下载文档原格式
公安部61号令标题公安部关于规范公安机关互联网安全监督检查工作的规定发文字号公安部令第61号发布日期2023年6月30日生效日期2023年8月1日主要内容为了加强公安机关互联网安全监督检查工作,维护国家网络安全,保障公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《中华人民共和国公安机关行政执法程序规定》等法律法规,制定本规定。
第一章总则第一条监督检查的目的和依据本规定是为了规范公安机关互联网安全监督检查工作,明确监督检查的对象、内容、方式、程序、责任等,保证监督检查工作的科学性、合法性、有效性。
本规定依据《中华人民共和国网络安全法》第二十一条、第二十二条、第二十三条、第二十四条、第二十五条、第三十六条、第三十七条、第三十八条、第四十九条等有关规定制定。
第二条监督检查的对象和范围(一)在中华人民共和国境内提供互联网接入服务、数据中心服务、内容分发服务、域名解析服务等网络基础设施服务的单位;(二)在中华人民共和国境内提供互联网信息服务的单位;(三)在中华人民共和国境内提供互联网相关产品或服务,或者利用互联网开展业务活动,涉及重要数据或者重要信息系统的单位;(四)在中华人民共和国境内从事互联网安全技术研发、生产、销售或者服务的单位;(五)其他需要进行互联网安全监督检查的单位。
本规定所称单位,包括法人单位、非法人单位以及其他组织。
第三条监督检查的内容和标准(一)是否按照法律法规和国家标准建立健全互联网安全管理制度和操作规程,落实互联网安全主体责任;(二)是否按照法律法规和国家标准采取必要的技术措施和管理措施,保障网络运行安全,防范网络攻击、入侵、干扰或者破坏;(三)是否按照法律法规和国家标准采取必要的技术措施和管理措施,保护网络数据的安全,防止数据泄露、篡改或者损毁;(五)是否按照法律法规和国家标准采取必要的技术措施和管理措施,防止网络传播违法犯罪信息,维护网络空间的清朗;(六)是否按照法律法规和国家标准采取必要的技术措施和管理措施,保障重要数据或者重要信息系统的安全,防止重要数据或者重要信息系统的损害、丢失或者泄露;(七)是否按照法律法规和国家标准采取必要的技术措施和管理措施,保障互联网安全技术产品或服务的质量和安全性,防止互联网安全技术产品或服务存在安全缺陷或者隐患;(八)是否按照法律法规和国家标准采取必要的技术措施和管理措施,配合公安机关开展互联网安全监督检查、应急处置、调查取证等工作;(九)是否存在其他违反互联网安全法律法规和国家标准的行为。
信息节前安全检查内容
信息节前安全检查内容主要包括以下几个方面:
设备安全检查:对信息设备进行安全检查,包括服务器、计算机、网络设备等,确保设备运行正常,无损坏或故障。
网络安全检查:对网络系统进行安全检查,包括防火墙、入侵检测系统等,确保网络设备安全运行,无漏洞或安全隐患。
数据安全检查:对重要数据进行安全检查,包括数据备份、数据加密等,确保数据安全无虞,防止数据泄露或损坏。
软件安全检查:对软件系统进行安全检查,包括操作系统、应用软件等,确保软件无漏洞或恶意代码,防止软件被攻击或入侵。
物理安全检查:对信息设备的物理环境进行安全检查,包括机房、电源、空调等,确保设备运行环境良好,无安全隐患。
人员安全检查:对信息人员进行安全检查,包括员工、客户等,确保人员无违规操作或恶意行为。
应急预案检查:对应急预案进行安全检查,包括应急流程、处置措施等,确保预案完善、可行。
安全管理制度检查:对信息安全管理相关制度进行检查,包括安全策略、安全责任制等,确保制度完善、有效。
在进行信息节前安全检查时,应该注重全面、细致,不留死角。
同时,还要结合实际情况进行针对性的检查,以确保信息的安全性。
银监会信息系统现场检查指南信息系统现场检查指南(架构)为了规范和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统现场检查的质量,特制定本指南。
一、检查目的(一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平;(二)了解和掌握银行业金融机构信息安全保障体系和内部控制规程,信息系统风险管理岗位责任制度和监督落实情况,评价其计算机安全管理水平;(三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水平;(四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况,促进银行业金融机构完善内控环境,控制和化解操作风险;(五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。
二、检查要点(一)检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时性和有效性,确保合理及时地防范和控制信息系统组织、规划风险。
(二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。
(三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系统开发的流程、质量及安全的管理情况。
(四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的科学化、制度化和规范化,确保信息系统安全可靠的运行。
《草稿公司个人信息保护合规现场检查清单》一、物理安全措施✧确认数据中心和服务器房间的访问控制措施。
✧检查是否有未授权人员进入敏感区域的记录。
✧验证访客登记和携带物品进出的管理制度。
✧确认防火、防盗和其他灾害预防措施是否到位。
二、技术安全措施✧检查网络边界防护设备(如防火墙)的配置和日志。
✧审查服务器和数据库的安全设置和访问日志。
✧确认加密措施在数据传输和存储中的实施情况。
✧验证备份程序的有效性和备份数据的完整性。
三、个人信息处理流程✧核实个人信息的处理活动是否与政策和程序一致。
✧检查是否存在未经授权处理个人信息的行为。
✧审查个人信息分类和分级保护措施的实施情况。
✧检验个人信息的销毁流程是否符合法规要求。
四、员工培训和意识✧通过随机询问,评估员工对数据保护政策的了解程度。
✧检查员工是否接受过相关的数据保护培训。
✧确认员工是否能正确操作涉及个人信息的系统和工具。
五、事件响应和通报机制✧检查是否有明确的安全事件响应计划。
✧验证安全事件的记录和通报流程是否得当。
✧确认是否进行了定期的安全事件响应演练。
六、监督和审计✧审查内部审计和监督机制的有效性。
✧检查是否有定期的合规性自检和第三方审计。
✧确认违规行为的处理流程及执行情况。
通过以上现场检查清单,草稿公司能够详细地评估各项个人信息保护措施的实际运行情况,及时发现潜在的风险点和不足,从而确保公司的个人信息处理活动符合法律法规要求,并有效保护信息主体的权益。
《草稿公司个人信息保护合规现场检查清单》在实际的现场检查中,需要由具有相应资质的审计人员对每一项检查点进行仔细评估,并在“检查结果”一栏中标明是“通过”还是“不通过”,同时在“备注”一栏中提供具体的发现或观察到的问题。
这样的检查记录表有助于确保审计过程的系统性和全面性,并为最终的审计报告提供详实的数据支持。
第1篇一、前言随着信息技术的飞速发展,信息已经成为国家、企业和个人的重要资产。
然而,信息安全隐患也日益凸显,对国家安全、企业利益和个人隐私构成了严重威胁。
为了确保信息安全,预防和减少信息安全事故的发生,特制定本信息安全隐患排查方案。
二、排查目标1. 全面掌握公司信息系统的安全状况;2. 发现并消除信息系统中的安全隐患;3. 提高公司信息系统的安全防护能力;4. 保障公司业务连续性和数据完整性。
三、排查范围1. 信息系统:包括公司内部网络、服务器、数据库、应用程序等;2. 网络设备:包括路由器、交换机、防火墙等;3. 通信设备:包括电话、传真、邮件等;4. 信息化设备:包括电脑、打印机、扫描仪等;5. 信息存储设备:包括硬盘、U盘、光盘等;6. 人员操作及管理:包括员工信息安全管理、系统操作权限管理、数据备份与恢复等。
四、排查方法1. 文档审查:对信息系统、网络设备、通信设备、信息化设备等相关文档进行审查,了解其安全配置、操作规范等;2. 现场勘查:对信息系统、网络设备、通信设备、信息化设备等相关设备进行现场勘查,检查其安全防护措施;3. 技术检测:利用安全检测工具对信息系统、网络设备、通信设备、信息化设备等相关设备进行安全检测,发现潜在的安全隐患;4. 操作审计:对员工操作进行审计,检查其是否符合安全规范;5. 人员访谈:与相关人员访谈,了解信息系统、网络设备、通信设备、信息化设备等相关设备的安全管理状况。
五、排查步骤1. 准备阶段:成立信息安全隐患排查小组,明确排查任务、时间、范围和人员分工;2. 文档审查阶段:对相关文档进行审查,了解信息系统、网络设备、通信设备、信息化设备等相关设备的安全状况;3. 现场勘查阶段:对信息系统、网络设备、通信设备、信息化设备等相关设备进行现场勘查,检查其安全防护措施;4. 技术检测阶段:利用安全检测工具对信息系统、网络设备、通信设备、信息化设备等相关设备进行安全检测,发现潜在的安全隐患;5. 操作审计阶段:对员工操作进行审计,检查其是否符合安全规范;6. 人员访谈阶段:与相关人员访谈,了解信息系统、网络设备、通信设备、信息化设备等相关设备的安全管理状况;7. 整改阶段:根据排查结果,制定整改方案,明确整改责任人和整改时限;8. 验收阶段:对整改措施进行验收,确保安全隐患得到有效消除。
信息安全技术信息系统安全等级保护测评指南下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!信息安全技术信息系统安全等级保护测评指南一、引言在当今信息化社会,信息系统的安全性日益受到重视。
商业银行信息科技风险现场检查指南目录第一部分概述121.指南说明131.1 目的及适用范围121.2 编写原则131.3 指南框架13第二部分科技管理142.信息科技治理182.1 董事会及高级管理层15检查项1 : 董事会18检查项2 : 信息科技管理委员会19检查项3 : 首席信息官(CIO)202.2 信息科技部门16检查项1 : 信息科技部门21检查项2 : 信息科技战略规划232.3 信息科技风险管理部门18检查项1 : 信息科技风险管理部门242.4 信息科技风险审计部门18检查项1 : 信息科技风险审计部门252.5知识产权保护和信息披露19检查项1 : 知识产权保护26检查项2 : 信息披露263.信息科技风险管理283.1 风险识别和评估20检查项1 : 风险管理策略28检查项2 : 风险识别与评估293.2 风险防范和检测20检查项1 : 风险防范措施29检查项2 : 风险计量与检测304.信息安全管理324.1 安全管理机制与管理组织错误!未定义书签。
检查项1: 信息分类和保护体系32检查项2: 安全管理机制33检查项3: 信息安全策略34检查项4: 信息安全组织344.2 安全管理制度错误!未定义书签。
检查项1: 规章制度35检查项2: 制度合规36检查项3: 制度执行374.3 人员管理错误!未定义书签。
检查项1: 人员管理384.4 安全评估报告错误!未定义书签。
检查项1: 安全评估报告394.5 宣传、教育和培训错误!未定义书签。
检查项1: 宣传、教育和培训395.系统开发、测试与维护错误!未定义书签。
5.1开发管理错误!未定义书签。
检查项1: 管理架构41检查项2: 制度建设43检查项3: 项目控制体系44检查项4: 系统开发的操作风险45 检查项5: 数据继承和迁移465.2系统测试与上线错误!未定义书签。
检查项1: 系统测试47检查项2: 系统验收49检查项3: 投产上线495.3系统下线错误!未定义书签。
前言信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的重要手段。
银行业对信息科技的高度依赖,决定了信息系统的安全性、可靠性和有效性对维系整个银行业的安全和金融体系的稳定具有至关重要的作用。
银监会党委对信息科技风险监管工作高度重视,刘明康主席多次召开专项工作会议并做出重要批示和指示,明确要求着力推进信息科技风险监管。
银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念,把信息科技风险纳入银行总体风险监管框架,切实加强制度建设和风险监控,确保银行业信息系统安全稳定。
在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的新形势下,银监会坚持“风险为本”的监管原则,提出了信息科技风险功能性监管的新思路,突出“制度先行”,完善监管框架,借鉴和吸收国际先进标准及业界最佳实践,不断丰富信息科技风险监管方式方法,制定了一系列的监管规范,结合奥运保障开展现场检查,并针对性地发出有关风险提示,建立非现场监管体系和监管评级体系,从而构建了信息科技风险监管的基础框架,全面展开信息科技风险的监管工作。
按照郭利根副主席提出的“集成资源,形成信息科技风险监管合力”和“搞好规划,全面加强信息科技风险监管制度建设”要求,银监会强化机制建设、优化资源配置,整合科技人力资源,集中全国银监会系统科技骨干力量,在北京成立了信息科技监管“专项工作组”,又在上海、深圳两地分别成立信息科技风险监管工作室,按照统一调度、统一指挥、统一培训的工作原则,制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举,形成了矩阵式的监管工作模式,快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。
《手册》的编写得到了各方的大力支持。
上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、1天津、重庆、大连、云南、贵州银监局派出精锐技术骨干,参加《手册》编写工作;银监会各部门与各银监局提出了许多宝贵意见;上海银监局为编写工作提供了大量支持和保障工作。
信息科技现场检查指南为了规范和指导信息科技现场检查工作,提高信息科技现场检查的水平,确保信息科技现场检查的质量,特制定本指南。
一、检查目的(一)了解和掌握银行业金融机构信息科技管理组织体系、工作制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平;(二)了解和掌握银行业金融机构信息安全保障体系和内部控制规程,信息科技风险管理岗位责任制度和监督落实情况,评价其计算机安全管理水平;(三)了解和掌握银行业金融机构信息科技在研发过程中项目管理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水平;(四)了解和掌握银行业金融机构信息科技在信息科技运行和操作制度建设和执行情况,促进银行业金融机构完善内控环境,控制和化解操作风险;(五)了解和掌握银行业金融机构信息科技在业务持续性计划方面制度建设和执行情况,促进银行业金融机构信息科技信息科技风险管理涵盖管理、维护的每个环节。
二、检查要点(一)检查信息科技风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时性和有效性,确保合理及时地防范和控制信息科技组织、规划风险。
(二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。
(三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金融机构信息科技风险管理效率及水平,评估系统开发的流程、质量及安全的管理情况。
(四)检查信息科技运行和操作管理情况,检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的科学化、制度化和规范化,确保信息科技安全可靠的运行。
(五)检查业务持续性规划的制定情况,分析其是否明确定义了管理层关于维护信息科技可用性及更新相关业务持续性计划的责任和义务,并制定了合适的负责人员。
评估建设及实施关于灾难恢复的组织机构、业务流程和应对措施的合理性。
三、检查内容(一)信息科技公司治理和组织结构1、制度建设(1)检查银行是否根据国家和银监会有关信息科技管理制度制定了实施细则,分析制度制定、审批、修订和发布等流程的规范性。
(2)检查信息科技相关规章制度、技术规范、操作规程建设情况。
重点检查:各项制度规章是否正式发文,内容是否涵盖规划、研发、建设、运行、维护、应急、外包、保密和监控等范畴,是否明确相关人员的职责权限并实行最小授权的制约机制,是否建立制订后评价程序或机制,现有的制度是否适应组织结构、业务管理、信息安全的需要。
(3)检查实施知识产权保护情况。
重点检查:正版软件版本管理情况;国产自有知识产权的软硬件的使用情况;信息化安全等级保护工作情况;自主知识产权信息化成果保护情况。
2、组织结构(1)检查银行业金融机构董事层、经理层的信息科技管理和风险管理组织架构。
重点检查:①科技管理、持续科技风险管理程序及就科技管理稳健务实的手段、工作分工和职责;负责信息科技的战略规划、重大项目和风险监督管理的领导层面或决策机构及信息科技部门的建设情况;信息科技风险管理职责的归属以及管理情况;公司董事会及其相关专业委员会、经营管理层对信息科技工作和信息风险管理的职责、分工是否明确。
②该银行组织结构设计的战略定位,组织结构的合理性是否符合风险管理的需要;董事会和高管层面是否重视科技管理和信息科技规划工作;了解董事会对信息科技所担负的职责,管理层如何发挥对信息科技的监督和指导作用;辨析组织的灵活性以及角色与职责的清晰程度,了解内部平衡监督和放权的关系;分析对安全、质量和内部控制等的组织定位。
(2)检查信息科技建设决策流程、总体策略制定和统筹项目建设的情况。
重点检查:信息科技建设规划中是否涵盖信息安全、运行管理、业务持续性计划等重要内容;评估近期、中期和远期关于信息科技的重大策略和目标的合理性。
着重从以下几个方面了解:①银行如何利用信息科技技术更好地为企业创新服务,在进行信息科技治理时如何贯彻“以组织战略目标为中心”的思想,确保信息科技资源与业务匹配;银行的信息科技投资是否与战略目标相一致;是否合理配置信息科技资源以实现面向服务的架构,核心业务系统是否能满足银行变化的需求;业务流程如何整合信息科技流程,在关键战略决策中信息科技的融入程度,确保无信息孤岛现象。
②信息科技规划中如何更好的控制风险,包括控制业务风险和控制由信息科技使用带来的风险。
是否在信息科技建设规划每个环节考虑到风险因素,满足银行最低风险控制需要;是否考虑到风险管理系统的建设,特别是满足监管当局的监管需求;能否实现自动从业务或风险系统中采集监管数据,以提高银行风险监管能力。
③根据银行信息科技现状和信息科技规划初步评估该行信息科技建设水平,比如可以按信息资产规模分为落后型、发展型、追随型和领先型。
(3)检查高管层对本机构信息科技风险状况的控制程度。
重点检查:是否定期组织内部评估、审计、报告本机构信息科技风险状况;针对存在的风险状况是否采取相应的风险控制措施,以及各项措施的卜具体内容环节、主要实施部门和评估结果;是否建立了对整改工作的监督机制。
(4)检查科技管理队伍、技术应用队伍、风险管理队伍的建设情况。
重点检查:人员素质情况,包括科技管理、科技风险管理和技术人员的知识结构、年龄结构、专业结构;人员在系统内的占比情况;内审部门是否有既懂科技又懂业务的审计人员,风险管理部门是否有专职IT 人员和已获得上岗证书的信息安全管理员;对信息科技人员的行为规范管理情况。
(5)检查科技队伍培训、激励等管理机制的建设执行情况。
重点检查:培训规划和历史记录,包括职业培训、岗前培训情况,相关职责所需专业知识和技能的实际符合情况;分析信息科技人员从应聘、录用、培训、评估、晋升到解雇的整个从业历程是否合理、公平和透明。
(二)信息安全管理1、信息安全建设基本情况(1)检查内部科技风险管理机构对信息科技面临的风险开展评估的情况。
重点检查:通过调阅该机构安全领导小组成立(或调整)的文件,其他与计算机安全相关的会议记录或文件,了解该机构是否设立计算机信息科技安全领导小组并上报当地监督部门,是否充分履行有关计算机安全管理和监督检查职责。
(2)检查服务承包商和提供商与相关法律、法规等的符合程度。
重点检查:通过调阅该机构所有承包商和服务提供商的详细资料和合同文本,确认所有承包商和服务提供商是否符合法律法规要求,合同文本是否符合法律要求(如数据保护法规),是否明确各自的安全责任,是否有确保业务资产的完整性和保密性的条款等。
(3)检查信息安全处理的原则、目标和要求的制度建设的完备性。
重点检查:调阅与计算机系统运行、安全保障和文档管理等相关规章制度,其范围除自行制定的制度还包括转发的上级文件,审计是否建立必要的计算机安全制度,审核各类制度的科学性、严密性和可操作性。
2、逻辑访问风险控制情况(1)检查访问控制业务要求、策略要求和访问规则的制订情况。
重点检查:通过阅读源程序或第三方业务系统安全审计报告,确定该机构的业务系统是否制订访问控制的业务要求、策略要求和访问规则,并确定其安全性、完备性。
(2)检查访问用户的注册管理制度。
重点检查:是否制定了正式的用户注册和取消注册程序,规范对所有多用户信息科技与服务的访问授权。
是否使用唯一用户ID 使用户对其操作负责(组ID 只有适合所进行的工作,才允许使用),用户离开组织时是否立即取消其用户ID,是否定期检查并取消多余的用户ID 和帐户。
(3)检查访问用户的权限管理和权限检查流程。
重点检查:是否建立了正式的用户的权限管理和权限检查程序,系统所有者对信息科技或服务授予的权限是否合适业务的开展,所授予的访问权限级别是否与组织的安全策略相一致,例如它会不会影响责任划分;用户因工作变更或离开组织时是否立即取消其访问权限;用户权限设定是否采用双人复核;是否对用户访问权限分配进行定期检查确保没有对用户授予非法权限。
(4)检查访问用户的口令管理。
重点检查:是否采用了正式的管理程序来控制口令的分配,是否确保一开始向他们提供一个安全的临时口令并要求他们立即更改口令,用户忘记口令时是否在对该用户进行适当的身份识别后才能向其提供临时口令,是否还采用了其他的用户身份识别和验证技术(如生物统计学中的指纹鉴定;建立新的用户,是否建立了申请审批程序,并采用双人控制。
(5)检查访问用户的责任管理。
重点检查:所有用户是否做到避免在纸上记录口令,只要有迹象表明系统或口令可能遭到破坏时是否立即更改口令,是否选用高质量的口令,是否定期更改口令。
3、网络安全控制情况(1)检查网络管理和网络服务的安全策略制定情况。
重点检查:通过调阅网络建设文档或第三方网络安全审计报告,确定该机构是否制定网络和网络服务的安全策略,并确定此策略是否业务访问控制策略相一致。
(2)检查实施网络控制的安全手段。
重点检查:通过调阅网络建设文档或第三方网络安全审计报告,确定该机构是否制定网络控制的安全途径,并确定实施控制的路径的要求是否是业务访问控制策略所必要的,是否通过专线或专门电话号码联网,是否自动将端口连接到指定应用系统或安全网关,是否限制个人用户的菜单和子菜单选项,是否防止无限制的网络漫游,是否强制外部网络用户使用指定应用系统和/或安全网关,是否为组织内用户组设置不同的逻辑域(如虚拟专用网)来限制网络访问。
(3)检查外部连接的用户身份验证方法。
重点检查:是否通过使用加密技术、硬件标记或问答协议对远程用户访问进行身份验证,对于专线用户是否安装了网络用户地址检查工具来对连接源提供安全保障,对拨号用户是否使用反向拨叫程序和控制措施(如使用反向拨叫调制解调器)可以防止与组织信息处理设施的非法连接和有害连接。
(4)检查远程诊断端口的保护情况。
重点检查:是否使用适当的安全机制(如密钥锁)对诊断端口进行保护,保证它们只能在计算机服务管理员和要求访问的软硬件支持人员进行适当的安排后才能访问。
(5)检查网络的划分和路由控制情况。
重点检查:是否在网络内采用一些控制措施把信息服务组、用户组和信息科技组分割成不同的逻辑网络域(如组织的内部网络域和外部网络域),每个域都使用一个明确的安全界限来加以保护,是否在两个要互连的网络之间安装一个安全网关可以实现这样的一个安全界限,从而控制两个域之间的访问和信息流动,是否对该网关配置,访问控制策略来阻止非法访问。
