重要信息系统信息安全检查规范

ICS备案号：DB37山东省地方标准DB37/T1886—2011重要信息系统信息安全检查规范2011-05-18发布2011-07-01实施山东省质量技术监督局发布DB37/T1886—2011I目次前言...............................................................................III1范围..............................................................................12规范性引用文件....................................................................13术语和定义........................................................................14工作形式..........................................................................14.1概述..........................................................................14.2自检查........................................................................24.3监督检查......................................................................24.4委托检查......................................................................25检查前准备工作....................................................................25.1文档准备......................................................................25.2测试环境准备..................................................................26管理要求..........................................................................26.1信息安全组织机构..............................................................26.2日常信息安全管理..............................................................36.3等级保护与风险评估............................................................56.4应急预案与事件管理............................................................66.5技术与产品应用................................................................86.6外包服务......................................................................96.7信息安全教育培训..............................................................96.8专项经费保障..................................................................96.9检查及整改...................................................................107技术要求.........................................................................107.1物理安全检查.................................................................107.2网络安全检查.................................................................117.3系统安全检查.................................................................147.4应用安全检查.................................................................157.5数据安全检查.................................................................178其他专项检查.....................................................................188.1密码使用与管理...............................................................188.2恶意代码检测分析.............................................................188.3关键字过滤...................................................................198.4工作文档保密.................................................................198.5容灾备份系统.................................................................20附录A（资料性附录）信息安全检查常用表格...........................................21DB37/T1886—2011II前言本标准按照GB/T1.1—2009的规则进行编写，附录A是资料性附录。本标准由山东省经济和信息化委员会提出。本标准起草单位：中国赛宝（山东）实验室、山东省电子产品监督检验所。本标准主要起草人：李建华、侯杰、王锋、刘春波、张睿、窦志强、石秀芳、白幸园、赵道明、孔震、王小龙、肖晓冬、高岩、柏国超、吕少娜DB37/T1886—20111重要信息系统信息安全检查规范1范围本标准规定了信息安全检查的技术要求、管理要求和检查方法的具体要求。本标准适用于各级党政机关及为行业主管部门履行职能提供支撑的信息系统，电信、电力、金融、交通、卫生、医疗等面向社会提供服务的重要行业信息系统可参照本标准执行。涉及国家秘密信息系统的信息安全检查不在本标准范围内。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T5271.8信息技术词汇第8部分：安全GB/T20984信息安全技术信息安全风险评估规范GB/T20988信息安全技术信息系统灾难恢复规范GB/T21671基于以太网技术的局域网系统验收测评规范GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T22240信息安全技术信息系统安全等级保护定级指南公信安[2010]303号关于《推动信息安全等级保护测评体系建设和开展等级测评工作》的通知公信安[2009]1429号关于印送《开展信息安全等级保护安全建设整改工作的指导意见》的函国密局发[2009]10号关于印发《信息安全等级保护商用密码管理办法实施意见》的通知3术语和定义GB/T5271.8确立的术语和定义，以及下列术语和定义适用于本标准。3.1重要信息系统关系国家安全、经济命脉、社会稳定等方面的信息系统。3.2安全策略用于所有与信息安全相关活动的一套规则，由信息安全组织机构建立、描述、实施及实现。3.3检查单元检查单元是信息安全检查的最小工作单位，由检查对象、检查项、检查实施和结果判定组成，分别描述检查对象、检查内容、检查所用方法和检查结果判定规则。4工作形式DB37/T1886—201124.1概述信息安全检查分为自检查和监督检查两种形式。信息安全检查应以自检查为主，自检查和监督检查相互结合、互为补充。4.2自检查自检查是指信息系统所有者、运营或使用单位发起的对本单位信息系统安全状况进行的检查。自检查应在本标准的指导下，结合系统特定的安全要求进行实施。周期性进行的自检查可在检查流程上适当简化，重点针对自上次自检查后系统发生变化的内容。4.3监督检查监督检查是指信息系统上级管理部门组织的或国家有关职能部门依法开展的检查。监督检查可依据本标准的要求，实施完整的信息安全检查过程。监督检查也可在自检的基础上，对关键环节或重点内容实施检查。4.4委托检查受检单位或监督检查的组织部门不具备检查能力的，可委托经相关主管部门认可的机构开展检查。5检查前准备工作5.1文档准备应至少包含以下内容：a)本单位信息系统建设与信息安全工作开展情况的文档；b)本单位信息系统网络拓扑图；c)本单位信息安全技术的运用与信息安全资产清单；d)信息安全相关规章制度原件；e)信息系统运行维护记录；f)应急工作相关文档，如应急预案、应急演练记录等；g)信息安全知识培训相关记录。5.2测试环境准备应具备相应的测试环境，至少提供3个网络接口、3条网线，能容纳3人的测试场所。6管理要求6.1信息安全组织机构6.1.1检查对象信息安全组织机构相关文档。6.1.2检查项a)信息安全组织机构建立情况；b)信息安全组织机构运行情况。DB37/T1886—201136.1.3检查实施a)是否具有信息安全组织机构成立的相关文件，架构是否完整，各岗位人员配备是否合理；b)查看信息安全机构开展和部署信息安全工作的会议记录。6.1.4结果判定a)已建立信息安全组织机构，且明确至少一名副职领导主管信息安全工作，指定专职机构承担信息安全管理工作，指定一名专职信息安全员，则该项为肯定；b)信息安全机构定期开展信息安全工作的部署、考核等工作，则该项为肯定。以上均为肯定，则本检查单元为肯定。6.2日常信息安全管理6.2.1人员管理6.2.1.1检查对象人员管理制度和记录。6.2.1.2检查项检查人员管理制度是否包含以下内容：a)在职人员信息安全职责要求；b)离岗离职人员信息安全管理；c)外部人员访问重要工作区域管理；d)因违反规章制度所造成信息安全事件的管理。6.2.1.3检查实施查看人员管理制度：a)是否对在职人员信息安全职责进行规定，查看关键岗位人员是否签订信息安全责任书或保密协议等文件；b)是否具有对离岗离职人员信息安全管理的规定，并查看离岗离职记录；c)是否具有针对外部人员访问重要工作区域的管理规定，并查看其访问记录；d)是否具有因违反规章制度所造成的信息安全事件，并查看事件处理记录。6.2.1.4结果判定人员管理制度中：a)具有在职人员信息安全管理的相关规定，且与关键岗位人员签订安全责任书或保密协议，则该项为肯定；b)具有针对离岗离职人员信息安全管理规定，且留存记录，则该项为肯定；c)具有针对外部人员访问重要工作区域的管理规定，且留存记录，则该项为肯定；