是否明确机构安全工作的总体目标、范围、方针、原则、责任等;
c) 检查安全管理制度清单,查看是否覆盖物理、网络、主机系统、数据、
应用和管理等层面;
d) 检查是否具有重要管理操作的操作规程,如系统维护手册和用户操作规
程等。
2.2制定和发布
检查项
a) 应在信息安全职能部门的总体负责下,组织相关人员制定;
b) 应保证安全管理制度具有统一的格式风格,并进行版本控制;
c) 应组织相关人员对制定的安全管理进行论证和审定;
d) 安全管理制度应经过管理层签发后按照一定的程序以文件形式发布。 检查对象
安全主管,制度制定和发布要求管理文档,评审记录,安全管理制度。
咸阳市政府信息系统安全检查
检查实施
a) 访谈安全主管,询问安全管理制度是否在信息安全职能部门的总体负责
下统一制定,参与制定人员有哪些;
b) 访谈安全主管,询问安全管理制度的制定程序,是否对制定的安全管理
制度进行论证和审定,论证和评审方式如何(如召开评审会、函审、内部审核等),是否按照统一的格式标准或要求制定;
c) 检查制度制定和发布要求管理文档,查看文档是否说明安全管理制度的
制定和发布程序、格式要求及版本编号等相关内容;
d) 检查管理制度评审记录,查看是否有相关人员的评审意见;
e) 检查安全管理制度文档,查看是否有版本标识,是否有管理层的签字或
盖章;查看其格式是否统一。
2.3评审和修订
检查项
a) 应定期对安全管理制度进行评审和修订,对存在不足或需要改进的安全
管理制度进行修订。
检查对象
安全主管,安全管理制度列表,评审记录。
检查实施
a) 访谈安全主管,询问是否定期对安全管理制度进行评审,发现存在不足
或需要改进的是否进行修订,评审周期多长;
b) 检查是否具有需要定期评审的安全管理制度列表;
c) 检查安全管理制度评审记录,查看记录日期与评审周期是否一致;如果
对制度做过修订,检查是否有修订版本的安全管理制度。
3.人员安全管理
3.1重点、敏感岗位人员录用
检查项
a) 应保证被录用人具备基本的专业技术水平和安全管理知识;
b) 应对被录用人声明的身份、背景、专业资格和资质等进行审查; c) 应对被录用人所具备的技术技能进行考核;
d) 应对被录用人说明其角色和职责;
咸阳市政府信息系统安全检查
e) 应签署保密协议。
检查对象
人事负责人,人事工作人员,人员录用要求管理文档,人员审查文档或记录,考核文档或记录,保密协议。
检查实施
a) 访谈人事负责人,询问在人员录用时对人员条件有哪些要求,目前录用
的安全管理和技术人员是否有能力完成与其职责相对应的工作;
b) 访谈人事工作人员,询问在人员录用时是否对被录用人的身份、背景、
专业资格和资质进行审查,录用后是否与其签署保密协议,是否对其说明工作职责;
c) 检查人员录用要求管理文档,查看是否说明录用人员应具备的条件,如
学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等;
d) 检查是否具有人员录用时对录用人身份、背景、专业资格或资质等进行
审查的相关文档或记录,查看是否记录审查内容和审查结果等;
e) 检查技能考核文档或记录,查看是否记录考核内容和考核结果等; f) 检查保密协议,查看是否有保密范围、保密责任、违约责任、协议的有
效期限和责任人签字等。
3.2人员离岗
检查项
a) 应立即终止由于各种原因即将离岗的员工的所有访问权限;
b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; c) 应经机构人事部门办理严格的调离手续,并承诺调离后的保密义务后方
可离开。
检查对象
安全主管,人事工作人员,安全处理记录,保密承诺文档。
检查实施
a) 访谈安全主管,询问是否及时终止离岗人员所有访问权限,取回各种身
份证件、钥匙、徽章等以及机构提供的软硬件设备等;
b) 访谈人事工作人员,询问调离手续包括哪些,是否要求调离人员承诺相
关保密义务后方可离开;
咸阳市政府信息系统安全检查
c) 检查是否具有对离岗人员的安全处理记录,如交还身份证件、设备等的
登记记录;
d) 应检查保密承诺文档,查看是否有调离人员的签字。
3.3人员考核
检查项
a) 应定期对各个岗位的人员进行安全技能及安全认知的考核;
b) 应对关键岗位的人员进行全面、严格的安全审查;
c) 应对违背安全策略和规定的人员进行惩戒。
检查对象
安全主管,人事工作人员。
检查实施
a) 访谈安全主管,询问是否有人负责定期对各个岗位人员进行安全技能及
安全知识的考核;
b) 访谈人事工作人员,询问对各个岗位人员的考核情况,考核周期多长,
考核内容有哪些;询问对人员的安全审查情况,审查内容有哪些(如操作行为、社会关系、社交活动等),是否全面;
c) 访谈人事工作人员,询问对违背安全策略和规定的人员有哪些惩戒措施。
3.4安全意识和技能教育和培训
检查项
a) 应对各类人员进行安全意识和技能教育;
b) 应告知人员相关的安全责任和惩戒措施;
c) 应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进
行培训;
d) 应对安全教育和培训的情况和结果进行记录并归档保存。
检查对象
安全主管,安全员,系统管理员,网络管理员,培训计划,培训记录。 检查实施
a) 访谈安全主管,询问是否制定安全教育和培训计划并按计划对各个岗位
人员进行安全教育和培训,以什么形式进行,效果如何;
b) 访谈安全员、系统管理员和网络管理员,考查其对工作相关的信息安全
基础知识、安全责任和惩戒措施等的理解程度;
咸阳市政府信息系统安全检查
c) 检查安全教育和培训计划文档,查看计划是否明确了培训目的、培训方