《信息系统安全工程质量控制技术规范》DB21T 4171-2025.docxVIP

ICS35.030CCSL80

21

辽宁省地方标准

DB21/T4171—2025

信息系统安全工程质量控制技术规范

Technicalspecificationforqualitycontrolofinformationsystemsecurityengineering

2025-08-30发布

2025-09-30实施

辽宁省市场监督管理局发布

I

DB21/T4171—2025

目次

前言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4资格控制要求 1

4.1人员资质要求 1

4.2安全产品要求 1

4.3法律、法规、政策符合性要求 1

5需求调研阶段 1

5.1目标 1

5.2内容 1

6设计阶段 3

6.1目标 4

6.2内容 4

7实施阶段 8

7.1目标 8

7.2内容 8

8验收阶段 9

8.1目标 9

8.2内容 9

DB21/T4171—2025

III

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由辽宁省工业和信息化厅提出并归口。

本文件起草单位：北方实验室（沈阳）股份有限公司、辽宁鲲鹏生态创新中心有限公司、北京北实正安信息技术有限公司、辽宁北实网安信息技术有限公司、东北大学、沈阳市网络安全应急指挥中心。

本文件主要起草人：张健楠、丁琳、袁洪朋、李琳、张鏖、隋大智、郝瑞、蔡雨、魏凤娇、王健、姜海龙、赵奇、娄欣宇、郑宇、任鑫宇、李昂霄、赵鑫、孙鹏程、李佳伦、任庆峰、黄国城、李冰琪、王莹、姚羽、杨庆民。

本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈，我们将及时答复并认真处理，根据实际情况依法进行评估及复审。

归口管理部门通讯地址：辽宁省工业和信息化厅（沈阳市皇姑区北陵大街45-2号），联系电话：024

标准起草单位通讯地址：北方实验室（沈阳）股份有限公司（辽宁省沈阳市浑南区智慧三街199号），

联系电话：400-664-5588。

DB21/T4171—2025

1

信息系统安全工程质量控制技术规范

1范围

本文件规定了信息系统安全工程需求调研、设计、实施和验收阶段的质量控制技术措施。

本文件适用于信息系统安全工程的需方、实施方、监理方等在需求调研、设计、实施、验收阶段的质量控制管理，其他有关各方也可参照使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20282

信息安全技术信息系统安全工程管理要求

GB/T22081

信息技术安全技术信息安全控制实践指南

GB/T25069

信息安全技术术语

3术语和定义

GB/T25069、GB/T22081、GB/T20282、GB/T22032界定的以及下列术语和定义适用于本文件。3.1

信息安全建设工程informationsystemsecurityconstructionengineering

为确保信息系统的保密性、完整性、可用性等目标而进行的工程。

4资格控制要求

4.1人员资质要求

参与信息安全建设工程实施的人员应具备国家相关主管部门认可的安全服务人员、实施人员相应资质。

4.2安全产品要求

信息安全建设工程所采用的安全产品应具有在国内生产、经营、销售的许可证，并符合相应等级。

5需求调研阶段

5.1目标

开展全面的需求调研和分析，识别安全风险，为工程后期的建设和质量控制提供重要依据。

5.2内容

5.2.1需求收集

本项控制措施包括：

2

DB21/T4171—2025

a)明确信息系统的业务目标、功能需求、性能需求，以及特定的安全需求，并加强数据安全需求的获取，确保需求的全面和准确；

b)通过问卷调查、访谈、研讨会等方式，充分获取各利益相关方的安全需求；

c)对收集到的需求进行整理、分类、汇总，并与各相关方确认，确保需求理解的一致性；

d)根据安全需求确定系统的安全防护目标和级别。

5.2.2风险评估

5.2.2.1