DB21T 2082.1-2013 信息系统安全检查规范 第1部分_管理规范
|
ID: |
3E5B6FBB020744B59344A71DD1C21161 |
|
文件大小(MB): |
0.12 |
|
页数: |
14 |
|
文件格式: |
doc |
|
日期: |
2016-12-9 |
|
购买: |
文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):
ICS?35.020,L70 DB21,辽宁省地方标准,DB 21/ XXXXX-XXXX,????? ,信息系统安全检查规范,第1部分:管理规范,Specification for information system security checks,Part1:Management Criterion, (本稿完成日期:2012-9-13) XXXX - XX - XX发布,XXXX - XX - XX实施,辽宁省质量技术监督局???发布,目??次,前言 III,引言 IV,1 范围 1,2 规范性引用文件 1,3 术语、定义和缩略语 1,4 检查模式 2,4.1 自查 2,4.2 监督检查 2,5 检查形式 2,6 监督检查管理 2,6.1 机构 2,6.2 计划 2,6.3 组织 2,6.4 评估 3,6.5 协调 3,6.6 文档管理 3,6.6.1 记录 3,6.6.2 备案 3,6.7 过程管理 3,6.7.1 质量控制 3,6.7.2 持续改进 3,7 自查管理 4,7.1 资源准备 4,7.1.1 文档准备 4,7.1.2 测试环境准备 4,7.1.3 其它资源准备 4,7.2 自查内容 4,7.2.1 计划 4,7.2.2 管理 4,7.2.3 技术 5,7.2.4 专项经费 5,7.2.5 检查 5,7.3 自查总结 5,7.4 报检准备 5,7.5 检查及整改 6,7.5.1 检查 6,7.5.2 整改 6,7.5.3 评估 6,附录A(资料性附录) 信息系统安全检查常用表格 7,前??言,DB21/Txxxx分为2部分:,--第1部分:管理规范,--第2部分:技术规范,本部分是DB21/Txxxx的第1部分,本标准依据GB/T1.1-2009《标准化工作导则 第1部分:标准的结构与编写》制定,本标准由大连市网络与信息安全协调小组提出,本标准由辽宁省经济和信息化委员会归口,本标准起草单位:大连市经济和信息化委员会、大连市网络与信息安全专家组,本标准主要起草人:郎庆斌、孙鹏、刘刚、李持见、仉宏、董晶、孙毅、杨莉、王小庚、尹宏、汪祖民、夏炳俐,引??言,信息技术,特别是物联网、云计算、移动互联、社交网络、三网融合等新兴IT技术的广泛应用和迅速发展,极大地促进了社会发展、经济繁荣和人民生活进步,网络应用的基础性、社会性、全局性日益凸显,社会、经济对信息化应用的依赖度愈来愈高,对网络与信息安全也提出了更高要求,网络安全问题严重影响我国政治、经济、文化等领域的和谐发展,近年来一些较大级别的基础网络安全事件增多,安全风险继续处于高危水平,网络攻击和网页篡改事件频繁发生,用户密码、账号被盗比例上升到安全事件的第一位(2010年统计达到27%),社会影响力和关注度已达到前所未有的高度。 "震网"病毒攻击、"谷歌地图事件"等都警示我们,网络信息安全已上升到国家安全的重要层面,为应对日益严峻的信息安全形势,保证信息系统的可信、安全、可控,国家网络与信息安全协调小组推进重要领域信息系统安全检查,是重要的保障措施。本规范是为建立科学、规范、有序的信息系统安全检查环境编制,信息系统安全检查规范 第1部分 管理规范,1 范围,本标准规定了信息系统安全检查的模式、监督检查流程和自查管理的一般要求,本标准适用于各级党政机关、行业主管单位为履行职能提供支撑的信息系统的检查。其它面向社会提供服务的重要行业信息系统检查可参照本标准执行,本标准不适用于涉及国家秘密的信息系统安全检查,2 规范性引用文件,下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件,GB/T 5271.8 信息技术 词汇 第8部分:安全,GB/T 20269 信息安全技术 信息系统安全管理要求,3 术语、定义和缩略语,3.1 术语和定义,GB/T 5271.8界定的以及下列术语和定义适用于本标准,3.1.1,计算机信息系统 computer information system,由计算机及其相关的和配套的设备、网络基础设施、信息安全设施、系统和应用软件、信息资源、系统用户、管理机制等构成的,按照一定的应用目标和规则,运用知识采集、加工、存储、传输、检索信息的人机系统,3.1.2,重要信息系统 important information system,关系国家安全、信息资源安全、经济建设安全、社会稳定等重要领域的信息系统,3.2 缩略语,3.2.1,信息系统 information system,计算机信息系统,3.2.2,PDCA Plan-Do-Check-Act,全面质量管理应遵循的科学方法。本标准用于信息系统安全检查相关活动的质量管理,4 检查模式,4.1 自查,应遵循GB/T 20269确立的信息系统安全管理要求和本规范展开自查,a)信息系统安全自查应由信息系统主管单位、信息系统运营或使用单位组织实施;,b)信息系统安全自查应根据业务状况、信息系统特点和安全要求实施;,c)信息系统安全自查应经常性定期实施,或根据业务、信息系统、信息安全变化情况实施。周期性自查可有重点、有针对性实施,4.2 监督检查,a)信息系统安全监督检查应由信息系统所在上级管理部门组织实施,也可由政府相关职能部门依据相关法规实施;,b)信息系统安全监督检查应依据本标准要求,制定检查流程,实施整体信息安全检查;,c)信息系统安全监督检查应依据本标准要求,实施信息系统安全检查全过程管理;,d)信息系统安全监督检查可在……
……