【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第36页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 7.2.3.4 安全意识教育和培训 7.2.3.4.1 测评指标 见jr/t 0060-2010 7.2.3.4。 7.2.3.4.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否制定培训计划并按计划对各个岗位人员进行安全教育和培训;是否对违反安全策略和规定的人员进行惩戒; b)应检查安全责任和惩戒措施管理文档,查看是否包含具体的安全责任和惩戒措施; c)应检查信息安全教育及技能培训和考核管理制度文档,查看是否明确培训周期、培训方式、培训内容和考核方式等相关内容; d)应检查安全教育和培训计划文档,查看是否具有不同岗位的培训计划;查看计划是否明确了培训方式、培训对象、培训内容、培训时间和地点等,培训内容是否包含信息安全基础知识、岗位操作规程等; e)应检查安全教育和培训记录,查看记录是否有培训人员、培训内容、培训结果等的描述。 7.2.3.4.3 结果判定 如果7.2.3.4.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.3.5 外部人员访问管理 7.2.3.5.1 测评指标 见jr/t 0060-2010 7.2.3.5。 7.2.3.5.2 测评实施 本项要求包括: a)应访谈安全主管,询问外部人员访问重要区域(如访问机房、重要服务器或设备区等)是否需经有关部门或负责人书面批准,是否由专人全程陪同或监督,是否进行记录并备案管理; b)应检查外部人员访问管理文档,查看是否明确允许外部人员访问的范围(区域、系统、设备、信息等内容),外部人员进入的条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制措施(由专人全程陪同或监督等)等; c)应检查外部人员访问重要区域的书面申请文档,查看是否具有批准人允许访问的批准签字等; d)应检查外部人员访问重要区域的登记记录,查看是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等。 7.2.3.5.3 结果判定 如果7.2.3.5.2 a)-d)均为肯定,则该测评指标符合要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.4 系统建设管理 7.2.4.1 系统定级 7.2.4.1.1 测评指标 见jr/t 0060-2010 7.2.4.1。 7.2.4.1.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否参照定级指南确定信息系统安全保护等级,是否组织相关部门和有关安全技术专家对定级结果进行论证和审定; b)应检查系统定级文档,查看文档是否明确信息系统的边界和信息系统的安全保护等级,是否说明定级的方法和理由,是否有相关部门或主管领导的盖章或签名; c)应检查定级结果的论证评审会议文档,查看是否有相关部门和有关安全技术专家对定级结果的论证意见。 7.2.4.1.3 结果判定 如果7.2.4.1.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.2.4.2 安全方案设计 7.2.4.2.1 测评指标 见jr/t 0060-2010 7.2.4.2。 7.2.4.2.2 测评实施 本项要求包括: a)应访谈系统建设负责人,询问是否授权专门的部门对信息系统的安全建设进行总体规划,由何部门负责; b)应访谈系统建设负责人,询问是否根据信息系统的等级划分情况统一考虑总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等; c)应访谈系统建设负责人,询问是否对安全建设的配套文件进行论证和审定,是否根据等级测评、安全评估的结果定期调整和修订安全建设的配套文件; d)应检查是否有系统安全建设的工作计划,查看文件是否明确了系统的近期安全建设计划和远期安全建设计划; e)应检查是否有系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件,查看各个文件是否有机构管理层的批准; f)应检查配套文件的论证评审记录或文档,查看是否有相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见; g)应检查是否具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本。 7.2.4.2.3 结果判定 如果7.2.4.2.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!