咸阳市政府信息系统安全检查(8)

咸阳市政府信息系统安全检查

c) 检查安全教育和培训计划文档，查看计划是否明确了培训目的、培训方

式、培训对象、培训内容、培训时间和地点等，培训内容是否包含信息安全基础知识、岗位操作规程等；

d) 检查是否具有安全教育和培训记录，查看记录是否有培训人员、培训内

容、培训结果等的描述；查看记录与培训计划是否一致。

3.5外部人员访问管理

检查项

a) 外部人员应在访问前与机构签署安全责任合同书或保密协议；

b) 对重要区域的访问，必须经过有关负责人的批准，并由专人陪同或监督

下进行，并记录备案。

检查对象

安全主管，安全管理人员，安全责任合同书或保密协议，外部人员访问管理文档，登记记录。

检查实施

a) 访谈安全主管，询问对外部人员（如向系统提供服务的系统软、硬件维

护人员，业务合作伙伴、评估人员等）的访问采取哪些管理措施，是否要求外部人员访问前与机构签署安全责任合同书或保密协议；

b) 访谈安全管理人员，询问对外部人员访问重要区域（如访问主机房等）

采取哪些措施，是否经有关负责人批准才能访问，是否由专人陪同或监督，是否进行记录并备案管理；

c) 检查安全责任合同书或保密协议，查看是否有保密范围、保密责任、违

约责任、协议的有效期限和责任人的签字等。

d) 检查外部人员访问管理文档，查看是否规定对外部人员访问哪些重要区

域应经过负责人批准；

e) 检查外部人员访问重要区域的登记记录，查看记录是否描述了外部人员

访问重要区域的进入时间、离开时间、访问区域及陪同人等信息。