咸阳市政府信息系统安全检查

什么方式进行；是否对系统进行过漏洞扫描，发现漏洞是否及时修补； d) 访谈安全员，询问是否根据业务需求和系统安全分析确定系统访问控制

策略；

e) 访谈系统管理员，询问对系统用户是否进行分类，不同类别的用户是否

只具有完成其工作的最低权限；对不常用的系统缺省用户是否采取了一定的处理手段阻止其继续使用（如删除或禁用）；

f) 访谈审计员，询问是否规定系统审计日志的保存时间，多长时间； g) 检查在规定的保存时间范围内是否存在系统审计日志；

h) 检查系统漏洞扫描报告，查看其内容是否覆盖系统存在的漏洞、严重级

别、原因分析和改进意见等方面；

i) 检查系统安全管理制度，查看其内容是否覆盖系统安全策略、授权访问、

最小服务、升级与打补丁、维护记录、日志、系统帐户等方面做出具体要求。

5.8变更管理

检查项

a) 应确认系统中将发生的变更，并制定变更方案；

b) 建立变更管理制度，重要系统变更前，应向主管领导申请，审批后方可

实施变更；

c) 系统变更情况应向所有相关人员通告。

检查对象

系统运维负责人，变更方案，变更管理制度，系统变更申请书。

检查实施

a) 访谈系统运维负责人，询问是否制定变更方案指导系统执行变更，变更

是否要求制度化管理；

b) 访谈系统运维负责人，询问重要系统变更前是否得到有关领导的批准，

由何人批准，对发生的变更情况是否通知了所有相关人员，以何种方式通知；

c) 检查系统变更方案，查看其是否对变更类型、变更原因、变更过程、变

更前评估等方面进行说明；

d) 检查变更管理制度，查看其是否覆盖变更前审批、变更过程记录、变更