第四章 安全保障要求
第十二條 主體單位應(yīng)建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系,保持三個(gè)體系穩(wěn)定、均衡發(fā)展。
第十三條 主體單位應(yīng)建立明確的信息安全組織體系:
?。ㄒ唬?nbsp;建立決策層、管理層和執(zhí)行層三層工作關(guān)系,明確信息安全主管領(lǐng)導(dǎo),落實(shí)信息安全管理部門(mén),指定信息安全執(zhí)行崗位;
?。ǘ?nbsp;設(shè)立專(zhuān)職的安全管理員和安全審計(jì)員崗位,分別負(fù)責(zé)信息安全工作的實(shí)施和審計(jì);
?。ㄈ?nbsp;通過(guò)多種安全培訓(xùn)方式加強(qiáng)信息安全人才隊(duì)伍的建設(shè),提高信息安全工作人員的技能水平,提高員工安全意識(shí)。
第十四條 主體單位應(yīng)建立全面的信息安全管理體系:
?。ㄒ唬?nbsp;制定統(tǒng)一的信息安全策略和全面、可操作的信息安全管理制度,指導(dǎo)和規(guī)范信息系統(tǒng)的安全規(guī)劃與建設(shè),確保策略和制度得到恰當(dāng)?shù)睦斫獠⒌玫接行У淖裱蛨?zhí)行;
?。ǘ?nbsp;加強(qiáng)信息系統(tǒng)資產(chǎn)安全管理,保護(hù)信息系統(tǒng)設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全,實(shí)行信息系統(tǒng)資產(chǎn)管理責(zé)任制,實(shí)現(xiàn)等級(jí)管理、密級(jí)管理,重點(diǎn)保護(hù)核心信息系統(tǒng)資產(chǎn)的安全;
?。ㄈ?nbsp;強(qiáng)化信息系統(tǒng)的物理安全保護(hù),執(zhí)行嚴(yán)格的機(jī)房安全管理、環(huán)境安全管理和有效的物理控制措施;
?。ㄋ模?nbsp;建立信息系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等各層面的安全管理流程,實(shí)現(xiàn)對(duì)信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行、維護(hù)各個(gè)階段的安全管理,開(kāi)發(fā)與運(yùn)營(yíng)獨(dú)立管理,嚴(yán)格執(zhí)行日常的實(shí)時(shí)管理和定期管理工作;
?。ㄎ澹?nbsp;實(shí)現(xiàn)對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理,對(duì)信息資產(chǎn)、威脅和脆弱性的狀況進(jìn)行定期評(píng)估,及時(shí)發(fā)現(xiàn)安全隱患并進(jìn)行預(yù)防性的保護(hù),選擇適用、有效的安全措施。
第十五條 主體單位應(yīng)建立有效的信息安全技術(shù)體系:
?。ㄒ唬?nbsp;建立完善的安全預(yù)警體系,及時(shí)發(fā)現(xiàn)安全隱患;
(二) 強(qiáng)化現(xiàn)有的安全防護(hù)體系,實(shí)現(xiàn)對(duì)核心業(yè)務(wù)系統(tǒng)的重點(diǎn)保護(hù);
?。ㄈ?nbsp;建立有效的安全監(jiān)控體系,監(jiān)控核心業(yè)務(wù)系統(tǒng),為進(jìn)一步完善信息安全體系提供決策依據(jù);
?。ㄋ模?nbsp;建立全面的應(yīng)急響應(yīng)體系,制定規(guī)范、完整的應(yīng)急處理和響應(yīng)流程,定期進(jìn)行應(yīng)急恢復(fù)的演練和測(cè)試,完善信息安全通報(bào)機(jī)制;
(五) 按照不同的安全保護(hù)等級(jí)建立相應(yīng)的災(zāi)難恢復(fù)體系,定期進(jìn)行災(zāi)難恢復(fù)的演練和測(cè)試,確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能,降低造成的影響和損失。
第五章 附 則
第十六條 中國(guó)證監(jiān)會(huì)對(duì)證券期貨業(yè)信息系統(tǒng)安全保障情況組織安全檢查,檢查方式包括自檢查、委托檢查等方式。
第十七條 本辦法由中國(guó)證監(jiān)會(huì)負(fù)責(zé)解釋。
第十八條 本辦法自印發(fā)之日起執(zhí)行。