办公信息系统安全相关标准解读.pdf

CHINA QUALITY AND STANDARDS REVIEW 标准咨询 标 准 解 读 办公信息系统安全相关标准解读 谢宗晓 （中国金融认证中心） 董坤祥 （山东财经大学管理科学与工程学院） 甄杰 （重庆工商大学商务策划学院） 关于办公信息系统的 3 项标准，GB/ T 37094— 2018《信息安全技术　办公信息系统安全管理要求》、 GB/ T 37095—2018《信息安全技术　办公信息系统 安全基本技术要求》和 GB/ T 37096—2018《信息安全 技术　办公信息系统安全测试规范》发布于 2018 年 12 月 28 日，将于 2019 年 7 月 1 日正式实施。 其中，GB/ T 37095—2018 中定义了办公信息系 统的概念： 由服务器、桌面PC、操作系统、数据库管理 系统、应用服务器中间件、办公软件、网络设施、 应用软件系统等软硬件组成，通过数据的收集、存 储、传递、管理和处理等手段，提供办公服务的信 息系统。 这个定义比较宽泛，实际情况是，这 3 项标准， 图1　办公信息系统安全建设管理 主要针对党政部门的办公信息系统，这在标准的范 系统运维管理呈现的不是一个流程，而是分为 围中进行了说明。 不同的控制，这类似于 GB/ T 22081—2016（ISO/IEC 1　办公信息系统安全管理要求 27002：2013，IDT）《 信 息 技 术　 安 全 技 术　 信 息安全控制实践指南》等常见标准的控制域或控制 GB/ T 37094—2018 正 文 共 有 4 章， 前 3 章 为 （controls）。具体如图 2 所示。 标准通用条款，第 4 章给出了办公信息系统的建设 接下来是制度管理，包括管理制度、管理机构 管理、系统运维管理、制度管理和外包管理方面的 和人员管理。这个分类与 GB/T 22081—2016（IDL） 要求。 存在一定的差异，但是就具体控制而言，都是保持 建设管理中描述了一个信息系统获取 / 开发的 相互兼容的。 过程，具体如图 1 所示。 最后讨论的是外包管理，没有给出详细要求， 建设管理中包括了方案设计、产品采购和使用、 而 是 直 接 引 用 了 GB/T 32926—2016《 信 息 安 全 技 软件开发、工程实施、测试验收和系统交付，最后 术　 政府部门信息技术服务外包信息安全管理 单独提出了供应商选择。如果将上述过程更简化一 规范》。 些，实际就是设计、采购、实施直至交付。 - 14 - 中国质量与标准导报