12月28日，证监会发布38号、39号公告，公布金融行业推荐性标准《证券期货业信息系统安全等级保护基本要求（试行）》（下称“基本要求”）及《证券期货业信息系统安全等级保护测评要求（试行）》（下称“测评要求”），标准即日开始施行。

证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。在此背景下，证监会依据国家信息安全等级保护管理规定制定了《基本要求》，将证券期货业信息系统安全等级分为由低到高五个等级，并对不同等级规定了有区别的基本保护要求，包括基本技术要求和基本管理要求。

基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出。

不同等级的信息系统具有不同的基本安全保护能力。等级越高，所需具备的安全保护能力越高，对其的基本技术要求和基本管理要求也越高。其中第一级所需具备的安全保护能力为：能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

《基本要求》适用于指导证券期货业分等级信息系统的安全建设整改、测评和监督管理。

《测评要求》依据《基本要求》，提出了证券期货业不同等级信息系统的测评要求，适用于指导证券期货业信息系统测评工作。

《测评要求》针对证券期货业信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求；整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。

《测评要求》针对不同的信息系统安全等级分别规定了进行安全测评评估的要求。测评人员使用访谈、检查和测试等三种基本测评方法，保证测评力度，最后给出测评报告。