返回
DB37T 3303-2018 信息安全技术 内控安全管理技术规范.pdf

DB37T 3303-2018 信息安全技术 内控安全管理技术规范.pdf

ID:52984536

大小:272.39 KB

页数:10页

时间:2020-04-06

DB37T 3303-2018 信息安全技术 内控安全管理技术规范.pdf_第1页
DB37T 3303-2018 信息安全技术 内控安全管理技术规范.pdf_第2页
DB37T 3303-2018 信息安全技术 内控安全管理技术规范.pdf_第3页
DB37T 3303-2018 信息安全技术 内控安全管理技术规范.pdf_第4页
DB37T 3303-2018 信息安全技术 内控安全管理技术规范.pdf_第5页
资源描述:

《DB37T 3303-2018 信息安全技术 内控安全管理技术规范.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ICS35.020L70DB37山东省地方标准DB37/T3303—2018信息安全技术内控安全管理技术规范2018-06-12发布2018-07-12实施山东省质量技术监督局发布DB37/T3303—2018前言本标准按照GB/T1.1-2009给出的规则起草。本标准由潍坊市质量技术监督局提出并归口。本标准起草单位:潍坊市智慧潍坊建设办公室、山东省计算中心(国家超级计算济南中心)、山东瑞宁信息技术股份有限公司、山东省经济和信息化发展研究院、山东华国信息安全技术有限公司、山东信息协会、山东电子商会、山东正中信息技术股份有限公司。本标准主

2、要起草人:胡延年、李刚、汉京宁、毕建秀、周鸣乐、朱秀美、朱珊珊、李旺、冯正乾、李波、李敏、王超逸、李强、张玉瑞、张建成、徐兵、刘波、戚元华、王玮、刘一鸣、王丽君。本标准为首次发布。IDB37/T3303—2018信息安全技术内控安全管理技术规范1范围本标准规定了信息安全技术中用于内控安全管理的相关技术内容。本标准适用于提供内控安全管理服务的机构及有内控安全管理需求的用户。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本

3、文件。GB/T22239-2008信息安全技术信息系统安全等级保护基本要求3术语和定义下列术语和定义适用于本文件。3.1内控安全管理internalsecuritymanagement对组织内部IT系统的管理和维护人员(包括第三方IT外包服务人员)的运维行为进行的安全风险管理。3.2应用发布机制applicationpublishingmechanism将某些应用系统所需的客户端运维软件集中安装、部署到特定系统,实现应用软件的集中管控。3.3管理员Administrators具有对IT系统管理职能的人员。根据职责不同分为运维管理员和密码

4、管理员。运维管理员负责对IT系统运维权限的划分与操作员的管理;密码管理员负责IT系统账号密码的管理。3.4审计员Auditor负责对操作员、管理员的操作行为监督审计的人员的统称。3.5操作员Operator1DB37/T3303—2018负责对IT系统运维的工作人员的统称。4缩略语下列缩略语适用于本文件。AD活动目录(ActiveDirectory)FTP文件传输协议(FileTransferProtocol)HTTP超文本传输协议(HyperTextTransferProtocol)HTTPS安全超文本传输协议(HyperTextTr

5、ansferProtocoloverSecureSocketLayer)ID标识符(IDentifier)IP网络协议(InternetProtocol)IT信息技术(InformationTechnology)ITIL信息技术基础架构库(InformationTechnologyInfrastructureLibrary)ITSS信息技术服务标准(InformationTechnologyServiceStandards)KPI关键绩效指标(KeyPerformanceIndicator)LDAP轻量目录访问协议(Lightweigh

6、tDirectoryAccessProtocol)Radius远程用户认证系统(RemoteAuthenticationDialInUserService)RDP远程桌面协议(RemoteDesktopProtocol)SFTP安全文件传输协议(SecureFileTransferProtocol)SSH安全外壳协议(SecureShell)SSL安全套接层(SecureSocketsLayer)SSO单点登录(SingleSignOn)TELNET远程通信协议(TelecommunicationsNetwork)VNC虚拟网络控制台(

7、VirtualNetworkConsole)5内控安全管理参考模型5.1内控安全管理参考模型如图1所示,模型中涉及人员、IT系统、流程制度三个要素,人员是指维护和管理IT系统的人员,包括第三方外包维护人员。IT系统包括但不限于主机、数据库、网络、中间件、应用程序等各类IT资源。流程制度是组织内部为规范IT运维行为、保证运维安全所制订的一系列流程化管理制度或工具。5.2内控安全管理是将人员对IT系统的运维过程结合组织自身的流程制度进行集中管控。包括对人员的管控和对IT系统的管控两个方面。对人员的管控采用三权分立原则。对IT系统的管控采用集

8、中、统一的方式。2DB37/T3303—2018图1内控安全管理参考模型6集中管控6.1三权分立根据GB/T22239-2008基本要求,信息系统管理应满足三权分立原则,分为管理员、操作员、审计员三类角色,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。