DB21∕T 2082.1-2013 信息系統(tǒng)安全檢查規(guī)范 第1部分：管理規(guī)范.doc

ICS35.020L70DB21遼寧省地方標(biāo)準(zhǔn)DB 21/ XXXXXXXXX信息系統(tǒng)安全檢查規(guī)范第1部分：管理規(guī)范Specification for information system security checksPart1:Management Criterion （本稿完成日期：2012-9-13）XXXX - XX - XX發(fā)布XXXX - XX - XX實(shí)施遼寧省質(zhì)量技術(shù)監(jiān)督局發(fā)布DB21/ XXXXXXXXX目次前言III引言IV1范圍12規(guī)范性引用文件13術(shù)語(yǔ)、定義和縮略語(yǔ)14檢查模式24.1自查24.2監(jiān)督檢查25檢查形式26監(jiān)督檢查管理26.1機(jī)構(gòu)26.2計(jì)劃26.3組織26.4評(píng)估36.5協(xié)調(diào)36.6文檔管理36.6.1記錄36.6.2備案36.7過程管理36.7.1質(zhì)量控制36.7.2持續(xù)改進(jìn)37自查管理47.1資源準(zhǔn)備47.1.1文檔準(zhǔn)備47.1.2測(cè)試環(huán)境準(zhǔn)備47.1.3其它資源準(zhǔn)備47.2自查內(nèi)容47.2.1計(jì)劃47.2.2管理47.2.3技術(shù)57.2.4專項(xiàng)經(jīng)費(fèi)57.2.5檢查57.3自查總結(jié)57.4報(bào)檢準(zhǔn)備57.5檢查及整改67.5.1檢查67.5.2整改67.5.3評(píng)估6附錄A（資料性附錄）信息系統(tǒng)安全檢查常用表格7前言DB21/Txxxx分為2部分：第1部分：管理規(guī)范第2部分：技術(shù)規(guī)范本部分是DB21/Txxxx的第1部分。本標(biāo)準(zhǔn)依據(jù)GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)與編寫制定。本標(biāo)準(zhǔn)由大連市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組提出。本標(biāo)準(zhǔn)由遼寧省經(jīng)濟(jì)和信息化委員會(huì)歸口。本標(biāo)準(zhǔn)起草單位：大連市經(jīng)濟(jì)和信息化委員會(huì)、大連市網(wǎng)絡(luò)與信息安全專家組。本標(biāo)準(zhǔn)主要起草人：郎慶斌、孫鵬、劉剛、李持見、仉宏、董晶、孫毅、楊莉、王小庚、尹宏、汪祖民、夏炳俐。引言信息技術(shù)，特別是物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)、社交網(wǎng)絡(luò)、三網(wǎng)融合等新興IT技術(shù)的廣泛應(yīng)用和迅速發(fā)展，極大地促進(jìn)了社會(huì)發(fā)展、經(jīng)濟(jì)繁榮和人民生活進(jìn)步，網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)性、社會(huì)性、全局性日益凸顯，社會(huì)、經(jīng)濟(jì)對(duì)信息化應(yīng)用的依賴度愈來愈高，對(duì)網(wǎng)絡(luò)與信息安全也提出了更高要求。網(wǎng)絡(luò)安全問題嚴(yán)重影響我國(guó)政治、經(jīng)濟(jì)、文化等領(lǐng)域的和諧發(fā)展，近年來一些較大級(jí)別的基礎(chǔ)網(wǎng)絡(luò)安全事件增多，安全風(fēng)險(xiǎn)繼續(xù)處于高危水平，網(wǎng)絡(luò)攻擊和網(wǎng)頁(yè)篡改事件頻繁發(fā)生，用戶密碼、賬號(hào)被盜比例上升到安全事件的第一位（2010年統(tǒng)計(jì)達(dá)到27），社會(huì)影響力和關(guān)注度已達(dá)到前所未有的高度。 “震網(wǎng)”病毒攻擊、“谷歌地圖事件”等都警示我們，網(wǎng)絡(luò)信息安全已上升到國(guó)家安全的重要層面。為應(yīng)對(duì)日益嚴(yán)峻的信息安全形勢(shì)，保證信息系統(tǒng)的可信、安全、可控，國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組推進(jìn)重要領(lǐng)域信息系統(tǒng)安全檢查，是重要的保障措施。本規(guī)范是為建立科學(xué)、規(guī)范、有序的信息系統(tǒng)安全檢查環(huán)境編制。9信息系統(tǒng)安全檢查規(guī)范 第1部分 管理規(guī)范1 范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全檢查的模式、監(jiān)督檢查流程和自查管理的一般要求。本標(biāo)準(zhǔn)適用于各級(jí)黨政機(jī)關(guān)、行業(yè)主管單位為履行職能提供支撐的信息系統(tǒng)的檢查。其它面向社會(huì)提供服務(wù)的重要行業(yè)信息系統(tǒng)檢查可參照本標(biāo)準(zhǔn)執(zhí)行。本標(biāo)準(zhǔn)不適用于涉及國(guó)家秘密的信息系統(tǒng)安全檢查。2 規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 5271.8 信息技術(shù) 詞匯 第8部分：安全GB/T 20269 信息安全技術(shù) 信息系統(tǒng)安全管理要求3 術(shù)語(yǔ)、定義和縮略語(yǔ)3.1 術(shù)語(yǔ)和定義GB/T 5271.8界定的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。3.1.1 計(jì)算機(jī)信息系統(tǒng) computer information system由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息安全設(shè)施、系統(tǒng)和應(yīng)用軟件、信息資源、系統(tǒng)用戶、管理機(jī)制等構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則，運(yùn)用知識(shí)采集、加工、存儲(chǔ)、傳輸、檢索信息的人機(jī)系統(tǒng)。3.1.2 重要信息系統(tǒng) important information system關(guān)系國(guó)家安全、信息資源安全、經(jīng)濟(jì)建設(shè)安全、社會(huì)穩(wěn)定等重要領(lǐng)域的信息系統(tǒng)。3.2 縮略語(yǔ)3.2.1 信息系統(tǒng) information system計(jì)算機(jī)信息系統(tǒng)。3.2.2PDCA Plan-Do-Check-Act全面質(zhì)量管理應(yīng)遵循的科學(xué)方法。本標(biāo)準(zhǔn)用于信息系統(tǒng)安全檢查相關(guān)活動(dòng)的質(zhì)量管理。4 檢查模式4.1 自查應(yīng)遵循GB/T 20269確立的信息系統(tǒng)安全管理要求和本規(guī)范展開自查。a）信息系統(tǒng)安全自查應(yīng)由信息系統(tǒng)主管單位、信息系統(tǒng)運(yùn)營(yíng)或使用單位組織實(shí)施；b）信息系統(tǒng)安全自查應(yīng)根據(jù)業(yè)務(wù)狀況、信息系統(tǒng)特點(diǎn)和安全要求實(shí)施；c）信息系統(tǒng)安全自查應(yīng)經(jīng)常性定期實(shí)施，或根據(jù)業(yè)務(wù)、信息系統(tǒng)、信息安全變化情況實(shí)施。周期性自查可有重點(diǎn)、有針對(duì)性實(shí)施。4.2 監(jiān)督檢查a）信息系統(tǒng)安全監(jiān)督檢查應(yīng)由信息系統(tǒng)所在上級(jí)管理部門組織實(shí)施，也可由政府相關(guān)職能部門依據(jù)相關(guān)法規(guī)實(shí)施；b）信息系統(tǒng)安全監(jiān)督檢查應(yīng)依據(jù)本標(biāo)準(zhǔn)要求，制定檢查流程，實(shí)施整體信息安全檢查；c）信息系統(tǒng)安全監(jiān)督檢查應(yīng)依據(jù)本標(biāo)準(zhǔn)要求，實(shí)施信息系統(tǒng)安全檢查全過程管理；d）信息系統(tǒng)安全監(jiān)督檢查可在自查基礎(chǔ)上，實(shí)施關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容檢查。5 檢查形式a）信息系統(tǒng)安全檢查應(yīng)以自查為主，自查和監(jiān)督檢查相互結(jié)合、互相補(bǔ)充；b）受檢單位或監(jiān)督檢查組織部門不具備檢查能力的，可委托經(jīng)相關(guān)主管部門認(rèn)可的機(jī)構(gòu)實(shí)施檢查。6 監(jiān)督檢查管理6.1 機(jī)構(gòu)監(jiān)督檢查應(yīng)建立相應(yīng)的組織機(jī)構(gòu)，明確相應(yīng)的職責(zé)，保障檢查的有效性，包括：a）信息系統(tǒng)安全檢查領(lǐng)導(dǎo)機(jī)構(gòu)；b）信息系統(tǒng)安全檢查專家組；c）信息系統(tǒng)安全檢查小組；d）信息系統(tǒng)安全檢查測(cè)試組。6.2 計(jì)劃監(jiān)督檢查應(yīng)制定年度信息系統(tǒng)安全檢查計(jì)劃。計(jì)劃應(yīng)包括；a）信息系統(tǒng)安全檢查目的、策略；b）根據(jù)DB21/T XXXXX.2、本標(biāo)準(zhǔn)和相關(guān)國(guó)家標(biāo)準(zhǔn)確定檢查內(nèi)容；c）信息系統(tǒng)安全檢查管控措施；d）信息系統(tǒng)安全檢查質(zhì)量控制目標(biāo)；e）相關(guān)資源的組織、協(xié)調(diào)；f）計(jì)劃執(zhí)行情況評(píng)估；g）其它必要事項(xiàng)。6.3 組織監(jiān)督檢查組織機(jī)構(gòu)應(yīng)根據(jù)檢查計(jì)劃，組織實(shí)施信息系統(tǒng)安全檢查，包括：a）明確信息系統(tǒng)安全檢查小組職能和檢查組成員職責(zé)；b）確定自查、監(jiān)督檢查的時(shí)間節(jié)點(diǎn)；c）組織各相關(guān)單位依據(jù)本標(biāo)準(zhǔn)實(shí)施自查；d）接受受檢單位自查報(bào)告并啟動(dòng)審核機(jī)制： 1）審查受檢單位信息系統(tǒng)安全檢查自查報(bào)告的完整性、充分性； 2）自查工作方案的有效性、合理性；3）.聽取受檢單位信息系統(tǒng)安全自查陳述；4）評(píng)估受檢單位信息系統(tǒng)安全自查報(bào)告；e）根據(jù)重要信息系統(tǒng)、典型意義、信息系統(tǒng)特征等確定抽檢單位；f）根據(jù)本標(biāo)準(zhǔn)和相關(guān)國(guó)家標(biāo)準(zhǔn)實(shí)施抽檢單位現(xiàn)場(chǎng)檢查： 1）測(cè)試組確定測(cè)試目標(biāo)，選定適宜的測(cè)試工具、測(cè)試手段、方式方法等，實(shí)施測(cè)試，并形成測(cè)試報(bào)告； 2）檢查小組根據(jù)受檢單位提交的相關(guān)文檔、現(xiàn)場(chǎng)陳述、測(cè)試報(bào)告實(shí)施現(xiàn)場(chǎng)檢查； 3）形成現(xiàn)場(chǎng)檢查報(bào)告；g）對(duì)存在信息安全隱患的受檢單位發(fā)出不符合事項(xiàng)報(bào)告和整改通知書；h）跟蹤整改落實(shí)情況；i）信息系統(tǒng)安全檢查情況總結(jié)；j）形成檢查報(bào)告。6.4 評(píng)估信息系統(tǒng)安全檢查小組應(yīng)評(píng)估檢查計(jì)劃的實(shí)施情況，及時(shí)修正、完善檢查計(jì)劃。6.5 協(xié)調(diào)在信息系統(tǒng)安全檢查過程中，應(yīng)注意與受檢單位、相關(guān)單位和部門及各類相關(guān)資源的協(xié)調(diào)、溝通。6.6 文檔管理6.6.1 記錄應(yīng)記錄信息系統(tǒng)安全檢查過程中與檢查活動(dòng)或行為相關(guān)的目的、范圍、內(nèi)容、過程、人員等各項(xiàng)信息。6.6.2 備案應(yīng)建立信息系統(tǒng)安全檢查相關(guān)各類文檔的備案管理制度。6.7 過程管理6.7.1 質(zhì)量控制應(yīng)明確信息系統(tǒng)安全檢查的質(zhì)量目標(biāo)，確定實(shí)現(xiàn)質(zhì)量目標(biāo)的管控措施、人員職責(zé)，根據(jù)國(guó)家相關(guān)法規(guī)、標(biāo)準(zhǔn)，實(shí)施信息系統(tǒng)安全檢查全過程質(zhì)量控制。6.7.2 持續(xù)改進(jìn)信息系統(tǒng)安全檢查組織機(jī)構(gòu)應(yīng)根據(jù)相關(guān)法規(guī)、標(biāo)準(zhǔn)、檢查實(shí)踐、信息安全特點(diǎn)、受檢單位反饋等，采用PDCA模式，定期評(píng)估、分析信息系統(tǒng)安全檢查實(shí)施狀況，持續(xù)改進(jìn)、完善檢查過程。7 自查管理7.1 資源準(zhǔn)備7.1.1 文檔準(zhǔn)備受檢單位應(yīng)準(zhǔn)備與信息系統(tǒng)安全檢查相關(guān)各項(xiàng)文檔，包括：a）本單位信息系統(tǒng)規(guī)劃、建設(shè)及信息安全工作相關(guān)文檔；b）本單位信息安全技術(shù)運(yùn)用、更新；c）本單位與信息安全相關(guān)資產(chǎn)清單；d）信息安全知識(shí)、技能培訓(xùn)情況和記錄；e）本標(biāo)準(zhǔn)所列各項(xiàng)資料；f）其它必須的相關(guān)資料。7.1.2 測(cè)試環(huán)境準(zhǔn)備受檢單位應(yīng)根據(jù)DB21/T XXXXX.2準(zhǔn)備信息系統(tǒng)安全檢查相應(yīng)的測(cè)試環(huán)境，包括網(wǎng)絡(luò)接口、測(cè)試場(chǎng)地等。7.1.3 其它資源準(zhǔn)備受檢單位應(yīng)準(zhǔn)備信息系統(tǒng)安全檢查所需的各項(xiàng)相關(guān)資源，包括場(chǎng)地、設(shè)備、人員等。7.2 自查內(nèi)容7.2.1 計(jì)劃應(yīng)制定自查計(jì)劃，確定自查實(shí)施方案，包括：a）明確自查工作負(fù)責(zé)人及其職責(zé)；b）確定自查實(shí)施機(jī)構(gòu)及其職能；c）明確自查工作、范圍和自查項(xiàng)目；d）自查工作的組織協(xié)調(diào)、資源配置；e）確定自查的時(shí)間進(jìn)度等。7.2.2 管理a）信息安全組織機(jī)構(gòu)建立和運(yùn)行情況：1）信息安全組織機(jī)構(gòu)建立相關(guān)文檔；機(jī)構(gòu)層級(jí)、人員配備等合理；2）信息安全組織機(jī)構(gòu)由單位主管領(lǐng)導(dǎo)負(fù)責(zé)；3）信息安全組織機(jī)構(gòu)相關(guān)工作文檔清晰、完整；d.信息安全組織機(jī)構(gòu)信息安全工作檢查和考核等；b）制度建設(shè)情況：1）依據(jù)DB21/T XXXXX.2 8.10要求，建立信息安全管理各項(xiàng)規(guī)章制度；2）定期監(jiān)督、檢查制度落實(shí)情況；3）根據(jù)實(shí)際需要，適時(shí)修訂相關(guān)制度；c）相關(guān)人員管理情況： 1）信息安全相關(guān)工作人員配備； 2）信息安全相關(guān)工作人員崗位職責(zé)； 3）依據(jù)信息安全相關(guān)工作文檔檢查信息安全相關(guān)工作人員的工作現(xiàn)狀；d）事故處理情況： 1）信息安全事故發(fā)生的原因（如果存在）； 2）信息安全事故的處置； 3）信息安全事故責(zé)任確定和相應(yīng)處理； 4）信息安全事故報(bào)告和相關(guān)文檔，并完整、清晰。7.2.3 技術(shù)應(yīng)依據(jù)DB21/T XXXXX.2的要求，定期檢查信息系統(tǒng)安全狀況。7.2.4 專項(xiàng)經(jīng)費(fèi)a）經(jīng)費(fèi)預(yù)算：受檢單位應(yīng)根據(jù)信息系統(tǒng)建設(shè)和應(yīng)用的實(shí)際，在信息化建設(shè)總預(yù)算中設(shè)置一定比例的信息安全專項(xiàng)經(jīng)費(fèi)，保障信息安全建設(shè)和應(yīng)用。b）經(jīng)費(fèi)管理：1）應(yīng)有完整的信息化建設(shè)預(yù)算報(bào)告、信息安全經(jīng)費(fèi)使用記錄和報(bào)告、信息安全產(chǎn)品采購(gòu)和維護(hù)相關(guān)文檔等；2）信息安全經(jīng)費(fèi)使用應(yīng)涵蓋信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行、維護(hù)、檢查、測(cè)試、安全評(píng)估、培訓(xùn)教育等方面。7.2.5 檢查a）信息安全檢查相關(guān)文檔齊全、完整；b）信息安全檢查方案合理、適宜；c）定期實(shí)施信息系統(tǒng)安全檢查，并責(zé)任、任務(wù)落實(shí)，切實(shí)完成；d）上年度信息系統(tǒng)安全檢查狀況及整改實(shí)施落實(shí)情況。7.3 自查總結(jié)自查工作完成后，應(yīng)全面總結(jié)檢查情況，研究存在的問題和風(fēng)險(xiǎn)，分析、評(píng)估可能存在的安全威脅，制定改進(jìn)、完善措施。7.4 報(bào)檢準(zhǔn)備受檢單位應(yīng)定期實(shí)施信息系統(tǒng)安全自查并形成信息系統(tǒng)安全自查報(bào)告。自查報(bào)告應(yīng)包括：a）本單位信息系統(tǒng)基本狀況；b）本單位信息系統(tǒng)運(yùn)行總體狀況；c）本單位信息安全防護(hù)和信息安全技術(shù)運(yùn)用情況；d）本單位信息系統(tǒng)管理狀況； e）自查工作方案；f）自查工作匯總、存在的信息安全問題；g）問題的整改措施；h）發(fā)展規(guī)劃；i）意見和建議。自查報(bào)告應(yīng)根據(jù)信息系統(tǒng)安全檢查組織機(jī)構(gòu)的要求及時(shí)報(bào)送。7.5 檢查及整改7.5.1 檢查受檢單位應(yīng)定期實(shí)施信息系統(tǒng)安全檢查，并建立完整的信息安全檢查文檔。7.5.2 整改根據(jù)自查報(bào)告、不符合事項(xiàng)報(bào)告和整改通知書，制定整改計(jì)劃，實(shí)施整改措施，建立完整的整改文檔，提交整改報(bào)告。并在整改完成后，重新檢查信息系統(tǒng)的安全狀況。7.5.3 評(píng)估應(yīng)在整改完成后，評(píng)估：a）整改措施的有效性；b）整改措施的風(fēng)險(xiǎn)和隱患；c）信息系統(tǒng)整體風(fēng)險(xiǎn)和隱患。AA附錄A （資料性附錄）信息系統(tǒng)安全檢查常用表格A.1 信息安全檢查記錄表表A.1 信息安全檢查記錄表序號(hào)檢查項(xiàng)檢查記錄對(duì)應(yīng)條款檢查結(jié)果受檢單位負(fù)責(zé)人（簽字）：檢 查 人 員（簽字）：A.2 受檢單位不符合事