证券期货业信息系统安全等级保护基本要求编制说明(送审稿)

证券期货业信息系统安全等级保护基本要求编制说明(送审稿)

《证券期货业信息系统安全等级保护基本要求》

编制说明

（送审稿）

证券期货业信息系统安全等级保护基本要求》编写组

二〇一〇年五月

《

证券期货业信息系统安全等级保护基本要求编制说明(送审稿)

目次

一、背景及意义 ............................................................... 1

二、编制目的与原则 ........................................................... 1

三、编制内容 ................................................................. 1

四、主要编制过程 ............................................................. 2

五、适用范围 ................................................................. 2

六、总体框架 ................................................................. 2

七、重大分歧意见的处理和依据 ................................................. 2

八、行业标准属性的建议 ....................................................... 2

九、废止现行有关标准的建议 ................................................... 3

十、其他应予说明的事项 ....................................................... 3

证券期货业信息系统安全等级保护基本要求编制说明(送审稿)

一、背景及意义

国家标准《信息系统安全等级保护基本要求》（以下简称《国标》）是证券期货行业各机构开展安全建设整改、测评机构进行安全测评、公安机关开展检查的重要依据。证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。但由于《国标》是通用性标准，适用范围大，有些规定不够完全适应证券期货行业的实际情况，为了增强标准的可操作性，需要根据行业特点进行明确、细化和调整。公安部文件《关于印送<关于开展信息安全等级保护安全建设整改工作的指导意见>的函》（公信安[2009]1429号）明确要求：“重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》等国家标准，结合行业特点，确定《信息系统安全等级保护基本要求》的具体指标；在不低于等级保护基本要求的情况下，结合系统安全保护的特殊需求，在有关部门指导下制定行业标准或细则，指导本行业信息系统安全建设整改工作。”因此，制定《证券期货业信息系统安全等级保护基本要求》（以下简称《行标》）对于全行业开展好信息安全等级保护工作是必要和迫切的。

二、编制目的与原则

（一）编制目的

《行标》主要用于指导和规范证券期货行业信息安全等级保护安全建设整改、测评和监督管理工作。

（二）编制原则

本标准的编制遵循以下原则：

1、《行标》严格按照《国标》开展规范的编制工作，在体例、条款上保持一致，不对《国标》条款进行增、删、改。

2、结合行业实际情况，对《国标》安全要求进一步明确、细化和调整，且不低于《国标》要求。

3、根据《国标》附录B的要求，对不同信息系统提出明确的安全要求。

三、编制内容

对《国标》262项安全要求中的195项安全要求进行了细化、明确和调整，其中细化了82项，明确了66项，调整了47项。

细化的内容，主要是对部分安全要求进行分解细化，以便于操作。如，《国标》要求“机房出入应安排专人负责，控制、鉴别和记录进入的人员。”《行标》细化要求为“机房出入应当安排专人负责管理。没有电子门禁系统的机房应当安排专人在机房出入口控制、鉴别和记录人员的进入；有电子门禁系统的机房，应当保存门禁系统的日志记录，应当采用监控设备将机房人员进入情况传输到值班点。”

明确的内容，主要是对定性的词语，给出了明确定义。如，《国标》要求“机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内”，《行标》明确要求“开机时机房温度应控制在18℃-28℃；开机时机房相对湿度应控制在35%-75%；停机时机房温度应控制在5℃-35℃；停机时机房相对湿度应控制在20%-80%。”

调整的内容，主要是针对行业系统特点，对安全要求进行了使用范围的调整。如，《国标》要求“操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。”，《行标》调整要求“持续跟踪厂商提供的系统升级更新情况，在经过充分的评估后对必要补丁进行及时更新。”

证券期货业信息系统安全等级保护基本要求编制说明(送审稿)

四、主要编制过程

第一阶段：研究阶段

2008年，中国证监会开始研究《行标》的编制工作，在充分征求行业各类机构意见的基础上，形成了《行标》的最终编写思路，并对标准条款的修改做了大量调研工作。

第二阶段：编写阶段

中国证监会组织10名行业专家（分别来自监管部门、交易所等单位、证券公司、期货公司、基金公司）和5名国家有关安全机构专家（来自于公安部信息安全等级保护评估中心、中国信息安全测评中心和上海市信息安全测评中心）成立了起草小组，集中工作，形成了《行标》初稿。

第三阶段：征求意见阶段

中国证监会2次向市场核心机构和部 …… 此处隐藏：1248字，全部文档内容请下载后查看。喜欢就下载吧 ……