DB21T 1信息系统安全检查规范 第1部分管理规范.docx

1、DB21T 1信息系统安全检查规范 第1部分管理规范DB21T 2082L70DB21辽宁省地点标准DB 21/ XXXXXXXXX信息系统安全检查规范第1部分：治理规范Specification for information system security checksPart1:Management Criterion （本稿完成日期：2012-9-13）XXXX - XX - XX公布XXXX - XX - XX实施辽宁省质量技术监督局公布目次前言DB21/Txxxx分为2部分：第1部分：治理规范第2部分：技术规范本部分是DB21/Txxxx的第1部分。本标准依据GB/T1.1-200

2、9标准化工作导则 第1部分：标准的结构与编写制定。本标准由大连市网络与信息安全和谐小组提出。本标准由辽宁省经济和信息化委员会归口。本标准起草单位：大连市经济和信息化委员会、大连市网络与信息安全专家组。引言为应对日益严肃的信息安全形势，保证信息系统的可信、安全、可控，国家网络与信息安全和谐小组推进重要领域信息系统安全检查，是重要的保证措施。本规范是为建立科学、规范、有序的信息系统安全检查环境编制。信息系统安全检查规范 第1部分 治理规范范畴本标准规定了信息系统安全检查的模式、监督检查流程和自查治理的一样要求。本标准适用于各级党政机关、行业主管单位为履行职能提供支撑的信息系统的检查。其它面向社会提

3、供服务的重要行业信息系统检查可参照本标准执行。本标准不适用于涉及国家隐秘的信息系统安全检查。规范性引用文件下列文件关于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 5271.8 信息技术 词汇 第8部分：安全GB/T 20269 信息安全技术 信息系统安全治理要求术语、定义和缩略语3.1 术语和定义GB/T 5271.8界定的以及下列术语和定义适用于本标准。3.1.1 运算机信息系统 computer information system由运算机及其有关的和配套的设备、网络基础设施、信

4、息安全设施、系统和应用软件、信息资源、系统用户、治理机制等构成的，按照一定的应用目标和规则，运用知识采集、加工、储备、传输、检索信息的人机系统。3.1.2 重要信息系统 important information system关系国家安全、信息资源安全、经济建设安全、社会稳固等重要领域的信息系统。3.2 缩略语3.2.1 信息系统 information system运算机信息系统。3.2.2PDCA Plan-Do-Check-Act全面质量治理应遵循的科学方法。本标准用于信息系统安全检查有关活动的质量治理。检查模式自查应遵循GB/T 20269确立的信息系统安全治理要求和本规范展开自查。a

5、）信息系统安全自查应由信息系统主管单位、信息系统运营或使用单位组织实施；b）信息系统安全自查应按照业务状况、信息系统特点和安全要求实施；c）信息系统安全自查应经常性定期实施，或按照业务、信息系统、信息安全变化情形实施。周期性自查可有重点、有针对性实施。监督检查a）信息系统安全监督检查应由信息系统所在上级治理部门组织实施，也可由政府有关职能部门依据有关法规实施；b）信息系统安全监督检查应依据本标准要求，制定检查流程，实施整体信息安全检查；c）信息系统安全监督检查应依据本标准要求，实施信息系统安全检查全过程治理；d）信息系统安全监督检查可在自查基础上，实施关键环节或重点内容检查。检查形式a）信息系

6、统安全检查应以自查为主，自查和监督检查相互结合、互相补充；b）受检单位或监督检查组织部门不具备检查能力的，可托付经有关主管部门认可的机构实施检查。监督检查治理机构监督检查应建立相应的组织机构，明确相应的职责，保证检查的有效性，包括：a）信息系统安全检查领导机构；b）信息系统安全检查专家组；c）信息系统安全检查小组；d）信息系统安全检查测试组。打算监督检查应制定年度信息系统安全检查打算。打算应包括；a）信息系统安全检查目的、策略；b）按照DB21/T XXXXX.2、本标准和有关国家标准确定检查内容；c）信息系统安全检查管控措施；d）信息系统安全检查质量操纵目标；e）有关资源的组织、和谐；f）打

7、算执行情形评估；g）其它必要事项。组织监督检查组织机构应按照检查打算，组织实施信息系统安全检查，包括：a）明确信息系统安全检查小组职能和检查组成员职责；b）确定自查、监督检查的时刻节点；c）组织各有关单位依据本标准实施自查； 1）审查受检单位信息系统安全检查自查报告的完整性、充分性； 2）自查工作方案的有效性、合理性；3）.听取受检单位信息系统安全自查陈述；4）评估受检单位信息系统安全自查报告；e）按照重要信息系统、典型意义、信息系统特点等确定抽检单位；f）按照本标准和有关国家标准实施抽检单位现场检查： 1）测试组确定测试目标，选定适宜的测试工具、测试手段、方式方法等，实施测试，并形成测试报告

8、； 2）检查小组按照受检单位提交的有关文档、现场陈述、测试报告实施现场检查； 3）形成现场检查报告；g）对存在信息安全隐患的受检单位发出不符合事项报告和整改通知书；h）跟踪整改落实情形；i）信息系统安全检查情形总结；j）形成检查报告。评估信息系统安全检查小组应评估检查打算的实施情形，及时修正、完善检查打算。和谐在信息系统安全检查过程中，应注意与受检单位、有关单位和部门及各类有关资源的和谐、沟通。文档治理记录应记录信息系统安全检查过程中与检查活动或行为有关的目的、范畴、内容、过程、人员等各项信息。备案应建立信息系统安全检查有关各类文档的备案治理制度。过程治理质量操纵应明确信息系统安全检查的质量目

9、标，确定实现质量目标的管控措施、人员职责，按照国家有关法规、标准，实施信息系统安全检查全过程质量操纵。连续改进信息系统安全检查组织机构应按照有关法规、标准、检查实践、信息安全特点、受检单位反馈等，采纳PDCA模式，定期评估、分析信息系统安全检查实施状况，连续改进、完善检查过程。自查治理资源预备文档预备受检单位应预备与信息系统安全检查有关各项文档，包括：a）本单位信息系统规划、建设及信息安全工作有关文档；b）本单位信息安全技术运用、更新；c）本单位与信息安全有关资产清单；d）信息安全知识、技能培训情形和记录；e）本标准所列各项资料；f）其它必须的有关资料。测试环境预备受检单位应按照DB21/T

10、XXXXX.2预备信息系统安全检查相应的测试环境，包括网络接口、测试场地等。其它资源预备受检单位应预备信息系统安全检查所需的各项有关资源，包括场地、设备、人员等。自查内容打算应制定自查打算，确定自查实施方案，包括：a）明确自查工作负责人及其职责；b）确定自查实施机构及其职能；c）明确自查工作、范畴和自查项目；d）自查工作的组织和谐、资源配置；e）确定自查的时刻进度等。治理a）信息安全组织机构建立和运行情形：1）信息安全组织机构建立有关文档；机构层级、人员配备等合理；2）信息安全组织机构由单位主管领导负责；3）信息安全组织机构有关工作文档清晰、完整；d.信息安全组织机构信息安全工作检查和考核等；

11、b）制度建设情形：1）依据DB21/T XXXXX.2 8.10要求，建立信息安全治理各项规章制度；2）定期监督、检查制度落实情形；3）按照实际需要，适时修订有关制度；c）有关人员治理情形： 1）信息安全有关工作人员配备； 2）信息安全有关工作人员岗位职责； 3）依据信息安全有关工作文档检查信息安全有关工作人员的工作现状；d）事故处理情形： 1）信息安全事故发生的缘故（如果存在）； 2）信息安全事故的处置； 3）信息安全事故责任确定和相应处理； 4）信息安全事故报告和有关文档，并完整、清晰。技术应依据DB21/T XXXXX.2的要求，定期检查信息系统安全状况。专项经费a）经费预算：受检单位应

12、按照信息系统建设和应用的实际，在信息化建设总预算中设置一定比例的信息安全专项经费，保证信息安全建设和应用。b）经费治理：1）应有完整的信息化建设预算报告、信息安全经费使用记录和报告、信息安全产品采购和爱护有关文档等；2）信息安全经费使用应涵盖信息系统规划、建设、运行、爱护、检查、测试、安全评估、培训教育等方面。检查a）信息安全检查有关文档齐全、完整；b）信息安全检查方案合理、适宜；c）定期实施信息系统安全检查，并责任、任务落实，切实完成；d）上年度信息系统安全检查状况及整改实施落实情形。自查总结自查工作完成后，应全面总结检查情形，研究存在的咨询题和风险，分析、评估可能存在的安全威逼，制定改进、

13、完善措施。报检预备受检单位应定期实施信息系统安全自查并形成信息系统安全自查报告。自查报告应包括：a）本单位信息系统差不多状况；b）本单位信息系统运行总体状况；c）本单位信息安全防护和信息安全技术运用情形；d）本单位信息系统治理状况； e）自查工作方案；f）自查工作汇总、存在的信息安全咨询题；g）咨询题的整改措施；h）进展规划；i）意见和建议。自查报告应按照信息系统安全检查组织机构的要求及时报送。检查及整改检查受检单位应定期实施信息系统安全检查，并建立完整的信息安全检查文档。整改按照自查报告、不符合事项报告和整改通知书，制定整改打算，实施整改措施，建立完整的整改文档，提交整改报告。并在整改完成后

14、，重新检查信息系统的安全状况。评估应在整改完成后，评估：a）整改措施的有效性；b）整改措施的风险和隐患；c）信息系统整体风险和隐患。（资料性附录）信息系统安全检查常用表格信息安全检查记录表信息安全检查记录表序号检查项检查记录对应条款检查结果受检单位负责人（签字）：检 查 人 员（签字）：受检单位不符合事项确认表受检单位不符合事项确认表检查依据： 不符合事项： 现场检查结论：现场检查存在不符合事项，与 不符合。现场检查意见：建议整改，整改措施将通过下列方式验证：整改并重新自查，提交整改报告现场跟踪 检查人员（签字）： 检查组长（签字）： 受检单位确认：同意：不同意： 受检单位负责人（签字）： 受检单位整改报告模板受检单位整改报告模板单位名称 （盖章）地 址邮编负责人联系电话E_mail整改报告自查报告 整改措施风险状况信息安全整体风险状况信息安全整体评估_