【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第38页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 7.2.4.6.3 结果判定 如果7.2.4.6.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.4.7 测试验收 7.2.4.7.1 测评指标 见jr/t 0060-2010 7.2.4.7。 7.2.4.7.2 测评实施 本项要求包括: a) 应访谈系统建设负责人,询问是否有专门的部门负责测试验收工作,由何部门负责;是否委托第三方测试机构对信息系统进行独立的安全性测试; b) 应访谈系统建设负责人,询问是否根据设计方案或合同要求组织相关部门和人员制定工程测试验收方案,并对系统测试验收报告进行审定; c) 应检查系统建设方面的管理制度,查看其是否包括对系统测试验收的控制方法和人员行为准则规定; d) 应检查是否具有工程测试验收方案,查看其是否明确说明参与测试的部门、人员、测试验收内容、现场操作过程等内容,过程控制是否符合管理规定的要求; e) 应检查是否具有系统测试验收报告,是否有相关部门和人员对系统测试验收报告进行审定的意见,是否有第三方测试机构的签字或盖章。 7.2.4.7.3 结果判定 如果7.2.4.7.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.4.8 系统交付 7.2.4.8.1 测评指标 见jr/t 0060-2010 7.2.4.8。 7.2.4.8.2 测评实施 本项要求包括: a) 应访谈系统建设负责人,询问是否有专门的部门负责系统交接工作,系统交接工作是否根据交付清单对所交接的设备、文档、软件等进行清点; b) 应访谈系统建设负责人,询问系统正式运行前是否对运行维护人员进行过培训,针对哪些方面进行过培训; c) 应检查系统建设方面的管理制度,查看其是否包括系统交付的控制方法和人员行为准则的规定; d) 应检查是否具有系统交付清单,查看交付清单是否说明系统交付的各类设备、软件、文档等; e) 应检查系统交付提交的文档,查看是否有指导用户进行系统运维的文档等,提交的文档是否符合管理规定的要求; f) 应检查是否有系统交付技术培训记录,查看是否包括培训内容、培训时间和参与人员等。 7.2.4.8.3 结果判定 如果7.2.4.8.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.4.9 系统备案 7.2.4.9.1 测评指标 见jr/t 0060-2010 7.2.4.9。 7.2.4.9.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否有专门的部门或人员负责管理系统定级的相关文档,由何部门/何人负责;询问对系统定级相关备案文档使用的控制方式; b)应检查是否具有将系统等级及相关材料报主管部门备案的记录或备案文档; c)应检查是否具有将系统等级及相关备案材料报相应公安机关备案的记录或证明。 7.2.4.9.3 结果判定 如果7.2.4.9.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.4.10 安全服务商选择 7.2.4.10.1 测评指标 见jr/t 0060-2010 7.2.4.11。 7.2.4.10.2 测评实施 本项要求包括: a) 应访谈系统建设负责人,询问信息系统选择的安全服务商有哪些,是否符合国家有关规定; b) 应检查是否具有与安全服务商签订的安全责任合同书或保密协议等文档,查看其内容是否包含保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等; c) 应检查是否具有与安全服务商签订的服务合同或安全责任合同书,查看是否明确了后期的技术支持和服务承诺等内容。 7.2.4.10.3 结果判定 如果7.2.4.10.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.5 系统运维管理 7.2.5.1 环境管理 7.2.5.1.1 测评指标 见jr/t 0060-2010 7.2.5.1。 7.2.5.1.2 测评实施 本项要求包括: a)应访谈系统运维负责人,询问是否有专门的部门或人员对机房供配电、空调、温湿度控制等设施进行定期维护,由何部门/何人负责,维护周期多长; b)应访谈系统运维负责人,询问是否有专门的部门或人员对机房的出入、服务器开机/关机等日常工作进行管理,由何部门/何人负责; c)应访谈系统运维负责人,询问为保证办公环境的保密性采取了哪些控制措施,在哪个区域接待来访人员,工作人员调离时是否收回办公室钥匙等; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!