ICS 35.020 CCS L 70 广 44 东 省 地 方 标 准 DB44/T 2375—2022 信息系统内部风险管理基本要求 Basic requirements for internal risk management in information system 2022 - 07 - 11 发布 2022 - 10 - 11 实施 广东省市场监督管理局  发 布 DB44/T 2375—2022 目 次 前言 .................................................................................. II 引言 ................................................................................. III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 内部风险管理原则 .................................................................... 2 5 内部风险管理要求 .................................................................... 3 附录 A（资料性） 职权电子化过程中的对应关系 ............................................7 参考文献 ............................................................................... 8 I DB44/T 2375—2022 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由广东省国际问题研究中心提出并组织实施。 本文件由广东省网络空间安全标准化技术委员会归口。 本文件起草单位：广东省信息安全测评中心、广东安络司法鉴定所、广东外语外贸大学、广州华南 信息安全测评中心、东莞市公共资源交易中心。 本文件主要起草人：陈宁、骆林勇、王辉、王文佳、王常吉、袁毅鸣、李虹、李俊华、崔顺艳、邓 思贤、谢柏林、宋琅靖、邓艳利、洪松远、何文婷、黄志强、邝建、张新猛、邢静、黄珊珊。 II DB44/T 2375—2022 引 言 信息化建设已经进入深度应用阶段，信息系统所面临的安全风险逐步由物理、网络、主机、应用等 层面向业务层面发展，给信息系统内部风险管理带来极大挑战，尤其体现在电子政务信息系统方面。组 织在信息化过程中，相关人员的决策权、执行权和监督权映射到信息系统中产生电子业务权力和电子技 术权力。业务是否合规、电子权力是否控制有效直接影响信息系统内部风险管理及职权电子化的成效。 内部风险管理控制失效会给组织带来不可估量的损失，如国家核心机密外泄、政府部门公信力下降和国 有资产流失等。因此，建立信息系统内部风险管理基本要求势在必行，是一项非常紧迫与重要的任务。 信息系统内部风险管理的目的是为了加强组织内部对线下业务和线上业务风险的管理，有效防控信 息系统业务风险，提高信息系统建设与管理的规范性、科学性，以及信息化对业务管理的支撑和流程控 制能力，最大程度减少人为操纵因素，确保业务、权力及信息系统的安全稳定运行。 本文件综合运用信息安全相关法律法规、标准规范和内审内控方法，将信息系统内部风险管理措施 涉及的内控理论和控制活动贯穿于信息系统建设、管理与运营全过程，对组织业务与信息系统业务流程 一致性，业务流程中业务活动控制、留痕、人员权力赋予、权力运行过程的风险进行控制，解决信息安 全中由于人员行为不可控的因素导致的内部安全问题。 本文件可以作为政府部门、履行行政管理职能的事业单位和国有企业等网络运营者的信息化建设和 信息系统内部风险管理控制体系建设的主要依据，也可以作为通信和信息服务、能源、交通、水利、金 融等重要行业和领域信息系统内部风险控制体系建设和实施的参考标准。 III DB44/T 2375—2022 信息系统内部风险管理基本要求 1 范围 本文件规定了信息系统内部风险管理的术语和定义、原则及要求。 本文件适用于政府部门、履行行政管理职能的事业单位和国有企业等网络运营者，对自身的信息系 统内部风险管理情况进行内部审查，也适用于监管单位、第三方审查机构对上述组织进行外部审查，其 他组织可参考执行。审查结果可作为组织内部信息化建设和信息系统内部风险管理体系建设的参考依据。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 信息系统内部风险管理 basic requirements for internal risk management in information system 指导和控制组织对内部信息系统风险开展相关协调活动，并管理不确定性，以确保组织业务目标的 一致性。 职权电子化 electronization of authority 以职权为对象，利用信息技术手段将职权运行的部分或全部过程实现电子化。职权电子化既是职权 实现电子化的过程，又是职权在网络空间中以另一种形态存在的表现形式。 线下职权 offline authority 国家法律、法规赋予的组织职权，是由上级组织依法依规授权下级业务部门、责任岗位和人员，依 照法定程序履行的权力职责。 线上职权 online authority 国家法律、法规赋予的组织职权，通过信息化建设映射到信息系统中，形成对应的电子岗位、职权 账号和权限。 电子权力 electronical authority 线下职责权限在信息系统中的映射或嵌入，包括电子业务权力和电子技术权力。 电子业务权力 electronical business authority 线下业务岗位的职责权限在信息系统中的映射或嵌入。 1 DB44/T 2375—2022 电子技术权力 electronical technology authority 岗位角色权力电子化时洐生的一种权限，即对支撑业务运行的计算机网络系统涉及的一系列管理权、 控制权和知情权，它具有对电子业务间接的管理权限。 电子岗位 electronical post 根据线下人员岗位角色权力电子化的要求在信息系统中设立的与线下岗位相对应的虚拟岗位以及 实际存在于信息系统及其相关支撑设备中的对应账号与角色。 电子技术岗 electronical technical post 线下技术岗在信息系统中的映射或嵌入，具有对承载信息系统的操作系统、数据库、中间件、网络 与网络安全设备、物理机房等设施的管理、运维、操作、监控等职权。 电子业务管理岗 electronical business management post 线下业务管理岗在信息系统中的映射或嵌入，具有业务流程的设计建立、合规监督和业务档案管理 等职权。 电子人事岗 electronical personnel post 线下人事岗在信息系统中的映射或嵌入，具有职权电子化后的线上人事架构的设定、人员的任免， 人员业务账号及权限的初始化管控等职权。 电子财务岗 electronical finance post 线下财务岗在信息系统中的映射或嵌入，具有职权电子化后的线上财务审批和管理等职权。 电子监察审计岗 electronical supervision and audit post 线下监察审计岗在信息系统中的映射或嵌入，具有电子监察、数据流归档与审计、监督线上与线下 业务的一致性和业务流程的记录审查等职权。 4 内部风险管理原则 安全需求原则 组织应根据其信息系统担负的使命，积累的信息资产的重要性，可能受到的威胁及面临的风险分析 安全需求，按照信息系统等级保护要求确定相应的信息系统安全保护等级，遵从相应等级的规范要求， 从全局上恰当地平衡安全投入与效果。 系统方法原则 按照系统工程的要求，识别和理解信息安全保障相互关联的层面和过程，采用管理和技术相结合的 方法，提高实现安全保障目标的有效性和效率。 依法管理原则 2 DB44/T 2375—2022 信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理 内容合法、管理程序合法。对安全事件的处理，应依法适时发布准确一致的有关信息，避免带来不良的 社会影响。 权力制衡原则 对特定职能岗位或责任领域的管理功能实施职责分离和独立审计，应确保线上职权与线下职权一一 对应，遵循管理、业务、技术的“三权分立”，电子业务岗负责业务运营、电子技术岗负责技术支撑、 电子监察审计岗负责监督审计。 权力最小化原则 为避免权力过分集中所带来的隐患，以减少未授权的修改或滥用系统资源的机会，任何管理、业务、 技术的岗位仅享有该岗位履行职能的最小权限。 管理与技术并重原则 坚持积极防御和综合防范，全面提高风险控制应对能力，立足国情，采用管理与技术相结合，管理 科学性和技术前瞻性相结合的方法，保障信息系统的安全性达到所要求的目标。 过程控制原则 遵循系统安全工程理念，对信息系统全生命周期进行全过程控制，依照安全工程要求跟踪过程、找 出偏差、分析成因、研究纠偏对策、实施纠偏措施等，确保信息系统内部风险可管、过程可控。 持续改进原则 安全管理是一种动态反馈过程，贯穿整个安全管理的生命周期。应根据业务的变化、系统环境的变 化、系统的脆弱性以及面临的威胁等因素，及时调整现有安全策略、风险接受程度和安全防护措施，并 周期性的对信息系统安全状态进行复查、修改和调整，以调整安全管理等级，维护和改进信息安全管理 体系。 5 内部风险管理要求 总体要求 本项要求主要包括： a) 应制定信息系统内部风险管理的总体规划，包含但不限于计划安排、人员配置、资金配置等； b) 应对总体规划开展内部组织评审、发布、宣贯，且过程记录完整、可读； c) 宜以信息技术为支撑，积极推进职权电子化，结合实际业务工作开展风险管理； d) 应积