【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第41页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 1)检查是否至少每季进行一次漏洞扫描,并对漏洞风险持续跟踪,在经过充分的验证测试后,对必要的漏洞开展修补工作; 2)检查漏洞扫描和修补报告,查看扫描和修补工作是否在恰当的时间,对可能存在的风险进行充分评估和准备,制定回退方案,备份重要数据后进行的; 3)检查漏洞扫描和修补报告,查看完成扫描和修补工作后,是否进行了验证测试,以保证系统的正常运行。 e) 应检查是否有系统安全管理制度,查看其内容是否覆盖系统安全策略、安全配置、日志管理和日常操作流程等方面; f) 应检查是否有系统漏洞扫描报告,检查扫描时间间隔与扫描周期是否一致,检查系统服务是否实现了最小服务配置; g) 应检查是否有详细日常运行维护操作日志。 检查是否至少每月对运行日志和审计数据进行分析。 7.2.5.7.3 结果判定 如果7.2.5.7.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.5.8 恶意代码防范管理 7.2.5.8.1 测评指标 见jr/t 0060-2010 7.2.5.8。 7.2.5.8.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否对员工进行基本恶意代码防范意识的教育,是否告知应及时升级软件版本,使用外来设备、网络上接收文件和外来计算机或存储设备接入网络系统之前进行病毒检查等; b) 应访谈系统运维负责人,询问是否指定专人对恶意代码进行检测,发现病毒后是否及时处理; c) 应访谈安全管理员,询问是否定期检查恶意代码库的升级情况,对截获的危险病毒或恶意代码是否及时进行分析处理,并形成书面的报表和总结汇报; d) 应检查是否有恶意代码防范方面的管理制度,查看其内容是否覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面; e) 应检查是否具有恶意代码检测记录、恶意代码库升级记录和分析报告,查看升级记录是否记录升级时间、升级版本等内容;查看分析报告是否描述恶意代码的特征、修补措施等内容。 7.2.5.8.3 结果判定 如果7.2.5.8.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.5.9 密码管理 7.2.5.9.1 测评指标 见jr/t 0060-2010 7.2.5.9。 7.2.5.9.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问系统中是否使用密码技术和产品,密码技术和产品的使用是否遵照国家密码管理规定; b) 应检查是否具有密码使用方面的管理制度。 7.2.5.9.3 结果判定 如果7.2.5.9.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.5.10 变更管理 7.2.5.10.1 测评指标 见jr/t 0060-2010 7.2.5.10。 7.2.5.10.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否针对系统的重大变更制定变更方案指导系统变更工作的开展; b) 应访谈系统运维负责人,询问变更方案是否经过评审,重要系统变更前是否得到有关领导的批准,由何人批准,对发生的变更情况是否通知了所有相关人员,以何种方式通知; c) 应检查是否有变更管理制度,查看其是否覆盖变更前审批、变更过程记录、变更后通报等方面内容,是否包括变更申报、审批程序,是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面内容; d) 应检查系统变更方案,查看其是否覆盖变更类型、变更原因、变更过程、变更前评估、变更失败恢复程序等方面内容,查看其是否有主管领导的批准签字。 7.2.5.10.3 结果判定 如果7.2.5.10.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.5.11 备份与恢复管理 7.2.5.11.1 测评指标 见jr/t 0060-2010 7.2.5.11。 7.2.5.11.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否识别出需要定期备份的业务信息、系统数据和软件系统,主要有哪些; b) 应检查是否有备份与恢复方面的管理制度,查看其是否明确了备份方式、备份频度、存储介质和保存期等方面内容,是否明确了数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面内容; c) 应访谈系统管理员、数据库管理员和网络管理员,询问是否定期执行恢复程序,周期多长,系统是否按照恢复程序完成恢复,如有问题,是否针对问题改进恢复程序或调整其他因素; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!