【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第23页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 6.2.5.10.3 结果判定 如果6.2.5.10.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.5.11 安全事件处置 6.2.5.11.1 测评指标 见jr/t 0060-2010 6.2.5.11。 6.2.5.11.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否告知用户在发现安全弱点和可疑事件时应及时报告; b) 应检查是否有安全事件报告和处置管理制度,查看其是否明确安全事件的级别,明确不同级别安全事件的报告和处置方式等内容; c) 应检查安全事件处理记录,查看其是否记录引发安全事件的原因,是否记录事件处理过程,是否与管理规定的处理要求一致等。 6.2.5.11.3 结果判定 如果6.2.5.11.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.5.12 应急预案管理 6.2.5.12.1 测评指标 见jr/t 0060-2010 6.2.5.12。 6.2.5.12.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否制定不同事件的应急预案,是否对系统相关人员进行应急预案培训,多长时间举办一次; b) 应检查应急预案框架,查看其内容是否覆盖启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等方面; c) 应检查是否具有根据应急预案框架制定的不同事件的应急预案; 6.2.5.12.3 结果判定 如果6.2.5.12.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7 第三级信息系统单元测评 7.1 安全技术测评 7.1.1 物理安全 7.1.1.1 物理位置的选择 7.1.1.1.1 测评指标 见jr/t 0060-2010 7.1.1.1。 7.1.1.1.2 测评实施 本项要求包括: a)应访谈物理安全负责人,询问机房和办公场地所在建筑物是否具有防震、防风和防雨等能力; b)应检查是否有机房和办公场地所在建筑物抗震设防审批文档; 检查机房和办公场地的设计、验收文档或相关证据,查看机房和办公场地所在建筑的防震能力说明。 c)应检查机房和办公场地所在建筑物是否具有防风和防雨等能力; 1)检查机房和办公场地的设计、验收文档或相关证据,查看机房和办公场地所在建筑的防风和防雨说明; 2)检查设计、验收文档是否与机房和办公场地实际情况相符合; 3)如果机房外墙壁有对外的窗户,检查是否采用了双层固定窗,并做了密封、防水处理。 d)应检查机房场地是否不在用水区域的垂直下方; e)如果机房场地位于建筑物的高层或地下室或用水设备的隔壁,应检查机房是否采取了防水和防潮措施。 如果机房位于建筑物的顶层、地下室或用水设备的隔壁或下层,应检查是否有相应的防水和防潮措施,防水和防潮措施是否有验收合格的记录。 7.1.1.1.3 结果判定 如果7.1.1.1.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.1.2 物理访问控制 7.1.1.2.1 测评指标 见jr/t 0060-2010 7.1.1.2。 7.1.1.2.2 测评实施 本项要求包括: a)应检查机房出入口是否有专人值守负责控制并鉴别进入机房的人员,是否有值守记录; 检查是否由专人负责管理机房出入,人员进出监控记录是否保存3个月以上。 b)应检查机房是否不存在专人值守之外的其他开放出入口; c)应检查是否有来访人员进入机房的登记记录; d)应检查是否有来访人员进入机房的申请、审批记录,查看申请、审批记录是否包括来访人员的访问范围; 检查对外来人员出入机房是否有审批流程,记录带进带出的设备、进出时间、工作内容,记录应保存3个月以上。 e)应检查来访人员进入机房时是否对其行为进行限制和监控; 应访谈物理安全负责人,了解是否有专人陪同来访人员。 f)应检查机房是否合理划分区域,是否在机房重要区域前设置交付或安装等过渡区域;是否在不同机房间和同一机房不同区域间设置了有效的物理隔离装置; g)应检查重要区域是否配置了电子门禁系统,查看电子门禁系统是否有验收文档或产品安全认证资质; h)应检查部署在机房重要区域的电子门禁系统是否正常工作(不考虑断电后的工作情况);检查电子门禁系统记录,查看是否能够鉴别和记录进入人员的身份;检查是否有电子门禁系统运行、定期检查和维护记录。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!