咸阳市政府信息系统安全检查(4)

软件功能和性能等进行验收检测，验收检测是否是由开发商和委托方共同参与，软件安装之前是否检测软件中的恶意代码，检测工具是否是第三方的商业产品；

c) 检查软件开发协议是否规定知识产权归属、安全行为等内容；

d) 检查是否具有需求分析说明书、软件设计说明书和软件操作手册等开发

文档。

4.5工程实施

检查项

a) 应与工程实施单位签订与安全相关的协议，约束工程实施单位的行为； b) 应指定或授权专门的人员或部门负责工程实施过程的管理；

c) 应制定详细的工程实施方案控制实施过程。

检查对象

系统建设负责人，工程安全建设协议，工程实施方案。

咸阳市政府信息系统安全检查

检查实施

a) 访谈系统建设负责人，询问是否以书面形式（如工程安全建设协议）约

束工程实施方的工程实施行为；

b) 访谈系统建设负责人，询问是否指定专门人员或部门按照工程实施方案

的要求对工程实施过程进行进度和质量控制；

c) 检查工程安全建设协议，查看其内容是否覆盖工程实施方的责任、任务

要求和质量要求等方面内容，约束工程实施行为；

d) 检查工程实施方案，查看其内容是否覆盖工程时间限制、进度控制和质

量控制等方面内容。

4.6测试验收

检查项

a) 应对系统进行安全测试验收；

b) 应在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验

收过程中详细记录测试验收结果，形成测试验收报告；

c) 应组织相关部门和相关人员对系统测试验收报告进行审定，没有疑问后

由双方签字。

测试对象

系统建设负责人，系统测试方案，系统测试记录，系统测试报告，系统验收报告。

检查实施

a) 访谈系统建设负责人，询问在信息系统正式运行前，是否根据设计方案

或合同要求对信息系统进行独立的安全性测试；

b) 访谈系统建设负责人，询问是否对测试过程（包括测试前、测试中和测

试后）进行文档化要求，是否根据设计方案或合同要求组织相关部门和人员对测试报告进行符合性审定；

c) 检查工程测试方案，查看其是否对参与测试部门、人员和现场操作过程

等进行要求；查看测试记录是否详细记录了测试时间、人员、现场操作过程和测试结果等方面内容；查看测试报告是否提出存在问题及改进意见等；

d) 应检查是否具有系统验收报告。

咸阳市政府信息系统安全检查

4.7安全服务商选择

检查项

a) 应确保安全服务商的选择符合国家的有关规定。

测试对象

系统建设负责人。

检查实施

应访谈系统建设负责人，询问对信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位是否符合国家有关规定。

5系统运维管理

5.1环境管理

检查项

a) 应对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期

进行维护管理，维护周期多长；

b) 应配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作

进行管理；

c) 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房

和机房环境安全等方面作出规定；

d) 应对机房来访人员实行登记、备案管理，同时限制来访人员的活动范围； e) 应加强对办公环境的保密性管理，包括如工作人员调离办公室应立即交

还该办公室钥匙和不在办公区接待来访人员等。

检查对象

物理安全负责人，机房安全管理制度，机房进出登记表。

检查实施

a) 访谈物理安全负责人，询问是否对机房基本设施（如空调、供配电设备

等）进行定期维护，由何部门/何人负责，维护周期多长；

b) 访谈物理安全负责人，询问是否指定人员负责机房安全管理工作，对机

房的出入管理是否要求进行制度化和文档化；

c) 访谈物理安全负责人，询问是否对保证办公环境的保密性采取相应措施，

如人员调离后权力收回等；

d) 检查机房安全管理制度，查看其内容是否覆盖机房物理访问、物品带进、

带出机房和机房环境安全等方面；

咸阳市政府信息系统安全检查

e) 检查机房进出登记表，查看其是否记录外来人员进出时间、人员姓名和

访问原因等方面内容。

5.2资产管理

检查项

a) 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部

门；

b) 应编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处

位置等信息的资产清单；

c) 应根据资产的重要程度对资产进行定性赋值和标识管理，根据资产的价

值选择相应的管理措施。

检查对象

安全主管，资产管理员，资产清单，资产安全管理制度，设备。

检查实施

a) 访谈安全主管，询问是否指定资产管理的责任人员或部门，由何部门/

何人负责；

b) 访谈物理安全负责人，询问是否对资产管理要求文档化；

c) 访谈资产管理员，询问是否依据资产的重要程度对资产进行赋值和标识

管理，不同类别的资产是否采取不同的管理措施；

d) 检查资产清单，查看其内容是否覆盖资产责任人、所属级别、所处位置

和所属部门等方面；

e) 检查资产安全管理制度，询问是否明确资产管理的责任部门、责任人等

方面要求；

f) 检查资产清单中的设备，查看其是否具有相应标识。

5.3介质管理

检查项

a) 应确保介质存放在安全的环境中，并对各类介质进行控制和保护，以防

止被盗、被毁、被未授权的修改以及信息的非法泄漏；

b) 应有介质的存储、归档、登记和查询记录，并根据备份及存档介质的目

录清单定期盘点；

c) 对于需要送出维修或销毁的介质，应首先清除介质中的敏感数据，防止

信息的非法泄漏；

咸阳市政府信息系统安全检查

d) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理，并实

行存储环境专人管理。

检查对象

资产管理员，介质管理记录，各类介质。

检查实施

a) 访谈资产管理员，询问介质的存放环境是否有保护措施，防止其被盗、