期货业信息系统安全.DOCVIP

证券期货业信息系统安全 等级保护基本要求 Securities and futures industry— Baseline for classified protection of information system （报批稿）  目 次 前 言 1 引 言 2 1. 范围 3 2. 规范性引用文件 3 3. 术语和定义 3 4. 证券期货业信息系统安全等级保护概述 3 4.1. 证券期货业信息系统安全保护等级 3 4.2. 不同等级的安全保护能力 3 4.3. 基本技术要求和基本管理要求 4 4.4. 基本技术要求的三种类型 4 5. 第一级基本要求 5 5.1. 技术要求 5 5.1.1. 物理安全 5 5.1.2. 网络安全 6 5.1.3. 主机安全 6 5.1.4. 应用安全 7 5.1.5. 数据安全及备份恢复 7 5.2. 管理要求 8 5.2.1. 安全管理制度 8 5.2.2. 安全管理机构 8 5.2.3. 人员安全管理 8 5.2.4. 系统建设管理 9 5.2.5. 系统运维管理 10 6. 第二级基本要求 12 6.1. 技术要求 12 6.1.1. 物理安全 12 6.1.2. 网络安全 13 6.1.3. 主机安全 15 6.1.4. 应用安全 16 6.1.5. 数据安全及备份恢复 18 6.2. 管理要求 18 6.2.1. 安全管理制度 18 6.2.2. 安全管理机构 18 6.2.3. 人员安全管理 19 6.2.4. 系统建设管理 20 6.2.5. 系统运维管理 21 7. 第三级基本要求 24 7.1. 技术要求 24 7.1.1. 物理安全 24 7.1.2. 网络安全 27 7.1.3. 主机安全 29 7.1.4. 应用安全 31 7.1.5. 数据安全及备份恢复 33 7.2. 管理要求 34 7.2.1. 安全管理制度 34 7.2.2. 安全管理机构 35 7.2.3. 人员安全管理 36 7.2.4. 系统建设管理 37 7.2.5. 系统运维管理 39 8. 第四级基本要求 43 8.1. 技术要求 43 8.1.1. 物理安全 43 8.1.2. 网络安全 46 8.1.3. 主机安全 48 8.1.4. 应用安全 50 8.1.5. 数据安全及备份恢复 53 8.2. 管理要求 53 8.2.1. 安全管理制度 53 8.2.2. 安全管理机构 54 8.2.3. 人员安全管理 55 8.2.4. 系统建设管理 56 8.2.5. 系统运维管理 59 9. 第五级基本要求 63 附录A（规范性附录）关于证券期货业信息系统整体安全保护能力的要求 64 附录B（规范性附录）证券期货业重要信息系统安全要求的选择和使用 65  前 言 本标准附录A和附录B是规范性附录。 本标准由提出。  引 言 本标准依据国家信息安全等级保护管理规定制定。证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。本标准从证券期货业实际情况出发，对《信息系统安全等级保护基本要求》（GB/T 22239-2008）的有关要求进行了明确、细化和调整，提出和规定了证券期货业不同等级信息系统的安全要求，适用于指导证券期货业按照等级保护要求进行安全建设、测评和监督管理。 本标准文字中，明确、细化和调整的内容以楷体字表示。  证券期货业信息系统安全等级保护基本要求 范围 本标准规定了证券期货业不同安全保护等级信息系统的基本保护要求，包括基本技术要求和基本管理要求，适用于指导证券期货业分等级信息系统的安全建设整改、测评和监督管理。 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术 词汇 第8部分：安全（GB/T5271.8-2001，idt ISO/IEC 2382-8：1998） GB17859 计算机信息系统安全保护等级划分准则 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 术语和定义 GB/T 5271.8和GB 17859-1999确定的以及下列术语和定义适用于本标准。 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 证券期货业信息系统安全等级保护概述 证券期货业信息系统安全保护等级