【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第67页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] e)数据安全 数据安全构成组件主要为信息系统安全功能数据和用户数据提供安全保护。这些数据可能处于传输和处理过程中,也可能处于存储状态。对于传输和处理过程中的数据,一般有机密性和完整性的安全要求,而对于存储中的数据,还需要有备份恢复的安全要求。 安全功能数据主要用于控制和管理信息系统的安全配置设置,使信息系统的安全功能能得到正确有效的执行。传输中的安全功能数据最常见的是用户鉴别信息,一般来说,它需要通过网络从客户端传输到服务器来进行鉴别。存储中的安全功能数据常见的有acl列表、安全检测策略、审计配置等信息。用户数据主要是用于完成应用系统的使命,由应用系统按照应用目标和规则对其进行采集、加工、存储、传输、检索等处理的数据信息。 f)安全管理机构 安全管理机构包括安全管理的岗位设置、人员配备、授权和审批、沟通和合作等方面内容,严格的安全管理应该由相对独立的职能部门和岗位来完成。安全管理机构从组织上保证了信息系统的安全。 g)安全管理制度 在被测系统中,安全管理制度一般是文档化的,被正式制定、评审、发布和修订,内容包括策略、制度、规程、表格和记录等,构成一个塔字结构的文档体系,如图b.1。 安全管理制度规范了各种安全管理制度的制修订和发布行为。安全管理制度直接关系到各种安全控制技术的正确部署、安全配置和合理使用。因此,安全管理制度的制修订和发布行为也将间接影响到信息系统的整体安全。 h)人员安全管理 人员安全管理包括信息系统用户、安全管理人员和第三方人员的管理,覆盖人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员管理等方面内容。工作人员直接运行、管理和维护信息系统的各种设备、设施和相关技术手段,与他们直接发生关联关系。因此,他们的知识结构和工作能力直接影响到信息系统其他层面的安全。 i)系统建设管理 系统建设管理包括系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全测评、系统备案等信息系统安全等级建设的各个方面。信息系统的安全是一个过程,是一项工程,它不但涉及到当前的运行状态,而且还关系到信息系统安全建设的各个阶段。只有在信息系统安全建设的各个阶段确保安全,才能使得运行中的信息系统有安全保证。 j)系统运维管理 系统运维管理包括运行环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、恶意代码防范管理、网络安全管理、系统安全管理、密码管理、变更管理、备份与恢复管理、安全事件处置和应急预案管理等方面内容。系统运维各个方面都直接关系到相关安全控制技术的正确、安全配置和合理使用。对信息系统运维各个方面提出具体的安全要求,可以为工作人员进行正确管理和运行提供工作准绳,直接影响到整个信息系统的安全。 b.2 信息系统整体测评实例 b.2.1 安全控制点间安全测评实例 实例:物理访问控制与防盗窃防破坏间的测评分析 某信息中心机房没有安装防盗报警设备,不符合物理安全-防盗窃和防破坏控制点的二级要求,但该机房只有一个出入口,并安排了专人24小时值守中心机房的出入口(物理访问控制符合要求)。通过专人值守可以发现并阻止设备被盗窃,有助于补充防盗窃防破坏安全控制点的安全保护缺失,但不能使该控制点完全符合要求。 b.2.2 层面间安全测评实例 实例:物理安全与主机系统安全的测评分析 某单位屏蔽机房允许进入该机房的人员极为有限,所有外来人员进入机房必须由内部人员陪同,且行动受限,使得机房内的aix主机在物理访问方面较为安全可控。尽管aix主机上的本地登录用户的身份鉴别强度低于相应安全等级的要求,但考虑物理安全的加强(严格限制进入的人员)可以增强主机系统身份鉴别较弱的安全功能不足,使主机系统在总体的安全功能上不会受到影响,仍能基本满足相应等级的安全要求。 b.2.3 区域间安全测评实例 实例:计算环境与安全管理区的测评分析 某定级信息系统的计算环境中包括三种业务,分别由三个独立的应用程序进行业务数据处理,三个应用程序都不提供身份鉴别功能,而由安全管理区的统一认证服务器提供统一的用户登录和身份认证。安全管理区提供的身份认证功能可以替代三个应用程序应用层面身份鉴别控制点的功能缺失。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!