DB21∕T 2082.1-2013 信息系统安全检查规范 第1部分：管理规范

ICS35.020L70 DB 21辽 宁 省 地 方 标 准DB 21/ XXXXXXXXX信息系统安全检查规范第 1 部分：管理规范Specification for information system security checksPart1:Management Criterion （报批稿）（本稿完成日期：2012-9-13）XXXX - XX - XX 发布 XXXX - XX - XX 实施辽 宁 省 质 量 技 术 监 督 局 发 布DB21/ XXXXXXXXXI目次前言 .III引言 .IV1 范围 .12 规范性引用文件 .13 术语、定义和缩略语 .14 检查模式 .24.1 自查 .24.2 监督检查 .25 检查形式 .26 监督检查管理 .26.1 机构 .26.2 计划 .26.3 组织 .26.4 评估 .36.5 协调 .36.6 文档管理 .36.6.1 记录 .36.6.2 备案 .36.7 过程管理 .36.7.1 质量控制 .36.7.2 持续改进 .37 自查管理 .47.1 资源准备 .47.1.1 文档准备 .47.1.2 测试环境准备 .47.1.3 其它资源准备 .47.2 自查内容 .47.2.1 计划 .47.2.2 管理 .47.2.3 技术 .57.2.4 专项经费 .57.2.5 检查 .57.3 自查总结 .57.4 报检准备 .57.5 检查及整改 .6DB21/ XXXXXXXXXII7.5.1 检查 .67.5.2 整改 .67.5.3 评估 .6附录 A（资料性附录） 信息系统安全检查常用表格 .7DB21/ XXXXXXXXXIII前言DB21/Txxxx分为2部分：第1部分：管理规范第2部分：技术规范本部分是DB21/Txxxx的第1部分。本标准依据GB/T1.1-2009标准化工作导则 第1部分：标准的结构与编写制定。本标准由大连市网络与信息安全协调小组提出。本标准由辽宁省经济和信息化委员会归口。本标准起草单位：大连市经济和信息化委员会、大连市网络与信息安全专家组。本标准主要起草人：郎庆斌、孙鹏、刘刚、李持见、仉宏、董晶、孙毅、杨莉、王小庚、尹宏、汪祖民、夏炳俐。DB21/ XXXXXXXXXIV引言信息技术，特别是物联网、云计算、移动互联、社交网络、三网融合等新兴IT技术的广泛应用和迅速发展，极大地促进了社会发展、经济繁荣和人民生活进步，网络应用的基础性、社会性、全局性日益凸显，社会、经济对信息化应用的依赖度愈来愈高，对网络与信息安全也提出了更高要求。网络安全问题严重影响我国政治、经济、文化等领域的和谐发展，近年来一些较大级别的基础网络安全事件增多，安全风险继续处于高危水平，网络攻击和网页篡改事件频繁发生，用户密码、账号被盗比例上升到安全事件的第一位（2010年统计达到27），社会影响力和关注度已达到前所未有的高度。 “震网 ”病毒攻击、“谷歌地图事件”等都警示我们，网络信息安全已上升到国家安全的重要层面。为应对日益严峻的信息安全形势，保证信息系统的可信、安全、可控，国家网络与信息安全协调小组推进重要领域信息系统安全检查，是重要的保障措施。本规范是为建立科学、规范、有序的信息系统安全检查环境编制。DB21/ XXXXXXXXX1信息系统安全检查规范 第 1 部分 管理规范1范围本标准规定了信息系统安全检查的模式、监督检查流程和自查管理的一般要求。本标准适用于各级党政机关、行业主管单位为履行职能提供支撑的信息系统的检查。其它面向社会提供服务的重要行业信息系统检查可参照本标准执行。本标准不适用于涉及国家秘密的信息系统安全检查。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 5271.8 信息技术 词汇 第8部分：安全GB/T 20269 信息安全技术 信息系统安全管理要求3术语、定义和缩略语3.1 术语和定义GB/T 5271.8界定的以及下列术语和定义适用于本标准。3.1.1 计算机信息系统 computer information system由计算机及其相关的和配套的设备、网络基础设施、信息安全设施、系统和应用软件、信息资源、系统用户、管理机制等构成的，按照一定的应用目标和规则，运用知识采集、加工、存储、传输、检索信息的人机系统。3.1.2 重要信息系统 important information system关系国家安全、信息资源安全、经济建设安全、社会稳定等重要领域的信息系统。3.2 缩略语3.2.1 信息系统 information system计算机信息系统。3.2.2PDCA Plan-Do-Check-Act全面质量管理应遵循的科学方法。本标准用于信息系统安全检查相关活动的质量管理。DB21/ XXXXXXXXX24检查模式4.1自查应遵循GB/T 20269确立的信息系统安全管理要求和本规范展开自查。a）信息系统安全自查应由信息系统主管单位、信息系统运营或使用单位组织实施；b）信息系统安全自查应根据业务状况、信息系统特点和安全要求实施；c）信息系统安全自查应经常性定期实施，或根据业务、信息系统、信息安全变化情况实施。周期性自查可有重点、有针对性实施。4.2监督检查a）信息系统安全监督检查应由信息系统所在上级管理部门组织实施，也可由政府相关职能部门依据相关法规实施；b）信息系统安全监督检查应依据本标准要求，制定检查流程，实施整体信息安全检查；c）信息系统安全监督检查应依据本标准要求，实施信息系统安全检查全过程管理；d）信息系统安全监督检查可在自查基础上，实施关键环节或重点内容检查。5检查形式a）信息系统安全检查应以自查为主，自查和监督检查相互结合、互相补充；b）受检单位或监督检查组织部门不具备检查能力的，可委托经相关主管部门认可的机构实施检查。6监督检查管理6.1机构监督检查应建立相应的组织机构，明确相应的职责，保障检查的有效性，包括：a）信息系统安全检查领导机构；b）信息系统安全检查专家组；c）信息系统安全检查小组；d）信息系统安全检查测试组。6.2计划监督检查应制定年度信息系统安全检查计划。计划应包括；a）信息系统安全检查目的、策略；b）根据DB21/T XXXXX.2、本标准和相关国家标准确定检查内容；c）信息系统安全检查管控措施；d）信息系统安全检查质量控制目标；e）相关资源的组织、协调；f）计划执行情况评估；g）其它必要事项。6.3组织DB21/ XXXXXXXXX3监督检查组织机构应根据检查计划，组织实施信息系统安全检查，包括：a）明确信息系统安全检查小组职能和检查组成员职责；b）确定自查、监督检查的时间节点；c）组织各相关单位依据本标准实施自查；d）接受受检单位自查报告并启动审核机制：1）审查受检单位信息系统安全检查自查报告的完整性、充分性；2）自查工作方案的有效性、合理性；3）.听取受检单位信息系统安全自查陈述；4）评估受检单位信息系统安全自查报告；e）根据重要信息系统、典型意义、信息系统特征等确定抽检单位；f）根据本标准和相关国家标准实施抽检单位现场检查：1）测试组确定测试目标，选定适宜的测试工具、测试手段、方式方法等，实施测试，并形成测试报告；2）检查小组根据受检单位提交的相关文档、现场陈述、测试报告实施现场检查；3）形成现场检查报告；g）对存在信息安全隐患的受检单位发出不符合事项报告和整改通知书；h）跟踪整改落实情况；i）信息系统安全检查情况总结；j）形成检查报告。6.4评估信息系统安全检查小组应评估检查计划的实施情况，及时修正、完善检查计划。6.5协调在信息系统安全检查过程中，应注意与受检单位、相关单位和部门及各类相关资源的协调、沟通。6.6文档管理6.6.1记录应记录信息系统安全检查过程中与检查活动或行为相关的目的、范围、内容、过程、人员等各项信息。6.6.2备案应建立信息系统安全检查相关各类文档的备案管理制度。6.7过程管理6.7.1质量控制应明确信息系统安全检查的质量目标，确定实现质量目标的管控措施、人员职责，根据国家相关法规、标准，实施信息系统安全检查全过程质量控制。6.7.2持续改进DB21/ XXXXXXXXX4信息系统安全检查组织机构应根据相关法规、标准、检查实践、信息安全特点、受检单位反馈等，采用PDCA 模式，定期评估、分析信息系统安全检查实施状况，持续改进、完善检查过程。7自查管理7.1资源准备7.1.1文档准备受检单位应准备与信息系统安全检查相关各项文档，包括：a）本单位信息系统规划、建设及信息安全工作相关文档；b）本单位信息安全技术运用、更新；c）本单位与信息安全相关资产清单；d）信息安全知识、技能培训情况和记录；e）本标准所列各项资料；f）其它必须的相关资料。7.1.2测试环境准备受检单位应根据DB21/T XXXXX.2准备信息系统安全检查相应的测试环境，包括网络接口、测试场地等。7.1.3其它资源准备受检单位应准备信息系统安全检查所需的各项相关资源，包括场地、设备、人员等。7.2自查内容7.2.1计划应制定自查计划，确定自查实施方案，包括：a）明确自查工作负责人及其职责；b）确定自查实施机构及其职能；c）明确自查工作、范围和自查项目；d）自查工作的组织协调、资源配置；e）确定自查的时间进度等。7.2.2管理a）信息安全组织机构建立和运行情况：1）信息安全组织机构建立相关文档；机构层级、人员配备等合理；2）信息安全组织机构由单位主管领导负责；3）信息安全组织机构相关工作文档清晰、完整；d.信息安全组织机构信息安全工作检查和考核等；b）制度建设情况：1）依据DB21/T XXXXX.2 8.10要求，建立信息安全管理各项规章制度；2）定期监督、检查制度落实情况；3）根据实际需要，适时修订相关制度；DB21/ XXXXXXXXX5c）相关人员管理情况：1）信息安全相关工作人员配备；2）信息安全相关工作人员岗位职责；3）依据信息安全相关工作文档检查信息安全相关工作人员的工作现状；d）事故处理情况：1）信息安全事故发生的原因（如果存在）；2）信息安全事故的处置；3）信息安全事故责任确定和相应处理；4）信息安全事故报告和相关文档，并完整、清晰。7.2.3技术应依据DB21/T XXXXX.2的要求，定期检查信息系统安全状况。7.2.4专项经费a）经费预算：受检单位应根据信息系统建设和应用的实际，在信息化建设总预算中设置一定比例的信息安全专项经费，保障信息安全建设和应用。b）经费管理：1）应有完整的信息化建设预算报告、信息安全经费使用记录和报告、信息安全产品采购和维护相关文档等；2）信息安全经费使用应涵盖信息系统规划、建设、运行、维护、检查、测试、安全评估、培训教育等方面。7.2.5检查a）信息安全检查相关文档齐全、完整；b）信息安全检查方案合理、适宜；c）定期实施信息系统安全检查，并责任、任务落实，切实完成；d）上年度信息系统安全检查状况及整改实施落实情况。7.3自查总结自查工作完成后，应全面总结检查情况，研究存在的问题和风险，分析、评估可能存在的安全威胁，制定改进、完善措施。7.4报检准备受检单位应定期实施信息系统安全自查并形成信息系统安全自查报告。自查报告应包括：a）本单位信息系统基本状况；b）本单位信息系统运行总体状况；c）本单位信息安全防护和信息安全技术运用情况；d）本单位信息系统管理状况； e）自查工作方案；f）自查工作汇总、存在的信息安全问题；g）问题的整改措施；h）发展规划；DB21/ XXXXXXXXX6i）意见和建议。自查报告应根据信息系统安全检查组织机构的要求及时报送。7.5检查及整改7.5.1检查受检单位应定期实施信息系统安全检查，并建立完整的信息安全检查文档。7.5.2整改根据自查报告、不符合事项报告和整改通知书，制定整改计划，实施整改措施，建立完整的整改文档，提交整改报告。并在整改完成后，重新检查信息系统的安全状况。7.5.3评估应在整改完成后，评估：a）整改措施的有效性；b）整改措施的风险和隐患；c）信息系统整体风险和隐患。DB21/ XXXXXXXXX7A A附录A（资料性附录）信息系统安全检查常用表格A.1信息安全检查记录表表 A.1信息安全检查记录表序号 检查项 检查记录 对应条款 检查结果受检单位负责人（签字）：检 查 人 员（签字）：DB21/ XXXXXXXXX8A.2受检单位不符合事项确认表表 A.2受检单位不符合事项确认表受检单位/部门： 负责人： 检查依据： 不符合事项： 现场检查结论：现场检查存在不符合事项，与 不符合。现场检查意见：建议整改，整改措施将通过下列方式验证：整改并重新自查，提交整改报告现场跟踪检查人员（签字）： 检查组长（签字）： 受检单位确认：同意：不同意： 受检单位负责人（签字）： DB21/ XXXXXXXXX9A.3受检单位整改报告模板表 A.3受检单位整改报告模板单位名称 （盖章）地 址 邮编负责人 联系电话 E_mail整改报告自查报告 整改措施风险状况信息安全整体风险状况信息安全整体评估_