【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第3页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 上述的评估方法都由一组相关属性来规范测评方法的测评力度。这些属性是:广度(覆盖面)和深度。对于每一种测评方法都标识(定义)了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法。具体的描述参见附录a。 4.2 等级测评内容 等级测评的实施过程由单元测评和整体测评两部分构成。 针对基本要求各安全控制点的测评称为单元测评。单元测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性。每个单元测评包括测评指标、测评实施和结果判定三部分。其中,测评指标来源于jr/t 0060-2010第四级目录下的各要求项,测评实施描述对测评活动输入、测评对象、测评步骤和方法的要求,结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法。 单元测评满足概念性框架的三部分内容:测评输入、测评过程和测评输出。 整体测评是在单元测评的基础上,通过进一步分析信息系统安全保护功能的整体相关性,对信息系统实施的综合安全测评。整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评。整体测评需要与信息系统的实际情况相结合,因此全面地给出整体测评要求的全部输入,测评实施的具体对象、步骤和方法以及明确的结果判定方法是非常困难的,测评人员应根据被测系统的实际情况,结合本标准的要求,实施整体测评。 4.3 测评力度 测评力度是在测评过程中实施测评工作的力度,反映测评的广度和深度,体现为测评工作的实际投入程度。测评广度越大,测评实施的范围越大,测评实施包含的测评对象就越多;测评深度越深,越需要在细节上展开,测评就越严格,因此就越需要更多的投入。投入越多,测评力度就越强,测评就越有保证。测评的广度和深度落实到访谈、检查和测试三种不同的测评方法上,能体现出测评实施过程中访谈、检查和测试的投入程度的不同。 信息安全等级保护要求不同安全保护等级的信息系统应具有不同的安全保护能力,满足相应等级的保护要求。为了检验不同安全保护等级的信息系统是否具有相应等级的安全保护能力,是否满足相应等级的保护要求,需要实施与其安全保护等级相适应的测评,付出相应的工作投入,达到应有的测评力度。第一级到第四级信息系统的测评力度反映在访谈、检查和测试等三种基本测评方法的测评广度和深度上,落实在不同单元测评中具体的测评实施上。不同安全保护等级的信息系统在总体上所对应的测评力度在附录a中描述。 4.4 使用方法 本标准第5章到第8章分别描述了第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统所有单元测评的内容,在章节上分别对应jr/t 0060-2010的第5章到第8章。在jr/t 0060-2010第5章到第8章中,各章的二级目录都分为安全技术和安全管理两部分,三级目录从安全层面(如物理安全、网络安全、主机安全等)进行划分和描述,四级目录按照安全控制点进行划分和描述(如主机安全层面下分为身份鉴别、访问控制、安全审计等),第五级目录是每一个安全控制点下面包括的具体安全要求项(以下简称“要求项”,这些要求项在本标准中被称为“测评指标”)。本标准中针对每一个安全控制点的测评就构成一个单元测评,单元测评中的每一个具体测评实施要求项(以下简称“测评要求项”)是与安全控制点下面所包括的要求项(测评指标)相对应的。在对每一要求项进行测评时,可能用到访谈、检查和测试三种测试方法,也可能用到其中一种或两种,为了描述简洁,在测评要求项中,没有针对每一个要求项分别进行描述,而是对具有相同测评方法的多个要求项进行了合并描述,但测评实施的内容完全覆盖了jr/t 0060-2010中所有要求项的测评要求,使用时,应当从单元测评的测评实施中抽取出对于jr/t 0060-2010中每一个要求项的测评要求,并按照这些测评要求开发测评指导书,以规范和指导安全等级测评活动。 测评过程中,测评人员应注意对测评记录和证据的采集、处理、存储和销毁,保护其在测评期间免遭破坏、更改或遗失,并保守秘密。 测评的最终输出是测评报告,测评报告应结合第11章的要求给出等级测评结论。 5 第一级信息系统单元测评 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!