系统接入开发机构评价实施细则.doc

附件 中国外汇交易中心 系统接入开发机构评估实施细则 （试行） 第一章 总则 第一条 为培育银行间市场生态圈，促进中国外汇交易中心暨全国银行间同业拆借中心（以下简称“交易中心”）接口系统开发质量，加强对交易中心系统接入开发机构的管理，鼓励和表彰优秀系统接入开发机构，根据《中国外汇交易中心系统接入开发机构管理办法》，制定本实施细则。 第二章 年审 第二条 系统接入开发机构应在取得系统接入开发机构证书的次年起，每年10月31日前向交易中心递交《中国外汇交易中心系统接入开发机构年度评估表》（见附件1），并加盖公章。 第三条 交易中心收到《中国外汇交易中心系统接入开发机构年度评估表》后，对年度评估表的信息进行审核，并结合本年度系统接入开发机构的各项表现开展评估。 第三章 评估指标体系 第四条 系统接入开发机构评估分值满分为100分，分为技术评估（40分）、参与贡献度评估（30分）、综合评估（30分）。 第五条 技术评估内容包括接口应用程序风险评估、接口应用程序风险处置评估、接口应用程序生产安全评估和安全事件应急响应评估。 （一）接口应用程序风险评估（12分）。根据本年度经监测发现的安全风险各类别的数量进行评分，满分12分，最低0分。安全风险分为危急安全风险（E）、高危安全风险（H）、中危安全风险（M）和低危安全风险（L）。风险类型划分标准请见附件2。 （二）接口应用程序风险处置评估（8分）。评判开发机构是否对发现的风险及时采取合适的处置措施，消除安全风险，满分8分，最低0分。 （三）接口应用程序生产安全评估（12分）。综合本年度发生生产安全事件各类别的数量和上线接口数量的情况进行评分，满分12分，最低0分。生产安全事件分为恶性生产安全事件（如对系统安全可能产生影响的异常连接、异常数据等）、一般生产安全事件（如数据丢失、数据错误）和轻微生产安全事件（如登录异常）。 （四）安全事件应急响应评估（8分）。评判开发机构是否能够对安全事件做出及时响应和得当处置，满分8分，最低0分。 第六条 参与贡献度评估内容包括承接开发项目情况、活跃度和贡献度。 （一）承接开发项目情况（10分）。根据本年度和以往承接开发项目的数量和种类、试用新推出接口的情况等进行评分。 （二）活跃度（10分）。根据参加会议、参加培训、与交易中心工作交流等情况进行评分。 （三）贡献度（10分）。根据参与银行间市场标准建设、新兴技术研究和分享等情况进行评分。 第七条 综合评估内容包括市场参与机构评分、规范性和合规性。 （一）市场参与机构评分（10分）。根据市场参与机构的评价进行评分。 （二）规范性（10分）。根据是否及时完整提交相关文档、是否及时更新公司和培训合格人员信息等情况进行评分。 （三）合规性（10分）。根据是否遵守交易中心和监管部门相关管理要求进行评分。 第四章 评估结果及应用 第八条 交易中心依据上述评估指标体系对系统接入开发机构进行评分，根据评分结果将系统接入开发机构划分为合格和不合格，其中评分不满60分的为不合格。 第九条 在合格系统接入开发机构中，评选出以下奖项：年度最佳奖、年度质量奖、年度贡献奖和年度成长奖。 第十条 年度最佳奖的评选根据评估分值总分进行排名；年度质量奖根据技术评估分值进行排名；年度贡献奖根据参与贡献度评估分值进行排名；年度成长奖根据评估分值总分相比上一年的增加值进行排名，并综合考虑本年度的总分值。 第十一条 交易中心向获奖机构颁发奖状，并公布获奖机构名单。 第十二条 对于评估不合格的系统接入开发机构，交易中心将书面通知其限期整改，相关机构应在接到整改通知后的一个月内提交整改计划和方案。对于未按要求进行整改的机构，交易中心将视情况取消其系统接入开发机构证书。 第五章 附则 第十三条 本实施细则由交易中心负责解释和修订。 第十四条 本实施细则自发布之日起施行。 附件：1.中国外汇交易中心系统接入开发机构年度评估表 2.接口应用程序风险类型划分标准 附件1: 中国外汇交易中心 系统接入开发机构年度评估表 一、基本信息 企业名称 取得证书时间 年 月 证书编号 二、近一年承担交易中心接口项目情况 项目名称 基本内容 起讫时间 委托单位 参与项目的系统接入开发机构培训合格人员姓名 担任角色 三、近一年其他工作参与情况（类别包括会议、培训、交流、标准化、研究分享） 名称 类别 时间 情况概述 四、交易中心接口项目汇总表（如列数较长可附页） 接口名称 委托单位 上线时间 委托单位联系人信息 姓名 部门 职务 邮箱 手机 五、信息更新 （以下如有更新则填写，如无更新请留白） 企业名称（中文） 企业名称（英文） 通信地址 邮政编码 法人营业执照注册号 法定代表人 组织机构代码 税务登记证号 注册资本金额 （万元） 开发人员数量（个） 技术负责人姓名 职务 办公电话 手机 电子邮箱 传真 联系人姓名 职务 办公电话 手机 电子邮件 传真 六、系统接入开发机构培训合格人员情况（如多于2名可自行增行） 1. 培训合格人员一 姓名 职务 证书编号 取得证书时间 上一次复审通过时间 邮箱 办公电话 手机 本次是否申请复审 □ 是 □ 否 如是，请填写上一次复审以来的参加培训情况概述和参与项目情况概述。 参加培训情况概述 参与项目情况概述 2. 培训合格人员二 姓名 职务 证书编号 取得证书时间 上一次复审通过时间 邮箱 办公电话 手机 本次是否申请复审 □ 是 □ 否 如是，请填写上一次复审以来的参加培训情况概述和参与项目情况概述。 参加培训情况概述 参与项目情况概述 本机构保证所提交的申请材料内容和所附资料均真实、合法。如有不实之处，愿负相应的法律责任，并承担由此产生的一切后果。 负责人签字： 年 月 日 （申请单位公章） 注：1、请如实填写以上电子表格，打印、签名并盖单位公章，邮寄至：上海张东路1387号24栋中国外汇交易中心技术开发部沈薇薇，邮编：201203。 2、如相关培训合格人员申请复审，则需要同时邮寄培训合格证书。 3、如“五、信息更新”中填写了更新，则需要同时邮寄相关证件复印件并加盖 公章。 4、如三证合一，则只需要填写“法人营业执照注册号”，“组织机构代码”和“税 务登记证号”留白。 5、如有疑问，请联系中国外汇交易中心： 021-20693831沈薇薇 021-20693871 刘丽莉。 附件2 接口应用程序风险类型划分标准 接口应用程序运行安全风险评估主要关注接口应用程序测试及生产运行中发现的潜在风险。针对某一类事件，从不同层面和角度分析、列举此类事件可能导致的各种不利情况，分析各种不利情况可能导致的直接后果和衍生事件，受影响的对象、范围及可能的影响方式。 监测的潜在风险范围如表1所示。在实际运用中，可根据采样区间内实际情况，对全部或部分风险进行评估。 表1：风险范围 风险 描述 联络人机制 联络人机制不健全可能导致交易中心系统变更不能及时通知到机构，影响业务开展。 升级配合度 对交易中心升级的配合度低可能导致不能及时发现程序问题。 测试主动性 对于机构自发的接口程序升级，未主动联系交易中心开展测试，可能导致不能及时发现程序问题。 程序质量 与交易中心联测过程中反复出现某类问题或需经过多轮测试才通过测试，反映出可能存在的潜在质量问题。 应急预案 缺少应急预案，可能导致系统异常情况下无法恢复数据，数据丢失。 项目骨干稳定性 项目骨干流动性高，可能导致项目质量和进度受影响，或技术和市场的流失。 在上述各类风险种类中，依据风险发生的概率大小，风险可能性分为五级：a肯定发生、b很可能发生、c可能发生、d较不可能发生、e基本不可能发生。根据严重程度，将风险后果划分为五级：1 特别重大、2重大、3较大、4一般、5影响很小。 综合风险可能性等级和风险后果等级，划分风险等级，如表2。风险等级参考中国国家信息安全漏洞库（CNNVD），按照危害等级分为危急（E）、高危（H）、中危（M）和低危（L）四级。 表2：风险分级 　 风险后果 风险可能性 　 5 4 3 2 1 e L L L M H d L L M H E c L M H E E b M H H E E a H H E E E