Q_HBZJXXB025-2016安全管理规范.pdf

HBZJXXB 河 北 质 监 信 息 化 标 准 Q/HBZJXXB025-2016 安全管理规范 河北省质量技术监督局网络安全和信息化领导小组办公室发布 目 录 1 范围 1 2 规范性引用文件 1 3 术语和定义 2 3.1 完整性 integrity 2 3.2 可用性 availability 2 3.3 访问控制 access control 2 3.4 安全审计 security audit 2 3.5 鉴别信息 authentication information 2 3.6 敏感性 sensitivity 2 3.7 风险评估 risk assessment 2 3.8 安全策略 security policy 3 3.9 基线控制 baseline controls3 3.10 影响 Impact3 3.11 IT 安全 IT security 3 3.12 IT 安全策略 IT security policy 3 3.13 风险 risk3 3.14 残留风险 residual risk 3 3.15 风险分析 risk analysis 3 3.16 风险管理 risk management 3 I 3.17 防护措施 safeguard 3 3.18 威胁 threat 3 3.19 脆弱性 vulnerability 4 4 信息系统安全管理的一般要求 4 4.1 信息系统安全管理的内容 4 4.2 信息系统安全管理的原则 4 5 河北省质量技术监督局信息化建设安全管理方针 6 5.1 安全管理方针文件 6 5.2 安全管理方针文件评审 6 6 河北省质量技术监督局信息化建设安全管理制度 6 6.1 安全管理规章制度 6 6.1.1 安全管理规章制度内容 6 6.1.2 安全管理规章制度的制定 7 6.2 策略与制度文档管理 8 6.2.1 策略与制度文档的评审和修订 8 6.2.2 策略与制度文档的保管 8 7 河北省质量技术监督局信息化建设安全管理组织体系 8 7.1 安全管理机构 8 7.1.1 建立安全管理机构 8 7.1.2 信息安全领导小组 9 7.1.3 信息安全职能部门 9 7.2 安全机制集中管理机构 10 7.2.1 设置集中管理机构10 II 7.2.2 集中管理机构职能10 7.3 人员管理 11 7.3.1 安全管理人员配备11 7.3.2 关键岗位人员管理11 7.3.3 人员录用管理11 7.3.4 人员离岗12 7.3.5 人员考核与审查12 7.3.6 第三方人员管理13 7.4 教育和培训 13 7.4.1 信息安全教育13 7.4.2 信息安全专家13 8 河北省质量技术监督局信息化建设信息安全风险管理 15 8.1 信息安全风险管理要求和目标 15 8.1.1 风险管理要求15 8.1.2 风险管理的目标15 8.2 河北省质量技术监督局信息化建设信息安全风险分析和评估 15 8.2.1 资产识别和分析15 8.2.2 威胁识别和分析15 8.2.3 脆弱性识别和分析16 8.2.4 风险分析和评估要求 16 8.3 信息安全风险控制 16 8.3.1 选