PDF《ICS 03 060》

2 4 总体说明 4.1 托管系统 可进行托管的系统包括证券期货机构承载证券期货交易、 结算相关的各类业务系统 (包括承载面向 客户和对外服务的最基本、 最核心交易业务的系统, 以及承载除核心交易业务外与交易业务有数据交换 的其他业务的系统)和非业务系统. 4.2 托管系统分级 托管系统按照重要性分为二级、三级、三+级共

3 个级别,其中三+为最高级别. 证券期货机构在进行托管时,应当按照机构类别和信息系统信息安全等级保护定级确定托管级别: a) 证券期货机构中的经营机构, 其按 照 信息安全等级保护二级要求进行定级的信息系统属于本标 准二级,按照信息安全等级保护三级要求进行定级的信息系统属于本标准三级;

b) 证券期货机构中的市场核心机构, 其按照信息安全等级保护二级要求进行定级的信息系统属于 本标准三级,按照信息安全等级保护三级要求进行定级的信息系统属于本标准三+级;

c) 证券期货机构未进行信息安全等级保护定级备案的信息系统参照本标准二级. 4.3 托管服务类型 托管服务类型是指委托方使用受托方提供的托管服务的类型.包括: a) 机柜租赁 委托方租用受托方提供的机柜空间运行自身信息系统, 由受托方负责基础设施及公共通信网络 设施的运维工作,由委托方负责自身系统的运维工作;

b) 机房租赁 委托方租用受托方提供的机房空间运行自身信息系统, 由受托方负责基础设施及公共通信网络 设施的运维工作,由委托方负责自身系统的运维工作;

c) 基础资源租赁 委托方使用受托方提供的服务器设备、网络设备、安全设备、存储设备等基础硬件产品,或者 系统软件等基础软件产品,或者虚拟机平台、存储平台等基础平台,由受托方负责所提供产品或平 台的运维工作,由委托方负责自身系统的运维工作;

d) 整体外包 委托方使用受托方提供的证券期货应用系统及其运行所需的基础资源, 并由受托方承担相关运 维工作. 4.4 托管要求 托管要求如下: a) 委托方应选择设立在中国人民共和国境内的受托方;

b) 委托方在进行托管时,应当明确选择要使用的托管服务类型组合;

c) 委托方应每年按照相应托管要求评估受托方提供的托管服务, 并督促受托方进行相应整改, 当 受托方提供的托管服务严重违反托管要求时,应及时更换受托方;

d) 委托方应每年将信息系统托管等级及相关材料向中国证监会报备;

e) 委托方在签订托管服务合同时, 应明确违约责任, 并约定受托方须接受中国证监会及其派出机 构的信息安全延伸检查;

f) 受托方应根据托管系统级别及委托方选择的托管服务类型提供满足要求的托管服务. 托管系统 级别、托管服务类型及托管要求的对应关系如表

1 所示;

JR/T 0133―2015

3 g) 开展三级、三+级系统托管业务的受托方,应设立信息安全管理职能部门,在开展托管业务时 两年内宜通过 GB/T

24405 和GB/T

22080 认证. 表1 托管类型及受托方要求对照表 托管类型 二级系统 三级系统 三+级系统 机柜租赁 A2B1 A3B1 A3+B1 机房租赁 A2B2 A3B2 A3+B2 基础资源租赁 A2B3 A3B3 A3+B3 整体外包 A2B4 A3B4 A3+B4 注1:A 代表托管系统级别.其中,A2 代表二级系统,A3 代表三级系统,A3+代表三+级系统. 注2:B 代表托管服务类别.其中,B1 代表机柜租赁,B2 代表机房租赁,B3 代表基础资源租赁,B4 代表整体外包.