【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第22页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 如果6.2.5.5.2 a)-h)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.5.6 系统安全管理 6.2.5.6.1 测评指标 见jr/t 0060-2010 6.2.5.6。 6.2.5.6.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否指定专门的部门或人员负责系统管理,如根据业务需求和系统安全分析制定系统的访问控制策略,控制分配文件及服务的访问权限; b) 应访谈系统管理员,询问系统日常管理的主要内容,是否有操作规程指导日常管理工作,包括重要的日常操作、参数的设置和修改等; c) 应访谈系统管理员,询问是否定期对系统进行漏洞扫描,扫描周期多长,发现漏洞是否及时修补,在安装系统补丁前是否对重要文件进行备份,是否先在测试环境中测试通过再安装; 1)检查是否至少每季度进行一次漏洞扫描,并对漏洞风险持续跟踪,在经过充分的验证测试后,对必要的漏洞开展修补工作; 2)检查漏洞扫描和修补报告,查看扫描和修补工作是否在恰当的时间,对可能存在的风险进行充分评估和准备,制定回退方案,备份重要数据后进行的; 3)检查漏洞扫描和修补报告,查看完成扫描和修补工作后,是否进行了验证测试,以保证网络系统的正常运行。 d) 应检查是否有系统安全管理制度,查看其内容是否覆盖系统安全策略、安全配置、日志管理和日常操作流程等方面; e) 应检查是否有系统漏洞扫描报告,检查扫描时间间隔与扫描周期是否一致; f) 应检查是否有详细日常运行维护操作日志。 检查是否至少每月对运行日志和审计数据进行分析。 6.2.5.6.3 结果判定 如果6.2.5.6.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.5.7 恶意代码防范管理 6.2.5.7.1 测评指标 见jr/t 0060-2010 6.2.5.7。 6.2.5.7.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否对员工进行基本恶意代码防范意识的教育,是否告知应及时升级软件版本,使用外来设备、网络上接收文件和外来计算机或存储设备接入网络系统之前进行病毒检查等; b) 应访谈系统运维负责人,询问是否指定专人对恶意代码进行检测,发现病毒后是否及时处理; c) 应检查是否有恶意代码防范方面的管理制度,查看其内容是否覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面。 6.2.5.7.3 结果判定 如果6.2.5.7.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.5.8 密码管理 6.2.5.8.1 测评指标 见jr/t 0060-2010 6.2.5.8。 6.2.5.8.2 测评实施 应访谈系统运维负责人,询问系统中是否使用密码技术和产品,密码技术和产品的使用是否遵照国家密码管理规定。 6.2.5.8.3 结果判定 如果6.2.5.8.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.5.9 变更管理 6.2.5.9.1 测评指标 见jr/t 0060-2010 6.2.5.9。 6.2.5.9.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否针对系统的重大变更制定变更方案指导系统变更工作的开展; b) 应访谈系统运维负责人,询问重要系统变更前是否得到有关领导的批准,由何人批准,对发生的变更情况是否通知了所有相关人员,以何种方式通知; c) 应检查系统变更方案,查看其是否覆盖变更类型、变更原因、变更过程、变更前评估等方面内容; d) 应检查重要系统的变更申请书,查看其是否有主管领导的批准签字。 6.2.5.9.3 结果判定 如果6.2.5.9.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.5.10 备份与恢复管理 6.2.5.10.1 测评指标 见jr/t 0060-2010 6.2.5.10。 6.2.5.10.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否识别出需要定期备份的业务信息、系统数据和软件系统,主要有哪些; b) 应检查备份管理文档,查看其是否明确了备份方式、备份频度、存储介质和保存期等方面内容; c) 应检查数据备份和恢复策略文档,查看其内容是否覆盖备份数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!