證券行業(yè)等級測評案例分析

1、信息化第三方服務推動工業(yè)發(fā)展1證券行業(yè)證券行業(yè)信息安全等級保護測評信息安全等級保護測評案例案例成都久信網(wǎng)絡咨詢監(jiān)理有限公司信息安全等級測評中心二一二年信息化第三方服務推動工業(yè)發(fā)展2目錄目錄 1、測評依據(jù) 2、測評工作流程 3、測評工作實施 4、結(jié)束語信息化第三方服務推動工業(yè)發(fā)展3測評依據(jù)測評依據(jù) 證券期貨業(yè)信息系統(tǒng)安全等級保護基本要求（試行）（JRT 0060-2010）； 證券期貨業(yè)信息系統(tǒng)安全等級保護測評要求（試行）（JRT 0067-2011）； 證券期貨業(yè)信息安全保障管理辦法等國家、行業(yè)標準規(guī)范。信息化第三方服務推動工業(yè)發(fā)展4測評工作流程測評工作流程測評準備活動測評準備活動項目啟動信息

2、收集分析工具表單準備方案編制活動方案編制活動測評對象確定測評對象確定測評工具接入點確定測評內(nèi)容確定測評指導書開發(fā)測評方案編制現(xiàn)場測評活動現(xiàn)場測評活動測評實施工作準備現(xiàn)場測評和結(jié)果記錄結(jié)果確認結(jié)果確認和資料歸還分析與報告編制活動分析與報告編制活動單項測評結(jié)果判定單元測評結(jié)果判定整體測評風險分析等級測評結(jié)論形成整改意見整改意見復測復測測評報告編制信息化第三方服務推動工業(yè)發(fā)展5 某金融金融交易交易業(yè)務系統(tǒng)業(yè)務系統(tǒng)的業(yè)務應用包括：金融交易、行情查詢、分析，管理和記錄交易信息等。屬于公民、法人和其他組織的專有信息公民、法人和其他組織的專有信息。定級案例定級案例信息化第三方服務推動工業(yè)發(fā)展6 業(yè)務信息安全

3、保護等級 （S） 該業(yè)務信息遭到破壞后，所侵害的客體是公民、法人客體是公民、法人和其他組織的合法權(quán)益和其他組織的合法權(quán)益。信息受到破壞后對侵害客體的侵害程度嚴重損害嚴重損害。 查定級指南表2知，業(yè)務信息安全保護等級為第二級二級。定級案例定級案例信息化第三方服務推動工業(yè)發(fā)展7 系統(tǒng)服務安全保護等級（A） 該系統(tǒng)屬于為國計民生、經(jīng)濟建設等提供服務的信息系統(tǒng)，其服務范圍為全省范圍內(nèi)的普通公民、法人全省范圍內(nèi)的普通公民、法人等。 該業(yè)務信息遭到破壞后，所侵害的客體是公民、法人和公民、法人和其他組織的合法權(quán)益其他組織的合法權(quán)益，同時也侵害社會秩序和公共利益同時也侵害社會秩序和公共利益但不損害國家安全。

4、信息受到破壞后對侵害客體的侵害程度對社會秩序和公共利益造成嚴重損害嚴重損害，即會出現(xiàn)較大范圍的社會不良影響和較大程度的公共利益的損害等。定級案例定級案例信息化第三方服務推動工業(yè)發(fā)展8 安全保護等級的確定 信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全務安等級的較高者決定。所以，金融網(wǎng)中間業(yè)務系統(tǒng)安全保護等級為三級 (2S3A3G)。定級案例定級案例信息化第三方服務推動工業(yè)發(fā)展9測評工作流程測評工作流程測評準備活動測評準備活動項目啟動信息收集分析工具表單準備方案編制活動方案編制活動測評對象確定測評對象確定測評工具接入點確定測評內(nèi)容確定測評指導書開發(fā)測評方案編制現(xiàn)場測評活動現(xiàn)場測評活動測評

5、實施工作準備現(xiàn)場測評和結(jié)果記錄結(jié)果確認結(jié)果確認和資料歸還分析與報告編制活動分析與報告編制活動單項測評結(jié)果判定單元測評結(jié)果判定整體測評風險分析等級測評結(jié)論形成整改意見整改意見復測復測測評報告編制信息化第三方服務推動工業(yè)發(fā)展10測評工作實施測評工作實施- -實施計劃實施計劃信息化第三方服務推動工業(yè)發(fā)展11確定可能存在的風險： 1）驗證測試影響系統(tǒng)正常運行； 2）工具測試影響系統(tǒng)正常運行； 3）敏感信息泄露等。風險規(guī)避： 1）簽署保密協(xié)議； 2）現(xiàn)場測評授權(quán)書、合同； 3）現(xiàn)場測評工作風險規(guī)避-備份、避開業(yè)務高峰；（由于證券行業(yè)特殊性，部分驗證性測試安排在下午15：20開始） 4）規(guī)范化的實施過程-

6、作業(yè)指導書、測評記錄； 5）結(jié)果還原-交回特權(quán)、清理相關代碼/程序等； 5）委托方全程配合（溝通機制）。 測評工作實施測評工作實施- -風險管理風險管理信息化第三方服務推動工業(yè)發(fā)展12評審 方案評審、記錄評審、結(jié)果評審。工作規(guī)范化 測評過程嚴格依據(jù)各測評作業(yè)指導書/記錄進行； 測評結(jié)果和報告的規(guī)范化，準確、清晰、客觀的報告每項測評結(jié)果。校準 設備儀器/工具軟件測評前通過校準。能力 項目組成員均為測評機構(gòu)在編人員，持證上崗。 測評工作實施測評工作實施- -質(zhì)量管理質(zhì)量管理信息化第三方服務推動工業(yè)發(fā)展13測評工作實施測評工作實施- -人員職責人員職責信息化第三方服務推動工業(yè)發(fā)展14測評工作實施測評

7、工作實施- -溝通管理溝通管理信息化第三方服務推動工業(yè)發(fā)展15測評工作實施測評工作實施- -現(xiàn)場測評現(xiàn)場測評信息化第三方服務推動工業(yè)發(fā)展16測評工作實施測評工作實施- -結(jié)果判定結(jié)果判定信息化第三方服務推動工業(yè)發(fā)展17測評工作實施測評工作實施- -整體測評整體測評信息化第三方服務推動工業(yè)發(fā)展18安全控制點間 同一層面內(nèi)不同安全控制之間存在的功能增強（補充）或削弱等關聯(lián)作用。 比如：物理訪問控制與防盜竊和破壞。層面間 主要考慮同一區(qū)域內(nèi)的不同層面之間存在的功能增強、補充和削弱等關聯(lián)作用。 比如：物理層面與網(wǎng)絡層面間 - 物理訪問控制與網(wǎng)絡設備身份鑒別。區(qū)域間 主要考慮互連互通的不同區(qū)域間，重點分

8、析系統(tǒng)中訪問控制路徑，是否存在區(qū)域間安全功能的相互補充。 比如：不同功能區(qū)域間的數(shù)據(jù)流流向和控制方式。測評工作實施測評工作實施- -整體測評整體測評信息化第三方服務推動工業(yè)發(fā)展19測評工作實施測評工作實施- -風險分析風險分析 依據(jù)等級保護的相關規(guī)范和標準，采用風險分析的方法分析信息系統(tǒng)等級測評結(jié)果中存在的安全問題（結(jié)果中部分符合項或不符合項的匯總結(jié)果）可能對信息系統(tǒng)安全造成的影響。信息化第三方服務推動工業(yè)發(fā)展20測評工作實施測評工作實施- -測評結(jié)論測評結(jié)論測評結(jié)論的判別依據(jù)如下：信息化第三方服務推動工業(yè)發(fā)展21測評工作實施測評工作實施- -整改意見整改意見對標整改 通過整體測評后依據(jù)測評指標要求針對不符合/部分符合的提出整改意見。信息化第三方服務推動工業(yè)發(fā)展22測評工作實施測評工作實施-