【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第34页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 检查系统的开发测试、运行维护人员是否在岗位上分离。 e)应检查是否具有信息安全管理委员会或领导小组成立的正式文件; f)应检查信息安全管理委员会或领导小组职责文件,查看是否明确管理委员会或领导小组职责和其最高领导岗位的职责。 7.2.2.1.3 结果判定 如果7.2.2.1.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.2.2 人员配备 7.2.2.2.1 测评指标 见jr/t 0060-2010 7.2.2.2。 7.2.2.2.2 测评实施 本项要求包括: a)应访谈安全主管,询问各个安全管理岗位是否配备了一定数量的人员,对关键事务岗位是否配备多人; b)应检查人员配备要求管理文档,查看是否明确应配备系统管理员、网络管理员、安全管理员等重要岗位人员并明确应配备专职的安全管理员;查看是否明确关键事务的管理人员应配备2人或2人以上共同管理; c)应检查安全管理各岗位人员信息表,查看其是否明确系统管理员、网络管理员、安全管理员等重要岗位人员的信息,安全管理员是否是专职人员。 7.2.2.2.3 结果判定 如果7.2.2.2.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.2.3 授权和审批 7.2.2.3.1 测评指标 见jr/t 0060-2010 7.2.2.3。 7.2.2.3.2 测评实施 本项要求包括: a)应访谈安全主管,询问其是否规定对信息系统中的重要活动进行审批,审批活动是否得到授权;是否定期审查、更新需审批项目; 应调阅相关内部审批记录,抽查部分授权和审批过程。 b)应检查审批管理制度文档,查看文档是否明确审批事项、需逐级审批的事项、审批部门、批准人等;是否明确系统变更、重要操作、物理访问和系统接入等事项的审批流程;是否明确需定期审查、更新审批的项目、审批部门、批准人和审查周期等; 检查审查工作是否至少每年开展一次。 c)应检查经逐级审批的文档,查看是否具有各级批准人的签字和审批部门的盖章; d)应检查关键活动的审批过程记录,查看记录的审批程序与文件要求是否一致。 7.2.2.3.3 结果判定 如果7.2.2.3.2 a)-d)均为肯定,则该测评指标符合要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.2.4 沟通和合作 7.2.2.4.1 测评指标 见jr/t 0060-2010 7.2.2.4。 7.2.2.4.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否与外单位(公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等)建立沟通、合作机制;是否与组织机构内其它部门之间及内部各部门管理人员之间建立沟通、合作机制; 检查是否同时与供电部门、银行等单位和部门建立了沟通、合作机制。 b)应访谈安全主管,询问是否召开过部门间协调会议,组织其它部门人员共同协助处理信息系统安全有关问题,安全管理机构内部是否召开过安全工作会议以部署安全工作的实施;信息安全领导小组或者管理委员会是否定期召开例会; c)应访谈安全主管,询问是否聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等; d)应检查组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,查看是否有会议内容、会议时间、参加人员和会议结果等的描述; e)应检查信息安全领导小组或者管理委员会定期例会会议文件或会议记录,查看是否有会议内容、会议时间、参加人员、会议结果等的描述; f)应检查外联单位联系列表,查看外联单位是否包含公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司和安全组织等,是否说明外联单位的名称、合作内容、联系人和联系方式等内容; g)应检查是否具有安全顾问名单或者聘请安全顾问的证明文件,查看是否有安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录。 7.2.2.4.3 结果判定 如果7.2.2.4.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.2.5 审核和检查 7.2.2.5.1 测评指标 见jr/t 0060-2010 7.2.2.5。 7.2.2.5.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否组织人员定期对信息系统安全技术措施和安全管理制度落实情况进行全面安全检查; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!