DB37/T 3303-2018 信息安全技术 内控安全管理技术规范

ICS35.020

L70

DB37

山东省地方标准

DB37/T3303—2018

信息安全技术内控安全管理技术规范

2018-06-12发布2018-07-12实施

山东省质量技术监督局发布

DB37/T3303—2018

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由潍坊市质量技术监督局提出并归口。

本标准起草单位：潍坊市智慧潍坊建设办公室、山东省计算中心（国家超级计算济南中心）、山东

瑞宁信息技术股份有限公司、山东省经济和信息化发展研究院、山东华国信息安全技术有限公司、山东

信息协会、山东电子商会、山东正中信息技术股份有限公司。

本标准主要起草人：胡延年、李刚、汉京宁、毕建秀、周鸣乐、朱秀美、朱珊珊、李旺、冯正乾、

李波、李敏、王超逸、李强、张玉瑞、张建成、徐兵、刘波、戚元华、王玮、刘一鸣、王丽君。

本标准为首次发布。

I

DB37/T3303—2018

信息安全技术内控安全管理技术规范

1范围

本标准规定了信息安全技术中用于内控安全管理的相关技术内容。

本标准适用于提供内控安全管理服务的机构及有内控安全管理需求的用户。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1

内控安全管理internalsecuritymanagement

对组织内部IT系统的管理和维护人员（包括第三方IT外包服务人员）的运维行为进行的安全风险管

理。

3.2

应用发布机制applicationpublishingmechanism

将某些应用系统所需的客户端运维软件集中安装、部署到特定系统，实现应用软件的集中管控。

3.3

管理员Administrators

具有对IT系统管理职能的人员。根据职责不同分为运维管理员和密码管理员。运维管理员负责对IT

系统运维权限的划分与操作员的管理；密码管理员负责IT系统账号密码的管理。

3.4

审计员Auditor

负责对操作员、管理员的操作行为监督审计的人员的统称。

3.5

操作员Operator

1

DB37/T3303—2018

负责对IT系统运维的工作人员的统称。

4缩略语

下列缩略语适用于本文件。

AD活动目录（ActiveDirectory）

FTP文件传输协议（FileTransferProtocol）

HTTP超文本传输协议（HyperTextTransferProtocol）

HTTPS安全超文本传输协议（HyperTextTransferProtocoloverSecureSocketLayer）

ID标识符（IDentifier）

IP网络协议（InternetProtocol）

IT信息技术（InformationTechnology）

ITIL信息技术基础架构库(InformationTechnologyInfrastructureLibrary)

ITSS信息技术服务标准(InformationTechnologyServiceStandards)

KPI关键绩效指标（KeyPerformanceIndicator）

LDAP轻量目录访问协议（LightweightDirectoryAccessProtocol）