【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第32页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] 8.2.5.12.安全事件处置(g4) 本项要求包括: a)应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点; b)应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责; c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分; d)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等; e)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存; f)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序; g)发生可能涉及国家秘密的重大失、泄密事件,应按照有关规定向公安、安全、保密等部门汇报; h)应严格控制参与涉及国家秘密事件处理和恢复的人员,重要操作要求至少两名工作人员在场并登记备案。 8.2.5.13.应急预案管理(g4) 本项要求包括: a)应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容; b)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障; c)应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次; d)应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期; 应至少每年对应急预案进行演练。 e)应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行; 应规定每年审查应急预案,根据实际情况更新应急预案的内容,并按照执行。 f)应随着信息系统的变更定期对原有的应急预案重新评估,修订完善。 9.第五级基本要求 (略)。 附录a (规范性附录) 关于证券期货业信息系统整体安全保护能力的要求 证券期货业信息系统安全等级保护的核心是保证不同安全保护等级的信息系统具有相适应的安全保护能力。本标准第4章提出了不同安全保护等级信息系统的安全保护能力要求,第5章到第9章分别针对不同安全保护等级信息系统应该具有的安全保护能力提出了相应的基本安全要求,满足基本安全要求是保证信息系统具有相应等级的安全保护能力的前提。 依据本标准分层面采取各种安全措施时,还应考虑以下总体性要求,保证信息系统的整体安全保护能力。 a)构建纵深的防御体系 本标准从技术和管理两个方面提出基本安全要求,在采取由点到面的各种安全措施时,在系统整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系,保证信息系统整体的安全保护能力。应从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种安全措施,形成纵深防御体系。 b)采取互补的安全措施 本标准以安全控制组件的形式提出基本安全要求,在将各种安全控制组件集成到特定信息系统中时,应考虑各个安全控制组件的互补性,关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系,保证各个安全控制组件共同综合作用于信息系统的安全功能上,使得信息系统的整体安全保护能力得以保证。 c)保证一致的安全强度 本标准将基本安全功能要求,如身份鉴别、访问控制、安全审计、入侵防范、安全标记等内容,分解到信息系统中的各个层面,在实现各个层面安全功能时,应保证各个层面安全功能实现强度的一致性。应防止某个层面安全功能的减弱导致系统整体安全保护能力在这个安全功能上消弱。如要实现双因子身份鉴别,则应在各个层面的身份鉴别上均实现双因子身份鉴别;要实现强制访问控制,则应保证在各个层面均给予低层操作系统实现强制访问控制,并保证标记数据在整个信息系统内部流动时标记的唯一性等。 d)建立统一的支撑平台 本标准在较高级别信息系统的安全功能要求上,提到了使用密码技术,多数安全功能(如身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等)为了获得更高的强度,均要基于密码技术,为了保证信息系统整体安全防护能力,应建立基于密码技术的统一支撑平台,支持高强度身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等安全功能的实现。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!