證券行業(yè)等級(jí)測(cè)評(píng)案例分析

1、信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展1證券行業(yè)證券行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)信息安全等級(jí)保護(hù)測(cè)評(píng)案例案例成都久信網(wǎng)絡(luò)咨詢監(jiān)理有限公司信息安全等級(jí)測(cè)評(píng)中心二一二年信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展2目錄目錄 1、測(cè)評(píng)依據(jù) 2、測(cè)評(píng)工作流程 3、測(cè)評(píng)工作實(shí)施 4、結(jié)束語(yǔ)信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展3測(cè)評(píng)依據(jù)測(cè)評(píng)依據(jù) 證券期貨業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（試行）（JRT 0060-2010）； 證券期貨業(yè)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（試行）（JRT 0067-2011）； 證券期貨業(yè)信息安全保障管理辦法等國(guó)家、行業(yè)標(biāo)準(zhǔn)規(guī)范。信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展4測(cè)評(píng)工作流程測(cè)評(píng)工作流程測(cè)評(píng)準(zhǔn)備活動(dòng)測(cè)評(píng)準(zhǔn)備活動(dòng)項(xiàng)目啟動(dòng)信息

2、收集分析工具表單準(zhǔn)備方案編制活動(dòng)方案編制活動(dòng)測(cè)評(píng)對(duì)象確定測(cè)評(píng)對(duì)象確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書開發(fā)測(cè)評(píng)方案編制現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)測(cè)評(píng)實(shí)施工作準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)結(jié)果確認(rèn)和資料歸還分析與報(bào)告編制活動(dòng)分析與報(bào)告編制活動(dòng)單項(xiàng)測(cè)評(píng)結(jié)果判定單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成整改意見整改意見復(fù)測(cè)復(fù)測(cè)測(cè)評(píng)報(bào)告編制信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展5 某金融金融交易交易業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)應(yīng)用包括：金融交易、行情查詢、分析，管理和記錄交易信息等。屬于公民、法人和其他組織的專有信息公民、法人和其他組織的專有信息。定級(jí)案例定級(jí)案例信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展6 業(yè)務(wù)信息安全

3、保護(hù)等級(jí) （S） 該業(yè)務(wù)信息遭到破壞后，所侵害的客體是公民、法人客體是公民、法人和其他組織的合法權(quán)益和其他組織的合法權(quán)益。信息受到破壞后對(duì)侵害客體的侵害程度嚴(yán)重?fù)p害嚴(yán)重?fù)p害。 查定級(jí)指南表2知，業(yè)務(wù)信息安全保護(hù)等級(jí)為第二級(jí)二級(jí)。定級(jí)案例定級(jí)案例信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展7 系統(tǒng)服務(wù)安全保護(hù)等級(jí)（A） 該系統(tǒng)屬于為國(guó)計(jì)民生、經(jīng)濟(jì)建設(shè)等提供服務(wù)的信息系統(tǒng)，其服務(wù)范圍為全省范圍內(nèi)的普通公民、法人全省范圍內(nèi)的普通公民、法人等。 該業(yè)務(wù)信息遭到破壞后，所侵害的客體是公民、法人和公民、法人和其他組織的合法權(quán)益其他組織的合法權(quán)益，同時(shí)也侵害社會(huì)秩序和公共利益同時(shí)也侵害社會(huì)秩序和公共利益但不損害國(guó)家安全。

4、信息受到破壞后對(duì)侵害客體的侵害程度對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害嚴(yán)重?fù)p害，即會(huì)出現(xiàn)較大范圍的社會(huì)不良影響和較大程度的公共利益的損害等。定級(jí)案例定級(jí)案例信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展8 安全保護(hù)等級(jí)的確定 信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全務(wù)安等級(jí)的較高者決定。所以，金融網(wǎng)中間業(yè)務(wù)系統(tǒng)安全保護(hù)等級(jí)為三級(jí) (2S3A3G)。定級(jí)案例定級(jí)案例信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展9測(cè)評(píng)工作流程測(cè)評(píng)工作流程測(cè)評(píng)準(zhǔn)備活動(dòng)測(cè)評(píng)準(zhǔn)備活動(dòng)項(xiàng)目啟動(dòng)信息收集分析工具表單準(zhǔn)備方案編制活動(dòng)方案編制活動(dòng)測(cè)評(píng)對(duì)象確定測(cè)評(píng)對(duì)象確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書開發(fā)測(cè)評(píng)方案編制現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)測(cè)評(píng)

5、實(shí)施工作準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)結(jié)果確認(rèn)和資料歸還分析與報(bào)告編制活動(dòng)分析與報(bào)告編制活動(dòng)單項(xiàng)測(cè)評(píng)結(jié)果判定單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成整改意見整改意見復(fù)測(cè)復(fù)測(cè)測(cè)評(píng)報(bào)告編制信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展10測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施- -實(shí)施計(jì)劃實(shí)施計(jì)劃信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展11確定可能存在的風(fēng)險(xiǎn)： 1）驗(yàn)證測(cè)試影響系統(tǒng)正常運(yùn)行； 2）工具測(cè)試影響系統(tǒng)正常運(yùn)行； 3）敏感信息泄露等。風(fēng)險(xiǎn)規(guī)避： 1）簽署保密協(xié)議； 2）現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書、合同； 3）現(xiàn)場(chǎng)測(cè)評(píng)工作風(fēng)險(xiǎn)規(guī)避-備份、避開業(yè)務(wù)高峰；（由于證券行業(yè)特殊性，部分驗(yàn)證性測(cè)試安排在下午15：20開始） 4）規(guī)范化的實(shí)施過程-

6、作業(yè)指導(dǎo)書、測(cè)評(píng)記錄； 5）結(jié)果還原-交回特權(quán)、清理相關(guān)代碼/程序等； 5）委托方全程配合（溝通機(jī)制）。 測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施- -風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展12評(píng)審 方案評(píng)審、記錄評(píng)審、結(jié)果評(píng)審。工作規(guī)范化 測(cè)評(píng)過程嚴(yán)格依據(jù)各測(cè)評(píng)作業(yè)指導(dǎo)書/記錄進(jìn)行； 測(cè)評(píng)結(jié)果和報(bào)告的規(guī)范化，準(zhǔn)確、清晰、客觀的報(bào)告每項(xiàng)測(cè)評(píng)結(jié)果。校準(zhǔn) 設(shè)備儀器/工具軟件測(cè)評(píng)前通過校準(zhǔn)。能力 項(xiàng)目組成員均為測(cè)評(píng)機(jī)構(gòu)在編人員，持證上崗。 測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施- -質(zhì)量管理質(zhì)量管理信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展13測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施- -人員職責(zé)人員職責(zé)信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展14測(cè)評(píng)工作實(shí)施測(cè)評(píng)

7、工作實(shí)施- -溝通管理溝通管理信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展15測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施- -現(xiàn)場(chǎng)測(cè)評(píng)現(xiàn)場(chǎng)測(cè)評(píng)信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展16測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施- -結(jié)果判定結(jié)果判定信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展17測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施- -整體測(cè)評(píng)整體測(cè)評(píng)信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展18安全控制點(diǎn)間 同一層面內(nèi)不同安全控制之間存在的功能增強(qiáng)（補(bǔ)充）或削弱等關(guān)聯(lián)作用。 比如：物理訪問控制與防盜竊和破壞。層面間 主要考慮同一區(qū)域內(nèi)的不同層面之間存在的功能增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用。 比如：物理層面與網(wǎng)絡(luò)層面間 - 物理訪問控制與網(wǎng)絡(luò)設(shè)備身份鑒別。區(qū)域間 主要考慮互連互通的不同區(qū)域間，重點(diǎn)分

8、析系統(tǒng)中訪問控制路徑，是否存在區(qū)域間安全功能的相互補(bǔ)充。 比如：不同功能區(qū)域間的數(shù)據(jù)流流向和控制方式。測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施- -整體測(cè)評(píng)整體測(cè)評(píng)信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展19測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施- -風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析 依據(jù)等級(jí)保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)分析的方法分析信息系統(tǒng)等級(jí)測(cè)評(píng)結(jié)果中存在的安全問題（結(jié)果中部分符合項(xiàng)或不符合項(xiàng)的匯總結(jié)果）可能對(duì)信息系統(tǒng)安全造成的影響。信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展20測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施- -測(cè)評(píng)結(jié)論測(cè)評(píng)結(jié)論測(cè)評(píng)結(jié)論的判別依據(jù)如下：信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展21測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施- -整改意見整改意見對(duì)標(biāo)整改 通過整體測(cè)評(píng)后依據(jù)測(cè)評(píng)指標(biāo)要求針對(duì)不符合/部分符合的提出整改意見。信息化第三方服務(wù)推動(dòng)工業(yè)發(fā)展22測(cè)評(píng)工作實(shí)施測(cè)評(píng)工作實(shí)施-