DB37∕T 3303-2018 信息安全技术 内控安全管理技术规范(山东省).pdf
《DB37∕T 3303-2018 信息安全技术 内控安全管理技术规范(山东省).pdf》由会员分享,可在线阅读,更多相关《DB37∕T 3303-2018 信息安全技术 内控安全管理技术规范(山东省).pdf(10页珍藏版)》请在咨信网上搜索。
1、ICS 35.020 L70 DB37 山东省地方标准 DB 37/T 33032018 信息安全技术 内控安全管理技术规范 2018 - 06 - 12 发布 2018 - 07 - 12 实施 山东省质量技术监督局 发 布 DB37/T 33032018 I 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由潍坊市质量技术监督局提出并归口。 本标准起草单位:潍坊市智慧潍坊建设办公室、山东省计算中心(国家超级计算济南中心)、山东瑞宁信息技术股份有限公司、山东省经济和信息化发展研究院、山东华国信息安全技术有限公司、山东信息协会、山东电子商会、山东正中信息技术股份有限公司。
2、本标准主要起草人:胡延年、李刚、汉京宁、毕建秀、周鸣乐、朱秀美、朱珊珊、李旺、冯正乾、李波、李敏、王超逸、李强、张玉瑞、张建成、徐兵、刘波、戚元华、王玮、刘一鸣、王丽君。 本标准为首次发布。 DB37/T 33032018 1 信息安全技术 内控安全管理技术规范 1 范围 本标准规定了信息安全技术中用于内控安全管理的相关技术内容。 本标准适用于提供内控安全管理服务的机构及有内控安全管理需求的用户。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 222
3、39-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 内控安全管理 internal security management 对组织内部IT系统的管理和维护人员 (包括第三方IT外包服务人员)的运维行为进行的安全风险管理。 3.2 应用发布机制 application publishing mechanism 将某些应用系统所需的客户端运维软件集中安装、部署到特定系统,实现应用软件的集中管控。 3.3 管理员 Administrators 具有对IT系统管理职能的人员。根据职责不同分为运维管理员和密码管理员。运维管理员负责对IT系统运维
4、权限的划分与操作员的管理;密码管理员负责IT系统账号密码的管理。 3.4 审计员 Auditor 负责对操作员、管理员的操作行为监督审计的人员的统称。 3.5 操作员 Operator DB37/T 33032018 2 负责对IT系统运维的工作人员的统称。 4 缩略语 下列缩略语适用于本文件。 AD 活动目录(Active Directory) FTP 文件传输协议(File Transfer Protocol) HTTP 超文本传输协议(HyperText Transfer Protocol) HTTPS 安全超文本传输协议(Hyper Text Transfer Protocol ove
5、r Secure Socket Layer) ID 标识符(IDentifier) IP 网络协议(Internet Protocol) IT 信息技术(Information Technology) ITIL 信息技术基础架构库(Information Technology Infrastructure Library) ITSS 信息技术服务标准(Information TechnologyService Standards) KPI 关键绩效指标(Key Performance Indicator) LDAP 轻量目录访问协议(Lightweight Directory Access P
6、rotocol) Radius 远程用户认证系统(Remote Authentication Dial In User Service) RDP 远程桌面协议(Remote Desktop Protocol) SFTP 安全文件传输协议(Secure File Transfer Protocol) SSH 安全外壳协议(Secure Shell) SSL 安全套接层(Secure Sockets Layer) SSO 单点登录(Single Sign On) TELNET 远程通信协议(Telecommunications Network) VNC 虚拟网络控制台(Virtual Networ
7、k Console) 5 内控安全管理参考模型 5.1 内控安全管理参考模型如图 1 所示,模型中涉及人员、IT 系统、流程制度三个要素,人员是指维护和管理 IT 系统的人员,包括第三方外包维护人员。IT 系统包括但不限于主机、数据库、网络、中间件、应用程序等各类 IT 资源。流程制度是组织内部为规范 IT 运维行为、保证运维安全所制订的一系列流程化管理制度或工具。 5.2 内控安全管理是将人员对 IT 系统的运维过程结合组织自身的流程制度进行集中管控。 包括对人员的管控和对 IT 系统的管控两个方面。对人员的管控采用三权分立原则。对 IT 系统的管控采用集中、统一的方式。 DB37/T 33
8、032018 3 图1 内控安全管理参考模型 6 集中管控 6.1 三权分立 根据GB/T 22239-2008基本要求,信息系统管理应满足三权分立原则,分为管理员、操作员、审计员三类角色,每人分配一个唯一的身份ID。 6.2 身份 ID 集中管理 内控安全管理系统应支持人员身份ID的集中管理,支持分部门、分组管理人员,管理员负责操作员身份ID的创建和维护,操作员权限应与管理员、审计员的权限分开。 6.3 登录管理 6.3.1 单点登录 内控安全管理系统作为统一运维入口,操作员通过唯一身份ID认证后,能够直接访问要运维的IT系统,无需再次输入账号密码。 6.3.2 身份认证 登录内控安全管理系
9、统时,应对人员身份ID进行认证,支持单种认证方式或多种认证方式的组合,认证方式包含但不限于: a) 静态密码; b) 动态密码; DB37/T 33032018 4 c) 数字证书; d) AD 域认证; e) LDAP 认证; f) 虹膜认证。 6.4 IT 系统授权 6.4.1 IT 系统授权应由管理员统一负责。 6.4.2 授权管理包括授权主体、授权客体和授权关系三个元素,内控安全管理系统应设置授权策略,包括: a) 授权主体: 1) 人员身份 ID、人员身份 ID 组或者二者的组合; 2) 管理员为临时授权所创建的临时人员身份 ID。 b) 授权客体:IT 系统、IT 系统组、访问权限
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB37T 3303-2018 信息安全技术 内控安全管理技术规范山东省 DB37 3303 2018 信息 安全技术 内控 安全管理 技术规范 山东省
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。