1、ICS 35.030CCS L 70深圳市地方标准DB4403/T 4372024多功能智能杆信息系统安全管理规范Multifunctional smart poleInformation system security managementspecification2024-04-09 发布2024-05-01 实施深圳市市场监督管理局发 布DB4403DB4403/T 4372024I目次前言.II1范围.12规范性引用文件.13术语和定义.14信息系统安全管理的原则、策略、内容和制度.24.1信息系统安全管理原则.24.2信息系统安全管理策略.34.3信息系统安全管理内容.44.4信息系
2、统安全管理制度.45机构建设和人员管理.55.1建立安全管理机构.55.2信息系统安全领导小组.55.3信息系统安全职能部门.65.4安全管理人员配备.65.5关键岗位人员管理.65.6人员录用管理.65.7人员离岗管理.75.8人员考核与审查.75.9人员教育和培训.76风险管理和控制.86.1风险管理要求.86.2风险管理策略.86.3风险分析.86.4风险评估.96.5风险控制.96.6安全确认.107运维和服务管理.107.1运维环境管理.107.2服务资源管理.127.3用户管理.157.4运行操作管理.167.5运行维护管理.197.6外包服务管理.227.7机制管理和安全管理.2
3、27.8业务连续性管理.27DB4403/T 4372024II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由深圳市工业和信息化局提出并归口。本文件起草单位:深圳市脉山龙信息技术股份有限公司、深圳市洲明科技股份有限公司、深圳市信息基础设施投资发展有限公司、北京天融信网络安全技术有限公司、金砖国家未来网络研究院(中国深圳)、深圳大学、深圳市震有智联科技有限公司、信安软件测评认证中心(深圳)有限公司。本文件主要起草人:李海燕、陈铎航、王玉、林奕康、陈政浩、汪书福、林洺锋、陈晓宁、张帆、黄永衡、许亚萍、陈挺、江魁、刘向华、王先峰、张金钟、
4、马龙彪、宋建民、陈希、张勇、白莹杰、杨彪。DB4403/T 43720241多功能智能杆信息系统安全管理规范1范围本文件规定了多功能智能杆信息系统安全管理的原则、策略、内容和制度、机构建设和人员管理、风险管理和控制、运维和服务管理。本文件适用于指导多功能智能杆信息系统安全管理工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 202712006信息安全技术信息系统通用安全技术要求GB/T 250692022信息安全技术术语GB 50
5、0162014建筑设计防火规范3术语和定义GB/T 250692022界定的以及下列术语和定义适用于本文件。3.1完整性integrity数据、系统或信息在存储、传输和处理过程中保持无误、不受损坏、不受篡改的状态。注:包括数据完整性和系统完整性;数据完整性,数据在存储、传输和处理过程中保持准确、完整和可信的状态;系统完整性,系统在非授权用户修改或使用资源和授权用户不正确地修改或使用资源的情况下,保持正常可靠运行的状态。3.2可用性availability表征数据或系统根据授权实体的请求可被访问与使用程度的属性。3.3访问控制access control按确定的规则防止对资源的未授权使用,对实体
6、之间的访问活动进行控制的安全机制。3.4安全审计security audit按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。3.5鉴别信息authentication information确认系统中身份真实性过程的信息。3.6风险评估risk assessmentDB4403/T 43720242对信息系统所面临的威胁、存在的弱点、造成的影响以及对信息系统处理、传输和存储信息的保密性、完整性(3.1)和可用性(3.2)等进行科学识别和评价,确定信息系统面临风险可能性的过程。3.7安全策略security policy为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。4信息系统安全管理的原则、策略、内容和制度4.1信息系统安全管理原则4.1.1安全需求原则组织机构根据信息系统担负的任务,积累的信息资产,可能受到的威胁及面临的风险,按照信息系统等级保护要求,确定相应信息系统的安全保护等级;按照相应安全保护等级的要求,合理投入和分配安全资源。4.1.2领导负责原则组织机构领导确立信息安全保障的宗旨和政策,负责提高所有工作人员的
安全达人 