咸阳市政府信息系统安全检查(9)

咸阳市政府信息系统安全检查

4.系统建设管理

4.1安全方案设计

检查项

a) 应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和

调整安全措施；

b) 应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容，

形成系统的安全方案；

c) 应对安全方案进行细化，形成能指导安全系统建设和安全产品采购的详

细设计方案；

d) 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性

进行论证和审定；

e) 应确保安全设计方案必须经过批准，才能正式实施。

检查对象

系统建设负责人，安全方案，详细设计方案，专家论证文档。

检查实施

a) 访谈系统建设负责人，询问是否根据系统的安全级别选择基本安全措施，

是否依据风险分析的结果补充和调整安全措施，做过哪些调整；

b) 访谈系统建设负责人，询问是否制定系统的安全方案并根据安全方案制

定出系统详细设计方案指导安全系统建设和安全产品采购，是否组织相关部门和有关安全技术专家对安全设计方案进行论证和审定，安全设计方案是否经过安全主管领导或管理层的批准；

c) 检查系统的安全方案，查看方案是否描述系统的安全保护要求，是否详

细描述了系统的安全策略，是否详细描述了系统对应的安全措施等内容； d) 检查系统的详细设计方案，查看详细设计方案是否对应安全方案进行细

化，是否有安全建设方案和安全产品采购方案；查看方案是否有经过安全主管领导或管理部门的批准盖章；

e) 检查专家论证文档，查看是否有相关部门和有关安全技术专家对安全设

计方案的评审意见。