DB14/T 1252-2016标准规范下载简介
DB14/T 1252-2016 信息化工程安全建设和管理规范简介:
《DB14/T 1252-2016 信息化工程安全建设和管理规范》是中国山西省的地方标准,主要针对信息化工程的安全建设和管理工作制定的一套指导性规范。这部标准的出台,旨在提升山西省信息化工程的安全保障水平,规范信息化工程的建设、运行和维护过程,确保信息系统的稳定、安全、可靠。
这部规范主要涵盖了以下几个方面的内容:
1. 安全管理:规范了信息化工程的安全管理机构设置、安全管理职责、安全管理制度的建立和执行等。
2. 安全设计:对信息化工程的设计阶段提出了安全要求,包括系统架构设计、数据安全设计、访问控制设计等。
3. 安全建设:规定了在信息化工程实施过程中,如何确保系统的安全建设,如设备选型、安装调试、网络配置等。
4. 安全运行:明确了信息化工程投入运行后的安全管理,包括日常监控、应急处理、安全审计等。
5. 安全保障:提出了如何保障信息化工程的安全,包括安全技术措施、安全人员培训、安全应急预案等。
6. 法律法规遵守:强调了在信息化工程中,必须遵守相关的国家信息安全法律法规,保障国家信息安全。
这部规范的实施,对于山西省的信息化建设起到了规范和指导作用,有助于提升整个地区的信息化水平,保障信息化工程的顺利进行,降低信息安全风险。
DB14/T 1252-2016 信息化工程安全建设和管理规范部分内容预览:
DB14/T12522016
信息系统从无到有,再到废弃的整个过程,一般分为规划、设计、实施、运维、废弃阶段。每一阶 段又可细分为多个步骤,如规划阶段分为分析需求、定义系统等步骤,设计阶段分为体系结构设计、详 细设计等步骤,实施阶段分为开发和采购、集成、验收等步骤。
信息安全工程 为确保信息系统的保密性、完整性、可用性、可追究性、抗否认性等目标而开展的系统性 称。 注:参考GB/T20282一2006中“信息安全工程”定义。
GBJ 55-1983 工业与民用通用设备电力装置设计规范4. 1信息系统生命周期
言息系统生命周期包括5个基本阶段,即规划、设计、实施、运维和废弃”。在每一个阶段完成时 要对该阶段的有效性进行评估。在以上过程中,还需保持与用户的密切沟通,以反映用户需求、 户反馈,如下页图1所示。
1)GB/T22032将系统工程的技术过程分为11个阶段:共利益者需求定义过程、需求分析过程、体系结 程、实现过程、集成过程、验证过程、移交过程、确认过程、运行过程、维护过程、处置过程。这是 5个基本阶段的进一步展开。
22032将系统工程的技术过程分为11个阶段:共利益者需求定义过程、需求分析过程、体系结构设计过 实现过程、集成过程、验证过程、移交过程、确认过程、运行过程、维护过程、处置过程。这是对本标准 基本阶段的进一步展开。
DB14/T12522016
实施阶段包括但不限于以下任务: 采购现货产品或开发定制化的系统组件,并对各项组件进行测试,判断其是否满足系统设计阶 段为该组件分配的功能和性能。 b 完成测试后,对各项组件进行系统集成,实现整体性能最优,即所有组件整合在一起后不但能 够工作,而且全系统的性价比最高,系统具有充分的可扩充性和可维护性。 c) 系统集成完毕后,进行线下和线上测试,以验证系统的运行是否满足用户需求、符合预定设计 目标。在实施线上测试时,应事先制定应急预案。 对信息系统进行验收,核查重要的系统文档并妥善保存,包括系统的安装、操作、维护手册, 以及前期需求分析、设计和并发文档
DB14/T12522016
当信息系统的功能不再需要时,信息系统进人废弃阶段。在废弃阶段,可根据情况完成以下任务 包括但不限于: a)必要时对原有业务进行迁移,确保业务的平滑过渡。 b)对数据进行归档和删除,对介质进行清除,防止敏感信息被恢复。 c)对软硬件进行废弃处置。
4.2信息安全工程过程
信息系统的安全体系是信息系统完整不可分割的一部分,在信息系统生命周期的每一阶段均需开展 信息安全活动。表1描述了信息安全工程过程与信息系统生命周期阶段的对应关系。
4.3信息化工程安全管理制度
DB14/T 12522016
信息化工程安全管理制度除应行 括但不限于: GB/T20261一2006明确了信息安全工程过程的主要任务,提出了信息安全工程能力成熟度模 型,规定了信息安全工程的项目组织活动。 GB/T20282一2006明确了信息安全工程实施要求和项目实施要求,提出了分等级的信息安全 工程管理要求, GB/T19668.6一2007提出了信息化工程招标、设计、实施、验收阶段的安全监理规范,并明确 了各类信息化工程的安全监理要点。 GB/T22081一2008提出了“信息系统获取、开发和维护”要求,
4.4信息化工程安全项目管理
应有专人负责信息安全工作或成立信息安全管理机构,并满足以下要求: a) 信息安全管理机构应在信息化工程建设之初便参与信息系统生命周期的所有活动,并能够在各 阶段的活动中充分表达意见。要以信息安全部门为主成立信息安全工程小组,负责信息化工程 中信息安全工程的管理。信息安全部门对信息化工程的重大决策拥有一票否决权。 b) 应成立内部协调机制,在信息化工程建设过程中处理业务部门、信息化部门与信息安全部门之 间可能出现的分歧,提高信息化工程的整体性、协调性。 R 4.4.2 管理任务 P 应按照GB/T202822006的“组织保证要求”和“项目实施要求”, 贯彻工程项目管理的思路,对 信息化工程安全项目实施全过程管理,管理任务包括但不限于: a) 明确项目范围。 b) 确定所需资源及其可用性。 c) 确定相关角色和责任,定义管理接口。 d) 估算项目成本。 e) 制定项目进度计划。 f) 确定项目可交付项。 g) 制定项目管理规划。 h) 与用户沟通,获得用户认同。 i) 建立专家团队,指导技术工作。 j) 跟踪项目资源。 k) 跟踪技术参数。 1) 监督技术活动的进展,报告项目状态。 m) 确保可交付项的质量。 n) 开展项目有效性评估,审查项目绩效。
DB14/T 12522016
5.1分析信息安全需求
分析信息安全需求是信息化工程安全建设的起点,应从本机构的职能或业务的角度分析对信息安全 的需求。与之相关的任务主要有以下几个方面: 梳理本机构的职能或业务对信息系统的需求。 b) 分析本机构信息系统面临的威胁。 c) 结合本机构的职能或业务特性,分析信息安全威胁可能对本机构造成的影响。 d) 明确本机构职能或业务对信息的保密性、完整性、可用性需求。 ey 描述本机构信息系统中涉及信息安全的角色和责任。 f) 梳理法律法规、政策文件对信息安全的强制性要求,以及本机构的上级机构或关联机构对信息 安全的约束性规定。
DB14/T 12522016
DB14/T 12522016
等级 标识 定义 5 很高 出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过 4 高 出现的频率较高(或1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 3 中等 出现的频率中等(或1次/半年);或在某种情况下可能会发生;或被证实曾经发生过 2 低 出现的频率较小/或一般不太可能发生;或没有被证实发生过 1 很低 威胁几乎不可能发生; 仅可能在非常罕见和例外的情况下发生 .2 定义系统安全要求 0 5.2. 1 主要任务 S S 应基于信息安全需求说明书,定义信息系统的信息安全要求。与之相关的任务主要有以下几方面内 a) 定义信息系统的安全边界及信息安全运行环境 b) c) 将信息安全需求在待建系统自身与外部环境、系统间进行分配,如图2所示。例如,对数字证 书的安全需求应由依法成立的第三方电子认证机构提供。 d) 明确待建系统与外部系统之间的数据流,以及各数据流的信息安全防护需求。 e) 梳理对后续信息安全方案设计可能构成约束的条件,包括由外部系统施加的约束。例如,环境 条件或环境限制、合同约束、习惯或惯例等 f) 定义信息系统的信息安全功能要求与性能要求,性能要求应考虑峰值因素。 g) 制定信息系统的信息安全策略,包含信息安全目标 h) 向用户说明,已定义的信息系统信息安全要求如何满足用户的信息安全需求,并得到用户认可。
5.2定义系统安全要求
5. 2. 1主要任务
DB14/T 12522016
5. 2. 2任务输出
应按照GB/T20282一2006的“指定安全要求”,采取以下方法,定义信息系统的信息安全要求: 1. 通过收集所有用于全面理解需求方安全要求所需的信息,获得对安全要求的理解。 6 收集所有对系统安全产生影响的外部影响;标识出支配系统目标环境的法律、规则、策略和业 务标准。 c) 标识出系统间的关系是如何影响安全的,任务的处理和运行概要应作为安全因素加以评估。 d定义系统的安全边界DBJ∕T 15-20-2016 建筑基坑工程技术规程,包括梳理本机构的外部环境如何影响信息系统的安全。
DB14/T 12522016
3.1设计安全体系结构
应基于已经定义的信息系统信息安全要求,设计信息系统的信息安全体系结构。与之相关的任务主 要有: a) 分析待建系统的信息安全体系结构。“定义系统安全要求”与“设计安全体系结构”的主要区 别是,前者将信息安全要求分配到整个信息系统之中,只指明系统的功能,不定义系统的组件 而后者则明确了承担信息安全功能的各项组件。前者将目标系统视为“黑盒”,后者则创建信 息安全体系的内部结构。图3和图4分别描述了两者的区别。 D 在信息安全体系结构中分配安全服务,并为已分配的安全服务选择合适的安全机制,以便将此 前确定的高层安全功能分解至低层功能,与高层功能相关的性能要求也应分解至低层。关于安 全服务和安全机制的概念,可参见GB9387.2一1995。 向用户说明,已设计的信息安全体系结构如何满足信息安全要求,并得到用户认可。 d 开展信息安全风险评估,说明安全服务和安全机制如何抵御待建系统可能面临的安全风险,并 设定信息安全风险处置日标,同时对信息系统的残余风险作出说明。
DB22∕T 448-2013 居住区有线数字电视系统工程技术规程图4设计安全体系结构展现方框图
DB14/T 12522016
a)待建信息系统的信息安全体系结构。重点是明确系统内的各类信息安全组件,说明各组件提供 的信息安全服务及可能的实现机制,包括各组件的逻辑功能和性能。此外,还需说明内外部的 各类接口、信息流等。 b)对信息安全体系结构的安全风险评估报告