【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第5页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] 5.2.5.系统运维管理 5.2.5.1.环境管理(g1) 本项要求包括: a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理; 应每季度对机房供配电、空调、ups等设施进行维护管理并保存相关维护记录。 b)应对机房的出入、服务器的开机或关机等工作进行管理; c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定。 5.2.5.2.资产管理(g1) 应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。 5.2.5.3.介质管理(g1) 本项要求包括: a)应确保介质存放在安全的环境中,对各类介质进行控制和保护; b)应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点。 5.2.5.4.设备管理(g1) 本项要求包括: a)应对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理; 每年至少进行一次维护管理。 b)应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。 5.2.5.5.网络安全管理(g1) 本项要求包括: a)应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作; b)应定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。 1)每半年至少进行一次漏洞扫描,对漏洞风险持续跟踪,在经过充分的验证测试后对必要的 漏洞开展修补工作; 2) 实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,如选择恰当时间,并做好数据备份和回退方案; 3) 漏洞扫描或漏洞修补后应进行验证测试,以保证网络系统的正常运行。 5.2.5.6.系统安全管理(g1) 本项要求包括: a)应根据业务需求和系统安全分析确定系统的访问控制策略; b)应定期进行漏洞扫描,对发现的系统安全漏洞进行及时的修补; 1) 每半年至少进行一次漏洞扫描,对漏洞风险持续跟踪,在经过充分的验证测试后对必要的漏洞开展修补工作; 2) 实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,如选择恰当时间,并做好数据备份和回退方案; 3) 漏洞扫描或漏洞修补后应进行验证测试,以保证系统的正常运行。 c) 应安装系统的最新补丁程序,并在安装系统补丁前对现有的重要文件进行备份。 持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要的补丁进行及时更新,并在安装系统补丁前对现有的重要文件进行备份。 5.2.5.7.恶意代码防范管理(g1) 应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。 5.2.5.8.备份与恢复管理(g1) 本项要求包括: a)应识别需要定期备份的重要业务信息、系统数据及软件系统等; b)应规定备份信息的备份方式、备份频度、存储介质、保存期等。 5.2.5.9.安全事件处置(g1) 本项要求包括: a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点; b)应制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责。 6.第二级基本要求 6.1. 技术要求 6.1.1.物理安全 6.1.1.1.物理位置的选择(g2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 1) 应具有机房或机房所在建筑物符合当地抗震要求的相关证明; 2) 机房外墙壁应没有对外的窗户。否则,应采用双层固定窗,并作密封、防水处理。 6.1.1.2. 物理访问控制(g2) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; 1) 机房出入应当安排专人负责管理,人员进出记录应至少保存3个月; 2) 没有门禁系统的机房,应当安排专人控制、鉴别和记录人员的进出; 3) 有门禁系统的机房,应当采用监控设备将机房人员进出情况传输到值班点,对外来人员出入机房进行控制、鉴别和记录。 b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!