标准规范下载简介

JR／T 0067-2021 证券期货业网络安全等级保护测评要求.pdf简介：

JR/T 0067-2021《证券期货业网络安全等级保护测评要求》是中国证券监督管理委员会制定的行业标准，其目的是为了规范证券期货业的信息系统安全保护工作，确保证券期货业务的正常运行和数据安全。该标准主要依据GB/T 22239《信息安全技术 信息系统安全等级保护基本要求》进行制定，适用于证券期货交易所、证券公司、期货公司、基金公司等金融机构的信息系统。

该标准将证券期货业的信息系统安全等级划分为五级，从低到高分别是：第一级到第五级，每一级都有具体的安全保护要求。这些要求涵盖了网络安全策略、安全管理制度、物理安全、网络安全设施、访问控制、安全审计、安全监控、应急响应、安全培训等多个方面。

测评要求主要包括但不限于以下几点：

1. 系统的完整性：确保信息不被非法修改或破坏； 2. 信息的保密性：防止未经授权的访问和泄露； 3. 安全的可用性：确保在遭受攻击或故障后，系统能够快速恢复，保障业务连续性； 4. 安全的可控性：实现对系统和数据的全面管理和控制，防止安全风险； 5. 安全的可审计性：记录和追踪所有操作日志，便于安全审计和事件追溯。

金融机构需要定期进行网络安全等级保护测评，以确保其信息系统符合该标准，提高信息安全防护能力。

JR／T 0067-2021 证券期货业网络安全等级保护测评要求.pdf部分内容预览：

该测评单元包括以下要求： a）测评指标：应对机房的安全管理做出规定，包括物理访问、物品进出和环境安全等方面； b）测评对象：管理制度类文档和记录表单类文档； c）测评实施包括以下内容： 1）应核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容； 2）应核查物理访问、物品进出和环境安全等的相关记录是否与制度相符； 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为

6. 1. 9. 2 介质管理

6.1.9.3设备维护管理

【朔州市】《城市规划管理技术规定》（试行版）（2015年）6. 1. 9. 4漏洞和风险管理

c）测评实施包括以下内容： 1）应核查是否有识别安全漏洞和隐患的安全报告或记录（如漏洞扫描报告、渗透测试报告和 安全通报等）； 2）应核查相关记录是否对发现的漏洞及时进行修补或评估可能的影响后进行修补； 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求：否则部分符合本测评单元指标要求。

1.9.5网络和系统安全

该测评单元包括以下要求： a） 测评指标：应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限； 测评对象：记录表单类文档； 测评实施：应核查网络和系统安全管理文档，是否划分了网络和系统管理员等不同角色，并定 义各个角色的责任和权限； d 单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

该测评单元包括以下要求： a）测评指标：应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行 控制； 测评对象：运维负责人和记录表单类文档： 测评实施包括以下内容： 1）应访谈运维负责人是否指定专门的部门或人员进行账户管理； 2）应核查相关审批记录或流程是否对申请账户、建立账户、删除账户等进行控制； 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求；否则部分符合本测评单元指标要求。

6.1.9.6恶意代码防范

该测评单元包括以下要求： a）测评指标：应对恶意代码防范要求做出规定，包括防恶意代码软件的授权使用、恶意代码库升 级、恶意代码的定期查杀等； b） 测评对象：管理制度类文档； 测评实施：应核查恶意代码防范管理制度是否包括防恶意代码软件的授权使用、恶意代码库升 级、定期查杀等内容； d 单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

5.1.9.7备份与恢复管理

该测评单元包括以下要求： a） 测评指标：应识别需要定期备份的重要业务信息、系统数据及软件系统等； b 测评对象：系统管理员和管理制度类文档； C 测评实施包括以下内容： 1）应访谈系统管理员有哪些需定期备份的业务信息、系统数据及软件系统： 2）应核查是否具有定期备份的重要业务信息、系统数据、软件系统的列表或清单； d 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求；否则部分符合本测评单元指标要求。

该测评单元包括以下要求： 测评指标：应规定备份信息的备份方式、备份频度、存储介质、保存期等； 测评对象：管理制度类文档； C） 测评实施：应核查备份与恢复管理制度是否明确备份方式、频度、介质、保存期等内容； 单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

则评单元包括以下要求：

JR/T00672021

6.2云计算安全测评扩展要求

6.2.1安全物理环境

6.2.2安全通信网络

该测评单元包括以下要求： 测评指标：云计算平台不应承载高于其安全保护等级的业务应用系统： 测评对象：云计算平台和业务应用系统定级备案材料； 测评实施：应核查云计算平台和云计算平台承载的业务应用系统相关定级备案材料，云计算平 台安全保护等级是否不低于其承载的业务应用系统安全保护等级； d 单元判定：若以上测评实施结论为是，则符合本单元测评指标要求，否则不符合本单元测评指 标要求。

该测评单元包括以下要求： 测评指标：应实现不同云服务客户虚拟网络之间的隔离； 测评对象：网络资源隔离措施、综合网管系统和云管理平台； 测评实施包括以下内容： 1）应核查云服务客户之间是否采取网络隔离措施； 2） 应核查云服务客户之间是否设置并启用网络资源隔离策略； 3 应测试验证不同云服务客户之间的网络隔离措施是否有效； d 单元判定：若1)～3)测评实施结论均为是，则符合本单元测评指标要求；测评实施结论均为否， 则不符合本测评单元指标要求：否则部分符合本测评单元指标要求，

6.2.3安全区域边界

6.2.4安全计算环境

6.2. 4. 1访问控制

该测评单元包括以下要求： a） 测评指标：当虚拟机迁移时，访问控制策略应随其迁移；虚拟机迁移应包含热迁移和冷迁移； b 测评对象：虚拟机、虚拟机迁移记录和相关配置； 测评实施包括以下内容： 1）应核查虚拟机迁移时访问控制策略是否随之迁移；应核查虚拟机热迁移和冷迁移时访问控 制策略是否随之迁移； 2）应核查是否具备虚拟机迁移记录及相关配置： d）单元判定：若1)和2)测评实施结论均为是，则符合本单元测评指标要求；测评实施结论均为 否，则不符合本测评单元指标要求；否则部分符合本测评单元指标要求。

该测评单元包括以下要求： a） 测评指标：应允许云服务客户设置不同虚拟机之间的访问控制策略； b 测评对象：虚拟机和安全组或相关组件； C） 测评实施包括以下内容： 1）应核查云服务客户是否能够设置不同虚拟机间访问控制策略； 2）应测试验证上述访问控制策略的有效性； d 单元判定：若1)和2)测评实施结论均为是，则符合本单元测评指标要求；测评实施结论均为 否，则不符合本测评单元指标要求；否则部分符合本测评单元指标要求

5.2.4.2数据完整性和保密性

JR/T00672021

b）测评对象：数据库服务器、数据存储设备和管理文档记录； C 测评实施包括以下内容： 1）应核查云服务客户数据、用户个人信息所在的服务器及数据存储设备是否位于中国境内； 2）应核查上述数据出境时是否符合国家主管部门的相关要求； 单元判定：若1)和2)测评实施结论均为是，则符合本单元测评指标要求；测评实施结论均为 否，则不符合本测评单元指标要求：否则部分符合本测评单元指标要求。

6.2.5安全建设管理

6.2.5.1云服务商选择

该测评单元包括以下要求： 测评指标：应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统 提供相应等级的安全保护能力；云服务商的选择应符合行业有关规定，其所提供的云计算平台 承载的信息系统及数据应符合行业有关规定； 测评对象：系统建设负责人和服务合同 C 测评实施包括以下内容： 1）应访谈系统建设负责人是否根据业务系统的安全保护等级选择具有相应等级安全保护能 力的云计算平台及云服务商； 2） 应核查云服务商提供的相关服务合同是否明确其云计算平台具有与所承载的业务应用系 统具有相应或高于的安全保护能力； d 单元判定若1)和2)测评实施结论均为是，则符合本单元测评指标要求；测评实施结论均为否 则不符合本测评单元指标要求；否则部分符合本测评单元指标要求。

该测评单元包括以下要求： a） 测评指标：应在服务水平协议中规定云服务的各项服务内容和具体技术指标； b 测评对象：服务水平协议或服务合同； 测评实施：应核查服务水平协议或服务合同是否规定了云服务的各项服务内容和具体指标等； d 单元判定：若以上测评实施结论为是，则符合本单元测评指标要求，否则不符合本单元测评指 标要求，

该测评单元包括以下要求： 测评指标：应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问 授权、隐私保护、行为准则、违约责任等； 测评对象：服务水平协议或服务合同； 测评实施：应核查服务水平协议或服务合同中是否规范了安全服务商和云服务供应商的权限与 责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等： d 单元判定：若以上测评实施结论为是，则符合本单元测评指标要求，否则不符合本单元测评指 标要求。

6.2.5.2供应链管理

b）测评对象：记录表单类文档； c）测评实施：应核查云服务商的选择是否符合国家主管部门的相关要求； d）单元判定：若以上测评实施结论为是，则符合本单元测评指标要求，否则不符合本单元测评指 标要求。

6.3移动互联安全测评扩展要求

6.3.1安全物理环境

DBJ∕T 13-252-2016 福建省建筑工程隔震橡胶支座和装置施工及验收规程6.3. 2安全区域边界

6. 3. 2. 1边界防护

6. 3. 2. 2 访问控制

6.3.3安全计算环境

JR/T00672021

6.3.4安全建设管理

6.4物联网安全测评扩展要求

CJ∕T 460-2014 垃圾滚筒筛6.4.1安全物理环境

该测评单元包括以下要求： a 测评指标：感知节点设备所处的物理环境不应对感知节点设备造成物理破坏，如挤压、强振动 b 测评对象：感知节点设备所处物理环境和设计或验收文档； C 测评实施包括以下内容： 1 应核查感知节点设备所处物理环境的设计或验收文档，是否有感知节点设备所处物理环境 具有防挤压、防强振动等能力的说明，是否与实际情况一致； 2）应核查感知节点设备所处物理环境是否采取了防挤压、防强振动等的防护措施： d 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求；否则部分符合本测评单元指标要求。