《广州市地方技术规范《检验检测与认证信息化-广州市质量技术监督局.docVIP

ICS35.040 L 80 DBJ 广州市地方技术规范 DB J440100/T ××××—2015 检验检测与认证信息化服务 第3部分：信息安全和保密 Informationization service in inspection, testing and certification— Part 3：Information security and confidentiality 2015 - XX - XX发布 2015 - XX - XX实施 广州市质量技术监督局发布 前言 DBJ440100/T XXXX《检验检测与认证信息化服务》分为以下3个部分： 第1部分：信息共享； 第2部分：平台运行检验检测与认证信息化服务 第3部分：信息安全和保密 范围 DBJ440100/T XXXX的本部分规定了检验检测与认证信息化服务信息安全和保密管理的内容及原则和管理要求。 本部分适用于广州市检验检测与认证信息化服务平台信息安全和保密的管理。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20271—2006 信息安全技术 信息系统通用安全技术要求 GB/Z 24364—2009 信息安全技术 信息安全风险管理指南 信息安全和保密管理的内容及原则 3.1 信息安全和保密管理的内容 信息安全和保密管理的内容应包括： 落实平台信息安全和保密管理机构及管理人员，明确角色与职责； 安全意识和安全教育； 人员安全管理； 实施风险管理； 实施环境和资源管理； 实施操作、运行和维护管理； 实施业务连续性管理； 进行监督和检查事件管理； 平台启用和终止管理。 3.2 信息安全和保密管理的原则 信息安全和保密管理的原则如下： 主要领导负责原则：平台运行机构的主要领导应确立信息安全和保密的政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系。 全员参与原则：平台所有相关人员应普遍参与信息安全和保密管理，并与相关方面协同、协调，共同保障平台信息系统信息安全和保密。 系统方法原则：应按照系统工程的要求，识别和理解信息安全和保密保障相互关联的层面和过程，采用管理和技术相结合的方法，提高实现信息安全和保密保障目标的有效性和效率。 持续改进原则：信息安全和保密管理是一种动态反馈过程，贯穿整个信息安全和保密管理的生存周期，随着安全和保密需求和系统脆弱性时空分布的变化，威胁程度的提高，系统环境的变化以及对系统信息安全和保密认识的变化等，应及时将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理要求，维护和持续改进信息安全和保密管理体系的有效性。 依法管理原则：信息安全和保密管理工作主要体现为管理行为，应保证信息安全和保密管理主体合法、管理行为合法、管理内容合法、管理程序合法，对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的社会影响。 分权和授权原则：应对特定职能或责任领域的管理功能实施分离，避免权力过分集中带来的隐患，以减少未授权的修改或滥用系统资源的机会，任何实体（如用户、管理员、进程、应用或系统）应仅享有该实体需要完成其任务所必需的权限，不应享有任何多余的权限。 信息安全和保密管理要求 4.1 信息安全和保密策略与规章制度管理要求 4.1.1 平台运行机构应制定并发布安全和保密管理策略。由信息安全职能部门负责制定并经过平台运行机构负责人签发，按照有关文件管理程序发布。 4.1.2 平台运行机构应制定及发布安全和保密管理规章制度。由信息安全职能部门负责制定并由分管信息安全工作的负责人审批，按照有关文档管理程序发布。 4.1.3 平台运行机构应对信息安全和保密管理策略与规章制度文档进行评审、修订和保管。策略和制度文档由分管信息安全的负责人和安全管理人员负责文档的评审和修订，应指定专人保管策略和制度文档，并建立借阅审批和登记制度。 4.2 机构和人员管理要求 4.2.1 机构管理要求 4.2.1.1 平台运行机构应确保平台信息系统信息安全和保密措施的落实，提供人力、物力、财力等条件保障，督促检查领导责任制落实。 4.2.1.2 平台运行机构应在管理层中有一人分管信息安全和保密工作，并为信息系统的安全和保密管理配备专职或兼职的安全和保密管理人员。 4.2.1.3 平台运行机构应建立管理信息安全和保密工作的职能部门，或者明确指定一个职能部门兼管信息安全和保密工作，作为该部门的关键职责之一。 4.2.1.4 平台运行机构应加强与各相关单位的合作与沟通。平台各类人员以及信息安全和保