DB32∕T 3421-2018 基础地理信息系统安全风险评估规范.pdf

ICS 07.040 A 75 备案号：60257-2018 DB32 江 苏 省 地 方 标 准 DB 32/T 3421—2018 基础地理信息系统安全风险评估规范 Risk assessment specification for fundamental geographic information systems 2018 - 06 - 25 发布 2018 - 07 - 10 实施 江苏质量技术监督局 发 布 DB32/T 3421—2018 目 次 前言 II 引言 III 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 4 风险评估的原则 2 5 风险评估的流程与评估周期 2 5.1 风险评估流程 2 5.2 风险评估周期 3 6 风险评估形式与方法 4 6.1 风险评估形式 4 6.2 风险评估方法 5 7 风险评估准备 5 7.1 基本要求 5 7.2 确定评估目标 5 7.3 确定评估范围 6 7.4 组建评估团队 6 7.5 组织系统调研 6 7.6 确定评估依据 6 7.7 制定评估方案 6 7.8 召开启动会议 7 8 风险评估实施 7 8.1 资产识别 7 8.2 威胁识别 8 8.3 脆弱性识别 10 9 风险分析 16 9.1 风险计算 16 9.2 风险结果判定 16 10 风险评估报告 17 附录A （资料性附录）现场访谈问题记录表 19 附录B （资料性附录）风险要素关系与评估团队组成 21 附录C （规范性附录）风险评估要求 24 附录D （规范性附录）脆弱性核查表 28 参考文献 32 I DB32/T 3421—2018 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由江苏省测绘地理信息局提出并归口。 本标准起草单位：泰州市国土资源局、江苏省测绘地理信息局、泰州市公安局、江苏省测绘资料档 案馆、南京市测绘勘察研究院股份有限公司、北京北信源软件股份有限公司。 本标准主要起草人: 张彭、邵建、翟晓彤、储建华、孙如江、宫雪峰、徐扬、王忠华、王蓓、张亚 钰、刘德广、薛志宏、沈雨、高曦、王孟和、魏勇、侯先栋。 II DB32/T 3421—2018 引 言 基础地理信息系统是以基础地理数据为管理对象，实现对基础地理数据的采集、录入、处理、存储、 查询、分析、显示、输出、更新、共享的信息系统，它具有完整的基础地理数据管理体系和数据服务体 系。 本标准依据GB/T 20984 《信息安全技术信息安全风险评估规范》，结合江苏省基础地理信息系统的 建设现状，针对已经建成的基础地理信息系统，包括数据的采集、加工、汇交、管理