证券期货业信息安全标准规划 （2015 年版） 全国金融标准化技术委员会证券分技术委员会 系统安全标准领域专业工作组 （WG51） 2015-7-20 目 录 1 目标 ................................................................................ 1 2 范围 ................................................................................ 1 3 规划原则 ............................................................................ 1 3.1 基于风险评估的思想和模型 ........................................................ 1 3.2 优先关注行业高风险点 ............................................................ 1 3.3 突出行业应用及新技术 ............................................................ 2 3.4 突出行业普适性，落实行业政策 .................................................... 2 3.5 参考现有标准，统筹协调 .......................................................... 2 4 规划方法 ............................................................................ 2 4.1 总体方法 ........................................................................ 2 4.2 安全管理类规划方法（基础支撑类） ................................................ 3 4.3 安全保护类规划方法（技术防护类,第一道防线）...................................... 3 4.4 安全检测类规划方法（监督检查,第二道防线）........................................ 3 4.5 响应恢复类规划方法（第三道防线） ................................................ 3 5 规划内容 ............................................................................ 3 5.1 总体规划 ........................................................................ 3 5.2 安全管理类标准规划 .............................................................. 4 5.3 安全保护类标准规划 .............................................................. 4 5.4 安全检测类标准规划 .............................................................. 4 5.5 响应恢复类标准规划 .............................................................. 4 附录A 证券期货行业信息安全标准体系框架图 .............................................. 6 附录B 现有证券期货行业信息安全标准及相关政策 .......................................... 7 附录C 证券期货业信息安全标准体系分析结果 .............................................. 9 附录D 证券期货行业信息安全标准体系标准编制工作规划 ................................... 12 附录E 证券期货行业信息安全标准体系相关标准 ........................................... 20 证券期货业信息安全标准规划 1 目标 为适应证券期货业各类业务的创新与发展，降低行业整体信息安全风险与成本，进一步规范行业 信息安全标准的制定与应用，提高信息安全标准化水平，特制定证券期货业信息安全标准规划（以下 简称“本规划”）。 本规划描绘了证券行业信息安全标准全貌和标准化活动蓝图，是行业未来一段时间所需信息安全 标准的整体规划，是标准制修订计划的主要依据和标准化工作的重要参考，对证券期货行业信息系统 的建设运维、检测评估、行业监督管理等具有基础支持作用。 2 范围 本规划适用于制定证券期货业信息安全标准。 信息安全标准制定过程中，各相关立项、承办、参与单位等，应充分理解本规划，按照本规划制 定的标准体系，有计划地推进标准制定工作。 3 规划原则 3.1 基于风险评估的思想和模型 从标准体系本身以及标准本身均应体现风险评估的思想：一是标准体系应覆盖风险管理的每个部 分。二是标准内容（特别是以业务应用为主体）编制应以风险分析为前提。 从风险管理、风险评估的视角检验相关信息安全标准体系是工作组的指导方针之一，以国标（GB/T 20984-2007《信息安全技术 信息安全风险评估规范》）为指导，同时把技术风险的识别与业务风险的 评估有机统一起来，从而满足对信息系统安全风险评估不同层次的要求，将风险分析从技术风险上升 到业务风险，为行业提供更全面，更有效的风险信息。 标准体系的主要设计依据是《GBZ 24364-2009 信息安全风险管理指南》，信息系统生命周期的 任何一个阶段，为了达到其信息安全目标，都需要相应的信息安全风险管理。从具体标准体系的构建 角度，引入PPDRR模型。PPDRR模型是典型的、公认的安全控制模型。它是一种动态的、自适应的安 全控制模型，可适应安全风险和安全需求的不断变化，提供持续的安全保障。PPDRR模型包括策略 （Policy）、防护（Protection）、检测（Detection）、响应（Response）和恢复（Recovery）5个主要 部分。防护、检测、响应和恢复构成一个完整的、动态的安全循环，在安全策略的指导下共同实现安 全保障。 3.2 优先关注行业高风险点 在信息安全标准体系的规划过程中，不仅需要从风险评估角度出发，还需结合证券期货行业的信 息安全特点，充分发现本行业与其他行业所不同的风险所在，并加以分析，总结行业应用较集中的高 风险点。以此作为信息安全标准体系规划的理论依据和着手点。 ~1~ 3.3 突出行业应用及新技术 由于证券期货行业的特殊性，所以其应用系统的特点，信息安全的关注点也不同于其他行业。行 业标准体系规划在制定过程中，应突出证券期货行业的特定应用，把握该应用的相关特性，优先保证 证券期货行业内应用系统的信息安全。 此外，本规划还应关注证券期货行业的新技术。新技术的引入往往带来新的风险点，在进行行业 标准体系规划时，应着重考虑目前已采用或即将大规模采用的新技术对证券期货行业所带来的影响， 需优先进行信息安全统一规范。 3.4 突出行业普适性，落实行业政策 行业标准体系规划在制定过程中，应突出行业的普适性，尽量保证证券期货行业内大部分的信息 系统可参考本规划的信息安全标准体系。同时也要求本规划的信息安全标准体系基本全覆盖证券期货 行业内的重要信息系统及相关方面。 此外，本规划还应落实证券期货行业的相关政策。第一保证本规划不与现有的政策相冲突；第二 要求本规划的相关标准能够尽快落实政策要求，完善证券期货行业信息安全的动态循环。 3.5 参考现有标准，统筹协调 行业标准体系规划在制定过程中，应充分考虑现有标准体系，在风险评估的思想模型中，尽可能 参考现有的信息安全标准，为今后发展规划做好准备。 统筹协调现有信息安全标准主要考虑以下两点： a) 与其他信息安全标准之间：对于基础性信息安全标准以及其他行业共性的安全标准原则上采 取标准参考借鉴；对于具备行业特点需要细化和创新的列入标准制定计划目录。 b) 与其他信息化标准之间：做好标准之间的统筹和协调，为其他信息化标准提供支撑，防止出 现标准之间术语不统一，相互矛盾情况。 在统筹协调的过程中，还需综合考虑现有标准的实用性、应用成本和应用范围等因素。 4 规划方法 4.1 总体方法 本规划基于风险评估的思想和模型，优先关注行业高风险点，突出行业应用和新技术，按照以下 总体方法和步骤进行规划： a) 从安全策略、安全保护、安全检测、响应恢复四个方面，对行业信息安全进行分析，得出证 券期货行业信息安全体系框架图，具体结果参见附录 A：证券期货行业信息安全体系框架图； b) 分析和统计证券期货行业现有的标准和相关政策，得出附录 B：现有证券期货行业信息安全 标准及相关政策； c) 基于风险评估的思想和模型，结合行业实际现状，优先关注行业高风险点，在安全策略、安 全保护、安全检测、响应恢复四个方面上进行分析，找出哪些方面标准需要加强，得出附录 C：证券期货业信息安全标准体系分析结果。 d) 根据证券期货业信息安全标准体系分析结果，以及实际情况等因素，选择目前最需要编制的 相关标准，得出附录 D：证券期货行业信息安全标准体系标准编制工作规划。 每项标准规划，均包括标准名称、标准范围、优先级、牵头单位、实施计划等内容。以便协调标 准化工作的开展。 ~2~ 4.2 安全管理类规划方法（基础支撑类） 在安全管理类中进行分析规划的详细方法和步骤如下： a) 基于风险评估的思想和模型，将安全管理类分为体系建设、风险管理、机构管理、运维管理 以及工程管理等内容（其中机构管理、工程管理的相关内容由其他工作组整理和规划）； b) 对每个安全管理类标准进行深入分析，给出该类别的标准定义。结合附录 B：现有证券期货 行业信息安全标准及相关政策，结合行业实际现状，优先关注行业高风险点，找出哪些方面 标准需要加强； c) 对每个安全管理类标准进行深入分析，制定具体的安全管理类标准规划。 4