咸阳市政府信息系统安全检查(2)

咸阳市政府信息系统安全检查

各个岗位的职责范围是否清晰、明确；查看文件是否明确各个岗位人员应具有的技能要求。

1.2人员配备

检查项

a) 应配备一定数量的系统管理人员、网络管理人员、安全管理人员等； b) 安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。 检查对象

安全主管，人员配备要求的相关文档，管理人员名单。

检查实施

a) 访谈安全主管，询问各个安全管理岗位人员（按照岗位职责文件询问，

包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员）配备情况，包括数量、专职还是兼职等；

b) 检查人员配备要求的相关文档，查看是否明确应配备哪些安全管理人员，

是否包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员；

c) 检查管理人员名单，查看其是否明确机房管理员、系统管理员、数据库

管理员、网络管理员、安全员等重要岗位人员的信息，确认安全员是否没有兼任网络管理员、系统管理员、数据库管理员等。

1.3授权和审批

检查项

a) 应授权审批部门及批准人，对关键活动进行审批；

b) 应列表说明须审批的事项、审批部门和可批准人。

检查对象

安全主管，关键活动的批准人，审批事项列表，审批文档。

检查实施

a) 访谈安全主管，询问其是否对信息系统中的关键活动进行审批，审批部

门是何部门，批准人是何人，他们的审批活动是否得到授权；

b) 访谈关键活动的批准人，询问其对关键活动的审批范围包括哪些（如网

络系统、应用系统、数据库管理系统、重要服务器和设备等重要资源的访问，重要管理制度的制定和发布，人员的配备、培训和产品的采购等），审批程序如何；