【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第10页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 5.2.5.6.2 测评实施 本项要求包括: a)应访谈系统运维负责人,询问是否指定专门的部门或人员负责系统管理,如根据业务需求和系统安全分析制定系统的访问控制策略,控制分配文件及服务的访问权限; b)应访谈系统管理员,询问是否定期对系统进行漏洞扫描,扫描周期多长,发现漏洞是否及时修补,在安装系统补丁前是否对重要文件进行备份; c)应检查是否有系统漏洞扫描报告,检查扫描时间间隔与扫描周期是否一致。 1)检查是否至少每半年进行一次漏洞扫描,并对漏洞风险持续跟踪,在经过充分的验证测试后,对必要的漏洞开展修补工作; 2)检查漏洞扫描和修补报告,查看扫描和修补工作是否在恰当的时间,对可能存在的风险进行充分评估和准备,制定回退方案,备份重要数据后进行的; 3)检查漏洞扫描和修补报告,查看完成扫描和修补工作后,是否进行了验证测试,以保证网络系统的正常运行。 5.2.5.6.3 结果判定 如果5.2.5.6.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.5.7 恶意代码防范管理 5.2.5.7.1 测评指标 见jr/t 0060-2010 5.2.5.7。 5.2.5.7.2 测评实施 应访谈系统运维负责人,询问是否对员工进行基本恶意代码防范意识的教育,是否告知应及时升级软件版本,使用外来设备、网络上接收文件和外来计算机或存储设备接入网络系统之前应进行病毒检查等。 5.2.5.7.3 结果判定 如果5.2.5.7.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.5.8 备份与恢复管理 5.2.5.8.1 测评指标 见jr/t 0060-2010 5.2.5.8。 5.2.5.8.2 测评实施 本项要求包括: a)应访谈系统运维负责人,询问是否识别出需要定期备份的业务信息、系统数据和软件系统,主要有哪些; b)应检查备份管理文档,查看其是否明确了备份方式、备份频度、存储介质和保存期等方面内容。 5.2.5.8.3 结果判定 如果5.2.5.8.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.5.9 安全事件处置 5.2.5.9.1 测评指标 见jr/t 0060-2010 5.2.5.9。 5.2.5.9.2 测评实施 本项要求包括: a)应访谈系统运维负责人,询问是否告知用户在发现安全弱点和可疑事件时应及时报告; b)应检查是否有安全事件报告和处置管理制度,查看其是否明确安全事件的现场处理、事件报告和后期恢复等内容。 5.2.5.9.3 结果判定 如果5.2.5.9.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6 第二级信息系统单元测评 6.1 安全技术测评 6.1.1 物理安全 6.1.1.1 物理位置的选择 6.1.1.1.1 测评指标 见jr/t 0060-2010 6.1.1.1。 6.1.1.1.2 测评实施 本项要求包括: a)应访谈物理安全负责人,询问机房和办公场地所在建筑物是否具有防震、防风和防雨等能力; b)应检查是否有机房和办公场地所在建筑物抗震设防审批文档; 检查机房和办公场地的设计、验收文档或相关证据,查看机房和办公场地所在建筑的防震能力说明。 c)应检查机房和办公场地所在建筑物是否具有防风和防雨等能力。 1)检查机房和办公场地的设计、验收文档或相关证据,查看机房和办公场地所在建筑的防风和防雨说明; 2)检查设计、验收文档是否与机房和办公场地实际情况相符合; 3)如果机房外墙壁有对外的窗户,检查是否采用了双层固定窗,并做了密封、防水处理。 6.1.1.1.3 结果判定 如果6.1.1.1.2a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.1.2 物理访问控制 6.1.1.2.1 测评指标 见jr/t 0060-2010 6.1.1.2。 6.1.1.2.2 测评实施 本项要求包括: a)应检查机房出入口是否有专人值守负责控制并鉴别进入机房的人员,是否有值守记录; 检查是否由专人负责管理机房出入,人员进出监控记录是否保存3个月以上。 b)应检查机房是否不存在专人值守之外的其他开放的出入口; c)应检查是否有来访人员进入机房的登记记录; d)应检查是否有来访人员进入机房的申请、审批记录,查看申请、审批记录是否包括来访人员的访问范围; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!