系统管理系统管理员职责等级杏彩体育(中国)官方网站保护测评话题
测评经验: 此条测评项主要是检查客户有没有设立安全管理部门来具体负责信息安全工作,一般来说,政府单位会设立信息中心负责,并且会设置信息中心主任(一般就默认为安全主管),而在测评过程中发现,企业在这方面做的工作就不够,很多企业就只是有个兼职的部门来做这个事,而且没有相应的安全主管或安全负责人。我们在对这项进行测评的时候,要询问并记录安全管理责任部门、责任人、安全主管的具体名称,并要查看具体的岗位职责文件(有可能在任命文件中会提到)。
测评经验 :这条就比较容易测评了,就访谈客户看看有没有设立安全管理员杏彩体育(中国)官方网站、网络管理员、系统管理员、数据库管理员、机房管理员等职位,并且应提供专门的任职职责文件。一般来说,既然标准都着重提出安全、系统、杏彩体育官网app杏彩体育注册网络这三个管理员,所以我们也要着重看。值得注意的是,一是安全管理员必须是专职的,不能由任何其他管理员兼任;二是系统管理员和数据库管理员不能为同一自然人,这两点要特别注意。但在很多真实环境中,客户方往往都没有专门设立相应的管理员,特别是安全管理员,并且根本不会出什么文件来明确各管理员的职责,本人遇到过的一个单位,杏彩体育注册整个安全部门就两个人,这种情况就是需要整改了。
测评经验 :在这一条测评项中,我们要询问客户方是否成立了信息安全委员会或者领导小组,不能客户说成立了就成立了,我们应该要查看领导小组成立的正式文件,要查看这个文件中的组长和组员,要求文件中应有每个人的联系方式以及工作职责。杏彩体育官网app值得注意的是:领导小组的组长应由企业一把手担任,虽然标准中没说必须,但在我国国情下(自行脑补国家信息安全领导小组组长),都应该由一把手来担任。
可以分享个真实的案例,杏彩体育官网app我们当地的一家高校门户网站被入侵,首页发布了一些影响较大的言论,杏彩体育注册造成了一些影响,这种情况下,一把手当时是首当其冲的,所以我们测评过程中都是要求客户要由一把手来负责安全工作。