【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第29页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] d)应确保提供软件设计的相关文档和使用指南,并由专人负责保管; e)应确保对程序资源库的修改、更新、发布进行授权和批准; f)应确保开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。 8.2.4.5. 外包软件开发(g4) 本项要求包括: a)应根据开发要求测试软件质量; b)应在软件安装之前检测软件包中可能存在的恶意代码; c)应要求开发单位提供软件设计的相关文档和使用指南; d)应要求开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 8.2.4.6. 工程实施(g4) 本项要求包括: a)应指定或授权专门的部门或人员负责工程实施过程的管理; b)应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程; c)应制定工程实施方面的管理制度明确说明实施过程的控制方法和人员行为准则; d)应通过第三方工程监理控制项目的实施过程。 8.2.4.7. 测试验收(g4) 本项要求包括: a)应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告; b)在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告; c)应对系统测试验收的控制方法和人员行为准则进行书面规定; d)应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作; e)应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。 8.2.4.8. 系统交付(g4) 本项要求包括: a)应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b)应对负责系统运行维护的技术人员进行相应的技能培训; c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档; d)应对系统交付的控制方法和人员行为准则进行书面规定; e)应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作。 8.2.4.9. 系统备案(g4) 本项要求包括: a)应指定专门的部门或人员负责管理系统定级的相关材料,并控制这些材料的使用; b)应将系统等级的相关材料报系统主管部门备案; c)应将系统等级及其他要求的备案材料报相应公安机关备案。 8.2.4.10.等级测评(g4) 本项要求包括: a)在系统运行过程中,应至少每半年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改; b)应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造;发现不符合相应等级保护标准要求的及时整改; c)应选择具有国家相关技术资质和安全资质的测评单位进行等级测评; d)应指定或授权专门的部门或人员负责等级测评的管理。 8.2.4.11.安全服务商选择(g4) 本项要求包括: a)应确保安全服务商的选择符合国家的有关规定; b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任; c)应确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同。 8.2.5.系统运维管理 8.2.5.1. 环境管理(g4) 本项要求包括: a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理; 1) 应每季度对机房供配电、空调、ups等设施进行维护管理并保存相关维护记录; 2) 应每年对防盗报警、防雷、消防等装置进行检测维护并保存相关维护记录。 b)应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理; c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定; d)应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等; e)应对机房和办公环境实行统一策略的安全管理,对出入人员进行相应级别的授权,对进入重要安全区域的活动行为实时监视和记录。 8.2.5.2. 资产管理(g4) 本项要求包括: |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!