网络与信息安全自查情况的分析方案.pdfVIP

国都证券有限责任公司文件 国都信字〔 2018 〕010 号 关于网络与信息安全自查情况的报告 东城公安分局网安大队 : 根据贵局关于网络与信息安全自查的要求，国都证券 有限责任公司组织有关部门和人员对信息系统的安全管理 制度、建设和全管理、安全运营、应急管理等进行了自 查，现将有关自查情况报告提交贵局审阅。 特此报告。 附件：《国都证券有限责任公司关于网络与信息安全 自查情况的报告》 二○一一年六月二十八日 主题词：信息技术 自查情况 报告 内部抄送：公司领导，综合管理部、人力资源部、 合规与风险管理部。 校对：李静波 印制： 3 份 2018 年 6 月 28 日发 附件： 国都证券有限责任公司 关于网络与信息安全自查情况的报告 东城公安分局网安大队 : 根据贵局关于网络与信息安全自查的要求，国都证券有限责任 公司 以下简称“公司”或“我司”）组织有关部门和人员对信息系 统的安全管理制度、建设和全管理、安全运营、应急管理等进行了 自查，现将有关自查情况报告如下： 一、 信息安全总体情况 公司一直非常重视信息系统的安全管理工作。公司明确由信息 技术中心负责信息系统的安全管理工作，公司在信息系统的安全制 度建设、安全管理机构、人员安全管理、系统建设管理、系统运维 管理等方面不断细化和完善，公司信息系统总体运行稳定，未发生 重大网络与信息系统安全事件。 （一）建立安全管理制度 公司 2018 年全面修订信息技术的相关管理制度，明确了信息技 术管理组织框架、信息安全管理的总体目标和原则。公司建立了信 息技术安全管理办法，明确了信息系统安全管理工作的重点为身份 识别 账户权限及密码）、访问控制、漏洞管理、病毒防范、日志管 理、系统安全策略配置、信息安全事件处置等方面，明确了安全管 理操作的原则和规范。 公司安全管理制度的制定、修订和发布等均按公司有关制度的 要规定进行，安全管理制度由信息技术中心制定、修订，由合规与 风险管理部及相关部门参与审核，公司通过发文的形式完成安全制 度的发布，公司规定每年对制度进行一次梳理并酌情进行修订。 1 / 10 （二）明确安全管理机构 公司明确了信息技术中心负责公司信息系统安全管理工作，信 息技术中心设立并配备了安全管理员、网络管理员、系统运维管理 员等，公司总部各部门、北京交易中心、上海灾备中心及各营业部 均指定专人为安全管理联络员。系统的运行、网络接入和重要资源 的访问均通过公司 OA 办公系统进行审批，依据审批内容不同将分 别由部门负责人、主管公司领导等审批。公司通过电话、即时通信 工具等及时进行公司内部信息的沟通以及与公安、电信及兄弟单位 等部门的沟通。 （三）人员安全管理 公司由人力资源部负责人员的招聘和录用，公司明确禁止录用 有犯罪或严重违规行为记录的人员从事公司信息技术工作，公司与 员工均签有保密协议，在人员离职时均要求办理交接手续并终止系 统访问权限等，公司不断加强安全意识的教育与培训工作，对信息 技术中心关键岗位人员上岗前均进行必要的培训，公司制订了信息 技术事故认定与处理制度，规范了相关奖惩的措施。 （四）系统建设管理 公司完成了主要信息系统安全的保护等级工作，相关信息系统 的定级结果经证监局核准后已报北京市公安局备案。 公司在系统建设时就网络设计、访问管理、应用安全等与厂商 和有关部门进行详细沟通，并结合公司情况及监管要求，审查厂商 的方案是否符合公司安全管理要求，公司要求开发商提供的产品涉 及密码产品的应提供国家有关部门的资质证书。公司制定了信息技 术工程管理、采购的制度，明确了负责采购的部门为信息技术中心 及采购程序，公司在软件安装前通过 NOD32 防病毒系统进行病毒检 测，但缺乏全面的恶意代码检测机制。