是否超出法律、行政法规规定和用户约定的范围;安全管理机构设置和人员安全管理情况a)应检查关键信息基础设施运营单位是否设置了专门安全管理机构和安全管理负责人,并要求其提供相关证明材料;b)应检查关键信息基础设施运营单位是否对安全管理负责人和关键岗位的人员进行了安全背景审查,并要求其提供相关证明材料;c)应检查关键信息基础设施运营单位是否对定期对从业人员进行网络安全教育、技术培训和技能考核,安全教育培训内容包括但不限于网络安全相关法律、政策、标准、技术、意识等,并要求其提供相关证明材料。安全管理保障体系落实情况7.2.7.1安全管理制度a)应检查网络安全管理制度制订、落实情况,查看安全管理制度起草、制定、修改以及发布过程中的审批记录,查看安全管理制度历史版本记录;b)查看安全管理制度体系是否健全,制度体系范围包括但不限于日常工作规范、安全配置标准、业务连续性计划和应急预案等。7.2.7.2安全建设a)检查关键信息基础设施上线运行前或者发生重大变化时是否进行安全检测评估,包括对外包开发的系统、软件,接受捐赠的网络产品,查看关键信息基础设施运营者产品或服务上线记录;b)查看关键信息基础设施运营者采购网络产品和服务时是否与提供者签订安全保密协议,其中应明确安全和保密义务与责任;c)查看网络安全技术措施规划、建设、运行情况,关键信息基础设施运营者应记录其网络安全与信息化的建设和资金投入、国产化率情况,查看是否存在相关记录。7.2.7.3安全运维a)检查关键信息基础设施的运行维护是否在境内实施,如果在境外远程维护并报上级部门同意的,应有相应的审批文件和记录;b)检查关键信息基础设施的运行维护中发现使用的网络产品、服务存在安全缺陷、漏洞等风险的,是否及时采取措施消除风险隐患和按规定向有关部门报告;c)查看运维管理资料,应包括但不限于系统资产清单,介质管理规定、设备管理规定、机房出入记录等。
全文预览
