咸阳市政府信息系统安全检查(4)

咸阳市政府信息系统安全检查

2安全管理制度

2.1管理制度

检查项

a) 应制定信息安全工作的总体方针和政策性文件，说明机构安全工作的总

体目标、范围、方针、原则、责任等；

b) 应对安全管理活动中重要的管理内容建立安全管理制度，以规范安全管

理活动，约束人员的行为方式；

c) 应对要求管理人员或操作人员执行的重要管理操作，建立操作规程，以

规范操作行为，防止操作失误。

检查对象

安全主管，总体方针、政策性文件和安全策略文件，安全管理制度清单，操作规程。

检查实施

a) 访谈安全主管，询问是否制定信息安全工作的总体方针、政策性文件和

安全策略等，是否对重要管理内容建立安全管理制度，是否对重要管理操作制定操作规程；

b) 检查信息安全工作的总体方针、政策性文件和安全策略文件，查看文件

是否明确机构安全工作的总体目标、范围、方针、原则、责任等；

c) 检查安全管理制度清单，查看是否覆盖物理、网络、主机系统、数据、

应用和管理等层面；

d) 检查是否具有重要管理操作的操作规程，如系统维护手册和用户操作规

程等。

2.2制定和发布

检查项

a) 应在信息安全职能部门的总体负责下，组织相关人员制定；

b) 应保证安全管理制度具有统一的格式风格，并进行版本控制；

c) 应组织相关人员对制定的安全管理进行论证和审定；

d) 安全管理制度应经过管理层签发后按照一定的程序以文件形式发布。 检查对象

安全主管，制度制定和发布要求管理文档，评审记录，安全管理制度。