【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第64页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 10.2 安全控制点间测评 在单元测评完成后,如果信息系统的某个安全控制点中的要求项存在不符合或部分符合,应进行安全控制点间测评,应分析在同一功能区域同一层面内,是否存在其他安全控制点对该安全控制点具有补充作用(如物理访问控制和防盗窃、安全审计和抗抵赖等)。同时,分析是否存在其他的安全措施或技术与该要求项具有相似的安全功能。 根据测评分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失,如果经过综合分析单元测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则该安全控制点对应的单元测评结论应调整为符合。 10.3 层面间测评 在单元测评完成后,如果信息系统的某个安全控制点中的要求项存在不符合或部分符合,应进行层面间安全测评,重点分析其他层面上功能相同或相似的安全控制点是否对该安全控制点存在补充作用(如应用层加密与网络层加密、主机层与应用层上的身份鉴别等),以及技术与管理上各层面的关联关系(如主机安全与系统运维管理、应用安全与系统运维管理等)。 根据测评分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失,如果经过综合分析单元测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则该安全控制点对应的单元测评结论应调整为符合。 10.4 区域间测评 在单元测评完成后,如果信息系统的某个安全控制点中的要求项存在不符合或部分符合,应进行区域间安全测评,重点分析系统中访问控制路径(如不同功能区域间的数据流流向和控制方式),是否存在区域间安全功能的相互补充。 根据测评分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失,如果经过综合分析单元测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则该安全控制点对应的单元测评结论应调整为符合。 11 等级测评结论 11.1 各层面的测评结论 等级测评报告可以给出信息系统在安全技术和安全管理各个层面的测评结论。 汇总单元测评结果,可以给出安全技术和安全管理上各个层面的等级测评结论。在安全技术五个层面的等级测评结论中,通常物理安全测评结论应重点给出信息系统在防范各种自然灾害和人为物理破坏方面安全控制措施的落实情况;网络安全测评结论应重点给出信息系统在网络结构安全、网络访问控制和入侵检测、防范等方面安全控制措施的落实情况;主机安全测评结论应重点给出身份鉴别、访问控制、安全审计和恶意代码防范等方面安全控制措施的落实情况;应用安全测评结论应重点给出身份鉴别、访问控制、安全审计和通信保密等方面的安全控制措施的落实情况;数据安全及备份恢复测评结论应重点给出数据保密性、数据完整性和备份恢复功能安全控制措施的落实情况等。在安全管理五个方面的等级测评结论中,通常安全管理制度应重点给出管理制度体系的完备性和制修订的及时性等方面的测评结论;安全管理机构应重点给出机构、岗位设置和人员配备等方面的测评结论;人员安全管理应重点给出人员录用、离岗和培训等方面的测评结论;系统建设管理可重点给出安全方案设计、产品采购、系统的测试验收和交付等方面的测评结论;系统运维管理可重点给出系统监控管理、网络和系统安全管理、恶意代码防范管理、密码管理以及应急预案管理等方面的测评结论。 不同等级信息系统在不同层面上会有不同的关注点,应反映到相应层面的等级测评结论中。 11.2 风险分析和评价 等级测评报告中应对整体测评之后单元测评结果中的不符合项或部分符合项进行风险分析和评价。 采用风险分析的方法对单元测评结果中存在的不符合项或部分符合项,分析所产生的安全问题被威胁利用的可能性,判断其被威胁利用后对业务信息安全和系统服务安全造成影响的程度,综合评价这些不符合项或部分符合项对信息系统造成的安全风险。 11.3 测评结论 等级测评报告应给出信息系统安全等级保护测评结论,确认信息系统达到相应等级保护要求的程度。 应结合各层面的测评结论和对单元测评结果的风险分析给出等级测评结论: a) 如果单元测评结果中没有不符合项或部分符合项,则测评结论为“符合”; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!