牡丹国际商品交易中心
现货交易系统安全管理办法
第一条 为规范现货交易系统的安全管理,保护市场参与者和相关当事人的合法权益,营造公平、公正、公开的交易环境,根据牡丹国际商品交易中心(以下简称“交易中心”)相关规定,制定本办法。
第二条 本办法适用于交易中心、结算银行、市场拓展人、交易商、现货交易系统软件提供商及其工作人员。
第三条 交易中心、结算银行、市场拓展人、交易商、现货交易系统软件提供商及其工作人员,均应对涉及交易系统安全的信息进行保密,除国家法律法规另有规定外,不得随意泄露。
第四条 交易中心依照国家法律、法规的规定领取营业执照、业务许可证,并到省级信息产业主管部门登记备案。
第五条 交易中心为交易商提供良好的服务。
第六条 交易中心采取数据备份、故障恢复、防病毒攻击等措施,在技术和管理上确保电子交易数据的准确、完整与安全。
(一)采用人工和自动备份相结合的备份方式,一部分数据是定期通过服务器内置的备份,另一部分数据是定期通过系统计划任务备份到指定的服务器上或是磁盘阵列上,同时系统还将进一步拓展异地容灾的能力。
(二)每天由技术部的专业技术人员采用完全备份方式把当天的交易数据打包并备份到专用的备份磁盘上,同时记录到相应的电子表格(执行日志)上;
(三)配备高端硬件防火墙,能有效的阻挡来自外网的恶意攻击,保证服务器长效稳定地提供服务;
(四)接入互联网的服务器均使用经公安机关检测合格的防病毒产品,并定期下载病毒特征码对杀毒软件升级,确保计算机不会受到已发现病毒的攻击;
(五)及时进行系统补丁的更新、安装与发布,使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端口,堵住系统漏洞。
第七条 现货交易数据至少应当保存二十年。
第八条 交易中心对交易商在交易过程中的信息采取严格的安全保密措施,非经交易商同意,不得向任何第三方泄露或者出售。法律与行政法规另有规定的除外。违背本条规定的交易中心员工,按交易中心的相关规定从重处理,严重者将被辞退、要求赔偿损失甚至移送司法机关处理。
第九条 交易中心建立明确的交易系统安全组织体系。
(一)建立决策层、管理层和执行层的三层安全组织体系,明确交易系统安全主管领导,落实交易系统安全管理部门,指定交易系统安全执行岗位;
(二)设专人负责交易系统安全工作的实施和监督;
(三)通过多种安全培训方式加强人才队伍建设,提高相关工作人员技能水平,提高员工安全意识。
第十条 交易中心建立全面的交易系统安全管理体系。
(一)制定统一的交易系统安全策略,指导和规范交易系统的安全规划与建设,确保策略得到恰当的理解并得到有效的遵守和执行;
(二)加强交易系统资产安全管理,保护交易系统设备、软件、数据和技术文档的安全,实行资产管理责任制,实现等级管理、密级管理,重点保护核心系统资产的安全;
(三)建立信息防火墙制度,明确各部门负责人的信息读取权限,如需获取权限之外的信息,需主管领导审批并登记备案;
(四)强化交易系统的物理安全保护,严格执行机房安全管理、环境安全管理,实施有效的物理控制措施;
(五)建立交易系统网络、平台、应用等各层面的安全管理流程,实现对交易系统规划、建设、运行、维护各个阶段的安全管理,严格执行日常的实时管理和定期管理工作;
(六)实现对交易系统的安全风险管理,对可能存在的威胁和脆弱性的状况进行定期评估,及时发现安全隐患并进行预防性的保护,选择适用、有效的安全措施。
第十一条 交易中心建立有效的信息安全技术体系。
(一)建立完善的安全预警体系,及时发现安全隐患;
(二)强化现有的安全防护体系,实现对核心业务系统的重点保护;
(三)建立有效的安全监控体系,实时监控核心业务系统,为进一步完善安全体系提供决策依据;
(四)建立全面的应急响应体系,定期进行应急恢复演练和测试,完善信息安全通报机制;
(五)按照不同的安全保护等级建立相应的灾难恢复体系,定期进行灾难恢复的演练和测试,确保灾难发生后能够充分发挥备份的效能,努力降低可能造成的影响和损失。
第十二条 交易中心实行口令和密码管理措施。本条所指的口令和密码,指的是服务器管理、交易系统后台管理、网站后台管理等系统的口令和密码。
(一)口令和密码,由相应的部门负责人和管理员商议确定,必须两人同时在场设定;
(二)口令和密码要定期更换。
第十三条 交易中心的交易商开户成功,将获得交易账号和密码,交易商应及时更改并保管好其相应密码,不得向其他任何第三方透露。如果因交易操作密码泄露而造成的任何损失,由交易商自负责任。
第十四条 交易中心无法获知交易商的密码,如果交易商密码遗失,可向交易中心申请重置密码。
第十五条 现货交易系统软件提供商应严格遵循国家法律法规,如有泄漏交易中心的商业秘密和交易商的隐私等非公开信息,或者利用这些信息从事危害国家安全,损害企业或者个人利益的活动,将由政府行政部门依照有关法律、法规给予处理;构成犯罪的,依法追究其刑事责任。
第十六条 如交易商与交易中心就本办法各条款的理解、解释、执行等发生争议,应通过协商解决;如协商不一致,各方均应向菏泽仲裁委员会提起仲裁。
第十七条 本办法解释权和修订权属于牡丹国际商品交易中心有限公司。
第十八条 本办法自2022年10月28日起实施。原《牡丹国际商品交易中心现货交易系统安全管理办法》同时废止。
牡丹国际商品交易中心有限公司
二〇二二年十月二十八日