DB37_T 3303-2018信息安全技术 内控安全管理技术规范.pdf

ICS 35. 020L70DB37山 長东省地方标准DB 37/T 3303—2018信息安全技术内控安全管理技术规范2018-06-12发布2018-07-12实施山东省质量技术监督局发布 DB37/T言本标准按照GB/T1.1-2009给出的规则起草本标准由潍坊市质量技术监督局提出并归口。本标准起草单位：潍坊市智慧潍坊建设办公室、山东省计算中心（国家超级计算济南中心）、山东瑞宁信息技术股份有限公司、山东省经济和信息化发展研究院、山东华国信息安全技术有限公司、山东信息协会、山东电子商会、山东正中信息技术股份有限公司。本标准主要起草人：胡延年、李刚、汉京宁、毕建秀、周鸣乐、朱秀关、朱珊珊、李旺、冯正乾李波、李敏、王超逸、李强、张玉瑞、张建成、徐兵、刘波、戚元华、王玮、刘一鸣、王丽君。本标准为首次发布。- DB37/T息安全技术内控安全管理技术规范1范围本标准规定了信息安全技术中用于内控安全管理的相关技术内容。本标准适用于提供内控安全管理服务的机构及有内控安全管理需求的用户。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。GB/T22239-2008信息安全技术信息系统安全等级保护基本要求3术语和定义下列术语和定义适用于本文件。3. 1内控安全管理internal security management对组织内部IT系统的管理和维护人员（包括第三方IT外包服务人员）的运维行为进行的安全风险管理.3. 2应用发布机制application publishing mechanism将某些应用系统所需的客户端运维软件集中安装、部署到特定系统，实现应用软件的集中管控。3. 3管理员Administrators具有对IT系统管理职能的人员。根据职责不同分为运维管理员和密码管理员。运维管理员负责对IT系统运维权限的划分与操作员的管理：密码管理员负责IT系统账号密码的管理。3. 4审计员Auditor负责对操作员、管理员的操作行为监督审计的人员的统称。3. 5操作员Operator DB37/T 3303—2018负责对IT系统运维的工作人员的统称。4下列缩略语适用于本文件。AD 活动目录（ActiveDirectory）FTP文件传输协议（File TransferProtocol）HTTP超文本传输协议（HyperText TransferProtocol）HTTPS安全超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer)ID标识符（IDentifier）IP网络协议（Internet Protocol)IT信息技术（Information Technology）ITIL信息技术基础架构库(Information Technology Infrastructure Library)ITSS信息技术服务标准(Information TechnologyService Standards)KPI关键绩效指标（KeyPerforlance Indicator）LDAP轻量目录访间协议(LightweightDirectoryAccessProtocol)Radius远程用户认证系统（Remote Authentication DialIn User Service）RDP远程桌面协议（Reote Desktop Protocol）SFTP安全文件传输协议（Secure File Transfer Protocol）HSS安全外壳协议（Secure Shel1）SSL安全套接层(Secure Sockets Layer)SS0单点登录（Single Sign On)TELNET远程通信协议（TelecommunicationsNetwork）VNC虚拟网络控制台（VirtualNetworkConsole）5内控安全管理参考模型5.1内控安全管理参考模型如图1所示，模型中涉及人员、IT系统、流程制度三个要素，人员是指维护和管理IT系统的人员，包括第三方外包维护人员。IT系统包括但不限于主机、数据库、网络、中间件、应用程序等各类IT资源。流程制度是组织内部为规范IT运维行为、保证运维安全所制订的一系列流程化管理制度或工具。5.2内控安全管理是将人员对IT系统的运维过程结合组织自身的流程制度进行集中管控.包括对人员的管控和对IT系统的管控两个方而。对人员的管控采用三权分立原则。对IT系统的管控采用集中、统一的方式。2 DB37/T 3303—2018制度程远维管理员内控安全管理系统携作员系统三权分立多网支持审