證券期貨業信息安全運營管理指南

證券期貨業信息安全運營管理指南

1 範圍本檔案提供了開展信息安全運營管理中安全管理、基礎安全管理、信息資產管理、漏洞管理、開發安全管理、數據安全管理、集中監控與回響管理以及持續改進管理的指導思路及方法。

本檔案適用於證券期貨行業的核心機構和經營機構在完成基礎的信息安全建設後開展的信息安全運營管理工作。

註：核心機構包括證券交易所、期貨交易所、登記結算公司等，經營機構包括證券公司、期貨公司、基金管理公司等。

2 規範性引用檔案

下列檔案中的內容通過文中的規範性引用而構成本檔案必不可少的條款。其中，注日期的引用檔案，僅該日期對應的版本適用於本檔案；不注日期的引用檔案，其最新版本（包括所有的修改單）適用於本檔案。

ISO/IEC 27001 ： 2022 Information security, cybersecurity and privacy protection —Information security management systems — Requirements

ISO/IEC 27002 ： 2022 Information security, cybersecurity and privacy protection —Information security controls

GB/T 25068.1—2020 信息技術 安全技術 網路安全 第1部分：綜述和概念

GB/T 25069—2022 信息安全技術 術語

GB/T 28454—2020 信息技術 安全技術 入侵檢測和防禦系統（IDPS）的選擇、部署和操作

GB/T 28458—2020 信息安全技術 網路安全漏洞標識與描述規範JR/T 0158 證券期貨業數據分類分級指引。

《證券期貨業信息安全運營管理指南》金融行業標準給出了信息安全運營管理過程中基礎安全、信息資產、漏洞、開發安全、數據安全等方面的管理思路和方法，並給出了各管理域的度量指標以及行業最佳實踐。標準的制定實施可有效指導行業機構建立完善的安全運營體系和流程，規範信息安全運營管理過程，推動相關安全措施的有效實施和持續改進。