第十三条 主体单位应建立明确的信息安全组织体系:
(一)建立决策层、管理层和执行层三层工作关系,明确信息安全主管领导,落实信息安全管理部门,指定信息安全执行岗位;
(二)设立专职的安全管理员和安全审计员岗位,分别负责信息安全工作的实施和审计;
(三)通过多种安全培训方式加强信息安全人才队伍的建设,提高信息安全工作人员的技能水平,提高员工安全意识。
第十四条 主体单位应建立全面的信息安全管理体系:
(一)制定统一的信息安全策略和全面、可操作的信息安全管理制度,指导和规范信息系统的安全规划与建设,确保策略和制度得到恰当的理解并得到有效的遵循和执行;
(二)加强信息系统资产安全管理,保护信息系统设备、软件、数据和技术文档的安全,实行信息系统资产管理责任制,实现等级管理、密级管理,重点保护核心信息系统资产的安全;
(三)强化信息系统的物理安全保护,执行严格的机房安全管理、环境安全管理和有效的物理控制措施;
(四)建立信息系统网络、系统、应用等各层面的安全管理流程,实现对信息系统规划、建设、运行、维护各个阶段的安全管理,开发与运营独立管理,严格执行日常的实时管理和定期管理工作;
(五)实现对信息系统的安全风险管理,对信息资产、威胁和脆弱性的状况进行定期评估,及时发现安全隐患并进行预防性的保护,选择适用、有效的安全措施。
第十五条 主体单位应建立有效的信息安全技术体系:
(一)建立完善的安全预警体系,及时发现安全隐患;
(二)强化现有的安全防护体系,实现对核心业务系统的重点保护;
(三)建立有效的安全监控体系,监控核心业务系统,为进一步完善信息安全体系提供决策依据;
(四)建立全面的应急响应体系,制定规范、完整的应急处理和响应流程,定期进行应急恢复的演练和测试,完善信息安全通报机制;
(五)按照不同的安全保护等级建立相应的灾难恢复体系,定期进行灾难恢复的演练和测试,确保灾难发生后能够充分发挥备份的效能,降低造成的影响和损失。
第五章 附则
第十六条 中国证监会对证券期货业信息系统安全保障情况组织安全检查,检查方式包括自检查、委托检查等方式。
