DB14/T 1252-2016 信息化工程安全建设和管理规范
附件大小:0.71MB附件格式:1个直链文件,格式为pdf
所属分类:工程规范
分享会员:怪难瘦
分享时间:2022-11-09
最后更新:
资源简介/截图:
ICS 25.040
N 10
DB14
山西省地方标准
DB14/T1252-2016
信息化工程安全建设和管理规范
2016-10-10发布
2016-12-10实施
山西省质量技术监督局 发布
内容摘抄:
前言
本标准按照GB/T1.1一2009给出的规则起草。
本标准由山西省经济和信总化委员会提出并归口。
本标准起草单位:山西省信总技术产业协会、山西省经贸决策咨询中心、中国信息安全研究院有限公司、山西省信息化和信息安全评测中心、山西省工业控制系统与安全产业联盟。
本标准主要起草人:周亚超、左晓栋、李凯军、王乐、薛云琴、张明胜、陆希、苑化军、张卓雅、郭陈勋、刘雨桁。引言
近年来,随着网络信总技术快速发展应用,网络安全形势日趋复杂严峻,对标准化工作提出了更高要求。中央网络安全和信总化领导小组第一次会议指出,网络安全和信总化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信总化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。
《国务院关于大力推进信总化发展和切实保障信息安全的若干意见》(国发〔2012)23号)要求,重要信总系统和基础信息网络要同步规划、同步建设、同步运行安全防护设施。
《山西省信总化促进条例》提出,信总安全系统应当与信总化工程同时设计、同时施工、同时投入使用。
为贯彻落实党中央、国务院和山西省有关规定,落实网络强国战略,深化标准化工作改革,构建统一权威、科学高效的信总化工程安全建设管理标准体系和标准化工作机制,加强标准体系建设,科学构建标准体系,推动信总化工程安全建设管理标准与国家相关法律法规的配套衔接,促进信总化工程安全建设管理标准与信息化应用标准同步规划、同步制定,提高标准适用性、先进性和规范性,提升标准信总服务能力和标准符合性测试能力,在信息系统设计和建设过程中,应同步考虑信总安全需求,信总安全贯穿于信总化工程建设的每一个生命周期阶段。为此,制定本标准。
1范围
本标准规定了在 信息化工程建设的全生命周期过程中有关信息安全的要求。
本标准适用于山西省辖区内各级机关、事业单位、重要领域新建和改扩建信息化工程安全建设及管理工作,作为信息安全监督、检查、验收、评估等工作的重要依据。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB9387.2一1995 信息处理系统开放系统互联基本参考模型第2部分:安全体系结构
GBT18794(所有部分) 信息技术开放系统互联开放系统安全框架
GBT19668.6一2007 信息化工程监理规范第6部分:信息化工程安全监理规范
GBT20261一2006 信息技术系统安全工程能力成熟度模型
GB/T20282一2006 信息安全技术 信息系统安全工程管理要求
GBT20984一2007 信息安全技术 信息安全风险评估规范
GB/Z20985一2007 信息技术 安全技术 信息安全事件管理指南
GBT20988一2007 信息安全技术 信息系统灾难恢复规范
GBT22032一2008 系统工程 系统生存周期过程
GB/T22081一2008 信息技术 安全技术信息安全管理实用规则
GBT22239一2008 信息安全技术 信息系统安全等级保护基本要求
GBT25070一2010 信息安全技术 信息系统等级保护安全设计技术要求
GBT25069一2010 信息安全技术 术语
GBT28448一2012 信息安全技术 信息系统安全等级保护测评要求
GB/T28449一2012 信息安全技术 信息系统安全等级保护测评过程指南
GB/T30273一2013 信息安全技术 信息系统安全保障通用评估指南
GB/T30976.1一2014 工业控制系统信息安全 第1部分:评估规范
GBT30976.2一2014 工业控制系统信息安全 第2部分:验收规范
DB14/T1251一2016 信息技术服务外包安全要求
3术语和定义
GBT25069一2010确立的以及下列术语和定义适用于本文件。
3.1
信总系统生命周期
信息系统从无到有,再到废弃的整个过程,一般分为规划、设计、实施、运维、废弃阶段。每一阶段又可细分为多个步骤,如规划阶段分为分析需求、定义系统等步骤,设计阶段分为体系结构设计、详细设计等步骤,实施阶段分为开发和采购、集成、验收等步骤。
3.2
信息安全工程
为确保信息系统的保密性、完整性、可用性、可追究性、抗否认性等目标而开展的系统性活动的总称。
注:参考GB/T20282一2006中“信息安全工程”定义。
3.3
信息安全工程过程
在整个信息系统生命周期中,将输入转变为输出的一组信息安全工程[3.2]相关活动,包括规划安全目标、设计安全方案、实施安全方案、开展安全运维、确保废弃过程的安全。
3.4
信息系统体系结构
对信息系统的各组成要素、各组成要素的功能及各要素之间逻辑关系的描述。
3.5
信息系统安全体系结构
对信息系统安全防护体系的各组成要素、各组成要素的功能及各要素之间逻辑关系的描述。
3.6
信息化工程
运用电子信息技术、网络互连技术和现代通讯技术等,开发信息资源,建设信息化系统的工程过程。
4信息化工程安全管理概述
4.1信息系统生命周期
4.1.1概述
信息系统生命周期包括5个基本阶段,即规划、设计、实施、运维和废弃”。在每一个阶段完成时,都需要对该阶段的有效性进行评估。在以上过程中,还需保持与用户的密切沟通,以反映用户需求、接收用户反馈,如下页图1所示。
(略)
内容目录:
目次
前言III
1范围1
2规范性引用文件1
3术语和定义1
4信息化工程安全管理概述2
4.1信息系统生命周期2
4.2信息安全工程过程4
4.3信息化工程安全管理制度5
4.4信息化工程安全项目管理5
5规划安全目标5
5.1分析信息安全需求6
5.2定义系统安全要求8
6设计安全方案9
6.1设计安全体系结构10
6.2开展详细的安全设计11
7实施安全方案13
7.1开发和采购13
7.2安全集成14
7.3验收15
8开展安全运维19
8.1信息安全风险评估和监测19
8.2事件处理和应急响应20
8.3灾难备份和业务连续性计划20
8.4配置管理20
8.5变更管理21
9确保废弃过程的安全21
9.1信息安全风险评估21
9.2业务迁移与连续性21
9.3介质处理22
10监督管理22
10.1信息安全监管部门的监督检查22
10.2自身信息化工程安全管理22
附录A(资料性附录)信息化工程安全管理相关政策要求23
参考文献24