1、ICS 03.060 A 11 备案号 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 01122014 证券期货业信息系统审计规范 Information system audit standard for securities and futures industry 2014 - 12-26发布 2014 - 12-26实施 中国证券监督管理委员会 发 布 JR/T 01122014 I 目 次 前言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 审计目的.1 5 审计内容.2 6 审计机构.2 7 审计过程.2 7.1 审计准备阶段.2 7.
2、2 审计实施阶段.3 7.3 审计终结阶段.4 8 审计结果应用.5 8.1 整改方案.5 8.2 落实整改.5 9 建档保存.5 9.1 保存范围.5 9.2 保存期限.6 附录A(规范性附录) 系统运行安全审计项汇总.7 附录B(规范性附录) 系统建设合规审计项汇总.148 附录C(规范性附录) 系统应用绩效审计项汇总.153 参考文献.155 JR/T 01122014 III 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由全国金融标准化技术委员会(SAC/TC180)提出并归口。 本标准起草单位:中国证券监督管理委员会信息中心、上海证券交易所、深圳证券交易所、大
3、连商 品交易所、中国金融期货交易所、中证信息技术服务公司、国泰君安证券股份有限公司、海通证券股份 有限公司、国信证券股份有限公司、招商证券股份有限公司、嘉实基金管理有限公司、南方基金管理有 限公司、鲁证期货股份有限公司、国泰君安期货有限公司。 本标准主要起草人:张野、刘铁斌、王东明、陈炜、俞枫、沈云明、李海军、温军成、金浦芳、赵 磊、王欣、吕德旭、周桉、周光增、李艳、李杰、舒春林、康明涛、路冰。 JR/T 01122014 1 证券期货业信息系统审计规范 1 范围 本标准规定了证券期货业信息系统审计工作的要求。 本标准适用于证券期货业机构,包括:承担证券期货市场公共职能的机构、承担证券期货行业
4、信息 技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称“核心机构”),以及 证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称“经营机构”)。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 JR/T 00592010 证券期货经营机构信息系统备份能力标准 JR/T 00602010 证券期货业信息系统安全等级保护基本要求(试行) JR/T 00992012 证券期货业信息系统运维管理规范 3 术语和定义 下列术
5、语和定义适用于本文件。 3.1 信息系统审计 information system audit 核心机构和经营机构根据国家及行业信息系统相关规范和标准,对信息系统规划、建设、运维和应 急等活动进行自我检查和评价,判断系统运行的安全性、系统建设的合规性和系统应用绩效,提出整改 建议,并持续跟踪落实整改情况。 3.2 审计项 audit item 信息系统规划、建设、运维和应急等活动的关键控制点,来自于国家及行业相关技术规范和标准要 求,用于判断系统运行的安全性、系统建设的合规性和系统应用绩效。 3.3 专业能力 professional competence 个人从事信息系统审计所必备的学识、技
6、术和能力,由学历认定、资格考试、职业技能鉴定等方式 进行评价。 3.4 第三方审计机构 third party audit institutions 熟悉证券期货业信息安全法规、规范、标准和指引,具有国家、行业认可的相关资质和必要能力, 并在审计过程中能够客观、公正、独立地从事审计活动的机构。 4 审计目的 JR/T 01122014 2 核心机构和经营机构自觉贯彻落实国家及行业信息系统建设、安全运行、绩效考核相关规范和标准, 通过查找突出的风险隐患,有针对性的采取防范和改进措施,提高信息安全保障水平、系统建设合规性 和应用绩效。 5 审计内容 证券期货业信息系统审计包括3个方面,分别是系统运
7、行安全审计、系统建设合规审计和系统应用 绩效审计。核心机构应开展系统运行安全审计、系统建设合规审计和系统应用绩效审计。经营机构应开 展系统运行安全审计,并可视情况开展系统建设合规审计、系统应用绩效审计。 系统运行安全审计重点关注系统运维风险,通过审查和评估交易、结算、行情、通信等重要业务信 息系统的安全性,及时发现运行风险隐患。系统运行安全审计的内容见附录A,其中期货公司类别是期 货公司信息技术管理指引评级结果。审计项来自于国家和行业颁布的信息安全法规、规范、标准和指 引,主要包括组织管理、机房管理、网络管理、主机和系统管理、运维管理等方面。 系统建设合规审计重点关注违法违规风险,通过审查和评
8、估在采购电子产品、建设信息系统项目、 运行维护信息系统等活动中,本机构负责采购的人员、项目建设人员、系统运维人员等是否存在贪污受 贿、徇私舞弊、玩忽职守等行为,及时发现违法违规等风险隐患。系统建设合规审计的内容见附录B。 审计项来自于通行的信息系统招投标制度、财务预算制度等,主要包括需求论证、预算制定、项目立项、 项目采购、项目招标、商务谈判、供应商管理、合同管理、项目验收、钱款支付等方面。 系统应用绩效审计重点关注信息系统能否有效发挥作用,通过审查和评估已建成信息系统的经济效 益和使用情况,及时发现资源浪费等风险隐患。系统应用绩效审计的内容见附录C。审计项来自于通行 的信息系统绩效评价方法,
9、主要包括系统功能、性能是否达到项目预期目标、经费使用是否合理有效等 方面。 附录A、附录B、附录C将根据国家和行业信息安全法规、规范、标准和指引,每年适时更新,保持 与现行规定的一致性。核心机构和经营机构应以最新的审计项汇总为基础,开展信息系统审计工作。 6 审计机构 核心机构和经营机构应指定内审部门负责信息系统审计工作,并合理配备具有专业能力的审计人 员。内审部门可以根据实际需要聘请具有专业能力的外部专家协助开展信息系统审计工作,可以聘请第 三方审计机构协助开展信息系统审计工作,第三方机构的员工必须是正式员工。 核心机构和经营机构的信息技术部门等相关部门应配合内审部门开展信息系统审计工作。
10、7 审计过程 7.1 审计准备阶段 7.1.1 审计立项 核心机构和经营机构的内审部门应每年开展一次信息系统审计,并将信息系统审计列入年度审计工 作计划中,同时报董事会或者高级管理层批准。 信息系统审计计划应包括下列基本内容: a) 审计工作目标; b) 审计实施时间; c) 需要的审计资源; JR/T 01122014 3 d) 后续审计安排。 7.1.2 组建审计组 内审部门负责组建审计组,确定审计组组长和成员。审计组成员不得少于2人,其中内审部门人员 不得少于1人。 审计组成员应保持独立性和客观性,被审计部门应回避。 审计组组长、审计组成员应具有相关专业能力,并通过定期后续相关培训加以保
11、持和提高。审计组 组长应具有信息系统审计工作经验。 审计组成员应履行保密义务,对于实施信息系统审计所获取的信息保密。 7.1.3 制定审计方案 审计组组长应以风险评估为基础,在审计实施前编制审计方案,并报内审部门负责人批准。 审计方案应包括下列基本内容: a) 被审计部门的名称; b) 审计目标和范围; c) 审计内容和重点; d) 审计程序和方法; e) 审计组成员的组成及分工; f) 审计起止日期; g) 对专家和外部审计工作结果的利用; h) 其他有关内容。 7.1.4 编制工作底稿 审计组成员对审计方案确定的审计事项,均应编制审计工作底稿。 审计工作底稿应包括以下内容: a) 被审计部
12、门的名称; b) 审计事项及其起止日期; c) 审计程序的执行过程及结果记录; d) 审计结论、意见及建议; e) 审计人员姓名和审计日期; f) 复核人员姓名、复核意见、复核日期; g) 审计证据的数量及清单; h) 被审计部门意见、签字及盖章。 审计组应根据被审计部门、审计事项的具体情况,确定选取审计对象的抽样方法,并选取审计对象。 7.2 审计实施阶段 7.2.1 通知被审计部门 审计组应在实施审计10个工作日前,向信息技术部门等被审计部门送达审计通知书。 审计通知书应包括下列内容: a) 被审计部门名称; b) 审计范围和审计内容; c) 审计起止日期; JR/T 01122014 4
13、 d) 需要被审计部门提供的资料及其他必要的协助要求; e) 审计组组长及审计组成员名单。 7.2.2 审计组进场 审计组进驻被审计部门时,应召开有内审部门负责人、审计组组长、审计组成员、被审计部门负责 人、被审计部门有关人员参加的进场会议,安排审计工作有关事项。 审计组组长应说明审计目标、审计范围、审计内容、审计重点、审计程序、起止日期等,并提出需 要协助、配合审计的有关事项和要求。 被审计部门应汇报相关情况,并提供审计通知书中所列的相关资料,配合审计组开展信息系统审计 工作。 7.2.3 实施审计方案 审计组根据实际情况和工作需要,通过访谈、问卷调查等方式,进一步了解被审计部门信息系统有
14、关情况。调查对象一般包括相关业务部门负责人、信息技术部门负责人、信息技术部门相关业务负责人、 机房管理员、系统管理员、网络管理员、数据库管理员、安全管理员等相关人员。 审计组应按照审计方案,对信息系统的合规性、可靠性、安全性和绩效等进行评估,并确保不影响 系统的正常稳定运行。 审计组应依据不同的审计事项及其审计目标,获取不同种类的审计证据。审计证据主要包括相关制 度、日志文件、配置文件、运维记录、测评报告、商业合同等。 审计组应将获取的审计证据名称、来源、内容等完整、清晰地记录于审计工作底稿中。 被审计单位应提供承诺书,承诺相关材料的真实性、完整性、准确性。 审计工作底稿应经审计组组长或其指定
15、人员复核。 审计证据应客观充足,使得重复审计可获得同样结果。当审计人员认为无法获取充足审计证据时, 应记录审计证据不足这一事实。 7.2.4 审计结果沟通 现场审计结束前,审计组应就审计发现的问题、审计结论、审计意见和建议与相关业务部门负责人、 信息技术部门负责人进行认真、充分的沟通,听取其意见。 审计组应当将结果沟通的有关书面或电子材料作为审计工作底稿的一部分。 7.3 审计终结阶段 7.3.1 撰写审计报告 现场审计结束后,审计组应对取得的审计证据进行综合分析,并撰写审计报告(草稿)。审计报告 (草稿)可参考覆盖附录A、附录B、附录C内容的外部审计结果。 审计报告(草稿)主要包括下列内容:
16、 a) 审计概况,包括审计目标、审计范围、审计内容及重点、审计方法、审计程序及起止时间等; b) 审计依据,即实施审计所依据的相关规范和标准等; c) 审计问题,即对被审计部门信息技术相关活动所发现的主要问题; d) 审计结论,即根据已查明的事实,对被审计部门信息技术相关活动的评价; e) 审计意见和建议,即针对审计发现的主要问题提出的处理意见和改进建议。 审计组应向被审计部门提交审计报告(草稿)。被审计部门应自收到审计报告(草稿)之日起10 个工作日内,提出书面反馈意见;在规定期限内没有提出意见的,视同无异议。 JR/T 01122014 5 被审计部门对审计报告(草稿)有异议的,审计组应研
17、究、核实,并考虑是否需要修改审计报告(草 稿)。 审计报告(草稿)经审计组集体讨论,并应通过内审部门对审计报告质量的分级复核程序,由审计 组组长及相关报告审核人员审核后定稿。 7.3.2 提交报告 现场审计结束后,审计组应将审计报告、审计工作底稿等相关材料报送内审部门。采用聘请外部专 家或第三方审计机构协助开展审计工作的,应将外聘人员或机构的审计工作底稿等相关材料报送内审部 门。 核心机构和经营机构的内审部门应向董事会或高级管理层提交审计报告,并抄送有关部门。 8 审计结果应用 8.1 整改方案 当被审计部门基于成本或者其他方面考虑,决定对审计发现的问题不采取纠正措施并做出书面说明 时,核心机
18、构和经营机构的内审部门负责人应向董事会或者高级管理层报告。 核心机构和经营机构的被审计部门应对审计中发现的问题,制定有效可行的整改方案,明确进度安 排。 审计组应对被审计部门制定的整改方案进行评审。如有必要,核心机构和经营机构的被审计部门应 组织由审计组组长、审计组主要成员、相关业务部门负责人、信息技术部门负责人、信息技术部门相关 人员、有关专家参加的整改方案评审会议,对整改方案进行评审。 8.2 落实整改 被审计部门应按照整改方案,尽快对审计发现的风险隐患进行整改,并在与审计部门约定的期限内 提供审计整改报告。 核心机构和经营机构的内审部门应对审计发现的问题的整改情况进行跟踪监督,可在规定期
19、限内, 或者与被审计部门约定的期限内实施后续审计。 内审部门负责人如果初步认定被审计部门对审计发现的问题已采取了有效的纠正措施,可要求内审 人员及时对整改措施进行核查,或将后续审计作为下次审计工作的一部分。 内审部门对被审计部门实施后续审计,审计过程与新设审计项目相同,参照本规范第7章对审计过 程的规定实施。 9 建档保存 9.1 保存范围 审计工作结束后,审计组应整理相关材料,并建立、保管审计档案。下列材料应归入审计档案: a) 审计方案、审计通知书; b) 审计工作底稿、审计报告; c) 整改方案; d) 后续审计工作底稿、后续审计报告; e) 其他相关材料。 JR/T 01122014
20、6 9.2 保存期限 审计档案应至少保存5年。 JR/T 01122014 7 A A 附 录 A (规范性附录) 系统运行安全审计项汇总 A.1 核心机构系统运行安全审计项汇总 A.1.1 组织管理 A.1.1.1 安全管理制度 A.1.1.1.1 管理制度 本项要求包括: a) 是否制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和 安全框架等。 b) 是否建立安全管理制度,覆盖安全策略的制定、实施、检查、评估、改进等全过程。 c) 是否形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。(本项适 用于:信息系统等级保护三级系统) d) 是否对
21、安全管理人员或操作人员执行的日常管理操作建立操作规程。 e) 是否制定覆盖运维工作各个环节的、体系化的运维管理制度和操作流程。运维管理制度包括但 不限于:机房管理、网络与系统管理、数据和介质管理、交付管理、测试管理、配置管理、安 全管理、值班管理、监控管理、文档管理、设备和软件管理、供应商管理、关联单位关系管理、 检查审计等制度。运维操作流程包括但不限于日常操作、事件处理、问题处理、系统变更、应 急处置等流程。 f) 是否根据行业规划和本机构发展战略,制定信息化与信息安全发展规划,满足业务发展和信息 安全管理的需要。 A.1.1.1.2 制定和发布 本项要求包括: a) 是否指定或授权专门的部
22、门或人员负责安全管理制度的制定。 b) 是否组织相关人员对制定的安全管理制度进行论证和审定。 c) 安全管理制度是否具有统一的格式,并进行版本控制。(本项适用于:信息系统等级保护三级 系统) d) 是否建立信息发布管理审核制度;安全管理制度是否通过正式、有效的方式发布。 e) 安全管理制度是否注明发布范围,并对收发文进行登记。(本项适用于:信息系统等级保护三 级系统) f) 有密级的安全管理制度,是否注明安全管理制度密级,并进行密级管理。(本项适用于:定为 信息系统等级保护三级系统的证券交易所交易系统、证券交易所通信系统、开放式基金登记结 算系统、证券登记结算系统) A.1.1.1.3 评审和
23、修订 本项要求包括: JR/T 01122014 8 a) 信息安全领导小组是否负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适 用性进行审定;信息安全领导小组每年至少组织一次安全管理制度体系的合理性和适用性审 定。(本项适用于:信息系统等级保护三级系统) b) 是否定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进 行修订。每年或在发生重大变更时对安全管理制度进行检查,对存在不足或需要改进的安全管 理制度进行修订。 c) 是否明确需要定期修订的安全管理制度,并指定负责人或负责部门负责制度的日常维护。(本 项适用于:定为信息系统等级保护三级系统的证券交易
24、所交易系统、证券交易所通信系统、开 放式基金登记结算系统、证券登记结算系统) d) 是否根据安全管理制度的相应密级确定评审和修订的操作范围。(本项适用于:定为信息系统 等级保护三级系统的证券交易所交易系统、证券交易所通信系统、开放式基金登记结算系统、 证券登记结算系统) e) 是否建立运维管理制度和操作流程的制定、发布、维护和更新的机制。至少每年一次评审、修 订运维管理制度和操作流程。 A.1.1.2 安全管理机构 A.1.1.2.1 机构设置 本项要求包括: a) 是否设立信息系统运维组织,负责信息系统的运行维护工作。 b) 是否成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位
25、主管领导委任或授 权。 A.1.1.2.2 岗位设置 本项要求包括: a) 是否设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并 定义各负责人的职责。 b) 是否任命运维组织负责人,负责组织、协调、管理信息系统的运行维护工作。 c) 是否制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。(本项适用于:信 息系统等级保护三级系统) d) 是否合理设置运维岗位,规定岗位职责及技能要求,并符合如下要求: 1) 运维岗位是否至少包括机房管理员、网络管理员、系统管理员、数据库管理员、安全管理 员等关键岗位,并设置主备岗; 2) 关键岗位是否进行分离,兼岗时是否满
26、足岗位相互制约的要求。 e) 是否设立总工程师岗位、IT总监或其他类似职位的IT专职负责人。 f) 是否实现系统开发、系统运维管理和系统的合规检查相互分离。 A.1.1.2.3 人员配备 本项要求包括: a) 是否配备系统管理员、网络管理员、安全管理员等;每个岗位应有备岗。 b) 安全管理员是否禁止兼任网络管理员、系统管理员、数据库管理员。(本项适用于:信息系统 等级保护二级系统) JR/T 01122014 9 c) 是否指定专人担任安全管理员,负责信息安全管理工作,在自身能力不足的情况下,可外聘安 全机构协助完成。 d) 安全管理员是否督促解决检查、测评、评估中发现的风险隐患。 e) 关键
27、事务岗位是否配备多人共同管理。(本项适用于:信息系统等级保护三级系统) f) 是否对关键和敏感岗位进行重点管理,重要操作应当实行双人操作复核制度。 g) 是否配备保密管理人员,落实技术保密措施,每年至少开展两次保密检查,确保不发生数据泄 露等失密事件。 h) 是否有应急技术支援队伍。 A.1.1.2.4 授权和审批 本项要求包括: a) 是否根据各个部门和岗位的职责明确授权审批部门及批准人;对系统投入运行、网络系统接入 和重要资源的访问等事项进行审批;重要审批授权记录应留档备查。 b) 是否针对关键活动建立审批流程,并由批准人签字确认。(本项适用于:信息系统等级保护二 级系统) c) 是否针对
28、系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行 审批过程,对重要活动建立逐级审批制度。(本项适用于:信息系统等级保护三级系统) d) 是否定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;每年至少 审查一次审批事项。(本项适用于:信息系统等级保护三级系统) e) 是否记录审批过程并保存审批文档。(本项适用于:信息系统等级保护三级系统) f) 权限分配是否有审批和完整的记录,权限设置后应复核。 g) 是否按照最小安全访问原则分配用户权限。 h) 是否建立权限分配表,对用户的访问权限进行合理分配,对文件系统访问权限进行合理设置, 编制文档并保持更新。
29、 i) 是否在用户账户变化时,同时变更或撤销其权限。 j) 是否定期检查权限设置的有效性。 A.1.1.2.5 供应商管理 本项要求包括: a) 是否确保安全服务商的选择符合国家、行业的有关规定。 b) 是否与选定的安全服务商签订与安全相关的协议,对合作方服务人员提出明确的信息安全要 求。 c) 是否在与供应商签订的合同中明确其应承担的责任、义务,并约定服务要求和范围等内容。 d) 是否建立供应商管理制度,对供应商支持运维服务的相关活动进行统一管理。 e) 是否与供应商签署保密协议,不得泄露所服务机构的保密信息,并要求供应商签署承诺书,承 诺产品不存在恶意代码或未授权的功能,不提供违反我国法律
30、法规的功能模块,并符合证券期 货行业有关技术规范和技术指引。 f) 是否在涉及证券期货交易、行情、开户、结算等软件产品或技术服务的采购合同中,明确供应 商应接受证券期货行业监管部门的信息安全延伸检查。 g) 是否定期收集、更新供应商信息,组织对供应商的服务质量、合同履行情况、人员工作情况等 内容进行评价,形成评价报告,并跟踪和记录供应商改进情况。 h) 是否加强运维外包服务管理,主要包括: 1) 与外包公司及外包人员签订保密协议; JR/T 01122014 10 2) 明确外包公司应当承担的责任及追究方式; 3) 明确界定外包人员的工作职责、活动范围、操作权限; 4) 对外包人员工作情况进行
31、监督和检查,并保留相应记录; 5) 对驻场外包人员的入场和离场进行管理; 6) 定期评估外包的服务质量;制定外包服务意外终止的应急措施。 A.1.1.2.6 关联单位关系管理 本项要求包括: a) 是否加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。(本 项适用于:信息系统等级保护二级系统) b) 是否建立关联单位联系制度,定期与关联单位进行合作与沟通。关联单位包括证券期货行业监 管部门、协会,当地政府部门,公安机关,交易所等市场核心机构,其他证券期货经营机构, 银行机构,电力和通信设施保障机构,软硬件供应商,技术服务商和物业公司等。 c) 各类管理人员之间、组织内
32、部机构之间以及信息安全职能部门内部是否有内部合作沟通机制, 定期或根据需要召开协调会议,协作处理信息安全问题。(本项适用于:信息系统等级保护三 级系统) d) 是否加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。(本项适用于:信 息系统等级保护三级系统) e) 是否聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。 (本项适用于:信息系统等级保护三级系统) f) 是否建立关联单位联系表,表的内容至少包括单位名称、业务事项、联系人、联系方式、备注 等,并及时更新。 g) 是否制定会员单位共同遵守的接口标准和规则,监督会员严格执行。 h) 是否完成对会员
33、单位远程接入系统的安全监控与管理,指导会员对信息安全突发事件进行应急 处置。 i) 是否加强对会员的日常性技术支持,不断提高服务能力和水平。 j) 是否组织会员单位定期开展联网测试和应急演练,及时发现安全隐患。 A.1.1.2.7 审核和检查 本项要求包括: a) 是否由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效 性、安全配置与安全策略的一致性、安全管理制度的执行情况等;全面安全检查应至少每年一 次。(本项适用于:信息系统等级保护三级系统) b) 是否制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查 结果进行通报。(本项适用于:信息
34、系统等级保护三级系统) c) 是否制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核 和安全检查活动。(本项适用于:信息系统等级保护三级系统) d) 安全管理员是否负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等 情况;安全检查应至少每月一次。 A.1.1.3 经费和人员管理 A.1.1.3.1 经费投入 JR/T 01122014 11 本项要求包括: a) 最近三个财政年度IT投入平均数额是否不少于最近三个财政年度平均净利润的6%或不少于最 近三个财政年度平均营业收入的3%,取二者数额较大者。 b) 是否制定信息系统运行维护年度预算计划,每年
35、进行核算。预算和核算应接受监督和审计。 c) 是否将信息系统运行维护的各项费用纳入预算管理。费用至少应包括:机房物理环境、信息系 统软硬件、网络与通信设施的使用费和维修费,以及应急保障费用、技术服务费用、人员培训 费用等。 d) 是否为IT部门提供足够的资金支持,为IT人员提供履行其岗位职责所需要的岗位技能培训及 业务培训,制定合理的考核体系、激励机制和奖惩措施。 e) 安全建设的投入是否超过IT总投入的15%。 f) 是否对资金的使用进行绩效考核。 A.1.1.3.2 人员录用 本项要求包括: a) 是否指定或授权专门的部门或人员负责人员录用。 b) 是否严格规范人员录用过程,对被录用人员的
36、身份、背景和专业资格等进行审查,对其所具有 的技术技能进行考核。 c) 是否与开发、运维等关键岗位人员签署保密协议,保密协议应至少包括保密范围、保密期限等 内容。 d) 是否从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。(本项适用于:信息系统 等级保护三级系统) A.1.1.3.3 人员离岗 本项要求包括: a) 是否制定有关管理规范,严格规范人员离岗过程,及时终止离岗员工的所有访问权限。 b) 是否取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 c) 是否办理严格的调离手续。(本项适用于:信息系统等级保护二级系统) d) 是否办理严格的调离手续,关键岗位人员离岗须承诺调离
37、后的保密义务后方可离开。(本项适 用于:信息系统等级保护三级系统) A.1.1.3.4 人员考核 本项要求包括: a) 是否定期对各个岗位的人员进行安全技能及安全认知的考核。安全技能及安全认知的考核应至 少每年一次。 b) 是否对关键岗位的人员进行全面、严格的安全审查和技能考核。(本项适用于:信息系统等级 保护三级系统) c) 是否对考核结果进行记录并保存。(本项适用于:信息系统等级保护三级系统) d) 是否建立保密制度,并定期或不定期的对保密制度执行情况进行检查或考核。(本项适用于: 定为信息系统等级保护三级系统的证券交易所交易系统、证券交易所通信系统、开放式基金登 记结算系统、证券登记结算
38、系统) A.1.1.3.5 教育和培训 本项要求包括: JR/T 01122014 12 a) 是否对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。 b) 是否对安全责任和惩戒措施进行书面规定并告知相关人员,并对违反违背安全策略和规定的人 员进行惩戒。 c) 是否对年度安全教育和培训进行书面规定,针对运维人员等不同岗位制定不同的培训计划,对 信息安全基础知识、岗位操作规程、机房消防及相关应急内容等进行培训,并留存培训记录。 d) 是否对安全教育和培训的情况和结果进行记录并归档保存。(本项适用于:信息系统等级保护 三级系统) A.1.1.3.6 外部人员访问管理 本项要求包括: a)
39、 是否确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记 备案。 b) 对外部人员允许访问的区域、系统、设备、信息等内容是否进行书面的规定,并按照规定执行。 (本项适用于:信息系统等级保护三级系统) A.1.2 机房管理 A.1.2.1 基础保障 A.1.2.1.1 物理位置的选择 本项要求包括: a) 机房和办公场地是否选择具有防震、防风和防雨等能力的建筑: 1) 应具有机房或机房所在建筑物符合当地抗震要求的相关证明; 2) 机房外墙壁应没有对外的窗户。否则,应采用双层固定窗,并作密封、防水处理。 b) 机房场地是否避免设在建筑物的高层或地下室,以及用水设备的下层
40、或隔壁:(本项适用于: 信息系统等级保护三级系统) 1) 机房场地不宜设在建筑物顶层,如果不可避免,应采取有效的防水措施。机房场地设在建 筑物地下室的,应采取有效的防水措施; 2) 机房场地设在建筑物高层的,应对设备采取有效固定措施; 3) 如果机房周围有用水设备,应当有防渗水和疏导措施。 A.1.2.1.2 防雷击 本项要求包括: a) 机房或机房所在大楼,是否设计并安装防雷击措施,防雷措施应至少包括避雷针或避雷器等。 b) 机房是否设置交流电源地线。 c) 是否设置防雷保安器,防止感应雷。(本项适用于:信息系统等级保护三级系统) A.1.2.1.3 防火 本项要求包括: a) 机房是否设置
41、灭火设备和火灾自动报警系统。机房的火灾自动报警系统应向当地公安消防部门 备案。(本项适用于:信息系统等级保护二级系统) b) 机房是否设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房的火灾自 动消防系统应向当地公安消防部门备案。(本项适用于:信息系统等级保护三级系统) JR/T 01122014 13 c) 机房及相关的工作房间和辅助房是否采用具有耐火等级的建筑材料。(本项适用于:信息系统 等级保护三级系统) d) 机房是否采取区域隔离防火措施,将重要设备与其他设备隔离开。(本项适用于:信息系统等 级保护三级系统) e) 消防设施是否具备自动监测报警和气体灭火能力,通过当地公
42、安机关的验收并保持功能正常。 A.1.2.1.4 防水和防潮 本项要求包括: a) 水管安装,是否穿过机房屋顶和活动地板下; 1) 与机房设备无关的水管不得穿过机房屋顶和活动地板下; 2) 机房屋顶和活动地板下铺有水管的,应采取有效防护措施。 b) 是否采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 c) 是否采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 d) 是否安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。(本项适用于:信息系统 等级保护三级系统) A.1.2.1.5 防静电 本项要求包括: a) 关键设备应采用必要的接地防静电措施。(本项适用于:信息系统等级保护二级系统
43、) b) 主要设备是否采用必要的接地防静电措施。(本项适用于:信息系统等级保护三级系统) c) 机房是否采用防静电地板。(本项适用于:信息系统等级保护三级系统) d) 是否采用静电消除器等装置,减少静电的产生。(本项适用于:定为信息系统等级保护三级系 统的证券交易所交易系统、证券交易所通信系统) A.1.2.1.6 空调 本项要求包括: a) 机房是否设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内: 1) 开机时机房温度应控制在22-24; 2) 开机时机房相对湿度应控制在40%-55%。 b) 是否每季度至少一次对空调设备进行全面检查和维护,保存维护记录。 c) 空
44、调系统是否采用恒温恒湿的精密空调,并保证有足够的富余能力。 A.1.2.1.7 电力供应 本项要求包括: a) 是否在机房供电线路上配置稳压器和过电压防护设备。 b) 是否提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求。 1) 机房应配备UPS,UPS实际供电能力能够满足主要设备在断电情况下正常运行2个小时以 上; 2) 机房应自备或租用发电机,能够保障持续供电。 c) 是否提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;机房应配备UPS, UPS实际供电能力能够满足设备在断电情况下正常运行2个小时以上。(本项适用于:定为信 息系统等级保护三级系统的证券交易
45、所交易系统、证券交易所通信系统) d) 是否采用双路市电,双路市电应能实现自动切换。(本项适用于:信息系统等级保护三级系统) JR/T 01122014 14 A.1.2.1.8 电磁防护 本项要求包括: a) 电源线和通信线缆是否隔离铺设,避免互相干扰。电源线和通信线缆应铺设在不同的桥架或管 道,避免互相干扰。 b) 是否采用接地方式防止外界电磁干扰和设备寄生耦合干扰:(本项适用于:信息系统等级保护 三级系统) 1) 机房或机房所在的大楼必须有接地措施,并且接地电阻必须小于1欧姆; 2) 机房验收报告应提供合格的检测结果。 c) 是否对关键设备和磁介质实施电磁屏蔽。(本项适用于:信息系统等级保护三级系统) A.1.2.2 机房运维 A.1.2.2.1 物理访问控制 本项要求包括: a) 机房出入口是否安排专人值守,控制、鉴别和记录进入的人员; 1) 机房出入应当安排专人负责管理,人员进出记录
