【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第57页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] c)应检查外部人员访问重要区域的书面申请文档,是否具有批准人允许访问的批准签字等; d)应检查外部人员访问重要区域的登记记录,查看是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等信息。 8.2.3.5.3 结果判定 如果8.2.3.5.2 a)-d)均为肯定,则该测评指标符合要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.4 系统建设管理 8.2.4.1 系统定级 8.2.4.1.1 测评指标 见jr/t 0060-2010 8.2.4.1。 8.2.4.1.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否参照定级指南确定信息系统安全保护等级,是否组织相关部门和有关安全技术专家对定级结果进行论证和审定; b)应检查系统定级文档,查看文档是否明确信息系统的边界和信息系统的安全保护等级,是否说明定级的方法和理由,是否有相关部门或主管领导的盖章或签名; c)应检查定级结果的论证评审会议文档,查看是否有相关部门和有关安全技术专家对定级结果的论证意见。 8.2.4.1.3 结果判定 如果8.2.4.1.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.4.2 安全方案设计 8.2.4.2.1 测评指标 见jr/t 0060-2010 8.2.4.2。 8.2.4.2.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否授权专门的部门对信息系统的安全建设进行总体规划,由何部门负责; b)应访谈系统建设负责人,询问是否根据信息系统的等级划分情况统一考虑总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等; c)应访谈系统建设负责人,询问是否对安全建设的配套文件进行论证和审定,是否根据等级测评、安全评估的结果定期调整和修订安全建设的配套文件; d)应检查是否有系统安全建设的工作计划,查看文件是否明确了系统的近期安全建设计划和远期安全建设计划; e)应检查是否有系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件,查看各个文件是否有机构管理层的批准; f)应检查配套文件的论证评审记录或文档,查看是否有相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见; g)应检查是否具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本。 8.2.4.2.3 结果判定 如果8.2.4.2.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.4.3 产品采购和使用 8.2.4.3.1 测评指标 见jr/t 0060-2010 8.2.4.3。 8.2.4.3.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否有专门的部门负责产品的采购,由何部门负责; b)应访谈系统建设负责人,询问系统是否采用了密码产品,密码产品的采购和使用是否符合国家密码主管部门的要求; c)应访谈系统建设负责人,询问系统使用的有关信息安全产品是否符合国家的有关规定,如安全产品获得了销售许可证等; d)应访谈系统建设负责人,询问采购产品前是否预先对产品进行选型测试确定产品的候选范围,是否有产品采购清单指导产品采购,是否定期审定和更新候选产品采购清单,审定周期多长; e)应访谈系统建设负责人,询问是否对重要部位的产品委托专业测评单位进行专项测试,是否有专项测试报告; f)应抽样检查安全产品和密码产品的相关凭证,如销售许可等,查看是否使用了符合国家有关规定产品; g)应检查是否具有产品选型测试结果文档、候选产品采购清单及审定或更新的记录,是否有重要部位的产品的专项测试报告。 8.2.4.3.3 结果判定 如果8.2.4.3.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.4.4 自行软件开发 8.2.4.4.1 测评指标 见jr/t 0060-2010 8.2.4.4。 8.2.4.4.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否进行自主开发软件,是否对程序资源库的修改、更新、发布进行授权和批准,授权部门是何部门,批准人是何人,是否要求开发人员不能做测试人员(即二者分离),自主开发软件是否在独立的模拟环境中完成编码和调试,如相对独立的网络区域; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!