咸阳市政府信息系统安全检查(10)

咸阳市政府信息系统安全检查

4.2产品采购

检查项

a) 应确保安全产品的使用符合国家的有关规定；

b) 应确保密码产品的使用符合国家密码主管部门的要求；

c) 应指定或授权专门的部门负责产品的采购。

检查对象

安全主管，系统建设负责人，信息安全产品。

检查实施

a) 访谈安全主管，询问是否有专门的部门负责产品的采购，由何部门负责； b) 访谈系统建设负责人，询问系统信息安全产品的采购情况，是否有产品

采购清单指导产品采购，采购过程如何控制；

c) 访谈系统建设负责人，询问系统是否采用了密码产品，密码产品的使用

是否符合国家密码主管部门的要求；

d) 检查系统使用的有关信息安全产品（边界安全设备、重要服务器操作系

统、数据库等）是否符合国家的有关规定；

e) 检查密码产品的使用情况是否符合密码产品使用、管理的相关规定，如

《商用密码管理条例》规定任何单位只能使用经过国家密码管理机构认可的商用密码产品，商用密码产品发生故障，必须有国家密码管理机构指定的单位维修，报废商用密码产品应向国家密码管理机构备案等。

4.3自行软件开发

检查项

a) 应确保开发环境与实际运行环境物理分开；

b) 应确保提供软件设计的相关文档和使用指南；

c) 应确保系统开发文档由专人负责保管，系统开发文档的使用受到控制。 检查对象

系统建设负责人，软件设计的相关文档和使用指南，文档使用控制记录。 检查实施

a) 访谈系统建设负责人，询问系统是否自主开发软件，自主开发是否有相

应的控制措施，是否在独立的模拟环境中编写、调试和完成；

b) 访谈系统建设负责人，询问系统开发文档是否由专人负责保管，负责人

是何人，如何控制使用（如限制使用人员范围并做使用登记等）；