DB14/T 1252-2016 信息化工程安全建设和管理规范
- 文档部分内容预览:
DB14/T 12522016
5.1分析信息安全需求
分析信息安全需求是信息化工程安全建设的起点,应从本机构的职能或业务的角度分析对信息安全 的需求。与之相关的任务主要有以下几个方面: 梳理本机构的职能或业务对信息系统的需求。 b) 分析本机构信息系统面临的威胁。 c) 结合本机构的职能或业务特性,分析信息安全威胁可能对本机构造成的影响。 d) 明确本机构职能或业务对信息的保密性、完整性、可用性需求。 ey 描述本机构信息系统中涉及信息安全的角色和责任。 f) 梳理法律法规、政策文件对信息安全的强制性要求,以及本机构的上级机构或关联机构对信息 安全的约束性规定。
DB14/T 12522016
数据标准DB14/T 12522016
e 在梳理信息系统面临的安全威胁后,需要对威胁进行赋值,即判断威胁出现的频率。应根据经 验和有关的统计数据来对此进行判断。可以对威胁出现的频率进行等级化处理,不同等级分别 代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。表4提供了威胁出现频率 的一种赋值方法。在实际的评估中,威胁频率的判断依据应根据历史统计或行业判断予以确定 并得到被评估方的认可。在评估中,需要综合考虑以下三个方面的因素: 1)以往安全事件报告中出现过的威胁及其频率的统计。 2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计。 3)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威 胁预警。
等级 标识 定义 5 很高 出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过 4 高 出现的频率较高(或1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 3 中等 出现的频率中等(或1次/半年);或在某种情况下可能会发生;或被证实曾经发生过 2 低 出现的频率较小/或一般不太可能发生;或没有被证实发生过 1 很低 威胁几乎不可能发生; 仅可能在非常罕见和例外的情况下发生 .2 定义系统安全要求 0 5.2. 1 主要任务 S S 应基于信息安全需求说明书,定义信息系统的信息安全要求。与之相关的任务主要有以下几方面内 a) 定义信息系统的安全边界及信息安全运行环境 b) c) 将信息安全需求在待建系统自身与外部环境、系统间进行分配,如图2所示。例如,对数字证 书的安全需求应由依法成立的第三方电子认证机构提供。 d) 明确待建系统与外部系统之间的数据流,以及各数据流的信息安全防护需求。 e) 梳理对后续信息安全方案设计可能构成约束的条件,包括由外部系统施加的约束。例如,环境 条件或环境限制、合同约束、习惯或惯例等 f) 定义信息系统的信息安全功能要求与性能要求,性能要求应考虑峰值因素。 g) 制定信息系统的信息安全策略,包含信息安全目标 h) 向用户说明,已定义的信息系统信息安全要求如何满足用户的信息安全需求,并得到用户认可。
5.2定义系统安全要求
5. 2. 1主要任务
DB14/T 12522016
5. 2. 2任务输出
应按照GB/T20282一2006的“指定安全要求”,采取以下方法,定义信息系统的信息安全要求: 1. 通过收集所有用于全面理解需求方安全要求所需的信息,获得对安全要求的理解。 6 收集所有对系统安全产生影响的外部影响;标识出支配系统目标环境的法律、规则、策略和业 务标准。 c) 标识出系统间的关系是如何影响安全的,任务的处理和运行概要应作为安全因素加以评估。 d定义系统的安全边界,包括梳理本机构的外部环境如何影响信息系统的安全。
DB14/T 12522016
3.1设计安全体系结构
应基于已经定义的信息系统信息安全要求,设计信息系统的信息安全体系结构。与之相关的任务主 要有: a) 分析待建系统的信息安全体系结构。“定义系统安全要求”与“设计安全体系结构”的主要区 别是,前者将信息安全要求分配到整个信息系统之中,只指明系统的功能,不定义系统的组件 而后者则明确了承担信息安全功能的各项组件。前者将目标系统视为“黑盒”,后者则创建信 息安全体系的内部结构。图3和图4分别描述了两者的区别。 D 在信息安全体系结构中分配安全服务,并为已分配的安全服务选择合适的安全机制,以便将此 前确定的高层安全功能分解至低层功能,与高层功能相关的性能要求也应分解至低层。关于安 全服务和安全机制的概念,可参见GB9387.2一1995。 向用户说明,已设计的信息安全体系结构如何满足信息安全要求,并得到用户认可。 d 开展信息安全风险评估,说明安全服务和安全机制如何抵御待建系统可能面临的安全风险,并 设定信息安全风险处置日标,同时对信息系统的残余风险作出说明。
图4设计安全体系结构展现方框图
DB14/T 12522016
a)待建信息系统的信息安全体系结构。重点是明确系统内的各类信息安全组件,说明各组件提供 的信息安全服务及可能的实现机制,包括各组件的逻辑功能和性能。此外,还需说明内外部的 各类接口、信息流等。 b)对信息安全体系结构的安全风险评估报告
应采取以下方法设计信息系统的安全体系结构: a)按照GB9387.2一1995和GB/T18794(所有部分),完成信息安全服务、机制在信息系统体 系结构中的分配。信息安全服务是信息系统所能为用户提供的安全目标,是对用户信息安全需 求的客观描述,如身份鉴别、访问控制、保密性、完整性、抗抵赖等。信息安全机制是为了实 现相关安全服务而采取的技术措施。例如,为了实现“保密性”这一服务,可以采用“加密” 这一机制,也可以使用“信息隐藏”这一机制。 按照GB/T20984一2007的关于“设计阶段的风险评估”要求,根据规划阶段所明确的系统运 行环境、资产重要性等,提出安全功能需求,对安全体系结构开展以下评估: 1)2 是否符合系统建设规划,并得到最高管理者的认可。 2) 是否对系统建成后面临的威胁进行了分析,包括物理环境、自然的威胁,以及由于内、外 部入侵等造成的威胁。 3) 安全需求是否符合规划阶段的安全目标,并基于威胁的分析,制定信息系统的总体安全策 略。 c) 针对等级保护定级为第一级至第四级(含)系统的安全体系结构,按照GB/T25070一2010规 定的相应等级保护安全设计技术进行安全机制的设计,设计目标考虑如下: 第一级系统安全保护环境应实现定级系统的自主访问控制,使系统用户对其所属客体具有 自我保护的能力。 2) 第二级系统安全保护环境在第一级系统安全保护环境的基础上,增加系统安全审计、客体 重用等安全功能,并实施以用户为基本粒度的自主访问控制,使系统具有更强的自主安全 保护能力。 3) 第三级系统安全保护环境应在第二级系统安全保护环境的基础上,通过实现基于安全策略 模型和标记的强制访问控制以及增强系统的审计机制,使系统具有在统一安全策略管控下 保护敏感资源的能力。 4 第四级系统安全保护环境应建立一个明确定义的形式化安全策略模型,将自主和强制访问 控制扩展到所有主体与客体,相应增强其他安全功能强度;将系统安全保护环境结构化为 关键保护元素和非关键保护元素,以使系统具有抗渗透的能力。
6.2开展详细的安全设计
6. 2. 1主要任务
应基于已设计的信息安全体系结构,开展详细的安全设计,细化到安全机制在信息系统中的具体实 现。与之相关的任务主要有: a)分析所需的信息安全机制的强度。 b)分析信息安全机制之间的互依赖性,如审计机制是监测机制的基础,身份标识是访问控制机制 的基础。
DB14/T 12522016
c) 落实设计中的约束因素,并结合强度分析结果和互依赖性分析结果,研判相应强度的安全机制 在系统中是否可实现。在此基础上,综合考虑成本、进度、性能、优先级等因素,确定整体信 息安全体系结构的可行性。 对于需要通过非技术性措施提供的安全服务,应列明相应的信息安全管理措施,并形成管理制 度,例如应急响应、培训等。 er 确定哪些机制需要通过现货产品提供,哪些机制则需要通过定制的产品提供,并明确产品的重 要配置参数。 f) 确定哪些机制需要通过信息安全外包服务提供。 g 对详细的信息安全设计进行有效性评估,以确保产品、管理制度与安全服务、安全机制之间具 有对应性。 h) 依据信息化工程信息安全建设合同及有关的政策法规、标准,明确信息安全系统的指标规范 i) 根据详细设计的结果,必要时对信息安全运行概念进行修正。
2.2任务输出 应编制以下文档: 信息安全管理制度。 HAN b) 信息安全外包服务需求说明书 c 信息安全系统指标规范,以用于评估安全方案后续实施的有效性。 d) 信息安全技术方案,细化到产品级,以指导信息安全系统的实施。 e) 信息安全系统实施方案,详细列明实施成本、工程进度等事项,并确定对资源保障(包括技术、 人力等)和组织保障的需求。 2.3方法 R P 应采取以下方法开展详细的安全设计: a) 按照GB/T2223912008,对不同等级的系统开展相应的安全方案设计: 1 第一级系统的安全设计应满足等级保护一级的安全要求,依据风险分析的结果补充和调整 安全措施。并以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安 全方案。还应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详 细设计方案。 2 第二级系统应在第一级系统的基础上,组织相关部门和有关安全技术专家对安全设计方案 的合理性和正确性进行论证和审定,并且经过批准后才能正式实施。 第三级系统应在第二级系统的基础上,指定和授权专门的部门对安全建设进行总体规划, 制定近期和远期的安全建设工作规划,并应统一考虑安全保障体系的总体安全策略、安全 技术框架、安全管理策略、总体建设规划和详细设计方案。上述文件应进行论证和审定, 并定期调整和修订。 4)第四级系统的详细安全设计要求与第三级系统相同。 b) 按照GBT22081一2008中关于安全方针、信息安全组织、资产管理、人力资源安全、物理和 环境安全、通信和操作管理、访问控制、信息系统获取、开发和维护、信息安全事件管理、业 务连续性管理、符合性等方面的指南和一般原则,制定信息安全管理制度: 根据业务目标制定清晰的方针指导,并通过在本机构中颁布和维护信息安全方针来表明对 信息安全的支持和承诺。 2) 建立管理框架,以启动和控制本机构范围内信息安全的实施。指派安全角色,协调和评审 整个机构内信息安全的实施。必要时在本机构范围内建立专家信息安全建议库,并发展与
6. 2. 2任务输出
DB14/T 12522016
外部安全专家或组织(包括相关权威人士)的联系,以便跟上行业趋势、跟踪标准和评估 方法,并且当处理信息安全事件时,提供合适的联络点。鼓励采用多学科方法,解决信息 安全问题。 3) 对于所有资产指定责任人,并且赋予保持相应控制措施的职责。特定控制措施的实施可以 由责任人适当地委派别人承担,但责任人仍有对资产提供保护的责任。 4) 任用前,在适当的岗位描述、任用条款和条件中指出安全职责;应对所有要任用、承包方 人员和第三方人员的候选者进行充分的审查,特别是对敏感岗位的成员;使用信息处理设 施的雇员、承包方人员和第三方人员应签署关于其安全角色和职责的协议。 5) 关键或敏感的信息处理设施应放置在安全区域内,并受到确定的安全周边的保护,包括适 当的安全屏障和入口控制:应在物理上避免对这些设施的未授权访问、损坏和于扰,所提 供的保护措施应与所识别的风险相匹配。 6) 建立所有信息处理设施的管理和操作职责和规程,包括制定合适的操作规程;必要时,应 实施责任分割机制,以减少疏忽或故意误用系统的风险。 7) 信息、信息处理设施和业务过程的访问应在业务和安全要求的基础上予以控制,访问控制 规则应考虑到信息传播和授权的策略。 8 应在项目需求阶段识别所有安全要求,并证明这些安全要求的合理性,对这些安全要求加 以商定,并且将这些安全要求形成文档,作为信息系统整体业务情况的一部分。 所有雇员、承包方人员和第三方人员都应了解事件处理规程,以便报告可能对机构的资产 安全造成影响的不同类型的事态和弱点。 10)通过使用预防和恢复控制措施,将对本机构的影响减少到最低,并从信息资产的损失中恢 复到可接受的程度;要对灾难、安全失效、服务丢失和服务可用性的后果进行业务影响分 析,制定和实施业务连续性计划,以确保重要的运行能及时恢复。除了一般的风险评估过 程之外,业务连续性管理应包括识别和减少风险的控制措施,以限制破坏性事件的后果, 并确保业务过程需要的信息便于使用。 11)信息系统的设计、运行、使用和管理都要受法律、法规以及合同安全要求的限制。
外部安全专家或组织(包括相关权威人士)的联系,以便跟上行业趋势、跟踪标准和评估 方法,并且当处理信息安全事件时,提供合适的联络点。鼓励采用多学科方法,解决信息 安全问题。 3) 对于所有资产指定责任人,并且赋予保持相应控制措施的职责。特定控制措施的实施可以 由责任人适当地委派别人承担,但责任人仍有对资产提供保护的责任。 4) 任用前,在适当的岗位描述、任用条款和条件中指出安全职责;应对所有要任用、承包方 人员和第三方人员的候选者进行充分的审查,特别是对敏感岗位的成员;使用信息处理设 施的雇员、承包方人员和第三方人员应签署关于其安全角色和职责的协议。 5) 关键或敏感的信息处理设施应放置在安全区域内,并受到确定的安全周边的保护,包括适 当的安全屏障和入口控制:应在物理上避免对这些设施的未授权访问、损坏和于扰,所提 供的保护措施应与所识别的风险相匹配。 6) 建立所有信息处理设施的管理和操作职责和规程,包括制定合适的操作规程;必要时,应 实施责任分割机制,以减少疏忽或故意误用系统的风险。 7) 信息、信息处理设施和业务过程的访问应在业务和安全要求的基础上予以控制,访问控制 规则应考虑到信息传播和授权的策略。 8 应在项目需求阶段识别所有安全要求,并证明这些安全要求的合理性,对这些安全要求加 以商定,并且将这些安全要求形成文档,作为信息系统整体业务情况的一部分。 所有雇员、承包方人员和第三方人员都应了解事件处理规程,以便报告可能对机构的资产 安全造成影响的不同类型的事态和弱点。 10)通过使用预防和恢复控制措施,将对本机构的影响减少到最低,并从信息资产的损失中恢 复到可接受的程度;要对灾难、安全失效、服务丢失和服务可用性的后果进行业务影响分 析,制定和实施业务连续性计划,以确保重要的运行能及时恢复。除了一般的风险评估过 程之外,业务连续性管理应包括识别和减少风险的控制措施,以限制破坏性事件的后果, 并确保业务过程需要的信息便于使用。 11)信息系统的设计、运行、使用和管理都要受法律、法规以及合同安全要求的限制。
应基于已完成的详细设计,开发定制产品,并采购现货产品。与之相关的任务主要有 a) 选择合适的开发商,对定制产品进行开发。在选择开发商时,应重点考虑开发商的技术实力、 信誉、可信度、安全资质、开发环境的安全保障水平、交付条件等因素。 b) 采购现货产品,重点考虑产品安全资质、成本、厂商信誉、可替代性等因素。 c) 对定制产品进行安全功能和性能测试。 d) )对开发和采购过程进行有效性评估。
7. 1. 2任务输出
应形成以下成果: a)获得定制产品,并将定制产品的开发文档、测试文档、使用说明书等进行归档 b)采购现货产品,并将现货产品的选型标准、采购过程文件等进行归档。
DB14/T12522016
应采取以下方法进行开发和采购: a) 按照GB/T22239一2008,在自行开发软件时考虑下列要点: 确保开发环境与实际运行环境物理分开,开发人员与测试人员分离,测试数据和测试结果 受到控制。 制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。 3) 制定代码编写安全规范,并要求开发人员参照。 提供软件设计的相关文档和使用指南,并由专人保管。 5) 确保对程序资源库的修改、更新、发布得到授权和批准。 b) 按照GB/T22081一2008,在外包软件开发时应考虑下列要点: 1) 许可协议、代码所有权和知识产权 2) 所完成工作的质量和准确性的认证。 3) 第三方发生故障时的契约安排。 审核所完成的工作质量和准确性的访问权。 V 5) 代码质量和安全功能的合同要求 6) 在安装前,检测恶意代码。 C 按照GB/T209842007对开发和采购过程进行评估,评估要点包括但不限于: 1) 法律、政策、适用标准和指导方针,直接或间接影响信息系统安全需求的特定法律;影响 信息系统安全需求、产品选择的政府政策、国际或国家标准。 2) 信息系统的功能需要,安全需求是否有效地支持系统的功能。 3) 成本效益风险!是否根据信息系统的资产、威胁和脆弱性的分析结果,确定在符合相关法 律、政策、 标准和功能需要的前提下选择最合适的安全措施。 4) 评估级别, 是否明确系统建设后应进行怎样的测试和检查,从而确定是否满足项目建设、 实施规范的要求。 R 安全集成 .1 主要任务 开发完成定制产品并采购现货产品后,应在信息系统集成过程中同步集成信息安全产品。与之相关 王务主要有: 根据信息安全技术方案,将定制产品和现货产品集成到信息系统之中,确保产品之间的互操作 性,确保信息系统整体性能最佳。 b) 确保产品的安全特性已经激活,且安全参数已得到正确设置。 对集成了信息安全产品的信息系统进行上线运行前的自测,测试信息安全系统是否达到指标规 范的要求,验证信息安全系统对信息系统性能的影响,及时解决测评中发现的问题。 d) 建立模拟环境,开展线上自测,并及时解决测评中发现的问题。 对信息系统管理员和用户进行培训
应采取以下方法进行开发和采购: a) 按照GB/T22239一2008,在自行开发软件时考虑下列要点: 确保开发环境与实际运行环境物理分开,开发人员与测试人员分离,测试数据和测试结果 受到控制。 2) 制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。 制定代码编写安全规范,并要求开发人员参照, 4) 提供软件设计的相关文档和使用指南,并由专人保管。 5) 确保对程序资源库的修改、更新、发布得到授权和批准。 按照GB/T22081一2008,在外包软件开发时应考虑下列要点,
7. 2. 1主要任务
开发完成定制产品并采购现货产品后,应在信息系统集成过程中同步集成信息安全产品。与之相关 任务主要有: 根据信息安全技术方案,将定制产品和现货产品集成到信息系统之中,确保产品之间的互操作 性,确保信息系统整体性能最佳。 b) 确保产品的安全特性已经激活,且安全参数已得到正确设置。 c) 对集成了信息安全产品的信息系统进行上线运行前的自测,测试信息安全系统是否达到指标规 范的要求,验证信息安全系统对信息系统性能的影响,及时解决测评中发现的问题。 d) 建立模拟环境,开展线上自测,并及时解决测评中发现的问题。 e 对信息系统管理员和用户进行培训。 f) 对安全集成过程进行有效性评估。
7. 2. 2 任务输出
应形成以下成果: a)向用户交付信息系统时,应同步交付已完成自测的信息安全系统 b)应将线下自测和模拟线上自测的相关技术文档进行归档。
DB14/T12522016
应采取以下方法进行安全集成: a) 按照GB/T22239一2008开展安全集成任务: 1) 指定或授权专门部门或人员负责安全集成任务的管理。 2 制定详细的集成方案,并要求集成商正式地执行该方案。 3) 制定安全集成管理制度,明确说明安全集成过程的控制方法和人员行为准则。 制定详细的系统交付清单,根据交付清单,对所交接的设备、软件和文档进行清点。 对系统交付的控制方法和人员准则进行书面规定。 6) 制定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工 作。 b) 按照GB/T20984一2007对安全集成过程进行评估,评估要点包括但不限于: 1) 根据实际建设的系统,详细分析资产面临的威胁和脆弱性。 2) 根据系统建设目标和安全需求,对系统的安全功能进行验收测试。 3) 评价安全措施能否抵御安全威胁。 4) 评估是否建立了与整体安全策略一致的组织管理制度。 5) 对系统实现的风险控制效果与预期设计的符合性进行判断,如存在较大的不符合,应重新
7. 3. 1主要任务
方法,对信息系统安全违
DB14/T 12522016
评店安全惜地实现 程度,从而确定安全措施能否抵御现有威胁、脆弱性的影响。 按照GB/T28448一2012,对不同保护等级的信息系统进行测试评估,验证信息系统是否符合 GB/T22239一2008提出的技术要求和管理要求: 1)测评的主要方法是访谈、检查、测试,表5给出了测评方法的深度与广度
表5测评方法的测评力度
DB14/T 12522016
一评估系统的安全功能保护机制是否具有抽象机测试、失败保护、安全数据保密性、安全数 据完整性、安全数据可用性、安全数据传输、物理保护、可信恢复、重放检测、参照仲裁、域 分离、状态同步协议、时间戳、安全数据复制的一致性、安全功能自检等功能。 一一评估系统的资源利用机制是否支持资源处理能力或存储能力,以防止由系统故障引起的系 统资源不可用。 一评估系统的访问控制机制是否具有会话锁定、系统访问旗标、系统访问历史、会话建立等 功能。 一一评估系统的可信路径、可信通道机制是否为用户和系统安全功能之间建立了可信通信路 径,以及为系统安全功能和其他可信系统组件、产品之间建立了可信通信信道
2)安全管理保障措施评估要求是
评估本科机松是否律 型 步骤,并将沟通与监控贯穿于这三个步骤中,进行信息安全风险管理与防范,将系统风险降低 到可接受的水平。 一评估本机构是否围绕信息安全策略的制定和维护实施了管理,以便于为信息安全提供符合 业务要求和相关法律法规的管理指导和支持。 一评估本机构的信息安全管理是否得到了机构最高管理层的承诺和支持,并建立了完善的信 息安全组织结构,包括建立相应的岗位、职责和职权。此外,还应评估是否建立了完善的内部 和外部沟通协作组织和机制,同机构内部和外部信息安全所有相关方进行充分沟通、学习、交 流和合作等。 一评估本机构是否建立了规范的人员安全管理制度,对机构的聘用人员进行严格的审查,并 明确了人员的安全职责和保密要求。还应评估本机构是否开展了人员安全意识培训和教育,并 建立了考核和奖惩机制,使信息安全融至组织机构的整个环境和文化中,减少有意、无意的内、 外部威胁。 P 评估本机构是否通过规范资产的管理和使用来保障资产的安全,以最终确保系统的安全。 评估本机构是否建立了物理安全、区域安全制度,包括严格的物理访问控制措施,以防止 非法访问、危害及干扰系统运行。还应评估本机构在防火、防水、温湿度、防雷等方面的安全 措施,以保证基础设施安全,确保系统持续运行。 一评估本机构是否建有效的监督体系,以监督验证信息安全工作对相关法律法、政策标 准等要求以及本机构所制定的信息安全策略体系的符合性以及执行的效果。 一评估本机构是否建立了完善的信息安全规划管理体系,以规划和指导本机构的信息安全工 作。重点评估信息安全规划是否基于本机构的业务要求和风险管理要求,以及这些规划是否是 本机构整体规划的综合组成部分。 一评估本机构是否将信息安全综合至系统开发的整个生命周期中,是否在系统的需求分析、 设计、实施和交付中考虑信息安全。 评估本机构是否具有业务连续性管理制度,以防止业务过程中断,保护关键业务流程不会 受信息系统重大失效或自然灾害的影响,并确保及时恢复。还应评估本机构是否制定了业务连 续性计划,以保证业务过程能够在所需的时间范围内恢复。 3)安全工程保障措施评估要求是:
3)安全工程保障措施评估要求是:
评估是否为系统架构者、设计者、实施者或用户提供了他们所需的安全信息。 评估是否所有的安全机制都能对应到安全体系结构,并且安全体系结构有具体的安全机制 来保证。 评估最终的详细安全设计结果是否为实施系统提供了充分的组件和接口描述信息
DB14/T 12522016
8.1信息安全风险评估和监测
应采取以下措施,对信息系统开展信息安全风险评估和监测, 了解和控制运行过程中的安全 a)资产评估:在真实环境下较为细致的评估。包括实施阶段采购的软硬件资产、系统运行过 生成的信息资产、相关的人员与服务等,本阶段资产识别是前期资产识别的补充与增加。
DB14/T 12522016
D) 威胁评估:应全面地分析威胁的可能性和影响程度。对非故意威胁导致安全事件的评估可以参 照安全事件的发生频率;对故意威胁导致安全事件的评估主要就威胁的各个影响因素作出专业 判断。 脆弱性评估:是全面的脆弱性评估。包括运行环境中物理、网络、系统、应用、安全保障设备、 管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式 实施;安全保障设备的脆弱性评估,应考虑安全功能的实现情况和安全保障设备本身的脆弱性; 管理脆弱性评估可以采取文档、记录核查等方式进行验证。 d) 风险计算:根据本标准的相关方法,对重要资产的风险进行定性或定量的风险分析,描述不同 资产的风险高低状况。 e 定期执行或当组织的业务流程、系统状况发生重大变更时及时进行风险评估。重大变更包括以 下情况(但不限于):
8.2事件处理和应急响
8.3灾难备份和业务连续性计划
应采取以下措施,按照GB/T20988一2007,对信息系统进行备份,做好信息系统的业务连续性管理 a 制定灾备恢复策略,根据系统的重要性、实时性等因素选择合适的灾难备份机制。 b 为灾备恢复提供必要的人力、技术、设备等资源准备。 C 制定业务连续性计划,确保信息系统对本机构职能和业务的核心支撑能力在重大信息安全事件 中不受到明显影响。
应采取以下措施,对信息系统实施配置管理: a)制定信息系统配置管理计划,明确配置管理流程,定义信息系统的重要配置项。配置管理计划 应安全保存,防止非授权泄露。 b 制定、记录并维护信息系统的基线配置。 保留信息系统基线配置的历史版本,便于必要时恢复历史配置,
DB14/T 12522016
信息系统及其运行环境发生明显变化时,应评估其风险,对信息系统实施变更管理: a) 明确重大变更的类型,包括系统升级、增加新的功能、本机构组织结构有重大调整、发现新的 威胁或脆弱性等。 b) 在实施变更前,对拟变更事项进行分析,必要时进行测试,判断该变更事项对信息系统安全带 来的潜在影响。 c) 制定书面流程,便于对变更时可能出现的意外情况进行及时处理,并规定变更失败时的系统恢 复流程。 d) 将变更事项、变更计划等提交本单位管理层批准。 严格根据已批准的变更计划实施系统变更,留存全部变更记录
3.6维修维护 信息系统或其组件进行维修维护时,应采取以下措施,防范维修维护过程中可能出现的安全风险: a) 审批和监视所有维修维护行为,包括现场维修维护、远程维修维护,以及对设备的异地维修维 护。 b) 将信息系统组件转移到外部进行维修维护时,应事先得到本机构管理层批准,并评估其中所含 信息的敏感程度,必要时作出信息净化处理。含有特别重要的敏感信息或涉密信息的重要组件 不得交由无资质的机构进行维修维护。 c) 对维修维护过程作出全面记录,包括日期和时间、维修维护人员姓名、陪同人员姓名、对维修 维护活动的描述、被转移或替换的设备列表(包括设备标识号)等信息。 d) 对维修维护人员带入机构内的维修维工具进行检查,以确保该工具不含有恶意功能。维修维 护工具带出机构时,应进行信息净化处理。对于重要机构,维修维护工具一经带入,不得带出。 e) 远程维修维护应采取强身份鉴别机制,所有远程维修维护活动应进行审计。远程维修维护结束 后,应立即终端网络连接。 a 确保废弃过程的安全 信息安全风险评估 应确保对信息系统的过时或无用部分进行安全废弃处理,以防止敏感信息非授权泄露。系统废弃前,
9.1信息安全风险评估
信息系统因各种原因废弃后,并不意味信息系统支撑的原有功能消亡。如需要建设新的信息系统承 接原有功能,应采取以下措施,确保业务平稳、安全迁移 a)在新信息系统建设完成、通过验收并正式上线前,不得关闭原有信息系统。新信息系统上线运 行后,应留出过渡时间封存旧信息系统,便于在紧急情况下依然可以重新启动旧信息系统。如
DB14/T 12522016
因物理环境、人力资源等条件限制,新旧系统不能同时并存,应采取分步骤、分阶段方式,实 现边废弃、边建设。 如出现对软硬件或服务提供商过度依赖,导致系统迁移受制于人、明显违背市场经济规则的情 况,应及时上报国家和地方信息安全主管部门作出处理,
在废弃信息系统时,应采取以下措施,保护被废弃介质中存储信息的安全: a) 对存储敏感信息的介质进行妥善保存,或采用安全方式进行处置,如焚烧、破碎等,或在净化 信息后重复利用。 对含有特别重要的敏感信息或涉密信息的重要介质,选择有资质的机构进行安全销毁, C 对敏感组件或信息的处置作出详细记录。
0 监督管理 0. 1 信息安全监管部门的监督检查 信息安全监管部门应对山西省内各级机关、事业单位、重要领域的信息化工程项目全生命周期各阶 段安全建设工作实施信息安全监督和检查,包括但不限于: 将信息安全与信息化的同步性作为信息化工程监督检查的重要内容。 a) b) 在重大信息化工程项目竣工验收时,要求其通过第三方信息安全测评机构的安全性审查。 c) 监督信息系统废弃实施过程, 备案信息系统废弃结果。 d) 定期组织开展信息安全检查, 抽查信息系统使用、管理和安全运维情况, 0.2 自身信息化工程安全管理 山西省内各级机关、事业单位、重要领域的信息化工程建设机构应采取以下措施加强自身信息化工 程安全管理: R a) 对本机构信息化工程项目实施全过程安全管理,包括规划、设计、实施、运维、废弃五个阶段, b) 信息化工程建设过程中,应保留全部需求分析、概要设计、详细设计等文档及建设、测试等相 关记录,以备验收时和以后工作中查阅。 c) 涉及外包服务的,按照DB14/T1251一2016,同服务商签订服务合同、协议。合同和协议要充 分体现信息安全管理要求,明确合同双方的信息安全责任义务。 d) 在项目建设任务完成后试运行期间,应组织开展该项目的信息安全风险评估工作,并形成相关 文档,该文档应作为项目验收的重要内容。 e) 信息化工程验收指标中,应包含信息安全指标,例如要求信息系统通过信息安全主管或监管部 门组织的信息安全测评。 f) 项目投入运行后,应定期开展信息安全风险评估,检验信息系统对安全环境变化的适应性及安 全措施的有效性,保障信息系统的安全可靠。 g) 应当建立和完善信息安全监控系统并进行持续安全监测、预警,实施安全检查,及时发现和通 报安全隐患。在发生信息安全案件或重大事件时,及时向有关部门报告,配合开展调查工作。 h) 信息系统废弃的实施过程和结果,应当向信息安全监管部门报告。
10.1信息安全监管部门的监督检查
10.2自身信息化工程安全管理
医院标准规范范本DB14/T12522016
附录A (资料性附录) 信息化工程安全管理相关政策要求
A.2国家和部委政策文
A.3山西省地方性政策文件要求
《山西省信息化促进条例》第四十三条:信息安全系统应当与信息化工程同时设计、同时施工、 同时投入使用,采用依法认证的信息安全产品,所需经费列入工程预算
核电厂标准规范范本DB14/T 12522016
....- 化工标准
- 相关专题: