【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第61页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] c)应检查是否具有安全集中管理的相关工具,可以实施对设备状态、恶意代码、补丁升级、安全审计等安全相关事项的集中监控和管理; d)应检查监测记录,查看是否记录监控对象、监控内容、监控的异常现象处理等方面,查看是否对异常现象及处理措施形成分析报告。 8.2.5.5.3 结果判定 如果8.2.5.5.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.5.6 网络安全管理 8.2.5.6.1 测评指标 见jr/t 0060-2010 8.2.5.6。 8.2.5.6.2 测评实施 本项要求包括: a)应访谈系统运维负责人,询问是否指定专门的部门或人员负责网络管理,维护网络运行日志、监控记录,分析处理报警信息等; b)应访谈网络管理员,询问是否定期对网络进行漏洞扫描,扫描周期多长,发现漏洞是否及时修补; 1)询问是否持续跟踪网络设备的安全漏洞隐患的情况; 2)询问修补漏洞前是否进行了必要的测试评估。 c)应访谈网络管理员,询问是否根据厂家提供的软件升级版本对网络设备进行过升级,目前的版本号为多少,升级前是否对重要文件进行备份,采取什么方式备份; d)应访谈网络管理员,网络的外联种类有哪些,是否都得到授权与批准,由何部门或何人批准,申请和批准的过程; e)应检查是否有网络安全管理制度,查看其是否覆盖网络安全配置、安全策略、升级与打补丁、授权访问、日志保存时间、口令更新周期等方面内容; f)应检查是否有网络安全管理制度,查看其是否明确了禁止便携式和移动式设备网络接入的规定,是否明确了网络帐户权限审批、权限分配、帐户注销等方面的规定; g)应检查是否有网络漏洞扫描报告,检查扫描时间间隔与扫描周期是否一致,检查网络设备是否实现了最小服务配置; 1)检查是否至少每月进行一次漏洞扫描,并对漏洞风险持续跟踪,在经过充分的验证测试后,对必要的漏洞开展修补工作; 2)检查漏洞扫描和修补报告,查看扫描和修补工作是否在恰当的时间,对可能存在的风险进行充分评估和准备,制定回退方案,备份重要数据后进行的; 3)检查漏洞扫描和修补报告,查看完成扫描和修补工作后,是否进行了验证测试,以保证网络系统的正常运行。 h)应检查是否具有网络设备配置文件的备份文件,是否离线备份; 检查在设备配置变更前后,是否对网络设备的配置文件进行了备份。 i)应检查是否具有内部网络外联的授权批准书,检查是否有网络违规行为(如拨号上网等)的检查手段和工具。 8.2.5.6.3 结果判定 如果8.2.5.6.2 a)-i)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.5.7 系统安全管理 8.2.5.7.1 测评指标 见jr/t 0060-2010 8.2.5.7。 8.2.5.7.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否指定专门的部门或人员负责系统管理,如根据业务需求和系统安全分析制定系统的访问控制策略,控制分配文件及服务的访问权限; b) 应访谈系统运维负责人,询问是否对系统管理员用户进行分类,明确各个角色的权限、责任和风险,权限设定是否遵循最小授权原则; c) 应访谈系统管理员,询问系统日常管理的主要内容,是否有操作规程指导日常管理工作,包括重要的日常操作、参数的设置和修改等; d) 应访谈系统管理员,询问是否定期对系统进行漏洞扫描,扫描周期多长,发现漏洞是否及时修补,在安装系统补丁前是否对重要文件进行备份,是否先在测试环境中测试通过再安装; 1)检查是否至少每月进行一次漏洞扫描,并对漏洞风险持续跟踪,在经过充分的验证测试后,对必要的漏洞开展修补工作; 2)检查漏洞扫描和修补报告,查看扫描和修补工作是否在恰当的时间,对可能存在的风险进行充分评估和准备,制定回退方案,备份重要数据后进行的; 3)检查漏洞扫描和修补报告,查看完成扫描和修补工作后,是否进行了验证测试,以保证网络系统的正常运行。 e) 应检查是否有系统安全管理制度,查看其内容是否覆盖系统安全策略、安全配置、日志管理和日常操作流程等方面,是否明确了系统帐户权限审批、权限分配、帐户注销等方面的规定; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!