4. 检查范围
1)检查范围包括运行环境检查、运行设备安全检查、系统运行管理检查、网络系统对外连接情况检查等用于生产经营和业务管理活动的计算机系统检查;
2)运行环境检查包括,但不限于:
l 防火报警装置、灭火装置等消防系统是否有效;
l 各类报警和监视装置是否有效,机房的接地系统、防静电措施、防雷击措施是否有效;
l 设备是否乱丢乱放;
l 工作人员饮水、用餐等是否危及计算机设备安全;
l 门禁、监控系统是否正常运行;
l 介质分类、介质存放、监控报警系统等是否正常合理;
l 机房温度和湿度的控制、机房防水防潮的控制是否合理等;
3)系统运行管理检查包括,但不限于:
n 计算机工作日志是否正确记录运行维护情况;
n 桌面系统是否运行无关软件;
n 系统管理员离职、离岗时,计算机应用系统设备台账移交是否合规;
n 密码长度是否少于6个不含空格的字符;
n 将含有敏感资料信息的文档或存储载体带离银行时,是否得到管理层授权批准,并进行登记。
n 所有含有敏感资料信息的文档或存储载体是否锁在专门的防火档案柜或保险柜内;
n 销毁存于电脑储存载体(如磁带等)上的电子数据,是否用物理破坏的方式进行。
4)运行设备安全检查包括,但不限于:
n 计算机设备是否保持整齐清洁;
n 生产设备是否由信息科技部会同庶务部购买;
n 是否定期进行安全漏洞扫描,分析漏洞威胁并采取相关措施;
n 计算机应用系统设备台账记录是否准确无误。
5)网络系统对外连接情况检查包括,但不限于:
n 是否采用物理隔离措施隔离我局业务网和互联网;
n 是否按照标准规范的要求隔离业务网与互联网;
n 是否采取措施禁止网络内的计算机以拨号方式接入互联网;
n 是否使用单独的网络设备连接外联网。
6)管理制度、机构、人员、建设和运维的检查包括,但不限于:
n 安全管理制度的制定颁发、评审和修订是否符合标准;
n 安全人员岗位职责分配是否合理;
n 各部门和岗位的是否明确授权审批事项;
n 与外联单位是否建立严格的沟通合作关系;
n 是否对系统日常运行、系统漏洞和数据备份等情况定期审核和检查;
n 人员的录用、离岗、考核和安全意识的培训是否严格规范;
n 是否严格控制外部人员的访问;
n 系统定级是否符合标准;
n 安全方案的设计、审批和修订是否合理;
n 产品采购和使用、软件开发、工程实施、测试验收、系统交付、系统备案等是否符合国家的有关规定,是否建立详细的流程。
n 是否按照国家规定定期对信息系统进行测评;
n 是否确保安全服务商的选择符合国家的有关规定;
n 是否制定详细的信息资产清单,并进行分类标识管理。
三、 实施过程中需要注意的问题
1. 规范化管理不是死板的管理
这个世界上找不到放之四海而皆准的规范化管理模板,因为实际和理论之间需要匹配,理论只是一个框架,框架中的具体内容需要实际情况来填充。而实际中不同机构的具体情况不一,所以具体内容也就不一样。因此,引入规范化管理系统后,管理者应注重系统的完善、优化和创新。要把规范化管理的“普遍规律”与各自的“特殊情况”有机的结合起来。
2. 规范化不能随心所欲
规范化管理的基础概念是规范,规范为人们提供了相对稳定、可以预测、可以期待的工作与生活环境,从而为内部人员之间、机构与外部的协作提供了基础。规范意味着不能随心所欲,要保证其有效的执行,不被干扰。
通过对信息系统这几个方面进行的规范化,最终使得自身的决策程序化、考核定量化、组织系统化、权责明晰化、奖惩有据化、目标计划化、业务流程化、措施具体化、行为标准化、控制过程化。以此为基础,结合对于信息安全等级保护的不断深入的了解,收集日常运维管理的经验,就能够不断的解决我们在管理过程中出现的问题,提高系统管理的能力和水平。