证券期货业信息系统安全等级保护基本要求.doc

JR/T XXXX—XXXX
中华人民共和国金融行业标准
JR
证券期货业信息系统安全
等级保护基本要求
Baseline for classified protection of
securities and futures' information system security
(征求意见稿)
2010-xx-xx 发布
2010-xx-xx实施
中国证券监督管理委员会发布
目次
前言 1
引言 2
1. 范围 3
2. 规范性引用文件 3
3. 术语和定义 3
. 3
4. 证券期货业信息系统安全等级保护概述 3
. 证券期货业信息系统安全保护等级 3
. 不同等级的安全保护能力 3
. 基本技术要求和基本管理要求 4
. 基本技术要求的三种类型 4
5. 第一级基本要求 5
. 技术要求 5
. 物理安全 5
. 网络安全 6
. 主机安全 6
. 应用安全 7
. 数据安全及备份恢复 7
. 管理要求 8
. 安全管理制度 8
. 安全管理机构 8
. 人员安全管理 8
. 系统建设管理 9
. 系统运维管理 10
6. 第二级基本要求 12
. 技术要求 12
. 物理安全 12
. 网络安全 13
. 主机安全 15
. 应用安全 16
. 数据安全及备份恢复 17
. 管理要求 18
. 安全管理制度 18
. 安全管理机构 18
. 人员安全管理 19
. 系统建设管理 20
. 系统运维管理 21
7. 第三级基本要求 24
. 技术要求 24
. 物理安全 24
. 网络安全 27
. 主机安全 29
. 应用安全 31
. 数据安全及备份恢复 33
. 管理要求 34
. 安全管理制度 34
. 安全管理机构 34
. 人员安全管理 36
. 系统建设管理 37
. 系统运维管理 39
8. 第四级基本要求 43
. 技术要求 43
. 物理安全 43
. 网络安全 46
. 主机安全 48
. 应用安全 50
. 数据安全及备份恢复 52
. 管理要求 53
. 安全管理制度 53
. 安全管理机构 54
. 人员安全管理 55
. 系统建设管理 56
. 系统运维管理 59
9. 第五级基本要求 63
附录 A (规范性附录) 关于证券期货业信息系统整体安全保护能力的要求 64
附录 B (规范性附录) 证券期货业基本安全要求的选择和使用 65
前言
本标准附录A和附录B是规范性附录。
本标准由全国金融标准化技术委员会证券分技术委员会提出。
本标准由全国金融标准化技术委员会归口管理。
本标准起草单位:中国证券监督管理委员会信息中心、深圳证券交易所、郑州商品交易所。
本标准主要起草人:张野、戴文华、罗凯、邹胜、邓晖、陈恺、王伟喜、马晨、王孝伟、万璟、陈友清、葛峰、陈凯辉、王伟强、马力、曲洁、班晓芳、应力、徐御。
本标准为首次发布。
引言
本标准依据国家信息安全等级保护管理规定制定。
本标准结合证券期货行业实际情况,对《信息系统安全等级保护基本要求》(GB/T 22239-2008)的有关要求进行了明确、细化和调整,提出和规定了证券期货行业不同等级信息系统的安全要求,适用于指导证券期货行业按照等级保护要求进行安全建设、测评和监督管理。
本标准文字中,明确、细化和调整的内容以楷体字表示。
证券期货业信息系统安全等级保护基本要求
范围
本标准规定了证券期货业不同安全保护等级信息系统安全的基本保护要求,包括基本技术要求和基本管理要求,适用于指导证券期货业分等级信息系统的安全建设整改、测评和监督管理。
规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 信息技术词汇第8部分:安全(GB/-2001,i