ICS 35.040 L 70 备案号：52651-2017 内 蒙 DB 15 古 自 治 区 地 方 标 准 DB15/T 1106—2017 信用信息安全管理规范 Management specification for credit information safety 2017-01-05 发布 内蒙古自治区质量技术监督局 2017-04-05 实施 发 布 DB15/T 1106—2017 目 次 前 言 .............................................................................. II 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 基本要求 .......................................................................... 1 5 安全事故管理 ...................................................................... 3 6 应急处置 .......................................................................... 4 I DB15/T 1106—2017 前 言 本标准按照GB/T 1.1—2009给出的规则起草。 本标准由内蒙古自治区社会信用管理中心提出。 本标准由内蒙古自治区发展和改革委员会归口。 本标准起草单位：内蒙古自治区社会信用管理中心（内蒙古自治区信用征信中心）、内蒙古自治区 标准化院。 本标准的主要起草人：商显刚、乌尼特、刘默、张婕、贾向春。 II DB15/T 1106—2017 信用信息安全管理规范 1 范围 本标准规定了信用信息安全管理中的安全机构、安全岗位设置、人员安全、信息载体安全、物理和 环境安全、策略安全、操作安全管理、访问控制、信息系统的获取、开发和维护及应急处置。 本标准适用于信用信息安全管理活动。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22117 信用 基本术语 DB15/T 1110—2017 信用信息征集与应用术语 DB15/T 1109—2017 信用信息系统运行维护管理规范 3 术语和定义 GB/T 22117、DB15/T 1110—2017 《信用信息征集与应用术语》界定的以及下列术语和定义适用于 本文件。 3.1 信息载体 存储信用信息、内部资料以及重要公文等材料的硬盘、存储卡、U盘、工作手持终端、光盘、录音 笔等。 4 基本要求 4.1 安全机构 本项目要求包括： a) 应建立信用信息安全机构，制定机构目标； b) 应制定信息安全的协调机制，保证信用信息安全流转，有迹可循； c) 应定义对信息处理设施的管理和授权； d) 应定义并定期评审机构制定的保密或非扩散协议，该协议反应安全机构对于信息保护的要求； e) 应对信息的分类与标识做出规定，并对信息的使用、存储、传输、保存介质、处理办法进行规 范化管理。 1 DB15/T 1106—2017 4.2 安全岗位设置 应按照“分工负责、职责明确、最小授权和任期有限”的原则对信息安全岗位的人员进行管理： a) 应成立指导和管理信息安全工作的领导小组，其最高领导由单位主管领导委任或授权； b) 应明确定义机构中各岗位的安全职责； c) 应制定文件明确安全管理机构的各个部门和岗位的职责、分工和技能要求； d) 应配备专职安全管理员，不应兼任； e) 关键安全岗位应配备多人共同管理。 4.3 人员安全 人员的录用、培训教育、离职等应按照DB15/T ****—****《信用信息系统运行维护管理规范》中 的规定进行管理，此外，本项目还应包括： a) 管理者应要求所有员工、参建单位、运维单位以及信息使用单位采取符合部门已经建立的安全 策略和安全管理制度； b) 各部门应对所有员工、参建单位、运维单位以及信息使用单位进行适当的安全意识培训，定期 更新相关部门的安全策略和安全管理制度； c) 应建立一个正式的涉密人员违反安全管理的惩戒制度； d) 岗位变更人员应履行职责变更手续，移交原岗位资产、信息访问、信息处理等权限，或根据变 化进行调整，记录并归档； e) 所有在职员工应签信息安全保密责任书。 4.4 信息载体安全 本项目要求包括： a) 应识别所有信息资产设施，编制保存信息载体资产清单； b) 所有信息及信息处理设施有关的资产应由组织制定的部门或人员负责； c) 应按照信息的敏感程度和关键程度进行分类管理，划分存储信息的密级级别和保密期限； d) 应识别信息及与信息处理设施有关的资产有效使用准则，根据信息载体的密级级别和涉密信息 的重要性，制定信息存取授权和登记制度和工作程序； e) 信息载体的购买、发放、更换、维修、移交和销毁等均应履行登记签字手续，并存档备查； f) 移动存储介质不得外送维修，应交回指定部门统一维修；由技术处人员送至有保密资质的单位 现场监修，维修人员不应擅自读取和拷贝其存储的国家秘密信息。如涉密移动存储介质无法修 复，应按涉密载体予以销毁； g) 信息载体使用者离职离岗前，应将所保管的信息载体全部清退，并办理移交手续； h) 涉密信息载体不应降低密级使用，涉密信息载体不应通过重新格式化或删除信息等其他一切方 式作为普通存储介质使用； i) 非涉密移动存储介质不应存储任何涉密信息，非涉密移动存储载体不应连接涉密计算机，涉密 信息载体不应在与互联网相连接的计算机上使用。 2 DB15/T 1106—2017 4.5 物理和环境安全 本项目要求包括： a) 安全部门应使用安全边界来保护包含信息和信息处理设施的区域； b) 应通过适当控制对安全区域进行保护，以确保只有经过授权的人员才可以访问； c) 应建立安全工作区域和非安全工作区域的工作指南； d) 应对安全环境的设施进行安置和保护，减少外来的环境威胁和未授权访问的机会； e) 应定期检查包含存储介质的设备，以确保在销毁前所有敏感数据或授权软件已经被删除或安全 重写； f) 未经授权，不应将设备、信息或软件带离工作区域。 4.6 策略安全 本项目要求包括： a) 信息安全策略文档应经过管理层的批准，并向所有员工和外部相关方发布和沟通； b) 应定期或当发生重大变化时，对信息安全策略文档进行评审，以确保其持续的适宜性、充分性 和有效性。 4.7 操作安全管理 本项目要求包括： a) 应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安 全框架等； b) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系； c) 应分离职责和责任区域，以降低未授权访问、无意识修改和滥用部门资产的机会； d) 应分离开发、测试和运营设施，以降低未授权访问或对操作系统变更的风险； e) 应监督、调整资源的使用情况，预估未来资源容量，以确保系统性能； f) 应建立系统升级、新版本的验收准则，并在开发过程中及接收前进行适当的系统测试； g) 应实施防范恶意代码的检测、预防和恢复； h) 应制定定期备份策略，对信息和软件进行备份并定期测试； i) 应识别所有网络的安全特性、服务等级和管理要求，并体现在网络服务协议中； j) 应对可移动介质进行分类管理和授权访问； k) 应制定信息交换的管理流程，防止涉密信息或敏感信息流出安全区域； l) 应制定管理、操作、错误等日志的备份和定期分析，预防不合法操作。 4.8 访问控制 本项目要求包括： a) 应建立网络、主机、软件系统的访问策略，并根据对访问的业务和安全要求进行评审； b) 应建立注册用户和注销用户的注册注销程序，以允许和撤销对于所有信息系统和服务的访问； c) 应限制和控制特权的使用和分配； d) 应通过正式流程管理和控制口令分配； e) 管理员应定期对用户的访问权限进行评审和处理； f) 用户应只能访问经过明确授权使用的服务； g) 应使用连接时间限制以提供高风险应用程序的额外安全保障； h) 应开发并实施远程工作的策略和程序。 3 DB15/T 1106—2017 4.9 信息系统的开发和维护 本项目要求包括： a) 应验证应用系统输入的数据，以确保正确和适当； b) 应用系统中确认检查，以检测数据处理过程中的错误； c) 应确认应用系统输出的数据，以确保存储的信息的处理是正确的并与环境相适宜； d) 应选择国家推荐的符合信息保密级别的加密算法，以支持机构对密码技术的使用； e) 应编制信息系统各类文档，并建立文档安全管理制度； f) 信息系统的文档应当包含测试数据的保密要求，并加以保护和控制； g) 机构应对软件外包开发进行监控； h) 应对信息系统做安全测评，及时捕获技术漏洞，并采取适当的措施。 5 安全事故管理 本项目要求包括： a) 应建立管理职责和程序，以快速、有效和有序的响应信息安全事故； b) 应要求所有的员工、承包方和第三方用户注意并报告系统或服务中已发现或疑似的安全弱项； c) 应建立能够量化和监控信息安全事故的类型、数量、成本的机制； d) 事故发生后，应根据相关制度和法律的规定跟踪相关人员的行为，收集、保留证据，并以符合 制度、法律规定的形式提交。 6 应急处置 发生重大安全事件应上报安全机构负责人，同时针对事件影响范围可进行以下应急操作： a) 对于短时间内的大量访问操作，系统自动归类为异常访问，同时将用户 IP 列入黑名单，在一 段时期内禁止该 IP 用户访问； b) 公共征信机构通过运维监控平台进行安全监测，如遇到重大网络攻击事件，及时关闭服务保障 平台数据安全； c) 当网络流量异常时，通过流量控制系统，对网络异常流量进行检测，对发现的流量异常进行分 析、定位和隔离，及时处理异常流量终端，并做好日志和备案工作； d) 当网络内大规模病毒爆发时，对于网络中的蠕虫病毒，应采取技术手