个人爱好分享
之一章 总则之一条 为了保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《期货交易管理条例》及信息安全保障相关的法律、行政法规,制定本办法。第二条 证券期货业信息安全保障、管理、监督等工作适用本办法。第三条 证券期货业信息安全保障工作实行“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。第四条 证券期货业信息安全保障的责任主体应当执行国家信息安全相关法律、行政法规和行业相关技术管理规定、技术规则、技术指引和技术标准,开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。
前款所称责任主体,包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。第五条 开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构应当按照有关规定保障相关业务系统的安全运行。第六条 为证券期货业提供软硬件产品或者技术服务的供应商(以下简称供应商),应当保证所提供的软硬件产品或者技术服务符合国家及证券期货业信息安全相关的技术管理规定、技术规则、技术指引和技术标准。第七条 中国 *** 支持、协助国家信息安全管理部门组织实施信息安全相关法律、行政法规,依法对证券期货业信息安全保障工作实施监督管理。
中国 *** 派出机构按照授权履行监督管理职责。第八条 中国 *** 及其派出机构与国家信息安全管理部门、相关行业管理部门建立信息安全协调机制,与国家有关专业安全机构和标准化组织建立信息安全合作机制。第九条 证券、期货、证券投资基金等行业协会(以下简称证券期货行业协会)依照本办法的规定,对会员的信息安全工作实行自律管理。第十条 核心机构依照本办法的规定,对市场相关主体关联信息系统的安全保障工作进行督促、指导。第二章 基本要求第十一条 核心机构和经营机构应当具有合格的基础设施。机房、电力、空调、消防、通信等基础设施的建设符合行业信息安全管理的有关规定。第十二条 核心机构和经营机构应当设置合理的 *** 结构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部 *** 攻击破坏的能力。第十三条 核心机构和经营机构应当建立符合业务要求的信息系统。信息系统应当具有合理的架构,足够的性能、容量、可靠性、扩展性和安全性,能够支持业务的运行和发展。第十四条 核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,拥有执行程序和源代码并安全可靠存放,在重要信息系统上线前对执行程序和源代码进行严格的审查和测试。第十五条 核心机构和经营机构应当具有防范木马、病毒等恶意代码的能力,防止恶意代码对信息系统造成破坏,防止信息泄露或者被篡改。第十六条 核心机构和经营机构应当建立完善的信息技术治理架构,明确信息技术决策、管理、执行和内部监督的权责机制。第十七条 核心机构和经营机构应当建立完善的信息技术管理制度和操作规程,并严格执行。第十八条 核心机构应当制定本机构与市场相关主体信息系统安全互联的技术规则,并报中国 *** 备案。
核心机构依法督促市场相关主体执行技术规则。第十九条 核心机构应当提供多种互为备份的远程接入方式,保证市场相关主体安全接入,并对市场相关主体的远程接入进行监控与管理。第三章 持续保障要求第二十条 核心机构和经营机构应当保障充足、稳定的信息技术经费投入,配备足够的信息技术人员。第二十一条 核心机构和经营机构应当根据行业规划和本机构发展战略,制定信息化与信息安全发展规划,满足业务发展和信息安全管理的需要。第二十二条 核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。第二十三条 核心机构交易、行情、开户、结算、通信等重要信息系统上线或者进行重大升级变更时,应当组织市场相关主体进行联网测试,并按规定进行报告。
[img]等保三级又被称为国家信息2113安全等级保护三级认证,是中国最权威的信息产品安全等级资格认证,由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规5261范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。
其中按照评定等级可以分为一至五级测评。三级等保是国家对非银行机构的更高级认证,4102属于“监管级别”,由国家信息安全监管部门进行监督、检查,认证测评内容分别涵盖5个等级保护安全技术要求和5个安全管理要求,包含信息保护、安全审计、通信保密等近300项要求,共涉及测评分类73类,要求十分严格。
三级等保认证最严的地方是在技术层面,1653主要体现在系统安全管理和恶意代码防范上,简单的说,就是每当有黑客对平台进行攻击时,平台具备一定的防范能力。
标准如下:
十三大重要标准
计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准)
信息系统安全等级保护实施指南 (GB/T 25058-2010) (基础类标准)
信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)
信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准)
信息系统等级保护安全设计技术要求 (GB/T 25070-2010) (应用类建设标准)
信息系统安全等级保护测评要求 (GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南 (GB/T 28449-2012)(应用类测评标准)
信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准)
信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准)
信息安全技术 *** 安全等级保护基本要求(GB/T 22239-2019)(基础类标准)
信息安全技术 *** 安全等级保护安全设计技术要求(GB/T 25070-2019)(应用类建设标准)
信息安全技术 *** 安全等级保护测评要求(GB/T 28448-2019)(应用类测评标准)
其它相关标准
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术 *** 基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20985-2007 信息安全技术 信息安全事件管理指南
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
根据《信息安全等级保护管理办法》:
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合规定条件的测评,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评
各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。
第三级以上信息系统运营、使用单位违反规定,未按规定开展系统安全技术测评的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果
中华人民共和国计算机信息系统安全保护条例 (1994年国务院147号令)
(“第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”)
计算机信息系统安全保护等级划分准则 (GB 17859-1999)
(“之一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级”)
国家信息化领导小组关于加强信息安全保障工作的意见 (中办发[2003]27号)
关于信息安全等级保护工作的实施意见 (公通字[2004]66号)
信息安全等级保护管理办法 (公通字[2007]43号)
关于开展全国重要信息系统安全等级保护定级工作的通知 (公信安[2007]861号)
关于开展信息安全等级保护安全建设整改工作的指导意见 (公信安[2009]1429号) 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 (发改高技[2008]2071号)
关于进一步推进中央企业信息安全等级保护工作的通知
水利 *** 与信息安全体系建设基本技术要求 (2010年3月)
证券期货业信息系统安全等级保护基本要求(试行) (JR/T 0060-2010)
山西省计算机信息系统安全保护条例 (2009年1月) 广东省计算机信息系统安全保护条例 (2008年4月)
宁夏 *** 自治区计算机信息系统安全保护条例 (2009年10月)
徐州市计算机信息系统安全保护条例 (2009年1月)
网站首页:期货手续费网-加1分开户(微信:527209157)
本文链接:http://52ol.cn/post/145808.html
本站福利推荐!!!
正规期货账户开户!交易所手续费加1分(+0.01元),无条件!无资金手续费要求,享受手续费加1分!期货开户微信:527209157
或扫描下方二维码添加微信
Copyright 2012-2024 期货手续费网-加1分开户 网站地图 邮箱:diyijiaoyi@qq.com 微信:527209157 湘ICP备18014167号