【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第4页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] b)应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。 5.1.4.3. 通信完整性(s1) 应采用约定通信会话方式的方法保证通信过程中数据的完整性。 5.1.4.4.软件容错(a1) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。 5.1.5.数据安全及备份恢复 5.1.5.1.数据完整性(s1) 应能够检测到重要用户数据在传输过程中完整性受到破坏。 5.1.5.2.备份和恢复(a1) 应能够对重要信息进行备份和恢复。 5.2. 管理要求 5.2.1. 安全管理制度 5.2.1.1. 管理制度(g1) 应建立日常管理活动中常用的安全管理制度。 5.2.1.2.制定和发布(g1) 本项要求包括: a)应指定或授权专门的人员负责安全管理制度的制定; b)应将安全管理制度以某种方式发布到相关人员手中。 5.2.2.安全管理机构 5.2.2.1.岗位设置(g1) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。 5.2.2.2. 人员配备(g1) 应配备一定数量的系统管理员、网络管理员、安全管理员等。 5.2.2.3.授权和审批(g1) 应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。 重要审批授权记录应留档备查。 5.2.2.4.沟通和合作(g1) 应加强与兄弟单位、公安机关、电信公司的合作与沟通。 应加强与兄弟单位、公安机关、通信运营商、供电部门、银行等单位和部门的合作与沟通。 5.2.3.人员安全管理 5.2.3.1.人员录用(g1) 本项要求包括: a)应指定或授权专门的部门或人员负责人员录用; b)应对被录用人员的身份和专业资格等进行审查,并确保其具有基本的专业技术水平和安全管理知识。 5.2.3.2.人员离岗(g1) 本项要求包括: a)应立即终止由于各种原因离岗员工的所有访问权限; b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 5.2.3.3.安全意识教育和培训(g1) 本项要求包括: a)应对各类人员进行安全意识教育和岗位技能培训; b)应告知人员相关的安全责任和惩戒措施。 5.2.3.4.外部人员访问管理(g1) 应确保在外部人员访问受控区域前得到授权或审批。 5.2.4.系统建设管理 5.2.4.1. 系统定级(g1) 本项要求包括: a)应明确信息系统的边界和安全保护等级; b)应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由; c)应确保信息系统的定级结果经过相关部门的批准。 5.2.4.2.安全方案设计(g1) 本项要求包括: a)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; b)应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案; c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案。 5.2.4.3.产品采购和使用(g1) 应确保安全产品采购和使用符合国家的有关规定。 5.2.4.4.自行软件开发(g1) 本项要求包括: a)应确保开发环境与实际运行环境物理分开; b)应确保软件设计相关文档由专人负责保管。 5.2.4.5. 外包软件开发(g1) 本项要求包括: a)应根据开发要求检测软件质量; b)应在软件安装之前检测软件包中可能存在的恶意代码; c)应确保提供软件设计的相关文档和使用指南。 5.2.4.6.工程实施(g1) 应指定或授权专门的部门或人员负责工程实施过程的管理。 5.2.4.7.测试验收(g1) 本项要求包括: a)应对系统进行安全性测试验收; b)在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告。 5.2.4.8.系统交付(g1) 本项要求包括: a)应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b)应对负责系统运行维护的技术人员进行相应的技能培训; c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。 5.2.4.9.安全服务商选择(g1) 本项要求包括: a)应确保安全服务商的选择符合国家的有关规定; b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!