咸阳市政府信息系统安全检查

咸阳市政府信息系统安全检查

操作指南

本实施指南规定了对信息系统安全检查和测试评估的基本要求，包括检查项目、检查对象和检查实施等内容。

1安全管理机构

1.1岗位设置

检查项

a) 应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；

b) 应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责；

c) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 检查对象

安全主管，安全管理某方面的负责人，部门、岗位职责文件。

检查实施

a) 访谈安全主管，询问是否设立安全管理机构（即信息安全管理工作的职能部门，可以由其它部门兼职）；机构内部门设置情况如何，是否明确机构内各部门的职责分工；

b) 访谈安全主管，询问是否设立安全管理各个方面的负责人，设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员和安全员等重要岗位），是否明确各个岗位的职责分工；

c) 访谈安全主管、安全管理某方面的负责人，询问其岗位职责包括哪些内容；

d) 检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门的职责和分工，部门职责是否涵盖物理、网络和系统等各个方面；查看文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员和安全员等各个岗位，