JR_T 0146.3-2016证券期货业信息系统审计指南 第3部分:证券登记结算机构.pdf

JR_T 0146.3-2016证券期货业信息系统审计指南 第3部分:证券登记结算机构.pdf

  1. 1、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ICS 03. 060A 11JR中华人民共和国金融行业标准JR/T 0146.3—2016证券期货业信息系统审计指南第3部分:证券登记结算机构Securities and futures industry audit guideline for information systemPart 3: Securities depository and clearing corporation2016-11-08发布2016-11-08实施中国证券监督管理委员会发布 JR/T 0146. 32016表 A. 1息技术治理审计底稿(续)审计证据列表: JR/T 0146. 3—2016表 G.2登记结算系统审计底稿(续)序号中计项审计程序审计结论备注实施漏润扫指或漏润修补前,是否对可能的风检查漏洞扫描和修补报告,查看扫描和修补工作险进行评估和充分准是否在恰当的时间,对可能存在的风险选行充分是口4. 6. 3.备,如选择恰当时间,并评估和准备,制定回退方案,备份重要数据后选香口好数据备份和回退方行的.不适用口案.涌润扫捕或漏润修补检查漏润扫描和修补报告,查看完成扫描和修补是口4. 6. 4.后,是否进行验证测试,以保证系统的正常运工作后,是否进行了验证测试,以保证网络系统否口行。的正常运行。不适用口4. 7.身份整别是否提供登录失败处理功晚,可采取站束会话。检查主要应用系统设计和验收文档,查看是否提是口4. 7. 1.限制非法登录次数和自供登录失败处理功能,是否根据安全策略设置了否口动退出等措施。登录失败次数等参数。不适用口a)测试主要应用系统,可通过试图以合法和非法是否启用身份鉴别、用用户分别登录系统,验证身份标识和整别动能是户身份标识唯一性检否有效;查、用户身份鉴别信息b)测试主要应用系统,可通过多次输入错误的密是口4. 7. 2.复杂度检查以及登录失码,验证登录失败处理功能是否有效;否口败处理功能,并根据安c)渗透测试主要应用系统,如多次猜测用户口不适用口全策略配置相关参数。令,验证应用系统身份标识和整别动魔是吾不存在明显的弱点.应当从互联网向被测试对象选行渗透测试.管理用户通过受控本地控制台管理应用系统检查应用系统设计和验收文档,当管理用户通过是口4. 7. 3.受控本地控制台管理应用系统时,是否采用了否时,是否采用一种或种以上身份鉴别技术。种或一种以上身份签别技本。不适用口管理用户以远程方式登录应用系统,是否采用检查应用系统设计和验收文档,当管理用户以远是口4. 7. 4.两种或两种以上组合的程方式登录应用系统,是否采用了两种或两种以香口整别技术递行身份登上组合的鉴别技术进行身份整登别。不适用口别。面向互联网服务的系统是否提供两种或两种以检查应用系统设计和验收文档,面向互联网服务是口4. 7. 5.上组合的鉴别技术供用的系统是否向用户提供两种或两种以上组合的否口户选择。签别技术供用户选择。不适用口95 JR/T 0146. 32016表 G.2登记结算系统审计底稿(续)序号中计项审计程序中计结论备注是否禁止设置弱口令,若系统条件允许,口令检查口令管理制度,是否规定口令应采用数字、是口4. 7. 6.是否采用数字、字母、字母、符号混排且无规律的方式。香口符号混排且无规律的方不适用口式.是否禁止设置弱口令,若系统条件允许,管理检查口令管理制度,是否规定管理员用户口令的是口4. 7. 7.员口令长度原则上不低香口长度至少为12位。于12 位.不适用口核心交易业务系统是否检查校心交易业务系统设计和验收文档,确定核是口4. 7. 8.提示并阻止用户使用弱心交易业务系统是否提示并阻止用户使用弱日香口口令登录,令登录。不适用口是否每季度对管理员口令进行修改,更新的管检查口令管理制度,是否规定管理员用户口令至是口4. 7. 9.理员口令至少5次内不少每季度更换1次,更新的口令至少5次内不能香口能重复.重复.不适用口应用系统的账户及口令是否采用加密方式存检查口令管理制度,是否规定应用系统的账户及是口4. 7. 10,储、传输,加密产品的口令应采用加密方式存储、传输;加密产品的使使用是否符合国家有关用应符合国家有关规定。不适用口规定.是否重点加强对围名/a)检查账户列表,是否没有圈名/默认用户;是口4. 7. 11.默认用户的管理,防止b)若有医名/默认用户,测试是否不能被非法使香口被丰法使用。用不适用口是否及时注销不再使用检查在岗人员名单和账户列表,确定没有未注销是口4. 7. 12.的账户,的不再使用的账户。香口不适用口是否设置抵御连续清测a)检查连续猜测等对客户账户恶意攻击行为的策略:是口4. 7. 13.等对客户账户恶意攻击b)现场测试系统抵御连续猜测客户账户的攻击香口行为的策略。行为不适用口96 JR/T 0146. 3

文档评论(0)

consult + 关注
官方认证
内容提供者

consult

认证主体 山东持舟信息技术有限公司
IP属地山东
统一社会信用代码/组织机构代码
91370100MA3QHFRK5E

1亿VIP精品文档

相关文档