DB21∕T 2082.1-2013 信息系统安全检查规范 第1部分管理规范

ICS35.020L70DB21辽宁省地方标准DB21/XXXXX—XXXX信息系统安全检查规范第1部分：管理规范SpecificationforinformationsystemsecuritychecksPart1:ManagementCriterion（报批稿）（本稿完成日期：2012-9-13）XXXX-XX-XX发布XXXX-XX-XX实施辽宁省质量技术监督局发布DB21/XXXXX—XXXXI目次前言...............................................................................III引言................................................................................IV1范围..............................................................................12规范性引用文件....................................................................13术语、定义和缩略语................................................................14检查模式..........................................................................24.1自查..........................................................................24.2监督检查......................................................................25检查形式..........................................................................26监督检查管理......................................................................26.1机构..........................................................................26.2计划..........................................................................26.3组织..........................................................................26.4评估..........................................................................36.5协调..........................................................................36.6文档管理......................................................................36.6.1记录......................................................................36.6.2备案......................................................................36.7过程管理......................................................................36.7.1质量控制..................................................................36.7.2持续改进..................................................................37自查管理..........................................................................47.1资源准备......................................................................47.1.1文档准备..................................................................47.1.2测试环境准备..............................................................47.1.3其它资源准备..............................................................47.2自查内容......................................................................47.2.1计划......................................................................47.2.2管理......................................................................47.2.3技术......................................................................57.2.4专项经费..................................................................57.2.5检查......................................................................57.3自查总结......................................................................57.4报检准备......................................................................57.5检查及整改....................................................................6DB21/XXXXX—XXXXII7.5.1检查......................................................................67.5.2整改......................................................................67.5.3评估......................................................................6附录A（资料性附录）信息系统安全检查常用表格........................................7DB21/XXXXX—XXXXIII前言DB21/Txxxx分为2部分：——第1部分：管理规范——第2部分：技术规范本部分是DB21/Txxxx的第1部分。本标准依据GB/T1.1-2009《标准化工作导则第1部分：标准的结构与编写》制定。本标准由大连市网络与信息安全协调小组提出。本标准由辽宁省经济和信息化委员会归口。本标准起草单位：大连市经济和信息化委员会、大连市网络与信息安全专家组。本标准主要起草人：郎庆斌、孙鹏、刘刚、李持见、仉宏、董晶、孙毅、杨莉、王小庚、尹宏、汪祖民、夏炳俐。DB21/XXXXX—XXXXIV引言信息技术，特别是物联网、云计算、移动互联、社交网络、三网融合等新兴IT技术的广泛应用和迅速发展，极大地促进了社会发展、经济繁荣和人民生活进步，网络应用的基础性、社会性、全局性日益凸显，社会、经济对信息化应用的依赖度愈来愈高，对网络与信息安全也提出了更高要求。网络安全问题严重影响我国政治、经济、文化等领域的和谐发展，近年来一些较大级别的基础网络安全事件增多，安全风险继续处于高危水平，网络攻击和网页篡改事件频繁发生，用户密码、账号被盗比例上升到安全事件的第一位（2010年统计达到27％），社会影响力和关注度已达到前所未有的高度。“震网”病毒攻击、“谷歌地图事件”等都警示我们，网络信息安全已上升到国家安全的重要层面。为应对日益严峻的信息安全形势，保证信息系统的可信、安全、可控，国家网络与信息安全协调小组推进重要领域信息系统安全检查，是重要的保障措施。本规范是为建立科学、规范、有序的信息系统安全检查环境编制。DB21/XXXXX—XXXX1信息系统安全检查规范第1部分管理规范1范围本标准规定了信息系统安全检查的模式、监督检查流程和自查管理的一般要求。本标准适用于各级党政机关、行业主管单位为履行职能提供支撑的信息系统的检查。其它面向社会提供服务的重要行业信息系统检查可参照本标准执行。本标准不适用于涉及国家秘密的信息系统安全检查。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T5271.8信息技术词汇第8部分：安全GB/T20269信息安全技术信息系统安全管理要求3术语、定义和缩略语3.1术语和定义GB/T5271.8界定的以及下列术语和定义适用于本标准。3.1.1计算机信息系统computerinformationsystem由计算机及其相关的和配套的设备、网络基础设施、信息安全设施、系统和应用软件、信息资源、系统用户、管理机制等构成的，按照一定的应用目标和规则，运用知识采集、加工、存储、传输、检索信息的人机系统。3.1.2重要信息系统importantinformationsystem关系国家安全、信息资源安全、经济建设安全、社会稳定等重要领域的信息系统。3.2缩略语3.2.1信息系统informationsystem计算机信息系统。3.2.2PDCAPlan-Do-Check-Act全面质量管理应遵循的科学方法。本标准用于信息系统安全检查相关活动的质量管理。DB21/XXXXX—XXXX24检查模式4.1自查应遵循GB/T20269确立的信息系统安全管理要求和本规范展开自查。a）信息系统安全自查应由信息系统主管单位、信息系统运营或使用单位组织实施；b）信息系统安全自查应根据业务状况、信息系统特点和安全要求实施；c）信息系统安全自查应经常性定期实施，或根据业务、信息系统、信息安全变化情况实施。周期性自查可有重点、有针对性实施。4.2监督检查a）信息系统安全监督检查应由信息系统所在上级管理部门组织实施，也可由政府相关职能部门依据相关法规实施；b）信息系统安全监督检查应依据本标准要求，制定检查流程，实施整体信息安全检查；c）信息系统安全监督检查应依据本标准要求，实施信息系统安全检查全过程管理；d）信息系统安全监督检查可在自查基础上，实施关键环节或重点内容检查。5检查形式a）信息系统安全检查应以自查为主，自查和监督检查相互结合、互相补充；b）受检单位或监督检查组织部门不具备检