【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第16页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。 7.1.4.5. 通信完整性(s3) 应采用密码技术保证通信过程中数据的完整性。 通过互联网、卫星网进行通信时,应采用密码技术保证通信过程中数据的完整性。 7.1.4.6. 通信保密性(s3) 本项要求包括: a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; 通过互联网、卫星网进行通信时,建立通信连接之前,应用系统应利用密码技术或可靠的身份认证技术进行会话初始化验证。 b)应对通信过程中的整个报文或会话过程进行加密。 通过互联网、卫星网进行通信时,应对整个报文或会话过程进行加密。 7.1.4.7. 抗抵赖(g3) 本项要求包括: a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能; 应用系统的操作与管理记录,至少应记录操作时间、操作人员及操作类型、操作内容等信息。交易系统应能够记录用户交易行为数据,至少包括业务流水号、账户名、ip地址、交易指令等信息。 b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 应用系统的操作与管理记录,至少应记录操作时间、操作人员及操作类型、操作内容等信息。交易系统应能够记录用户交易行为数据,至少包括业务流水号、账户名、ip地址、交易指令等信息。 7.1.4.8. 软件容错(a3) 本项要求包括: a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求; b)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。 7.1.4.9. 资源控制(a3) 本项要求包括: a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话; 用户登录应用系统后在规定的时间内未执行任何操作,应自动退出系统。 b)应能够对系统的最大并发会话连接数进行限制; c)应能够对单个账户的多重并发会话进行限制; d)应能够对一个时间段内可能的并发会话连接数进行限制; e)应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额; f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警; g)应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先级,根据优先级分配系统资源。 7.1.5.数据安全及备份恢复 7.1.5.1. 数据完整性(s3) 本项要求包括: a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; b)应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。 7.1.5.2. 数据保密性(s3) 本项要求包括: a)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性; 通过互联网、卫星网传递系统管理数据、鉴别信息和重要业务数据应采取加密方式。 b)应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。 7.1.5.3. 备份和恢复(a3) 本项要求包括: a)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; b)应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地; c)应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障; d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。 7.2. 管理要求 7.2.1.安全管理制度 7.2.1.1. 管理制度(g3) 本项要求包括: a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等; b)应对安全管理活动中的各类管理内容建立安全管理制度; c)应对管理人员或操作人员执行的日常管理操作建立操作规程; d)应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 7.2.1.2. 制定和发布(g3) 本项要求包括: a)应指定或授权专门的部门或人员负责安全管理制度的制定; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!