6.4.3　证券期货机构应合理设置配置库中配置项的属性，要求如下：
a） 配置项属性至少包括编号、名称、描述、维护责任人、运行状态、关联关系等；
b） 配置项编号应唯一；
c） 配置项的添加、修改、替换、删除应有变更记录；
d） 应保存配置项历史记录，确保与事件管理、问题管理、变更管理等流程记录的关联性。
6.4.4　证券期货机构应定期对配置库进行备份。
6.4.5　证券期货机构应及时检查并定期审计配置库，对发现的不一致情况及时纠正，并留存记录。
7　应急管理
7.1　应急准备
7.1.1　证券期货机构应建立健全网络与信息安全事件应急处置组织体系，明确网络与信息安全事件的应急指挥决策机构和执行机构，负责网络与信息安全事件的预防预警、应急处置、报告和

调查处理工作。
7.1.2　证券期货机构网络与信息安全事件应急处置指挥决策机构应由主要领导负责，成员包括但不限于业务、技术、风险控制、结算、财务、客服、安保及综合等有关部门的负责人。
7.1.3　证券期货机构应明确网络与信息安全事件应急决策机制，以及决策递补顺序，确保各种情况下，有人负责决策和报告。
7.1.4　网络与信息安全事件应急管理应遵循“谁主管谁负责、谁运行谁负责”，“统一指挥、密切协同；注重预防、减少风险；科学处置、及时报告；以人为本、公平优先”的原则。
7.1.5　证券期货机构应制定网络与信息安全事件应急预案，内容至少包括：
a) 应急预案编制的目的和依据；
b) 应急预案的适用范围；
c) 应急处置的组织体系及职责；
d) 预防措施、保障措施与应急准备；
e) 预警监测、处置和信息报送；
f) 网络与信息安全事件的分级分类；
g) 网络与信息安全事件的报告流程；
h) 网络与信息安全事件处置的一般原则；
i) 网络与信息安全事件处置的具体方案；
j) 网络与信息安全事件内部调查处理以及分析总结的要求。
7.1.6　应急预案应符合如下要求：
a) 网络与信息安全事件处置的具体方案应包括各种可能发生的技术故障的应急处置流程、报告流程等；
b) 应针对各种技术故障拟定统一的解释口径和通知公告模板；
c) 应每年至少进行一次评估，并及时修订；
d) 应根据应急演练的情况进行评估和更新；
e) 核心机构应向中国证监会报备；经营机构应向住所地证监局报备；
f) 在应急预案发生重大变化时，应及时重新报备。
7.1.7　应急准备应符合如下要求：
a) 值班负责人和信息技术负责人应负责信息安全应急值守；
b) 系统管理员、网络管理员、数据库管理员、安全管理员等关键岗位应熟练掌握应急预案，能有效处置网络与信息安全事件；
c) 在自身力量不足以满足应急要求的情况下，应与相关单位签订通信、消防、电力设备、空调设备、软硬件产品、安全服务等的应急响应及服务保障协议。协议内容应包括双方联系人

、联系方式、服务内容及范围、应急处理方式等。应定期检查和评估协议的执行情况，确保服务保障措施落实到位，确保在应急处置中相关单位能提供及时有效的技术支持；
d) 应建立有效的应急通讯联络系统，确保信息畅通；
e) 应制定应急处置联络手册，明确详细的联络方式，并及时更新，在发生变化时及时通知相关单位。应急处置联络手册至少包括应急处置组织体系及相关关联单位的应急联络方式；
f) 应指定通报联络人，明确联络方式。通报联络人至少包括信息技术负责人及其备岗。通报联络方式至少包括应急值守电话与传真。应将通报联络人及其联络方式及时通知监管部门、

行业协会和相关单位；
g) 应实行7×24小时联络制度，通报联络人必须保持应急值守电话可用；
h) 应对本单位有关领导和员工定制应急工作卡片，明确有关领导和员工在网络与信息安全事件应急处置中的关键任务、主要的应急联络人和联络方式；
i) 应准备信息系统技术资料和软件备份。至少包括网络拓扑图、设备配置参数、各种系统软件和应用程序、安装使用手册、应急操作手册等；
j) 应准备充足的重要设备备品配件，并进行定期评估、检测和维护；
k) 应事先储备一定数量的通讯、消防、应急照明等应急设备或物资并定期盘点，对于有时效性的应急物资应做到及时更新；
l) 应准备应急保障资金，确保应急处置中能及时采购应急设备或物资。
7.1.8　应急演练应符合如下要求：
a) 应根据应急预案的内容，制定详细的应急演练计划。计划至少包括演练的目的、内容、时间、参与方、方式、前期准备情况、统计与记录要求、系统恢复与验证要求等内容；
b) 每半年应至少组织一次网络与信息安全应急演练；
c) 应记录演练情况，演练记录至少保存两年；
d) 应对演练中发现的问题进行改进；
e) 核心机构应每年向中国证监会报告年度应急演练情况；经营机构应每年向住所地证监局报告年度应急演练情况。

总共9页  [1] [2] [3] [4] [5] [6] [7] 8 [9] 
上一页  下一页