DB44T 2375-2022标准规范下载简介
DB44T 2375-2022 信息系统内部风险管理基本要求.pdf简介:
"DB44T 2375-2022"是中国广东省的一项地方标准,全称为《信息系统内部风险管理基本要求》。这个标准主要是针对广东省的信息系统安全管理而设立的,它规定了信息系统内部风险管理的基本框架、原则、方法和要求。以下是一些关键点:
1. 风险管理:强调信息系统运营单位应建立全面的风险管理体系,对信息系统的各种风险(如技术风险、业务风险、人员风险、环境风险等)进行识别、评估、应对和监控。
2. 风险评估:标准规定了风险评估的方法,要求对信息系统进行全面的风险评估,包括风险的可能性和影响程度,以确定风险的优先级。
3. 风险应对:提出应根据风险评估的结果,制定相应的风险应对策略,如风险规避、降低、转移或接受等。
4. 内部控制:强调内部审计、监控、培训和应急响应机制的重要性,以保证风险管理体系的有效运行。
5. 持续改进:标准要求信息系统内部风险管理是一个持续的过程,需要定期更新和改进,以适应不断变化的业务环境和技术环境。
6. 合规性:确保风险管理工作符合国家和地方的相关法律法规,以及信息安全管理体系(如ISO/IEC 27001)的要求。
总的来说,DB44T 2375-2022 是为了提升广东省信息系统安全管理水平,防止和减少信息安全事件,保障信息系统的稳定运行和数据安全。
DB44T 2375-2022 信息系统内部风险管理基本要求.pdf部分内容预览:
广东省市场监督管理局 发布
DB44/T2375—2022
前言 引言 1. 范围 规范性引用文件, 术语和定义 内部风险管理原则 内部风险管理要求 附录A(资料性) 职权电子化过程中的对应关系 参考文献
前言 引言 1. 范围 规范性引用文件, 术语和定义 内部风险管理原则 内部风险管理要求 附录A(资料性) 职权电子化过程中的对应关系 参考文献
JTS/T233-2021 水运工程结构试验检测技术规范及条文说明.pdfDB44/T2375—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件由广东省国际问题研究中心提出并组织实施。 本文件由广东省网络空间安全标准化技术委员会归口。 本文件起草单位:广东省信息安全测评中心、广东安络司法鉴定所、广东外语外贸大学、广州华南 信息安全测评中心、东莞市公共资源交易中心。 本文件主要起草人:陈宁、骆林勇、王辉、王文佳、王常吉、袁毅鸣、李虹、李俊华、崔顺艳、邓 思贤、谢柏林、宋琅靖、邓艳利、洪松远、何文婷、黄志强、邝建、张新猛、邢静、黄珊珊。
DB44/T2375—2022
信息化建设已经进人深度应用阶段,信息系统所面临的安全风险逐步由物理、网络、主机、应用等 层面向业务层面发展,给信息系统内部风险管理带来极大挑战,无其体现在电子政务信息系统方面。组 织在信息化过程申,相关人员的决策权、执行权和监督权映射到信息系统申产生电子业务权力和电子技 术权力。业务是否合规、电子权力是否控制有效直接影响信息系统内部风险管理及职权电子化的成效。 内部风险管理控制失效会给组织带来不可估量的损失,如国家核心机密外泄、政府部门公信力下降和国 有资产流失等。因此,建立信息系统内部风险管理基本要求势在必行,是一项非常紧迫与重要的任务。 信息系统内部风险管理的目的是为了加强组织内部对线下业务和线上业务风险的管理,有效防控信 息系统业务风险,提高信息系统建设与管理的规范性、科学性,以及信息化对业务管理的支撑和流程控 制能力,最大程度减少人为操纵因素,确保业务、权力及信息系统的安全稳定运行。 本文件综合运用信息安全相关法律法规、标准规范和内审内控方法,将信息系统内部风险管理措施 涉及的内控理论和控制活动贯穿于信息系统建设、管理与运营全过程,对组织业务与信息系统业务流程 致性,业务流程中业务活动控制、留痕、人员权力赋予、权力运行过程的风险进行控制,解决信息安 全中由于人员行为不可控的因素导致的内部安全问题。 本文件可以作为政府部门、履行行政管理职能的事业单位和国有企业等网络运营者的信息化建设和 信息系统内部风险管理控制体系建设的主要依据,也可以作为通信和信息服务、能源、交通、水利、金 融等重要行业和领域信息系统内部
DB44/T2375—2022
言息系统内部风险管理基本要求
本文件规定了信息系统内部风险管理的术语和定义、原则及要求。 本文件适用于政府部门、履行行政管理职能的事业单位和国有企业等网络运营者,对自身的信息系 统内部风险管理情况进行内部审查,也适用于监管单位、第三方审查机构对上述组织进行外部审查,其 他组织可参考执行。审查结果可作为组织内部信息化建设和信息系统内部风险管理体系建设的参考依据
文件没有规范性引用文件
下列术语和定义适用于本文件。 3.1 信息系统内部风险管理basicrequirementsforinternalriskmanagementininformation system 指导和控制组织对内部信息系统风险开展相关协调活动,并管理不确定性,以确保组织业务目标的 致性。 3.2 职权电子化electronizationofauthority 以职权为对象,利用信息技术手段将职权运行的部分或全部过程实现电子化。职权电子化既是职权 实现电子化的过程,又是职权在网络空间中以另一种形态存在的表现形式。 3.3 线下职权offlineauthority 国家法律、法规赋予的组织职权,是由上级组织依法依规授权下级业务部门、责任岗位和人员,依 照法定程序履行的权力职责。 3.4 线上职权onlineauthority 国家法律、法规赋予的组织职权,通过信息化建设映射到信息系统中,形成对应的电子岗位、职权 账号和权限。 3.5 电子权力electronicalauthority 线下职责权限在信息系统中的映射或嵌入,包括电子业务权力和电子技术权力。 3.6 电子业务权力 Jelectronicalbusiness authority 线下业务岗位的职责权限在信息系统中的映射或嵌入。
DB44/T2375—2022
DB44/T2375—2022
电子技术权力electronicaltechnologyauthority 岗位角色权力电子化时衍生的一种权限,即对支撑业务运行的计算机网络系统涉及的一系列管理权 控制权和知情权,它具有对电子业务间接的管理权限。 3.8 电子岗位electronicalpost 根据线下人员岗位角色权力电子化的要求在信息系统中设立的与线下岗位相对应的虚拟岗位以及 实际存在于信息系统及其相关支撑设备中的对应账号与角色。 3.9 电子技术岗electronicaltechnicalpost 线下技术岗在信息系统中的映射或嵌入,具有对承载信息系统的操作系统、数据库、中间件、网络 与网络安全设备、物理机房等设施的管理、运维、操作、监控等职权。 3.10 电子业务管理岗electronicalbusinessmanagementpost 线下业务管理岗在信息系统中的映射或嵌入,具有业务流程的设计建立、合规监督和业务档案管理 等职权。 3.11 电子人事岗electronicalpersonnelpost 线下人事岗在信息系统中的映射或嵌入,具有职权电子化后的线上人事架构的设定、人员的任免 人员业务账号及权限的初始化管控等职权。 3.12 电子财务岗electronicalfinancepost 线下财务岗在信息系统中的映射或嵌入,具有职权电子化后的线上财务审批和管理等职权。 3.13 电子监察审计岗electronicalsupervisionandauditpost 线下监察审计岗在信息系统中的映射或嵌入,具有电子监察、数据流归档与审计、监督线上与线下 业务的一致性和业务流程的记录审香等职权
电子技术权力electronicaltechnologyauthority 岗位角色权力电子化时衍生的一种权限,即对支撑业务运行的计算机网络系统涉及的一系列管理 又和知情权,它具有对电子业务间接的管理权限。
组织应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析 安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求, 从全局上恰当地平衡安全投入与效果,
按照系统工程的要求,识别和理解信息安全保障相互 关联的层面和过程,采用管理和技术相结合的 方法,提高实现安全保障目标的有效性和效率。
DB44/T2375—2022
对特定职能岗位或责任领域的管理功能实施职责分离和独立审计,应确保线上职权与线下职权 应,遵循管理、业务、技术的“三权分立”,电子业务岗负责业务运营、电子技术岗负责技术 子监察审计岗负责监督审计。
为避免权力过分集中所带来的隐惠,以减少未授权的修改或滥用系统资源的机会,任何管理、 术的岗位仅享有该岗位履行职能的最小权限,
GB∕T 50344-2019 建筑结构检测技术标准4.6管理与技术并重原则
积极防御和综合防范, 全面提高风险控制 立足国情,采用管理与技术相结合,管理 技术前瞻性相结合的方法,保障信息系统的安全性达到所要求的目标。
安全管理是一种动态反馈过程,贯穿整个安全管理的生命周期。应根据业务的变化、系统环境的变 化、系统的脆弱性以及面临的威胁等因素,及时调整现有安全策略、风险接受程度和安全防护措施,并 周期性的对信息系统安全状态进行复查、修改和调整,以调整安全管理等级,维护和改进信息安全管理 体系。
本项要求主要包括: a) 应制定信息系统内部风险管理的总体规划,包含但不限于计划安排、人员配置、资金配置等; b) 应对总体规划开展内部组织评审、发布、宣贯,且过程记录完整、可读: C 宜以信息技术为支撑,积极推进职权电子化,结合实际业务工作开展风险管理; d 应积极推进内部事务职权电子化进程,采用信息技术手段对组织内部的人、财、物管理等权 力的使用进行监管; e 应建立完善的信息系统管理风险评估与控制程序,包括但不限于风险识别、风险定级、风险 处置、风险例外处置策略等; f 应配合业务主管部门、监管部门对组织开展信息系统内部风险管理落实情况的监督检查工作。
DB44/T2375—2022
a) 应符合国家网络安全相关法律法规及标准要求; b) 应建立健全组织法规库受水浸淹路基设计高程控制要素分析,形成法规要求的业务流程及业务关键控制点清单; C) 应对信息系统内部风险管理涉及的相关法律法规及标准要求进行梳理,形成合规性要求列表; d 应按照相关法规及标准要求设定电子岗位; e 应按照相关法规及标准要求设定信息系统的业务流程; 应按照相关法规及标准要求设定信息系统的业务关键控制点: g 宜采用自主安全的信息技术、服务及产品建设信息系统
5.3职权电子化管理要求