【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第33页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] b) 应检查主要网络设备、主要主机操作系统、主要数据库管理系统和主要应用系统是否对重要信息进行了异地数据备份; c) 应检查网络拓扑结构是否不存在关键节点的单点故障; d) 应检查主要网络设备、通信线路和数据处理系统(如包含数据库管理系统在内的数据库服务器)是否提供硬件冗余。 7.1.5.3.3 结果判定 如果7.1.5.3.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2 安全管理测评 7.2.1 安全管理制度 7.2.1.1 管理制度 7.2.1.1.1 测评指标 见jr/t 0060-2010 7.2.1.1。 7.2.1.1.2 测评实施 本项要求包括: a)应访谈安全主管,询问机构是否形成全面的信息安全管理制度体系,制度体系是否由总体方针、安全策略、管理制度、操作规程等构成; b)应检查信息安全工作的总体方针和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等; c)应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和运维等层面的管理内容; d)应检查是否具有日常管理操作的操作规程(如系统维护手册和用户操作规程等)。 7.2.1.1.3 结果判定 如果7.2.1.1.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.1.2 制定和发布 7.2.1.2.1 测评指标 见jr/t 0060-2010 7.2.1.2。 7.2.1.2.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否由专门的部门或人员负责制定安全管理制度; b)应访谈安全主管,询问安全管理制度是否能够发布到相关人员手中,是否对制定的安全管理制度进行论证和审定,是否按照统一的格式标准或要求制定; c)应检查制度制定和发布要求管理文档,查看文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容; d)应检查管理制度评审记录,查看是否有相关人员的评审意见; e)应检查各项安全管理制度文档,查看文档是否是正式发布的文档,是否注明适用和发布范围,是否具有版本标识,是否具有管理层的签字或单位盖章;查看各项制度文档格式是否统一; f)应检查安全管理制度的收发登记记录,查看是否通过正式、有效的方式收发(如正式发文、领导签署和单位盖章等),是否注明发布范围。 7.2.1.2.3 结果判定 如果7.2.1.2.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.1.3 评审和修订 7.2.1.3.1 测评指标 见jr/t 0060-2010 7.2.1.3。 7.2.1.3.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定,是否定期或不定期对安全管理制度进行检查、审定; b)应检查是否具有安全管理制度体系的评审记录,是否记录了相关人员的评审意见; 检查是否至少每年对安全管理制度体系进行评审,评审记录是否完整。 c)应检查是否具有安全管理制度的检查或评审记录,如果对制度做过修订,检查是否有修订版本的安全管理制度。 检查是否至少每年或在发生重大变更时,对安全管理制度进行检查,评审记录是否完整,对存在不足或需要改进的安全管理制度进行了修订。 7.2.1.3.3 结果判定 如果7.2.1.3.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.2 安全管理机构 7.2.2.1 岗位设置 7.2.2.1.1 测评指标 见jr/t 0060-2010 7.2.2.1。 7.2.2.1.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任; b)应访谈安全主管,询问是否设立专职的安全管理机构(即信息安全管理工作的职能部门),是否明确各部门的职责分工; c)应访谈安全主管,询问信息系统是否设置了系统管理员、网络管理员和安全管理员等岗位,各个岗位的职责分工是否明确;是否设立安全管理各个方面的负责人; d)应检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确机构内各部门的职责和分工,部门职责是否涵盖物理、网络和系统安全等各个方面;查看文件是否明确设置安全主管、安全管理各个方面的负责人、系统管理员、网络管理员、安全管理员等各个岗位职责;查看文件是否明确各个岗位人员应具有的技能要求; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!