?
4.?檢查范圍
1)檢查范圍包括運行環(huán)境檢查����、運行設(shè)備安全檢查、系統(tǒng)運行管理檢查����、網(wǎng)絡(luò)系統(tǒng)對外連接情況檢查等用于生產(chǎn)經(jīng)營和業(yè)務(wù)管理活動的計算機系統(tǒng)檢查;
2)運行環(huán)境檢查包括�����,但不限于:
l?防火報警裝置��、滅火裝置等消防系統(tǒng)是否有效���;
l?各類報警和監(jiān)視裝置是否有效,機房的接地系統(tǒng)�、防靜電措施��、防雷擊措施是否有效��;
l?設(shè)備是否亂丟亂放�����;
l?工作人員飲水�����、用餐等是否危及計算機設(shè)備安全����;
l?門禁�����、監(jiān)控系統(tǒng)是否正常運行��;
l?介質(zhì)分類�����、介質(zhì)存放���、監(jiān)控報警系統(tǒng)等是否正常合理����;
l?機房溫度和濕度的控制、機房防水防潮的控制是否合理等��;
3)系統(tǒng)運行管理檢查包括�����,但不限于:
n?計算機工作日志是否正確記錄運行維護情況��;
n?桌面系統(tǒng)是否運行無關(guān)軟件�����;
n?系統(tǒng)管理員離職����、離崗時,計算機應(yīng)用系統(tǒng)設(shè)備臺賬移交是否合規(guī)��;
n?密碼長度是否少于6個不含空格的字符�����;
n?將含有敏感資料信息的文檔或存儲載體帶離銀行時����,是否得到管理層授權(quán)批準(zhǔn),并進行登記���。
n?所有含有敏感資料信息的文檔或存儲載體是否鎖在專門的防火檔案柜或保險柜內(nèi)����;
n?銷毀存于電腦儲存載體(如磁帶等)上的電子數(shù)據(jù)�����,是否用物理破壞的方式進行�����。
4)運行設(shè)備安全檢查包括����,但不限于:
n?計算機設(shè)備是否保持整齊清潔;
n?生產(chǎn)設(shè)備是否由信息科技部會同庶務(wù)部購買�;
n?是否定期進行安全漏洞掃描,分析漏洞威脅并采取相關(guān)措施;
n?計算機應(yīng)用系統(tǒng)設(shè)備臺賬記錄是否準(zhǔn)確無誤�����。
5)網(wǎng)絡(luò)系統(tǒng)對外連接情況檢查包括���,但不限于:
n?是否采用物理隔離措施隔離我局業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)��;
n?是否按照標(biāo)準(zhǔn)規(guī)范的要求隔離業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)�;
n?是否采取措施禁止網(wǎng)絡(luò)內(nèi)的計算機以撥號方式接入互聯(lián)網(wǎng)�;
n?是否使用單獨的網(wǎng)絡(luò)設(shè)備連接外聯(lián)網(wǎng)。
6)管理制度����、機構(gòu)、人員�����、建設(shè)和運維的檢查包括����,但不限于:
n?安全管理制度的制定頒發(fā)、評審和修訂是否符合標(biāo)準(zhǔn)��;
n?安全人員崗位職責(zé)分配是否合理;
n?各部門和崗位的是否明確授權(quán)審批事項���;
n?與外聯(lián)單位是否建立嚴(yán)格的溝通合作關(guān)系�����;
n?是否對系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況定期審核和檢查�;
n?人員的錄用、離崗���、考核和安全意識的培訓(xùn)是否嚴(yán)格規(guī)范���;
n?是否嚴(yán)格控制外部人員的訪問;
n?系統(tǒng)定級是否符合標(biāo)準(zhǔn)��;
n?安全方案的設(shè)計��、審批和修訂是否合理��;
n?產(chǎn)品采購和使用�����、軟件開發(fā)、工程實施�����、測試驗收�����、系統(tǒng)交付��、系統(tǒng)備案等是否符合國家的有關(guān)規(guī)定��,是否建立詳細(xì)的流程�。
n?是否按照國家規(guī)定定期對信息系統(tǒng)進行測評;
n?是否確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定����;
n?是否制定詳細(xì)的信息資產(chǎn)清單,并進行分類標(biāo)識管理����。
三、??? 實施過程中需要注意的問題
1.?規(guī)范化管理不是死板的管理
這個世界上找不到放之四海而皆準(zhǔn)的規(guī)范化管理模板��,因為實際和理論之間需要匹配����,理論只是一個框架��,框架中的具體內(nèi)容需要實際情況來填充�����。而實際中不同機構(gòu)的具體情況不一���,所以具體內(nèi)容也就不一樣���。因此���,引入規(guī)范化管理系統(tǒng)后,管理者應(yīng)注重系統(tǒng)的完善���、優(yōu)化和創(chuàng)新�����。要把規(guī)范化管理的“普遍規(guī)律”與各自的“特殊情況”有機的結(jié)合起來��。
2.?規(guī)范化不能隨心所欲
規(guī)范化管理的基礎(chǔ)概念是規(guī)范����,規(guī)范為人們提供了相對穩(wěn)定、可以預(yù)測����、可以期待的工作與生活環(huán)境,從而為內(nèi)部人員之間��、機構(gòu)與外部的協(xié)作提供了基礎(chǔ)��。規(guī)范意味著不能隨心所欲���,要保證其有效的執(zhí)行����,不被干擾����。
通過對信息系統(tǒng)這幾個方面進行的規(guī)范化,最終使得自身的決策程序化���、考核定量化�����、組織系統(tǒng)化���、權(quán)責(zé)明晰化�、獎懲有據(jù)化�、目標(biāo)計劃化、業(yè)務(wù)流程化�、措施具體化、行為標(biāo)準(zhǔn)化���、控制過程化����。以此為基礎(chǔ)����,結(jié)合對于信息安全等級保護的不斷深入的了解�,收集日常運維管理的經(jīng)驗,就能夠不斷的解決我們在管理過程中出現(xiàn)的問題�����,提高系統(tǒng)管理的能力和水平����。
