【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第39页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] d)应检查是否有机房安全管理制度,查看其内容是否覆盖机房物理访问、物品带进/带出机房和机房环境安全等方面。 e)应检查是否具有空调、温湿度控制等机房设施的维护保养记录,表明定期对这些设施进行了维护保养; 1)检查维护记录,查验是否每季度对机房供配电、空调、ups等设备进行维护管理; 2)检查维护记录,查验是否每年对防盗报警、防雷、消防等装置进行检测维护。 f)应检查办公环境,查看工作人员离开座位时是否退出登录状态、桌面没有敏感信息文件等。 7.2.5.1.3 结果判定 如果7.2.5.1.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.5.2 资产管理 7.2.5.2.1 测评指标 见jr/t 0060-2010 7.2.5.2。 7.2.5.2.2 测评实施 本项要求包括: a)应访谈系统运维负责人,询问是否有资产管理的责任人员或部门,由何部门/何人负责; b)应检查是否有资产清单,查看其内容是否覆盖资产责任部门、责任人、所处位置和重要程度等方面; c)应检查是否有资产安全管理方面的制度,查看是否明确信息资产管理的责任部门、责任人,查看其内容是否覆盖资产使用、借用、维护等方面; d)应检查是否有资产安全管理方面的制度,查看是否明确了依据资产的重要程度对资产进行分类和标识管理的方法,是否明确了信息分类标识的原则和方法,是否说明了不同类别的资产采取的不同管理措施。 7.2.5.2.3 结果判定 如果7.2.5.2.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.5.3 介质管理 7.2.5.3.1 测评指标 见jr/t 0060-2010 7.2.5.3。 7.2.5.3.2 测评实施 本项要求包括: a)应访谈资产管理员,询问介质的存放环境是否采取保护措施防止介质被盗、被毁等; b)应访谈资产管理员,询问是否根据介质的目录清单对介质的使用现状进行定期检查; c)应访谈资产管理员,询问是否将介质保管在一个特定环境里,有专人负责,并根据重要性对介质进行分类和标识; d)应访谈资产管理员,询问是否对某些重要介质实行异地存储,异地存储环境是否与本地环境相同; e)应访谈资产管理员,询问是否定期对存储介质的完整性(数据是否损坏或丢失)和可用性(介质是否受到物理破坏)进行检查,是否对重要数据进行加密存储; f)应访谈资产管理员,询问对送出维修或销毁的介质在送出之前是否对介质内存储数据进行净化处理,对介质带出工作环境和重要介质中的数据和软件是否进行保密性处理;对保密性较高的介质销毁前是否有领导批准; g)应访谈资产管理员,询问对介质的物理传输过程是否要求选择可靠传输人员、严格介质的打包、选择安全的物理传输途径、双方在场交付等环节的控制; h)应检查是否有介质安全管理制度,查看是否对介质的存放环境、使用、维护和销毁等方面作出规定; i)应检查介质使用管理记录,查看其是否记录介质归档和使用等情况; j)应检查介质存储环境,查看是否对其进行了分类,并具有不同标识; k)应抽样检查重要介质,查看是否可以使用,查看需要加密存储的数据是否加密。 7.2.5.3.3 结果判定 如果7.2.5.3.2 a)-k)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.5.4 设备管理 7.2.5.4.1 测评指标 见jr/t 0060-2010 7.2.5.4。 7.2.5.4.2 测评实施 本项要求包括: a)应访谈系统运维负责人,询问是否有专门的部门或人员对各种设备、线路进行定期维护,由何部门/何人负责,维护周期多长; 检查配套设施、软硬件维护是否至少每季度进行一次。 b)应检查是否有设备安全管理制度,查看其内容是否对各种软硬件设备的选型、采购、发放和领用等环节进行规定; c)应检查设备安全管理制度中是否有对终端计算机、便携机和网络设备等使用方式、操作原则、注意事项等方面的规定,是否有信息处理设备必须经过审批才能带离机房或办公地点的要求; d)应检查设备安全管理制度中是否有对涉外维修和服务的审批、维修过程的监督控制管理等要求; e)应检查是否有关键设备的操作规程。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!