第四章 安全保障要求
　　第十二條 主體單位應(yīng)建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系，保持三個(gè)體系穩(wěn)定、均衡發(fā)展。
　　第十三條 主體單位應(yīng)建立明確的信息安全組織體系：
　?。ㄒ唬?nbsp;建立決策層、管理層和執(zhí)行層三層工作關(guān)系，明確信息安全主管領(lǐng)導(dǎo)，落實(shí)信息安全管理部門(mén)，指定信息安全執(zhí)行崗位；
　?。ǘ?nbsp;設(shè)立專(zhuān)職的安全管理員和安全審計(jì)員崗位，分別負(fù)責(zé)信息安全工作的實(shí)施和審計(jì)；
　?。ㄈ?nbsp;通過(guò)多種安全培訓(xùn)方式加強(qiáng)信息安全人才隊(duì)伍的建設(shè)，提高信息安全工作人員的技能水平，提高員工安全意識(shí)。
　　第十四條 主體單位應(yīng)建立全面的信息安全管理體系：
　?。ㄒ唬?nbsp;制定統(tǒng)一的信息安全策略和全面、可操作的信息安全管理制度，指導(dǎo)和規(guī)范信息系統(tǒng)的安全規(guī)劃與建設(shè)，確保策略和制度得到恰當(dāng)?shù)睦斫獠⒌玫接行У淖裱蛨?zhí)行；
　?。ǘ?nbsp;加強(qiáng)信息系統(tǒng)資產(chǎn)安全管理，保護(hù)信息系統(tǒng)設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全，實(shí)行信息系統(tǒng)資產(chǎn)管理責(zé)任制，實(shí)現(xiàn)等級(jí)管理、密級(jí)管理，重點(diǎn)保護(hù)核心信息系統(tǒng)資產(chǎn)的安全；
　?。ㄈ?nbsp;強(qiáng)化信息系統(tǒng)的物理安全保護(hù)，執(zhí)行嚴(yán)格的機(jī)房安全管理、環(huán)境安全管理和有效的物理控制措施；
　?。ㄋ模?nbsp;建立信息系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等各層面的安全管理流程，實(shí)現(xiàn)對(duì)信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行、維護(hù)各個(gè)階段的安全管理，開(kāi)發(fā)與運(yùn)營(yíng)獨(dú)立管理，嚴(yán)格執(zhí)行日常的實(shí)時(shí)管理和定期管理工作；
　?。ㄎ澹?nbsp;實(shí)現(xiàn)對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理，對(duì)信息資產(chǎn)、威脅和脆弱性的狀況進(jìn)行定期評(píng)估，及時(shí)發(fā)現(xiàn)安全隱患并進(jìn)行預(yù)防性的保護(hù)，選擇適用、有效的安全措施。
　　第十五條 主體單位應(yīng)建立有效的信息安全技術(shù)體系：
　?。ㄒ唬?nbsp;建立完善的安全預(yù)警體系，及時(shí)發(fā)現(xiàn)安全隱患；
　　 
（二） 強(qiáng)化現(xiàn)有的安全防護(hù)體系，實(shí)現(xiàn)對(duì)核心業(yè)務(wù)系統(tǒng)的重點(diǎn)保護(hù)；
　?。ㄈ?nbsp;建立有效的安全監(jiān)控體系，監(jiān)控核心業(yè)務(wù)系統(tǒng)，為進(jìn)一步完善信息安全體系提供決策依據(jù)；
　?。ㄋ模?nbsp;建立全面的應(yīng)急響應(yīng)體系，制定規(guī)范、完整的應(yīng)急處理和響應(yīng)流程，定期進(jìn)行應(yīng)急恢復(fù)的演練和測(cè)試，完善信息安全通報(bào)機(jī)制；
　　（五） 按照不同的安全保護(hù)等級(jí)建立相應(yīng)的災(zāi)難恢復(fù)體系，定期進(jìn)行災(zāi)難恢復(fù)的演練和測(cè)試，確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。
　　第五章 附 則
　　第十六條 中國(guó)證監(jiān)會(huì)對(duì)證券期貨業(yè)信息系統(tǒng)安全保障情況組織安全檢查，檢查方式包括自檢查、委托檢查等方式。
　　第十七條 本辦法由中國(guó)證監(jiān)會(huì)負(fù)責(zé)解釋。
　　第十八條 本辦法自印發(fā)之日起執(zhí)行。