牡丹國(guó)際商品交易中心

現(xiàn)貨交易系統(tǒng)安全管理辦法

第一條 為規(guī)范現(xiàn)貨交易系統(tǒng)的安全管理，保護(hù)市場(chǎng)參與者和相關(guān)當(dāng)事人的合法權(quán)益，營(yíng)造公平、公正、公開(kāi)的交易環(huán)境，根據(jù)牡丹國(guó)際商品交易中心（以下簡(jiǎn)稱“交易中心”）相關(guān)規(guī)定，制定本辦法。

第二條 本辦法適用于交易中心、結(jié)算銀行、市場(chǎng)拓展人、交易商、現(xiàn)貨交易系統(tǒng)軟件提供商及其工作人員。

第三條 交易中心、結(jié)算銀行、市場(chǎng)拓展人、交易商、現(xiàn)貨交易系統(tǒng)軟件提供商及其工作人員，均應(yīng)對(duì)涉及交易系統(tǒng)安全的信息進(jìn)行保密，除國(guó)家法律法規(guī)另有規(guī)定外，不得隨意泄露。

第四條 交易中心依照國(guó)家法律、法規(guī)的規(guī)定領(lǐng)取營(yíng)業(yè)執(zhí)照、業(yè)務(wù)許可證，并到省級(jí)信息產(chǎn)業(yè)主管部門登記備案。

第五條 交易中心為交易商提供良好的服務(wù)。

第六條 交易中心采取數(shù)據(jù)備份、故障恢復(fù)、防病毒攻擊等措施，在技術(shù)和管理上確保電子交易數(shù)據(jù)的準(zhǔn)確、完整與安全。

（一）采用人工和自動(dòng)備份相結(jié)合的備份方式，一部分?jǐn)?shù)據(jù)是定期通過(guò)服務(wù)器內(nèi)置的備份，另一部分?jǐn)?shù)據(jù)是定期通過(guò)系統(tǒng)計(jì)劃任務(wù)備份到指定的服務(wù)器上或是磁盤陣列上，同時(shí)系統(tǒng)還將進(jìn)一步拓展異地容災(zāi)的能力。

（二）每天由技術(shù)部的專業(yè)技術(shù)人員采用完全備份方式把當(dāng)天的交易數(shù)據(jù)打包并備份到專用的備份磁盤上，同時(shí)記錄到相應(yīng)的電子表格（執(zhí)行日志）上；

（三）配備高端硬件防火墻，能有效的阻擋來(lái)自外網(wǎng)的惡意攻擊，保證服務(wù)器長(zhǎng)效穩(wěn)定地提供服務(wù)；

（四）接入互聯(lián)網(wǎng)的服務(wù)器均使用經(jīng)公安機(jī)關(guān)檢測(cè)合格的防病毒產(chǎn)品，并定期下載病毒特征碼對(duì)殺毒軟件升級(jí)，確保計(jì)算機(jī)不會(huì)受到已發(fā)現(xiàn)病毒的攻擊；

（五）及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁的更新、安裝與發(fā)布，使用漏洞掃描軟件掃描系統(tǒng)漏洞，關(guān)閉不必要的服務(wù)端口，堵住系統(tǒng)漏洞。

第七條 現(xiàn)貨交易數(shù)據(jù)至少應(yīng)當(dāng)保存二十年。

第八條 交易中心對(duì)交易商在交易過(guò)程中的信息采取嚴(yán)格的安全保密措施，非經(jīng)交易商同意，不得向任何第三方泄露或者出售。法律與行政法規(guī)另有規(guī)定的除外。違背本條規(guī)定的交易中心員工，按交易中心的相關(guān)規(guī)定從重處理，嚴(yán)重者將被辭退、要求賠償損失甚至移送司法機(jī)關(guān)處理。

第九條 交易中心建立明確的交易系統(tǒng)安全組織體系。

（一）建立決策層、管理層和執(zhí)行層的三層安全組織體系，明確交易系統(tǒng)安全主管領(lǐng)導(dǎo)，落實(shí)交易系統(tǒng)安全管理部門，指定交易系統(tǒng)安全執(zhí)行崗位；

（二）設(shè)專人負(fù)責(zé)交易系統(tǒng)安全工作的實(shí)施和監(jiān)督；

（三）通過(guò)多種安全培訓(xùn)方式加強(qiáng)人才隊(duì)伍建設(shè)，提高相關(guān)工作人員技能水平，提高員工安全意識(shí)。

第十條 交易中心建立全面的交易系統(tǒng)安全管理體系。

（一）制定統(tǒng)一的交易系統(tǒng)安全策略，指導(dǎo)和規(guī)范交易系統(tǒng)的安全規(guī)劃與建設(shè)，確保策略得到恰當(dāng)?shù)睦斫獠⒌玫接行У淖袷睾蛨?zhí)行；

（二）加強(qiáng)交易系統(tǒng)資產(chǎn)安全管理，保護(hù)交易系統(tǒng)設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全，實(shí)行資產(chǎn)管理責(zé)任制，實(shí)現(xiàn)等級(jí)管理、密級(jí)管理，重點(diǎn)保護(hù)核心系統(tǒng)資產(chǎn)的安全；

（三）建立信息防火墻制度，明確各部門負(fù)責(zé)人的信息讀取權(quán)限，如需獲取權(quán)限之外的信息，需主管領(lǐng)導(dǎo)審批并登記備案；

（四）強(qiáng)化交易系統(tǒng)的物理安全保護(hù)，嚴(yán)格執(zhí)行機(jī)房安全管理、環(huán)境安全管理，實(shí)施有效的物理控制措施；

（五）建立交易系統(tǒng)網(wǎng)絡(luò)、平臺(tái)、應(yīng)用等各層面的安全管理流程，實(shí)現(xiàn)對(duì)交易系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行、維護(hù)各個(gè)階段的安全管理，嚴(yán)格執(zhí)行日常的實(shí)時(shí)管理和定期管理工作；

（六）實(shí)現(xiàn)對(duì)交易系統(tǒng)的安全風(fēng)險(xiǎn)管理，對(duì)可能存在的威脅和脆弱性的狀況進(jìn)行定期評(píng)估，及時(shí)發(fā)現(xiàn)安全隱患并進(jìn)行預(yù)防性的保護(hù)，選擇適用、有效的安全措施。

第十一條 交易中心建立有效的信息安全技術(shù)體系。

（一）建立完善的安全預(yù)警體系，及時(shí)發(fā)現(xiàn)安全隱患；

（二）強(qiáng)化現(xiàn)有的安全防護(hù)體系，實(shí)現(xiàn)對(duì)核心業(yè)務(wù)系統(tǒng)的重點(diǎn)保護(hù)；

（三）建立有效的安全監(jiān)控體系，實(shí)時(shí)監(jiān)控核心業(yè)務(wù)系統(tǒng)，為進(jìn)一步完善安全體系提供決策依據(jù)；

（四）建立全面的應(yīng)急響應(yīng)體系，定期進(jìn)行應(yīng)急恢復(fù)演練和測(cè)試，完善信息安全通報(bào)機(jī)制；

（五）按照不同的安全保護(hù)等級(jí)建立相應(yīng)的災(zāi)難恢復(fù)體系，定期進(jìn)行災(zāi)難恢復(fù)的演練和測(cè)試，確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能，努力降低可能造成的影響和損失。

第十二條 交易中心實(shí)行口令和密碼管理措施。本條所指的口令和密碼，指的是服務(wù)器管理、交易系統(tǒng)后臺(tái)管理、網(wǎng)站后臺(tái)管理等系統(tǒng)的口令和密碼。

（一）口令和密碼，由相應(yīng)的部門負(fù)責(zé)人和管理員商議確定，必須兩人同時(shí)在場(chǎng)設(shè)定；

（二）口令和密碼要定期更換。

第十三條 交易中心的交易商開(kāi)戶成功，將獲得交易賬號(hào)和密碼，交易商應(yīng)及時(shí)更改并保管好其相應(yīng)密碼，不得向其他任何第三方透露。如果因交易操作密碼泄露而造成的任何損失，由交易商自負(fù)責(zé)任。

第十四條 交易中心無(wú)法獲知交易商的密碼，如果交易商密碼遺失，可向交易中心申請(qǐng)重置密碼。

第十五條 現(xiàn)貨交易系統(tǒng)軟件提供商應(yīng)嚴(yán)格遵循國(guó)家法律法規(guī)，如有泄漏交易中心的商業(yè)秘密和交易商的隱私等非公開(kāi)信息，或者利用這些信息從事危害國(guó)家安全，損害企業(yè)或者個(gè)人利益的活動(dòng)，將由政府行政部門依照有關(guān)法律、法規(guī)給予處理；構(gòu)成犯罪的，依法追究其刑事責(zé)任。

第十六條 如交易商與交易中心就本辦法各條款的理解、解釋、執(zhí)行等發(fā)生爭(zhēng)議，應(yīng)通過(guò)協(xié)商解決；如協(xié)商不一致，各方均應(yīng)向菏澤仲裁委員會(huì)提起仲裁。

第十七條 本辦法解釋權(quán)和修訂權(quán)屬于牡丹國(guó)際商品交易中心有限公司。

第十八條 本辦法自2022年10月28日起實(shí)施。原《牡丹國(guó)際商品交易中心現(xiàn)貨交易系統(tǒng)安全管理辦法》同時(shí)廢止。

牡丹國(guó)際商品交易中心有限公司

二〇二二年十月二十八日