系统安全控制

出处：按学科分类—经济 中国科学技术出版社《内审操作手册》第128页（983字）

(1)调阅资料：系统管理制度、系统操作规定、系统档案资料等。

(2)检查方法及要点：

①系统是否有安全保密设计。如管理权限的配置和密码的设计、关键数据的加密和校验是否合理；在系统中是否留有适当的检查接口或规定数据库结构，以便检查人员根据检查任务的需要在适当的时候，将系统与相应检查程序相连接，以进行检查或直接获取中间数据进行检查。

②系统场地的安全保护是否符合要求。主要是检查系统场地是否存在安全隐患，是否配置防火、防尘、不间断电源、稳压、温控等设备。

③对系统的接触控制是否严格。检查是否为防止未经授权人员接触动用计算机系统，建立了机器物理接触控制(如设置门禁系统、机器加锁等)、授权控制(限定计算机或终端所能动用的程序和文件)、标识控制(如密码控制)、数据通讯系统接触控制(以密码通讯等防止外人“窃听”通讯中的信息)。

④系统是否独立运行，与其他系统或网络的链接是否合规，是否设置了“防火墙”。

⑤对数据文件是否按规定进行了备份，是否制定了严格的系统恢复程序，恢复程序是否明确了有关人员的职责。

⑥系统档案的保管是否存在安全隐患。主要检查是否建立起严格的数据文件(档案)保管制度，是否对文件、资料、传递、分类保管的程序等予以严格规定；检查是否采取了相关技术手段对系统档案进行了控制，如设置文件内部标签、外部标签、磁盘驱动器只读开关等。

注意事项：

①检查人员要结合实地检查，以确定各项制度的落实情况，如机房或终端是否上锁，未经批准的人是否有可能接触系统，程序员有无可能接触系统的数据文件，操作人员有无可能接触系统设计和程序设计的有关资料，操作人员有无不退出系统离开工作岗位现象等。

②对磁盘等外部存储设备的保管、复制是否符合要求。