安全管理核查表*********信息系统编号:B2-1委托单位报告日期*************本页空白)安全管理核查表测试项测试内容测试方法测试记录管理安全机构安全信息管理部门访谈相关人员,是否设立有安全信息管理工作的部门,设立安全主管,对应有相关的岗位职责管理员岗位设置访谈相关人员设立有系统管理员、网络管理员、安全管理员岗位,对应有相关的岗位职责信息安全委员会或领导小组访谈安全主管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任。管理员数量配备有一定数量的系统管理、网络管理员、安全管理员关键的事物U-J/亠冈位访谈相关人员,关键的事物岗位配备是否为多人共同管理审批流程访谈相关人员,设立对于系统变更、重要操作、物理访问和系统接入的审批流程,审核相关文档审批和授权制度访谈相关人员,是否设立审批和授权规范以及制度文档,审核相关记录系统核查访谈相关人员,是否有安全管理员是否有定期的进行系统检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况安全报告访谈相关人员,是否有安全检查表格指导实施安全检查,以及汇总安全检查数据,形成安全检查报告,审核是否有相关报告以及记录审核制度是否有制定安全审核和安全检查制度规范,定期按照程序进行安全审核和安全检查活动,审核相关文档与监管机构的联系访谈相关管理人员,检验被评估单位是否保持与相关监管机构的适当联系,如本地网监等。人员管理安全管理员访谈相关人员,是否设置了专职的安全管理员岗位维护人员权限和责任访谈相关人员,明确系统维护岗位人员的安全权限和安全责任安全管理人员权限和责任访谈相关人员,是否存在安全管理岗位相关人员的权限和责任安全管理人员入职申明管理员的安全责任和义务需在入职说明中被申明保密协议信息技术人员在应聘时需签订安全保密协议,承诺数据保密的安全人员离岗交接访谈相关人员,信息技术离岗人员在办理离岗手续之前需要交回了所有的密钥、口令、技术文档,审核相关文档是否存在技术人员定期审查和考访谈相关人员,是否有定期对信息技术人员进行技术或任职资格审查和考核,是否有相关文档记录,如存核在需提供培训和教育访谈相关人员,是否对所有员工进行过计算机安全管理的普及培训教育,是否有相关文档记录,如存在需提供技术人员培训访谈相关人员,定期对信息技术人员进行安全技术培训,是否有相关文档记录,如存在需提供外部人员管理访谈相关人员,外部人员访问受控区域是否进行书面申请,其访问过程是否有专人全程陪同,核查相关文档,检验被评估单位是否依照本单位或上级单位的信息安全策略明确规定第三方合作单位相关人员的安全角色与职责。规章制度信息安全工作总体方针和安全策略访谈相关人员,是否制定信息安全工作的总体方针和安全策略,是否说明了机构安全工作的总体目标、范围、原则和安全框架等互联网相关制度访谈相关管理人员,核查相关文档,检验被评估单位内部所有访问互联网络的设备是否全部使用本单位或上级单位的唯一互联网络出口。核查相关文档,检验是否被评估单位所有包含本单位标志的对外服务应用系统,全部托管在本单位或上级单位机房。系统建设管理系统建设管理制度是否有系统建设管理制度,通过访谈人员以及核查文档相关记录系统建设管理流程、规范是否有系统建设管理流程和规范,通过访谈人员以及核查文档相关记录产品采购方案、标书是否有产品采购方案、标书,通过访谈人员以及核查文档相关记录信息系统安全建设总体规划访谈相关人员,是否有信息系统安全建设总体规划信息系统安全建设总体安全策略访谈相关人员,是否有信息系统安全建设总体安全策略信息系统安全建设详细设计方案访谈相关人员,是否有信息系统安全建设详细设计方案代码编写安全规范访谈相关人员,并核查是否有代码编写安全规范自行软件开发管理制度访谈相关人员,并核查是否有自行软件开发管理制度软件修改、更新、发布授权与批准访谈相关人员,并核查是否有对软件修改、更新、发布授权与批准外包软件开发管理制度访谈相关人员,并核查是否有外包软件开发管理制度工程实施管理部门访谈...
