DB44_T 2375-2022 信息系统内部风险管理基本要求.docx

ICS35.020CCSL70

44

广东省地方标准

DB44/T2375—2022

信息系统内部风险管理基本要求

Basicrequirementsforinternalriskmanagementininformationsystem

2022-07-11发布2022-10-11实施

广东省市场监督管理局发布

DB44/T2375—2022

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4内部风险管理原则 2

5内部风险管理要求 3

附录A（资料性）职权电子化过程中的对应关系 7

参考文献 8

I

DB44/T2375—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由广东省国际问题研究中心提出并组织实施。

本文件由广东省网络空间安全标准化技术委员会归口。

本文件起草单位：广东省信息安全测评中心、广东安络司法鉴定所、广东外语外贸大学、广州华南信息安全测评中心、东莞市公共资源交易中心。

本文件主要起草人：陈宁、骆林勇、王辉、王文佳、王常吉、袁毅鸣、李虹、李俊华、崔顺艳、邓思贤、谢柏林、宋琅靖、邓艳利、洪松远、何文婷、黄志强、邝建、张新猛、邢静、黄珊珊。

II

DB44/T2375—2022

引言

信息化建设已经进入深度应用阶段，信息系统所面临的安全风险逐步由物理、网络、主机、应用等层面向业务层面发展，给信息系统内部风险管理带来极大挑战，尤其体现在电子政务信息系统方面。组织在信息化过程中，相关人员的决策权、执行权和监督权映射到信息系统中产生电子业务权力和电子技术权力。业务是否合规、电子权力是否控制有效直接影响信息系统内部风险管理及职权电子化的成效。内部风险管理控制失效会给组织带来不可估量的损失，如国家核心机密外泄、政府部门公信力下降和国有资产流失等。因此，建立信息系统内部风险管理基本要求势在必行，是一项非常紧迫与重要的任务。

信息系统内部风险管理的目的是为了加强组织内部对线下业务和线上业务风险的管理，有效防控信息系统业务风险，提高信息系统建设与管理的规范性、科学性，以及信息化对业务管理的支撑和流程控制能力，最大程度减少人为操纵因素，确保业务、权力及信息系统的安全稳定运行。

本文件综合运用信息安全相关法律法规、标准规范和内审内控方法，将信息系统内部风险管理措施涉及的内控理论和控制活动贯穿于信息系统建设、管理与运营全过程，对组织业务与信息系统业务流程一致性，业务流程中业务活动控制、留痕、人员权力赋予、权力运行过程的风险进行控制，解决信息安全中由于人员行为不可控的因素导致的内部安全问题。

本文件可以作为政府部门、履行行政管理职能的事业单位和国有企业等网络运营者的信息化建设和信息系统内部风险管理控制体系建设的主要依据，也可以作为通信和信息服务、能源、交通、水利、金融等重要行业和领域信息系统内部风险控制体系建设和实施的参考标准。

III

DB44/T2375—2022

信息系统内部风险管理基本要求

1范围

本文件规定了信息系统内部风险管理的术语和定义、原则及要求。

本文件适用于政府部门、履行行政管理职能的事业单位和国有企业等网络运营者，对自身的信息系统内部风险管理情况进行内部审查，也适用于监管单位、第三方审查机构对上述组织进行外部审查，其他组织可参考执行。审查结果可作为组织内部信息化建设和信息系统内部风险管理体系建设的参考依据。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。

3.1

信息系统内部风险管理basicrequirementsforinternalriskmanagementininformation

system

指导和控制组织对内部信息系统风险开展相关协调活动，并管理不确定性，以确保组织业务目标的一致性。

3.2

职权电子化electronizationofauthority

以职权为对象，利用信息技术手段将职权运行的部分或全部过程实现电子化。职权电子化既是职权实现电子化的过程，又是职权在网络空间中以另一种形态存在的表现形式。

3.3

线下职权offlineauthority

国家法律、法规赋予的组织职权，是由上级组织依法依规授权下级业务部门、责任岗位和人员，依照法定