您的位置:360文档中心› DB21∕T 2082.1-2013 信息系统安全检查规范 第1部分管理规范

DB21∕T 2082.1-2013 信息系统安全检查规范 第1部分管理规范

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

L70

DB21∕T 2082 DB21

辽宁省地点标准

DB 21/ XXXXX—XXXX

(报批稿)

(本稿完成日期:2012-9-13)

信息系统安全检查规范

第1部分:治理规范

Specification for information system security checks Part1:Management Criterion

XXXX - XX - XX公布XXXX - XX - XX实施

辽宁省质量技术监督局公布

目次

前言III

引言IV

1范畴1

2规范性引用文件1

3术语、定义和缩略语1 4检查模式2

4.1自查 2

4.2监督检查2

5检查形式2

6监督检查治理2

6.1机构 2

6.2打算 2

6.3组织 2

6.4评估 3

6.5和谐 3

6.6文档治理3

6.6.1记录3

6.6.2备案3

6.7过程治理3

6.7.1质量操纵3

6.7.2连续改进3

7自查治理4

7.1资源预备4

7.1.1文档预备4

7.1.2测试环境预备4 7.1.3其它资源预备4 7.2自查内容4

7.2.1打算4

7.2.2治理4

7.2.3技术5

7.2.4专项经费5

7.2.5检查5

7.3自查总结5

7.4报检预备5

7.5检查及整改 6

7.5.1检查6

7.5.2整改6

7.5.3评估6

附录A(资料性附录)信息系统安全检查常用表格7

前言

DB21/Txxxx分为2部分:

——第1部分:治理规范

——第2部分:技术规范

本部分是DB21/Txxxx的第1部分。

本标准依据GB/T1.1-2009《标准化工作导则第1部分:标准的结构与编写》制定。

本标准由大连市网络与信息安全和谐小组提出。

本标准由辽宁省经济和信息化委员会归口。

本标准起草单位:大连市经济和信息化委员会、大连市网络与信息安全专家组。

引言

为应对日益严肃的信息安全形势,保证信息系统的可信、安全、可控,国家网络与信息安全和谐小组推进重要领域信息系统安全检查,是重要的保证措施。本规范是为建立科学、规范、有序的信息系统安全检查环境编制。

信息系统安全检查规范第1部分治理规范

范畴

本标准规定了信息系统安全检查的模式、监督检查流程和自查治理的一样要求。

本标准适用于各级党政机关、行业主管单位为履行职能提供支撑的信息系统的检查。其它面向社会提供服务的重要行业信息系统检查可参照本标准执行。

本标准不适用于涉及国家隐秘的信息系统安全检查。

规范性引用文件

下列文件关于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 5271.8 信息技术词汇第8部分:安全

GB/T 20269 信息安全技术信息系统安全治理要求

术语、定义和缩略语

3.1 术语和定义

GB/T 5271.8界定的以及下列术语和定义适用于本标准。

3.1.1

运算机信息系统computer information system

由运算机及其有关的和配套的设备、网络基础设施、信息安全设施、系统和应用软件、信息资源、系统用户、治理机制等构成的,按照一定的应用目标和规则,运用知识采集、加工、储备、传输、检索信息的人机系统。

3.1.2

重要信息系统important information system

关系国家安全、信息资源安全、经济建设安全、社会稳固等重要领域的信息系统。

3.2 缩略语

3.2.1

信息系统information system

运算机信息系统。

3.2.2

PDCA Plan-Do-Check-Act

全面质量治理应遵循的科学方法。本标准用于信息系统安全检查有关活动的质量治理。

检查模式

自查

应遵循GB/T 20269确立的信息系统安全治理要求和本规范展开自查。

a)信息系统安全自查应由信息系统主管单位、信息系统运营或使用单位组织实施;

b)信息系统安全自查应按照业务状况、信息系统特点和安全要求实施;

c)信息系统安全自查应经常性定期实施,或按照业务、信息系统、信息安全变化情形实施。周期性自查可有重点、有针对性实施。

监督检查

a)信息系统安全监督检查应由信息系统所在上级治理部门组织实施,也可由政府有关职能部门依据有关法规实施;

b)信息系统安全监督检查应依据本标准要求,制定检查流程,实施整体信息安全检查;

c)信息系统安全监督检查应依据本标准要求,实施信息系统安全检查全过程治理;

d)信息系统安全监督检查可在自查基础上,实施关键环节或重点内容检查。

检查形式

a)信息系统安全检查应以自查为主,自查和监督检查相互结合、互相补充;

b)受检单位或监督检查组织部门不具备检查能力的,可托付经有关主管部门认可的机构实施检查。

监督检查治理

机构

监督检查应建立相应的组织机构,明确相应的职责,保证检查的有效性,包括:

a)信息系统安全检查领导机构;

b)信息系统安全检查专家组;

c)信息系统安全检查小组;

d)信息系统安全检查测试组。

打算

监督检查应制定年度信息系统安全检查打算。打算应包括;

a)信息系统安全检查目的、策略;

b)按照DB21/T XXXXX.2、本标准和有关国家标准确定检查内容;

c)信息系统安全检查管控措施;

d)信息系统安全检查质量操纵目标;

e)有关资源的组织、和谐;

f)打算执行情形评估;

g)其它必要事项。

组织

监督检查组织机构应按照检查打算,组织实施信息系统安全检查,包括:

a)明确信息系统安全检查小组职能和检查组成员职责;

b)确定自查、监督检查的时刻节点;

c)组织各有关单位依据本标准实施自查;

1)审查受检单位信息系统安全检查自查报告的完整性、充分性;

2)自查工作方案的有效性、合理性;

3).听取受检单位信息系统安全自查陈述;

4)评估受检单位信息系统安全自查报告;

e)按照重要信息系统、典型意义、信息系统特点等确定抽检单位;

f)按照本标准和有关国家标准实施抽检单位现场检查:

相关文档
最新文档