?
4.?檢查范圍
1)檢查范圍包括運(yùn)行環(huán)境檢查�����、運(yùn)行設(shè)備安全檢查�����、系統(tǒng)運(yùn)行管理檢查、網(wǎng)絡(luò)系統(tǒng)對(duì)外連接情況檢查等用于生產(chǎn)經(jīng)營(yíng)和業(yè)務(wù)管理活動(dòng)的計(jì)算機(jī)系統(tǒng)檢查�����;
2)運(yùn)行環(huán)境檢查包括�����,但不限于:
l?防火報(bào)警裝置�����、滅火裝置等消防系統(tǒng)是否有效;
l?各類報(bào)警和監(jiān)視裝置是否有效�����,機(jī)房的接地系統(tǒng)�����、防靜電措施�����、防雷擊措施是否有效�����;
l?設(shè)備是否亂丟亂放�����;
l?工作人員飲水�����、用餐等是否危及計(jì)算機(jī)設(shè)備安全;
l?門禁�����、監(jiān)控系統(tǒng)是否正常運(yùn)行�����;
l?介質(zhì)分類�����、介質(zhì)存放�����、監(jiān)控報(bào)警系統(tǒng)等是否正常合理�����;
l?機(jī)房溫度和濕度的控制�����、機(jī)房防水防潮的控制是否合理等�����;
3)系統(tǒng)運(yùn)行管理檢查包括�����,但不限于:
n?計(jì)算機(jī)工作日志是否正確記錄運(yùn)行維護(hù)情況�����;
n?桌面系統(tǒng)是否運(yùn)行無(wú)關(guān)軟件�����;
n?系統(tǒng)管理員離職�����、離崗時(shí)�����,計(jì)算機(jī)應(yīng)用系統(tǒng)設(shè)備臺(tái)賬移交是否合規(guī)�����;
n?密碼長(zhǎng)度是否少于6個(gè)不含空格的字符;
n?將含有敏感資料信息的文檔或存儲(chǔ)載體帶離銀行時(shí)�����,是否得到管理層授權(quán)批準(zhǔn)�����,并進(jìn)行登記�����。
n?所有含有敏感資料信息的文檔或存儲(chǔ)載體是否鎖在專門的防火檔案柜或保險(xiǎn)柜內(nèi)�����;
n?銷毀存于電腦儲(chǔ)存載體(如磁帶等)上的電子數(shù)據(jù)�����,是否用物理破壞的方式進(jìn)行�����。
4)運(yùn)行設(shè)備安全檢查包括�����,但不限于:
n?計(jì)算機(jī)設(shè)備是否保持整齊清潔�����;
n?生產(chǎn)設(shè)備是否由信息科技部會(huì)同庶務(wù)部購(gòu)買�����;
n?是否定期進(jìn)行安全漏洞掃描�����,分析漏洞威脅并采取相關(guān)措施�����;
n?計(jì)算機(jī)應(yīng)用系統(tǒng)設(shè)備臺(tái)賬記錄是否準(zhǔn)確無(wú)誤�����。
5)網(wǎng)絡(luò)系統(tǒng)對(duì)外連接情況檢查包括�����,但不限于:
n?是否采用物理隔離措施隔離我局業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng);
n?是否按照標(biāo)準(zhǔn)規(guī)范的要求隔離業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)�����;
n?是否采取措施禁止網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)以撥號(hào)方式接入互聯(lián)網(wǎng)�����;
n?是否使用單獨(dú)的網(wǎng)絡(luò)設(shè)備連接外聯(lián)網(wǎng)�����。
6)管理制度�����、機(jī)構(gòu)�����、人員�����、建設(shè)和運(yùn)維的檢查包括�����,但不限于:
n?安全管理制度的制定頒發(fā)�����、評(píng)審和修訂是否符合標(biāo)準(zhǔn)�����;
n?安全人員崗位職責(zé)分配是否合理�����;
n?各部門和崗位的是否明確授權(quán)審批事項(xiàng)�����;
n?與外聯(lián)單位是否建立嚴(yán)格的溝通合作關(guān)系�����;
n?是否對(duì)系統(tǒng)日常運(yùn)行�����、系統(tǒng)漏洞和數(shù)據(jù)備份等情況定期審核和檢查;
n?人員的錄用�����、離崗�����、考核和安全意識(shí)的培訓(xùn)是否嚴(yán)格規(guī)范�����;
n?是否嚴(yán)格控制外部人員的訪問(wèn)�����;
n?系統(tǒng)定級(jí)是否符合標(biāo)準(zhǔn)�����;
n?安全方案的設(shè)計(jì)�����、審批和修訂是否合理;
n?產(chǎn)品采購(gòu)和使用�����、軟件開(kāi)發(fā)�����、工程實(shí)施�����、測(cè)試驗(yàn)收�����、系統(tǒng)交付�����、系統(tǒng)備案等是否符合國(guó)家的有關(guān)規(guī)定�����,是否建立詳細(xì)的流程�����。
n?是否按照國(guó)家規(guī)定定期對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)�����;
n?是否確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定�����;
n?是否制定詳細(xì)的信息資產(chǎn)清單�����,并進(jìn)行分類標(biāo)識(shí)管理�����。
三�����、??? 實(shí)施過(guò)程中需要注意的問(wèn)題
1.?規(guī)范化管理不是死板的管理
這個(gè)世界上找不到放之四海而皆準(zhǔn)的規(guī)范化管理模板�����,因?yàn)閷?shí)際和理論之間需要匹配,理論只是一個(gè)框架�����,框架中的具體內(nèi)容需要實(shí)際情況來(lái)填充�����。而實(shí)際中不同機(jī)構(gòu)的具體情況不一�����,所以具體內(nèi)容也就不一樣�����。因此�����,引入規(guī)范化管理系統(tǒng)后�����,管理者應(yīng)注重系統(tǒng)的完善�����、優(yōu)化和創(chuàng)新�����。要把規(guī)范化管理的“普遍規(guī)律”與各自的“特殊情況”有機(jī)的結(jié)合起來(lái)�����。
2.?規(guī)范化不能隨心所欲
規(guī)范化管理的基礎(chǔ)概念是規(guī)范�����,規(guī)范為人們提供了相對(duì)穩(wěn)定�����、可以預(yù)測(cè)�����、可以期待的工作與生活環(huán)境�����,從而為內(nèi)部人員之間、機(jī)構(gòu)與外部的協(xié)作提供了基礎(chǔ)�����。規(guī)范意味著不能隨心所欲�����,要保證其有效的執(zhí)行�����,不被干擾�����。
通過(guò)對(duì)信息系統(tǒng)這幾個(gè)方面進(jìn)行的規(guī)范化�����,最終使得自身的決策程序化�����、考核定量化�����、組織系統(tǒng)化�����、權(quán)責(zé)明晰化�����、獎(jiǎng)懲有據(jù)化�����、目標(biāo)計(jì)劃化�����、業(yè)務(wù)流程化�����、措施具體化�����、行為標(biāo)準(zhǔn)化、控制過(guò)程化�����。以此為基礎(chǔ)�����,結(jié)合對(duì)于信息安全等級(jí)保護(hù)的不斷深入的了解�����,收集日常運(yùn)維管理的經(jīng)驗(yàn)�����,就能夠不斷的解決我們?cè)诠芾磉^(guò)程中出現(xiàn)的問(wèn)題�����,提高系統(tǒng)管理的能力和水平�����。
落實(shí)企業(yè)安全生產(chǎn)主體責(zé)任應(yīng)注意的六…
