下载文档原格式
计算机信息系统安全专用产品检测和销售许可证管理办法作者: 来源: 公安部时间:2006-02-17字体:大中小第一章总则第一条为了加强计算机信息系统安全专用产品(以下简称安全专用产品)的管理, 保证安全专用产品的安全功能, 维护计算机信息系统的安全, 根据《中华人民共和国计算机信息系统安全保护条例》第十六条的规定, 制定本办法。
第二条本办法所称计算机信息系统安全专用产品, 是指用于保护计算机信息系统安全的专用硬件和软件产品。
第三条中华人民共和国境内的安全专用产品进入市场销售, 实行销售许可证制度。
安全专用产品的生产者在其产品进入市场销售之前, 必须申领《计算机信息系统安全专用产品销售许可证》(以下简称销售许可证)。
第四条安全专用产品的生产者申领销售许可证, 必须对其产品进行安全功能检测和认定。
第五条公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构(以下简称检测机构)的审批工作。
地(市)级以上人民政府公安机关负责销售许可证的监督检查工作。
第二章检测机构的申请与批准第六条经省级以上技术监督行政主管部门或者其授权的部门考核合格的检测机构, 可以向公安部计算机管理监察部门提出承担安全专用产品检测任务的申请。
第七条公安部计算机管理监察部门对提出申请的检测机构的检测条件和能力进行审查, 经审查合格的, 批准其承担安全专用产品检测任务。
第八条检测机构应当履行下列职责:(一)严格执行公安部计算机管理监察部门下达的检测任务;(二)按照标准格式填写安全专用产品检测报告;(三)出具检测结果报告;(四)接受公安部计算机管理监察部门对检测过程的监督及查阅检测机构内部验证和审核试验的原始测试记录;(五)保守检测产品的技术秘密, 并不得非法占有他人科技成果;(六)不得从事与检测产品有关的开发和对外咨询业务。
第九条公安部计算机管理监察部门对承担检测任务的检测机构每年至少进行一次监督检查。
第十条被取消检测资格的检测机构, 两年后方准许重新申请承担安全专用产品的检测任务。
L70DB21∕T 2082 DB21辽宁省地点标准DB 21/ XXXXX—XXXX(报批稿)(本稿完成日期:2012-9-13)信息系统安全检查规范第2部分:技术规范Specification for information system security checks Part2: technical CriterionXXXX - XX - XX公布XXXX - XX - XX实施辽宁省质量技术监督局公布目次前言V引言VI1范畴12规范性引用文件13术语和定义14要求25信息安全防护体系2 5.1物理安全25.2平台安全25.3数据安全25.4通信安全35.5应用安全35.6运行安全35.7治理安全36信息系统基础产品检查3 6.1IT及有关产品36.1.1检查预备36.1.2检查对象46.1.3检查项46.1.4检查实施46.1.5检查评估46.2信息安全产品46.2.1检查预备46.2.2检查对象46.2.3检查项46.2.4检查实施46.2.5检查评估57信息安全等级爱护检查57.2检查对象57.3检查项57.4检查实施57.5检查评估58技术要求68.1风险评估68.1.1检查预备68.1.2检查对象68.1.3检查项68.1.4检查实施68.1.5检查评估68.2物理安全68.2.1检查预备78.2.2检查对象78.2.3检查项78.2.4检查实施78.2.5检查评估78.3网络基础平台安全 7 8.3.1检查预备78.3.2检查对象78.3.3检查项78.3.4检查实施88.3.4.1测试88.3.4.2设备检查 88.3.4.3结构检查 88.3.4.4安全功能检查8 8.3.5检查评估88.4系统平台安全98.4.2检查对象98.4.3检查项98.4.4检查实施98.4.4.1测试98.4.4.2安全配置检查9 8.4.4.3安全监控检查10 8.4.5检查评估108.5应用系统安全108.5.1检查预备108.5.2检查对象108.5.3检查项108.5.4检查实施108.5.4.1测试118.5.4.2防护措施检查11 8.5.4.2关键字过滤检查 11 8.5.5检查评估118.6系统安全平台检查 11 8.6.1检查预备118.6.2检查对象128.6.3检查项128.6.4检查实施128.6.4.1测试128.6.4.2设备检查 128.6.4.3安全治理检查12 8.6.4.4密码使用和治理 12 8.6.5检查评估138.7数据安全检查138.7.1检查预备138.7.3检查项138.7.4检查实施138.7.4.1测试138.7.4.2设备检查 148.7.4.3数据治理检查14 8.7.4.4备份容灾检查14 8.7.5检查评估148.8通信安全检查148.8.1检查预备148.8.2检查对象148.8.3检查项158.8.4检查实施158.8.4.1测试158.8.4.2安全域检查15 8.8.4.3数据传输检查15 8.8.5检查评估158.9运行安全检查158.9.1检查预备158.9.2检查对象168.9.3检查项168.9.4检查实施168.9.4.1系统运行检查16 8.9.4.2IT服务检查16 8.9.4.3工作环境检查16 8.9.4.4应急治理检查16 8.9.4.5事件治理检查16 8.9.5检查评估178.10治理安全检查 178.10.1检查预备178.10.2检查对象178.10.3检查项178.10.4检查实施188.10.4.1规范治理检查188.10.4.2人员治理检查188.10.4.3资产治理检查188.10.5检查评估188.11教育培训检查 198.11.1检查预备198.11.2检查对象198.11.3检查项198.11.4检查实施198.11.5检查评估19前言DB21/Txxxx分为2部分:——第1部分:治理规范——第2部分:技术规范本部分是DB21/Txxxx的第2部分。
网络安全审计产品检验规范本规范由中华人民共和国公安部公共信息网络安全监察局提出。
本规范起草单位:公安部计算机信息系统安全产品质量监督检验中心。
公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。
本规范规定了网络通讯安全审计产品的技术要求,提出了该类产品应具备的功能要求和安全保证要求。
并根据功能和保证要求的不同将网络通讯安全审计产品进行了分级。
本规范的目的是为网络通讯安全审计产品的研制、开发、测评和采购提供技术支持和指导。
使用符合本规范的网络通讯安全审计产品可对网络进行隐蔽监视,能对事后发现的安全事件进行会话恢复,为网络通讯取证提供有效的工具。
本规范不涉及在加密网络中使用的网络通讯安全审计产品。
信息技术网络通讯安全审计产品检验规范1.范围本规范规定了在网络通讯中使用的安全审计产品的自身安全功能要求、安全功能要求和保证要求。
本规范适用于安全审计产品的生产及检测。
2.术语和定义下列术语和定义适用于本规范:2.1安全审计Security Audit安全审计产品是对网络或指定系统的使用状态进行跟踪并记录的产品。
2.2审计日志Audit Log审计日志是指安全审计产品自身审计产生的信息。
2.3审计记录Audit Recordation审计记录是指跟踪网络或指定系统的使用状态产生的信息。
2.4审计信息Audit Information审计信息是指所有的审计日志和审计记录的总称。
3.安全审计等级划分规范3.1第一级:用户自主保护级3.1.1自身安全功能要求3.1.1.1自主访问控制3.1.1.1.1属性定义安全审计产品应为每个管理角色规定与之相关的安全属性,例如管理角色标识、鉴别信息、隶属组、权限等。
3.1.1.1.2属性初始化安全审计产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。
3.1.1.2身份鉴别3.1.1.2.1基本鉴别安全审计产品应在执行任何与授权管理员或用户相关功能之前鉴别授权管理员或用户的身份。
百马出行公司信息安全生产及检查管理办法第一章总则第一条编制重要性及目的随着信息化建设的快速发展,一大批重要信息系统陆续建成并投产运行,在生产中得到广泛应用,成为信息管理必不可少的重要工具,计算及网络生产的重要组成部分。
为保证信息系统安全生产,规范信息生产调度职责,建立健全计算机信息系统的维护保障体系,根据《计算机信息系统安全保护办法》及有关规定,制定本办法。
第二条适应范围与要求本办法适用于公司信息系统的设计、开发、运行和维护各阶段,涉及硬件、信息系统、系统、网络、应用、机房基础设施和管理制度等各个方面。
公司各部门要认真贯彻“安全第一、预防为主”的方针,牢固树立安全意识,加强投产项目的安全管理,提高系统运行的安全性、可靠性和稳定性。
第三条原则多层次:信息安全管理工作需从信息系统的不同阶段、信息系统的不同组成部分、参与者的多个层次就行管理与规范。
持续性:信息安全管理需具有持续性,切合实际情况,不断更新管理体系。
经济性:信息安全管理应以合理的管理与技术手段解决组织主要信息安全风险。
第四条安全框架公司采用纵深防御框架构建信息安全体系,包括技术措施与管理措施两大部分。
安全体系涵盖信息系统从规划、建设、运维、变更到下线销毁的全生命周期,涵盖物理安全、主机安全、网络安全、应用安全、数据安全与备份恢复的各个技术层级,涵盖了人员、技术、组织、制度4大因素,并通过PDCA不断的完善。
第二章安全生产的管理机制第五条管理机构及职责1. 管理机构公司成立信息系统安全生产工作及安全生产检查领导小组(以下简称“安全生产领导小组”),总经理任组长,技术总监任副组长,成员为技术部经理、产品经理、开发工程师、运维人员。
主任为总经理,成员有技术部经理、产品经理、开发工程师、运维人员。
2. 安全生产组织机构职责2.1 安全生产领导小组主要职责(1) 指挥、指导信息系统运行安全、故障处理和突发事件应急处置工作。
(2) 审议和审定公司关于安全方面的一切重大问题、方案及各种安全规章制度的发布。
ICS35.020L 70 DB21 辽宁省地方标准DB21/T 1628.1—2016代替DB21/T 1628.1-2012信息安全 个人信息保护规范 Information Security-Specification for Personal Information Protection2016-09-27发布2016-11-27实施目次前言 (IV)引言 (V)1 范围 (1)2 规范性引用文件 (1)3 术语、定义和缩略语 (1)4 个人信息生命周期 (4)5 个人信息主体权利 (4)6 个人信息管理者 (4)7 个人信息管理 (5)8 管理机制 (7)9 个人信息获取 (10)10 个人信息处理 (11)11 安全管理 (13)12 过程管理 (15)13 例外 (16)14 认证 (17)参考文献 (18)前言DB21/T 1628分为8部分:——信息安全个人信息保护规范——信息安全个人信息安全管理体系实施指南——信息安全个人信息数据库管理指南——信息安全个人信息管理文档管理指南——信息安全个人信息安全风险管理指南——信息安全个人信息安全管理体系安全技术实施指南——信息安全个人信息安全管理体系内审实施指南——信息安全个人信息安全管理体系过程管理指南等。
本部分是DB21/T 1628的第1部分。
本部分按照GB/T 1.1-2009《标准化工作导则第1部分:标准的结构与编写》给出的规则起草。
本部分代替DB21/T 1628.1-2012《信息安全个人信息保护规范》。
与DB21/T 1628.1-2012相比,本部分除编辑性修改外,主要技术变化如下:——标准结构修改,构建个人信息安全管理框架;——标准粒度修订,剔除规章制度等部分过细的约束规则;——适当跟踪新技术的发展,增加部分相关规则,如移动设备等;——增加个人定义,以使个人信息定义更加严谨,精确地描述个人信息;——修订个人信息定义;——增加主体定义,以使个人信息主体定义更加严谨,精确地描述个人信息主体;——修订个人信息主体定义,更加严谨、规范地描述个人信息主体;——定义个人信息生命周期,制定基于个人信息生命周期的个人信息安全规则;——定义个人信息管理者的行为约束;——建立被动收集的约束规则;——增加个人安全管理规则,以适应新一代信息技术应用对个人信息主体的安全威胁。
2021年第二期CCAA注册ISMS信息安全管理体系审核员知识模拟试题一、单项选择题1、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是()A、该标准是指南类标准B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南C、该标准给出了ISMS的实施指南D、该标准的名称是《信息技术安全技术信息安全管理实用规则》2、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为()级A、3B、4C、5D、63、涉及运行系统验证的审计要求和活动,应()A、谨慎地加以规划并取得批准,以便最小化业务过程的中断B、谨慎地加以规划并取得批准,以便最大化保持业务过程的连续C、谨慎地加以实施并取得批准,以便最小化业务过程的中断D、谨慎地加以实施并取得批准,以便最大化保持业务过程的连续4、gb17859-1999提出将信息系统的安全等级划分为()个等级,并提出每个级别的安全功能要求A、2B、3C、5D、75、ISMS文件的多少和详细程度取于A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C6、审核发现是指()A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项7、信息安全管理体系是用来确定()A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度8、在规划如何达到信息安全目标时,组织应确定()A、要做什么,有什么可用资源,由谁负责,什么时候开始,一次何测量结果B、要做什么,需要什么资源,由谁负责,什么时候完成,如何测量结果C、要做什么,需要什么资源,由谁负责,什么时候完成,如何评价结果D、要做什么,有什么可用资源,由谁执行,什么时候开始,如何评价结果9、在现场审核结束之前,下列哪项活动不是必须的?()A、关于客户组织ISMS与认证要求之间的符合性说明B、审核现场发现的不符合C、提供审核报告D、听取客户对审核发现提出的问题10、防止计算机中信息被窃取的手段不包括()A、用户识别B、权限控制C、数据加密D、数据备份11、不属于公司信息资产的是()A、客户信息B、公司旋转在IDC机房的服务器C、保洁服务D、以上都不对12、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是:()A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件包D、禁止软件安装超出许可权规定的最大用户数13、容量管理的对象包括()A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部14、在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会是()A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4015、有关信息安全管理,风险评估的方法比起基线的方法,主要的优势在于它确保()A、不考虑资产的价值,基本水平的保护都会被实施B、对所有信息资产保护都投入相同的资源C、对信息资产实施适当水平的保护D、信息资产过度的保护16、信息安全事态、事件和事故的关系是()A、事态一定是事件,事件一定是事故B、事件一定是事故,事故一定是事态C、事态一定是事故,事故一定是事件D、事故一定是事件,事件一定是事态17、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
信息安全等级保护检测产品检验规范GA中华人民共和国公共安全行业标准GA ×××× — ××××计算机主机安全检测产品测评准则Testing and evaluation criteria for detection products of host computersecurity(试行)201× -××-×× 发布 201× -××-×× 实施中华人民共和国公安部 发 布ICS 35.020 L04目录前言 (1)1 范围 (2)2 规范性引用文件 (2)3 术语和定义 (2)4 受检要求 (4)4.1 检验周期 (4)4.2 测试用例要求 (5)4.3 资料要求 (5)5 测试指标要求 (5)5.1 测试指标 (5)5.2 检测病毒能力 (5)6 功能要求 (6)6.1 身份鉴别 (6)6.2 访问控制 (6)6.3 安全审计 (7)6.4 剩余信息保护 (7)6.5 入侵防范 (7)6.6 恶意代码防范 (8)6.7 资源控制 (8)6.8 数据库检测 (8)7 测试方法 (8)7.1 身份鉴别 (8)7.2 访问控制 (10)7.3 安全审计 (12)7.4 剩余信息保护 (13)7.5 入侵防范 (14)7.6 恶意代码防范 (15)7.7 资源控制 (16)8 报告格式 (17)8.1 产品检验结果及评分表 (17)9 评级方法 (17)前言本标准的全部技术内容为强制性。
本标准由公安部网络安全保卫局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准起草单位:天津市公共信息网络安全监察总队、公安部计算机病毒防治产品检验中心、国家计算机病毒应急处理中心。
本标准主要起草人:张津弟、陈建民、张健、范春玲、苗得雨、肖新光、曹鹏。
信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民XX国计算机信息系统安全保护条例》〔国务院147号令2、《信息安全等级保护管理办法》〔公通字[2007]43号3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
L70DB21∕T 2082 DB21辽宁省地点标准DB 21/ XXXXX—XXXX(报批稿)(本稿完成日期:2012-9-13)信息系统安全检查规范第1部分:治理规范Specification for information system security checks Part1:Management CriterionXXXX - XX - XX公布XXXX - XX - XX实施辽宁省质量技术监督局公布目次前言III引言IV1范畴12规范性引用文件13术语、定义和缩略语1 4检查模式24.1自查 24.2监督检查25检查形式26监督检查治理26.1机构 26.2打算 26.3组织 26.4评估 36.5和谐 36.6文档治理36.6.1记录36.6.2备案36.7过程治理36.7.1质量操纵36.7.2连续改进37自查治理47.1资源预备47.1.1文档预备47.1.2测试环境预备4 7.1.3其它资源预备4 7.2自查内容47.2.1打算47.2.2治理47.2.3技术57.2.4专项经费57.2.5检查57.3自查总结57.4报检预备57.5检查及整改 67.5.1检查67.5.2整改67.5.3评估6附录A(资料性附录)信息系统安全检查常用表格7前言DB21/Txxxx分为2部分:——第1部分:治理规范——第2部分:技术规范本部分是DB21/Txxxx的第1部分。
本标准依据GB/T1.1-2009《标准化工作导则第1部分:标准的结构与编写》制定。
本标准由大连市网络与信息安全和谐小组提出。
本标准由辽宁省经济和信息化委员会归口。
本标准起草单位:大连市经济和信息化委员会、大连市网络与信息安全专家组。
引言为应对日益严肃的信息安全形势,保证信息系统的可信、安全、可控,国家网络与信息安全和谐小组推进重要领域信息系统安全检查,是重要的保证措施。
本规范是为建立科学、规范、有序的信息系统安全检查环境编制。
信息系统安全检查规范第1部分治理规范范畴本标准规定了信息系统安全检查的模式、监督检查流程和自查治理的一样要求。
本标准适用于各级党政机关、行业主管单位为履行职能提供支撑的信息系统的检查。
其它面向社会提供服务的重要行业信息系统检查可参照本标准执行。
本标准不适用于涉及国家隐秘的信息系统安全检查。
规范性引用文件下列文件关于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8 信息技术词汇第8部分:安全GB/T 20269 信息安全技术信息系统安全治理要求术语、定义和缩略语3.1 术语和定义GB/T 5271.8界定的以及下列术语和定义适用于本标准。
3.1.1运算机信息系统computer information system由运算机及其有关的和配套的设备、网络基础设施、信息安全设施、系统和应用软件、信息资源、系统用户、治理机制等构成的,按照一定的应用目标和规则,运用知识采集、加工、储备、传输、检索信息的人机系统。
3.1.2重要信息系统important information system关系国家安全、信息资源安全、经济建设安全、社会稳固等重要领域的信息系统。
3.2 缩略语3.2.1信息系统information system运算机信息系统。
3.2.2PDCA Plan-Do-Check-Act全面质量治理应遵循的科学方法。
本标准用于信息系统安全检查有关活动的质量治理。
检查模式自查应遵循GB/T 20269确立的信息系统安全治理要求和本规范展开自查。
a)信息系统安全自查应由信息系统主管单位、信息系统运营或使用单位组织实施;b)信息系统安全自查应按照业务状况、信息系统特点和安全要求实施;c)信息系统安全自查应经常性定期实施,或按照业务、信息系统、信息安全变化情形实施。
周期性自查可有重点、有针对性实施。
监督检查a)信息系统安全监督检查应由信息系统所在上级治理部门组织实施,也可由政府有关职能部门依据有关法规实施;b)信息系统安全监督检查应依据本标准要求,制定检查流程,实施整体信息安全检查;c)信息系统安全监督检查应依据本标准要求,实施信息系统安全检查全过程治理;d)信息系统安全监督检查可在自查基础上,实施关键环节或重点内容检查。
检查形式a)信息系统安全检查应以自查为主,自查和监督检查相互结合、互相补充;b)受检单位或监督检查组织部门不具备检查能力的,可托付经有关主管部门认可的机构实施检查。
监督检查治理机构监督检查应建立相应的组织机构,明确相应的职责,保证检查的有效性,包括:a)信息系统安全检查领导机构;b)信息系统安全检查专家组;c)信息系统安全检查小组;d)信息系统安全检查测试组。
打算监督检查应制定年度信息系统安全检查打算。
打算应包括;a)信息系统安全检查目的、策略;b)按照DB21/T XXXXX.2、本标准和有关国家标准确定检查内容;c)信息系统安全检查管控措施;d)信息系统安全检查质量操纵目标;e)有关资源的组织、和谐;f)打算执行情形评估;g)其它必要事项。
组织监督检查组织机构应按照检查打算,组织实施信息系统安全检查,包括:a)明确信息系统安全检查小组职能和检查组成员职责;b)确定自查、监督检查的时刻节点;c)组织各有关单位依据本标准实施自查;1)审查受检单位信息系统安全检查自查报告的完整性、充分性;2)自查工作方案的有效性、合理性;3).听取受检单位信息系统安全自查陈述;4)评估受检单位信息系统安全自查报告;e)按照重要信息系统、典型意义、信息系统特点等确定抽检单位;f)按照本标准和有关国家标准实施抽检单位现场检查:1)测试组确定测试目标,选定适宜的测试工具、测试手段、方式方法等,实施测试,并形成测试报告;2)检查小组按照受检单位提交的有关文档、现场陈述、测试报告实施现场检查;3)形成现场检查报告;g)对存在信息安全隐患的受检单位发出不符合事项报告和整改通知书;h)跟踪整改落实情形;i)信息系统安全检查情形总结;j)形成检查报告。
评估信息系统安全检查小组应评估检查打算的实施情形,及时修正、完善检查打算。
和谐在信息系统安全检查过程中,应注意与受检单位、有关单位和部门及各类有关资源的和谐、沟通。
文档治理记录应记录信息系统安全检查过程中与检查活动或行为有关的目的、范畴、内容、过程、人员等各项信息。
备案应建立信息系统安全检查有关各类文档的备案治理制度。
过程治理质量操纵应明确信息系统安全检查的质量目标,确定实现质量目标的管控措施、人员职责,按照国家有关法规、标准,实施信息系统安全检查全过程质量操纵。
连续改进信息系统安全检查组织机构应按照有关法规、标准、检查实践、信息安全特点、受检单位反馈等,采纳PDCA模式,定期评估、分析信息系统安全检查实施状况,连续改进、完善检查过程。
自查治理资源预备文档预备受检单位应预备与信息系统安全检查有关各项文档,包括:a)本单位信息系统规划、建设及信息安全工作有关文档;b)本单位信息安全技术运用、更新;c)本单位与信息安全有关资产清单;d)信息安全知识、技能培训情形和记录;e)本标准所列各项资料;f)其它必须的有关资料。
测试环境预备受检单位应按照DB21/T XXXXX.2预备信息系统安全检查相应的测试环境,包括网络接口、测试场地等。
其它资源预备受检单位应预备信息系统安全检查所需的各项有关资源,包括场地、设备、人员等。
自查内容打算应制定自查打算,确定自查实施方案,包括:a)明确自查工作负责人及其职责;b)确定自查实施机构及其职能;c)明确自查工作、范畴和自查项目;d)自查工作的组织和谐、资源配置;e)确定自查的时刻进度等。
治理a)信息安全组织机构建立和运行情形:1)信息安全组织机构建立有关文档;机构层级、人员配备等合理;2)信息安全组织机构由单位主管领导负责;3)信息安全组织机构有关工作文档清晰、完整;d.信息安全组织机构信息安全工作检查和考核等;b)制度建设情形:1)依据DB21/T XXXXX.2 8.10要求,建立信息安全治理各项规章制度;2)定期监督、检查制度落实情形;3)按照实际需要,适时修订有关制度;c)有关人员治理情形:1)信息安全有关工作人员配备;2)信息安全有关工作人员岗位职责;3)依据信息安全有关工作文档检查信息安全有关工作人员的工作现状;d)事故处理情形:1)信息安全事故发生的缘故(如果存在);2)信息安全事故的处置;3)信息安全事故责任确定和相应处理;4)信息安全事故报告和有关文档,并完整、清晰。
技术应依据DB21/T XXXXX.2的要求,定期检查信息系统安全状况。
专项经费a)经费预算:受检单位应按照信息系统建设和应用的实际,在信息化建设总预算中设置一定比例的信息安全专项经费,保证信息安全建设和应用。
b)经费治理:1)应有完整的信息化建设预算报告、信息安全经费使用记录和报告、信息安全产品采购和爱护有关文档等;2)信息安全经费使用应涵盖信息系统规划、建设、运行、爱护、检查、测试、安全评估、培训教育等方面。
检查a)信息安全检查有关文档齐全、完整;b)信息安全检查方案合理、适宜;c)定期实施信息系统安全检查,并责任、任务落实,切实完成;d)上年度信息系统安全检查状况及整改实施落实情形。
自查总结自查工作完成后,应全面总结检查情形,研究存在的咨询题和风险,分析、评估可能存在的安全威逼,制定改进、完善措施。
报检预备受检单位应定期实施信息系统安全自查并形成信息系统安全自查报告。
自查报告应包括:a)本单位信息系统差不多状况;b)本单位信息系统运行总体状况;c)本单位信息安全防护和信息安全技术运用情形;d)本单位信息系统治理状况;e)自查工作方案;f)自查工作汇总、存在的信息安全咨询题;g)咨询题的整改措施;h)进展规划;i)意见和建议。
自查报告应按照信息系统安全检查组织机构的要求及时报送。
检查及整改检查受检单位应定期实施信息系统安全检查,并建立完整的信息安全检查文档。
整改按照自查报告、不符合事项报告和整改通知书,制定整改打算,实施整改措施,建立完整的整改文档,提交整改报告。
并在整改完成后,重新检查信息系统的安全状况。
评估应在整改完成后,评估:a)整改措施的有效性;b)整改措施的风险和隐患;c)信息系统整体风险和隐患。
(资料性附录)信息系统安全检查常用表格信息安全检查记录表信息安全检查记录表受检单位不符合事项确认表受检单位不符合事项确认表受检单位整改报告模板受检单位整改报告模板_________________________________。
