证券公司信息系统变更级别评估标准.pdfVIP

T/SZSSA 0001 - 2023 证券公司信息系统变更级别评估标准 1 范围 本文件中的变更级别评估的范围为在生产环境进行的所有技术维护活动，以下统称为“变更”，主 要包括以下内容： 1）信息系统应用版本在生产环境的发布 （包括首次发布，即 “新系统上线”）； 2）对信息系统运行状态的干预； 3）对机房园区、机房设备设施、计算资源、存储资源、网络资源、安全设备、基础软件、客户端 等的安装、升级、扩容、迁移、拆除、参数或配置调整等维护活动； 4）用户从业务操作界面无法进行，需采用技术手段实现的，对生产数据进行的提取和修改。 2 引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本文件。 《证券基金经营机构信息技术管理办法》 （中国证券监督管理委员会令 第179号 附件一） 《证券期货业网络安全事件报告与调查处理办法》 （中国证券监督管理委员会公告 〔2021〕 12 号 如相关办法进行了修订或废止，应以其最新版本为准。 3 术语和定义 3.1 生产环境 指承载公司业务的生产系统和配套的基础设施。 3.2 重要信息系统 本文件中的重要信息系统，特指 《证券基金经营机构信息技术管理办法》中定义的重要信息系统， 与 《证券期货业网络安全事件报告与调查处理办法》附件1中定义的二类至四类系统的并集。且应与相 关办法的最新版本保持一致。 3.3 其他信息系统 指除重要信息系统外的其他所有信息系统。 3.4 重要基础设施 指支撑重要信息系统运行的基础设施，包括但不限于机房园区、机房设备设施、计算资源、存储资 源、网络资源、安全设备、基础软件等。 3.5 其他基础设施 指除重要基础设施外的其他所有基础设施。 4 T/SZSSA 0001 - 2023 3.6 监管关注类变更 指《证券基金经营机构信息技术管理办法》第五十二条中定义的需要向中国证监会报送有关材料的 变更。 3.7 重大变更 指经评估，变更影响范围和实施风险较大，其导致的异常会对市场、投资者、公司实时业务的连续 性产生重大影响或对业务合规产生重大影响，可能引发《证券期货业网络安全事件报告与调查处理办法》 定义的 “较大”或以上级别的网络安全事件的变更。 3.8 一般变更 指经评估，变更影响范围和影响较小的低风险变更。 3.9 标准变更 指具有提前制定并经过预审批的标准变更方案、方案经反复实施验证对业务和服务产生影响的可能 性较低，变更时基本不影响业务或服务正常运行的变更。 3.10可灰度发布 本文件中的“可灰度发布”，特指对于应用系统，“单次灰度发布覆盖率不超过预计发布后总流量、 用户和渠道的30%，发布后影响活跃用户数/机构客户数将不超过变更发布前20个交易日活跃用户数/机 构客户数均值的30%，且个人客户数少于1万人和机构客户数少于5个”的变更发布方式；对于基础设施， “单次变更影响活跃用户数/机构客户数将不超过变更发布前20个交易日活跃用户数/机构客户数均值 的30%，且个人客户数少于1万人和机构客户数少于5个”的变更方式。 3.11可观测 指“具备能发现变更异常的监控手段，在变更后、业务正式开始前即可对变更结果及系统状态进行 观测，或在业务开始后通过少量的业务发生量即可对变更情况和系统状态进行观测”的性质。 3.12可快速回退 本文件中的 “可快速回退”，特指 “在发现变更问题时可在5分钟内完成涉及本次变更的全部代码 的回退或应急处置”的性质。 3.13关联影响可控 本文件中的“关联影响可控”，特指 “本变更对关联系统 （上下游系统、横向系统）、公共组件的 访问增加在可控范围内（访问量增加后，总访问量不超过系统设计最大访问量的30%）；且关联系统（对 上下游系统、横向系统）、公共组件对本系统的访问因本系统的本次变更造成中断的可能性较低”。 3.14变更控制委员会