- PDF Free Download

Size: px

Start display at page:

Download ""

铁白
5 years ago
Views:

1 证券期货业信息安全标准规划 (2015 年版 ) 全国金融标准化技术委员会证券分技术委员会系统安全标准领域专业工作组 (WG51)

3 目录 1 目标范围规划原则基于风险评估的思想和模型优先关注行业高风险点突出行业应用及新技术突出行业普适性, 落实行业政策参考现有标准, 统筹协调规划方法总体方法安全管理类规划方法 ( 基础支撑类 ) 安全保护类规划方法 ( 技术防护类, 第一道防线 ) 安全检测类规划方法 ( 监督检查, 第二道防线 ) 响应恢复类规划方法 ( 第三道防线 ) 规划内容总体规划安全管理类标准规划安全保护类标准规划安全检测类标准规划响应恢复类标准规划... 4 附录 A 证券期货行业信息安全标准体系框架图... 6 附录 B 现有证券期货行业信息安全标准及相关政策... 7 附录 C 证券期货业信息安全标准体系分析结果... 9 附录 D 证券期货行业信息安全标准体系标准编制工作规划附录 E 证券期货行业信息安全标准体系相关标准... 20

5 证券期货业信息安全标准规划 1 目标为适应证券期货业各类业务的创新与发展, 降低行业整体信息安全风险与成本, 进一步规范行业信息安全标准的与应用, 提高信息安全标准化水平, 特证券期货业信息安全标准规划 ( 以下简称本规划 ) 本规划描绘了证券行业信息安全标准全貌和标准化活动蓝图, 是行业未来一段时间所需信息安全标准的整体规划, 是标准制修订计划的主要依据和标准化工作的重要参考, 对证券期货行业信息系统的建设运维检测评估行业监督管理等具有基础支持作用 2 范围本规划适用于证券期货业信息安全标准信息安全标准过程中, 各相关立项承办参与单位等, 应充分理解本规划, 按照本规划的标准体系, 有计划地推进标准工作 3 规划原则 3.1 基于风险评估的思想和模型从标准体系本身以及标准本身均应体现风险评估的思想 : 一是标准体系应覆盖风险管理的每个部分二是标准内容 ( 特别是以业务应用为主体 ) 编制应以风险分析为前提从风险管理风险评估的视角检验相关信息安全标准体系是工作组的指导方针之一, 以国标 (GB/T 信息安全技术信息安全风险评估规范 ) 为指导, 同时把技术风险的识别与业务风险的评估有机统一起来, 从而满足对信息系统安全风险评估不同层次的要求, 将风险分析从技术风险上升到业务风险, 为行业提供更全面, 更有效的风险信息标准体系的主要设计依据是 GBZ 信息安全风险管理指南, 信息系统生命周期的任何一个阶段, 为了达到其信息安全目标, 都需要相应的信息安全风险管理从具体标准体系的构建角度, 引入 PPDRR 模型 PPDRR 模型是典型的公认的安全控制模型它是一种动态的自适应的安全控制模型, 可适应安全风险和安全需求的不断变化, 提供持续的安全保障 PPDRR 模型包括策略 (Policy) 防护(Protection) 检测(Detection) 响应(Response) 和恢复 (Recovery)5 个主要部分防护检测响应和恢复构成一个完整的动态的安全循环, 在安全策略的指导下共同实现安全保障 3.2 优先关注行业高风险点在信息安全标准体系的规划过程中, 不仅需要从风险评估角度出发, 还需结合证券期货行业的信息安全特点, 充分发现本行业与其他行业所不同的风险所在, 并加以分析, 总结行业应用较集中的高风险点以此作为信息安全标准体系规划的理论依据和着手点 ~ 1 ~

6 3.3 突出行业应用及新技术由于证券期货行业的特殊性, 所以其应用系统的特点, 信息安全的关注点也不同于其他行业行业标准体系规划在过程中, 应突出证券期货行业的特定应用, 把握该应用的相关特性, 优先保证证券期货行业内应用系统的信息安全此外, 本规划还应关注证券期货行业的新技术新技术的引入往往带来新的风险点, 在进行行业标准体系规划时, 应着重考虑目前已采用或即将大规模采用的新技术对证券期货行业所带来的影响, 需优先进行信息安全统一规范 3.4 突出行业普适性, 落实行业政策行业标准体系规划在过程中, 应突出行业的普适性, 尽量保证证券期货行业内大部分的信息系统可参考本规划的信息安全标准体系同时也要求本规划的信息安全标准体系基本全覆盖证券期货行业内的重要信息系统及相关方面此外, 本规划还应落实证券期货行业的相关政策第一保证本规划不与现有的政策相冲突 ; 第二要求本规划的相关标准能够尽快落实政策要求, 完善证券期货行业信息安全的动态循环 3.5 参考现有标准, 统筹协调行业标准体系规划在过程中, 应充分考虑现有标准体系, 在风险评估的思想模型中, 尽可能参考现有的信息安全标准, 为今后发展规划做好准备统筹协调现有信息安全标准主要考虑以下两点 : a) 与其他信息安全标准之间 : 对于基础性信息安全标准以及其他行业共性的安全标准原则上采取标准参考借鉴 ; 对于具备行业特点需要细化和创新的列入标准计划目录 b) 与其他信息化标准之间 : 做好标准之间的统筹和协调, 为其他信息化标准提供支撑, 防止出现标准之间术语不统一, 相互矛盾情况在统筹协调的过程中, 还需综合考虑现有标准的实用性应用成本和应用范围等因素 4 规划方法 4.1 总体方法本规划基于风险评估的思想和模型, 优先关注行业高风险点, 突出行业应用和新技术, 按照以下总体方法和步骤进行规划 : a) 从安全策略安全保护安全检测响应恢复四个方面, 对行业信息安全进行分析, 得出证券期货行业信息安全体系框架图, 具体结果参见附录 A: 证券期货行业信息安全体系框架图 ; b) 分析和统计证券期货行业现有的标准和相关政策, 得出附录 B: 现有证券期货行业信息安全标准及相关政策 ; c) 基于风险评估的思想和模型, 结合行业实际现状, 优先关注行业高风险点, 在安全策略安全保护安全检测响应恢复四个方面上进行分析, 找出哪些方面标准需要加强, 得出附录 C: 证券期货业信息安全标准体系分析结果 d) 根据证券期货业信息安全标准体系分析结果, 以及实际情况等因素, 选择目前最需要编制的相关标准, 得出附录 D: 证券期货行业信息安全标准体系标准编制工作规划每项标准规划, 均包括标准名称标准范围优先级牵头单位实施计划等内容以便协调标准化工作的开展 ~ 2 ~

7 4.2 安全管理类规划方法 ( 基础支撑类 ) 在安全管理类中进行分析规划的详细方法和步骤如下 : a) 基于风险评估的思想和模型, 将安全管理类分为体系建设风险管理机构管理运维管理以及工程管理等内容 ( 其中机构管理工程管理的相关内容由其他工作组整理和规划 ); b) 对每个安全管理类标准进行深入分析, 给出该类别的标准定义结合附录 B: 现有证券期货行业信息安全标准及相关政策, 结合行业实际现状, 优先关注行业高风险点, 找出哪些方面标准需要加强 ; c) 对每个安全管理类标准进行深入分析, 具体的安全管理类标准规划 4.3 安全保护类规划方法 ( 技术防护类, 第一道防线 ) 在安全保护类中进行分析规划的详细方法和步骤如下 : a) 基于风险评估的思想和模型, 将安全保护类分为环境安全应用安全平台安全数据安全以及新技术等内容 ( 其中数据安全的相关内容由其他工作组整理和规划 ); b) 对每个安全保护类标准进行深入分析, 给出该类别的标准定义结合附录 B: 现有证券期货行业信息安全标准及相关政策, 结合行业实际现状, 优先关注行业高风险点, 找出哪些方面标准需要加强 ; c) 对每个安全保护类标准进行深入分析, 具体的安全保护类标准规划 4.4 安全检测类规划方法 ( 监督检查, 第二道防线 ) 在安全检测类中进行分析规划的详细方法和步骤如下 : a) 基于风险评估的思想和模型, 将安全检测类分为检测评估监督检查以及安全审计等内容 ; b) 对每个安全检测类标准进行深入分析, 给出该类别的标准定义结合附录 B: 现有证券期货行业信息安全标准及相关政策, 结合行业实际现状, 优先关注行业高风险点, 找出哪些方面标准需要加强 ; c) 对每个安全检测类标准进行深入分析, 具体的安全检测类标准规划 4.5 响应恢复类规划方法 ( 第三道防线 ) 在响应恢复类中进行分析规划的详细方法和步骤如下 : a) 基于风险评估的思想和模型, 将响应恢复类分为应急响应事件处置以及备份恢复等内容 ; b) 对每个响应恢复类标准进行深入分析, 给出该类别的标准定义结合附录 B: 现有证券期货行业信息安全标准及相关政策, 结合行业实际现状, 优先关注行业高风险点, 找出哪些方面标准需要加强 ; c) 对每个响应恢复类标准进行深入分析, 具体的响应恢复类标准规划 5 规划内容 5.1 总体规划证券期货业信息安全标准规划基于风险评估的思想和模型, 优先关注行业高风险点, 突出行业应用和新技术, 得出证券期货行业信息安全体系框架图, 具体结果参见附录 A 规划数量统计如表 1 所示具体包括 : 已标准 6 个 ( 证券期货行业已发布的金融行业标准 ); 已立项标准 11 个 ( 全国金融标准 ~ 3 ~

8 化技术委员会证券分技术委员会正在组织的金融行业标准和国家标准 ); 待立项标准 12 个 ( 有一定需求, 正处于调研工作阶段的项目 ), 共计 30 个标准表 1 证券期货业信息安全标准规划统计表类别已已立项待立项小计安全管理类安全保护类安全检测类响应恢复类合计安全管理类标准规划本规划基于风险评估的思想和模型, 对现有的安全管理类标准进行了统计分析 ( 详见附录 B: 现有证券期货行业信息安全标准及相关政策 ), 对证券期货行业的相关政策进行解读, 并优先关注行业高风险点, 突出行业应用新技术和普适性最终该类标准规划为 8 个, 其中已标准为 2 个, 已立项标准为 3 个, 待立项标准为 3 个, 详见附录 C: 证券期货业信息安全标准体系分析结果具体的工作规划内容详见附录 D: 证券期货行业信息安全标准体系标准编制工作规划 5.3 安全保护类标准规划本规划基于风险评估的思想和模型, 对现有的安全保护类标准进行了统计分析 ( 详见附录 B: 现有证券期货行业信息安全标准及相关政策 ), 对证券期货行业的相关政策进行解读, 并优先关注行业高风险点, 突出行业应用新技术和普适性最终该类标准规划为 11 个, 其中已标准为 1 个, 已立项标准为 5 个, 待立项标准为 5 个, 详见附录 C: 证券期货业信息安全标准体系分析结果具体的工作规划内容详见附录 D: 证券期货行业信息安全标准体系标准编制工作规划 5.4 安全检测类标准规划本规划基于风险评估的思想和模型, 对现有的安全检测类标准进行了统计分析 ( 详见附录 B: 现有证券期货行业信息安全标准及相关政策 ), 对证券期货行业的相关政策进行解读, 并优先关注行业高风险点, 突出行业应用新技术和普适性最终该类标准规划为 7 个, 其中已标准为 2 个, 已立项标准为 3 个, 待立项标准为 2 个, 详见附录 C: 证券期货业信息安全标准体系分析结果具体的工作规划内容详见附录 D: 证券期货行业信息安全标准体系标准编制工作规划 5.5 响应恢复类标准规划本规划基于风险评估的思想和模型, 对现有的响应恢复类标准进行了统计分析 ( 详见附录 B: 现有证券期货行业信息安全标准及相关政策 ), 对证券期货行业的相关政策进行解读, 并优先关注行业高 ~ 4 ~

9 风险点, 突出行业应用新技术和普适性最终该类标准规划为 4 个, 其中已标准为 1 个, 待立项标准为 3 个, 详见附录 C: 证券期货业信息安全标准体系分析结果具体的工作规划内容详见附录 D: 证券期货行业信息安全标准体系标准编制工作规划 ~ 5 ~

10 ~ 6 ~ 附录 A 证券期货行业信息安全标准体系框架图本文对证券期货行业信息安全标准体系框架定义如下图所示 : 证券期货行业信息安全标准体系相关标准安全管理类标准安全保护类标准安全检测类标准响应恢复类标准机构管理工程管理应用安全新技术检测评估安全审计应急响应备份恢复监督检查事件处置数据安全平台安全环境安全风险管理体系建设运维管理

11 附录 B 现有证券期货行业信息安全标准及相关政策证券期货行业标准体系现有信息安全标准见下表 : 序号标准名称标准范围状态 ( 已发布待发布 ) 归口单位备注 1 证券期货业信息系统安全等级保护基本要求规定了证券期货业不同安全保护等级信息系统安全的基本保护要求, 包括基本技术要求和基本管理要求, 适用于指导证券期货业分等级信息系统的安全建设整改测评和监督管理已发布全国金融标准化技术委员会 JR/T 证券公司信息技术管理规范规定了证券公司信息技术管理的 : 信息技术管理工作中应遵循的基本原则 ; 信息技术管理的组织架 ; 信息技术人员管理和安全管理 ; 机房和设备管理 ; 网络通信软件和数据 ; 信息系统运行管理技术事故的防范预处理已发布全国金融标准化技术委员会 JR/T 证券期货业信息系统运维管理规范规定了证券期货业信息系统运维管理工作的要求已发布全国金融标准化技术委员会 JR/T 证券期货业信息系统安全等级保护测评要求规定了对证券期货业信息系统安全等级保护状况进行安全测试评估的要求, 包括对第一级信息系统第二级信息系统第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求本标准略去对第五级信息系统进行单元测评的具体内容要求已发布全国金融标准化技术委员会 JR/T 证券期货业信息系统审计规范规定了证券期货业信息系统审计工作的要求已发布全国金融标准化技术委员会 JR/T 证券期货经营机构信息系统备份能力标准明确了证券期货经营机构信息系统备份能力的含义, 定义了备份能力的等级是证券期货经营机构信息系统备份能力建设的设计标准, 用于指导信息系统备份能力建设工作已发布全国金融标准化技术委员会 JR/T ~ 7 ~

12 序号证券期货行业信息安全的相关政策见下表 : 名称描述发布单位执行日期备注证券期货业信息安全保障证券期货信息系统安全运行, 加强证券期货业信息安全管理工中国证券监督管理保障管理办法作, 促进证券期货市场稳定健康发展, 保护投资者合法权益委员会 2012 年 11 月 1 日证监会令第 82 号证券期货业信息安全规范证券期货业信息安全事件的报告和调查处理, 减少信息安全事中国证券监督管理证监会公告事件报告与调查处理 2013 年 2 月 1 日件的发生委员会 [2012]46 号办法中国证券监督管理委规定了证券期货业不同安全保护等级信息系统的基本保护要求, 包中国证券监督管理证监会公告员会公告括基本技术要求和基本管理要求, 适用于指导证券期货业分等级信 2011 年 11 月 22 日委员会 [2011]39 号号息系统的安全建设整改测评和监督管理中国证券监督管理委引导证券期货经营机构加强备份能力建设, 规范开展信息系统备份中国证券监督管理证监会公告员会公告工作, 提高抗风险能力, 确保信息系统安全稳定运行和重要数据安 2011 年 4 月 14 日委员会 [2011]10 号号全关于发布证券公司保障网上证券信息系统的安全可靠高效运行, 促进证券公司网上网上证券信息系统技开展证券业务的健康有序发展术指引的通知中国证券业协会 2015 年 3 月 13 日 ~ 8 ~

13 附录 C 证券期货业信息安全标准体系分析结果根据标准体系内的标准进行类别分析, 结果见下表 : 标准类别标准类别序号覆盖领域标准名称兼容方式 ( 一级 ) ( 二级 ) 1 证券期货业信息安全管理体系要求待立项为证券期货行业相关信息安全的体系建设提供策体系建设略类的要求和指引 2 JR/T 证券公司信息技术管理规范已 3 证券期货业信息系统风险评估规范待立项 4 证券期货业客户信息保护指南待立项 5 6 为证券期货行业信息安全相关的风险管理提供技风险管理安全管理术上和管理上的策略类指引类证券期货业信息技术统计标准证券期货业信息技术供应商管理规范已立项已立项 7 证券期货业软件开发安全管理指引已立项机构管理工程管理 8 运维管理为证券期货行业信息安全工作中的机构管理提供策略类的指导和规范为证券期货行业信息安全工作中的工程管理提供策略类的指导和规范以保障信息安全保障为目的, 为证券期货行业的运维管理工作 ( 如日常运维设备管理安全事 * 该领域由其他工作组整理和规划 * 该领域由其他工作组整理和规划 JR/T 证券期货业信息系统运维管理规范已 ~ 9 ~

14 序号标准类别 ( 一级 ) 标准类别 ( 二级 ) 覆盖领域标准名称兼容方式件处置等 ), 提供策略类的指导性建议和规范 9 10 环境安全以信息安全保障为目的, 为信息系统所部属的物理环境提供指导和要求证券期货业托管机房技术指引 ( 在建 ) JR/T 证券期货业信息系统安全等级保护基本要求已立项已 11 证券期货业第三方交易接入规范已立项从网络主机技术管理层面, 为行业内系统平平台安全台的信息安全的保护工作提供指导和要求 12 证券期货业互联网接入安全要求待立项 13 证券期货业信息系统上线安全要求待立项 14 安全保护类证券期货业身份认证与数字证书标准已立项 15 从应用安全层面, 如开发管理代码规范身份证券期货行业移动互联网应用软件安全防护要求待立项应用安全认证技术系统互联规范等方面, 为行业内信息 16 安全的保护工作提供相关要求证券期货行业程序化交易安全管理规范已立项 17 证券期货业支撑管理系统安全要求待立项数据安全从数据层面, 如数据接口传输接口通信协议方面, 为行业内系统数据安全提供指导和要求证券期货业商业秘密信息系统安全技术指引 * 该领域由其他工作组整理和规划 18 新技术针对行业内信息系统引入的新技术及新业务模证券支付服务业务系统安全要求待立项 ~ 10 ~

15 序号标准类别标准类别 ( 一级 ) ( 二级 ) 覆盖领域标准名称兼容方式 19 式, 如云计算支付业务等, 提供相关的安全指南和安全能力要求, 为行业内信息系统的安全性提供保护证券期货业云技术应用安全规范已立项 20 JR/T 证券期货业信息系统安全等级保护测以行业内信息系统 ( 包括物理环境网络结构评要求已 21 检测评估网络设备服务器设备数据库系统应用软件信息安全管理 ) 的安全检测风险评估为入口, 证券期货业移动互联网应用软件安全检测规范待立项 22 提供指导和要求规范安全检测证券期货业软件开发安全测试指南已立项类 23 证券期货业信息安全风险评估指标体系已立项为行业信息安全监管决策提供审核和评估方面的监督检查指导和体系规范 24 证券期货业信息安全审查规范已立项 25 安全审计 26 应急响应 27 响应恢复事件处置 28 类备份恢复 29 为证券期货行业内信息系统的安全审计工作提供规范和标准为信息系统相关应急响应工作的计划提供规范化的指导或要求为信息安全事件的分类处置安全保障的框架设计提供指导和要求从信息系统的备份和恢复方面出发, 提供相关的规范和技术 / 管理能力要求 JR/T 证券期货业信息系统审计规范证券期货业应急响应计划规范证券期货业信息安全事件分类分级指南证券期货业信息系统灾难恢复规范 JR/T 证券期货经营机构信息系统备份能力标准已待立项待立项待立项已 ~ 11 ~

16 附录 D 证券期货行业信息安全标准体系标准编制工作规划证券期货行业信息安全标准体系的标准编制工作规划见下表 : 序号标准分类标准中文名称 / 修订目的建立一套相关要求, 用以帮助组织明 1 安全管证券期货业信息安全管理体确其在整体或特定范围内建立信息理类系要求安全方针和目标, 以及完成这些目标所用方法的信息安全管理体系规定了证券期货业不同安全保护等级信息系统安全的基本保护要求, 包 2 安全管 JR/T 证券公司信括基本技术要求和基本管理要求, 适理类息技术管理规范用于指导证券期货业分等级信息系统的安全建设整改测评和监督管理根据证券期货业现有技术的发展水 3 安全管证券期货业信息系统风险评平, 提出证券期货业信息安全风险评理类估规范估的方法, 规定不同信息安全风险保护能力的具体评估指标随着信息技术的广泛应用和互联网 4 的不断普及, 个人信息在社会经济安全管证券期货业客户信息保护指活动中的地位日益凸显, 滥用个人信理类南息的现象随之出现, 给社会秩序和个人切身利益带来了危害为促进个人兼容方式 ( / 修订 / 延续 ) 延续优先级牵头单位实施计划高高高 ~ 12 ~

17 序号标准分类标准中文名称 / 修订目的兼容方式 ( / 修订 / 延续 ) 优先级牵头单位实施计划信息的合理利用, 指导和规范利用信息系统处理个人信息的活动, 本指导性技术文件建立相对完整合理开放的信息技术统计指标体系, 对披露信息投资 5 安全管理类证券期货业信息技术统计标准者保护信息行业性基础设施数据信息技术基础运行数据进行收集, 有很高助于全面持续地识别监测分析评估行业信息技术安全风险行业信息技术供应商管理规范, 6 安全管理类证券期货业信息技术供应商管理规范建立行业供应商跟踪评价机制, 提高行业对供应商的安全管控水平, 提高高重点领域外包服务的安全管控能力组织软件开发安全管理标准与 7 安全管理类证券期货业软件开发安全管理指引规范, 提供软件开发最佳实践 ; 建立行业共享的安全架构库和安全模块库, 为提升行业整体开发安全水平奠高定基础 8 安全管理类 JR/T 证券期货业信息系统运维管理规范规定了证券期货业信息系统运维管理工作的要求延续 ~ 13 ~

18 序号标准分类标准中文名称 / 修订目的兼容方式 ( / 修订 / 延续 ) 优先级牵头单位实施计划为了对向证券期货行业提供租赁服务的数据中心, 包括所涉及的计算机 9 安全保护类证券期货业托管机房技术指引房网络接入机架布线和运行管理等方面进行规范, 同时也为了提升行业内提供租赁服务的数据中心服务很高水平, 提高服务质量, 降低系统运行风险规定了证券期货业不同安全保护等 10 安全保护类 JR/T 证券期货业信息系统安全等级保护基本要求级信息系统安全的基本保护要求, 包括基本技术要求和基本管理要求, 适用于指导证券期货业分等级信息系统的安全建设整改测评和监督管延续理随着业务的发展, 程序化交易量化交易高频交易等系统越来越多的接入现有的传统的交易体系, 建设系统 11 安全保护类证券期货业第三方交易接入规范接入标准, 防止程序化交易等引起后台系统超载系统缺陷市场价格异很高常偏离等问题, 规范化系统接入的认证接入信任监视控制安全应急等一系列的管理 ~ 14 ~

19 序号标准分类标准中文名称 / 修订目的兼容方式 ( / 修订 / 延续 ) 优先级牵头单位实施计划随着互联网移动互联网的发展, 越来越多的证券期货业业务系统需要接入互联网应建设行业业务系统接入互联网的标准, 防止互联网引入的 12 安全保护类证券期货业互联网接入安全要求安全风险利用行业业务系统存在的安全漏洞导致出现拒绝服务数据篡很高改数据泄露等安全事件, 规范化系统接入的认证接入信任审计访问控制安全建设和运维灾备应急等一系列的管理证券期货业目前在系统上线方面没有定义专门的安全规范因为系统上 13 安全保护类证券期货业信息系统上线安全要求线运行是一个很关键的环节, 若对此环节未予以安全控制, 很可能会出现业务合规 / 信息安全等方面的问题, 所中以应建立相关方面的标准予以规范, 防范风险身份认证是实现信息安全的基本技 14 安全保护类证券期货业身份认证与数字证书标准术, 与信息安全的各个范畴紧密相关, 而互联网金融的发展使得应用安全中的身份认证变得尤为重要, 相关很高的标准建设已成为行业迫切的需求 ~ 15 ~

20 序号标准分类标准中文名称 / 修订目的兼容方式 ( / 修订 / 延续 ) 优先级牵头单位实施计划当前移动互联网应用服务发展十分迅速, 产业规模和用户数量越来越 15 安全保护类证券期货行业移动互联网应用软件安全防护要求大, 一旦应用服务存在缺陷或安全问题, 将影响系统的运行安全和用户的个人信息安全相关安全防护要求有很高待完善, 对移动互联网联网应用的安全防护能力进行要求由于程序化交易的特殊性, 一旦发生 16 安全保护类证券期货行业程序化交易安全管理规范故障可能导致严重的安全事件故程序化交易技术标准, 规范程序化交易的范围方法流程等内容, 有中效控制程序化交易风险针对行业内重要业务支撑和内部管 17 安全保护类证券期货业支撑管理系统安全要求理的信息系统, 提供相关的安全管理指南和安全能力要求, 为行业内信息低系统的安全性提供保护随着证联相关支付业务的发展, 其相关互联网支付服务业务系统的安全 18 安全保护类证券支付服务业务系统安全要求性也将成为安全服务保障的重点之一可参考银行或非金融支付机构的相关互联网支付系统的相关安全要中求, 对证券业互联网支付业务系统的安全性要求进行标准建立 ~ 16 ~

21 序号标准分类标准中文名称 / 修订目的兼容方式 ( / 修订 / 延续 ) 优先级牵头单位实施计划 19 安全保护类证券期货业云技术应用安全规范证券期货业有些重要系统可能会逐步部署在云 ( 私有云 / 公有云 ) 上证券期货业有着自己的业务特点或要求, 比如说交易速度快就是其中一个为了适应行业业务开展的需要, 在参考国家标准的基础上, 应逐步明确行业内 IaaS/PaaS/SaaS 的安全服务标准中规定了对证券期货业信息系统安全等级保护状况进行安全测试评估的 20 安全检测类 JR/T 证券期货业信息系统安全等级保护测评要求要求, 包括对第一级信息系统第二级信息系统第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要延续求本标准略去对第五级信息系统进行单元测评的具体内容要求当前移动互联网应用服务发展十分迅速, 产业规模和用户数量越来越大, 一旦应用服务存在缺陷或安全问 21 安全检测类证券期货业移动互联网应用软件安全检测规范题, 将影响系统的运行安全和用户的个人信息安全除了对服务提供者的中安全防护能力需要进行要求, 相关安全检测方面 ( 如 : 检测范围检测方法评定准则等 ) 也需要有一个统一 ~ 17 ~

22 序号标准分类标准中文名称 / 修订目的兼容方式 ( / 修订 / 延续 ) 优先级牵头单位实施计划的标准作为规范或参考 22 安全检测类证券期货业软件开发安全测试指南组织软件开发安全测试指南, 参考软件开发最佳实践, 为软件开发安全测试提供有效指导高为了有效识别行业信息安全风险, 需 23 安全检测类证券期货业信息安全风险评估指标体系要建设一套风险评估指标体系, 合理评估行业机构信息安全状态, 为行业信息安全监管决策提供科学准确的很高数据依据以国家网络安全审查相关政策为依 24 安全检测类证券期货业信息安全审查规范据, 行业信息安全审查标准, 统一行业内审查内容, 加强行业专用信息技术产品和服务的安全审查和检中测 25 安全检测类 JR/T 证券期货业信息系统审计规范规定了证券期货业信息系统审计工作的要求延续 26 安全检测类证券期货业信息系统审计实施指引高用于规定证券期货业编制信息安全 27 响应恢复类证券期货业应急响应计划规范应急响应计划的前期准备, 确立信息安全应急响应计划文档的基本要素高内容要求和格式规范为负责和 ~ 18 ~

23 序号标准分类标准中文名称 / 修订目的兼容方式 ( / 修订 / 延续 ) 优先级牵头单位实施计划维护信息安全应急响应计划的人员提供指导为信息安全事件的分类分级提供指导, 用于信息安全事件的防范与处 28 响应恢复类证券期货业信息安全事件分类分级指南置, 为事前准备事中应对事后处理提供一个基础指南, 可供证券期货业信息系统和基础信息传输网络的高运营和使用单位以及信息安全主管部门参考使用 29 响应恢复类证券期货业信息系统灾难恢复规范用于规定证券期货业信息系统灾难恢复应遵循的基本要求高明确了证券期货经营机构信息系统 30 响应恢复类 JR/T 证券期货经营机构信息系统备份能力标准备份能力的含义, 定义了备份能力的等级是证券期货经营机构信息系统备份能力建设的设计标准, 用于指导延续信息系统备份能力建设工作 ~ 19 ~

24 附录 E 证券期货行业信息安全标准体系相关标准相关标准类与证券期货行业标准化工作密切相关, 是证券期货行业信息安全标准体系类目的补充序号标准编号标准名称 1. GB 计算机信息系统安全保护等级划分准则 2. GB/T 信息系统安全等级保护基本要求 3. GB/T 信息系统安全等级保护测评要求 4. JR/T 金融行业信息系统信息安全等级保护实施指引 5. JR/T 金融行业信息系统信息安全等级保护测评指南 6. JR/T 金融行业信息安全等级保护测评服务安全指引 7. GB/T 银行业务安全和其它金融服务金融系统的安全框架 8. GB/T 金融服务信息安全指南 9. GB/T 用于金融服务的公钥基础设施实施和策略框架 10. GB/T 金融业务证书管理第 1 部分 : 公钥证书 11. GB/T 金融服务生物特征识别安全框架 12. JR/T 信息安全技术应用安全规范 ~ 20 ~

25 序号标准编号标准名称 13. JR/T 信息安全技术中国金融移动支付检测规范 14. YD/T 移动互联网联网应用安全防护要求 15. YD/T 移动互联网联网应用安全防护检测要求 16. GB/T 信息安全技术操作系统安全技术要求 17. GB/T 信息安全技术应用软件系统通用安全技术要求 18. GB/T 信息安全技术信息安全服务能力评估准则 19. GB/T 信息安全技术开放系统互连虚拟终端基本类服务 20. GB/T 信息系统安全等级保护实施指南 21. GB/T 信息系统安全保护等级定级指南 22. GB/T 信息技术安全技术信息安全管理实用规则 23. GB/T 信息系统安全工程管理要求 24. GB/Z 信息安全技术信息安全事件管理指南 25. GB/T 信息安全技术信息系统物理安全技术要求 26. GB/T 信息系统等级保护安全设计技术要求 27. GB/T 信息安全技术信息系统通用安全技术要求 28. GB/T 信息安全技术网络基础安全技术要求 ~ 21 ~

26 序号标准编号标准名称 29. GB/T 信息安全技术信息系统安全管理要求 30. GB/T 信息技术安全技术信息技术安全性评估准则 31. GB/T 信息系统安全等级保护测评过程指南 32. GB/T 信息安全技术信息安全风险评估规范 33. GB/T 信息安全技术网上证券交易系统信息安全保障评估准则 34. GB/T 信息安全技术数据库管理系统安全评估准则 35. GB/T 信息安全技术信息安全管理体系审核指南 36. GB/T 信息安全技术信息系统安全保障评估框架 ~ 22 ~

证券期货业机构间接口标准行业规划

证券期货业机构间接口标准行业规划证券期货业技术管理标准规划 (2015 年版 ) 全国金融标准化技术委员会证券分技术委员会技术管理专业工作组 (WG4) 2015-10-20 目录 1 目标... 1 2 范围... 1 3 规划原则... 1 4 规划方法... 2 5 规划内容... 2 5.1 总体规划... 2 5.2 IT 治理类标准规划... 3 5.3 IT 开发建设类标准规划... 3 5.4 IT 运维类标准规划...