)、所选择的安全服务商(对信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位)是否具有符合国家规定的资质? 113 系统运维管理类(1)、是否制定机房安全管理制度,其内容是否覆盖机房物理访问、物品带进/带出机房、机房环境安全等方面? 114 (2)、是否制定了办公环境管理文档,其是否包括人员调离办公室时立即收回钥匙、不在办公区接待来访人员等方面内容? 115 (3)、是否制定了信息系统相关的资产清单,其内容是否覆盖资产责任部门、责任人、所处位置和重要程度等方面? 116 (4)、是否制定了资产安全管理制度,其是否明确信息资产管理的责任部门、责任人,其内容是否覆盖资产使用、借用、维护等方面? 117 (5)、是否具有信息分类文档,其内容是否规定了分类标识的原则和方法(如根据信息的重要程度、敏感程度或用途不同进行分类)? 118 (6)、是否建立介质安全管理制度,其内容是否覆盖介质的使用、维修、销毁等过程的操作?是否包括对存储介质的使用过程、送出维修以及销毁等进行严格管理的方法和对带出工作环境的存储介质进行内容加密和监控管理的方法?制度中是否包括在介质物理传输过程中的对人员选择、打包、交付等情况进行控制的内容? 119 (7)、是否制定了设备安全管理制度,其是否对设备选型、采购、发放以及带离机构等环节的申报和审批作出规定? 120 (8)、是否具备设备维护管理文档,是否覆盖维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等方面? 121 (9)、是否具有设备操作手册,其内容是否覆盖设备启动、停止、加电、断电等操作,对象是否覆盖终端计算机、工作站、便携机、系统和网络等设备? 122 ( 10)、是否有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,是否有相关的监控运维记录,按类进行归档和保管?
全文预览
