【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第2页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对证券期货业信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。 本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。 在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 相对于《信息安全技术 信息系统安全等级保护测评要求(报批稿)》,本标准文字中,明确、细化和调整的内容以楷体字表示。 证券期货业信息系统安全等级保护测评要求(试行) 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、运营使用单位对证券期货业信息系统安全等级保护状况进行的安全测试评估。国家信息安全监管职能部门及证券期货监管部门依法进行的信息安全等级保护监督检查可以参考使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 gb/t 5271.8 信息技术 词汇 第8部分:安全 jr/t 0060-2010 证券期货业信息系统安全等级保护基本要求(试行) 3 术语和定义 gb/t 5271.8和jr/t 0060-2010所确立的以及下列术语和定义适用于本标准。 3.1 访谈 interview 访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。 3.2 检查 examination 检查是指测评人员通过对测评对象(如制度文档、各类设备、安全配置等)进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。 3.3 测试 testing 测试是指测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。 4 概述 4.1 测评框架 信息系统安全等级保护测评(以下简称等级测评)的概念性框架由三部分构成:测评输入、测评过程和测评输出。测评输入包括jr/t 0060-2010第四级目录(即安全控制点的唯一标识符)和采用该安全控制的信息系统的安全保护等级(含业务信息安全保护等级和系统服务保护等级)。过程组件为一组与输入组件中所标识的安全控制相关的特定测评对象和测评方法,输出组件包括一组由测评人员使用的用于确定安全控制有效性的程序化陈述。图4.1给出了框架。 图4.1 概念性框架 测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等。 制度文档是指针对信息系统所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功能规格及建筑设计)。各类设备是指安装在信息系统之内或边界,能起到特定保护作用的相关部件(如:硬件、软件、固件或物理设施)。安全配置是指信息系统所使用的设备为了贯彻安全策略而进行的设置。相关人员或部门,是指应用上述制度、设备及安全配置的人。 对于框架来说,每一个被测安全控制(不同级别)均有一组与之相关的预先定义的测评对象(如制度文档、各类设备及其安全配置和相关人员)。 测评方法:在框架的测评过程组件中,测评方法包括:访谈、检查和测试,测评人员通过这些方法试图获取证据。上述三种测评方法(访谈、检查和测评)的测评结果都用以对安全控制的有效性进行评估。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!