ICS 03.060 CCS A11 JR 中华人民共和国金融行业标准 JR/T 0295—2023 证券期货业信息安全运营管理指南 Information security operations management guidance for securit ies and futures industry 2023-10-23 发布 2023-10-23实施 中国证券监督管理委员会 发布 JR/T 0295—2023 目 次 前言 I 1 范围 规范性引用文件 3 术语和定义 4 缩略语 5 安全管理 5.1 安全管理目标 5.2 安全管理过程 5.3安全管理最佳实践 6基础安全管理 6.1 基础安全管理目标 6.2 基础安全管理过程 6.3 基础安全管理最佳实践 7信息资产管理 7. 1 信息资产管理目标 7. 2 信息资产管理过程 7. 3 信息资产管理最佳实践 8漏洞管理 10 8.1 漏洞管理目标 8. 2 漏洞管理过程 10 8.3 漏洞管理最佳实践 9开发安全管理 12 9.1 开发安全管理目标 12 9.2 开发安全管理过程 12 9.3开发安全管理最佳实践 13 10数据安全管理 15 10.1 数据安全管理目标 15 10.2 数据安全管理过程 15 10.3数据安全管理最佳实践 18 11集中监控与响应管理 18 11.1 集中监控与响应管理目标 18 11.2集中监控与响应管理过程 19 11.3集中监控与响应管理最佳实践 I JR/T 0295—2023 12 持续改进管理 21 12. 1 持续改进管理目标 21 12. 2 持续改进管理过程 21 12.3 持续改进管理最佳实践 22 附录A（资料性）信息安全度量指标 23 A. 1 安全管理度量指标 23 A. 2 基础安全管理度量指标 23 A. 3 信息资产管理度量指标 23 A. 4 漏洞管理度量指标 23 A. 5 开发安全管理度量指标 23 A. 6 数据安全管理度量指标 23 A. 7 集中监控与响应管理度量指标 24 参考文献 25 II JR/T0295—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 本文件由全国金融标准化技术委员会证券分技术委员会（SAC/TC180/SC4）提出。 本文件由全国金融标准化技术委员会（SAT/TC180）归口。 本文件起草单位：中国证券监督管理委员会科技监管局、深圳证券交易所、安信证券股份有限公司、 中证信息技术服务有限责任公司、广发证券股份有限公司、国信证券股份有限公司、兴业证券股份有限 公司、长江证券股份有限公司、国泰君安证券股份有限公司、海通证券股份有限公司、南方基金管理股 份有限公司、安信基金管理有限责任公司、中信期货有限公司、京东科技信息技术有限公司、北京数字 观星科技有限公司、北京知其安科技有限公司。 本文件主要起草人：姚前、蒋东兴、陈炜、许彦冰、李维春、聂君、李家攀、黄清华、路一、周桉、 刘彬、陈传鹏、杨启、陈凯晖、王玥、吴佳伟、姚飞、唐勤、杨阳、金文佳、陆颂华、马冰、张永刚、 宋辉、郭亮、王千寻、孟繁强。 III JR/T 0295—2023 证券期货业信息安全运营管理指南 1范围 本文件提供了开展信息安全运营管理中安全管理、基础安全管理、信息资产管理、漏洞管理、开发 安全管理、数据安全管理、集中监控与响应管理以及持续改进管理的指导思路及方法。 本文件适用于证券期货行业的核心机构和经营机构在完成基础的信息安全建设后开展的信息安全 运营管理工作。 注：核心机构包括证券交易所、期货交易所、登记结算公司等，经营机构包括证券公司、期货公司、基金管理公司 等。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 IS0/IEC27001： 2022 Information security, cybersecurity and privacy protection - Information security management systems - Requirements IS0/IEC 27002 : 2022 Information security, cybersecurity and privacy protection - Informationsecuritycontrols GB/T25068.1一2020信息技术安全技术网络安全第1部分：综述和概念 GB/T25069—2022信息安全技术术语 GB/T28454一2020信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作 GB/T28458一2020信息安全技术网络安全漏洞标识与描述规范 JR/T0158证券期货业数据分类分级指引 3术语和定义 GB/T25069一2022中界定的以及下列术语和定义适用于本文件。 3. 1 安全域security domain 遵从共同安全策略的资产和资源的集合。 [来源：GB/T25068.1—2020，3.35] 3. 2 入侵intrus ion 对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统 的恶意活动或对信息系统内资源的未授权使用。 1