第四章 安全保障要求
　　第十二條 主體單位應建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系，保持三個體系穩定、均衡發展。
　　第十三條 主體單位應建立明確的信息安全組織體系：
　　（一） 建立決策層、管理層和執行層三層工作關系，明確信息安全主管領導，落實信息安全管理部門，指定信息安全執行崗位；
　?。ǘ?nbsp;設立專職的安全管理員和安全審計員崗位，分別負責信息安全工作的實施和審計；
　?。ㄈ?nbsp;通過多種安全培訓方式加強信息安全人才隊伍的建設，提高信息安全工作人員的技能水平，提高員工安全意識。
　　第十四條 主體單位應建立全面的信息安全管理體系：
　　（一） 制定統一的信息安全策略和全面、可操作的信息安全管理制度，指導和規范信息系統的安全規劃與建設，確保策略和制度得到恰當的理解并得到有效的遵循和執行；
　?。ǘ?nbsp;加強信息系統資產安全管理，保護信息系統設備、軟件、數據和技術文檔的安全，實行信息系統資產管理責任制，實現等級管理、密級管理，重點保護核心信息系統資產的安全；
　?。ㄈ?nbsp;強化信息系統的物理安全保護，執行嚴格的機房安全管理、環境安全管理和有效的物理控制措施；
　　（四） 建立信息系統網絡、系統、應用等各層面的安全管理流程，實現對信息系統規劃、建設、運行、維護各個階段的安全管理，開發與運營獨立管理，嚴格執行日常的實時管理和定期管理工作；
　　（五） 實現對信息系統的安全風險管理，對信息資產、威脅和脆弱性的狀況進行定期評估，及時發現安全隱患并進行預防性的保護，選擇適用、有效的安全措施。
　　第十五條 主體單位應建立有效的信息安全技術體系：
　?。ㄒ唬?nbsp;建立完善的安全預警體系，及時發現安全隱患；
　　 
（二） 強化現有的安全防護體系，實現對核心業務系統的重點保護；
　?。ㄈ?nbsp;建立有效的安全監控體系，監控核心業務系統，為進一步完善信息安全體系提供決策依據；
　?。ㄋ模?nbsp;建立全面的應急響應體系，制定規范、完整的應急處理和響應流程，定期進行應急恢復的演練和測試，完善信息安全通報機制；
　?。ㄎ澹?nbsp;按照不同的安全保護等級建立相應的災難恢復體系，定期進行災難恢復的演練和測試，確保災難發生后能夠充分發揮備份的效能，降低造成的影響和損失。
　　第五章 附 則
　　第十六條 中國證監會對證券期貨業信息系統安全保障情況組織安全檢查，檢查方式包括自檢查、委托檢查等方式。
　　第十七條 本辦法由中國證監會負責解釋。
　　第十八條 本辦法自印發之日起執行。