DB21∕T 2082.1-2013 信息系统安全检查规范 第1部分管理规范
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
L70
DB21∕T 2082 DB21
辽宁省地点标准
DB 21/ XXXXX—XXXX
(报批稿)
(本稿完成日期:2012-9-13)
信息系统安全检查规范
第1部分:治理规范
Specification for information system security checks Part1:Management Criterion
XXXX - XX - XX公布XXXX - XX - XX实施
辽宁省质量技术监督局公布
目次
前言III
引言IV
1范畴1
2规范性引用文件1
3术语、定义和缩略语1 4检查模式2
4.1自查 2
4.2监督检查2
5检查形式2
6监督检查治理2
6.1机构 2
6.2打算 2
6.3组织 2
6.4评估 3
6.5和谐 3
6.6文档治理3
6.6.1记录3
6.6.2备案3
6.7过程治理3
6.7.1质量操纵3
6.7.2连续改进3
7自查治理4
7.1资源预备4
7.1.1文档预备4
7.1.2测试环境预备4 7.1.3其它资源预备4 7.2自查内容4
7.2.1打算4
7.2.2治理4
7.2.3技术5
7.2.4专项经费5
7.2.5检查5
7.3自查总结5
7.4报检预备5
7.5检查及整改 6
7.5.1检查6
7.5.2整改6
7.5.3评估6
附录A(资料性附录)信息系统安全检查常用表格7
前言
DB21/Txxxx分为2部分:
——第1部分:治理规范
——第2部分:技术规范
本部分是DB21/Txxxx的第1部分。
本标准依据GB/T1.1-2009《标准化工作导则第1部分:标准的结构与编写》制定。
本标准由大连市网络与信息安全和谐小组提出。
本标准由辽宁省经济和信息化委员会归口。
本标准起草单位:大连市经济和信息化委员会、大连市网络与信息安全专家组。
引言
为应对日益严肃的信息安全形势,保证信息系统的可信、安全、可控,国家网络与信息安全和谐小组推进重要领域信息系统安全检查,是重要的保证措施。本规范是为建立科学、规范、有序的信息系统安全检查环境编制。
信息系统安全检查规范第1部分治理规范
范畴
本标准规定了信息系统安全检查的模式、监督检查流程和自查治理的一样要求。
本标准适用于各级党政机关、行业主管单位为履行职能提供支撑的信息系统的检查。其它面向社会提供服务的重要行业信息系统检查可参照本标准执行。
本标准不适用于涉及国家隐秘的信息系统安全检查。
规范性引用文件
下列文件关于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8 信息技术词汇第8部分:安全
GB/T 20269 信息安全技术信息系统安全治理要求
术语、定义和缩略语
3.1 术语和定义
GB/T 5271.8界定的以及下列术语和定义适用于本标准。
3.1.1
运算机信息系统computer information system
由运算机及其有关的和配套的设备、网络基础设施、信息安全设施、系统和应用软件、信息资源、系统用户、治理机制等构成的,按照一定的应用目标和规则,运用知识采集、加工、储备、传输、检索信息的人机系统。
3.1.2
重要信息系统important information system
关系国家安全、信息资源安全、经济建设安全、社会稳固等重要领域的信息系统。
3.2 缩略语
3.2.1
信息系统information system
运算机信息系统。
3.2.2
PDCA Plan-Do-Check-Act
全面质量治理应遵循的科学方法。本标准用于信息系统安全检查有关活动的质量治理。
检查模式
自查
应遵循GB/T 20269确立的信息系统安全治理要求和本规范展开自查。
a)信息系统安全自查应由信息系统主管单位、信息系统运营或使用单位组织实施;
b)信息系统安全自查应按照业务状况、信息系统特点和安全要求实施;
c)信息系统安全自查应经常性定期实施,或按照业务、信息系统、信息安全变化情形实施。周期性自查可有重点、有针对性实施。
监督检查
a)信息系统安全监督检查应由信息系统所在上级治理部门组织实施,也可由政府有关职能部门依据有关法规实施;
b)信息系统安全监督检查应依据本标准要求,制定检查流程,实施整体信息安全检查;
c)信息系统安全监督检查应依据本标准要求,实施信息系统安全检查全过程治理;
d)信息系统安全监督检查可在自查基础上,实施关键环节或重点内容检查。
检查形式
a)信息系统安全检查应以自查为主,自查和监督检查相互结合、互相补充;
b)受检单位或监督检查组织部门不具备检查能力的,可托付经有关主管部门认可的机构实施检查。
监督检查治理
机构
监督检查应建立相应的组织机构,明确相应的职责,保证检查的有效性,包括:
a)信息系统安全检查领导机构;
b)信息系统安全检查专家组;
c)信息系统安全检查小组;
d)信息系统安全检查测试组。
打算
监督检查应制定年度信息系统安全检查打算。打算应包括;
a)信息系统安全检查目的、策略;
b)按照DB21/T XXXXX.2、本标准和有关国家标准确定检查内容;
c)信息系统安全检查管控措施;
d)信息系统安全检查质量操纵目标;
e)有关资源的组织、和谐;
f)打算执行情形评估;
g)其它必要事项。
组织
监督检查组织机构应按照检查打算,组织实施信息系统安全检查,包括:
a)明确信息系统安全检查小组职能和检查组成员职责;
b)确定自查、监督检查的时刻节点;
c)组织各有关单位依据本标准实施自查;
1)审查受检单位信息系统安全检查自查报告的完整性、充分性;
2)自查工作方案的有效性、合理性;
3).听取受检单位信息系统安全自查陈述;
4)评估受检单位信息系统安全自查报告;
e)按照重要信息系统、典型意义、信息系统特点等确定抽检单位;
f)按照本标准和有关国家标准实施抽检单位现场检查: