【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第9页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] 6.2.2.安全管理机构 6.2.2.1. 岗位设置(g2) 本项要求包括: a)应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。 6.2.2.2. 人员配备(g2) 本项要求包括: a)应配备一定数量的系统管理员、网络管理员、安全管理员等; 每个岗位应有备岗。 b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。 6.2.2.3. 授权和审批(g2) 本项要求包括: a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批; 重要审批授权记录应留档备查。 b)应针对关键活动建立审批流程,并由批准人签字确认。 6.2.2.4. 沟通和合作(g2) 本项要求包括: a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通; b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。 应加强与兄弟单位、公安机关、通信运营商、供电部门、银行等单位和部门的合作与沟通。 6.2.2.5. 审核和检查(g2) 安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。 安全检查应至少每季度一次。 6.2.3.人员安全管理 6.2.3.1. 人员录用(g2) 本项要求包括: a)应指定或授权专门的部门或人员负责人员录用; b)应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核; c)应与从事关键岗位的人员签署保密协议。 6.2.3.2. 人员离岗(g2) 本项要求包括: a)应规范人员离岗过程,及时终止离岗员工的所有访问权限; b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; c)应办理严格的调离手续。 6.2.3.3. 人员考核(g2) 应定期对各个岗位的人员进行安全技能及安全认知的考核。 安全技能及安全认知的考核应至少每年一次。 6.2.3.4. 安全意识教育和培训(g2) 本项要求包括: a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训; b)应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒; c)应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。 6.2.3.5. 外部人员访问管理(g2) 应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。 6.2.4.系统建设管理 6.2.4.1. 系统定级(g2) 本项要求包括: a)应明确信息系统的边界和安全保护等级; b)应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由; c)应确保信息系统的定级结果经过相关部门的批准。 6.2.4.2. 安全方案设计(g2) 本项要求包括: a)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; b)应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案; c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案; d)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。 6.2.4.3. 产品采购和使用(g2) 本项要求包括: a)应确保安全产品采购和使用符合国家的有关规定; b)应确保密码产品采购和使用符合国家密码主管部门的要求; c)应指定或授权专门的部门负责产品的采购。 6.2.4.4. 自行软件开发(g2) 本项要求包括: a)应确保开发环境与实际运行环境物理分开; b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; c)应确保提供软件设计的相关文档和使用指南,并由专人负责保管。 6.2.4.5. 外包软件开发(g2) 本项要求包括: a)应根据开发要求检测软件质量; b)应确保提供软件设计的相关文档和使用指南; c)应在软件安装之前检测软件包中可能存在的恶意代码; d)应要求开发单位提供软件源代码,并审查软件中可能存在的后门。 6.2.4.6. 工程实施(g2) |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!