【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第19页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] b)应检查外部人员访问管理文档,查看是否具有规范外部人员访问机房等重要区域需经过相关部门或负责人批准的管理要求; c)应检查外部人员访问重要区域的登记记录,查看是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等信息。 6.2.3.5.3 结果判定 如果6.2.3.5.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.4 系统建设管理 6.2.4.1 系统定级 6.2.4.1.1 测评指标 见jr/t 0060-2010 6.2.4.1。 6.2.4.1.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否参照定级指南确定信息系统安全保护等级; b)应检查系统定级文档,查看文档是否明确信息系统的边界和信息系统的安全保护等级,是否说明定级的方法和理由,是否有相关部门或主管领导的盖章或签名。 6.2.4.1.3 结果判定 如果6.2.4.1.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.4.2 安全方案设计 6.2.4.2.1 测评指标 见jr/t 0060-2010 6.2.4.2。 6.2.4.2.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否依据风险分析的结果补充和调整过安全措施,具体做过哪些调整; b)应访谈系统建设负责人,询问安全设计方案是否经过论证和审定,是否经过审批; c)应检查系统的安全设计方案,查看方案是否描述系统的安全保护等级,是否描述系统的安全保护策略,是否根据系统的安全级别选择了安全措施; d)应检查系统的安全设计方案,查看是否详细描述安全措施的实现内容,是否有安全产品的功能、性能和部署等描述,是否有安全建设的费用和计划等; e)应检查安全设计方案专家论证评审记录或文档,查看是否有相关部门和有关安全技术专家对安全设计方案的评审意见。 6.2.4.2.3 结果判定 如果6.2.4.2.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.4.3 产品采购和使用 6.2.4.3.1 测评指标 见jr/t 0060-2010 6.2.4.3。 6.2.4.3.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否有专门的部门负责产品的采购,由何部门负责; b)应访谈系统建设负责人,询问系统是否采用了密码产品,密码产品的采购和使用是否符合国家密码主管部门的要求; c)应访谈系统建设负责人,询问系统使用的有关信息安全产品是否符合国家的有关规定,如安全产品获得了销售许可证等; d)应抽样检查安全产品和密码产品的相关凭证,如销售许可等,查看是否使用了符合国家有关规定产品。 6.2.4.3.3 结果判定 如果6.2.4.3.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.4.4 自行软件开发 6.2.4.4.1 测评指标 见jr/t 0060-2010 6.2.4.4。 6.2.4.4.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否进行自主开发软件; b)应访谈系统建设负责人,询问自主开发软件是否在独立的环境中完成编码和调试,如相对独立的网络区域,询问软件设计相关文档是否由专人负责保管,负责人是何人; c)应检查是否有软件开发方面的管理制度,查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则,是否明确哪些开发活动应经过授权、审批等; d)应检查是否具有软件使用指南或操作手册等。 e)应检查网络拓扑图和实际开发环境,查看是否实际运行环境和开发环境有效隔离。 6.2.4.4.3 结果判定 如果6.2.4.4.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.4.5 外包软件开发 6.2.4.5.1 测评指标 见jr/t 0060-2010 6.2.4.5。 6.2.4.5.2 测评实施 本项要求包括: a) 应访谈系统建设负责人,询问软件交付前是否依据开发要求的技术指标对软件功能和性能等进行验收测试,软件安装之前是否检测软件中的恶意代码; b) 应访谈系统建设负责人,是否要求开发单位提供源代码,是否根据源代码对软件中可能存在的后门进行审查; c) 应检查是否具有软件开发的相关文档,如需求分析说明书、软件设计说明书等,是否具有软件操作手册或使用指南。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!