安全管理制度
- 是否制定了对于日常管理操作,作了详细说明的操作规程的管理制度?(具有日常管理操作的XX操作手册和运维手册?)
- 指定哪个部门或人员负责安全管理制度的制定?
- 安全管理制度的发布通过XX方式,是否进行了版本控制?
- 是否会定期对安全管理制度进行论证和审定,并对存在不足或需要改进的安全管理制度进行修订?有无相关记录?
安全管理机构
- 是否有信息安全领导小组红头文件?
- 是否定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息(定期审查审批事项的记录)?
- 是否定期召开各类安全会议并保存有会议纪要?
- 是否定期与各类安全职能部门和各个供应商保持沟通合作(会议记录)?
- 是否建立有外联单位联系列表?包括外联单位名称、合作内容、联系人和联系方式等信息。
- 是否定期进行了常规安全检查?检查内容包括系统日常运行、系统漏洞和数据备份等情况。
- 是否定期进行了全面安全检查?检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
- 是否制定有安全检查表格实施安全检查?是否形成了安全检查报告,并对安全检查结果进行通报?
安全管理人员
- 指定哪个部门或人员负责人员录用?
- 是否会对被录用人员的身份、安全背景、专业资格或资质等进行审查?是否会对被录用人员所具有的技术技能进行考核?有无相关考核记录?
- 是否会与被录用人员签署保密协议?是否会与关键岗位人员签署岗位责任协议?(协议明确保密的范围和时限)
- 保密协议或合同是否会对人员离岗后的保密义务进行说明?
- 是否对人员离岗回收各类证件等进行规定?(登记记录)?
- 是否会对各类人员进行安全意识教育和岗位技能培训?有无相关记录?
- 是否会针对不同岗位制定不同的培训计划?培训内容包括安全基础知识、岗位操作规程等?安全教育和培训记录是否有培训人员、培训内容、培训结果等描述。
- 是否定期对不同岗位的人员进行安全技能和知识的考核,并保存有考核记录。
- 外部人员物理访问受控区域前是否需要先提书面申请?有无相关记录?(审批流程文件、审批记录)
- 外部人员接入受控网络访问系统前是否需要先提书面申请?有无相关记录?(审批制度文件、审批记录)
- 外部人员离场后是否及时清除了其所有的访问权限?
- 是否与获得系统访问授权的外部人员签署了保密协议?
安全建设管理
- 是否制定有安全整体规划和安全方案设计形成体系文件制度?
- 是否有组织相关部门和有关安全专家对安全整体规划及其配套文件进行论证和审定?有无相关记录?
- 是否有对产品的选型测试的规定并定期更新候选产品清单?有无相关记录?
- 自主开发软件是否在独立的物理环境中完成编码和调试,与实际运行环境分开应核查测试数据和结果是否受控使用?
- 是否明确哪些开发活动应经过授权和审批?
- 自行软件开发相关制度是否明确代码开发规范?
- 自行开发是否具有软件开发文档和使用指南,并对文档使用进行控制?
- 自行开发是否具有软件安全测试报告和代码审计报告?
- 自行软件开发是否有软件修改、更新、发布前是否由上级批准?
- 自行开发建设负责人开发人员是否为专职,是否对开发人员行为活动进行限制、监管和审查等?
- 外包开发软件交付前是否对其中可能存在的恶意代码进行了检测?有无相关检测报告?
- 外包开发软件开发单位是否提供了软件设计文档和使用指南?
- 外包开发软件开发单位是否提供了软件源代码?是否对软件中可能存在的后门和隐蔽信道进行了检查?有无相关检查记录?
- 指定什么部门或人员负责工程实施过程的管理?
- 是否制定有安全工程实施方案来控制工程实施过程?
- 是否有工程实施方案及相关文件?
- 是否通过第三方工程监理来控制项目的实施过程?
- 是否制订有测试验收方案?有无测试验收报告?
- 系统上线前是否进行了安全性测试?有无相关安全测试报告?
- 是否制定有系统交付清单?
- 是否对负责运行维护的技术人员进行相应的技能培训?有无相关培训记录?
- 开发建设单位或人员是否提供了系统建设过程文档和运行维护文档?
安全运维管理
- 指定什么部门或人员负责机房安全、对机房出入进行管理?是否定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理?有无相关维护记录?
- 是否有机房物品进出、物理访问的相关文档记录?
- 是否编制并保存了资产清单?包括资产责任部门、重要程度和所处位置等内容。
- 资产管理员介质存放环境是否安全,存放环境是否由专人管理(介质管理记录是否记录介质归档、使用和定期盘点等情况)
- 资产管理员介质在物理传输过程中的人员选择、打包、交付等情况是否进行控制(提供介质归档、查询等记录)
- 指定什么部门或人员定期对各种设备(包括备份和冗余设备)、线路等进行维护管理?有无相关维护记录?
- 是否有设备、系统维修和服务的审批、维修过程等记录。
- 含有重要数据的设备带出工作环境是否有加密措施,对带离机房的设备是否经过审批(设备带离机房或办公地点的审批记录)
- 含有存储介质的设备在报废或重用前,是否采取措施进行完全清除或被安全覆盖,提供相关记录文档?
- 是否定期进行了漏洞扫描?有无相关漏扫报告?是否对发现的安全漏洞和隐患进行了及时修补?
- 安全管理员是否定期开展了安全测评?有无相关安全测评报告?如:风评、软测、安全整改报告等。
- 指定什么部门或人员负责账户管理?包括账户申请、账户建立、账户删除等。
- 是否制定有重要设备的配置和操作手册?如:网络设备、安全设备、操作系统、数据库和应用系统等。
- 是否对运维操作日志进行了详细记录?包括日常巡检工作、运行维护记录、参数的设置和修改等内容。
- 是否指定专门的部门或人员对日志、监测和报警数据等进行分析、统计?有无相关记录?
- 是否对变更性运维进行了严格控制?是否需要经过审批后才可改变连接、安装系统组件或调整配置参数?有无相关记录?
- 是否对运维工具的使用进行了严格控制?是否需要经过审批后才可接入进行操作?有无相关记录?
- 是否对远程运维的开通进行了严格控制?是否需要经过审批后才可开通远程运维接口或通道?有无相关记录?
- 网络外联连接(如互联网、合作伙伴企业网、上级部门网络等)是否都得到授权与批准?是否定期核查违规联网行为?是否具有外联授权的记录文件?
- 是否对所有用户进行了防恶意代码意识培训?是否会对外来计算机或存储设备接入系统前进行恶意代码检查?有无相关记录?
- 是否会定期验证防范恶意代码攻击的技术措施的有效性?有无相关记录(是否提供定期升级恶意代码库的记录,是否提供恶意代码检测记录)?
- 是否将基本配置信息改变纳入了变更范畴?是否及时对基本配置信息库进行了更新?
- 变更前是否根据变更需求制定变更方案,变更方案经过评审、审批后方可实施?需提供评审、审批记录?
- 变更中止或失败后的恢复程序、工作方法和职责是否文档化,是否具有变更恢复演练记录?变更恢复程序是否规定变更中止或失败后的恢复流程。
- 提供针对安全弱点或可疑事件相对应的报告或相关文档。
- 提供安全事件报告和响应处置记录,查看是否包含引发安全事件的原因、证据、处置过程、经验教训等?
- 提供重要事件的应急预案,包括应急处理流程、系统恢复流程等内容。
- 是否定期对系统相关的人员进行了应急预案培训与演练?有无相关记录?(应急演练时间、内容、结果等情况的培训记录和演练记录)
- 是否定期对应急预案进行评估或修订,提供相关记录。
- 是否与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容?
821
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
