【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第56页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] f)应检查是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录,查看是否记录审查内容和审查结果等; g)应检查人员录用时的技能考核文档或记录,查看是否记录考核内容和考核结果等; h)应检查保密协议,查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容; i)应检查岗位安全协议,查看是否有岗位安全责任定义、协议的有效期限和责任人签字等内容。 8.2.3.1.3 结果判定 如果8.2.3.1.2 a)-i)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.3.2 人员离岗 8.2.3.2.1 测评指标 见jr/t 0060-2010 8.2.3.2。 8.2.3.2.2 测评实施 本项要求包括: a)应访谈安全主管,询问对即将离岗人员是否及时终止离岗人员的所有访问权限,是否取回各种身份证件、钥匙、徽章以及机构提供的软硬件设备等; b)应访谈人事负责人,询问人员离岗是否遵循严格的调离手续,是否要求人员调离时须承诺相关保密义务后方可离开; c)应检查人员离岗的管理制度文档,查看是否说明人员离岗要求、人员调离手续等相关内容; d)应检查是否具有离岗人员交还身份证件、设备等的登记记录; e)应检查是否具有按照离职程序办理调离手续的记录,查看调离手续与文件规定是否一致; f)应检查保密承诺文档,查看是否有调离人员的签字。 8.2.3.2.3 结果判定 如果8.2.3.2.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.3.3 人员考核 8.2.3.3.1 测评指标 见jr/t 0060-2010 8.2.3.3。 8.2.3.3.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否定期对各个岗位人员进行安全技能及安全知识的考核,是否对关键岗位人员定期进行安全审查和技能考核; b)应访谈安全主管,询问是否对安全保密制度执行情况进行检查或考核; c)应检查保密制度文档,查看是否包括保密内容、保密责任和义务等内容; d)应检查考核记录,查看记录的考核人员是否包括各个岗位的人员,考核内容是否包含保密知识、安全知识、安全技能等;查看记录日期与考核周期是否一致; 检查相关岗位的安全技能和安全认知的考核记录,查验安全技能和安全认知的考核是否至少每年一次。 e)应检查是否具有对关键岗位人员的安全审查记录。 8.2.3.3.3 结果判定 如果8.2.3.3.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.3.4 安全意识教育和培训 8.2.3.4.1 测评指标 见jr/t 0060-2010 8.2.3.4。 8.2.3.4.2 测评实施 本项要求包括: a)应访谈安全主管,询问是否制定培训计划并按计划对各个岗位人员进行安全教育和培训;是否对违反安全策略和规定的人员进行惩戒; b)应访谈安全管理员、系统管理员、网络管理员,考查其是否了解其工作相关的信息安全基础知识、安全责任和惩戒措施等; c)应检查安全责任和惩戒措施管理文档,查看是否包含具体的安全责任和惩戒措施; d)应检查信息安全教育及技能培训和考核管理文档,查看是否明确培训周期、培训方式、培训内容和考核方式等相关内容; e)应检查安全教育和培训计划文档,查看是否具有不同岗位的培训计划;查看计划是否明确了培训方式、培训对象、培训内容、培训时间和地点等,培训内容是否包含信息安全基础知识、岗位操作规程等; f)应检查安全教育和培训记录,查看记录是否有培训人员、培训内容、培训结果等的描述;查看记录与培训计划是否一致。 8.2.3.4.3 结果判定 如果8.2.3.4.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.2.3.5 外部人员访问管理 8.2.3.5.1 测评指标 见jr/t 0060-2010 8.2.3.5。 8.2.3.5.2 测评实施 本项要求包括: a)应访谈安全主管,询问外部人员访问重要区域(如访问机房、重要服务器或设备区等)是否需经有关部门或负责人书面批准,是否由专人全程陪同或监督,是否进行记录并备案管理; b)应检查外部人员访问管理文档,查看是否明确允许外部人员访问的范围(区域、系统、设备、信息等内容,对哪些关键区域不允许外部人员访问),外部人员进入的条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制措施(由专人全程陪同或监督等)等; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!