DB44-T 2375-2022信息系統(tǒng)內部風險管理基本要求

1、ICS 35.02044CCS L 70廣東省地方標準DB44/T 23752022信息系統(tǒng)內部風險管理基本要求Basic requirements for internal risk management in information system2022 - 07 - 11 發(fā)布2022 - 10 - 11 實施廣東省市場監(jiān)督管理局發(fā) 布DB44/T 23752022DB44/T 23752022目次前言II引言III范圍1規(guī)范性引用文件1術語和定義1內部風險管理原則2內部風險管理要求3附錄 A（資料性） 職權電子化過程中的對應關系7參考文獻8I前言本文件按照GB/T 1.12020標準化

2、工作導則 第1部分：標準化文件的結構和起草規(guī)則的規(guī)定起草。本文件由廣東省國際問題研究中心提出并組織實施。 本文件由廣東省網(wǎng)絡空間安全標準化技術委員會歸口。本文件起草單位：廣東省信息安全測評中心、廣東安絡司法鑒定所、廣東外語外貿大學、廣州華南 信息安全測評中心、東莞市公共資源交易中心。本文件主要起草人：陳寧、駱林勇、王輝、王文佳、王常吉、袁毅鳴、李虹、李俊華、崔順艷、鄧 思賢、謝柏林、宋瑯靖、鄧艷利、洪松遠、何文婷、黃志強、鄺建、張新猛、邢靜、黃珊珊。II引言信息化建設已經進入深度應用階段，信息系統(tǒng)所面臨的安全風險逐步由物理、網(wǎng)絡、主機、應用等層面向業(yè)務層面發(fā)展，給信息系統(tǒng)內部風險管理帶來極大挑

3、戰(zhàn)，尤其體現(xiàn)在電子政務信息系統(tǒng)方面。組織在信息化過程中，相關人員的決策權、執(zhí)行權和監(jiān)督權映射到信息系統(tǒng)中產生電子業(yè)務權力和電子技術權力。業(yè)務是否合規(guī)、電子權力是否控制有效直接影響信息系統(tǒng)內部風險管理及職權電子化的成效。 內部風險管理控制失效會給組織帶來不可估量的損失，如國家核心機密外泄、政府部門公信力下降和國有資產流失等。因此，建立信息系統(tǒng)內部風險管理基本要求勢在必行，是一項非常緊迫與重要的任務。信息系統(tǒng)內部風險管理的目的是為了加強組織內部對線下業(yè)務和線上業(yè)務風險的管理，有效防控信 息系統(tǒng)業(yè)務風險，提高信息系統(tǒng)建設與管理的規(guī)范性、科學性，以及信息化對業(yè)務管理的支撐和流程控 制能力，最大程度減少

4、人為操縱因素，確保業(yè)務、權力及信息系統(tǒng)的安全穩(wěn)定運行。本文件綜合運用信息安全相關法律法規(guī)、標準規(guī)范和內審內控方法，將信息系統(tǒng)內部風險管理措施 涉及的內控理論和控制活動貫穿于信息系統(tǒng)建設、管理與運營全過程，對組織業(yè)務與信息系統(tǒng)業(yè)務流程 一致性，業(yè)務流程中業(yè)務活動控制、留痕、人員權力賦予、權力運行過程的風險進行控制，解決信息安 全中由于人員行為不可控的因素導致的內部安全問題。融等重要行業(yè)和領域信息系統(tǒng)內部風險控制體系建設和實施的參考標準。III本文件可以作為政府部門、履行行政管理職能的事業(yè)單位和國有企業(yè)等網(wǎng)絡運營者的信息化建設和 信息系統(tǒng)內部風險管理控制體系建設的主要依據(jù)，也可以作為通信和信息服務

5、、能源、交通、水利、金DB44/T 23752022DB44/T 23752022信息系統(tǒng)內部風險管理基本要求范圍本文件規(guī)定了信息系統(tǒng)內部風險管理的術語和定義、原則及要求。本文件適用于政府部門、履行行政管理職能的事業(yè)單位和國有企業(yè)等網(wǎng)絡運營者，對自身的信息系 統(tǒng)內部風險管理情況進行內部審查，也適用于監(jiān)管單位、第三方審查機構對上述組織進行外部審查，其 他組織可參考執(zhí)行。審查結果可作為組織內部信息化建設和信息系統(tǒng)內部風險管理體系建設的參考依據(jù)。規(guī)范性引用文件本文件沒有規(guī)范性引用文件。術語和定義下列術語和定義適用于本文件。信息系統(tǒng)內部風險管理 basic requirements for inter

6、nal risk management in information system指導和控制組織對內部信息系統(tǒng)風險開展相關協(xié)調活動，并管理不確定性，以確保組織業(yè)務目標的 一致性。職權電子化 electronization of authority以職權為對象，利用信息技術手段將職權運行的部分或全部過程實現(xiàn)電子化。職權電子化既是職權 實現(xiàn)電子化的過程，又是職權在網(wǎng)絡空間中以另一種形態(tài)存在的表現(xiàn)形式。線下職權 offline authority國家法律、法規(guī)賦予的組織職權，是由上級組織依法依規(guī)授權下級業(yè)務部門、責任崗位和人員，依 照法定程序履行的權力職責。線上職權 online authority

7、國家法律、法規(guī)賦予的組織職權，通過信息化建設映射到信息系統(tǒng)中，形成對應的電子崗位、職權 賬號和權限。電子權力 electronical authority線下職責權限在信息系統(tǒng)中的映射或嵌入，包括電子業(yè)務權力和電子技術權力。電子業(yè)務權力 electronical business authority線下業(yè)務崗位的職責權限在信息系統(tǒng)中的映射或嵌入。1電子技術權力 electronical technology authority崗位角色權力電子化時洐生的一種權限，即對支撐業(yè)務運行的計算機網(wǎng)絡系統(tǒng)涉及的一系列管理權、 控制權和知情權，它具有對電子業(yè)務間接的管理權限。電子崗位 electronica

8、l post根據(jù)線下人員崗位角色權力電子化的要求在信息系統(tǒng)中設立的與線下崗位相對應的虛擬崗位以及實際存在于信息系統(tǒng)及其相關支撐設備中的對應賬號與角色。電子技術崗 electronical technical post線下技術崗在信息系統(tǒng)中的映射或嵌入，具有對承載信息系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡 與網(wǎng)絡安全設備、物理機房等設施的管理、運維、操作、監(jiān)控等職權。電子業(yè)務管理崗 electronical business management post線下業(yè)務管理崗在信息系統(tǒng)中的映射或嵌入，具有業(yè)務流程的設計建立、合規(guī)監(jiān)督和業(yè)務檔案管理 等職權。電子人事崗 electronical perso

9、nnel post線下人事崗在信息系統(tǒng)中的映射或嵌入，具有職權電子化后的線上人事架構的設定、人員的任免， 人員業(yè)務賬號及權限的初始化管控等職權。電子財務崗 electronical finance post線下財務崗在信息系統(tǒng)中的映射或嵌入，具有職權電子化后的線上財務審批和管理等職權。電子監(jiān)察審計崗 electronical supervision and audit post線下監(jiān)察審計崗在信息系統(tǒng)中的映射或嵌入，具有電子監(jiān)察、數(shù)據(jù)流歸檔與審計、監(jiān)督線上與線下 業(yè)務的一致性和業(yè)務流程的記錄審查等職權。4 內部風險管理原則安全需求原則組織應根據(jù)其信息系統(tǒng)擔負的使命，積累的信息資產的重要性，可能

10、受到的威脅及面臨的風險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級，遵從相應等級的規(guī)范要求， 從全局上恰當?shù)仄胶獍踩度肱c效果。系統(tǒng)方法原則按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關聯(lián)的層面和過程，采用管理和技術相結合的 方法，提高實現(xiàn)安全保障目標的有效性和效率。依法管理原則2信息安全管理工作主要體現(xiàn)為管理行為，應保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理 內容合法、管理程序合法。對安全事件的處理，應依法適時發(fā)布準確一致的有關信息，避免帶來不良的 社會影響。 權力制衡原則對特定職能崗位或責任領域的管理功能實施職責分離和獨立審計，應確保線上職權與線下職權一一對

11、應，遵循管理、業(yè)務、技術的“三權分立”，電子業(yè)務崗負責業(yè)務運營、電子技術崗負責技術支撐、 電子監(jiān)察審計崗負責監(jiān)督審計。 權力最小化原則為避免權力過分集中所帶來的隱患，以減少未授權的修改或濫用系統(tǒng)資源的機會，任何管理、業(yè)務、 技術的崗位僅享有該崗位履行職能的最小權限。 管理與技術并重原則堅持積極防御和綜合防范，全面提高風險控制應對能力，立足國情，采用管理與技術相結合，管理 科學性和技術前瞻性相結合的方法，保障信息系統(tǒng)的安全性達到所要求的目標。 過程控制原則遵循系統(tǒng)安全工程理念，對信息系統(tǒng)全生命周期進行全過程控制，依照安全工程要求跟蹤過程、找 出偏差、分析成因、研究糾偏對策、實施糾偏措施等，確保信

12、息系統(tǒng)內部風險可管、過程可控。 持續(xù)改進原則安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生命周期。應根據(jù)業(yè)務的變化、系統(tǒng)環(huán)境的變 化、系統(tǒng)的脆弱性以及面臨的威脅等因素，及時調整現(xiàn)有安全策略、風險接受程度和安全防護措施，并 周期性的對信息系統(tǒng)安全狀態(tài)進行復查、修改和調整，以調整安全管理等級，維護和改進信息安全管理 體系。5 內部風險管理要求 總體要求本項要求主要包括：應制定信息系統(tǒng)內部風險管理的總體規(guī)劃，包含但不限于計劃安排、人員配置、資金配置等；應對總體規(guī)劃開展內部組織評審、發(fā)布、宣貫，且過程記錄完整、可讀；宜以信息技術為支撐，積極推進職權電子化，結合實際業(yè)務工作開展風險管理；應積極推進內部

13、事務職權電子化進程，采用信息技術手段對組織內部的人、財、物管理等權力的使用進行監(jiān)管；應建立完善的信息系統(tǒng)管理風險評估與控制程序，包括但不限于風險識別、風險定級、風險處置、風險例外處置策略等；應配合業(yè)務主管部門、監(jiān)管部門對組織開展信息系統(tǒng)內部風險管理落實情況的監(jiān)督檢查工作。 合規(guī)性要求本項要求主要包括：3應符合國家網(wǎng)絡安全相關法律法規(guī)及標準要求；應建立健全組織法規(guī)庫，形成法規(guī)要求的業(yè)務流程及業(yè)務關鍵控制點清單；應對信息系統(tǒng)內部風險管理涉及的相關法律法規(guī)及標準要求進行梳理，形成合規(guī)性要求列表；應按照相關法規(guī)及標準要求設定電子崗位；應按照相關法規(guī)及標準要求設定信息系統(tǒng)的業(yè)務流程；應按照相關法規(guī)及標準

14、要求設定信息系統(tǒng)的業(yè)務關鍵控制點；宜采用自主安全的信息技術、服務及產品建設信息系統(tǒng)。 職權電子化管理要求本項要求主要包括：應明確職權電子化過程中的對應關系(見附錄 A)，確定線上職權與線下職權在組織中的崗位職責、業(yè)務流程和賬號權限等方面獲得準確映射或嵌入；應設立電子業(yè)務管理崗，負責信息系統(tǒng)的業(yè)務功能、業(yè)務流程、訪問方式、權限等設定，監(jiān)控業(yè)務的正常運行，避免業(yè)務崗位之間存在越權或繞權；應設立電子人事崗，負責信息系統(tǒng)的組織架構、業(yè)務部門、責任崗位、人員賬號初始化等人事信息的設定，監(jiān)控人事信息的非法變動；應設立電子財務崗，負責財務信息系統(tǒng)電子業(yè)務權力的行使；應設立電子監(jiān)察審計崗，負責監(jiān)督、審查電子業(yè)

15、務權力和電子技術權力的行使，避免電子業(yè)務管理崗、電子人事崗、電子財務崗、電子技術崗參與業(yè)務運作，確保各崗位獨立運行，排除崗位間相互干預及隱患；應對職權電子化后的電子崗位進行權限設計，建立電子崗位權限清單；應明確電子崗位角色權力事項名稱、內容、行使主體、法律法規(guī)制度依據(jù)、監(jiān)督方式等；應依據(jù)法規(guī)要求建立職權電子化控制流程，形成電子崗位的權責不兼容矩陣，固化電子崗位權限運行流程；應根據(jù)決策、執(zhí)行、監(jiān)督互為獨立的原則進行分崗分責，實現(xiàn)同一業(yè)務不同崗位、同一流程不同環(huán)節(jié)的相互制約，重點滿足業(yè)務部門與技術部門的權責分離；宜建立職權電子化需求編制與變更的評審機制，確保職權電子化過程得到有效控制，包括職權電子

16、化的需求提出、審核、審批等各個環(huán)節(jié)，并實現(xiàn)全程留痕；應建立全程留痕機制，留痕內容應包括但不限于可研報告、立項書、招投標文件、系統(tǒng)概設與詳設文檔、開發(fā)人員保密協(xié)議承諾、測試報告、系統(tǒng)功能說明、系統(tǒng)操作維護手冊、驗收文檔等相關審批情況與文檔記錄。 電子權力運行管理要求本項要求主要包括：應對信息系統(tǒng)開展上線前的風險評估，評估范圍包括但不限于信息系統(tǒng)自身、網(wǎng)絡設備、安全設備、數(shù)據(jù)處理全流程等，評估內容包括但不限于法律合規(guī)、邏輯設計、編碼漏洞、網(wǎng)絡安全風險、數(shù)據(jù)安全風險等；應建立電子業(yè)務權力崗位角色與權限清單，包括但不限于業(yè)務部門、電子業(yè)務崗位、電子業(yè)務崗位人員、電子業(yè)務賬號、電子職責等；應建立電子技術

17、權力崗位角色與權限清單，包括但不限于業(yè)務部門、電子技術崗位、電子技術崗位人員、系統(tǒng)平臺賬號、電子職責等；應建立電子業(yè)務權力運行流程圖，包括但不限于業(yè)務受控因素、業(yè)務流全過程、業(yè)務節(jié)點輸入輸出信息、業(yè)務節(jié)點對應電子崗位等；4應建立電子技術權力運行流程圖，包括但不限于業(yè)務信息存儲和訪問的流程、業(yè)務對應的應用模塊、信息平臺對應電子技術崗位、主機設備架構、主機對應的電子技術崗位、網(wǎng)絡及網(wǎng)絡設備架構、網(wǎng)絡對應的電子技術崗位、監(jiān)督系統(tǒng)等；應識別電子業(yè)務權力運行風險點，包括但不限于權限設置不合理、無明確的權力保管要求、誤操作、用戶操作抵賴、職責不清、職責未有效分離、繞權、越權等風險；應識別電子技術權力運行風

18、險點，包括但不限于職責不清、職責未有效分離、權力無明確保管要求、重要參數(shù)和策略設置不合理、業(yè)務系統(tǒng)安裝及更新維護管理不規(guī)范、安全維護不規(guī)范、數(shù)據(jù)維護和備份管理不規(guī)范、沒有例外的處理機制、運維操作無審計、無主機自身的安全保障機制、主機不可用等風險；應建立電子權力運行風險點列表，包括但不限于業(yè)務部門、電子崗位、賬號信息、權力對應的業(yè)務流程節(jié)點、風險編號、風險描述、控制目標等信息；應對電子權力運行風險進行分析，明確風險點、風險控制目標、現(xiàn)有控制措施、風險評價結果、風險描述、風險嚴重程度、殘余風險分析結果等信息，并提出風險控制措施；應建立有效的電子權力行使主體身份的識別、驗證與管理機制，包括唯一性識別

19、、多因素認證以及安全性管理；應對電子權力運行全過程進行監(jiān)控，包括權力行使主體、時間、內容、結果等；宜建立電子權力運行預警與處置機制，實現(xiàn)電子權力管理風險的事前提醒、事中監(jiān)督和事后追溯；宜對時效性要求高的重要電子權力承載主體，建立相應的機制，保障權限運行的連續(xù)性；應采用規(guī)劃、設計和技術手段限制或消除特權電子權力的運行；應對電子權力運行情況進行定期審計，審計范圍應涵蓋電子業(yè)務權力運行情況與電子技術權力運行情況，具體內容應包含操作主體、事件、操作內容、合規(guī)性情況、異常信息等；應建立電子權力運行全過程留痕與追溯機制，增強關鍵日志的可讀性，實現(xiàn)重要數(shù)據(jù)更改的日志報警，留痕信息保留限期應符合相關法律法規(guī)要

20、求；宜對承載電子權力運行的主體變更建立完整的變更控制程序、流程和記錄，并保留變更控制相關記錄；宜對重要電子業(yè)務權力運行主體保留原始主體及其變更主體源代碼的完整記錄。 敏感數(shù)據(jù)保護要求本項要求主要包括：應依法建立數(shù)據(jù)分類分級規(guī)范，確定組織的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護；應對敏感數(shù)據(jù)進行標識，形成敏感數(shù)據(jù)資產列表，不限于公民個人、公共管理、信息傳播、行業(yè)領域、組織經營等維度數(shù)據(jù)；應加強數(shù)據(jù)安全風險監(jiān)測，識別數(shù)據(jù)安全缺陷、漏洞等風險，對重要數(shù)據(jù)的數(shù)據(jù)處理活動定期開展風險評估，并向有關主管部門報送風險評估報告；應建立健全全流程數(shù)據(jù)安全管理制度，明確數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安

21、全保護責任；應采取技術措施保護數(shù)據(jù)全生命周期各階段的數(shù)據(jù)安全，對敏感數(shù)據(jù)變更、數(shù)據(jù)高風險操作和敏感數(shù)據(jù)訪問進行全流程管控和審計；宜采用密碼技術保障數(shù)據(jù)的機密性、完整性、可用性、真實性、不可否認性等屬性不受侵害；可利用數(shù)據(jù)資產管理、數(shù)據(jù)安全管控、數(shù)據(jù)安全威脅感知等技術對數(shù)據(jù)資產的安全屬性進行有效監(jiān)管。5 持續(xù)改進機制要求本項要求主要包括：應圍繞信息系統(tǒng)內部風險管理工作，在組織內部建立自查、互查等完善的督查機制；應每年定期對信息系統(tǒng)內部風險管理開展自評估，根據(jù)評估結果整改并修訂內部控制策略；應每年定期對信息系統(tǒng)內部風險管理落實情況進行檢查；應積極開展對業(yè)務主管部門、監(jiān)督檢查部門以及內部檢查工作中發(fā)

22、現(xiàn)的信息系統(tǒng)內部風險管理控制缺陷的評估與處置；應指定相關業(yè)務部門和人員負責組織的信息系統(tǒng)內部風險管理評估工作，并負責風險的處置；應定期開展信息系統(tǒng)內部風險管理工作的監(jiān)督檢查，并向有關主管部門報送監(jiān)督檢查結果；應定期對重要的錄入數(shù)據(jù)或原始數(shù)據(jù)進行完整性、可用性和真實性審計；應定期對重大電子權力的運行操作進行稽核；應定期對內控例外策略的執(zhí)行情況進行檢查；宜在內外部環(huán)境、業(yè)務活動或管理要求發(fā)生重大變化時組織開展檢查，并對發(fā)現(xiàn)的問題予以改進；應不定期委托第三方機構對自身信息系統(tǒng)內部風險管理工作進行評估，評估報告應作為本單位建立責任制考核的參考。 宣傳與培訓要求本項要求主要包括：并做好資料歸檔；b) 應不定期的組織人員參加相關專業(yè)的繼續(xù)教育，重要崗位人員應持有國家相關網(wǎng)絡安全專業(yè)認證證書。6a) 應定期開展信息系統(tǒng)內部風險管理的教育、培訓和宣傳活動，