DB21∕T 2082.1-2013 信息系統(tǒng)安全檢查規(guī)范 第1部分：管理規(guī)范.doc

ICS35.020L70DB21遼寧省地方標(biāo)準(zhǔn)DB 21/ XXXXXXXXX信息系統(tǒng)安全檢查規(guī)范第1部分：管理規(guī)范Specification for information system security checksPart1:Management Criterion （本稿完成日期：2012-9-13）XXXX - XX - XX發(fā)布XXXX - XX - XX實施遼寧省質(zhì)量技術(shù)監(jiān)督局發(fā)布DB21/ XXXXXXXXX目次前言III引言IV1范圍12規(guī)范性引用文件13術(shù)語、定義和縮略語14檢查模式24.1自查24.2監(jiān)督檢查25檢查形式26監(jiān)督檢查管理26.1機構(gòu)26.2計劃26.3組織26.4評估36.5協(xié)調(diào)36.6文檔管理36.6.1記錄36.6.2備案36.7過程管理36.7.1質(zhì)量控制36.7.2持續(xù)改進37自查管理47.1資源準(zhǔn)備47.1.1文檔準(zhǔn)備47.1.2測試環(huán)境準(zhǔn)備47.1.3其它資源準(zhǔn)備47.2自查內(nèi)容47.2.1計劃47.2.2管理47.2.3技術(shù)57.2.4專項經(jīng)費57.2.5檢查57.3自查總結(jié)57.4報檢準(zhǔn)備57.5檢查及整改67.5.1檢查67.5.2整改67.5.3評估6附錄A（資料性附錄）信息系統(tǒng)安全檢查常用表格7前言DB21/Txxxx分為2部分：第1部分：管理規(guī)范第2部分：技術(shù)規(guī)范本部分是DB21/Txxxx的第1部分。本標(biāo)準(zhǔn)依據(jù)GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)與編寫制定。本標(biāo)準(zhǔn)由大連市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組提出。本標(biāo)準(zhǔn)由遼寧省經(jīng)濟和信息化委員會歸口。本標(biāo)準(zhǔn)起草單位：大連市經(jīng)濟和信息化委員會、大連市網(wǎng)絡(luò)與信息安全專家組。本標(biāo)準(zhǔn)主要起草人：郎慶斌、孫鵬、劉剛、李持見、仉宏、董晶、孫毅、楊莉、王小庚、尹宏、汪祖民、夏炳俐。引言信息技術(shù)，特別是物聯(lián)網(wǎng)、云計算、移動互聯(lián)、社交網(wǎng)絡(luò)、三網(wǎng)融合等新興IT技術(shù)的廣泛應(yīng)用和迅速發(fā)展，極大地促進了社會發(fā)展、經(jīng)濟繁榮和人民生活進步，網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)性、社會性、全局性日益凸顯，社會、經(jīng)濟對信息化應(yīng)用的依賴度愈來愈高，對網(wǎng)絡(luò)與信息安全也提出了更高要求。網(wǎng)絡(luò)安全問題嚴(yán)重影響我國政治、經(jīng)濟、文化等領(lǐng)域的和諧發(fā)展，近年來一些較大級別的基礎(chǔ)網(wǎng)絡(luò)安全事件增多，安全風(fēng)險繼續(xù)處于高危水平，網(wǎng)絡(luò)攻擊和網(wǎng)頁篡改事件頻繁發(fā)生，用戶密碼、賬號被盜比例上升到安全事件的第一位（2010年統(tǒng)計達(dá)到27），社會影響力和關(guān)注度已達(dá)到前所未有的高度。 “震網(wǎng)”病毒攻擊、“谷歌地圖事件”等都警示我們，網(wǎng)絡(luò)信息安全已上升到國家安全的重要層面。為應(yīng)對日益嚴(yán)峻的信息安全形勢，保證信息系統(tǒng)的可信、安全、可控，國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組推進重要領(lǐng)域信息系統(tǒng)安全檢查，是重要的保障措施。本規(guī)范是為建立科學(xué)、規(guī)范、有序的信息系統(tǒng)安全檢查環(huán)境編制。9信息系統(tǒng)安全檢查規(guī)范 第1部分 管理規(guī)范1 范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全檢查的模式、監(jiān)督檢查流程和自查管理的一般要求。本標(biāo)準(zhǔn)適用于各級黨政機關(guān)、行業(yè)主管單位為履行職能提供支撐的信息系統(tǒng)的檢查。其它面向社會提供服務(wù)的重要行業(yè)信息系統(tǒng)檢查可參照本標(biāo)準(zhǔn)執(zhí)行。本標(biāo)準(zhǔn)不適用于涉及國家秘密的信息系統(tǒng)安全檢查。2 規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 5271.8 信息技術(shù) 詞匯 第8部分：安全GB/T 20269 信息安全技術(shù) 信息系統(tǒng)安全管理要求3 術(shù)語、定義和縮略語3.1 術(shù)語和定義GB/T 5271.8界定的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1.1 計算機信息系統(tǒng) computer information system由計算機及其相關(guān)的和配套的設(shè)備、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息安全設(shè)施、系統(tǒng)和應(yīng)用軟件、信息資源、系統(tǒng)用戶、管理機制等構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則，運用知識采集、加工、存儲、傳輸、檢索信息的人機系統(tǒng)。3.1.2 重要信息系統(tǒng) important information system關(guān)系國家安全、信息資源安全、經(jīng)濟建設(shè)安全、社會穩(wěn)定等重要領(lǐng)域的信息系統(tǒng)。3.2 縮略語3.2.1 信息系統(tǒng) information system計算機信息系統(tǒng)。3.2.2PDCA Plan-Do-Check-Act全面質(zhì)量管理應(yīng)遵循的科學(xué)方法。本標(biāo)準(zhǔn)用于信息系統(tǒng)安全檢查相關(guān)活動的質(zhì)量管理。4 檢查模式4.1 自查應(yīng)遵循GB/T 20269確立的信息系統(tǒng)安全管理要求和本規(guī)范展開自查。a）信息系統(tǒng)安全自查應(yīng)由信息系統(tǒng)主管單位、信息系統(tǒng)運營或使用單位組織實施；b）信息系統(tǒng)安全自查應(yīng)根據(jù)業(yè)務(wù)狀況、信息系統(tǒng)特點和安全要求實施；c）信息系統(tǒng)安全自查應(yīng)經(jīng)常性定期實施，或根據(jù)業(yè)務(wù)、信息系統(tǒng)、信息安全變化情況實施。周期性自查可有重點、有針對性實施。4.2 監(jiān)督檢查a）信息系統(tǒng)安全監(jiān)督檢查應(yīng)由信息系統(tǒng)所在上級管理部門組織實施，也可由政府相關(guān)職能部門依據(jù)相關(guān)法規(guī)實施；b）信息系統(tǒng)安全監(jiān)督檢查應(yīng)依據(jù)本標(biāo)準(zhǔn)要求，制定檢查流程，實施整體信息安全檢查；c）信息系統(tǒng)安全監(jiān)督檢查應(yīng)依據(jù)本標(biāo)準(zhǔn)要求，實施信息系統(tǒng)安全檢查全過程管理；d）信息系統(tǒng)安全監(jiān)督檢查可在自查基礎(chǔ)上，實施關(guān)鍵環(huán)節(jié)或重點內(nèi)容檢查。5 檢查形式a）信息系統(tǒng)安全檢查應(yīng)以自查為主，自查和監(jiān)督檢查相互結(jié)合、互相補充；b）受檢單位或監(jiān)督檢查組織部門不具備檢查能力的，可委托經(jīng)相關(guān)主管部門認(rèn)可的機構(gòu)實施檢查。6 監(jiān)督檢查管理6.1 機構(gòu)監(jiān)督檢查應(yīng)建立相應(yīng)的組織機構(gòu)，明確相應(yīng)的職責(zé)，保障檢查的有效性，包括：a）信息系統(tǒng)安全檢查領(lǐng)導(dǎo)機構(gòu)；b）信息系統(tǒng)安全檢查專家組；c）信息系統(tǒng)安全檢查小組；d）信息系統(tǒng)安全檢查測試組。6.2 計劃監(jiān)督檢查應(yīng)制定年度信息系統(tǒng)安全檢查計劃。計劃應(yīng)包括；a）信息系統(tǒng)安全檢查目的、策略；b）根據(jù)DB21/T XXXXX.2、本標(biāo)準(zhǔn)和相關(guān)國家標(biāo)準(zhǔn)確定檢查內(nèi)容；c）信息系統(tǒng)安全檢查管控措施；d）信息系統(tǒng)安全檢查質(zhì)量控制目標(biāo)；e）相關(guān)資源的組織、協(xié)調(diào)；f）計劃執(zhí)行情況評估；g）其它必要事項。6.3 組織監(jiān)督檢查組織機構(gòu)應(yīng)根據(jù)檢查計劃，組織實施信息系統(tǒng)安全檢查，包括：a）明確信息系統(tǒng)安全檢查小組職能和檢查組成員職責(zé)；b）確定自查、監(jiān)督檢查的時間節(jié)點；c）組織各相關(guān)單位依據(jù)本標(biāo)準(zhǔn)實施自查；d）接受受檢單位自查報告并啟動審核機制： 1）審查受檢單位信息系統(tǒng)安全檢查自查報告的完整性、充分性； 2）自查工作方案的有效性、合理性；3）.聽取受檢單位信息系統(tǒng)安全自查陳述；4）評估受檢單位信息系統(tǒng)安全自查報告；e）根據(jù)重要信息系統(tǒng)、典型意義、信息系統(tǒng)特征等確定抽檢單位；f）根據(jù)本標(biāo)準(zhǔn)和相關(guān)國家標(biāo)準(zhǔn)實施抽檢單位現(xiàn)場檢查： 1）測試組確定測試目標(biāo)，選定適宜的測試工具、測試手段、方式方法等，實施測試，并形成測試報告； 2）檢查小組根據(jù)受檢單位提交的相關(guān)文檔、現(xiàn)場陳述、測試報告實施現(xiàn)場檢查； 3）形成現(xiàn)場檢查報告；g）對存在信息安全隱患的受檢單位發(fā)出不符合事項報告和整改通知書；h）跟蹤整改落實情況；i）信息系統(tǒng)安全檢查情況總結(jié)；j）形成檢查報告。6.4 評估信息系統(tǒng)安全檢查小組應(yīng)評估檢查計劃的實施情況，及時修正、完善檢查計劃。6.5 協(xié)調(diào)在信息系統(tǒng)安全檢查過程中，應(yīng)注意與受檢單位、相關(guān)單位和部門及各類相關(guān)資源的協(xié)調(diào)、溝通。6.6 文檔管理6.6.1 記錄應(yīng)記錄信息系統(tǒng)安全檢查過程中與檢查活動或行為相關(guān)的目的、范圍、內(nèi)容、過程、人員等各項信息。6.6.2 備案應(yīng)建立信息系統(tǒng)安全檢查相關(guān)各類文檔的備案管理制度。6.7 過程管理6.7.1 質(zhì)量控制應(yīng)明確信息系統(tǒng)安全檢查的質(zhì)量目標(biāo)，確定實現(xiàn)質(zhì)量目標(biāo)的管控措施、人員職責(zé)，根據(jù)國家相關(guān)法規(guī)、標(biāo)準(zhǔn)，實施信息系統(tǒng)安全檢查全過程質(zhì)量控制。6.7.2 持續(xù)改進信息系統(tǒng)安全檢查組織機構(gòu)應(yīng)根據(jù)相關(guān)法規(guī)、標(biāo)準(zhǔn)、檢查實踐、信息安全特點、受檢單位反饋等，采用PDCA模式，定期評估、分析信息系統(tǒng)安全檢查實施狀況，持續(xù)改進、完善檢查過程。7 自查管理7.1 資源準(zhǔn)備7.1.1 文檔準(zhǔn)備受檢單位應(yīng)準(zhǔn)備與信息系統(tǒng)安全檢查相關(guān)各項文檔，包括：a）本單位信息系統(tǒng)規(guī)劃、建設(shè)及信息安全工作相關(guān)文檔；b）本單位信息安全技術(shù)運用、更新；c）本單位與信息安全相關(guān)資產(chǎn)清單；d）信息安全知識、技能培訓(xùn)情況和記錄；e）本標(biāo)準(zhǔn)所列各項資料；f）其它必須的相關(guān)資料。7.1.2 測試環(huán)境準(zhǔn)備受檢單位應(yīng)根據(jù)DB21/T XXXXX.2準(zhǔn)備信息系統(tǒng)安全檢查相應(yīng)的測試環(huán)境，包括網(wǎng)絡(luò)接口、測試場地等。7.1.3 其它資源準(zhǔn)備受檢單位應(yīng)準(zhǔn)備信息系統(tǒng)安全檢查所需的各項相關(guān)資源，包括場地、設(shè)備、人員等。7.2 自查內(nèi)容7.2.1 計劃應(yīng)制定自查計劃，確定自查實施方案，包括：a）明確自查工作負(fù)責(zé)人及其職責(zé)；b）確定自查實施機構(gòu)及其職能；c）明確自查工作、范圍和自查項目；d）自查工作的組織協(xié)調(diào)、資源配置；e）確定自查的時間進度等。7.2.2 管理a）信息安全組織機構(gòu)建立和運行情況：1）信息安全組織機構(gòu)建立相關(guān)文檔；機構(gòu)層級、人員配備等合理；2）信息安全組織機構(gòu)由單位主管領(lǐng)導(dǎo)負(fù)責(zé)；3）信息安全組織機構(gòu)相關(guān)工作文檔清晰、完整；d.信息安全組織機構(gòu)信息安全工作檢查和考核等；b）制度建設(shè)情況：1）依據(jù)DB21/T XXXXX.2 8.10要求，建立信息安全管理各項規(guī)章制度；2）定期監(jiān)督、檢查制度落實情況；3）根據(jù)實際需要，適時修訂相關(guān)制度；c）相關(guān)人員管理情況： 1）信息安全相關(guān)工作人員配備； 2）信息安全相關(guān)工作人員崗位職責(zé)； 3）依據(jù)信息安全相關(guān)工作文檔檢查信息安全相關(guān)工作人員的工作現(xiàn)狀；d）事故處理情況： 1）信息安全事故發(fā)生的原因（如果存在）； 2）信息安全事故的處置； 3）信息安全事故責(zé)任確定和相應(yīng)處理； 4）信息安全事故報告和相關(guān)文檔，并完整、清晰。7.2.3 技術(shù)應(yīng)依據(jù)DB21/T XXXXX.2的要求，定期檢查信息系統(tǒng)安全狀況。7.2.4 專項經(jīng)費a）經(jīng)費預(yù)算：受檢單位應(yīng)根據(jù)信息系統(tǒng)建設(shè)和應(yīng)用的實際，在信息化建設(shè)總預(yù)算中設(shè)置一定比例的信息安全專項經(jīng)費，保障信息安全建設(shè)和應(yīng)用。b）經(jīng)費管理：1）應(yīng)有完整的信息化建設(shè)預(yù)算報告、信息安全經(jīng)費使用記錄和報告、信息安全產(chǎn)品采購和維護相關(guān)文檔等；2）信息安全經(jīng)費使用應(yīng)涵蓋信息系統(tǒng)規(guī)劃、建設(shè)、運行、維護、檢查、測試、安全評估、培訓(xùn)教育等方面。7.2.5 檢查a）信息安全檢查相關(guān)文檔齊全、完整；b）信息安全檢查方案合理、適宜；c）定期實施信息系統(tǒng)安全檢查，并責(zé)任、任務(wù)落實，切實完成；d）上年度信息系統(tǒng)安全檢查狀況及整改實施落實情況。7.3 自查總結(jié)自查工作完成后，應(yīng)全面總結(jié)檢查情況，研究存在的問題和風(fēng)險，分析、評估可能存在的安全威脅，制定改進、完善措施。7.4 報檢準(zhǔn)備受檢單位應(yīng)定期實施信息系統(tǒng)安全自查并形成信息系統(tǒng)安全自查報告。自查報告應(yīng)包括：a）本單位信息系統(tǒng)基本狀況；b）本單位信息系統(tǒng)運行總體狀況；c）本單位信息安全防護和信息安全技術(shù)運用情況；d）本單位信息系統(tǒng)管理狀況； e）自查工作方案；f）自查工作匯總、存在的信息安全問題；g）問題的整改措施；h）發(fā)展規(guī)劃；i）意見和建議。自查報告應(yīng)根據(jù)信息系統(tǒng)安全檢查組織機構(gòu)的要求及時報送。7.5 檢查及整改7.5.1 檢查受檢單位應(yīng)定期實施信息系統(tǒng)安全檢查，并建立完整的信息安全檢查文檔。7.5.2 整改根據(jù)自查報告、不符合事項報告和整改通知書，制定整改計劃，實施整改措施，建立完整的整改文檔，提交整改報告。并在整改完成后，重新檢查信息系統(tǒng)的安全狀況。7.5.3 評估應(yīng)在整改完成后，評估：a）整改措施的有效性；b）整改措施的風(fēng)險和隱患；c）信息系統(tǒng)整體風(fēng)險和隱患。AA附錄A （資料性附錄）信息系統(tǒng)安全檢查常用表格A.1 信息安全檢查記錄表表A.1 信息安全檢查記錄表序號檢查項檢查記錄對應(yīng)條款檢查結(jié)果受檢單位負(fù)責(zé)人（簽字）：檢 查 人 員（簽字）：A.2 受檢單位不符合事