【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第63页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] f)应检查对灾难恢复计划的测试文档或记录,查看测试内容是否包括运行系统恢复、人员协调、备用系统性能测试、通信连接等方面,如果做过修订,查看是否有修订后的版本。 8.2.5.11.3 结果判定 如果8.2.5.11.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.5.12 安全事件处置 8.2.5.12.1 测评指标 见jr/t 0060-2010 8.2.5.12。 8.2.5.12.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否告知用户在发现安全弱点和可疑事件时应及时报告,对重大的失、泄密事件是否向公安、安全、保密、机要等国家部门汇报,处理涉密事件时是否要求两人或两人以上在场; b) 应检查是否有安全事件报告和处置管理制度,查看其是否明确安全事件的级别,明确不同级别安全事件的报告和处置方式等内容; c) 应检查是否有安全事件报告和处置管理制度,查看其是否细化了不同安全事件的处理和报告程序,是否明确具体报告方式、报告内容、报告人等方面内容,造成系统中断和造成信息泄密的重大安全事件是否采用了不同于其他的处理程序和报告程序; d) 应检查安全事件处理记录,查看其是否记录引发安全事件的原因,是否记录事件处理过程,是否与管理规定的处理要求一致等。 8.2.5.12.3 结果判定 如果8.2.5.12.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.5.13 应急预案管理 8.2.5.13.1 测评指标 见jr/t 0060-2010 8.2.5.13。 8.2.5.13.2 测评实施 本项要求包括: a) 应访谈系统运维负责人,询问是否具有应急预案小组,询问是否制定不同事件的应急预案,应急预案执行所需资金是否做过预算并能够落实; b) 应访谈系统运维负责人,是否对系统相关人员进行应急预案培训,多长时间举办一次,是否定期对应急预案进行演练,演练周期多长,是否对应急预案定期进行审查; c) 应检查是否具有定期审查应急预案的管理规定,查看是否明确应急预案中需要定期审查和根据实际情况更新的内容; 检查是否每年审查应急预案,并根据实际情况更新应急预案的内容,并参照执行。 d) 应检查应急预案框架,查看其内容是否覆盖启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等方面; e) 应检查是否具有根据应急预案框架制定的不同事件的应急预案,是否具有应急预案培训记录、演练记录和审查记录,是否有对应急预案定期修订的纪录。 检查演练记录,查看是否至少每年对应急预案进行演练。 8.2.5.13.3 结果判定 如果8.2.5.13.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 9 第五级信息系统单元测评 (略)。 10 信息系统整体测评 10.1 概述 行标jr/t 0060-2010中的要求项,是为了对抗相应等级的威胁或具备相应等级的恢复能力而设计的,但由于安全措施的实现方式多种多样,安全技术也在不断发展,信息系统的运行使用单位所采用的安全措施和技术并不一定和jr/t 0060-2010的要求项完全一致。因此,需要从信息系统整体上是否能够对抗相应等级威胁的角度,对单元测评中的不符合项和部分符合项进行综合分析,分析这些不符合项或部分符合项是否会影响到信息系统整体安全保护能力的缺失。信息系统的整体测评,就是在单元测评的基础上,评价信息系统的整体安全保护能力有没有缺失,是否能够对抗相应等级的安全威胁。 信息系统整体测评应从安全控制点间、层面间和区域间等方面进行安全分析和测评,并最后从系统结构安全方面进行综合分析,对系统结构进行安全测评。 安全控制点间安全测评是指对同一区域同一层面内的两个或者两个以上不同安全控制点间的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。 层面间安全测评是指对同一区域内的两个或者两个以上不同层面安全控制点间的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。 区域间安全测评是指对两个或者两个以上不同物理或逻辑区域间安全控制点间的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!