编辑: 戴静菡 | 2019-07-05 |
1 范围
1 2 规范性引用文件
1 3 术语和定义
1 4 证券期货业信息系统安全等级保护概述
1 4.
1 证券期货业信息系统安全保护等级
1 4.2 不同等级的安全保护能力
1 4.3 基本技术要求和基本管理要求
2 4.4 基本技术要求的三种类型
2 5 第一级基本要求
2 5.1 技术要求
2 5.1.1 物理安全
2 5.1.2 网络安全
3 5.1.3 主机安全
4 5.1.4 应用安全
5 5.1.5 数据安全及备份恢复
5 5.2 管理要求
5 5.2.1 安全管理制度
5 5.2.2 安全管理机构
6 5.2.3 人员安全管理
6 5.2.4 系统建设管理
7 5.2.5 系统运维管理
8 6 第二级基本要求
9 6.1 技术要求
9 6.1.1 物理安全
9 6.1.2 网络安全
11 6.1.3 主机安全
12 6.1.4 应用安全
14 6.1.5 数据安全及备份恢复
15 6.2 管理要求
16 6.2.1 安全管理制度
16 6.2.2 安全管理机构
16 6.2.3 人员安全管理
17 6.2.4 系统建设管理
18 6.2.5 系统运维管理
19 7 三级基本要求
22 7.1 技术要求
22 7.1.1 物理安全
22 7.1.2 网络安全
24 7.1.3 主机安全
27 7.1.4 应用安全
29 7.1.5 数据安全及备份恢复
31 7.2 管理要求
31 7.2.1 安全管理制度
31 7.2.2 安全管理机构
32 7.2.3 人员安全管理
33 7.2.4 系统建设管理
34 7.2.5 系统运维管理
37 8 第四级基本要求
41 8.1 技术要求
41 8.1.1 物理安全
41 8.1.2 网络安全
43 8.1.3 主机安全
45 8.1.4 应用安全
48 8.1.5 数据安全及备份恢复
50 8.2 管理要求
51 8.2.1 安全管理制度
51 8.2.2 安全管理机构
51 8.2.3 人员安全管理
53 8.2.4 系统建设管理
54 8.2.5 系统运维管理
56 9 第五级基本要求
60 附录A(规范性附录) 关于证券期货业信息系统整体安全保护能力的要求
61 附录B(规范性附录) 证券期货业重要信息系统安全要求的选择和使用
62 前言本标准附录A和附录B是规范性附录. 本标准由全国金融标准化技术委员会证券分技术委员会提出. 本标准由全国金融标准化技术委员会归口管理. 本标准已经征得公安部同意. 本标准起草单位:中国证券监督管理委员会信息中心、深圳证券交易所、郑州商品交易所、深圳证券通信公司、上海期货信息技术有限公司、国泰君安证券股份有限公司、兴业证券股份有限公司、南方基金管理有限公司、公安部信息安全等级保护评估中心、中国信息安全测评中心、上海市信息安全测评认证中心. 本标准主要起草人:张野、戴文华、杨淑琴、罗凯、邹胜、邓晖、陈恺、王伟喜、马晨、王孝伟、万Z、陈友清、俞枫、刘斌、王肇东、吴越、葛峰、王伟强、陈凯辉、黎峰、马力、曲洁、班晓芳、应力、徐御. 本标准为首次发布. 引言本标准依据国家信息安全等级保护管理规定制定.证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点.本标准从证券期货业实际情况出发,对《信息系统安全等级保护基本要求》(GB/T 22239-2008)的有关要求进行了明确、细化和调整,提出和规定了证券期货业不同等级信息系统的安全要求,适用于指导证券期货业按照等级保护要求进行安全建设、测评和监督管理. 本标准文字中,明确、细化和调整的内容以楷体字表示. 证券期货业信息系统安全等级保护基本要求(试行) 范围 本标准规定了证券期货业不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导证券期货业分等级信息系统的安全建设整改、测评和监督管理. 规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注明日期的引用文件,仅注日期的版本适用于本文件.凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件. GB/T 5271.8 信息技术 词汇 第8部分:安全(GB/T5271.8-2001,idt ISO/IEC 2382-8:1998) GB17859 计算机信息系统安全保护等级划分准则 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 术语和定义 GB/T 5271.8和GB 17859-1999确定的以及下列术语和定义适用于本标准. 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度. 证券期货业信息系统安全等级保护概述 证券期货业信息系统安全保护等级 证券期货业信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、资本市场稳定、公共利益以及投资者、法人和其他组织的合法权益的危害程度,由低到高划分为五级,五级定义见GB/T 22240-2008. 不同等级的安全保护能力 不同等级的信息系统应具备的基本安全保护能力如下: 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能. 第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能. 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能. 第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能. 第五级安全保护能力,(略). 基本技术要求和基本管理要求 证券期货业信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的证券期货业信息系统要求具有不同的安全保护能力. 基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类.技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;