咸阳市政府信息系统安全检查

咸阳市政府信息系统安全检查

咸阳市政府信息系统安全检查

操作指南

本实施指南规定了对信息系统安全检查和测试评估的基本要求，包括检查项目、检查对象和检查实施等内容。

1安全管理机构

1.1岗位设置

检查项

a) 应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；

b) 应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责；

c) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 检查对象

安全主管，安全管理某方面的负责人，部门、岗位职责文件。

检查实施

a) 访谈安全主管，询问是否设立安全管理机构（即信息安全管理工作的职能部门，可以由其它部门兼职）；机构内部门设置情况如何，是否明确机构内各部门的职责分工；

b) 访谈安全主管，询问是否设立安全管理各个方面的负责人，设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员和安全员等重要岗位），是否明确各个岗位的职责分工；

c) 访谈安全主管、安全管理某方面的负责人，询问其岗位职责包括哪些内容；

d) 检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门的职责和分工，部门职责是否涵盖物理、网络和系统等各个方面；查看文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员和安全员等各个岗位，

咸阳市政府信息系统安全检查

各个岗位的职责范围是否清晰、明确；查看文件是否明确各个岗位人员应具有的技能要求。

1.2人员配备

检查项

a) 应配备一定数量的系统管理人员、网络管理人员、安全管理人员等； b) 安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。 检查对象

安全主管，人员配备要求的相关文档，管理人员名单。

检查实施

a) 访谈安全主管，询问各个安全管理岗位人员（按照岗位职责文件询问，

包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员）配备情况，包括数量、专职还是兼职等；

b) 检查人员配备要求的相关文档，查看是否明确应配备哪些安全管理人员，

是否包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员；

c) 检查管理人员名单，查看其是否明确机房管理员、系统管理员、数据库

管理员、网络管理员、安全员等重要岗位人员的信息，确认安全员是否没有兼任网络管理员、系统管理员、数据库管理员等。

1.3授权和审批

检查项

a) 应授权审批部门及批准人，对关键活动进行审批；

b) 应列表说明须审批的事项、审批部门和可批准人。

检查对象

安全主管，关键活动的批准人，审批事项列表，审批文档。

检查实施

a) 访谈安全主管，询问其是否对信息系统中的关键活动进行审批，审批部

门是何部门，批准人是何人，他们的审批活动是否得到授权；

b) 访谈关键活动的批准人，询问其对关键活动的审批范围包括哪些（如网

络系统、应用系统、数据库管理系统、重要服务器和设备等重要资源的访问，重要管理制度的制定和发布，人员的配备、培训和产品的采购等），审批程序如何；

咸阳市政府信息系统安全检查

c) 检查审批事项列表，查看列表是否明确须审批事项、审批部门、批准人

及审批程序等；

d) 检查经审批的文档，查看是否具有批准人的签字和审批部门的盖章。

1.4沟通和合作

检查项

a) 应加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期

召开协调会议，共同协助处理信息安全问题；

b) 信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会

议，协调安全工作的实施；

c) 应加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安

全事件时能够得到及时的支持。

检查对象

安全主管，安全管理人员，会议文件，会议记录，外联单位说明文档。 检查实施

a) 访谈安全主管，询问是否经常与公安机关、电信公司和兄弟单位联系，

联系方式有哪些，与组织机构内其他部门之间有哪些合作内容，沟通、合作方式有哪些；

b) 访谈安全主管，询问是否召开过部门间协调会议，组织其它部门人员共

同协助处理信息系统安全有关问题，安全管理机构内部是否召开过安全工作会议部署安全工作的实施，参加会议的部门和人员有哪些，会议结果如何；

c) 访谈安全管理人员（从系统管理员和安全员等人员中抽查），询问其与

外单位人员，与组织机构内其他部门人员，与内部各部门管理人员之间的沟通方式和主要沟通内容有哪些；

d) 检查部门间协调会议文件或会议记录，查看是否有会议内容、会议时间、

参加人员、会议结果等的描述；

e) 检查安全工作会议文件或会议记录，查看是否有会议内容、会议时间、

参加人员、会议结果等的描述；

f) 检查外联单位说明文档，查看外联单位是否包含公安机关、电信公司及

兄弟公司，是否说明外联单位的联系人和联系方式等内容。

咸阳市政府信息系统安全检查

2安全管理制度

2.1管理制度

检查项

a) 应制定信息安全工作的总体方针和政策性文件，说明机构安全工作的总

体目标、范围、方针、原则、责任等；

b) 应对安全管理活动中重要的管理内容建立安全管理制度，以规范安全管

理活动，约束人员的行为方式；

c) 应对要求管理人员或操作人员执行的重要管理操作，建立操作规程，以

规范操作行为，防止操作失误。

检查对象

安全主管，总体方针、政策性文件和安全策略文件，安全管理制度清单，操作规程。

检查实施

a) 访谈安全主管，询问是否制定信息安全工作的总体方针、政策性文件和

安全策略等，是否对重要管理内容建立安全管理制度，是否对重要管理操作制定操作规程；

b) 检查信息安全工作的总体方针、政策性文件和安全策略文件，查看文件