【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第17页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] c)应检查是否具有重要管理操作的操作规程(如系统维护手册和用户操作规程等)。 6.2.1.1.3 结果判定 如果6.2.1.1.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.1.2 制定和发布 6.2.1.2.1 测评指标 见jr/t 0060-2010 6.2.1.2。 6.2.1.2.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否由专门的部门或人员负责制定安全管理制度; b)应访谈安全主管,询问安全管理制度是否能够发布到相关人员手中,是否对制定的安全管理制度进行论证和审定; c)应检查管理制度评审记录,查看是否有相关人员的评审意见。 6.2.1.2.3 结果判定 如果6.2.1.2.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.1.3 评审和修订 6.2.1.3.1 测评指标 见jr/t 0060-2010 6.2.1.3。 6.2.1.3.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否定期对安全管理制度进行评审,发现存在不足或需要改进的是否进行修订; b)应检查是否具有安全管理制度评审记录;如果对制度做过修订,检查是否有修订版本的安全管理制度。 检查是否至少每年或在发生重大变更时对安全管理制度进行了检查,评审记录是否完整,对存在不足或需要改进的安全管理制度进行了修订。 6.2.1.3.3 结果判定 如果6.2.1.3.2 a)和 b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.2 安全管理机构 6.2.2.1 岗位设置 6.2.2.1.1 测评指标 见jr/t 0060-2010 6.2.2.1。 6.2.2.1.2 测评实施 本项要求包括: a)应访谈安全主管,询问信息系统是否设置了系统管理员、网络管理员和安全管理员等岗位,各个岗位的职责分工是否明确;是否设立安全管理各个方面的负责人; b)应检查岗位职责文档,查看文档是否明确设置安全主管、安全管理各个方面的负责人、系统管理员、网络管理员和安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确。 6.2.2.1.3 结果判定 如果6.2.2.1.2 a)和 b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.2.2 人员配备 6.2.2.2.1 测评指标 见jr/t 0060-2010 6.2.2.2。 6.2.2.2.2 测评实施 本项要求包括: a)应访谈安全主管,询问各个安全管理岗位是否配备了一定数量的人员; b)应检查安全管理各岗位人员信息表,查看其是否明确系统管理员、网络管理员、安全管理员等重要岗位人员的信息,查看安全管理员是否没有兼任网络管理员、系统管理员、数据库管理员等岗位。 6.2.2.2.3 结果判定 如果6.2.2.2.2a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.2.3 授权和审批 6.2.2.3.1 测评指标 见jr/t 0060-2010 6.2.2.3。 6.2.2.3.2 测评实施 本项要求包括: a)应访谈安全主管,询问其是否对信息系统中的关键活动进行审批,审批活动是否得到授权; b)应调阅相关内部审批记录,抽查部分授权和审批过程。 c)应检查审批管理制度文档,查看文档是否明确系统投入运行、网络系统接入和重要资源的访问等关键活动的审批部门、批准人和审批程序; d)应检查经审批的文档,查看审批程序与文件要求是否一致,是否有批准人的签字和审批部门的盖章。 6.2.2.3.3 结果判定 如果6.2.2.3.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.2.4 沟通和合作 6.2.2.4.1 测评指标 见jr/t 0060-2010 6.2.2.4。 6.2.2.4.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否与公安机关、电信公司和兄弟单位建立联系,信息安全职能部门内部之间、各类管理人员之间以及与组织机构内其他部门之间是否建立交流和沟通机制; 检查是否同时与供电部门、银行等单位和部门建立了沟通、合作机制。 b)应检查部门间和部门内部沟通和合作的相关文档,查看是否包括工作内容、参加人员等的描述; c)应检查外联单位说明文档,查看外联单位是否包含公安机关、电信公司及兄弟单位等,是否说明外联单位的联系人和联系方式等内容。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!