DB4403T 437-2024 多功能智能杆 信息系统安全管理规范.docxVIP

ICS35.030CCSL70

DB4403

深圳市地方标准

DB4403/T437—2024

多功能智能杆信息系统安全管理规范

Multifunctionalsmartpole—Informationsystemsecuritymanagementspecification

2024-04-09发布2024-05-01实施

深圳市市场监督管理局发布

I

DB4403/T437—2024

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4信息系统安全管理的原则、策略、内容和制度 2

4.1信息系统安全管理原则 2

4.2信息系统安全管理策略 3

4.3信息系统安全管理内容 4

4.4信息系统安全管理制度 4

5机构建设和人员管理 5

5.1建立安全管理机构 5

5.2信息系统安全领导小组 5

5.3信息系统安全职能部门 6

5.4安全管理人员配备 6

5.5关键岗位人员管理 6

5.6人员录用管理 6

5.7人员离岗管理 7

5.8人员考核与审查 7

5.9人员教育和培训 7

6风险管理和控制 8

6.1风险管理要求 8

6.2风险管理策略 8

6.3风险分析 8

6.4风险评估 9

6.5风险控制 9

6.6安全确认 10

7运维和服务管理 10

7.1运维环境管理 10

7.2服务资源管理 12

7.3用户管理 15

7.4运行操作管理 16

7.5运行维护管理 19

7.6外包服务管理 22

7.7机制管理和安全管理 22

7.8业务连续性管理 27

II

DB4403/T437—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由深圳市工业和信息化局提出并归口。

本文件起草单位：深圳市脉山龙信息技术股份有限公司、深圳市洲明科技股份有限公司、深圳市信息基础设施投资发展有限公司、北京天融信网络安全技术有限公司、金砖国家未来网络研究院(中国·深圳)、深圳大学、深圳市震有智联科技有限公司、信安软件测评认证中心（深圳）有限公司。

本文件主要起草人：李海燕、陈铎航、王玉、林奕康、陈政浩、汪书福、林洺锋、陈晓宁、张帆、黄永衡、许亚萍、陈挺、江魁、刘向华、王先峰、张金钟、马龙彪、宋建民、陈希、张勇、白莹杰、杨彪。

1

DB4403/T437—2024

多功能智能杆信息系统安全管理规范

1范围

本文件规定了多功能智能杆信息系统安全管理的原则、策略、内容和制度、机构建设和人员管理、风险管理和控制、运维和服务管理。

本文件适用于指导多功能智能杆信息系统安全管理工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20271—2006信息安全技术信息系统通用安全技术要求

GB/T25069—2022信息安全技术术语GB50016—2014建筑设计防火规范

3术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。3.1

完整性integrity

数据、系统或信息在存储、传输和处理过程中保持无误、不受损坏、不受篡改的状态。

注：包括数据完整性和系统完整性；数据完整性，数据在存储、传输和处理过程中保持准确、完整和可信的状态；系统完整性，系统在非授权用户修改或使用资源和授权用户不正确地修改或使用资源的情况下，保持正常可靠运行的状态。

3.2

可用性availability

表征数据或系统根据授权实体的请求可被访问与使用程度的属性。3.3

访问控制accesscontrol

按确定的规则防止对资源的未授权使用，对实体之间的访问活动进行控制的安全机制。3.4

安全审计securityaudit

按确定规则的要求，对与安全相关的事件进行审计，以日志方式记录必要信息，并作出相应处理的安全机制。

3.5

鉴别信息authenticationinformation