证券行业等级测评案例分析

1、信息化第三方服务推动工业发展1证券行业证券行业信息安全等级保护测评信息安全等级保护测评案例案例成都久信网络咨询监理有限公司信息安全等级测评中心二一二年信息化第三方服务推动工业发展2目录目录 1、测评依据 2、测评工作流程 3、测评工作实施 4、结束语信息化第三方服务推动工业发展3测评依据测评依据 证券期货业信息系统安全等级保护基本要求（试行）（JRT 0060-2010）； 证券期货业信息系统安全等级保护测评要求（试行）（JRT 0067-2011）； 证券期货业信息安全保障管理办法等国家、行业标准规范。信息化第三方服务推动工业发展4测评工作流程测评工作流程测评准备活动测评准备活动项目启动信息

2、收集分析工具表单准备方案编制活动方案编制活动测评对象确定测评对象确定测评工具接入点确定测评内容确定测评指导书开发测评方案编制现场测评活动现场测评活动测评实施工作准备现场测评和结果记录结果确认结果确认和资料归还分析与报告编制活动分析与报告编制活动单项测评结果判定单元测评结果判定整体测评风险分析等级测评结论形成整改意见整改意见复测复测测评报告编制信息化第三方服务推动工业发展5 某金融金融交易交易业务系统业务系统的业务应用包括：金融交易、行情查询、分析，管理和记录交易信息等。属于公民、法人和其他组织的专有信息公民、法人和其他组织的专有信息。定级案例定级案例信息化第三方服务推动工业发展6 业务信息安全

3、保护等级 （S） 该业务信息遭到破坏后，所侵害的客体是公民、法人客体是公民、法人和其他组织的合法权益和其他组织的合法权益。信息受到破坏后对侵害客体的侵害程度严重损害严重损害。 查定级指南表2知，业务信息安全保护等级为第二级二级。定级案例定级案例信息化第三方服务推动工业发展7 系统服务安全保护等级（A） 该系统属于为国计民生、经济建设等提供服务的信息系统，其服务范围为全省范围内的普通公民、法人全省范围内的普通公民、法人等。 该业务信息遭到破坏后，所侵害的客体是公民、法人和公民、法人和其他组织的合法权益其他组织的合法权益，同时也侵害社会秩序和公共利益同时也侵害社会秩序和公共利益但不损害国家安全。

4、信息受到破坏后对侵害客体的侵害程度对社会秩序和公共利益造成严重损害严重损害，即会出现较大范围的社会不良影响和较大程度的公共利益的损害等。定级案例定级案例信息化第三方服务推动工业发展8 安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定。所以，金融网中间业务系统安全保护等级为三级 (2S3A3G)。定级案例定级案例信息化第三方服务推动工业发展9测评工作流程测评工作流程测评准备活动测评准备活动项目启动信息收集分析工具表单准备方案编制活动方案编制活动测评对象确定测评对象确定测评工具接入点确定测评内容确定测评指导书开发测评方案编制现场测评活动现场测评活动测评

5、实施工作准备现场测评和结果记录结果确认结果确认和资料归还分析与报告编制活动分析与报告编制活动单项测评结果判定单元测评结果判定整体测评风险分析等级测评结论形成整改意见整改意见复测复测测评报告编制信息化第三方服务推动工业发展10测评工作实施测评工作实施- -实施计划实施计划信息化第三方服务推动工业发展11确定可能存在的风险： 1）验证测试影响系统正常运行； 2）工具测试影响系统正常运行； 3）敏感信息泄露等。风险规避： 1）签署保密协议； 2）现场测评授权书、合同； 3）现场测评工作风险规避-备份、避开业务高峰；（由于证券行业特殊性，部分验证性测试安排在下午15：20开始） 4）规范化的实施过程-

6、作业指导书、测评记录； 5）结果还原-交回特权、清理相关代码/程序等； 5）委托方全程配合（沟通机制）。 测评工作实施测评工作实施- -风险管理风险管理信息化第三方服务推动工业发展12评审 方案评审、记录评审、结果评审。工作规范化 测评过程严格依据各测评作业指导书/记录进行； 测评结果和报告的规范化，准确、清晰、客观的报告每项测评结果。校准 设备仪器/工具软件测评前通过校准。能力 项目组成员均为测评机构在编人员，持证上岗。 测评工作实施测评工作实施- -质量管理质量管理信息化第三方服务推动工业发展13测评工作实施测评工作实施- -人员职责人员职责信息化第三方服务推动工业发展14测评工作实施测评

7、工作实施- -沟通管理沟通管理信息化第三方服务推动工业发展15测评工作实施测评工作实施- -现场测评现场测评信息化第三方服务推动工业发展16测评工作实施测评工作实施- -结果判定结果判定信息化第三方服务推动工业发展17测评工作实施测评工作实施- -整体测评整体测评信息化第三方服务推动工业发展18安全控制点间 同一层面内不同安全控制之间存在的功能增强（补充）或削弱等关联作用。 比如：物理访问控制与防盗窃和破坏。层面间 主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。 比如：物理层面与网络层面间 - 物理访问控制与网络设备身份鉴别。区域间 主要考虑互连互通的不同区域间，重点分

8、析系统中访问控制路径，是否存在区域间安全功能的相互补充。 比如：不同功能区域间的数据流流向和控制方式。测评工作实施测评工作实施- -整体测评整体测评信息化第三方服务推动工业发展19测评工作实施测评工作实施- -风险分析风险分析 依据等级保护的相关规范和标准，采用风险分析的方法分析信息系统等级测评结果中存在的安全问题（结果中部分符合项或不符合项的汇总结果）可能对信息系统安全造成的影响。信息化第三方服务推动工业发展20测评工作实施测评工作实施- -测评结论测评结论测评结论的判别依据如下：信息化第三方服务推动工业发展21测评工作实施测评工作实施- -整改意见整改意见对标整改 通过整体测评后依据测评指标要求针对不符合/部分符合的提出整改意见。信息化第三方服务推动工业发展22测评工作实施测评工作实施-