证券期货业信息系统安全等级保护基本要求编制说明(送审稿)_信息系统安全保护等级

证券期货业信息系统安全等级保护基本要求编制说明(送审稿)由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“信息系统安全保护等级”。

《证券期货业信息系统安全等级保护基本要求》

编制说明

（送审稿）

证券期货业信息系统安全等级保护基本要求》编写组

二〇一〇年五月

I《

目次

一、背景及意义..............1

二、编制目的与原则.................1

三、编制内容................1

四、主要编制过程............2

五、适用范围................2

六、总体框架................2

七、重大分歧意见的处理和依据..............2

八、行业标准属性的建议.............2

九、废止现行有关标准的建议................3

十、其他应予说明的事项.............3一、背景及意义

国家标准《信息系统安全等级保护基本要求》（以下简称《国标》）是证券期货行业各机构开展安全建设整改、测评机构进行安全测评、公安机关开展检查的重要依据。证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。但由于《国标》是通用性标准，适用范围大，有些规定不够完全适应证券期货行业的实际情况，为了增强标准的可操作性，需要根据行业特点进行明确、细化和调整。公安部文件《关于印送的函》（公信安[2009]1429号）明确要求：“重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》等国家标准，结合行业特点，确定《信息系统安全等级保护基本要求》的具体指标；在不低于等级保护基本要求的情况下，结合系统安全保护的特殊需求，在有关部门指导下制定行业标准或细则，指导本行业信息系统安全建设整改工作。”因此，制定《证券期货业信息系统安全等级保护基本要求》（以下简称《行标》）对于全行业开展好信息安全等级保护工作是必要和迫切的。

二、编制目的与原则

（一）编制目的《行标》主要用于指导和规范证券期货行业信息安全等级保护安全建设整改、测评和监督管理工作。

（二）编制原则

本标准的编制遵循以下原则：

1、《行标》严格按照《国标》开展规范的编制工作，在体例、条款上保持一致，不对《国标》条款进行增、删、改。

2、结合行业实际情况，对《国标》安全要求进一步明确、细化和调整，且不低于《国标》要求。

3、根据《国标》附录B的要求，对不同信息系统提出明确的安全要求。

三、编制内容

对《国标》262项安全要求中的195项安全要求进行了细化、明确和调整，其中细化了82项，明确了66项，调整了47项。

细化的内容，主要是对部分安全要求进行分解细化，以便于操作。如，《国标》要求“机房出入应安排专人负责，控制、鉴别和记录进入的人员。”《行标》细化要求为“机房出入应当安排专人负责管理。没有电子门禁系统的机房应当安排专人在机房出入口控制、鉴别和记录人员的进入；有电子门禁系统的机房，应当保存门禁系统的日志记录，应当采用监控设备将机房人员进入情况传输到值班点。”

明确的内容，主要是对定性的词语，给出了明确定义。如，《国标》要求“机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内”，《行标》明确要求“开机时机房温度应控制在18℃-28℃；开机时机房相对湿度应控制在35%-75%；停机时机房温度应控制在5℃-35℃；停机时机房相对湿度应控制在20%-80%。”

调整的内容，主要是针对行业系统特点，对安全要求进行了使用范围的调整。如，《国标》要求“操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。”，《行标》调整要求“持续跟踪厂商提供的系统升级更新情况，在经过充分的评估后对必要补丁进行及时更新。”

四、主要编制过程

第一阶段：研究阶段

2008年，中国证监会开始研究《行标》的编制工作，在充分征求行业各类机构意见的基础上，形成了《行标》的最终编写思路，并对标准条款的修改做了大量调研工作。

第二阶段：编写阶段

中国证监会组织10名行业专家（分别来自监管部门、交易所等单位、证券公司、期货公司、基金公司）和5名国家有关安全机构专家（来自于公安部信息安全等级保护评估中心、中国信息安全测评中心和上海市信息安全测评中心）成立了起草小组，集中工作，形成了《行标》初稿。

第三阶段：征求意见阶段

中国证监会2次向市场核心机构和部分经营机构征求意见，共收集了近300条反馈意见，对各单位反馈的意见进行了认真研究，采纳了绝大多数的意见，对未采纳的意见进行了充分讨论。

第四阶段：完善阶段

《行标》起草工作小组根据专家意见，对《行标》的内容进行了2次较大的修改编写形成了《行标》征求意见稿。

第五阶段：证标委征求意见阶段

2010年3月17日，《行标》起草小组将征求意见稿报送给证标委征求专家委员意见，并且同时向中国证监会会内相关业务部门、12家证监局，中国证券业、期货业协会征求意见。返回意见共计242条，其中专家委员意见152条，会内相关部门、证监局和行业协会意见共计90条。经充分吸纳和与各证标委专家委员、各单位充分沟通后，修订形成了《行标》（送审稿）。

第六阶段：国家信息安全等级保护专家评审

2010年5月6日，证监会信息中心邀请了国家信息安全等级保护安全建设指导专家会部分专家对《行标》（送审稿）进行评估，并邀请公安部十一局相关负责同志进行了现场指导。与会专家一致同意《行标》（送审稿）通过评审。

五、适用范围

《行标》适用于适用于指导证券期货行业按照等级保护要求进行安全建设、测评和监督管理。

六、总体框架

《行标》包括前言、引言、9个章节、2个附录，每章包括的具体内容如下：

第1-9章以国际《信息系统安全等级保护基本要求》为基础，针对部分安全要求进行了明确、细化和调整。

附录A为规范性附录，结合证券期货行业特点修订了《信息系统安全等级保护基本要求》附录A。

附录B为规范性附录，根据证券期货行业不同机构、不同系统特点，明确安全要求的选择和使用的原则。

七、重大分歧意见的处理和依据

无。

八、行业标准属性的建议

鉴于国际《信息系统安全等级保护基本要求》是推荐性标准，为保持一致，建议本标准

作为推荐性行业标准。

九、废止现行有关标准的建议

无。

十、其他应予说明的事项

本标准遵守中华人民共和国现行的法律和法规。

《证券期货业信息系统安全等级保护基本要求》编写组二○一○年五月