DB14∕T 1252-2016 信息化工程安全建设和管理规范.docx

ICS

N

N10

25.040

25.040

DB14

山西省地方标准

DB14/T1252—2016

信息化工程安全建设和管理规范

2016-10-10发布2016-12–10实施

山西省质量技术监督局

发布

I

DB14/T1252—2016

目次

前言 III

引言 IV

1范围 1

2规范性引用文件 1

3术语和定义 1

4信息化工程安全管理概述 2

4.1信息系统生命周期 2

4.2信息安全工程过程 4

4.3信息化工程安全管理制度 5

4.4信息化工程安全项目管理 5

5规划安全目标 5

5.1分析信息安全需求 6

5.2定义系统安全要求 8

6设计安全方案 9

6.1设计安全体系结构 10

6.2开展详细的安全设计 11

7实施安全方案 13

7.1开发和采购 13

7.2安全集成 14

7.3验收 15

8开展安全运维 19

8.1信息安全风险评估和监测 19

8.2事件处理和应急响应 20

8.3灾难备份和业务连续性计划 20

8.4配置管理 20

8.5变更管理 21

8.6维修维护 21

9确保废弃过程的安全 21

9.1信息安全风险评估 21

9.2业务迁移与连续性 21

9.3介质处理 22

10监督管理 22

10.1信息安全监管部门的监督检查 22

II

DB14/T1252—2016

10.2自身信息化工程安全管理 22

附录A（资料性附录）信息化工程安全管理相关政策要求 23

参考文献 24

III

DB14/T1252—2016

前言

本标准按照GB/T1.1—2009给出的规则起草。

本标准由山西省经济和信息化委员会提出并归口。

本标准起草单位：山西省信息技术产业协会、山西省经贸决策咨询中心、中国信息安全研究院有限公司、山西省信息化和信息安全评测中心、山西省工业控制系统与安全产业联盟。

本标准主要起草人：周亚超、左晓栋、李凯军、王乐、薛云琴、张明胜、陆希、苑化军、张卓雅、郭陈勋、刘雨桁。

IV

DB14/T1252—2016

引言

近年来，随着网络信息技术快速发展应用，网络安全形势日趋复杂严峻，对标准化工作提出了更高要求。中央网络安全和信息化领导小组第一次会议指出，网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作，要处理好安全和发展的关系，做到协调一致、齐头并进，以安全保发展、以发展促安全，努力建久安之势、成长治之业。

《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）要求，重要信息系统和基础信息网络要同步规划、同步建设、同步运行安全防护设施。

《山西省信息化促进条例》提出，信息安全系统应当与信息化工程同时设计、同时施工、同时投入使用。

为贯彻落实党中央、国务院和山西省有关规定，落实网络强国战略，深化标准化工作改革，构建统一权威、科学高效的信息化工程安全建设管理标准体系和标准化工作机制，加强标准体系建设，科学构建标准体系，推动信息化工程安全建设管理标准与国家相关法律法规的配套衔接，促进信息化工程安全建设管理标准与信息化应用标准同步规划、同步制定，提高标准适用性、先进性和规范性，提升标准信息服务能力和标准符合性测试能力，在信息系统设计和建设过程中，应同步考虑信息安全需求，信息安全贯穿于信息化工程建设的每一个生命周期阶段。为此，制定本标准。

1

DB14/T1252—2016

信息化工程安全建设和管理规范

1范围

本标准规定了在信息化工程建设的全生命周期过程中有关信息安全的要求。

本标准适用于山西省辖区内各级机关、事业单位、重要领域新建和改扩建信息化工程安全建设及管理工作，作为信息安全监督、检查、验收、评估等工作的重要依据。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB9387.2—1995信息处理系统开放系统互联基本参考模型第2部分：安全体系结构GB/T18794（所有部分）信息技