关于网络和信息安全自查情况的报告[精].doc

国都证券有限责任公司文件国都信字…2011‟010号关于网络与信息安全自查情况的报告东城公安分局网安大队:根据贵局关于网络与信息安全自查的要求,国都证券有限责任公司组织有关部门和人员对信息系统的安全管理制度、建设和全管理、安全运营、应急管理等进行了自查,现将有关自查情况报告提交贵局审阅。特此报告。附件:《国都证券有限责任公司关于网络与信息安全自查情况的报告》二○一一年六月二十八日主题词:信息技术自查情况报告内部抄送:公司领导,综合管理部、人力资源部、合规与风险管理部。校对:李静波印制:3份2011年6月28日发附件:国都证券有限责任公司关于网络与信息安全自查情况的报告东城公安分局网安大队:根据贵局关于网络与信息安全自查的要求,国都证券有限责任公司(以下简称“公司”或“我司”组织有关部门和人员对信息系统的安全管理制度、建设和全管理、安全运营、应急管理等进行了自查,现将有关自查情况报告如下:一、信息安全总体情况公司一直非常重视信息系统的安全管理工作。公司明确由信息技术中心负责信息系统的安全管理工作,公司在信息系统的安全制度建设、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面不断细化和完善,公司信息系统总体运行稳定,未发生重大网络与信息系统安全事件。(一建立安全管理制度公司2010年全面修订信息技术的相关管理制度,明确了信息技术管理组织框架、信息安全管理的总体目标和原则。公司建立了信息技术安全管理办法,明确了信息系统安全管理工作的重点为身份识别(账户权限及密码、访问控制、漏洞管理、病毒防范、日志管理、系统安全策略配置、信息安全事件处置等方面,明确了安全管理操作的原则和规范。公司安全管理制度的制定、修订和发布等均按公司有关制度的要规定进行,安全管理制度由信息技术中心制定、修订,由合规与风险管理部及相关部门参与审核,公司通过发文的形式完成安全制度的发布,公司规定每年对制度进行一次梳理并酌情进行修订。(二明确安全管理机构公司明确了信息技术中心负责公司信息系统安全管理工作,信息技术中心设立并配备了安全管理员、网络管理员、系统运维管理员等,公司总部各部门、北京交易中心、上海灾备中心及各营业部均指定专人为安全管理联络员。系统的运行、网络接入和重要资源的访问均通过公司OA办公系统进行审批,依据审批内容不同将分别由部门负责人、主管公司领导等审批。公司通过电话、即时通信工具等及时进行公司内部信息的沟通以及与公安、电信及兄弟单位等部门的沟通。(三人员安全管理公司由人力资源部负责人员的招聘和录用,公司明确禁止录用有犯罪或严重违规行为记录的人员从事公司信息技术工作,公司与员工均签有保密协议,在人员离职时均要求办理交接手续并终止系统访问权限等,公司不断加强安全意识的教育与培训工作,对信息技术中心关键岗位人员上岗前均进行必要的培训,公司制订了信息技术事故认定与处理制度,规范了相关奖惩的措施。(四系统建设管理公司完成了主要信息系统安全的保护等级工作,相关信息系统的定级结果经证监局核准后已报北京市公安局备案。公司在系统建设时就网络设计、访问管理、应用安全等与厂商和有关部门进行详细沟通,并结合公司情况及监管要求,审查厂商的方案是否符合公司安全管理要求,公司要求开发商提供的产品涉及密码产品的应提供国家有关部门的资质证书。公司制定了信息技术项目管理、采购的制度,明确了负责采购的部