?
4.?檢查范圍
1)檢查范圍包括運行環境檢查、運行設備安全檢查、系統運行管理檢查、網絡系統對外連接情況檢查等用于生產經營和業務管理活動的計算機系統檢查;
2)運行環境檢查包括,但不限于:
l?防火報警裝置、滅火裝置等消防系統是否有效;
l?各類報警和監視裝置是否有效,機房的接地系統、防靜電措施、防雷擊措施是否有效;
l?設備是否亂丟亂放;
l?工作人員飲水、用餐等是否危及計算機設備安全;
l?門禁、監控系統是否正常運行;
l?介質分類、介質存放、監控報警系統等是否正常合理;
l?機房溫度和濕度的控制、機房防水防潮的控制是否合理等;
3)系統運行管理檢查包括,但不限于:
n?計算機工作日志是否正確記錄運行維護情況;
n?桌面系統是否運行無關軟件;
n?系統管理員離職、離崗時,計算機應用系統設備臺賬移交是否合規;
n?密碼長度是否少于6個不含空格的字符;
n?將含有敏感資料信息的文檔或存儲載體帶離銀行時,是否得到管理層授權批準,并進行登記。
n?所有含有敏感資料信息的文檔或存儲載體是否鎖在專門的防火檔案柜或保險柜內;
n?銷毀存于電腦儲存載體(如磁帶等)上的電子數據,是否用物理破壞的方式進行。
4)運行設備安全檢查包括,但不限于:
n?計算機設備是否保持整齊清潔;
n?生產設備是否由信息科技部會同庶務部購買;
n?是否定期進行安全漏洞掃描,分析漏洞威脅并采取相關措施;
n?計算機應用系統設備臺賬記錄是否準確無誤。
5)網絡系統對外連接情況檢查包括,但不限于:
n?是否采用物理隔離措施隔離我局業務網和互聯網;
n?是否按照標準規范的要求隔離業務網與互聯網;
n?是否采取措施禁止網絡內的計算機以撥號方式接入互聯網;
n?是否使用單獨的網絡設備連接外聯網。
6)管理制度、機構、人員、建設和運維的檢查包括,但不限于:
n?安全管理制度的制定頒發、評審和修訂是否符合標準;
n?安全人員崗位職責分配是否合理;
n?各部門和崗位的是否明確授權審批事項;
n?與外聯單位是否建立嚴格的溝通合作關系;
n?是否對系統日常運行、系統漏洞和數據備份等情況定期審核和檢查;
n?人員的錄用、離崗、考核和安全意識的培訓是否嚴格規范;
n?是否嚴格控制外部人員的訪問;
n?系統定級是否符合標準;
n?安全方案的設計、審批和修訂是否合理;
n?產品采購和使用、軟件開發、工程實施、測試驗收、系統交付、系統備案等是否符合國家的有關規定,是否建立詳細的流程。
n?是否按照國家規定定期對信息系統進行測評;
n?是否確保安全服務商的選擇符合國家的有關規定;
n?是否制定詳細的信息資產清單,并進行分類標識管理。
三、??? 實施過程中需要注意的問題
1.?規范化管理不是死板的管理
這個世界上找不到放之四海而皆準的規范化管理模板,因為實際和理論之間需要匹配,理論只是一個框架,框架中的具體內容需要實際情況來填充。而實際中不同機構的具體情況不一,所以具體內容也就不一樣。因此,引入規范化管理系統后,管理者應注重系統的完善、優化和創新。要把規范化管理的“普遍規律”與各自的“特殊情況”有機的結合起來。
2.?規范化不能隨心所欲
規范化管理的基礎概念是規范,規范為人們提供了相對穩定、可以預測、可以期待的工作與生活環境,從而為內部人員之間、機構與外部的協作提供了基礎。規范意味著不能隨心所欲,要保證其有效的執行,不被干擾。
通過對信息系統這幾個方面進行的規范化,最終使得自身的決策程序化、考核定量化、組織系統化、權責明晰化、獎懲有據化、目標計劃化、業務流程化、措施具體化、行為標準化、控制過程化。以此為基礎,結合對于信息安全等級保護的不斷深入的了解,收集日常運維管理的經驗,就能夠不斷的解決我們在管理過程中出現的問題,提高系統管理的能力和水平。