【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第6页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 5.1.4.1.2 测评实施 本项要求包括: a)应检查关键应用系统,查看是否提供身份标识和鉴别功能; b)应检查关键应用系统,查看是否提供登录失败处理功能,是否根据安全策略设置了登录失败次数等参数。 5.1.4.1.3 结果判定 如果5.1.4.1.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.4.2 访问控制 5.1.4.2.1 测评指标 见jr/t 0060-2010 5.1.4.2。 5.1.4.2.2 测评实施 本项要求包括: a)应检查关键应用系统,查看系统是否提供访问控制功能控制用户组或用户对系统功能和用户数据的访问; b)应检查关键应用系统,查看是否限制了默认账户的访问权限,是否修改了这些账户的默认口令; c)应检查关键应用系统,查看是否删除多余的、过期的账户。 5.1.4.2.3 结果判定 如果5.1.4.2.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.4.3 通信完整性 5.1.4.3.1 测评指标 见jr/t 0060-2010 5.1.4.3。 5.1.4.3.2 测评实施 应检查设计、验收文档或源代码,查看是否有关于保护通信完整性的描述。 5.1.4.3.3 结果判定 如果5.1.4.3.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.4.4 软件容错 5.1.4.4.1 测评指标 见jr/t 0060-2010 5.1.4.4。 5.1.4.4.2 测评实施 本项要求包括: a)应检查设计或验收文档,查看应用系统有对人机接口输入或通信接口输入的数据进行有效性检验功能的说明; b)应测试关键应用系统,查看应用系统是否能明确拒绝不符合格式要求数据。 5.1.4.4.3 结果判定 如果5.1.4.4.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.5 数据安全及备份恢复 5.1.5.1 数据完整性 5.1.5.1.1 测评指标 见jr/t 0060-2010 5.1.5.1。 5.1.5.1.2 测评实施 应检查应用系统的设计、验收文档或源代码,查看是否有关于能检测重要业务数据传输过程中完整性受到破坏的描述。 5.1.5.1.3 结果判定 如果5.1.5.1.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.5.2 备份和恢复 5.1.5.2.1 测评指标 见jr/t 0060-2010 5.1.5.2。 5.1.5.2.2 测评实施 应检查是否对关键网络设备、关键主机操作系统、关键数据库管理系统和关键应用系统的重要信息进行了备份,并定期进行恢复测试。 5.1.5.2.3 结果判定 如果5.1.5.2.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2 安全管理测评 5.2.1 安全管理制度 5.2.1.1 管理制度 5.2.1.1.1 测评指标 见jr/t 0060-2010 5.2.1.1。 5.2.1.1.2 测评实施 应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和运维等层面。 5.2.1.1.3 结果判定 如果5.2.1.1.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.1.2 制定和发布 5.2.1.2.1 测评指标 见jr/t 0060-2010 5.2.1.2。 5.2.1.2.2 测评实施 本项要求包括: a)应访谈系统安全负责人,询问是否由专人负责制定安全管理制度; b)应访谈系统安全负责人,询问安全管理制度是否能够发布到相关人员手中。 5.2.1.2.3 结果判定 如果5.2.1.2.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.2 安全管理机构 5.2.2.1 岗位设置 5.2.2.1.1 测评指标 见jr/t 0060-2010 5.2.2.1。 5.2.2.1.2 测评实施 本项要求包括: a)应访谈系统安全负责人,询问信息系统是否设置了相关管理岗位,各个岗位的职责分工是否明确; b)应检查岗位职责分工文档,查看是否明确了相关岗位的职责。 5.2.2.1.3 结果判定 如果5.2.2.1.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.2.2 人员配备 5.2.2.2.1 测评指标 见jr/t 0060-2010 5.2.2.2。 5.2.2.2.2 测评实施 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!