【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第55页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 8.2.2.4.1 测评指标 见jr/t 0060-2010 8.2.2.4。 8.2.2.4.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否与外单位(公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等)建立沟通、合作机制;是否与组织机构内其它部门之间及内部各部门管理人员之间建立沟通、合作机制,是否定期或不定期召开协调会议; 检查是否同时与供电部门、银行等单位和部门建立了沟通、合作机制。 b)应访谈安全主管,询问是否召开过部门间协调会议,组织其它部门人员共同协助处理信息系统安全有关问题,安全管理机构内部是否召开过安全工作会议以部署安全工作的实施;信息安全领导小组或者管理委员会是否定期召开例会; c)应访谈安全主管,询问是否聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等; d)应检查组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,查看是否有会议内容、会议时间、参加人员和会议结果等的描述; e)应检查信息安全领导小组或者管理委员会定期例会会议文件或会议记录,查看是否有会议内容、会议时间、参加人员、会议结果等的描述; f)应检查外联单位联系列表,查看外联单位是否包含公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司和安全组织等,是否说明外联单位的名称、合作内容、联系人和联系方式等内容; g)应检查是否具有安全顾问名单或者聘请安全顾问的证明文件,查看是否有安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录。 8.2.2.4.3 结果判定 如果8.2.2.4.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.2.5 审核和检查 8.2.2.5.1 测评指标 见jr/t 0060-2010 8.2.2.5。 8.2.2.5.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否组织人员定期对信息系统安全技术措施和安全管理制度落实情况进行全面安全检查; b)应访谈安全管理员,询问是否定期检查系统日常运行、系统漏洞和数据备份等情况,是否对检查结果进行通报; c)应检查安全检查管理制度文档,查看文档是否规定定期进行全面安全检查,是否规定检查内容、检查程序和检查周期等,检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; 检查是否至少每年开展一次全面安全检查,并查验相关记录。 d)应检查全面安全检查报告,查看报告日期间隔与检查周期是否一致,报告中是否有检查内容、检查人员、检查数据汇总表、检查结果等的描述,检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; 检查是否至少每年开展一次全面安全检查,并查验相关记录。 e)应检查安全管理员定期实施安全检查的报告,查看报告日期间隔与检查周期是否一致,检查内容是否包括系统日常运行、系统漏洞和数据备份等情况; f)应检查是否具有执行安全检查时的安全检查表、安全检查记录和结果通告记录,查看安全检查记录中记录的检查程序与制度要求是否一致。 检查是否至少每月开展一次安全检查,并查验相关记录。 8.2.2.5.3 结果判定 如果8.2.2.5.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.3 人员安全管理 8.2.3.1 人员录用 8.2.3.1.1 测评指标 见jr/t 0060-2010 8.2.3.1。 8.2.3.1.2 测评实施 本项要求包括: a)应访谈人事负责人,询问是否由专门的部门或人员负责人员的录用工作; b)应访谈人事负责人,询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核; c)应访谈人事负责人,询问是否与被录用人员签署保密协议; d)应访谈人事负责人,询问对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议; e)应检查人员录用管理文档,查看是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等); |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!