,建築物群體周界應設定圍牆,應安裝入侵報警系統、安全防護系統、防車輛撞擊設施等。各安全防範子系統應滿足 GB 50348 規定的集成式安全防範系統設計要求以及各子系統的設計要求;
d) 受託方應在機房所在建築物入口處安裝出入控制和安全防護裝置,包括閘機、防爆桶、X 射線安全檢查設備等,並對出入人員和所帶物品應進行安全檢查;
e) 受託方應對機房所在區域出入人員身份執行審批審核流程,並記錄出入人員信息、進出時間、工作內容等,相關記錄應保存至少 360 天;
f) 受託方應配備 7×24 小時值班保全人員,負責機房的安全保衛工作。
7.2.4 運維保障要求
運維保障要求如下:
a) 受託方應制定並完善對機房的運維管理相關制度,包括對機房基礎設施、網路通信、安全保衛等運維操作流程、操作手冊、故障處理、應急預案、應急聯絡人聯絡方式等,並提供給委託方;
b) 受託方應為委託方提供信息系統運維和監控的場地條件,至少提供專用的監控工位或專用監控室,滿足委託方運維和監控需要;
c) 受託方應向委託方告知值班基礎設施管理員、網路管理員、保全人員的職責,並公布值班電話;
d) 受託方在進行重大變更時,應提前至少 30 個工作日通過書面方式通知可能受到影響的委託方;
e) 受託方應為委託方提供 7×24 小時支持服務,應在 5 分鐘內回響委託方提出的服務請求。遇到突發事件,應積極配合委託方共同開展應急處置工作;
f) 受託方應至少每半年一次向委託方提供服務報告,包括監控及巡檢、日常維護、應急處理工作等;
g) 受託方應做好基礎設施演練的年度計畫,並按計畫予以實施。
7.3 基礎資源租賃(A3+B3)
7.3.1 基礎設施要求
受託方應滿足同級機櫃租賃中的7.1.1基礎設施要求或機房租賃中的7.2.1基礎設施要求。
7.3.2 網路通信要求
網路通信要求如下:
a) 受託方應滿足同級機櫃租賃中的 7.1.2 網路通信要求或機房租賃中的 7.2.2 網路通信要求;
b) 受託方應為委託方提供冗餘通道,訪問委託方租賃的基礎資源。
7.3.3 安全保衛要求
受託方應滿足同級機櫃租賃中的7.1.3安全保衛要求或機房租賃中的7.2.3安全保衛要求。
7.3.4 基礎資源租賃產品要求
7.3.4.1 基礎硬體產品
基礎硬體產品要求如下:
a) 受託方提供的伺服器設備、網路設備、安全設備、存儲設備等基礎硬體產品應為冗餘架構,性能和可用性應滿足委託方需求;
b) 受託方應提供獨立的區域,部署伺服器設備、網路設備、安全設備、存儲設備等基礎硬體產品;
c) 受託方應為提供的伺服器設備、網路設備、安全設備、存儲設備等基礎硬體產品提供備機、備件服務,或原廠維保服務;
d) 受託方應按照流程為提供的伺服器設備、網路設備、安全設備、存儲設備等基礎硬體產品進行設備信息登記(供貨日期,保修日期,序列號,廠家信息等)。
7.3.4.2 基礎軟體產品
基礎軟體產品要求如下:
a) 受託方應提供合法正版的系統軟體等基礎軟體產品,並及時更新軟體許可;
b) 受託方應提供系統軟體等基礎軟體產品的升級手冊和升級包,且在提供升級補丁前,配合委託方進行可用性和風險評估;
c) 受託方應負責對提供的系統軟體等基礎軟體產品的安裝、測試、升級和故障處理;
d) 受託方應提供針對系統軟體等基礎軟體產品的培訓。
7.3.4.3 基礎平台
基礎平台要求如下:
a) 受託方提供的虛擬機平台、存儲平台等基礎平台的可用性應不低於 99.95%;
b) 受託方應為虛擬機平台、存儲平台等基礎平台,提供安裝、調試、培訓、運行、升級等維護服務;
c) 受託方應為虛擬機平台、存儲平台等基礎平台建立災備系統,並制定應急方案。委託方應配合受託方進行切換演練;
d) 受託方應保證委託方數據在虛擬機平台、存儲平台等基礎平台上的安全、可靠傳輸,並保留數據傳輸日誌記錄,時間不得少於一年;
e) 受託方應做好虛擬機平台、存儲平台等基礎平台的數據備份工作;
f) 受託方應做好虛擬機平台、存儲平台等基礎平台的容量管理工作,設定報警閾值,並定期提供容量監控報告;
g) 受託方應採取有效的安全隔離措施,防止基礎平台內不同客戶間的風險傳導。
7.3.5 運維保障要求
運維保障要求如下:
a) 受託方應制定並完善對基礎資源的運維管理相關制度,包括對基礎資源所在機房基礎設施、網路通信、安全保衛、基礎資源等運維操作流程、操作手冊、故障處理、應急預案、應急聯絡人聯絡方式等,並提供給委託方;
b) 受託方應為委託方提供信息系統運維和監控條件,滿足委託方運維和監控需要;
c) 受託方應提供專業監控工具對基礎資源租賃產品進行監控,並定期提供監控報告;
d) 受託方應定期對基礎資源租賃產品進行巡檢,並記錄巡檢結果;
e) 受託方應向委託方告知值班基礎設施管理員、網路管理員、保全人員、平台運維人員的職責,並確定明確的排班表;
f) 受託方在進行可能涉及基礎資源的變更時,應提前至少 30 個工作日通過書面方式通知可能受到影響的委託方;
g) 基礎資源發生故障時,受託方應按事件處理流程,積極配合委託方共同開展應急處置工作;
h) 受託方應採取有效措施限制單個委託方對基礎資源的使用限度;
i) 受託方在進行雙方契約中約定的關鍵操作時,應按契約規定的程式執行審批手續,確保雙人覆核,並進行留痕,相關記錄應保存至少一年;
j) 受託方應採取身份識別控制和許可權管理,杜絕非授權和越權訪問、更改委託方的數據;
k) 受託方應持續跟蹤廠商提供的系統升級更新情況,檢查基礎資源系統的補丁是否得到了及時更新;
l) 受託方應部署防病毒產品和支持防惡意代碼軟體的統一管理,並定期檢查惡意代碼庫的版本更新情況;
m) 受託方應採取入侵防範措施,及時檢測並阻斷對平台系統的入侵行為。應能夠檢測到對重要伺服器進行入侵的行為,能夠記錄入侵的源 IP、攻擊的類型、攻擊的目的、攻擊的時間,並在發生嚴重入侵事件時提供報警;
n) 受託方應為委託方提供 7×24 小時支持服務,應在 5 分鐘內回響委託方提出的服務請求,並在30 分鐘內到場服務。遇到突發事件,應積極配合委託方共同開展應急處置工作;
o) 受託方應至少每半年一次向委託方提供基礎資源服務報告,包括監控及巡檢、日常維護、應急處理工作等;
p) 受託方宜至少每年組織一次基礎資源的應急切換演練,並向委託方提供應急演練預案、應急演練報告;
q) 受託方應做好數據保密工作,未經授權不得使用、分析、複製委託方數據,不得向第三方透露數據內容;
r) 雙方終止契約,受託方應協助委託方收回所有數據,並保證系統中全部相關數據被刪除,並不可恢復。
7.4 整體外包(A3+B4)
7.4.1 基礎設施要求
受託方應滿足同級基礎資源租賃中的7.3.1基礎設施要求。
7.4.2 網路通信要求
受託方應滿足同級基礎資源租賃中的7.3.2網路通信要求。
7.4.3 安全保衛要求
受託方應滿足同級基礎資源租賃中的7.3.3安全保衛要求。
7.4.4 基礎資源租賃產品要求
受託方應滿足同級基礎資源租賃中的7.3.4基礎資源租賃產品要求。
7.4.5 套用系統要求
套用系統要求如下:
a) 受託方應向委託方提供套用系統的交付文檔,包括但不限於系統架構、功能說明和用戶手冊等;
b) 受託方提供的套用系統應穩定可靠,確保業務的正常運行;
c) 受託方提供的套用系統的性能和容量應滿足委託方的要求;
d) 受託方提供的套用系統的設計和部署應滿足 JR/T 0059 的要求;
e) 受託方提供的套用系統應為委託方提供監控工具或者接口,滿足委託方的監控需要;
f) 受託方提供的套用系統應具備身份識別和許可權控制功能;
g) 受託方提供的套用系統在數據傳輸、備份、存儲等過程中,應具備加密功能;
h) 受託方提供的套用系統應具備日誌記錄功能,滿足委託方的安全審計要求;
i) 受託方提供的套用系統應滿足委託方對於信息系統隔離的要求;
7.4.6 運維保障要求
運維保障要求如下:
a) 受託方應滿足同級基礎資源租賃中的 7.3.5 運維保障要求;
b) 受託方對受託套用系統的運維工作,應當按照 JR/T 0099 的各項要求開展;
c) 受託方應配合委託方進行套用系統必要的業務測試;
d) 受託方應向委託方告知值班基礎設施管理員、網路管理員、保全人員、平台運維人員、套用系統人員的職責,並確定明確的排班表;
e) 受託方在進行可能影回響用系統的變更時,應提前至少 30 個工作日通過書面方式通知可能受到影響的委託方;
f) 受託方在進行雙方契約中約定的套用系統關鍵數據操作時,應按契約規定的程式執行審批手續,確保雙人覆核,並進行留痕,相關記錄應保存至少兩年;
g) 受託方應至少每季度對套用系統進行檢查,包括套用系統可用性、參數配置、系統性能容量、許可權設定、系統版本等,並形成相關檢查記錄和評估報告;
h) 受託方應為委託方提供 7×24 小時套用系統客戶支持服務,應在 5 分鐘內回響委託方提出的服務請求,並在 30 分鐘內到場服務。遇到突發事件,應積極配合委託方共同開展應急處置工作;
i) 受託方應至少每季度一次向委託方提供套用系統服務報告,包括監控及巡檢、日常維護、應急處理工作等;
j) 受託方應提供套用系統的應急預案,當故障發生時,能恢復原來的工作狀態。組織用戶至少每年進行一次故障應急演練;
k) 受託方應做好套用系統數據保密工作,未經授權不得使用、分析、複製委託方數據,不得向第三方透露數據內容;
l) 雙方終止契約,受託方應協助委託方收回所有數據,並保證套用系統中全部相關數據被刪除,並不可恢復。
內容解讀
備案信息
備案號:52817-2016
備案公告: 2016年第1號(總第193號)
