DB44∕T 2375-2022 信息系统内部风险管理基本要求(广东省).pdf
《DB44∕T 2375-2022 信息系统内部风险管理基本要求(广东省).pdf》由会员分享,可在线阅读,更多相关《DB44∕T 2375-2022 信息系统内部风险管理基本要求(广东省).pdf(14页珍藏版)》请在咨信网上搜索。
1、ICS35.020CCS L 7044广东省地方标准DB44/T 23752022信息系统内部风险管理基本要求Basic requirements for internal risk management in information system2022 - 07 - 11 发布2022 - 10 - 11 实施广东省市场监督管理局发 布DB44/T 23752022I目次前言 . II引言 . III1范围 . 12规范性引用文件 . 13术语和定义 . 14内部风险管理原则 . 25内部风险管理要求 . 3附录 A(资料性)职权电子化过程中的对应关系 .7参考文献 . 8DB44/T 2
2、3752022II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由广东省国际问题研究中心提出并组织实施。本文件由广东省网络空间安全标准化技术委员会归口。本文件起草单位:广东省信息安全测评中心、广东安络司法鉴定所、广东外语外贸大学、广州华南信息安全测评中心、东莞市公共资源交易中心。本文件主要起草人:陈宁、骆林勇、王辉、王文佳、王常吉、袁毅鸣、李虹、李俊华、崔顺艳、邓思贤、谢柏林、宋琅靖、邓艳利、洪松远、何文婷、黄志强、邝建、张新猛、邢静、黄珊珊。DB44/T 23752022III引言信息化建设已经进入深度应用阶段,信息系统所面临的安全
3、风险逐步由物理、网络、主机、应用等层面向业务层面发展,给信息系统内部风险管理带来极大挑战,尤其体现在电子政务信息系统方面。组织在信息化过程中, 相关人员的决策权、 执行权和监督权映射到信息系统中产生电子业务权力和电子技术权力。业务是否合规、电子权力是否控制有效直接影响信息系统内部风险管理及职权电子化的成效。内部风险管理控制失效会给组织带来不可估量的损失, 如国家核心机密外泄、 政府部门公信力下降和国有资产流失等。因此,建立信息系统内部风险管理基本要求势在必行,是一项非常紧迫与重要的任务。信息系统内部风险管理的目的是为了加强组织内部对线下业务和线上业务风险的管理, 有效防控信息系统业务风险,提高
4、信息系统建设与管理的规范性、科学性,以及信息化对业务管理的支撑和流程控制能力,最大程度减少人为操纵因素,确保业务、权力及信息系统的安全稳定运行。本文件综合运用信息安全相关法律法规、 标准规范和内审内控方法, 将信息系统内部风险管理措施涉及的内控理论和控制活动贯穿于信息系统建设、 管理与运营全过程, 对组织业务与信息系统业务流程一致性,业务流程中业务活动控制、留痕、人员权力赋予、权力运行过程的风险进行控制,解决信息安全中由于人员行为不可控的因素导致的内部安全问题。本文件可以作为政府部门、 履行行政管理职能的事业单位和国有企业等网络运营者的信息化建设和信息系统内部风险管理控制体系建设的主要依据,也
5、可以作为通信和信息服务、能源、交通、水利、金融等重要行业和领域信息系统内部风险控制体系建设和实施的参考标准。DB44/T 237520221信息系统内部风险管理基本要求1范围本文件规定了信息系统内部风险管理的术语和定义、原则及要求。本文件适用于政府部门、 履行行政管理职能的事业单位和国有企业等网络运营者, 对自身的信息系统内部风险管理情况进行内部审查,也适用于监管单位、第三方审查机构对上述组织进行外部审查,其他组织可参考执行。 审查结果可作为组织内部信息化建设和信息系统内部风险管理体系建设的参考依据。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。信息系统内部
6、风险管理basic requirements for internal risk management in informationsystem指导和控制组织对内部信息系统风险开展相关协调活动, 并管理不确定性, 以确保组织业务目标的一致性。职权电子化electronization of authority以职权为对象, 利用信息技术手段将职权运行的部分或全部过程实现电子化。 职权电子化既是职权实现电子化的过程,又是职权在网络空间中以另一种形态存在的表现形式。线下职权offline authority国家法律、法规赋予的组织职权,是由上级组织依法依规授权下级业务部门、责任岗位和人员,依照法定程
7、序履行的权力职责。线上职权online authority国家法律、法规赋予的组织职权,通过信息化建设映射到信息系统中,形成对应的电子岗位、职权账号和权限。电子权力electronical authority线下职责权限在信息系统中的映射或嵌入,包括电子业务权力和电子技术权力。电子业务权力electronical business authority线下业务岗位的职责权限在信息系统中的映射或嵌入。DB44/T 237520222电子技术权力electronical technology authority岗位角色权力电子化时洐生的一种权限, 即对支撑业务运行的计算机网络系统涉及的一系列管理权、
8、控制权和知情权,它具有对电子业务间接的管理权限。电子岗位electronical post根据线下人员岗位角色权力电子化的要求在信息系统中设立的与线下岗位相对应的虚拟岗位以及实际存在于信息系统及其相关支撑设备中的对应账号与角色。电子技术岗electronical technical post线下技术岗在信息系统中的映射或嵌入,具有对承载信息系统的操作系统、数据库、中间件、网络与网络安全设备、物理机房等设施的管理、运维、操作、监控等职权。电子业务管理岗electronical business management post线下业务管理岗在信息系统中的映射或嵌入, 具有业务流程的设计建立、 合规
9、监督和业务档案管理等职权。电子人事岗electronical personnel post线下人事岗在信息系统中的映射或嵌入,具有职权电子化后的线上人事架构的设定、人员的任免,人员业务账号及权限的初始化管控等职权。电子财务岗electronical finance post线下财务岗在信息系统中的映射或嵌入,具有职权电子化后的线上财务审批和管理等职权。电子监察审计岗electronical supervision and audit post线下监察审计岗在信息系统中的映射或嵌入,具有电子监察、数据流归档与审计、监督线上与线下业务的一致性和业务流程的记录审查等职权。4内部风险管理原则安全需求原
10、则组织应根据其信息系统担负的使命, 积累的信息资产的重要性, 可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。系统方法原则按照系统工程的要求, 识别和理解信息安全保障相互关联的层面和过程, 采用管理和技术相结合的方法,提高实现安全保障目标的有效性和效率。依法管理原则DB44/T 237520223信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应依法适时发布准确一致的有关信息,避免带来不良的社会影响。权力制衡原
11、则对特定职能岗位或责任领域的管理功能实施职责分离和独立审计, 应确保线上职权与线下职权一一对应,遵循管理、业务、技术的“三权分立”,电子业务岗负责业务运营、电子技术岗负责技术支撑、电子监察审计岗负责监督审计。权力最小化原则为避免权力过分集中所带来的隐患, 以减少未授权的修改或滥用系统资源的机会, 任何管理、 业务、技术的岗位仅享有该岗位履行职能的最小权限。管理与技术并重原则坚持积极防御和综合防范,全面提高风险控制应对能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性相结合的方法,保障信息系统的安全性达到所要求的目标。过程控制原则遵循系统安全工程理念,对信息系统全生命周期进行全过程控制
12、,依照安全工程要求跟踪过程、找出偏差、分析成因、研究纠偏对策、实施纠偏措施等,确保信息系统内部风险可管、过程可控。持续改进原则安全管理是一种动态反馈过程,贯穿整个安全管理的生命周期。应根据业务的变化、系统环境的变化、系统的脆弱性以及面临的威胁等因素,及时调整现有安全策略、风险接受程度和安全防护措施,并周期性的对信息系统安全状态进行复查、修改和调整,以调整安全管理等级,维护和改进信息安全管理体系。5内部风险管理要求总体要求本项要求主要包括:a)应制定信息系统内部风险管理的总体规划,包含但不限于计划安排、人员配置、资金配置等;b)应对总体规划开展内部组织评审、发布、宣贯,且过程记录完整、可读;c)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB44T 2375-2022 信息系统内部风险管理基本要求广东省 DB44 2375 2022 信息系统 内部 风险 管理 基本要求 广东省
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。