?
4.?檢查范圍
1)檢查范圍包括運(yùn)行環(huán)境檢查、運(yùn)行設(shè)備安全檢查、系統(tǒng)運(yùn)行管理檢查、網(wǎng)絡(luò)系統(tǒng)對(duì)外連接情況檢查等用于生產(chǎn)經(jīng)營(yíng)和業(yè)務(wù)管理活動(dòng)的計(jì)算機(jī)系統(tǒng)檢查;
2)運(yùn)行環(huán)境檢查包括,但不限于:
l?防火報(bào)警裝置、滅火裝置等消防系統(tǒng)是否有效;
l?各類報(bào)警和監(jiān)視裝置是否有效,機(jī)房的接地系統(tǒng)、防靜電措施、防雷擊措施是否有效;
l?設(shè)備是否亂丟亂放;
l?工作人員飲水、用餐等是否危及計(jì)算機(jī)設(shè)備安全;
l?門禁、監(jiān)控系統(tǒng)是否正常運(yùn)行;
l?介質(zhì)分類、介質(zhì)存放、監(jiān)控報(bào)警系統(tǒng)等是否正常合理;
l?機(jī)房溫度和濕度的控制、機(jī)房防水防潮的控制是否合理等;
3)系統(tǒng)運(yùn)行管理檢查包括,但不限于:
n?計(jì)算機(jī)工作日志是否正確記錄運(yùn)行維護(hù)情況;
n?桌面系統(tǒng)是否運(yùn)行無(wú)關(guān)軟件;
n?系統(tǒng)管理員離職、離崗時(shí),計(jì)算機(jī)應(yīng)用系統(tǒng)設(shè)備臺(tái)賬移交是否合規(guī);
n?密碼長(zhǎng)度是否少于6個(gè)不含空格的字符;
n?將含有敏感資料信息的文檔或存儲(chǔ)載體帶離銀行時(shí),是否得到管理層授權(quán)批準(zhǔn),并進(jìn)行登記。
n?所有含有敏感資料信息的文檔或存儲(chǔ)載體是否鎖在專門的防火檔案柜或保險(xiǎn)柜內(nèi);
n?銷毀存于電腦儲(chǔ)存載體(如磁帶等)上的電子數(shù)據(jù),是否用物理破壞的方式進(jìn)行。
4)運(yùn)行設(shè)備安全檢查包括,但不限于:
n?計(jì)算機(jī)設(shè)備是否保持整齊清潔;
n?生產(chǎn)設(shè)備是否由信息科技部會(huì)同庶務(wù)部購(gòu)買;
n?是否定期進(jìn)行安全漏洞掃描,分析漏洞威脅并采取相關(guān)措施;
n?計(jì)算機(jī)應(yīng)用系統(tǒng)設(shè)備臺(tái)賬記錄是否準(zhǔn)確無(wú)誤。
5)網(wǎng)絡(luò)系統(tǒng)對(duì)外連接情況檢查包括,但不限于:
n?是否采用物理隔離措施隔離我局業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng);
n?是否按照標(biāo)準(zhǔn)規(guī)范的要求隔離業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng);
n?是否采取措施禁止網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)以撥號(hào)方式接入互聯(lián)網(wǎng);
n?是否使用單獨(dú)的網(wǎng)絡(luò)設(shè)備連接外聯(lián)網(wǎng)。
6)管理制度、機(jī)構(gòu)、人員、建設(shè)和運(yùn)維的檢查包括,但不限于:
n?安全管理制度的制定頒發(fā)、評(píng)審和修訂是否符合標(biāo)準(zhǔn);
n?安全人員崗位職責(zé)分配是否合理;
n?各部門和崗位的是否明確授權(quán)審批事項(xiàng);
n?與外聯(lián)單位是否建立嚴(yán)格的溝通合作關(guān)系;
n?是否對(duì)系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況定期審核和檢查;
n?人員的錄用、離崗、考核和安全意識(shí)的培訓(xùn)是否嚴(yán)格規(guī)范;
n?是否嚴(yán)格控制外部人員的訪問(wèn);
n?系統(tǒng)定級(jí)是否符合標(biāo)準(zhǔn);
n?安全方案的設(shè)計(jì)、審批和修訂是否合理;
n?產(chǎn)品采購(gòu)和使用、軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案等是否符合國(guó)家的有關(guān)規(guī)定,是否建立詳細(xì)的流程。
n?是否按照國(guó)家規(guī)定定期對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng);
n?是否確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定;
n?是否制定詳細(xì)的信息資產(chǎn)清單,并進(jìn)行分類標(biāo)識(shí)管理。
三、??? 實(shí)施過(guò)程中需要注意的問(wèn)題
1.?規(guī)范化管理不是死板的管理
這個(gè)世界上找不到放之四海而皆準(zhǔn)的規(guī)范化管理模板,因?yàn)閷?shí)際和理論之間需要匹配,理論只是一個(gè)框架,框架中的具體內(nèi)容需要實(shí)際情況來(lái)填充。而實(shí)際中不同機(jī)構(gòu)的具體情況不一,所以具體內(nèi)容也就不一樣。因此,引入規(guī)范化管理系統(tǒng)后,管理者應(yīng)注重系統(tǒng)的完善、優(yōu)化和創(chuàng)新。要把規(guī)范化管理的“普遍規(guī)律”與各自的“特殊情況”有機(jī)的結(jié)合起來(lái)。
2.?規(guī)范化不能隨心所欲
規(guī)范化管理的基礎(chǔ)概念是規(guī)范,規(guī)范為人們提供了相對(duì)穩(wěn)定、可以預(yù)測(cè)、可以期待的工作與生活環(huán)境,從而為內(nèi)部人員之間、機(jī)構(gòu)與外部的協(xié)作提供了基礎(chǔ)。規(guī)范意味著不能隨心所欲,要保證其有效的執(zhí)行,不被干擾。
通過(guò)對(duì)信息系統(tǒng)這幾個(gè)方面進(jìn)行的規(guī)范化,最終使得自身的決策程序化、考核定量化、組織系統(tǒng)化、權(quán)責(zé)明晰化、獎(jiǎng)懲有據(jù)化、目標(biāo)計(jì)劃化、業(yè)務(wù)流程化、措施具體化、行為標(biāo)準(zhǔn)化、控制過(guò)程化。以此為基礎(chǔ),結(jié)合對(duì)于信息安全等級(jí)保護(hù)的不斷深入的了解,收集日常運(yùn)維管理的經(jīng)驗(yàn),就能夠不斷的解決我們?cè)诠芾磉^(guò)程中出現(xiàn)的問(wèn)題,提高系統(tǒng)管理的能力和水平。