被毁、被未授权修改以及信息的非法泄漏,是否有专人管理;
b) 访谈资产管理员,询问是否对介质的使用管理要求文档化,是否根据介
质的目录清单对介质的使用现状进行定期检查,是否对介质进行分类和标识管理;
c) 访谈资产管理员,询问对送出维修或销毁介质之前是否做过安全处理(如
清除其中的敏感数据);
d) 检查介质管理记录,查看其是否记录介质的存储、归档和借用等情况; e) 检查介质,查看是否对其进行了分类,并具有不同标识。
5.4设备管理
检查项
a) 应对信息系统相关的各种设施、设备、线路等指定专人或专门的部门定
期进行维护管理;
b) 应对信息系统的各种软硬件设备的选型、采购、发放或领用等过程的申
报、审批和专人负责作出规定;
c) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进
行规范化管理;
d) 应对带离机房或办公地点的信息处理设备进行控制;
e) 应按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务
器操作的日志文件管理和监控管理,按安全策略的要求对网络及设备进行配置,并对其定期进行检查。
检查对象
资产管理员,系统管理员,审计员,服务器操作规程,设备审批、发放管理文档,设备使用管理文档,服务器操作日志。
咸阳市政府信息系统安全检查
检查实施
a) 访谈资产管理员,询问是否对各类设施、设备指定专人或专门部门进行
定期维护,由何部门/何人维护,维护周期多长;
b) 访谈资产管理员,询问是否对设备选用的各个环节(选型、采购、发放
等)进行审批控制,是否对设备带离机构进行审批控制,设备的操作和使用是否要求规范化管理;
c) 访谈系统管理员,询问其对服务器是否进行正确配置,对服务器的操作
是否按操作规程进行;
d) 访谈审计员,询问对服务器的操作是否建立日志,日志文件如何管理,
是否定期检查管理情况;
e) 检查设备使用管理文档,查看其内容是否覆盖终端计算机、便携机和网
络设备等使用、操作原则、注意事项等方面;
f) 检查设备审批、发放管理文档,查看其内容是否对设备选型、采购和发
放等环节的申报和审批作出规定;
g) 检查服务器操作规程,查看其内容是否覆盖服务器如何启动、停止、加
电、断电等操作。
5.5系统监控管理
检查项
a) 应进行主机运行监视,包括监视主机的CPU、硬盘、内存和网络等资源的
使用情况;
b) 应对分散或集中的安全管理系统的访问授权、操作记录、日志等方面进
行有效管理;
c) 应严格管理运行过程文档,其中包括责任书、授权书、许可证、各类策
略文档、事故报告处理文档、安全配置文档、系统各类日志等,并确保文档的完整性和一致性。
检查对象
系统运维负责人,监控记录文档。
检查实施
a) 应访谈系统运维负责人,询问其是否监控主要服务器的各项资源指标,
如CPU、内存、进程和磁盘等使用情况;
咸阳市政府信息系统安全检查
b) 应访谈系统运维负责人,询问目前信息系统是否由机构自身负责运行维
护,如果是,系统运行所产生的文档如何进行管理(如责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等);
c) 应检查监控记录,查看是否记录监控对象、监控内容、监控的异常现象
处理等方面。
5.6网络安全管理
检查项
a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护
和报警信息分析和处理工作;
b) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现
有的重要文件进行备份;
c) 应进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补; d) 应保证所有与外部系统的连接均应得到授权和批准;
e) 应建立网络安全管理制度,对网络安全配置和审计日志等作出规定; f) 应对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护
记录、日志等方面做出具体规定;
g) 应规定网络审计日志的保存时间以便为可能的安全事件调查提供支持。 检查对象
安全主管,安全员,网络管理员,审计员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络审计日志。
检查实施
a) 访谈安全主管,询问是否指定专人负责维护网络运行日志、监控记录和
分析处理报警信息等网络安全管理工作;
b) 访谈网络管理员,询问是否根据厂家提供的软件升级版本对网络设备进
行过升级,目前的版本号为多少,升级前是否对重要文件(帐户数据、配置数据等)进行备份,采取什么方式进行备份;是否对网络设备进行过漏洞扫描,对扫描出的漏洞是否及时修补;
c) 访谈安全员,询问系统网络的外联种类有哪些(互联网、合作伙伴企业
网、上级部门网络等),是否都得到授权与批准,由何部门/何人批准;
咸阳市政府信息系统安全检查
d) 访谈审计员,询问是否规定网络审计日志的保存时间,多长时间; e) 检查网络漏洞扫描报告,查看其内容是否覆盖网络存在的漏洞、严重级
别、原因分析和改进意见等方面;
f) 检查网络安全管理制度,查看其是否覆盖网络设备的安全策略、授权访
问、最小服务、升级与打补丁、维护记录、日志内容、日志保存时间等方面内容;
g) 检查是否具有内部网络外联的授权批准书;
h) 检查在规定的保存时间范围内是否存在网络审计日志。
5.7系统安全管理
检查项
a) 应指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户; b) 应建立系统安全管理制度,对系统安全配置、系统帐户及审计日志等方
面作出规定;
c) 应定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的
漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份; d) 应根据业务需求和系统安全分析确定系统的访问控制策略,系统访问控
制策略用于控制分配信息系统、文件及服务的访问权限;
e) 应对系统账户进行分类管理,权限设定应当遵循最小授权要求;