1、 ICS 35.020 L70 DB21 辽 宁 省 地 方 标 准 DB 21/ XXXXX XXXX 信息系统安全检查规范 第 1 部分 : 管理规范 Specification for information system security checks Part1:Management Criterion (报批稿) (本稿完成日期: 2012-9-13) XXXX - XX - XX 发布 XXXX - XX - XX 实施 辽宁省质量技术监督局 发布 DB21/ XXXXX XXXX I 目 次 前言 . III 引言 . IV 1 范围 . 1 2 规范性引用文件 . 1 3 术
2、语、定义和缩略语 . 1 4 检查模式 . 2 4.1 自查 . 2 4.2 监督检查 . 2 5 检查形式 . 2 6 监督检查管理 . 2 6.1 机构 . 2 6.2 计划 . 2 6.3 组织 . 2 6.4 评估 . 3 6.5 协调 . 3 6.6 文档管理 . 3 6.6.1 记录 . 3 6.6.2 备案 . 3 6.7 过程管理 . 3 6.7.1 质量控制 . 3 6.7.2 持续改进 . 3 7 自查管理 . 4 7.1 资源准备 . 4 7.1.1 文档准备 . 4 7.1.2 测试环境准备 . 4 7.1.3 其它资源准备 . 4 7.2 自查内容 . 4 7.2.1
3、 计划 . 4 7.2.2 管理 . 4 7.2.3 技术 . 5 7.2.4 专项经费 . 5 7.2.5 检查 . 5 7.3 自查总结 . 5 7.4 报检准备 . 5 7.5 检查及整改 . 6 DB21/ XXXXX XXXX II 7.5.1 检查 . 6 7.5.2 整改 . 6 7.5.3 评估 . 6 附录 A(资料性附录) 信息系统安全检查常用表格 . 7 DB21/ XXXXX XXXX III 前 言 DB21/Txxxx分为 2部分: 第 1部分:管理规范 第 2部分:技术规范 本部分是 DB21/Txxxx的第 1部分。 本标准依据 GB/T1.1-2009标准化工
4、作导则 第 1部分:标准的结构与编写制定。 本标准由 大连市网络与信息安全协调小组 提出。 本标准由辽宁省经济和信息化委员会归口。 本标准起草单位: 大连市经济和信息化委员会 、 大连 市网络与信息安全专家组 。 本标准 主 要起草人: 郎庆斌、孙鹏、刘刚、李持见、仉宏、董晶、孙毅、杨莉、王小庚、尹宏、汪祖民、夏炳俐 。 DB21/ XXXXX XXXX IV 引 言 信息技术,特别是 物联网、 云计算 、移动互联、社交网络、 三网融合 等新兴 IT技术 的广泛应用和迅速发展,极大地促进了社会发展、经济繁荣和人民生活进步,网络应用的 基础性、社会性、全局性日益凸显,社会、经济对信息化应用的依赖
5、度愈来愈高,对网络与信息安全也提出了更高要求。 网络安全问题严重影响我国政治、经济、文化等领域的和谐发展,近年来一些较大级别的基础网 络安全事件增多,安全风险继续处于高危水平,网络攻击和网页篡改事件频繁发生,用户密码、账号被盗比例上升到安全事件的第一位( 2010年统计达到 27),社会影响力和关注度已达到前所未有的高度。 “ 震网 ” 病毒攻击 、“ 谷歌 地图事件 ”等 都警示我们 , 网络信息安全已上升到国家安全的重要层面。 为应对日益严峻的信息安全形势,保证信息系统的可信、安全、可控,国家网络与信息安全协调小组推进重要领域信息系统安 全检查,是重要的保障措施。本规范是为建立科学、规范、
6、有序的信息系统安全检查环境编制。 DB21/ XXXXX XXXX 1 信息系统安全检查规范 第 1 部分 管理规范 1 范围 本标准规定了信息系统安全检查的模式、监督检查流程和自查管理的一般要求。 本标准适用于各级党政机关、行业主管单位为履行职能提供支撑的信息系统的检查。其它面向社会提供服务的重要行业信息系统检查可参照本标准执行。 本标准不适用于涉及国家秘密的信息系统安全检查。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件 。凡是不注日期的 引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 5271.8 信息技术
7、 词汇 第 8部分:安全 GB/T 20269 信息安全技术 信息系统安全管理要求 3 术语 、 定义和 缩略语 3.1 术语和定义 GB/T 5271.8界定的以及下列术语和定义适用于本标准。 3.1.1 计算机信息系统 computer information system 由计算机及其相关的和配套的设备、网络基础设施、信息安全设施、系统和应用软件、信息资源、系统用户、管理机制等构成的,按照一定的应用目标和规则,运用知识采集、加工、存储、传输、检索信息的人机系统。 3.1.2 重要信息系统 important information system 关系国家安全、信息资源安全、经济建设安全、
8、社会稳定等重要领域的信息系统。 3.2 缩略语 3.2.1 信息系统 information system 计算机信息系统。 3.2.2 PDCA Plan-Do-Check-Act 全面质量管理应遵循的科学方法。本标准用于信息 系统安全检查 相关活动的质量管理。 DB21/ XXXXX XXXX 2 4 检查模式 4.1 自查 应遵循 GB/T 20269确立的信息系统安全管理要求和本规范展开自查。 a) 信息系统安全自查应由信息系统主管单位、信息系统运营或使用单位组织实施; b)信息系统安全自查应根据业务状况、信息系统特点和安全要求实施; c)信息系统安全自查应经常性定期实施,或根据业务、
9、信息系统、信息安全变化情况实施。周期性自查可有重点、有针对性实施。 4.2 监督检查 a) 信息系统安全监督检查应由信息系统所在上级管理部门组织实施,也可由政府相 关职能部门依据相关法规实施; b)信息系统安全监督检查应依据本标准要求,制定检查流程,实施整体信息安全检查; c)信息系统安全监督检查应依据本标准要求,实施信息系统安全检查全过程管理; d)信息系统安全监督检查可在自查基础上,实施关键环节或重点内容检查。 5 检查形式 a)信息系统安全检查应以自查为主,自查和监督检查相互结合、互相补充; b)受检单位或监督检查组织部门不具备检查能力的,可委托经相关主管部门认可的机构实施检查。 6 监
10、督检查管理 6.1 机构 监督检查应建立相应的组织机构,明确相应的职责,保障检查的有效性,包 括: a) 信息系统安全检查领导机构; b)信息系统安全检查专家组; c)信息系统安全检查小组; d)信息系统安全检查测试组。 6.2 计划 监督检查应制定年度信息系统安全检查计划。计划应包括; a) 信息系统安全检查目的、策略; b)根据 DB21/T XXXXX.2、本标准和相关国家标准确定检查内容; c)信息系统安全检查管控措施; d)信息系统安全检查质量控制目标; e)相关资源的组织、协调; f)计划执行情况评估; g)其它必要事项。 6.3 组织 监督检查组织机构应根据检查计划,组织实施信息
11、系统安全检查,包括: DB21/ XXXXX XXXX 3 a)明 确信息系统安全检查小组职能和检查组成员职责; b)确定自查、监督检查的时间节点; c)组织各相关单位依据本标准实施自查; d)接受受检单位自查报告并启动审核机制: 1) 审查受检单位信息系统安全检查自查报告的完整性、充分性; 2) 自查工作方案的有效性、合理性; 3) .听取受检单位信息系统安全自查陈述; 4) 评估受检单位信息系统安全自查报告; e)根据重要信息系统、典型意义、信息系统特征等确定抽检单位; f)根据本标准和相关国家标准实施抽检单位现场检查: 1) 测试组确定测试目标,选定适宜的测试工具、 测试手段、方式方法等
12、,实施测试,并形成测试报告; 2) 检查小组根据受检单位提交的相关文档、现场陈述、测试报告实施现场检查; 3) 形成现场检查报告; g)对存在信息安全隐患的受检单位发出不符合事项报告和整改通知书; h)跟踪整改落实情况; i)信息系统安全检查情况总结; j)形成检查报告。 6.4 评估 信息系统安全检查小组应评估检查计划的实施情况,及时修正、完善检查计划。 6.5 协调 在信息系统安全检查过程中,应注意与受检单位、相关单位和部门及各类相关资源的协调、沟通。 6.6 文档管理 6.6.1 记录 应记录信息系统安全检查过程 中与检查活动或行为相关的目的、范围、内容、过程、人员等各项信息。 6.6.
13、2 备案 应建立信息系统安全检查相关各类文档的备案管理制度。 6.7 过程管理 6.7.1 质量控制 应明确信息系统安全检查的质量目标,确定实现质量目标的管控措施、人员职责,根据国家相关法规、标准,实施信息系统安全检查全过程质量控制。 6.7.2 持续改进 信息系统安全检查组织机构应根据相关法规、标准、检查实践、信息安全特点、受检单位反馈等,采用 PDCA模式,定期评估、分析信息系统安全检查实施状况,持续改进、完善检查过程。 DB21/ XXXXX XXXX 4 7 自查管理 7.1 资源准备 7.1.1 文档准备 受检单位应准备与信息系统 安全检查相关各项文档,包括: a) 本单位信息系统规
14、划、建设及信息安全工作相关文档; b)本单位信息安全技术运用、更新; c)本单位与信息安全相关资产清单; d)信息安全知识、技能培训情况和记录; e)本标准所列各项资料; f)其它必须的相关资料。 7.1.2 测试环境准备 受检单位应根据 DB21/T XXXXX.2准备信息系统安全检查相应的测试环境,包括网络接口、测试场地等。 7.1.3 其它资源准备 受检单位应准备信息系统安全检查所需的各项相关资源,包括场地、设备、人员等。 7.2 自查内容 7.2.1 计划 应制定自查计划,确定自查实施方案,包括 : a) 明确自查工作负责人及其职责; b)确定自查实施机构及其职能; c)明确自查工作、
15、范围和自查项目; d)自查工作的组织协调、资源配置; e)确定自查的时间进度等。 7.2.2 管理 a) 信息安全组织机构建立和运行情况: 1) 信息安全组织机构建立相关文档;机构层级、人员配备等合理; 2) 信息安全组织机构由单位主管领导负责; 3) 信息安全组织机构相关工作文档清晰、完整; d.信息安全组织机构信息安全工作检查和考核等; b)制度建设情况: 1) 依据 DB21/T XXXXX.2 8.10要求,建立信息安全管理各项规章制度 ; 2) 定期监督、检查制度落实情况; 3) 根据实际需要,适时修订相关制度; c)相关人员管理情况: 1) 信息安全相关工作人员配备; 2) 信息安
16、全相关工作人员岗位职责; DB21/ XXXXX XXXX 5 3) 依据信息安全相关工作文档检查信息安全相关工作人员的工作现状; d)事故处理情况: 1) 信息安全事故发生的原因(如果存在); 2) 信息安全事故的处置; 3) 信息安全事故责任确定和相应处理; 4) 信息安全事故报告和相关文档,并完整、清晰。 7.2.3 技术 应依据 DB21/T XXXXX.2的要求,定期检查信息系统安全状况。 7.2.4 专项经费 a) 经费预算: 受检单位 应 根据信息系统建设和应用的实际,在 信息化建设总预算 中 设置 一定比例的 信息安全 专项经费,保障信息安全建设和应用。 b)经费管理: 1)
17、应有完整的信息化建设预算报告、信息安全经费使用记录和报告、信息安全产品采购和维护相关文档等; 2) 信息安全经费使用应涵盖信息系统规划、建设、运行、维护、检查、测试、安全评估、培训教育等方面。 7.2.5 检查 a) 信息安全检查相关文档齐全、完整; b)信息安全检查方案合理、适宜; c)定期实施信息系统安全检查,并责任、任务落实,切实完成; d)上年度信息系统 安全检查状况及整改实施落实情况。 7.3 自查 总结 自查工作完成后,应全面总结检查情况,研究存在的问题和风险,分析、评估可能存在的安全威胁,制定改进、完善措施。 7.4 报检准备 受检单位应定期实施信息系统安全自查并形成信息系统安全
18、自查报告。自查报告应包括: a) 本单位信息系统基本状况; b)本单位信息系统运行总体状况; c)本单位信息安全防护和信息安全技术运用情况; d)本单位信息系统管理状况; e)自查工作方案; f)自查工作汇总、存在的信息安全问题; g)问题的整改措施; h)发展规划; i)意见和建议。 自查报告 应根据信息系统安全检查组织机构的要求及时报送。 DB21/ XXXXX XXXX 6 7.5 检查及整改 7.5.1 检查 受 检单位应定期实施信息系统安全检查,并建立完整的信息安全检查文档。 7.5.2 整改 根据自查报告、不符合事项报告和整改通知书,制定整改计划,实施整改措施,建立完整的整改文档,
19、提交整改报告。并在整改完成后,重新检查信息系统的安全状况。 7.5.3 评估 应在整改完成后,评估: a) 整改措施的有效性; b)整改措施的风险和隐患; c)信息系统整体风险和隐患。 DB21/ XXXXX XXXX 7 A A 附 录 A (资料性附录) 信息系统安全检查常用表格 A.1 信息安全检查记录表 表 A.1 信息安全检查记录表 序号 检查项 检查记录 对应条款 检查结果 受检单位负责人(签字): 检 查 人 员(签字): DB21/ XXXXX XXXX 8 A.2 受检单位不符合事项确认表 表 A.2 受检单位不符合事项确认表 受检单位 /部门: 负责人: 检查依据: 不符合事项: 现场检查结论:现场检查存在不符合事项,与 不符合。 现场检查意见:建议整改,整改措施将通过下列方式验证: 整改并重新自查,提交整改报告 现场跟踪 检查人员(签字): 检查组长(签字): 受检单位确认: 同意: 不同意: 受检单位负责人(签字): DB21/ XXXXX XXXX 9 A.3 受检单位整改报告模板 表 A.3 受检单位 整改报告模板 单位名称 (盖章) 地 址 邮编 负责人 联系电话 E_mail 整改报告 自查报告 整改措施风险状况 信息安全整体风险状况 信息安全整体评估 _
