【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第33页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] e)进行集中的安全管理 本标准在较高级别信息系统的安全功能管理要求上,提到了统一安全策略、统一安全管理等要求,为了保证分散于各个层面的安全功能在统一策略的指导下实现,各个安全控制组件在可控情况下发挥各自的作用,应建立安全管理中心,集中管理信息系统中的各个安全控制组件,支持统一安全管理。 附录b (规范性附录) 证券期货业重要信息系统安全要求的选择和使用 信息系统由于承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,即更关注对搭线窃听、假冒用户等可能导致信息泄密、非法篡改等;有的更关注业务的连续性,即更关注保证系统连续正常的运行,免受对系统未授权的修改、破坏而导致系统不可用引起业务中断。 不同安全保护等级的信息系统,其对业务信息的安全性要求和系统服务的连续性要求是有差异的;即使相同安全保护等级的信息系统,其对业务信息的安全性要求和系统服务的连续性要求也有差异。信息系统的安全保护等级由业务信息安全性等级和系统服务保证性等级较高者决定(见gb/t 22240-2008),因此,对某一个定级后的信息系统的安全保护的侧重点可以有多种组合。 对于确定了安全保护等级的信息系统,选择和使用基本安全要求时,可以按照以下过程进行: a)明确信息系统应该具有的安全保护能力,根据信息系统的安全保护等级选择基本安全要求,包括技术要求和管理要求。简单的方法是根据本标准,一级系统选择第一级基本安全要求,二级系统选择第二级基本安全要求,三级系统选择第三级基本安全要求,四级系统选择第四级基本安全要求,以此作为出发点。 b)根据信息系统的定级结果对基本安全要求进行调整。根据系统服务保证性等级选择相应等级的系统服务保证类(a类)基本安全要求;根据业务信息安全性等级选择相应等级的业务信息安全类(s类)基本安全要求。 c)针对证券期货业不同系统的特点,分析可能在某些方面的特殊安全保护能力要求,选择较高级别的基本安全要求或补充基本安全要求。对于本标准中提出的基本安全要求无法实现或有更加有效的安全措施可以替代的,可以对基本安全要求进行调整,调整的原则是保证不降低整体安全保护能力。 保证不同安全保护等级的信息系统具有相应级别的安全保护能力,满足相应级别的基本安全要求,是信息系统等级保护的核心。选用本标准中提供的基本安全要求是保证信息系统具备一定安全保护能力的一种途径和出发点,在此出发点的基础上,可以参考等级保护的其它相关标准和安全方面的其它相关标准,调整和补充基本安全要求,从而实现信息系统在满足等级保护基本要求基础上,又具有自身特点的保护。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!