【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第8页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 如果5.2.4.1.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.4.2 安全方案设计 5.2.4.2.1 测评指标 见jr/t 0060-2010 5.2.4.2。 5.2.4.2.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否依据风险分析的结果补充和调整过安全措施,具体做过哪些调整; b)应检查系统的安全设计方案,查看方案是否描述系统的安全保护等级,是否描述系统的安全保护策略,是否根据系统的安全级别选择了安全措施; c)应检查系统的安全设计方案,查看是否详细描述安全措施的实现内容,是否有安全产品的功能、性能和部署等描述,是否有安全建设的费用和计划等。 5.2.4.2.3 结果判定 如5.2.4.2.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.4.3 产品采购和使用 5.2.4.3.1 测评指标 见jr/t 0060-2010 5.2.4.3。 5.2.4.3.2 测评实施 应访谈系统建设负责人,询问系统使用的有关信息安全产品是否符合国家的有关规定,如安全产品获得了销售许可证等。 5.2.4.3.3 结果判定 如果5.2.4.3.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.4.4 自行软件开发 5.2.4.4.1 测评指标 见jr/t 0060-2010 5.2.4.4。 5.2.4.4.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否进行自主开发软件; b)应访谈系统建设负责人,询问自主开发软件是否在独立的环境中完成编码和调试,如相对独立的网络区域,询问软件设计相关文档是否由专人负责保管,负责人是何人; c)应检查网络拓扑图和实际开发环境,查看是否实际运行环境和开发环境有效隔离。 5.2.4.4.3 结果判定 如果5.2.4.4.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.4.5 外包软件开发 5.2.4.5.1 测评指标 见jr/t 0060-2010 5.2.4.5。 5.2.4.5.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问软件交付前是否依据开发要求的技术指标对软件功能和性能等进行验收测试,软件安装之前是否检测软件中的恶意代码; b)应检查是否具有软件开发的相关文档,如需求分析说明书、软件设计说明书等,是否具有软件操作手册或使用指南。 5.2.4.5.3 结果判定 如果5.2.4.5.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.4.6 工程实施 5.2.4.6.1 测评指标 见jr/t 0060-2010 5.2.4.6。 5.2.4.6.2 测评实施 应访谈系统建设负责人,询问是否指定专门部门或人员对工程实施过程进行进度和质量控制,由何部门/何人负责。 5.2.4.6.3 结果判定 如果5.2.4.6.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.4.7 测试验收 5.2.4.7.1 测评指标 见jr/t 0060-2010 5.2.4.7。 5.2.4.7.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问在信息系统建设完成后是否对其进行安全性测试验收; b)应检查是否具有工程测试验收方案,查看其是否明确说明参与测试的部门、人员、测试验收内容、现场操作过程等内容; c)应检查是否具有系统测试验收报告。 5.2.4.7.3 结果判定 如果5.2.4.7.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.2.4.8 系统交付 5.2.4.8.1 测评指标 见jr/t 0060-2010 5.2.4.8。 5.2.4.8.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问系统交接工作是否根据交付清单对所交接的设备、文档、软件等进行清点; b)应访谈系统建设负责人,询问系统正式运行前是否对运行维护人员进行过培训,针对哪些方面进行过培训; c)应检查是否具有系统交付清单,查看交付清单是否说明系统交付的各类设备、软件、文档等; d)应检查系统交付提交的文档,查看是否有指导用户进行系统运维的文档等。 5.2.4.8.3 结果判定 如果5.2.4.8.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!