第三章 系统运维

　　第十三条 会员系统应达到以下安全要求：

　　一、 建立健全安全体系，遵循技术保护方式和管理保护方式相结合的原则；

　　二、利用成熟的网络安全技术，防止非法访问、攻击和破坏计算机网络等活动；

　　三、所有可配置的网络设备按最小安全访问原则设置访

　　问控制权限，关闭不必要的端口及服务，妥善保管和定期更换网络设备的访问口令；

　　四、对于来自互联网的访问采用可靠的身份认证、访问控制和安全审计措施，防止非法接入和非法访问；

　　五、做好计算机病毒防范工作，统一组织和实施网络的计算机病毒防范工作。

　　第十四条 应定期备份业务系统的信息，重要服务器和网络设备的配置应有备份，对备份介质应定期测试，对恢复步骤应进行演练。

　　第十五条 应建立密码管理措施，规定密码的强度和安全使用方法。

　　第十六条 应建立业务系统运营管理组织，负责业务系统的运行和管理。

　　第十七条 技术运维人员应至少达到三人，负责基础设施、网络、主机、数据库、应用等日常管理工作。应保证交易结算期间有值班人员监控业务系统的运行以及与交易所的应急联系。

　　第十八条 应设至少一名技术联络人，负责组织、协调和处理与交易所及相关系统的各项技术事宜。

　　第十九条 会员业务系统在日常运行管理方面应达到以下要求：

　　一、制订日常操作流程，关键操作应建立复核机制，建立操作日志，并及时备份参数文件；

　　二、制订故障处理流程，建立故障日志；

　　三、制订值班工作制度，建立值班日志；

　　四、制订变更流程，控制生产环境的变更；

　　五、运维岗位的描述应明确清晰，应建立重要岗位的双

　　人、双职、双责制，并加强对单人单岗的监控。

　　第二十条 应建立系统测试操作流程，规定测试工作的计划、实施及总结。对于在生产系统上进行的测试工作，必须制订系统及数据备份、测试环境搭建、测试后系统及数据恢复、恢复后检查等计划。

　　第四章 事故管理

　　第二十一条 会员应建立信息安全事故报告机制，一旦发现影响业务系统的信息安全事故，应及时联系相关方解决，并报告交易所。

　　第二十二条 会员应建立信息安全事故分级、预警、跟踪、处理、总结等机制，并定期进行演练。

　　第二十三条 会员在信息安全事故发生时应注意收集相关信息，以便于进行事件追查和问题分析。

　　第二十四条 会员应制订应急预案，用以处理业务系统重大技术故障。应急预案应规定应急处置措施、职责分工、处理流程和保障机制。

　　第二十五条 会员应建立内部责任机制，坚持安全事故问责制度。