JRT 0295-2023《证券期货业信息安全运营管理指南》.docxVIP

ICS03.060

CCSA11

中华

JR

人民共和国金融行业标准

JR/T0295—2023

证券期货业信息安全运营管理指南

Informationsecurityoperationsmanagementguidancefor

securitiesandfuturesindustry

2023-10-23发布

2023-10-23实施

中国证券监督管理委员会发布

I

JR/T0295—2023

目次

前言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5安全管理 3

5.1安全管理目标 3

5.2安全管理过程 3

5.3安全管理最佳实践 5

6基础安全管理 5

6.1基础安全管理目标 5

6.2基础安全管理过程 5

6.3基础安全管理最佳实践 8

7信息资产管理 9

7.1信息资产管理目标 9

7.2信息资产管理过程 9

7.3信息资产管理最佳实践 10

8漏洞管理 10

8.1漏洞管理目标 10

8.2漏洞管理过程 10

8.3漏洞管理最佳实践 11

9开发安全管理 12

9.1开发安全管理目标 12

9.2开发安全管理过程 12

9.3开发安全管理最佳实践 13

10数据安全管理 15

10.1数据安全管理目标 15

10.2数据安全管理过程 15

10.3数据安全管理最佳实践 18

11集中监控与响应管理 18

11.1集中监控与响应管理目标 18

11.2集中监控与响应管理过程 19

11.3集中监控与响应管理最佳实践 20

II

JR/T0295—2023

12持续改进管理 21

12.1持续改进管理目标 21

12.2持续改进管理过程 21

12.3持续改进管理最佳实践 22

附录A(资料性)信息安全度量指标 23

A.1安全管理度量指标 23

A.2基础安全管理度量指标 23

A.3信息资产管理度量指标 23

A.4漏洞管理度量指标 23

A.5开发安全管理度量指标 23

A.6数据安全管理度量指标 23

A.7集中监控与响应管理度量指标 24

参考文献 25

III

JR/T0295—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由全国金融标准化技术委员会证券分技术委员会(SAC/TC180/SC4)提出。

本文件由全国金融标准化技术委员会(SAT/TC180)归口。

本文件起草单位：中国证券监督管理委员会科技监管局、深圳证券交易所、安信证券股份有限公司、中证信息技术服务有限责任公司、广发证券股份有限公司、国信证券股份有限公司、兴业证券股份有限公司、长江证券股份有限公司、国泰君安证券股份有限公司、海通证券股份有限公司、南方基金管理股份有限公司、安信基金管理有限责任公司、中信期货有限公司、京东科技信息技术有限公司、北京数字观星科技有限公司、北京知其安科技有限公司。

本文件主要起草人：姚前、蒋东兴、陈炜、许彦冰、李维春、聂君、李家攀、黄清华、路一、周桉、刘彬、陈传鹏、杨启、陈凯晖、王玥、吴佳伟、姚飞、唐勤、杨阳、金文佳、陆颂华、马冰、张永刚、宋辉、郭亮、王千寻、孟繁强。

1

JR/T0295—2023

证券期货业信息安全运营管理指南

1范围

本文件提供了开展信息安全运营管理中安全管理、基础安全管理、信息资产管理、漏洞管理、开发安全管理、数据安全管理、集中监控与响应管理以及持续改进管理的指导思路及方法。

本文件适用于证券期货行业的核心机构和经营机构在完成基础的信息安全建设后开展的信息安全运营管理工作。

注：核心机构包括证券交易所、期货交易所、登记结算公司等，经营机构包括证券公司、期货公司、基金管理公司

等。

等

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

ISO/IEC27001：2022Informationsecurity,cybersecuri