《系统接入开发机构评价实施细则》由会员分享,可在线阅读,更多相关《系统接入开发机构评价实施细则(9页珍藏版)》请在装配图网上搜索。
1、附件中国外汇交易中心系统接入开发机构评估实施细则(试行)一一一总则一一一 为培育银行间市场生态圈,促进中国外 汇交易中心暨全国 银行间同业拆借中心(以 下简称 “交易中心 ”)接口系统 开发质 量,加强对 交易中心系 统接入开 发机构的管理,鼓励和表彰优秀系 统接入开发机构,根据中国外 汇交易中心系 统接入开发机构管理 办法,制定本实施细则 。一一一年审一一一 系统接入开发机构应在取得系统接入开发机构证书的次年起,每年 10 月 31 日前向交易中心 递交中国外汇交易中心系 统接入 开发机构年度 评估表(见附件 1),并加盖公章。一一一 交易中心收到中国外 汇交易中心系 统接入开 发机构年度
2、评估表后,对年度 评估表的信息 进行审核,并结合本 年度系统接入开发机构的各 项表现开展评估。一一一评估指标体系一一一 系统接入开 发机构评估分值满分为 100 分,分为技术评 估(40 分)、参与贡献度 评估(30 分)、综合评估(30 分)。- 1 -一一一 技术评 估内容包括接口 应用程序 风险 评估、接口应用程序 风险处 置评估、接口应用程序生 产安全 评估和安全事件应急响应评估。(一)接口应用程序 风险评估(12 分)。根据本年度经监测发现的安全 风险 各类别的数量 进行评分,满分 12 分,最低 0 分。安全 风险 分为危急安全 风险 (E)、高危安全风险 (H )、中危安全风险
3、(M )和低危安全风险(L )。风险类 型划分 标准请见 附件 2。(二)接口应用程序 风险处置评估(8 分)。评判开发机构是否对发现 的风险及时采取合适的 处置措施,消 除安全风险 ,满分 8分,最低 0分。(三)接口应用程序 生产安全评估(12 分)。综合本年度 发 生生产安全事 件各类别的数量和上 线接口数量的情况 进行评分,满分 12 分,最低 0 分。生产安全事件分为恶性生 产安全事件 (如对系统安全可能 产生影响的异常 连接、异常数据等)、一般 生产安全事件(如数据 丢失、数据错误)和轻微生产安全事件(如 登录异常)。(四)安全事件应急响应评估(8 分)。评判开发机构是否能够对 安
4、全事件 做出及时响应和得当 处置,满分 8 分,最低 0 分。一一一 参与贡献度评估内容包 括承接开 发项目情况、活跃度和 贡献度。(一)承接开发项目情况(10 分)。根据本年度和以往承接开发项 目的数量 和种类、试用新推出接口的情况 等进行评分。- 2 -(二)活跃度(10 分)。根据参加会议、参加培训、与交易中心工作交流等 情况进行评分。(三)贡献度(10 分)。根据参与银行间市场标准建设、新兴技术研究和分 享等情况进行评分。一一一 综合评估内容包括市 场参与机构 评分、规范性和合规性。(一)市场参与机构 评分(10 分)。根据市场参与机构的 评价进行评分。(二)规范性(10 分)。根据是
5、否及时完整提交相关文档、是否及 时更新公 司和培训合格人 员信息等情况 进行评分。(三)合规性(10 分)。根据是否遵守交易中心和 监管部 门相关管理要求 进行评分。一一一评估结果及 应用一一一 交易中心依据上述 评估指标体系 对系统接入开 发机构进行评分,根据评分结果将系 统接入开发机构划分 为合格和不合格,其中 评分不满 60 分的为不合格。一一一 在合格系 统接入开 发机构中,评选 出以下 奖项:年度最佳 奖、年度质量奖、年度贡献奖和年度成 长奖 。一一一 年度最佳 奖的评选 根据 评估分值总 分进行排名;年度质量奖根据 技术评估分 值进 行排名;年度 贡献奖根据参与 贡献度 评估分 值
6、进行排名;年度成 长奖根据 评估分 值总 分相比上一年的增加 值进行排名,并综合考 虑本年度的 总分值。- 3 -一一一一 交易中心向 获奖机构颁发奖 状,并公布获奖机构名单。一一一一 对于评估不合 格的系统接入开 发机构,交易中心将 书面通知 其限期整改,相关机构 应在接到 整改通知后的一个月内提交整 改计划和方案。 对于未按要求 进行整改的机构,交易中心将 视情况取消其系 统接入开 发机构 证书。一一一附则一一一一本实施细则由交易中心负责解释和修订。一一一一本实施细则 自发布之日起施行。附件:1.中国外 汇交易中心系 统接入开 发机构年度 评估表2.接口 应用程序 风险类 型划分 标准-
7、4 -附件 1:中国外汇交易中心 系统接入开发机构年度评估表一、基本信息企业名称取得证书时间 年 月 证书编号二、近一年承担交易中心接口项目情况起讫参与项目的系统项目名称基本内容委托单位接入开发机构培担任角色时间训合格人员姓名三、近一年其他工作参与情况(类别包括会议、培训、交流、标准化、研究分享)名称类别时间情况概述四、交易中心接口项目汇总表(如列数较长可附页)委托单位联系人信息接口名称委托单位上线时间姓名部门职务邮箱手机五、信息更新 (以下如有更新则填写,如无更新请留白)企业名称(中文)企业名称(英文)通 信 地址邮政编码法人营业执照注册号法定代表人组织机构代码税务登记证号注册资本金额开发人
8、员数(万元)量(个)技术负责人姓名职务办公电话手机电子邮箱传真- 5 -联系人姓名职务办公电话手机电子邮件传真六、系统接入开发机构培训合格人员情况(如多于 2 名可自行增行)1. 培训合格人员一姓名职务证书编号取得证书时间上一次复审邮箱通过时间办公电话手机本次是否申是否如是,请填写上一次复审以来的参加培训情况概述和参与项目情请复审况概述。参加培训情况概述参与项目情况概述2. 培训合格人员二姓名职务证书编号取得证书时间上一次复审邮箱通过时间办公电话手机本次是否申是否如是,请填写上一次复审以来的参加培训情况概述和参与项目情请复审况概述。参加培训情况概述参与项目情况概述- 6 -本机构保证所提交的申
9、请材料内容和所附资料均真实、合法。如有不实之处,愿负相应的法律责任,并承担由此产生的一切后果。负责人签字:年月日(申请单位公章)注: 1、请如实填写以上电子表格,打印、签名并盖单位公章,邮寄至:上海张东路 1387 号 24 栋中国外汇交易中心技术开发部沈薇薇,邮编: 201203。2、如相关培训合格人员申请复审,则需要同时邮寄培训合格证书。3、如“五、信息更新”中填写了更新,则需要同时邮寄相关证件复印件并加盖公章。4、如三证合一,则只需要填写“法人营业执照注册号”,“组织机构代码”和“税务登记证号”留白。5、如有疑问,请联系中国外汇交易中心:021-20693831 沈薇薇021-20693
10、871 刘丽莉。- 7 -附件 2接口应用程序风险类型划分标准接口应用程序 运行安全风险评 估主要关注接口应用程序 测试及生产运行 中发现的潜在 风险 。针对 某一 类事件,从不同层面和角度分析 、列举此类事件可能 导致的各种不利情况,分析各种不利情况 可能导致的直接后果和衍生事件,受影响的对象、范围及可能的 影响方式。监测的潜在 风险范围如表 1 所示。在实际 运用中,可根据采样区间内实际情况,对全部或部分 风险进 行评估。表 1:风险范围风险联络人机制升级配合度测试主动性程序质量应急预案项目骨干稳定性描述联络人机制不健 全可能导致交易中心系 统变更不能及时通知到机构,影响业务开展。对交易中
11、心升 级的配合度低可能 导致不能及 时发现程序问题。对于机构自 发的接口程序升级,未主动联系交易中心开展测试,可能导致不能及 时发现程序问题。与交易中心 联测过程中反复出 现某类问题或需经过多轮测试才通过测试,反映出可 能存在的潜在质量问题。缺少应急预案,可能导致系统异常情况下无法恢复数据,数据丢失。项目骨干流 动性高,可能导致项目质量和进度受影响,或技术和市场的流失。在上述各 类风险种类中,依据风险发 生的概率 大小,风险可能性分 为五级:a 肯定发生、b 很可能发生、c 可能 发生、d 较- 8 -不可能 发生、e 基本不 可能发生。根据严重程度,将风险 后果划分为五级:1 特别重大、2 重大、3 较大、4 一般、5 影响很小。综合风险可能性等级和风险后果等 级,划分风险等级,如表 2。风险 等级参考中国国家信息安全漏洞库(CNNVD ),按照危害等 级分为危急(E)、高危(H)、中危(M)和低危(L )四级。表 2:风险分级风险 后果54321eLLLMH风险dLLMHE可能性cLMHEEbMHHEEaHHEEE- 9 -
系统接入开发机构评价实施细则
