咸阳市政府信息系统安全检查(5)

咸阳市政府信息系统安全检查

检查实施

a) 访谈安全主管，询问安全管理制度是否在信息安全职能部门的总体负责

下统一制定，参与制定人员有哪些；

b) 访谈安全主管，询问安全管理制度的制定程序，是否对制定的安全管理

制度进行论证和审定，论证和评审方式如何（如召开评审会、函审、内部审核等），是否按照统一的格式标准或要求制定；

c) 检查制度制定和发布要求管理文档，查看文档是否说明安全管理制度的

制定和发布程序、格式要求及版本编号等相关内容；

d) 检查管理制度评审记录，查看是否有相关人员的评审意见；

e) 检查安全管理制度文档，查看是否有版本标识，是否有管理层的签字或

盖章；查看其格式是否统一。

2.3评审和修订

检查项

a) 应定期对安全管理制度进行评审和修订，对存在不足或需要改进的安全

管理制度进行修订。

检查对象

安全主管，安全管理制度列表，评审记录。

检查实施

a) 访谈安全主管，询问是否定期对安全管理制度进行评审，发现存在不足

或需要改进的是否进行修订，评审周期多长；

b) 检查是否具有需要定期评审的安全管理制度列表；

c) 检查安全管理制度评审记录，查看记录日期与评审周期是否一致；如果

对制度做过修订，检查是否有修订版本的安全管理制度。

3.人员安全管理

3.1重点、敏感岗位人员录用

检查项

a) 应保证被录用人具备基本的专业技术水平和安全管理知识；

b) 应对被录用人声明的身份、背景、专业资格和资质等进行审查； c) 应对被录用人所具备的技术技能进行考核；

d) 应对被录用人说明其角色和职责；