【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第18页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 6.2.2.4.3 结果判定 如果6.2.2.4.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.2.5 审核和检查 6.2.2.5.1 测评指标 见jr/t 0060-2010 6.2.2.5。 6.2.2.5.2 测评实施 本项要求包括: a)应访谈安全管理员,询问是否定期检查系统日常运行、系统漏洞和数据备份等情况; b)应检查安全管理员定期实施安全检查的记录,查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况。 6.2.2.5.3 结果判定 如果6.2.2.5.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.3 人员安全管理 6.2.3.1 人员录用 6.2.3.1.1 测评指标 见jr/t 0060-2010 6.2.3.1。 6.2.3.1.2 测评实施 本项要求包括: a)应访谈人事负责人,询问是否由专门的部门或人员负责人员的录用工作; b)应访谈人事负责人,询问在人员录用时是否对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核; c)应访谈人事负责人,询问录用后是否与从事关键岗位的人员签署保密协议; d)应检查人员录用管理文档,查看是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等); e)应检查是否具有人员录用时对录用人身份、背景和专业资格等进行审查的相关文档或记录,查看是否记录审查内容和审查结果等; f)应检查人员录用时的技能考核文档或记录,查看是否记录考核内容和考核结果等; g)应检查保密协议,查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。 6.2.3.1.3 结果判定 如果6.2.3.1.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.3.2 人员离岗 6.2.3.2.1 测评指标 见jr/t 0060-2010 6.2.3.2。 6.2.3.2.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否及时终止离岗人员的所有访问权限,是否取回各种身份证件、钥匙、徽章以及机构提供的软硬件设备等; b)应访谈人事负责人,询问人员离岗是否遵循严格的调离手续; c)应检查是否具有离岗人员交还身份证件、设备等的登记记录; d)应检查是否具有按照离岗程序办理调离手续的记录。 6.2.3.2.3 结果判定 如果6.2.3.2.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.3.3 人员考核 6.2.3.3.1 测评指标 见jr/t 0060-2010 6.2.3.3。 6.2.3.3.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否定期对各个岗位人员进行安全技能及安全知识的考核; b)应检查考核记录,查看考核人员是否包括各个岗位的人员,考核内容是否包含安全知识、安全技能等。 检查相关岗位的安全技能和安全认知的考核记录,查验安全技能和安全认知的考核是否至少每年一次。 6.2.3.3.3 结果判定 如果6.2.3.3.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.3.4 安全意识教育和培训 6.2.3.4.1 测评指标 见jr/t 0060-2010 6.2.3.4。 6.2.3.4.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否制定培训计划并按计划对各个岗位人员进行安全教育和培训;是否对违反安全策略和规定的人员进行惩戒; b)应检查安全教育和培训计划文档,查看计划是否明确了培训方式、培训对象、培训内容、培训时间和地点等,培训内容是否包含信息安全基础知识、岗位操作规程等; c)应检查安全教育和培训记录,查看记录是否有培训人员、培训内容、培训结果等的描述。 6.2.3.4.3 结果判定 如果6.2.3.4.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.2.3.5 外部人员访问管理 6.2.3.5.1 测评指标 见jr/t 0060-2010 6.2.3.5。 6.2.3.5.2 测评实施 本项要求包括: a)应访谈安全主管,询问外部人员访问重要区域(如访问机房、重要服务器或设备区等)是否需经有关部门或负责人批准,是否由专人全程陪同或监督,是否进行记录并备案管理; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!