【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第53页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] d) 应测试操作系统、网络设备操作系统、数据库管理系统和应用系统,可通过用嗅探工具获取系统传输数据包,查看是否为密文。 如果通过互联网、卫星网传递系统管理数据、鉴别信息和重要业务数据时,采用抓包分析工具进行抓包分析,验证其是否采取加密方式进行传输。 8.1.5.2.3 结果判定 如果8.1.5.2.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.5.3 备份和恢复 8.1.5.3.1 测评指标 见jr/t 0060-2010 8.1.5.3。 8.1.5.3.2 测评实施 本项要求包括: a) 应检查是否对网络设备、主机操作系统、数据库管理系统和应用系统的重要信息进行了备份,备份方式(如是否为完全数据备份)、频率和介质存放方式是否达到相关标准的要求,是否定期对备份数据进行恢复测试; b) 应检查是否建立了异地灾难备份中心,能否对业务应用进行实时无缝切换; c) 应检查能否对网络设备、主机操作系统、数据库管理系统和应用系统的重要信息进行实时异地备份,实时将数据备份到灾难备份中心; d) 应检查网络设备、主要主机操作系统、主要数据库管理系统和主要应用系统是否对重要信息进行了异地数据备份; e) 应检查网络拓扑结构是否不存在关键节点的单点故障; f) 应检查网络设备、通信线路和数据处理系统(如包含数据库管理系统在内的数据库服务器)是否提供硬件冗余; g) 如果条件允许,应验证能否对业务应用进行实时无缝切换。 8.1.5.3.3 结果判定 如果8.1.5.3.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2 安全管理测评 8.2.1 安全管理制度 8.2.1.1 管理制度 8.2.1.1.1 测评指标 见jr/t 0060-2010 8.2.1.1。 8.2.1.1.2 测评实施 本项要求包括: a)应访谈安全主管,询问机构是否形成全面的信息安全管理制度体系,制度体系是否由总体方针、安全策略、管理制度、操作规程等构成; b)应检查信息安全工作的总体方针和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等; c)应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和运维等层面的管理内容; d)应检查是否具有日常管理操作的操作规程(如系统维护手册和用户操作规程等)。 8.2.1.1.3 结果判定 如果8.2.1.1.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.1.2 制定和发布 8.2.1.2.1 测评指标 见jr/t 0060-2010 8.2.1.2。 8.2.1.2.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否由专门的部门或人员负责制定安全管理制度; b)应访谈安全主管,询问安全管理制度是否能够发布到相关人员手中,是否对制定的安全管理制度进行论证和审定,是否按照统一的格式标准或要求制定,对有密级的管理制度是否采取相应措施有效管理; c)应检查制度制定和发布要求管理文档,查看文档是否说明安全管理制度的制定和发布程序、格式要求、版本编号和密级标注方法等相关内容; d)应检查管理制度评审记录,查看是否有相关人员的评审意见; e)应检查各项安全管理制度文档,查看文档是否是正式发布的文档,是否注明适用和发布范围,是否有版本标识,是否有密级标注,是否有管理层的签字或单位盖章;查看各项制度文档格式是否统一; f)应检查安全管理制度的收发登记记录,查看是否通过正式、有效的方式收发(如正式发文、领导签署和单位盖章等),是否注明发布范围。 8.2.1.2.3 结果判定 如果8.2.1.2.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.1.3 评审和修订 8.2.1.3.1 测评指标 见jr/t 0060-2010 8.2.1.3。 8.2.1.3.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定,是否有专门部门或人员负责制度的日常维护; b)应访谈安全主管,询问评审和修订有密级的安全管理制度时对参加评审和修订的人员是否考虑到相应保密要求; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!