咸阳市政府信息系统安全检查

咸阳市政府信息系统安全检查

咸阳市政府信息系统安全检查

操作指南

本实施指南规定了对信息系统安全检查和测试评估的基本要求，包括检查项目、检查对象和检查实施等内容。

1安全管理机构

1.1岗位设置

检查项

a) 应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；

b) 应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责；

c) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 检查对象

安全主管，安全管理某方面的负责人，部门、岗位职责文件。

检查实施

a) 访谈安全主管，询问是否设立安全管理机构（即信息安全管理工作的职能部门，可以由其它部门兼职）；机构内部门设置情况如何，是否明确机构内各部门的职责分工；

b) 访谈安全主管，询问是否设立安全管理各个方面的负责人，设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员和安全员等重要岗位），是否明确各个岗位的职责分工；

c) 访谈安全主管、安全管理某方面的负责人，询问其岗位职责包括哪些内容；

d) 检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门的职责和分工，部门职责是否涵盖物理、网络和系统等各个方面；查看文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员和安全员等各个岗位，

咸阳市政府信息系统安全检查

各个岗位的职责范围是否清晰、明确；查看文件是否明确各个岗位人员应具有的技能要求。

1.2人员配备

检查项

a) 应配备一定数量的系统管理人员、网络管理人员、安全管理人员等； b) 安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。 检查对象

安全主管，人员配备要求的相关文档，管理人员名单。

检查实施

a) 访谈安全主管，询问各个安全管理岗位人员（按照岗位职责文件询问，

包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员）配备情况，包括数量、专职还是兼职等；

b) 检查人员配备要求的相关文档，查看是否明确应配备哪些安全管理人员，

是否包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员；

c) 检查管理人员名单，查看其是否明确机房管理员、系统管理员、数据库

管理员、网络管理员、安全员等重要岗位人员的信息，确认安全员是否没有兼任网络管理员、系统管理员、数据库管理员等。

1.3授权和审批

检查项

a) 应授权审批部门及批准人，对关键活动进行审批；

b) 应列表说明须审批的事项、审批部门和可批准人。

检查对象

安全主管，关键活动的批准人，审批事项列表，审批文档。

检查实施

a) 访谈安全主管，询问其是否对信息系统中的关键活动进行审批，审批部

门是何部门，批准人是何人，他们的审批活动是否得到授权；

b) 访谈关键活动的批准人，询问其对关键活动的审批范围包括哪些（如网

络系统、应用系统、数据库管理系统、重要服务器和设备等重要资源的访问，重要管理制度的制定和发布，人员的配备、培训和产品的采购等），审批程序如何；

咸阳市政府信息系统安全检查

c) 检查审批事项列表，查看列表是否明确须审批事项、审批部门、批准人

及审批程序等；

d) 检查经审批的文档，查看是否具有批准人的签字和审批部门的盖章。

1.4沟通和合作

检查项

a) 应加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期

召开协调会议，共同协助处理信息安全问题；

b) 信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会

议，协调安全工作的实施；

c) 应加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安

全事件时能够得到及时的支持。

检查对象

安全主管，安全管理人员，会议文件，会议记录，外联单位说明文档。 检查实施

a) 访谈安全主管，询问是否经常与公安机关、电信公司和兄弟单位联系，

联系方式有哪些，与组织机构内其他部门之间有哪些合作内容，沟通、合作方式有哪些；

b) 访谈安全主管，询问是否召开过部门间协调会议，组织其它部门人员共

同协助处理信息系统安全有关问题，安全管理机构内部是否召开过安全工作会议部署安全工作的实施，参加会议的部门和人员有哪些，会议结果如何；

c) 访谈安全管理人员（从系统管理员和安全员等人员中抽查），询问其与

外单位人员，与组织机构内其他部门人员，与内部各部门管理人员之间的沟通方式和主要沟通内容有哪些；

d) 检查部门间协调会议文件或会议记录，查看是否有会议内容、会议时间、

参加人员、会议结果等的描述；

e) 检查安全工作会议文件或会议记录，查看是否有会议内容、会议时间、

参加人员、会议结果等的描述；

f) 检查外联单位说明文档，查看外联单位是否包含公安机关、电信公司及

兄弟公司，是否说明外联单位的联系人和联系方式等内容。

咸阳市政府信息系统安全检查

2安全管理制度

2.1管理制度

检查项

a) 应制定信息安全工作的总体方针和政策性文件，说明机构安全工作的总

体目标、范围、方针、原则、责任等；

b) 应对安全管理活动中重要的管理内容建立安全管理制度，以规范安全管

理活动，约束人员的行为方式；

c) 应对要求管理人员或操作人员执行的重要管理操作，建立操作规程，以

规范操作行为，防止操作失误。

检查对象

安全主管，总体方针、政策性文件和安全策略文件，安全管理制度清单，操作规程。

检查实施

a) 访谈安全主管，询问是否制定信息安全工作的总体方针、政策性文件和

安全策略等，是否对重要管理内容建立安全管理制度，是否对重要管理操作制定操作规程；

b) 检查信息安全工作的总体方针、政策性文件和安全策略文件，查看文件

是否明确机构安全工作的总体目标、范围、方针、原则、责任等；

c) 检查安全管理制度清单，查看是否覆盖物理、网络、主机系统、数据、

应用和管理等层面；

d) 检查是否具有重要管理操作的操作规程，如系统维护手册和用户操作规

程等。

2.2制定和发布

检查项

a) 应在信息安全职能部门的总体负责下，组织相关人员制定；

b) 应保证安全管理制度具有统一的格式风格，并进行版本控制；

c) 应组织相关人员对制定的安全管理进行论证和审定；

d) 安全管理制度应经过管理层签发后按照一定的程序以文件形式发布。 检查对象

安全主管，制度制定和发布要求管理文档，评审记录，安全管理制度。

咸阳市政府信息系统安全检查

检查实施

a) 访谈安全主管，询问安全管理制度是否在信息安全职能部门的总体负责

下统一制定，参与制定人员有哪些；

b) 访谈安全主管，询问安全管理制度的制定程序，是否对制定的安全管理

制度进行论证和审定，论证和评审方式如何（如召开评审会、函审、内部审核等），是否按照统一的格式标准或要求制定；

c) 检查制度制定和发布要求管理文档，查看文档是否说明安全管理制度的

制定和发布程序、格式要求及版本编号等相关内容；

d) 检查管理制度评审记录，查看是否有相关人员的评审意见；

e) 检查安全管理制度文档，查看是否有版本标识，是否有管理层的签字或

盖章；查看其格式是否统一。

2.3评审和修订

检查项

a) 应定期对安全管理制度进行评审和修订，对存在不足或需要改进的安全

管理制度进行修订。

检查对象

安全主管，安全管理制度列表，评审记录。

检查实施

a) 访谈安全主管，询问是否定期对安全管理制度进行评审，发现存在不足

或需要改进的是否进行修订，评审周期多长；

b) 检查是否具有需要定期评审的安全管理制度列表；

c) 检查安全管理制度评审记录，查看记录日期与评审周期是否一致；如果

对制度做过修订，检查是否有修订版本的安全管理制度。

3.人员安全管理

3.1重点、敏感岗位人员录用

检查项

a) 应保证被录用人具备基本的专业技术水平和安全管理知识；

b) 应对被录用人声明的身份、背景、专业资格和资质等进行审查； c) 应对被录用人所具备的技术技能进行考核；

d) 应对被录用人说明其角色和职责；

咸阳市政府信息系统安全检查

e) 应签署保密协议。

检查对象

人事负责人，人事工作人员，人员录用要求管理文档，人员审查文档或记录，考核文档或记录，保密协议。

检查实施

a) 访谈人事负责人，询问在人员录用时对人员条件有哪些要求，目前录用

的安全管理和技术人员是否有能力完成与其职责相对应的工作；

b) 访谈人事工作人员，询问在人员录用时是否对被录用人的身份、背景、

专业资格和资质进行审查，录用后是否与其签署保密协议，是否对其说明工作职责；

c) 检查人员录用要求管理文档，查看是否说明录用人员应具备的条件，如

学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等；

d) 检查是否具有人员录用时对录用人身份、背景、专业资格或资质等进行

审查的相关文档或记录，查看是否记录审查内容和审查结果等；

e) 检查技能考核文档或记录，查看是否记录考核内容和考核结果等； f) 检查保密协议，查看是否有保密范围、保密责任、违约责任、协议的有

效期限和责任人签字等。

3.2人员离岗

检查项

a) 应立即终止由于各种原因即将离岗的员工的所有访问权限；

b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备； c) 应经机构人事部门办理严格的调离手续，并承诺调离后的保密义务后方

可离开。

检查对象

安全主管，人事工作人员，安全处理记录，保密承诺文档。

检查实施

a) 访谈安全主管，询问是否及时终止离岗人员所有访问权限，取回各种身

份证件、钥匙、徽章等以及机构提供的软硬件设备等；

b) 访谈人事工作人员，询问调离手续包括哪些，是否要求调离人员承诺相

关保密义务后方可离开；

咸阳市政府信息系统安全检查

c) 检查是否具有对离岗人员的安全处理记录，如交还身份证件、设备等的

登记记录；

d) 应检查保密承诺文档，查看是否有调离人员的签字。

3.3人员考核

检查项

a) 应定期对各个岗位的人员进行安全技能及安全认知的考核；

b) 应对关键岗位的人员进行全面、严格的安全审查；

c) 应对违背安全策略和规定的人员进行惩戒。

检查对象

安全主管，人事工作人员。

检查实施

a) 访谈安全主管，询问是否有人负责定期对各个岗位人员进行安全技能及

安全知识的考核；

b) 访谈人事工作人员，询问对各个岗位人员的考核情况，考核周期多长，

考核内容有哪些；询问对人员的安全审查情况，审查内容有哪些（如操作行为、社会关系、社交活动等），是否全面；

c) 访谈人事工作人员，询问对违背安全策略和规定的人员有哪些惩戒措施。

3.4安全意识和技能教育和培训

检查项

a) 应对各类人员进行安全意识和技能教育；

b) 应告知人员相关的安全责任和惩戒措施；

c) 应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进

行培训；

d) 应对安全教育和培训的情况和结果进行记录并归档保存。

检查对象

安全主管，安全员，系统管理员，网络管理员，培训计划，培训记录。 检查实施

a) 访谈安全主管，询问是否制定安全教育和培训计划并按计划对各个岗位

人员进行安全教育和培训，以什么形式进行，效果如何；

b) 访谈安全员、系统管理员和网络管理员，考查其对工作相关的信息安全

基础知识、安全责任和惩戒措施等的理解程度；

咸阳市政府信息系统安全检查

c) 检查安全教育和培训计划文档，查看计划是否明确了培训目的、培训方

式、培训对象、培训内容、培训时间和地点等，培训内容是否包含信息安全基础知识、岗位操作规程等；

d) 检查是否具有安全教育和培训记录，查看记录是否有培训人员、培训内

容、培训结果等的描述；查看记录与培训计划是否一致。

3.5外部人员访问管理

检查项

a) 外部人员应在访问前与机构签署安全责任合同书或保密协议；

b) 对重要区域的访问，必须经过有关负责人的批准，并由专人陪同或监督

下进行，并记录备案。

检查对象

安全主管，安全管理人员，安全责任合同书或保密协议，外部人员访问管理文档，登记记录。

检查实施

a) 访谈安全主管，询问对外部人员（如向系统提供服务的系统软、硬件维

护人员，业务合作伙伴、评估人员等）的访问采取哪些管理措施，是否要求外部人员访问前与机构签署安全责任合同书或保密协议；

b) 访谈安全管理人员，询问对外部人员访问重要区域（如访问主机房等）

采取哪些措施，是否经有关负责人批准才能访问，是否由专人陪同或监督，是否进行记录并备案管理；

c) 检查安全责任合同书或保密协议，查看是否有保密范围、保密责任、违

约责任、协议的有效期限和责任人的签字等。

d) 检查外部人员访问管理文档，查看是否规定对外部人员访问哪些重要区

域应经过负责人批准；

e) 检查外部人员访问重要区域的登记记录，查看记录是否描述了外部人员

访问重要区域的进入时间、离开时间、访问区域及陪同人等信息。

咸阳市政府信息系统安全检查

4.系统建设管理

4.1安全方案设计

检查项

a) 应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和

调整安全措施；

b) 应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容，

形成系统的安全方案；

c) 应对安全方案进行细化，形成能指导安全系统建设和安全产品采购的详

细设计方案；

d) 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性

进行论证和审定；

e) 应确保安全设计方案必须经过批准，才能正式实施。

检查对象

系统建设负责人，安全方案，详细设计方案，专家论证文档。

检查实施

a) 访谈系统建设负责人，询问是否根据系统的安全级别选择基本安全措施，

是否依据风险分析的结果补充和调整安全措施，做过哪些调整；

b) 访谈系统建设负责人，询问是否制定系统的安全方案并根据安全方案制

定出系统详细设计方案指导安全系统建设和安全产品采购，是否组织相关部门和有关安全技术专家对安全设计方案进行论证和审定，安全设计方案是否经过安全主管领导或管理层的批准；

c) 检查系统的安全方案，查看方案是否描述系统的安全保护要求，是否详

细描述了系统的安全策略，是否详细描述了系统对应的安全措施等内容； d) 检查系统的详细设计方案，查看详细设计方案是否对应安全方案进行细

化，是否有安全建设方案和安全产品采购方案；查看方案是否有经过安全主管领导或管理部门的批准盖章；

e) 检查专家论证文档，查看是否有相关部门和有关安全技术专家对安全设

计方案的评审意见。

咸阳市政府信息系统安全检查

4.2产品采购

检查项

a) 应确保安全产品的使用符合国家的有关规定；

b) 应确保密码产品的使用符合国家密码主管部门的要求；

c) 应指定或授权专门的部门负责产品的采购。

检查对象

安全主管，系统建设负责人，信息安全产品。

检查实施

a) 访谈安全主管，询问是否有专门的部门负责产品的采购，由何部门负责； b) 访谈系统建设负责人，询问系统信息安全产品的采购情况，是否有产品

采购清单指导产品采购，采购过程如何控制；

c) 访谈系统建设负责人，询问系统是否采用了密码产品，密码产品的使用

是否符合国家密码主管部门的要求；

d) 检查系统使用的有关信息安全产品（边界安全设备、重要服务器操作系

统、数据库等）是否符合国家的有关规定；

e) 检查密码产品的使用情况是否符合密码产品使用、管理的相关规定，如

《商用密码管理条例》规定任何单位只能使用经过国家密码管理机构认可的商用密码产品，商用密码产品发生故障，必须有国家密码管理机构指定的单位维修，报废商用密码产品应向国家密码管理机构备案等。

4.3自行软件开发

检查项

a) 应确保开发环境与实际运行环境物理分开；

b) 应确保提供软件设计的相关文档和使用指南；

c) 应确保系统开发文档由专人负责保管，系统开发文档的使用受到控制。 检查对象

系统建设负责人，软件设计的相关文档和使用指南，文档使用控制记录。 检查实施

a) 访谈系统建设负责人，询问系统是否自主开发软件，自主开发是否有相

应的控制措施，是否在独立的模拟环境中编写、调试和完成；

b) 访谈系统建设负责人，询问系统开发文档是否由专人负责保管，负责人

是何人，如何控制使用（如限制使用人员范围并做使用登记等）；

咸阳市政府信息系统安全检查

c) 检查是否具有软件设计的相关文档（应用软件设计程序文件、源代码文

档等）和软件使用指南或操作手册和维护手册等；

d) 检查软件开发环境与系统运行环境在物理上是否是分开的；

e) 检查是否具有系统开发文档的使用控制记录。

4.4外包软件开发

检查项

a) 应与软件开发单位签订协议，明确知识产权的归属和安全方面的要求； b) 应根据协议的要求检测软件质量；

c) 应在软件安装之前检测软件包中可能存在的恶意代码；

d) 应确保提供软件设计的相关文档和使用指南。

检查对象

系统建设负责人，软件开发安全协议，软件开发文档。

检查实施

a) 访谈系统建设负责人，询问在外包软件前是否对软件开发单位以书面文

档形式（如软件开发安全协议）规范软件开发单位的责任、开发过程中的安全行为、开发环境要求和软件质量等相关内容，是否具有能够独立的对软件进行日常维护和使用所需的文档；

b) 访谈系统建设负责人，询问软件交付前是否依据开发协议的技术指标对

软件功能和性能等进行验收检测，验收检测是否是由开发商和委托方共同参与，软件安装之前是否检测软件中的恶意代码，检测工具是否是第三方的商业产品；

c) 检查软件开发协议是否规定知识产权归属、安全行为等内容；

d) 检查是否具有需求分析说明书、软件设计说明书和软件操作手册等开发

文档。

4.5工程实施

检查项

a) 应与工程实施单位签订与安全相关的协议，约束工程实施单位的行为； b) 应指定或授权专门的人员或部门负责工程实施过程的管理；

c) 应制定详细的工程实施方案控制实施过程。

检查对象

系统建设负责人，工程安全建设协议，工程实施方案。

咸阳市政府信息系统安全检查

检查实施

a) 访谈系统建设负责人，询问是否以书面形式（如工程安全建设协议）约

束工程实施方的工程实施行为；

b) 访谈系统建设负责人，询问是否指定专门人员或部门按照工程实施方案

的要求对工程实施过程进行进度和质量控制；

c) 检查工程安全建设协议，查看其内容是否覆盖工程实施方的责任、任务

要求和质量要求等方面内容，约束工程实施行为；

d) 检查工程实施方案，查看其内容是否覆盖工程时间限制、进度控制和质

量控制等方面内容。

4.6测试验收

检查项

a) 应对系统进行安全测试验收；

b) 应在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验

收过程中详细记录测试验收结果，形成测试验收报告；

c) 应组织相关部门和相关人员对系统测试验收报告进行审定，没有疑问后

由双方签字。

测试对象

系统建设负责人，系统测试方案，系统测试记录，系统测试报告，系统验收报告。

检查实施

a) 访谈系统建设负责人，询问在信息系统正式运行前，是否根据设计方案

或合同要求对信息系统进行独立的安全性测试；

b) 访谈系统建设负责人，询问是否对测试过程（包括测试前、测试中和测

试后）进行文档化要求，是否根据设计方案或合同要求组织相关部门和人员对测试报告进行符合性审定；

c) 检查工程测试方案，查看其是否对参与测试部门、人员和现场操作过程

等进行要求；查看测试记录是否详细记录了测试时间、人员、现场操作过程和测试结果等方面内容；查看测试报告是否提出存在问题及改进意见等；

d) 应检查是否具有系统验收报告。

咸阳市政府信息系统安全检查

4.7安全服务商选择

检查项

a) 应确保安全服务商的选择符合国家的有关规定。

测试对象

系统建设负责人。

检查实施

应访谈系统建设负责人，询问对信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位是否符合国家有关规定。

5系统运维管理

5.1环境管理

检查项

a) 应对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期

进行维护管理，维护周期多长；

b) 应配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作

进行管理；

c) 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房

和机房环境安全等方面作出规定；

d) 应对机房来访人员实行登记、备案管理，同时限制来访人员的活动范围； e) 应加强对办公环境的保密性管理，包括如工作人员调离办公室应立即交

还该办公室钥匙和不在办公区接待来访人员等。

检查对象

物理安全负责人，机房安全管理制度，机房进出登记表。

检查实施

a) 访谈物理安全负责人，询问是否对机房基本设施（如空调、供配电设备

等）进行定期维护，由何部门/何人负责，维护周期多长；

b) 访谈物理安全负责人，询问是否指定人员负责机房安全管理工作，对机

房的出入管理是否要求进行制度化和文档化；

c) 访谈物理安全负责人，询问是否对保证办公环境的保密性采取相应措施，

如人员调离后权力收回等；

d) 检查机房安全管理制度，查看其内容是否覆盖机房物理访问、物品带进、

带出机房和机房环境安全等方面；

咸阳市政府信息系统安全检查

e) 检查机房进出登记表，查看其是否记录外来人员进出时间、人员姓名和

访问原因等方面内容。

5.2资产管理

检查项

a) 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部

门；

b) 应编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处

位置等信息的资产清单；

c) 应根据资产的重要程度对资产进行定性赋值和标识管理，根据资产的价

值选择相应的管理措施。

检查对象

安全主管，资产管理员，资产清单，资产安全管理制度，设备。

检查实施

a) 访谈安全主管，询问是否指定资产管理的责任人员或部门，由何部门/

何人负责；

b) 访谈物理安全负责人，询问是否对资产管理要求文档化；

c) 访谈资产管理员，询问是否依据资产的重要程度对资产进行赋值和标识

管理，不同类别的资产是否采取不同的管理措施；

d) 检查资产清单，查看其内容是否覆盖资产责任人、所属级别、所处位置

和所属部门等方面；

e) 检查资产安全管理制度，询问是否明确资产管理的责任部门、责任人等

方面要求；

f) 检查资产清单中的设备，查看其是否具有相应标识。

5.3介质管理

检查项

a) 应确保介质存放在安全的环境中，并对各类介质进行控制和保护，以防

止被盗、被毁、被未授权的修改以及信息的非法泄漏；

b) 应有介质的存储、归档、登记和查询记录，并根据备份及存档介质的目

录清单定期盘点；

c) 对于需要送出维修或销毁的介质，应首先清除介质中的敏感数据，防止

信息的非法泄漏；

咸阳市政府信息系统安全检查

d) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理，并实

行存储环境专人管理。

检查对象

资产管理员，介质管理记录，各类介质。

检查实施

a) 访谈资产管理员，询问介质的存放环境是否有保护措施，防止其被盗、

被毁、被未授权修改以及信息的非法泄漏，是否有专人管理；

b) 访谈资产管理员，询问是否对介质的使用管理要求文档化，是否根据介

质的目录清单对介质的使用现状进行定期检查，是否对介质进行分类和标识管理；

c) 访谈资产管理员，询问对送出维修或销毁介质之前是否做过安全处理（如

清除其中的敏感数据）；

d) 检查介质管理记录，查看其是否记录介质的存储、归档和借用等情况； e) 检查介质，查看是否对其进行了分类，并具有不同标识。

5.4设备管理

检查项

a) 应对信息系统相关的各种设施、设备、线路等指定专人或专门的部门定

期进行维护管理；

b) 应对信息系统的各种软硬件设备的选型、采购、发放或领用等过程的申

报、审批和专人负责作出规定；

c) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进

行规范化管理；

d) 应对带离机房或办公地点的信息处理设备进行控制；

e) 应按操作规程实现服务器的启动/停止、加电/断电等操作，加强对服务

器操作的日志文件管理和监控管理，按安全策略的要求对网络及设备进行配置，并对其定期进行检查。

检查对象

资产管理员，系统管理员，审计员，服务器操作规程，设备审批、发放管理文档，设备使用管理文档，服务器操作日志。

咸阳市政府信息系统安全检查

检查实施

a) 访谈资产管理员，询问是否对各类设施、设备指定专人或专门部门进行

定期维护，由何部门/何人维护，维护周期多长；

b) 访谈资产管理员，询问是否对设备选用的各个环节（选型、采购、发放

等）进行审批控制，是否对设备带离机构进行审批控制，设备的操作和使用是否要求规范化管理；

c) 访谈系统管理员，询问其对服务器是否进行正确配置，对服务器的操作

是否按操作规程进行；

d) 访谈审计员，询问对服务器的操作是否建立日志，日志文件如何管理，

是否定期检查管理情况；

e) 检查设备使用管理文档，查看其内容是否覆盖终端计算机、便携机和网

络设备等使用、操作原则、注意事项等方面；

f) 检查设备审批、发放管理文档，查看其内容是否对设备选型、采购和发

放等环节的申报和审批作出规定；

g) 检查服务器操作规程，查看其内容是否覆盖服务器如何启动、停止、加

电、断电等操作。

5.5系统监控管理

检查项

a) 应进行主机运行监视，包括监视主机的CPU、硬盘、内存和网络等资源的

使用情况；

b) 应对分散或集中的安全管理系统的访问授权、操作记录、日志等方面进

行有效管理；

c) 应严格管理运行过程文档，其中包括责任书、授权书、许可证、各类策

略文档、事故报告处理文档、安全配置文档、系统各类日志等，并确保文档的完整性和一致性。

检查对象

系统运维负责人，监控记录文档。

检查实施

a) 应访谈系统运维负责人，询问其是否监控主要服务器的各项资源指标，

如CPU、内存、进程和磁盘等使用情况；

咸阳市政府信息系统安全检查

b) 应访谈系统运维负责人，询问目前信息系统是否由机构自身负责运行维

护，如果是，系统运行所产生的文档如何进行管理（如责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等）；

c) 应检查监控记录，查看是否记录监控对象、监控内容、监控的异常现象

处理等方面。

5.6网络安全管理

检查项

a) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护

和报警信息分析和处理工作；

b) 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现

有的重要文件进行备份；

c) 应进行网络系统漏洞扫描，对发现的网络系统安全漏洞进行及时的修补； d) 应保证所有与外部系统的连接均应得到授权和批准；

e) 应建立网络安全管理制度，对网络安全配置和审计日志等作出规定； f) 应对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护

记录、日志等方面做出具体规定；

g) 应规定网络审计日志的保存时间以便为可能的安全事件调查提供支持。 检查对象

安全主管，安全员，网络管理员，审计员，网络漏洞扫描报告，网络安全管理制度，系统外联授权书，网络审计日志。

检查实施

a) 访谈安全主管，询问是否指定专人负责维护网络运行日志、监控记录和

分析处理报警信息等网络安全管理工作；

b) 访谈网络管理员，询问是否根据厂家提供的软件升级版本对网络设备进

行过升级，目前的版本号为多少，升级前是否对重要文件（帐户数据、配置数据等）进行备份，采取什么方式进行备份；是否对网络设备进行过漏洞扫描，对扫描出的漏洞是否及时修补；

c) 访谈安全员，询问系统网络的外联种类有哪些（互联网、合作伙伴企业

网、上级部门网络等），是否都得到授权与批准，由何部门/何人批准；

咸阳市政府信息系统安全检查

d) 访谈审计员，询问是否规定网络审计日志的保存时间，多长时间； e) 检查网络漏洞扫描报告，查看其内容是否覆盖网络存在的漏洞、严重级

别、原因分析和改进意见等方面；

f) 检查网络安全管理制度，查看其是否覆盖网络设备的安全策略、授权访

问、最小服务、升级与打补丁、维护记录、日志内容、日志保存时间等方面内容；

g) 检查是否具有内部网络外联的授权批准书；

h) 检查在规定的保存时间范围内是否存在网络审计日志。

5.7系统安全管理

检查项

a) 应指定专人对系统进行管理，删除或者禁用不使用的系统缺省账户； b) 应建立系统安全管理制度，对系统安全配置、系统帐户及审计日志等方

面作出规定；

c) 应定期安装系统的最新补丁程序，并根据厂家提供的可能危害计算机的

漏洞进行及时修补，并在安装系统补丁前对现有的重要文件进行备份； d) 应根据业务需求和系统安全分析确定系统的访问控制策略，系统访问控

制策略用于控制分配信息系统、文件及服务的访问权限；

e) 应对系统账户进行分类管理，权限设定应当遵循最小授权要求；

f) 应对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、

日志等方面做出具体要求；

g) 应规定系统审计日志的保存时间以便为可能的安全事件调查提供支持； h) 应进行系统漏洞扫描，对发现的系统安全漏洞进行及时的修补。 检查对象

安全主管，安全员，系统管理员，系统审计员，系统安全管理制度，系统审计日志，系统漏洞扫描报告。

检查实施

a) 访谈安全主管，询问是否指定专人负责系统安全管理；

b) 访谈系统管理员，询问是否对系统安全进行制度化管理；

c) 访谈系统管理员，询问是否定期对系统安装安全补丁程序，在安装系统

补丁前是否对重要文件（系统配置、系统用户数据等）进行备份，采取

咸阳市政府信息系统安全检查

什么方式进行；是否对系统进行过漏洞扫描，发现漏洞是否及时修补； d) 访谈安全员，询问是否根据业务需求和系统安全分析确定系统访问控制

策略；

e) 访谈系统管理员，询问对系统用户是否进行分类，不同类别的用户是否

只具有完成其工作的最低权限；对不常用的系统缺省用户是否采取了一定的处理手段阻止其继续使用（如删除或禁用）；

f) 访谈审计员，询问是否规定系统审计日志的保存时间，多长时间； g) 检查在规定的保存时间范围内是否存在系统审计日志；

h) 检查系统漏洞扫描报告，查看其内容是否覆盖系统存在的漏洞、严重级

别、原因分析和改进意见等方面；

i) 检查系统安全管理制度，查看其内容是否覆盖系统安全策略、授权访问、

最小服务、升级与打补丁、维护记录、日志、系统帐户等方面做出具体要求。

5.8变更管理

检查项

a) 应确认系统中将发生的变更，并制定变更方案；

b) 建立变更管理制度，重要系统变更前，应向主管领导申请，审批后方可

实施变更；

c) 系统变更情况应向所有相关人员通告。

检查对象

系统运维负责人，变更方案，变更管理制度，系统变更申请书。

检查实施

a) 访谈系统运维负责人，询问是否制定变更方案指导系统执行变更，变更

是否要求制度化管理；

b) 访谈系统运维负责人，询问重要系统变更前是否得到有关领导的批准，

由何人批准，对发生的变更情况是否通知了所有相关人员，以何种方式通知；

c) 检查系统变更方案，查看其是否对变更类型、变更原因、变更过程、变

更前评估等方面进行说明；

d) 检查变更管理制度，查看其是否覆盖变更前审批、变更过程记录、变更

本文来源：https://www.bwwdw.com/article/27iq.html