DB4403/T 437-2024 多功能智能杆 信息系统安全管理规范

ICS35.030

CCSL70

DB4403

深圳市地方标准

DB4403/T437—2024

多功能智能杆信息系统安全管理规范

Multifunctionalsmartpole—Informationsystemsecuritymanagement

specification

2024-04-09发布2024-05-01实施

深圳市市场监督管理局发布

DB4403/T437—2024

目次

前言..................................................................................................................................................................II

1范围..............................................................................................................................................................1

2规范性引用文件.........................................................................................................................................1

3术语和定义.................................................................................................................................................1

4信息系统安全管理的原则、策略、内容和制度.....................................................................................2

4.1信息系统安全管理原则.....................................................................................................................2

4.2信息系统安全管理策略.....................................................................................................................3

4.3信息系统安全管理内容.....................................................................................................................4

4.4信息系统安全管理制度.....................................................................................................................4

5机构建设和人员管理.................................................................................................................................5

5.1建立安全管理机构.............................................................................................................................5

5.2信息系统安全领导小组.....................................................................................................................5

5.3信息系统安全职能部门.....................................................................................................................6

5.4安全管理人员配备.............................................................................................................................6

5.5关键岗位人员管理.............................................................................................................................6

5.6人员录用管理......................................................................................................................................6

5.7人员离岗管理......................................................................................................................................7

5.8人员考核与审查..................................................................................................................................7

5.9人员教育和培训..................................................................................................................................7

6风险管理和控制.........................................................................................................................................8

6.1风险管理要求......................................................................................................................................8

6.2风险管理策略......................................................................................................................................8

6.3风险分析..............................................................................................................................................8

6.4风险评估..............................................................................................................................................9

6.5风险控制..............................................................................................................................................9

6.6安全确认............................................................................................................................................10

7运维和服务管理.......................................................................................................................................10

7.1运维环境管理....................................................................................................................................10

7.2服务资源管理....................................................................................................................................12

7.3用户管理............................................................................................................................................15

7.4运行操作管理....................................................................................................................................16

7.5运行维护管理....................................................................................................................................19

7.6外包服务管理....................................................................................................................................22

7.7机制管理和安全管理.......................................................................................................................22

7.8业务连续性管理...............................................................................................................................27

I

DB4403/T437—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

本文件由深圳市工业和信息化局提出并归口。

本文件起草单位：深圳市脉山龙信息技术股份有限公司、深圳市洲明科技股份有限公司、深圳

市信息基础设施投资发展有限公司、北京天融信网络安全技术有限公司、金砖国家未来网络研究院

(中国·深圳)、深圳大学、深圳市震有智联科技有限公司、信安软件测评认证中心（深圳）有限公

司。

本文件主要起草人：李海燕、陈铎航、王玉、林奕康、陈政浩、汪书福、林洺锋、陈晓宁、张

帆、黄永衡、许亚萍、陈挺、江魁、刘向华、王先峰、张金钟、马龙彪、宋建民、陈希、张勇、白

莹杰、杨彪。

II

DB4403/T437—2024

多功能智能杆信息系统安全管理规范

1范围

本文件规定了多功能智能杆信息系统安全管理的原则、策略、内容和制度、机构建设和人员管

理、风险管理和控制、运维和服务管理。

本文件适用于指导多功能智能杆信息系统安全管理工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用

文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）

适用于本文件。

GB/T20271—2006信息安全技术信息系统通用安全技术要求

GB/T25069—2022信息安全技术术语

GB50016—2014建筑设计防火规范

3术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。

3.1

完整性integrity

数据、系统或信息在存储、传输和处理过程中保持无误、不受损坏、不受篡改的状态。

注：包括数据完整性和系统完整性；数据完整性，数据在存储、传输和处理过程中保持准确、完整和可信的状

态；系统完整性，系统在非授权用户修改或使用资源和授权用户不正确地修改或使用资源的情况下，保持

正常可靠运行的状态。

3.2

可用性availability

表征数据或系统根据授权实体的请求可被访问与使用程度的属性。

3.3

访问控制accesscontrol

按确定的规则防止对资源的未授权使用，对实体之间的访问活动进行控制的安全机制。

3.4

安全审计securityaudit

按确定规则的要求，对与安全相关的事件进行审计，以日志方式记录必要信息，并作出相应处

理的安全机制。

3.5

鉴别信息authenticationinformation

确认系统中身份真实性过程的信息。

3.6

风险评估riskassessment

1

DB4403/T437—2024

对信息系统所面临的威胁、存在的弱点、造成的影响以及对信息系统处理、传输和存储信息的

保密性、完整性（3.1）和可用性（3.2）等进行科学识别和评价，确定信息系统面临风险可能性的

过程。

3.7

安全策略securitypolicy

为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。

4信息系统安全管理的原则、策略、内容和制度

4.1信息系统安全管理原则

4.1.1安全需求原则

组织机构根据信息系统担负的任务，积累的信息资产，可能受到的威胁及面临的风险，按照信

息系统等级保护要求，确定相应信息系统的安全保护等级；按照相应安全保护等级的要求，合理投

入和分配安全资源。

4.1.2领导负责原则

组织机构领导确立信息安全保障的宗旨和政策，负责提高所有工作人员的安全意识，组织有效

安全保障队伍，调动并优化配置安全资源，协调安全管理工作与各部门的工作。

4.1.3全员参与原则

组织机构信息系统安全小组的所有工作人员参与信息系统的安全管理，并与外部组织机构协同、

协调，共同保障信息系统安全。

4.1.4系统方法原则

按照系统工程的要求，识别和分析信息系统安全保障相互关联的要素和过程，采用管理和技术

结合的方法，提高信息安全管理系统的有效性和效率。

4.1.5持续改进原则

及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改和调整，达到提升安全管

理等级，维护和持续改进信息安全管理体系有效性的目的。

4.1.6合规管理原则

信息安全管理工作管理主体合规、管理行为合规、管理内容合规和管理程序合规，构建和管理

一个完整、高效、可用和可扩展的信息安全管理系统。

4.1.7管理权限原则

对信息安全管理系统特定职能或责任部门的管理，实施部门分离、准入审批、独立审计的管理

原则，避免权力过分集中所带来的隐患，防止未授权的修改或滥用系统资源的行为。

4.1.8分级保护原则

2

DB4403/T437—2024

按等级划分标准确定信息系统的安全保护等级，实行分级保护；对多个子系统构成的大型信息

系统，确定系统的基本安全保护等级，并根据实际安全需求，分别确定各子系统的安全保护等级，

实行多级安全保护。

4.1.9管理与技术并重原则

采用管理与技术相结合、管理科学性与技术前瞻性相结合的方法，保障信息系统的安全性。采

用新技术时，分析新技术成熟的程度，并首先局部试点然后逐步推广，以减少或避免可能出现的失

误。

4.2信息系统安全管理策略

4.2.1信息系统安全管理策略类型

根据多功能智能杆不同的网络安全等级保护要求，应至少选择下列安全管理策略中的一项：

a)基本的安全管理策略；

b)完整的安全管理策略；

c)体系化的安全管理策略；

d)强制保护的安全管理策略；

e)专控保护的安全管理策略。

4.2.2基本的安全管理策略

基本的信息系统安全管理策略，包括：

a)依据技术标准和管理标准进行自主保护；

b)阐明管理者对信息系统安全的承诺，并陈述组织机构管理信息系统安全的方法；

c)说明信息系统安全的总体目标、范围和安全框架；

d)申明支持信息系统安全目标和原则的管理意向；

e)说明对组织机构有重大意义的安全方针、原则、标准和符合性要求。

4.2.3完整的安全管理策略

完整的安全管理策略，包括：

a)在信息系统安全监管职能部门的指导下，依据技术标准和管理标准自主进行保护；

b)明确划分信息系统或分系统的安全保护等级；

c)制定风险管理策略、业务连续性策略、安全培训与教育策略和审计策略。

4.2.4体系化的安全管理策略

体系化的安全管理策略，包括：

a)在接受信息系统安全监管职能部门监督、检查的前提下，依据技术标准和管理标准自主进

行保护；

b)制定目标策略、规划策略、机构策略、人员策略、管理策略、安全技术策略、控制策略、

生存周期策略、投资策略和质量策略。

4.2.5强制保护的安全管理策略

强制保护的安全管理策略，包括：

a)在接受信息系统安全监管职能部门的强制监督、检查的前提下，依据技术标准和管理标准

自主进行保护；

3

DB4403/T437—2024

b)制定体系完整的信息系统安全管理策略。

4.2.6专控保护的安全管理策略

专控保护的安全管理策略，包括：

a)在接受专门部门和机构的监督下，依据技术标准和管理标准自主进行保护；

b)制定可持续改进的信息系统安全管理策略。

4.3信息系统安全管理内容

信息系统安全管理包括但不限于以下要求：

a)落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划；

b)开发安全策略；

c)实施风险管理；

d)制定业务持续性计划和灾难恢复计划；

e)选择与实施安全措施；

f)确保配置、变更的正确与安全；

g)进行安全审计；

h)确保维护支持；

i)进行监控、检查，处理安全事件；

j)安全意识与安全教育；

k)人员安全管理。

4.4信息系统安全管理制度

4.4.1信息系统安全管理制度类型

根据多功能智能杆不同的网络安全等级保护要求，应至少选择以下安全管理制度中的一项：

a)基本的安全管理制度；

b)完整的安全管理制度；

c)体系化的安全管理制度；

d)强制保护的安全管理制度；

e)专控保护的安全管理制度。

4.4.2基本的安全管理制度

应从安全组织、安全责任、访问控制、系统设计、系统建设、系统验收、系统运维、应急处置、

人员管理、文件档案管理、审核检查等方面规范各项网络安全管理工作；应对多功能智能杆的管理

平台、移动互联、挂载设备和公共数据安全管理活动中的各类管理内容制定安全管理制度。

4.4.3完整的安全管理制度

应制定人员安全管理规定、安全审计管理规定、用户管理规定、风险管理规定、信息分类分级

管理规定、安全事件报告规定、事故处理规定、应急管理规定和灾难恢复管理规定。

4.4.4体系化的安全管理制度

4.4.4.1应制定机房、主机设备、网络设施、硬件设施分类标记等系统资源安全管理规定。

4.4.4.2应制定安全配置、系统分发和操作、系统文档、测试和脆弱性评估、系统信息安全备份和

相关的操作规程等系统和数据库方面的安全管理规定。

4

DB4403/T437—2024

4.4.4.3应制定系统互联评估、网络使用授权、网络检测、网络设施设备和协议的变更控制和相关

的操作规程等方面的网络安全管理规定。

4.4.4.4应制定系统安全评估、应用系统使用授权、应用系统配置管理、应用系统文档管理和相关

的操作规程等方面的应用安全管理规定。

4.4.4.5应制定人员安全管理、安全意识与安全技术教育、操作安全、操作系统和数据库安全、系

统运行记录、病毒防护、系统维护、网络互联、安全审计、安全事件报告、事故处理、应急管理、

灾难恢复和相关的操作规程等方面的运行安全管理规定。

4.4.4.6应制定信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批管

理、第三方访问控制和相关的操作规程等方面的信息安全管理规定。

4.4.5强制保护的安全管理制度

应制定信息保密标识与管理规定、密码使用管理规定、安全事件例行评估和报告规定、关键控

制措施定期测试规定。

4.4.6专控保护的安全管理制度

应对多功能智能杆信息系统安全管理中特定信息或资产，采取专门的控制和保护措施，并制定

安全管理审计监督规定。

5机构建设和人员管理

5.1建立安全管理机构

建立安全管理机构满足以下要求：

a)管理层中应有一人分管信息系统安全工作，并为信息系统的安全管理配备专职或兼职的安

全管理人员；

b)应建立管理信息系统安全工作的职能部门，或明确指定一个职能部门兼管信息安全工作，

作为该部门的关键职责之一；

c)应在管理层成立信息系统安全管理委员会或信息系统安全领导小组，对覆盖全国或跨地区

的组织机构，应在总部和下级部门建立各级信息系统安全领导小组，在基层至少应有一位

专职的安全管理人员负责信息系统安全工作；

d)应由组织机构的主要负责人担任信息系统安全领导小组负责人；

e)应建立信息系统安全保密监督管理的职能部门，或对原有保密部门明确信息安全保密管理

责任，加强对信息系统安全管理重要过程和管理人员的保密监督管理。

5.2信息系统安全领导小组

信息系统安全领导小组满足以下要求：

a)履行安全管理的领导职能，包括：

1)批准组织机构信息系统的安全策略和发展规划；

2)确定各有关部门在信息系统安全工作中的职责，领导安全工作的实施；

3)监督安全措施的执行，并对重要安全事件的处理进行决策；

4)指导和检查信息系统安全职能部门及应急处理小组的各项工作；

5)建设和完善信息系统安全集中管控的组织体系和管理机制。

b)对保密管理部门进行有关信息系统安全保密监督管理方面的指导和检查。

5

DB4403/T437—2024

5.3信息系统安全职能部门

信息系统安全职能部门在信息系统安全领导小组领导下，负责组织机构信息系统安全的具体工

作，至少应行使以下管理职能之一：

a)履行基本的安全管理职能，包括：

1)起草组织机构信息系统的安全策略和发展规划；

2)管理组织机构信息系统安全日常事务，检查和指导下级部门信息系统安全工作；

3)负责安全措施的实施或组织实施，组织并参加对安全重要事件的处理；

4)监控信息系统安全总体状况，制定安全分析报告；

5)指导和检查各部门和下级部门信息系统安全人员及要害岗位人员的信息系统安全工作；

6)与外部组织机构共同组成应急处理小组或在内部组织机构建立应急处理小组，实施相

关应急处理工作。

b)履行集中的安全管理职能，包括：

1)管理信息系统安全机制集中管理机构的各项工作，实现信息系统安全的集中控制管理；

2)完成信息系统安全领导小组交办的工作，并向领导小组报告组织机构的信息系统安全

工作。

5.4安全管理人员配备

安全管理人员配备满足以下要求：

a)配备兼职安全管理人员，网络管理人员允许兼职安全管理人员，兼职安全管理人员不应同

时兼任系统管理员和数据库管理员等；

b)配备专职安全管理人员，专职安全管理人员应具有安全管理工作权限和能力；

c)关键部位的安全管理人员，应按照机要人员条件配备。

5.5关键岗位人员管理

关键岗位人员管理满足以下要求：

a)基本要求，包括：

1)应对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系

统维护人员、重要业务应用操作人员等信息系统关键岗位人员进行统一管理；

2)业务应用操作人员不应由其他关键岗位人员兼任；

3)关键岗位人员应定期接受安全培训。

b)兼职和轮岗要求，包括：

1)业务开发人员和系统维护人员不应兼任或担任安全管理员、系统管理员、数据库管理

员、网络管理员、重要业务应用操作人员等岗位或工作；

2)关键岗位人员应采取定期轮岗制度。

c)权限分散要求，应坚持关键岗位人员“权限分散、不应交叉覆盖”的原则，系统管理员、

数据库管理员、网络管理员不应相互兼任岗位或工作；

d)多人共管要求，关键岗位人员处理重要事务或操作时，应保持二人同时在场，关键事务应

多人共管；

e)全面控制要求，应采取对内部人员全面控制的安全保障措施，对所有岗位工作人员实施全

面安全管理。

5.6人员录用管理

人员录用管理满足以下要求：

6

DB4403/T437—2024

a)人员录用的基本要求，包括：

1)对应聘者进行审查，应聘者具有基本的专业技术水平，接受过安全意识教育和培训，

应掌握安全管理基本知识；

2)对信息系统关键岗位的人员还应注重思想品质方面的考察。

b)人员的审查与考核，应由组织机构人事部门进行人员背景、资质审查和技能考核等，合格

者还应签署保密协议方可上岗；安全管理人员应具有基本的系统安全风险分析和评估能力；

c)人员的内部选拔，重要区域或部位的安全管理人员应从内部符合条件的人员中选拔，应做

到认真负责和保守秘密；

d)人员的可靠性，关键区域或部位的安全管理人员应按机要人员条件配备。

5.7人员离岗管理

人员离岗管理满足以下要求：

a)离岗的基本要求，包括：

1)立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限；

2)收回所有相关证件、徽章、密钥、访问控制标记；

3)收回机构提供的设备。

b)调离后的保密要求，管理层和信息系统关键岗位人员调离岗位，应经组织机构人事部门办

理调离手续，承诺调离后的保密要求；

c)离岗的审计要求，涉及组织机构管理层和信息系统关键岗位的人员调离本部门，应进行离

岗安全审查，在规定的脱密期限后，方可调离；

d)关键部位人员的离岗要求，关键部位的信息系统安全管理人员离岗，应按照机要人员管理

办法办理。

5.8人员考核与审查

人员考核与审查满足以下要求：

a)定期的人员考核，应对各个岗位的人员定期进行不同重点的安全知识和安全技能的考核；

b)定期的人员审查，应对关键岗位人员，定期进行审查；

c)管理有效性的审查，应对关键岗位人员的工作，通过例行考核进行有效性审查，并保留审

查结果；

d)全面严格的审查，应对所有安全岗位人员的工作，通过全面考核进行审查。

5.9人员教育和培训

人员教育和培训满足以下要求：

a)应对信息系统所有工作人员进行“应知应会”教育和培训，内容包括信息安全意识培训、

信息安全技术培训、信息安全风险评估和防范培训、信息安全应急预案培训、信息系统安

全审计培训、信息系统漏洞扫描和防范培训、信息系统安全事件处理培训和信息安全法律

法规和标准培训等；

b)应制定并实施安全教育和培训计划，包括年度培训、季度培训和月度培训，以确保所有工

作人员随时掌握最新的安全知识和技能；