文档介绍:计算机信息网络安全检查项目表
类别
要求
检查内容
检查要求
备注
安全管理组织
是否建立信息网络安全管理组织。
1、检查是否组建信息网络安全管理机构。
有信息网络安全管理机构成立的正式文件、会议记录。
2、信息网络安全组织是否报公安公共信息网络安全监察部门备案。
报公安公共信息网络安全监察部门备案。
3、安全组织组***员是否参加过同级公安机关组织的安全培训。
安全组织人员应定期参加公安公共信息网络安全监察部门组织的安全培训。
安全管理人员
是否有专职的信息网络安全管理人员。
1、安全员、安全监督员、信息审查员是否经过公安公共信息网络安全监察部门的培训,是否持证上岗。
应接受过公安机关的安全培训,同时必须持自治区公安厅、人事厅颁发的证书上岗。
2、对职工进行信息网络安全培训及考核情况。
应定期对单位职工进行信息网络安全教育和培训。
安全管理制度
是否建立信息网络安全管理制度。
1、计算机机房安全管理制度。
有严格的管理制度。
2、安全责任制度。
有严格的管理制度。
3、网络安全漏洞检测和系统升级管理制度。
有严格的管理制度。
4、操作权限管理制度。
有严格的管理制度。
5、用户登记制度。
有严格的管理制度。
6、安全事件报告制度
有严格的管理制度。
7、信息网络安全突发事件应急方案。
有方案
用户/单位备案情况
应向公安机关网监部门提供安全保护管理所需信息、资料及数据文件。
1、是否填写《中华人民共和国计算机信息网络国际联网备案表》,并到同级公安机关公共信息网络安全监察部门备案。
应备案
2、提供网络拓扑图。
提供
3、对信息网络安全保护工作有档案记录。
有
4、发现信息网络案件及时向公安机关报告。
有
环境安全
系统中心机房应满足国家标准GB50174-1993《电子计算机机房设计规范》、GB2887-2000《电子计算机机场地通用规范》、GB9361-1988《计算站场地安全要求》的要求。
检查机房是否在场地、防火、防水、防震、电力、布线、配电、温度、湿度、防雷、防静电等方面达到相应标准要求。
达到相应机房标准。
设备安全
信息系统中心机房应采用有效的身份鉴别系统(例如电子门控系统、IC卡、电视监视系统等)。
检查是否安装了身份鉴别系统。
已安装
2、检查是否记录出入人员的相关信息。如:身份、日期、时间等。
能记录
媒体安全
应保证重要或涉密媒体安全
检查是否根据软盘、硬盘、光盘等介质各自的使用情况、使用寿命及系统的可靠性等级,制定预防性维护、更新计划。
有计划
应保证媒体数据安全
检查是否对软盘、硬盘、光盘等介质中的重要或涉密数据进行销毁。
有
备份与恢复
系统的主要设备、软件、数据、电源等应有备份。
1、检查主要服务器、电源是否有备份,重要设备是否采取备份措施。
有备份及备份措施
2、检查主要系统软件、应用软件等是否采取备份措施。
有备份措施
3、检查数据信息是否有备份。
有
备份与恢复
备份系统应具有在较短时间恢复系统运行的能力。
根据系统的性质,检查系统是否具有在指定时间内恢复系统功能以及重要数据的能力。
有
根据系统的重要程度和涉密程度不同,可酌情考虑。
重要信息系统的数据应具备异地备份。
检查重要信息的数据是否进行了异地备份,备份数据的存放应不在同一建筑物内。
有符合要求的异地备份。
病毒的检测与清除
应采用经公安部批准的查毒杀毒软件。
1、检查所采用的查、杀毒软件是否获得销售许可证。
获得
2、检查所采用的查、杀毒软件和病毒样本库是否是最新版本。
是最新版本
应适时进行包括服务器和客户端的查毒、杀毒。
1、抽查服务器或客户机是否安装实时查毒、杀毒软件,验证其是否具有实时功能。
有实时功能
2、检查是否对服务器或客户机定期查毒、杀毒。
有相应规定
3、检查对染毒次数、杀毒次数、杀毒结果所做的记录。
有记录
应制定严格的防病毒制度。
1、检查是否有针对病毒防治的规章制度。
有规章制度
2、规章制度应包括对查、杀毒软件的使用规定、定时查毒的周期时间、控制病毒来源的具体措施等主要条款,对其中某些具体项目进行检查。
有相应条款
鉴别次数
应规定当不成功鉴别尝试达到规定次数时,系统所要采取的行动。
检查当某用户对系统的鉴别尝试失败次数连续达到三次或五次后,系统是否锁定该用户的账号,并只有安全管理员有权恢复或重建该账号,且将有关信息生成审计事件。
有相应的操作
主要针对被检单位的应用系统。
鉴别方式
根据信息的涉密等级制定不同的身份鉴别方式,其中包括采用口令方式、IC卡技术、一次性口令或生理特征等强身份鉴别。
检