证券时报多媒体数字报

　　证券时报记者 郑晓波

　　中国证监会昨日发布金融行业推荐性标准《证券期货业信息系统安全等级保护基本要求（试行）》（JR/T 0060-2010）、《证券期货业信息系统安全等级保护测评要求（试行）》（JR/T 0067-2011），自公布之日起施行。

　　《基本要求》依据国家信息安全等级保护管理规定制定。证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。《基本要求》从证券期货业实际情况出发，对《信息系统安全等级保护基本要求》（GB/T 22239-2008）的有关要求进行了明确、细化和调整，提出和规定了证券期货业不同等级信息系统的安全要求，适用于指导证券期货业按照等级保护要求进行安全建设、测评和监督管理。

　　《基本要求》规定了证券期货业不同安全保护等级信息系统的基本保护要求，包括基本技术要求和基本管理要求，适用于指导证券期货业分等级信息系统的安全建设整改、测评和监督管理。

　　基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。

　　《测评要求》依据《基本要求》，主要参考《信息安全技术信息系统安全等级保护测评要求（报批稿）》等有关标准制定，提出了证券期货业不同等级信息系统的测评要求，适用于指导证券期货业信息系统测评工作。该标准是证券期货业信息安全等级保护相关系列标准之一。

　　《测评要求》针对证券期货业信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。