【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第54页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] c)应检查是否具有需要定期修订的安全管理制度列表,查看列表是否注明修订周期; d)应检查是否具有安全管理制度体系的评审记录,查看记录的日期间隔与评审周期是否一致,是否记录了相关人员的评审意见; 检查是否至少每年对安全管理制度体系进行评审,评审记录是否完整。 e)应检查是否具有安全管理制度的检查或评审记录,查看记录的日期间隔与评审周期是否一致;如果对制度做过修订,检查是否有修订版本的安全管理制度。 检查是否至少每年或在发生重大变更时,对安全管理制度进行检查,评审记录是否完整,对存在不足或需要改进的安全管理制度进行了修订。 8.2.1.3.3 结果判定 如果8.2.1.3.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.2 安全管理机构 8.2.2.1 岗位设置 8.2.2.1.1 测评指标 见jr/t 0060-2010 8.2.2.1。 8.2.2.1.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任; b)应访谈安全主管,询问是否设立专职的安全管理机构(即信息安全管理工作的职能部门),是否明确各部门的职责分工; c)应访谈安全主管,询问信息系统是否设置了系统管理员、网络管理员和安全管理员等岗位,各个岗位的职责分工是否明确;是否设立安全管理各个方面的负责人; d)应访谈安全主管、安全管理各个方面的负责人、系统管理员、网络管理员和安全管理员,询问其是否明确其岗位职责; e)应检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确机构内各部门的职责和分工,部门职责是否涵盖物理、网络和系统安全等各个方面;查看文件是否明确设置安全主管、安全管理各个方面的负责人、系统管理员、网络管理员、安全管理员等各个岗位职责;查看文件是否明确各个岗位人员应具有的技能要求; f)应检查是否具有信息安全管理委员会或领导小组成立的正式文件; g)应检查信息安全管理委员会或领导小组职责文件,查看是否明确委员会或领导小组职责和其最高领导岗位的职责。 8.2.2.1.3 结果判定 如果8.2.2.1.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.2.2 人员配备 8.2.2.2.1 测评指标 见jr/t 0060-2010 8.2.2.2。 8.2.2.2.2 测评实施 本项要求包括: a)应访谈安全主管,询问各个安全管理岗位是否配备了一定数量的人员,对关键事务岗位是否配备多人; b)应检查人员配备要求管理文档,查看是否明确应配备系统管理员、网络管理员、安全管理员等重要岗位人员并明确应配备专职的安全管理员;查看是否明确关键事务的管理人员应配备2人或2人以上共同管理; c)应检查安全管理各岗位人员信息表,查看其是否明确系统管理员、网络管理员和安全管理员等重要岗位人员的信息,安全管理员是否是专职人员。 8.2.2.2.3 结果判定 如果8.2.2.2.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.2.3 授权和审批 8.2.2.3.1 测评指标 见jr/t 0060-2010 8.2.2.3。 8.2.2.3.2 测评实施 本项要求包括: a)应访谈安全主管,询问其是否规定对信息系统中的关键活动进行审批,审批活动是否得到授权;是否定期审查、更新审批项目; 应调阅相关内部审批记录,抽查部分授权和审批过程。 b)应检查审批管理制度文档,查看文档是否明确审批事项、需逐级审批的事项、审批部门、批准人等,是否明确系统变更、重要操作、物理访问和系统接入等事项的审批流程;是否明确需定期审查、更新审批的项目、审批部门、批准人和审查周期等; 检查审查工作是否至少每年开展一次。 c)应检查经逐级审批的文档,查看是否具有各级批准人的签字和审批部门的盖章; d)应检查关键活动的审批过程记录,查看记录的审批程序与文件要求是否一致。 8.2.2.3.3 结果判定 如果8.2.2.3.2 a)-d)均为肯定,则该测评指标符合要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.2.4 沟通和合作 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!