【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第37页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 7.2.4.3 产品采购和使用 7.2.4.3.1 测评指标 见jr/t 0060-2010 7.2.4.3。 7.2.4.3.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否有专门的部门负责产品的采购,由何部门负责; b)应访谈系统建设负责人,询问系统是否采用了密码产品,密码产品的采购和使用是否符合国家密码主管部门的要求; c)应访谈系统建设负责人,询问系统使用的有关信息安全产品是否符合国家的有关规定,如安全产品获得了销售许可证等; d)应访谈系统建设负责人,询问采购产品前是否预先对产品进行选型测试确定产品的候选范围,是否有产品采购清单指导产品采购,是否定期审定和更新候选产品采购清单,审定周期多长; e)应抽样检查安全产品和密码产品的相关凭证,如销售许可等,查看是否使用了符合国家有关规定产品; f)应检查是否具有产品选型测试结果文档、候选产品采购清单及审定或更新的记录。 7.2.4.3.3 结果判定 如果7.2.4.3.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.4.4 自行软件开发 7.2.4.4.1 测评指标 见jr/t 0060-2010 7.2.4.4。 7.2.4.4.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否进行自主开发软件,是否对程序资源库的修改、更新、发布进行授权和批准,授权部门是何部门,批准人是何人,是否要求开发人员不能做测试人员(即二者分离),自主开发软件是否在独立的模拟环境中完成编码和调试,如相对独立的网络区域; b)应访谈系统建设负责人,询问软件设计相关文档是否由专人负责保管,负责人是何人,如何控制使用,测试数据和测试结果是否受到控制; c)应访谈软件开发人员,询问其是否了解软件开发管理制度,是否了解代码编写安全规范,是否按照代码编写安全规范进行软件开发; d)应检查软件开发管理制度,查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则,是否明确哪些开发活动应经过授权、审批; 检查同一组件或子系统的开发人员和测试人员是否人员分离。 e)应检查代码编写安全规范,查看规范中是否明确代码编写规则,应抽样部分源代码,检查是否按照代码编写安全规范开发; f)应检查对程序资源库的修改、更新、发布进行授权和审批的文档或记录,查看是否有批准人的签字; g)应检查是否具有软件开发相关文档(源代码、测试数据、测试结果等)的使用控制记录。 h)应检查是否具有软件使用指南或操作手册等。 i)应检查网络拓扑图和实际开发环境,查看是否实际运行环境和开发环境有效隔离。 7.2.4.4.3 结果判定 如果7.2.4.4.2 a)-i)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.4.5 外包软件开发 7.2.4.5.1 测评指标 见jr/t 0060-2010 7.2.4.5。 7.2.4.5.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问软件交付前是否依据开发要求的技术指标对软件功能和性能等进行验收测试,软件安装之前是否检测软件中的恶意代码; b)应访谈系统建设负责人,是否要求开发单位提供源代码,是否根据源代码对软件中可能存在的后门进行审查; c)应检查是否具有软件开发的相关文档,如需求分析说明书、软件设计说明书等,是否具有软件操作手册或使用指南。 d)应检查部分软件源代码,查看是否具有源代码,应检查软件源代码审查记录,查看是否包括对可能存在后门的审查结果。 7.2.4.5.3 结果判定 如果7.2.4.5.4 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.4.6 工程实施 7.2.4.6.1 测评指标 见jr/t 0060-2010 7.2.4.6。 7.2.4.6.2 测评实施 本项要求包括: a) 应访谈系统建设负责人,询问是否指定专门部门或人员对工程实施过程进行进度和质量控制,由何部门/何人负责; b) 应访谈系统建设负责人,询问是否要求工程实施单位提供其能够实施安全工程的资质证明和能力保证; c) 应检查系统建设方面的管理制度,查看其是否包括工程实施过程的控制方法、实施参与人员的行为准则等方面内容; d) 应检查工程实施方案,查看其是否包括工程时间限制、进度控制和质量控制等方面内容,是否按照工程实施方面的管理制度进行各类控制、产生阶段性文档等。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!