?
4.?檢查范圍
1)檢查范圍包括運(yùn)行環(huán)境檢查����、運(yùn)行設(shè)備安全檢查���、系統(tǒng)運(yùn)行管理檢查、網(wǎng)絡(luò)系統(tǒng)對(duì)外連接情況檢查等用于生產(chǎn)經(jīng)營(yíng)和業(yè)務(wù)管理活動(dòng)的計(jì)算機(jī)系統(tǒng)檢查����;
2)運(yùn)行環(huán)境檢查包括,但不限于:
l?防火報(bào)警裝置�����、滅火裝置等消防系統(tǒng)是否有效�����;
l?各類報(bào)警和監(jiān)視裝置是否有效�����,機(jī)房的接地系統(tǒng)�、防靜電措施����、防雷擊措施是否有效;
l?設(shè)備是否亂丟亂放�;
l?工作人員飲水�、用餐等是否危及計(jì)算機(jī)設(shè)備安全�;
l?門禁、監(jiān)控系統(tǒng)是否正常運(yùn)行����;
l?介質(zhì)分類、介質(zhì)存放���、監(jiān)控報(bào)警系統(tǒng)等是否正常合理����;
l?機(jī)房溫度和濕度的控制�、機(jī)房防水防潮的控制是否合理等;
3)系統(tǒng)運(yùn)行管理檢查包括����,但不限于:
n?計(jì)算機(jī)工作日志是否正確記錄運(yùn)行維護(hù)情況;
n?桌面系統(tǒng)是否運(yùn)行無(wú)關(guān)軟件��;
n?系統(tǒng)管理員離職��、離崗時(shí)�,計(jì)算機(jī)應(yīng)用系統(tǒng)設(shè)備臺(tái)賬移交是否合規(guī);
n?密碼長(zhǎng)度是否少于6個(gè)不含空格的字符;
n?將含有敏感資料信息的文檔或存儲(chǔ)載體帶離銀行時(shí)��,是否得到管理層授權(quán)批準(zhǔn)��,并進(jìn)行登記�。
n?所有含有敏感資料信息的文檔或存儲(chǔ)載體是否鎖在專門的防火檔案柜或保險(xiǎn)柜內(nèi);
n?銷毀存于電腦儲(chǔ)存載體(如磁帶等)上的電子數(shù)據(jù)�����,是否用物理破壞的方式進(jìn)行���。
4)運(yùn)行設(shè)備安全檢查包括����,但不限于:
n?計(jì)算機(jī)設(shè)備是否保持整齊清潔�����;
n?生產(chǎn)設(shè)備是否由信息科技部會(huì)同庶務(wù)部購(gòu)買�;
n?是否定期進(jìn)行安全漏洞掃描���,分析漏洞威脅并采取相關(guān)措施��;
n?計(jì)算機(jī)應(yīng)用系統(tǒng)設(shè)備臺(tái)賬記錄是否準(zhǔn)確無(wú)誤��。
5)網(wǎng)絡(luò)系統(tǒng)對(duì)外連接情況檢查包括����,但不限于:
n?是否采用物理隔離措施隔離我局業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng);
n?是否按照標(biāo)準(zhǔn)規(guī)范的要求隔離業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)�;
n?是否采取措施禁止網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)以撥號(hào)方式接入互聯(lián)網(wǎng);
n?是否使用單獨(dú)的網(wǎng)絡(luò)設(shè)備連接外聯(lián)網(wǎng)��。
6)管理制度����、機(jī)構(gòu)、人員�、建設(shè)和運(yùn)維的檢查包括,但不限于:
n?安全管理制度的制定頒發(fā)����、評(píng)審和修訂是否符合標(biāo)準(zhǔn);
n?安全人員崗位職責(zé)分配是否合理�����;
n?各部門和崗位的是否明確授權(quán)審批事項(xiàng)��;
n?與外聯(lián)單位是否建立嚴(yán)格的溝通合作關(guān)系;
n?是否對(duì)系統(tǒng)日常運(yùn)行���、系統(tǒng)漏洞和數(shù)據(jù)備份等情況定期審核和檢查��;
n?人員的錄用�����、離崗�����、考核和安全意識(shí)的培訓(xùn)是否嚴(yán)格規(guī)范�����;
n?是否嚴(yán)格控制外部人員的訪問(wèn)��;
n?系統(tǒng)定級(jí)是否符合標(biāo)準(zhǔn);
n?安全方案的設(shè)計(jì)����、審批和修訂是否合理;
n?產(chǎn)品采購(gòu)和使用����、軟件開發(fā)����、工程實(shí)施��、測(cè)試驗(yàn)收����、系統(tǒng)交付、系統(tǒng)備案等是否符合國(guó)家的有關(guān)規(guī)定��,是否建立詳細(xì)的流程���。
n?是否按照國(guó)家規(guī)定定期對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)�����;
n?是否確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定�����;
n?是否制定詳細(xì)的信息資產(chǎn)清單����,并進(jìn)行分類標(biāo)識(shí)管理。
三�����、??? 實(shí)施過(guò)程中需要注意的問(wèn)題
1.?規(guī)范化管理不是死板的管理
這個(gè)世界上找不到放之四海而皆準(zhǔn)的規(guī)范化管理模板���,因?yàn)閷?shí)際和理論之間需要匹配����,理論只是一個(gè)框架����,框架中的具體內(nèi)容需要實(shí)際情況來(lái)填充。而實(shí)際中不同機(jī)構(gòu)的具體情況不一��,所以具體內(nèi)容也就不一樣�����。因此���,引入規(guī)范化管理系統(tǒng)后,管理者應(yīng)注重系統(tǒng)的完善�、優(yōu)化和創(chuàng)新�。要把規(guī)范化管理的“普遍規(guī)律”與各自的“特殊情況”有機(jī)的結(jié)合起來(lái)����。
2.?規(guī)范化不能隨心所欲
規(guī)范化管理的基礎(chǔ)概念是規(guī)范,規(guī)范為人們提供了相對(duì)穩(wěn)定����、可以預(yù)測(cè)、可以期待的工作與生活環(huán)境�����,從而為內(nèi)部人員之間���、機(jī)構(gòu)與外部的協(xié)作提供了基礎(chǔ)��。規(guī)范意味著不能隨心所欲�����,要保證其有效的執(zhí)行����,不被干擾���。
通過(guò)對(duì)信息系統(tǒng)這幾個(gè)方面進(jìn)行的規(guī)范化���,最終使得自身的決策程序化�、考核定量化�����、組織系統(tǒng)化�、權(quán)責(zé)明晰化、獎(jiǎng)懲有據(jù)化��、目標(biāo)計(jì)劃化���、業(yè)務(wù)流程化��、措施具體化��、行為標(biāo)準(zhǔn)化���、控制過(guò)程化。以此為基礎(chǔ)�����,結(jié)合對(duì)于信息安全等級(jí)保護(hù)的不斷深入的了解����,收集日常運(yùn)維管理的經(jīng)驗(yàn),就能夠不斷的解決我們?cè)诠芾磉^(guò)程中出現(xiàn)的問(wèn)題���,提高系統(tǒng)管理的能力和水平�����。
落實(shí)企業(yè)安全生產(chǎn)主體責(zé)任應(yīng)注意的六…
