证券期货业信息系统安全等级保护测评要求编制说明(征求意见稿)_信息系统等级保护测评

证券期货业信息系统安全等级保护测评要求编制说明(征求意见稿)由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“信息系统等级保护测评”。

《证券期货业信息系统安全等级保护测评要求》

编制说明

（征求意见稿）

《 证券期货业信息系统安全等级保护测评要求》编写组

二〇一一年八月

I

目次

一、背景及意义..............1

二、编制目的与原则.................1

三、编制内容................1

四、主要编制过程............2

五、适用范围................2

六、总体框架................3

七、重大分歧意见的处理和依据..............3

八、行业标准属性的建议.............3

九、废止现行有关标准的建议................3

十、其他应予说明的事项.............3一、背景及意义

《信息系统安全等级保护测评要求》是与《信息系统安全等级保护基本要求》(GBT 22239-2008)相配套的技术标准，用于各测评机构对信息系统的测评、各系统运行单位对系统状态的自查。证监会已组织制定了《证券期货业信息系统安全等级保护基本要求》，用于指导证券期货机构开展信息安全等级保护安全建设整改工作，但是缺少相应的配套标准进一步规范测评机构在证券期货业开展信息安全等级测评工作。

此次，组织制订行业标准《证券期货业信息系统安全等级保护测评要求》，与《证券期货业信息系统安全等级保护基本要求》（JR/T 0060-2010）中的相关内容相对应，以更好地指导证券期货业信息系统的等级测评工作。公安部《关于印送的函》（公信安[2009]1429号）已部署了信息安全等级保护安全建设整改和测评工作。因此，制定行标《证券期货业信息系统安全等级保护测评要求》（以下简称《行业测评要求》）对于证券期货业开展信息安全等级保护工作是必要和迫切的。

二、编制目的与原则

（一）编制目的《行业测评要求》主要用于指导和规范证券期货行业信息安全等级保护安全测评工作。

（二）编制原则

本标准的编制遵循以下原则：

1、《行业测评要求》参考《信息系统安全等级保护测评要求》（国标报批稿）（以下简称《测评要求》）开展规范的编制工作，在体例、条款上保持一致。

2、结合行业实际情况，结合《证券期货业信息系统安全等级保护基本要求》的内容，对《测评要求》（国标报批稿）中安全测评要求的测评方法进行明确、细化和调整。

3、《行业测评要求》中不再针对信息系统提出新的安全要求，仅提出测评方法和测评力度，如需要引用安全要求，须与《行业基本要求》中的安全要求保持一致。

三、编制内容

行业标准《证券期货业信息系统安全等级保护基本要求》（JR/T 0060-2010，以下简称《行业基本要求》）结合行业实际，对国家标准《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008，以下简称《基本要求》）进行了细化、明确和调整。《证券期货业信息系统安全等级保护测评要求》（以下简称《行业测评要求》）需就《行业基本要求》中细化、明确和调整内容对《信息系统安全等级保护测评要求》（以下简称《测评要求》）进行相应调整。以三级系统为例：

1、共有20项要求需要进行细化。例如国标《基本要求》中要求“应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计”，在《行业基本要求》中细化为“应用系统应能够对每个业务用户的关键操作提供记录，例如用户登录、用户退出、增加用户、修改用户权限等操作。”因此，在国标《测评要求》中的相应条款“应检查主要应用系统，查看其审计策略是否覆盖系统内重要的安全相关事件，例如，用户标识与鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等。”，拟在《行业测评要求》中对应细化为“检查应用系统是否能够对每个业务用户的关键操作提供记录，例如用户登录、用户退出、增加用户、修改用户权限等操作。”

2、共有34项要求需要进行明确。例如国标《基本要求》中要求“应建立备用供电系统。”在《行业基本要求》中明确为“1)应配备或租用发电机；2)发电机供电时间应不小于一个完整交易日。”因此，在国标《测评要求》中的相应条款“应访谈物理安全负责人，询问是否采用冗余或并行的电力电缆线路为计算机系统供电；”，拟在《行业测评要求》中对应明确为

“1）检查机房是否采用了双路供电；2）检查是否配备发电机和UPS作为备用供电电源，并且备用电源的供电时间不小于一个完整交易日；3）如果是租用发电机，应检查租用发电机的合同或相关证明材料。”

3、共有8项要求需要进行调整。例如国标《基本要求》中要求“应限制具有拨号访问权限的用户数量。”在《行业基本要求》中调整为“原则上不应通过互联网对重要信息系统进行远程维护和管理。”因此，在国标《测评要求》中的相应条款“应检查边界网络设备查看其是否限制具有拨号访问权限的用户数量。”，拟在《行业测评要求》中对应调整为“检查是否禁止了通过互联网对重要信息系统通过拨号进行远程维护和管理。”

4、同时，为便于行业监管部门对行业范围系统的安全状况和测评结果进行综合判断和监管，增加了证券期货业信息系统安全等级测评（自查）表，对应《证券期货业信息系统安全等级保护基本要求》（JR/T 0060-2010）中的各项要求，对各控制项中的每个控制点进行安全分析。

四、主要编制过程

第一阶段：研究阶段

2010年9月至2011年3月，中国证监会开始研究证券期货业信息安全等级保护安全建设整改和测评工作，对部分地区的证券期货机构进行调研，进一步了解了信息系统安全等级测评工作的实施难度、可能对系统带来的风险，在充分征求行业各类机构意见的基础上，形成了《行业测评要求》的编写思路。

第二阶段：立项阶段

2011年5月，中国证监会正式向证标委秘书处提交了《行业测评要求》的立项建议书，经证标委秘书处形式审查、征求证标委专家委员会意见后，证标委同意《行业测评要求》立项。

第三阶段：编写阶段

中国证监会组织6名专家（分别来自交易所、证券公司、期货公司、基金公司、测评机构）成立了起草小组，集中工作，形成了《行业测评要求》（草稿）。

第四阶段：第一次征求意见阶段

中国证监会2次向市场核心机构、部分经营机构和国家信息安全等级保护专业测评机构征求意见，共收集了近200条反馈意见，对各单位反馈的意见进行了认真研究，采纳了绝大多数的意见，对未采纳的意见进行了充分讨论。

第五阶段：第一次论证会

7月8日，中国证监会邀请邀请了公安部信息安全等级保护评估中心、中国信息安全测评中心和国家信息技术安全研究中心，部分市场核心机构、证券公司、期货公司和基金管理公司的专家，共同对《行业测评要求》（草稿第二稿）进行讨论，会后，编写小组根据论证会的意见进行了修订，形成了《行业测评要求》（初稿）。

第六阶段：第二次征求意见阶段

8月17日，中国证监会再次向市场核心机构、部分经营机构和国家信息安全等级保护专业测评机构征求意见，各专家反馈意见后，编写小组根据专家意见，对《行业测评要求》（初稿）进行了修订，形成了《行业测评要求》（征求意见稿）。

五、适用范围

《行业测评要求》适用于指导证券期货行业按照等级保护要求进行安全测评和监督管理。

六、总体框架

《行业测评要求》包括前言、引言、12个章节、3个附录，每章包括的具体内容如下： 第1-11章以国际《信息系统安全等级保护测评要求》为基础，针对部分测评实施要求进行了明确、细化和调整，对结果的判定进行了明确化，增加了测评机构在开展测评工作中需要完成《证券期货业信息系统安全等级保护测评（自查）表》的要求。

第12章明确要求了证券期货机构每年要按照《行业测评要求》，开展自查工作，填写《证券期货业信息系统安全等级保护测评（自查）表》的要求

附录A为资料性附录，对测评力度进行了说明。

附录B为资料性附录，对整体测评进行了说明。

附录C为资料性附录，列出了一级至四级信息系统的《证券期货业信息系统安全等级保护测评（自查）表》

七、重大分歧意见的处理和依据

无。

八、行业标准属性的建议

鉴于国际《信息系统安全等级保护测评要求》是推荐性标准，为保持一致，建议本标准作为推荐性行业标准。

九、废止现行有关标准的建议

无。

十、其他应予说明的事项

本标准遵守中华人民共和国现行的法律和法规。

《证券期货业信息系统安全等级保护测评要求》编写组二○一一年八月