【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第60页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 8.2.5.2.2 测评实施 本项要求包括: a)应访谈系统运维负责人,询问是否有资产管理的责任人员或部门,由何部门/何人负责; b)应检查是否有资产清单,查看其内容是否覆盖资产责任部门、责任人、所处位置和重要程度等方面; c)应检查是否有资产安全管理方面的制度,查看是否明确信息资产管理的责任部门、责任人,查看其内容是否覆盖资产使用、借用、维护等方面; d)应检查是否有资产安全管理方面的制度,查看是否明确了依据资产的重要程度对资产进行分类和标识管理的方法,是否明确了信息分类标识的原则和方法,是否说明了不同类别的资产采取的不同管理措施。 8.2.5.2.3 结果判定 如果8.2.5.2.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.5.3 介质管理 8.2.5.3.1 测评指标 见jr/t 0060-2010 8.2.5.3。 8.2.5.3.2 测评实施 本项要求包括: a)应访谈资产管理员,询问介质的存放环境是否采取保护措施防止介质被盗、被毁等; b)应访谈资产管理员,询问是否根据介质的目录清单对介质的使用现状进行定期检查; c)应访谈资产管理员,询问是否将介质保管在一个特定环境里,有专人负责,并根据重要性对介质进行分类和标识; d)应访谈资产管理员,询问是否对某些重要介质实行异地存储,异地存储环境是否与本地环境相同; e)应访谈资产管理员,询问是否定期对存储介质的完整性(数据是否损坏或丢失)和可用性(介质是否受到物理破坏)进行检查,是否对重要数据进行加密存储; f)应访谈资产管理员,询问对送出维修或销毁的介质在送出之前是否对介质内存储数据进行净化处理,对介质带出工作环境和重要介质中的数据和软件是否进行保密性处理;对保密性较高的介质销毁前是否有领导批准; g)应访谈资产管理员,询问对介质的物理传输过程是否要求选择可靠传输人员、严格介质的打包、选择安全的物理传输途径、双方在场交付等环节的控制; h)应检查是否有介质安全管理制度,查看是否对介质的存放环境、使用、维护和销毁等方面作出规定,是否明确了保密性较高的信息存储介质应获得批准并在双人监控下才能销毁的要求; i)应检查介质使用管理记录,查看其是否记录介质归档和使用等情况; j)应检查介质存储环境,查看是否对其进行了分类,并具有不同标识; k)应抽样检查重要介质,查看是否可以使用,查看需要加密存储的数据是否加密; l)应模拟保密性介质销毁过程,查看其销毁过程是否符合管理规定要求。 8.2.5.3.3 结果判定 如果8.2.5.3.2 a)-l)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.5.4 设备管理 8.2.5.4.1 测评指标 见jr/t 0060-2010 8.2.5.4。 8.2.5.4.2 测评实施 本项要求包括: a)应访谈系统运维负责人,询问是否有专门的部门或人员对各种设备、线路进行定期维护,,由何部门/何人负责,维护周期多长; 检查配套设施、软硬件维护是否至少每季度进行一次。 b)应检查是否有设备安全管理制度,查看其内容是否对各种软硬件设备的选型、采购、发放和领用等环节进行规定; c)应检查设备安全管理制度中是否有对终端计算机、便携机和网络设备等使用方式、操作原则、注意事项等方面的规定,是否有信息处理设备必须经过审批才能带离机房或办公地点的要求; d)应检查设备安全管理制度中是否有对涉外维修和服务的审批、维修过程的监督控制管理等要求; e)应检查是否有关键设备的操作规程。 8.2.5.4.3 结果判定 如果8.2.5.4.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.5.5 监控管理和安全管理中心 8.2.5.5.1 测评指标 见jr/t 0060-2010 8.2.5.5。 8.2.5.5.2 测评实施 本项要求包括: a)应访谈系统运维负责人,询问是否对通信线路、主机、网络设备和应用软件的运行状况,对设备状态、恶意代码、网络流量、补丁升级、安全审计等安全相关事项进行集中管理,是否形成监测记录文档,是否组织人员对监测记录进行整理并保管; b)应访谈系统运维负责人,询问其是否组织人员定期对监测记录进行分析、评审,是否发现可疑行为并对其采取必要的措施,是否形成分析报告; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!