【文章內(nèi)容簡介】 滿足業(yè)務(wù)需要；c) 可訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)設(shè)備上的路由控制策略措施有哪些，這些策略設(shè)計(jì)的目的是什么；d) 應(yīng)檢查是否繪制有網(wǎng)絡(luò)拓?fù)鋱D，并檢查拓?fù)鋱D是否與當(dāng)前運(yùn)行情況一致；e) 應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，查看是否有邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備的處理能力是否能滿足基本業(yè)務(wù)需求的能力，網(wǎng)絡(luò)接入及核心網(wǎng)絡(luò)的帶寬能否滿足業(yè)務(wù)需要的設(shè)計(jì)或說明；f) 應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否配置路由控制策略（如使用靜態(tài)路由等）建立安全的訪問路徑。l 應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足基本業(yè)務(wù)需要；l 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。訪問控制l 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能。a) 可訪談安全員，詢問采取網(wǎng)絡(luò)訪問控制的措施有哪些；詢問訪問控制策略的設(shè)計(jì)原則；詢問網(wǎng)絡(luò)訪問控制設(shè)備具備的訪問控制功能（如是基于狀態(tài)的，還是基于包過濾等）；b) 應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備（包括網(wǎng)絡(luò)安全設(shè)備），查看是否有正確的訪問控制列表（如ACL）對(duì)數(shù)據(jù)的源地址、目的地址、源端口、目的端口、協(xié)議等進(jìn)行控制。c) 可訪談安全員，詢問網(wǎng)絡(luò)是否允許撥號(hào)訪問網(wǎng)絡(luò)；詢問對(duì)撥號(hào)訪問控制的策略是什么，采取何種技術(shù)手段實(shí)現(xiàn)（如使用防火墻還是使用路由器實(shí)現(xiàn)），撥號(hào)訪問用戶的權(quán)限分配原則是什么；d) 應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備（如路由器，防火墻，認(rèn)證網(wǎng)關(guān)），查看是否正確的配置了撥號(hào)訪問控制列表（對(duì)系統(tǒng)資源實(shí)現(xiàn)允許或拒絕用戶訪問），并查看其控制粒度是否為用戶組。l 應(yīng)根據(jù)訪問控制列表對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包出入。l 應(yīng)通過訪問控制列表對(duì)系統(tǒng)資源實(shí)現(xiàn)允許或拒絕用戶訪問，控制粒度至少為用戶組網(wǎng)絡(luò)設(shè)備防護(hù)l 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；a) 可訪談網(wǎng)絡(luò)管理員，詢問對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備的防護(hù)措施有哪些；詢問采取的網(wǎng)絡(luò)設(shè)備的口令策略是什么；詢問對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備的登錄和驗(yàn)證方式做過何種特定配置；b) 應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備上的安全配置，查看是否對(duì)登錄關(guān)鍵網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；c) 應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備上的安全配置，查看是否對(duì)鑒別失敗采取相應(yīng)的措施（如是否有鑒別失敗后鎖定帳號(hào)等措施）；查看是否限制非法登錄次數(shù)。l 應(yīng)具有登錄失敗處理功能，如結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施。. 主機(jī)安全檢查項(xiàng)目檢查內(nèi)容評(píng)估和檢查標(biāo)準(zhǔn)評(píng)估和檢查方法主機(jī)安全身份鑒別l 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；l 應(yīng)具有登錄失敗處理功能，如結(jié)束會(huì)話、限制非法登錄次數(shù)。a) 應(yīng)檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的身份鑒別功能是否具有等級(jí)保護(hù)一級(jí)以上的測試報(bào)告；b) 可訪談系統(tǒng)管理員，詢問操作系統(tǒng)的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn)；c) 應(yīng)檢查核心服務(wù)器操作系統(tǒng)，查看是否提供了身份鑒別措施（如用戶名和口令等）；d) 應(yīng)檢查核心服務(wù)器操作系統(tǒng)，查看是否已配置了鑒別失敗處理功能，并設(shè)置了非法登錄次數(shù)的限制值；e) 應(yīng)測試核心服務(wù)器操作系統(tǒng)，驗(yàn)證當(dāng)進(jìn)入操作系統(tǒng)時(shí)，是否先需要進(jìn)行標(biāo)識(shí)（如建立賬號(hào)）；f) 可訪談數(shù)據(jù)庫管理員，詢問數(shù)據(jù)庫的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn)；g) 應(yīng)查看核心數(shù)據(jù)庫管理系統(tǒng)，查看是否提供了身份鑒別措施（如用戶名和口令等）；h) 應(yīng)檢查核心數(shù)據(jù)庫管理系統(tǒng)，查看是否已配置了鑒別失敗處理功能，并設(shè)置了非法登錄次數(shù)的限制值；i) 應(yīng)測試核心數(shù)據(jù)庫管理系統(tǒng)，驗(yàn)證當(dāng)進(jìn)入數(shù)據(jù)庫管理系統(tǒng)前是否必須進(jìn)行標(biāo)識(shí)（如建立賬號(hào)）。訪問控制l 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問；l 應(yīng)限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；l 應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。a) 應(yīng)檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的自主訪問控制功能是否具有等級(jí)保護(hù)一級(jí)以上的測試報(bào)告；b) 應(yīng)檢查服務(wù)器操作系統(tǒng)的安全策略，查看是否明確主體（如用戶）以用戶和/或用戶組的身份規(guī)定對(duì)客體（如文件）的訪問控制，覆蓋范圍是否包括與信息安全直接相關(guān)的主體（如用戶）和客體（如文件）及它們之間的操作（如讀或?qū)懀?；c) 應(yīng)檢查核心服務(wù)器操作系統(tǒng)，查看客體（如文件）的所有者是否可以改變其相應(yīng)訪問控制列表的屬性，得到授權(quán)的用戶是否可以改變相應(yīng)客體訪問控制列表的屬性；d) 應(yīng)查看核心服務(wù)器操作系統(tǒng)，查看匿名/默認(rèn)用戶的訪問權(quán)限是否已被禁用或者嚴(yán)格限制（如限定在有限的范圍內(nèi)）；e) 應(yīng)檢查數(shù)據(jù)庫管理系統(tǒng)的安全策略，查看是否明確主體對(duì)客體的訪問權(quán)限（如目錄表訪問控制/存取控制表訪問控制等），是否允許主體（如用戶）以用戶和/或用戶組的身份規(guī)定并控制對(duì)客體（如數(shù)據(jù)庫表）的訪問控制；f) 應(yīng)檢查核心數(shù)據(jù)庫管理系統(tǒng)，查看客體（如數(shù)據(jù)庫表、視圖、存儲(chǔ)過程和觸發(fā)器等）的所有者是否可以改變其相應(yīng)訪問控制列表的屬性，得到授權(quán)的用戶是否可以改變相應(yīng)客體訪問控制列表的屬性；g) 應(yīng)檢查核心數(shù)據(jù)庫管理系統(tǒng)，查看匿名/默認(rèn)用戶的訪問權(quán)限是否已被禁用或者嚴(yán)格限制（如限定在有限的范圍內(nèi)）。入侵防范l 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。a) 應(yīng)訪談系統(tǒng)安全員，詢問操作系統(tǒng)是否遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；b) 應(yīng)檢查操作系統(tǒng),查看是否安裝最新補(bǔ)丁。惡意代碼防范l 應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫。a) 應(yīng)訪談系統(tǒng)安全員，詢問主機(jī)系統(tǒng)是否采取惡意代碼實(shí)時(shí)檢測與查殺措施，惡意代碼實(shí)時(shí)檢測與查殺措施的部署情況如何；b) 應(yīng)檢查重要服務(wù)器，查看是否安裝實(shí)時(shí)檢測與查殺惡意代碼的軟件產(chǎn)品（主要是防病毒產(chǎn)品）；查看實(shí)時(shí)檢測與查殺惡意代碼軟件產(chǎn)品的廠家、名稱和惡意代碼庫版本號(hào)。. 應(yīng)用安全檢查項(xiàng)目檢查內(nèi)容評(píng)估和檢查標(biāo)準(zhǔn)評(píng)估和檢查方法應(yīng)用安全身份鑒別l 應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；a) 可訪談系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否采取身份標(biāo)識(shí)和鑒別措施，具體措施有哪些；b) 應(yīng)訪談系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否具有登錄失敗處理的功能，是如何進(jìn)行處理的；c) 應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其是否配備身份標(biāo)識(shí)（如建立賬號(hào)）和鑒別（如口令等）功能； d) 應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其是否配備并使用登錄失敗處理功能（如限制非法登錄次數(shù)，登錄失敗次數(shù)超過設(shè)定值則結(jié)束會(huì)話等）。l 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。l 應(yīng)啟用身份鑒別和登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)訪問控制l 應(yīng)提供訪問控制功能控制用戶組/用戶對(duì)系統(tǒng)功能和用戶數(shù)據(jù)的訪問；a) 可訪談系統(tǒng)管理員，詢問業(yè)務(wù)系統(tǒng)是否提供訪問控制措施，具體措施有哪些；b) 應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看系統(tǒng)是否提供訪問控制機(jī)制； c) 應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其是否有限制默認(rèn)用戶訪問權(quán)限的功能，并已配置使用；d) 應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng)，可通過用不同權(quán)限的用戶登錄，查看其權(quán)限是否受到應(yīng)用系統(tǒng)的限制，驗(yàn)證系統(tǒng)權(quán)限分離功能是否有效；e) 應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng)，可通過授權(quán)主體設(shè)置特定用戶對(duì)系統(tǒng)功能進(jìn)行操作和對(duì)數(shù)據(jù)進(jìn)行訪問的權(quán)限，然后以該用戶登錄，驗(yàn)證用戶權(quán)限管理功能是否有效；f) 應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng)，可通過用默認(rèn)用戶登錄，驗(yàn)證系統(tǒng)對(duì)默認(rèn)用戶訪問權(quán)限的限制是否有效。l 應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)用戶的訪問權(quán)限； 通信完整性l 應(yīng)采用約定通信會(huì)話方式的方法保證通信過程中數(shù)據(jù)的完整性。a) 可訪談安全員，詢問業(yè)務(wù)系統(tǒng)數(shù)據(jù)在傳輸過程中是否有完整性保證措施，具體措施有哪些；b) 應(yīng)檢查設(shè)計(jì)/驗(yàn)收文檔，查看其是否有關(guān)于系統(tǒng)是根據(jù)校驗(yàn)碼（CRC校驗(yàn)）判斷對(duì)方數(shù)據(jù)包的有效性的描述；c) 應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng)，可通過獲取通信雙方的數(shù)據(jù)包，查看其是否有驗(yàn)證碼。軟件容錯(cuò)l 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求。a) 可訪談系統(tǒng)管理員，詢問業(yè)務(wù)系統(tǒng)是否有保證軟件具有容錯(cuò)能力的措施（如對(duì)人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)，在故障發(fā)生并中斷退出時(shí)系統(tǒng)是否提供故障類型和故障發(fā)生點(diǎn)的信息等），具體措施有哪些；b) 應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看業(yè)務(wù)系統(tǒng)是否有對(duì)人機(jī)接口輸入（如用戶界面的數(shù)據(jù)輸入）或通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)的功能； c) 應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng)，可通過輸入的不同（如數(shù)據(jù)格式或長度等符合、不符合軟件設(shè)定的要求）驗(yàn)證系統(tǒng)人機(jī)接口有效性檢驗(yàn)功能是否正確；d) 應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng)，可通過制造一些故障（如系統(tǒng)異常等），查看系統(tǒng)是否提供故障類型和故障發(fā)生點(diǎn)的信息。. 數(shù)據(jù)安全及備份恢復(fù)檢查項(xiàng)目檢查內(nèi)容評(píng)估和檢查標(biāo)準(zhǔn)評(píng)估和檢查方法數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性l 應(yīng)能夠檢測到重要用戶數(shù)據(jù)在傳輸過程中完整性受到破壞。a) 應(yīng)訪談安全員，詢問業(yè)務(wù)系統(tǒng)數(shù)據(jù)在傳輸和存儲(chǔ)過程中是否有完整性保證措施，具體措施有哪些；b) 應(yīng)檢查操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì)/驗(yàn)收文檔或相關(guān)證明性材料（如證書、檢驗(yàn)報(bào)告等）等，查看其是否能檢測/驗(yàn)證到系統(tǒng)管理數(shù)據(jù)（如WINDOWS域管理、目錄管理數(shù)據(jù)）、鑒別信息（如用戶名和口令）和用戶數(shù)據(jù)（如用戶數(shù)據(jù)文件）在傳輸過程中完整性受到破壞；能否檢測/驗(yàn)證到系統(tǒng)管理數(shù)據(jù)（如WINDOWS注冊表、系統(tǒng)文件）、身份鑒別信息（如用戶名和口令存儲(chǔ)文件）和用戶數(shù)據(jù)（如用戶數(shù)據(jù)文件）在存儲(chǔ)過程中未授權(quán)的修改與破壞；如果有相關(guān)信息，查看其配置是否正確；c) 應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其是否配備檢測/驗(yàn)證系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞的功能；是否配備檢測/驗(yàn)證系統(tǒng)管理數(shù)據(jù)、身份鑒別信息和用戶數(shù)據(jù)在存儲(chǔ)過程中未授權(quán)修改與破壞的功能。備份和恢復(fù)l 應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)。a) 可訪談網(wǎng)絡(luò)管理員，詢問信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備是否具有對(duì)重要數(shù)據(jù)進(jìn)行備份的功能，配置如何；是否提供對(duì)重要信息進(jìn)行恢復(fù)的功能；b) 可訪談系統(tǒng)管理員，詢問信息系統(tǒng)中的操作系統(tǒng)是否具有對(duì)重要數(shù)據(jù)進(jìn)行備份的功能，配置如何；是否提供對(duì)重要信息進(jìn)行恢復(fù)的功能；c) 可訪談數(shù)據(jù)庫管理員，詢問信息系統(tǒng)中的數(shù)據(jù)庫管理系統(tǒng)是否具有對(duì)重要數(shù)據(jù)進(jìn)行備份的功能，配置如何；是否提供對(duì)重要信息進(jìn)行恢復(fù)的功能；d) 可訪談安全員，詢問信息系統(tǒng)中的業(yè)務(wù)系統(tǒng)是否具有對(duì)重要數(shù)據(jù)進(jìn)行備份的功能，配置如何；是否提供對(duì)重要信息進(jìn)行恢復(fù)的功能；e) 應(yīng)檢查操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫管理系統(tǒng)、關(guān)鍵應(yīng)用系統(tǒng)，查看其是否配置有選擇的備份和恢復(fù)重要信息恢復(fù)的功能，其配置是否正確。6. ⅡA級(jí)安全評(píng)估和檢查. 信息安全管理評(píng)估和檢查. 安全管理機(jī)構(gòu)檢查項(xiàng)目檢查內(nèi)容評(píng)估和檢查標(biāo)準(zhǔn)評(píng)估和檢查方法安全管理機(jī)構(gòu)崗位設(shè)置l 應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管人、安全管理各個(gè)方面的負(fù)責(zé)人，定義各負(fù)責(zé)人的職責(zé)；l 應(yīng)設(shè)立系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員崗位，定義各個(gè)工作崗位的職責(zé)；a) 應(yīng)訪談安全主管，詢問是否設(shè)立安全管理機(jī)構(gòu)（即信息安全管理工作的職能部門，可以由其它部門兼職）；機(jī)構(gòu)內(nèi)部門設(shè)置情況如何，是否明確機(jī)構(gòu)內(nèi)各部門的職責(zé)分工；b) 應(yīng)訪談安全主管，詢問是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人，設(shè)置了哪些工作崗位（如安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全員等重要崗位），是否明確各個(gè)崗位的職責(zé)分工；c) 應(yīng)訪談安全主管、安全管理某方面的負(fù)責(zé)人，詢問其崗位職責(zé)包括哪些內(nèi)容；d) 應(yīng)檢查部門、崗位職責(zé)文件，查看文件是否明確安全管理機(jī)構(gòu)的職責(zé)，是否明確機(jī)構(gòu)內(nèi)各部門的職責(zé)和分工，部門職責(zé)是否涵蓋物理、網(wǎng)絡(luò)和系統(tǒng)等各個(gè)方面；查看文件是否明確設(shè)置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全員等各個(gè)崗位，各個(gè)崗位的職責(zé)范圍是否清晰、明確；查看文件是否明確各個(gè)崗位人員應(yīng)具有的技能要求。人員配備l 應(yīng)配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員等；l 安全管理人員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。a) 應(yīng)訪談安全主管，詢問各個(gè)安全管理崗位人員（按照崗位職責(zé)文件詢問，包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員）配備情況，包括數(shù)量、專職還是兼職等；b) 應(yīng)檢查人員配備要求的相關(guān)文檔，查看是否明確應(yīng)配備哪些安全管理人員，是否包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員； c) 應(yīng)檢查管理人員名單，查看其是否明確機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員的信息，確認(rèn)安全員是否沒有兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。授權(quán)和審批l 應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動(dòng)進(jìn)行審批；l 應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程，并由批準(zhǔn)人簽字確認(rèn)。a) 應(yīng)訪談安全主管，詢問其是否對(duì)信息系統(tǒng)中的關(guān)鍵活動(dòng)進(jìn)行審批，審批部門是何部門，批準(zhǔn)人是何人，他們的審批活動(dòng)是否得到授權(quán)；b) 應(yīng)訪談關(guān)鍵活動(dòng)的批準(zhǔn)人，詢問其對(duì)關(guān)鍵活動(dòng)的審批范圍包括哪些（如網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、重要服務(wù)器和設(shè)備等重要資源的訪問，重要管理制度的制定和發(fā)布，人員的配備、培訓(xùn)和產(chǎn)品的采購等），審批程序如何；c) 應(yīng)檢查審批事項(xiàng)列表，查看列表是否明確須審批事項(xiàng)、審批部門、批準(zhǔn)人及審批程序等；d) 應(yīng)檢查經(jīng)審批的文檔，查看是否具有批準(zhǔn)人的簽字和審批部門的蓋章。溝通和合作l 應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通；l 應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通，以便在發(fā)生安全事件時(shí)能夠得到及時(shí)的支持。a) 應(yīng)訪談安全主管，詢問是否經(jīng)常與公安機(jī)關(guān)、電信公司和兄弟單位聯(lián)系，聯(lián)系方式有哪些，與組織機(jī)構(gòu)內(nèi)其他部門之間有哪些合作