【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第16页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 6.1.4.5 通信保密性 6.1.4.5.1 测评指标 见jr/t 0060-2010 6.1.4.5。 6.1.4.5.2 测评实施 本项要求包括: a)应检查设计、验收文档或源代码,查看是否有关于保护通信保密性的说明,如果有则查看在通信双方建立连接之前利用密码技术进行会话初始化验证的描述,以及对通信过程中的敏感信息字段进行加密的描述; b)应测试关键应用系统,通过查看通信双方数据包的内容,查看系统是否能在通信双方建立连接之前,利用密码技术进行会话初始化验证(如ssl建立加密通道前是否利用密码技术进行了会话初始化验证);并系统在通信过程中,对敏感信息字段是否进行加密。 对通过互联网、卫星网进行通信的系统,检查是否对整个报文或会话过程进行加密。 6.1.4.5.3 结果判定 如果6.1.4.5.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.4.6 软件容错 6.1.4.6.1 测评指标 见jr/t 0060-2010 6.1.4.6。 6.1.4.6.2 测评实施 本项要求包括: a)应检查设计或验收文档,查看是否有对人机接口输入或通信接口输入的数据进行有效性检验,在故障发生时继续提供一部分功能确保实施必要的措施的描述; b)应测试关键应用系统,查看应用系统是否能明确拒绝不符合格式要求数据; c)应测试关键应用系统,验证在故障发生时是否继续提供一部分功能,确保能够实施必要的措施。 6.1.4.6.3 结果判定 如果6.1.4.6.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.4.7 资源控制 6.1.4.7.1 测评指标 见jr/t 0060-2010 6.1.4.7。 6.1.4.7.2 测评实施 本项要求包括: a)应检查关键应用系统的配置参数,查看是否提供对最大并发会话连接数进行限制; b)应测试关键应用系统,查看能否对单个帐户的多重并发会话进行限制; c)应测试关键应用系统,当通信双方中的一方在一段时间内未作任何响应,查看另一方是否能够自动结束会话。 6.1.4.7.3 结果判定 如果6.1.4.7.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.5 数据安全及备份恢复 6.1.5.1 数据完整性 6.1.5.1.1 测评指标 见jr/t 0060-2010 6.1.5.1。 6.1.5.1.2 测评实施 本项要求包括: a)如果关键网络设备、关键主机操作系统和关键数据库管理系统能够进行远程管理,则应查看其能否检测鉴别信息在传输过程中完整性受到了破坏; b)应检查应用系统的设计、验收文档或源代码,查看是否有关于能检测鉴别信息和重要业务数据传输过程中完整性受到破坏的描述。 6.1.5.1.3 结果判定 如果6.1.5.1.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.5.2 数据保密性 6.1.5.2.1 测评指标 见jr/t 0060-2010 6.1.5.2。 6.1.5.2.2 测评实施 应检查关键网络设备、关键主机操作系统、关键数据库管理系统和关键应用系统,查看其鉴别信息是否采用加密或其他有效措施实现了存储保密性。 6.1.5.2.3 结果判定 如果6.1.5.2.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.5.3 备份和恢复 6.1.5.3.1 测评指标 见jr/t 0060-2010 6.1.5.3。 6.1.5.3.2 测评实施 本项要求包括: a)应检查是否对关键网络设备、关键主机操作系统、关键数据库管理系统和关键应用系统的重要信息进行了备份,并定期进行恢复测试; b)应检查关键网络设备、通信线路和数据处理系统(如包含数据库管理系统在内的数据库服务器)是否提供硬件冗余。 6.1.5.3.3 结果判定 如果6.1.5.3.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2 安全管理测评 6.2.1 安全管理制度 6.2.1.1 管理制度 6.2.1.1.1 测评指标 见jr/t 0060-2010 6.2.1.1。 6.2.1.1.2 测评实施 本项要求包括: a)应检查信息安全工作的总体方针和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等; b)应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和运维等层面的管理内容; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!