咸阳市政府信息系统安全检查(3)

式、培训对象、培训内容、培训时间和地点等，培训内容是否包含信息安全基础知识、岗位操作规程等；

d) 检查是否具有安全教育和培训记录，查看记录是否有培训人员、培训内

容、培训结果等的描述；查看记录与培训计划是否一致。

3.5外部人员访问管理

检查项

a) 外部人员应在访问前与机构签署安全责任合同书或保密协议；

b) 对重要区域的访问，必须经过有关负责人的批准，并由专人陪同或监督

下进行，并记录备案。

检查对象

安全主管，安全管理人员，安全责任合同书或保密协议，外部人员访问管理文档，登记记录。

检查实施

a) 访谈安全主管，询问对外部人员（如向系统提供服务的系统软、硬件维

护人员，业务合作伙伴、评估人员等）的访问采取哪些管理措施，是否要求外部人员访问前与机构签署安全责任合同书或保密协议；

b) 访谈安全管理人员，询问对外部人员访问重要区域（如访问主机房等）

采取哪些措施，是否经有关负责人批准才能访问，是否由专人陪同或监督，是否进行记录并备案管理；

c) 检查安全责任合同书或保密协议，查看是否有保密范围、保密责任、违

约责任、协议的有效期限和责任人的签字等。

d) 检查外部人员访问管理文档，查看是否规定对外部人员访问哪些重要区

域应经过负责人批准；

e) 检查外部人员访问重要区域的登记记录，查看记录是否描述了外部人员

访问重要区域的进入时间、离开时间、访问区域及陪同人等信息。

咸阳市政府信息系统安全检查

4.系统建设管理

4.1安全方案设计

检查项

a) 应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和

调整安全措施；

b) 应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容，

形成系统的安全方案；

c) 应对安全方案进行细化，形成能指导安全系统建设和安全产品采购的详

细设计方案；

d) 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性

进行论证和审定；

e) 应确保安全设计方案必须经过批准，才能正式实施。

检查对象

系统建设负责人，安全方案，详细设计方案，专家论证文档。

检查实施

a) 访谈系统建设负责人，询问是否根据系统的安全级别选择基本安全措施，

是否依据风险分析的结果补充和调整安全措施，做过哪些调整；

b) 访谈系统建设负责人，询问是否制定系统的安全方案并根据安全方案制

定出系统详细设计方案指导安全系统建设和安全产品采购，是否组织相关部门和有关安全技术专家对安全设计方案进行论证和审定，安全设计方案是否经过安全主管领导或管理层的批准；

c) 检查系统的安全方案，查看方案是否描述系统的安全保护要求，是否详

细描述了系统的安全策略，是否详细描述了系统对应的安全措施等内容； d) 检查系统的详细设计方案，查看详细设计方案是否对应安全方案进行细

化，是否有安全建设方案和安全产品采购方案；查看方案是否有经过安全主管领导或管理部门的批准盖章；

e) 检查专家论证文档，查看是否有相关部门和有关安全技术专家对安全设

计方案的评审意见。

咸阳市政府信息系统安全检查

4.2产品采购

检查项

a) 应确保安全产品的使用符合国家的有关规定；

b) 应确保密码产品的使用符合国家密码主管部门的要求；

c) 应指定或授权专门的部门负责产品的采购。

检查对象

安全主管，系统建设负责人，信息安全产品。

检查实施

a) 访谈安全主管，询问是否有专门的部门负责产品的采购，由何部门负责； b) 访谈系统建设负责人，询问系统信息安全产品的采购情况，是否有产品

采购清单指导产品采购，采购过程如何控制；

c) 访谈系统建设负责人，询问系统是否采用了密码产品，密码产品的使用

是否符合国家密码主管部门的要求；

d) 检查系统使用的有关信息安全产品（边界安全设备、重要服务器操作系

统、数据库等）是否符合国家的有关规定；

e) 检查密码产品的使用情况是否符合密码产品使用、管理的相关规定，如

《商用密码管理条例》规定任何单位只能使用经过国家密码管理机构认可的商用密码产品，商用密码产品发生故障，必须有国家密码管理机构指定的单位维修，报废商用密码产品应向国家密码管理机构备案等。

4.3自行软件开发

检查项

a) 应确保开发环境与实际运行环境物理分开；

b) 应确保提供软件设计的相关文档和使用指南；

c) 应确保系统开发文档由专人负责保管，系统开发文档的使用受到控制。 检查对象

系统建设负责人，软件设计的相关文档和使用指南，文档使用控制记录。 检查实施

a) 访谈系统建设负责人，询问系统是否自主开发软件，自主开发是否有相

应的控制措施，是否在独立的模拟环境中编写、调试和完成；

b) 访谈系统建设负责人，询问系统开发文档是否由专人负责保管，负责人

是何人，如何控制使用（如限制使用人员范围并做使用登记等）；

咸阳市政府信息系统安全检查

c) 检查是否具有软件设计的相关文档（应用软件设计程序文件、源代码文

档等）和软件使用指南或操作手册和维护手册等；

d) 检查软件开发环境与系统运行环境在物理上是否是分开的；

e) 检查是否具有系统开发文档的使用控制记录。

4.4外包软件开发

检查项

a) 应与软件开发单位签订协议，明确知识产权的归属和安全方面的要求； b) 应根据协议的要求检测软件质量；

c) 应在软件安装之前检测软件包中可能存在的恶意代码；

d) 应确保提供软件设计的相关文档和使用指南。

检查对象

系统建设负责人，软件开发安全协议，软件开发文档。

检查实施

a) 访谈系统建设负责人，询问在外包软件前是否对软件开发单位以书面文

档形式（如软件开发安全协议）规范软件开发单位的责任、开发过程中的安全行为、开发环境要求和软件质量等相关内容，是否具有能够独立的对软件进行日常维护和使用所需的文档；

b) 访谈系统建设负责人，询问软件交付前是否依据开发协议的技术指标对