DB44-T 2375-2022信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理基本要求

1、ICS 35.02044CCS L 70廣東省地方標(biāo)準(zhǔn)DB44/T 23752022信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理基本要求Basic requirements for internal risk management in information system2022 - 07 - 11 發(fā)布2022 - 10 - 11 實(shí)施廣東省市場監(jiān)督管理局發(fā) 布DB44/T 23752022DB44/T 23752022目次前言II引言III范圍1規(guī)范性引用文件1術(shù)語和定義1內(nèi)部風(fēng)險(xiǎn)管理原則2內(nèi)部風(fēng)險(xiǎn)管理要求3附錄 A（資料性） 職權(quán)電子化過程中的對(duì)應(yīng)關(guān)系7參考文獻(xiàn)8I前言本文件按照GB/T 1.12020標(biāo)準(zhǔn)化

2、工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。本文件由廣東省國際問題研究中心提出并組織實(shí)施。 本文件由廣東省網(wǎng)絡(luò)空間安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本文件起草單位：廣東省信息安全測評(píng)中心、廣東安絡(luò)司法鑒定所、廣東外語外貿(mào)大學(xué)、廣州華南 信息安全測評(píng)中心、東莞市公共資源交易中心。本文件主要起草人：陳寧、駱林勇、王輝、王文佳、王常吉、袁毅鳴、李虹、李俊華、崔順艷、鄧 思賢、謝柏林、宋瑯靖、鄧艷利、洪松遠(yuǎn)、何文婷、黃志強(qiáng)、鄺建、張新猛、邢靜、黃珊珊。II引言信息化建設(shè)已經(jīng)進(jìn)入深度應(yīng)用階段，信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)逐步由物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用等層面向業(yè)務(wù)層面發(fā)展，給信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理帶來極大挑

3、戰(zhàn)，尤其體現(xiàn)在電子政務(wù)信息系統(tǒng)方面。組織在信息化過程中，相關(guān)人員的決策權(quán)、執(zhí)行權(quán)和監(jiān)督權(quán)映射到信息系統(tǒng)中產(chǎn)生電子業(yè)務(wù)權(quán)力和電子技術(shù)權(quán)力。業(yè)務(wù)是否合規(guī)、電子權(quán)力是否控制有效直接影響信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理及職權(quán)電子化的成效。 內(nèi)部風(fēng)險(xiǎn)管理控制失效會(huì)給組織帶來不可估量的損失，如國家核心機(jī)密外泄、政府部門公信力下降和國有資產(chǎn)流失等。因此，建立信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理基本要求勢在必行，是一項(xiàng)非常緊迫與重要的任務(wù)。信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理的目的是為了加強(qiáng)組織內(nèi)部對(duì)線下業(yè)務(wù)和線上業(yè)務(wù)風(fēng)險(xiǎn)的管理，有效防控信 息系統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)，提高信息系統(tǒng)建設(shè)與管理的規(guī)范性、科學(xué)性，以及信息化對(duì)業(yè)務(wù)管理的支撐和流程控 制能力，最大程度減少

4、人為操縱因素，確保業(yè)務(wù)、權(quán)力及信息系統(tǒng)的安全穩(wěn)定運(yùn)行。本文件綜合運(yùn)用信息安全相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范和內(nèi)審內(nèi)控方法，將信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理措施 涉及的內(nèi)控理論和控制活動(dòng)貫穿于信息系統(tǒng)建設(shè)、管理與運(yùn)營全過程，對(duì)組織業(yè)務(wù)與信息系統(tǒng)業(yè)務(wù)流程 一致性，業(yè)務(wù)流程中業(yè)務(wù)活動(dòng)控制、留痕、人員權(quán)力賦予、權(quán)力運(yùn)行過程的風(fēng)險(xiǎn)進(jìn)行控制，解決信息安 全中由于人員行為不可控的因素導(dǎo)致的內(nèi)部安全問題。融等重要行業(yè)和領(lǐng)域信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)控制體系建設(shè)和實(shí)施的參考標(biāo)準(zhǔn)。III本文件可以作為政府部門、履行行政管理職能的事業(yè)單位和國有企業(yè)等網(wǎng)絡(luò)運(yùn)營者的信息化建設(shè)和 信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理控制體系建設(shè)的主要依據(jù)，也可以作為通信和信息服務(wù)

5、、能源、交通、水利、金DB44/T 23752022DB44/T 23752022信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理基本要求范圍本文件規(guī)定了信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理的術(shù)語和定義、原則及要求。本文件適用于政府部門、履行行政管理職能的事業(yè)單位和國有企業(yè)等網(wǎng)絡(luò)運(yùn)營者，對(duì)自身的信息系 統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理情況進(jìn)行內(nèi)部審查，也適用于監(jiān)管單位、第三方審查機(jī)構(gòu)對(duì)上述組織進(jìn)行外部審查，其 他組織可參考執(zhí)行。審查結(jié)果可作為組織內(nèi)部信息化建設(shè)和信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理體系建設(shè)的參考依據(jù)。規(guī)范性引用文件本文件沒有規(guī)范性引用文件。術(shù)語和定義下列術(shù)語和定義適用于本文件。信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理 basic requirements for inter

6、nal risk management in information system指導(dǎo)和控制組織對(duì)內(nèi)部信息系統(tǒng)風(fēng)險(xiǎn)開展相關(guān)協(xié)調(diào)活動(dòng)，并管理不確定性，以確保組織業(yè)務(wù)目標(biāo)的 一致性。職權(quán)電子化 electronization of authority以職權(quán)為對(duì)象，利用信息技術(shù)手段將職權(quán)運(yùn)行的部分或全部過程實(shí)現(xiàn)電子化。職權(quán)電子化既是職權(quán) 實(shí)現(xiàn)電子化的過程，又是職權(quán)在網(wǎng)絡(luò)空間中以另一種形態(tài)存在的表現(xiàn)形式。線下職權(quán) offline authority國家法律、法規(guī)賦予的組織職權(quán)，是由上級(jí)組織依法依規(guī)授權(quán)下級(jí)業(yè)務(wù)部門、責(zé)任崗位和人員，依 照法定程序履行的權(quán)力職責(zé)。線上職權(quán) online authority

7、國家法律、法規(guī)賦予的組織職權(quán)，通過信息化建設(shè)映射到信息系統(tǒng)中，形成對(duì)應(yīng)的電子崗位、職權(quán) 賬號(hào)和權(quán)限。電子權(quán)力 electronical authority線下職責(zé)權(quán)限在信息系統(tǒng)中的映射或嵌入，包括電子業(yè)務(wù)權(quán)力和電子技術(shù)權(quán)力。電子業(yè)務(wù)權(quán)力 electronical business authority線下業(yè)務(wù)崗位的職責(zé)權(quán)限在信息系統(tǒng)中的映射或嵌入。1電子技術(shù)權(quán)力 electronical technology authority崗位角色權(quán)力電子化時(shí)洐生的一種權(quán)限，即對(duì)支撐業(yè)務(wù)運(yùn)行的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)涉及的一系列管理權(quán)、 控制權(quán)和知情權(quán)，它具有對(duì)電子業(yè)務(wù)間接的管理權(quán)限。電子崗位 electronica

8、l post根據(jù)線下人員崗位角色權(quán)力電子化的要求在信息系統(tǒng)中設(shè)立的與線下崗位相對(duì)應(yīng)的虛擬崗位以及實(shí)際存在于信息系統(tǒng)及其相關(guān)支撐設(shè)備中的對(duì)應(yīng)賬號(hào)與角色。電子技術(shù)崗 electronical technical post線下技術(shù)崗在信息系統(tǒng)中的映射或嵌入，具有對(duì)承載信息系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò) 與網(wǎng)絡(luò)安全設(shè)備、物理機(jī)房等設(shè)施的管理、運(yùn)維、操作、監(jiān)控等職權(quán)。電子業(yè)務(wù)管理崗 electronical business management post線下業(yè)務(wù)管理崗在信息系統(tǒng)中的映射或嵌入，具有業(yè)務(wù)流程的設(shè)計(jì)建立、合規(guī)監(jiān)督和業(yè)務(wù)檔案管理 等職權(quán)。電子人事崗 electronical perso

9、nnel post線下人事崗在信息系統(tǒng)中的映射或嵌入，具有職權(quán)電子化后的線上人事架構(gòu)的設(shè)定、人員的任免， 人員業(yè)務(wù)賬號(hào)及權(quán)限的初始化管控等職權(quán)。電子財(cái)務(wù)崗 electronical finance post線下財(cái)務(wù)崗在信息系統(tǒng)中的映射或嵌入，具有職權(quán)電子化后的線上財(cái)務(wù)審批和管理等職權(quán)。電子監(jiān)察審計(jì)崗 electronical supervision and audit post線下監(jiān)察審計(jì)崗在信息系統(tǒng)中的映射或嵌入，具有電子監(jiān)察、數(shù)據(jù)流歸檔與審計(jì)、監(jiān)督線上與線下 業(yè)務(wù)的一致性和業(yè)務(wù)流程的記錄審查等職權(quán)。4 內(nèi)部風(fēng)險(xiǎn)管理原則安全需求原則組織應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能

10、受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求， 從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果。系統(tǒng)方法原則按照系統(tǒng)工程的要求，識(shí)別和理解信息安全保障相互關(guān)聯(lián)的層面和過程，采用管理和技術(shù)相結(jié)合的 方法，提高實(shí)現(xiàn)安全保障目標(biāo)的有效性和效率。依法管理原則2信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理 內(nèi)容合法、管理程序合法。對(duì)安全事件的處理，應(yīng)依法適時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的 社會(huì)影響。 權(quán)力制衡原則對(duì)特定職能崗位或責(zé)任領(lǐng)域的管理功能實(shí)施職責(zé)分離和獨(dú)立審計(jì)，應(yīng)確保線上職權(quán)與線下職權(quán)一一對(duì)

11、應(yīng)，遵循管理、業(yè)務(wù)、技術(shù)的“三權(quán)分立”，電子業(yè)務(wù)崗負(fù)責(zé)業(yè)務(wù)運(yùn)營、電子技術(shù)崗負(fù)責(zé)技術(shù)支撐、 電子監(jiān)察審計(jì)崗負(fù)責(zé)監(jiān)督審計(jì)。 權(quán)力最小化原則為避免權(quán)力過分集中所帶來的隱患，以減少未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)，任何管理、業(yè)務(wù)、 技術(shù)的崗位僅享有該崗位履行職能的最小權(quán)限。 管理與技術(shù)并重原則堅(jiān)持積極防御和綜合防范，全面提高風(fēng)險(xiǎn)控制應(yīng)對(duì)能力，立足國情，采用管理與技術(shù)相結(jié)合，管理 科學(xué)性和技術(shù)前瞻性相結(jié)合的方法，保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)。 過程控制原則遵循系統(tǒng)安全工程理念，對(duì)信息系統(tǒng)全生命周期進(jìn)行全過程控制，依照安全工程要求跟蹤過程、找 出偏差、分析成因、研究糾偏對(duì)策、實(shí)施糾偏措施等，確保信

12、息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)可管、過程可控。 持續(xù)改進(jìn)原則安全管理是一種動(dòng)態(tài)反饋過程，貫穿整個(gè)安全管理的生命周期。應(yīng)根據(jù)業(yè)務(wù)的變化、系統(tǒng)環(huán)境的變 化、系統(tǒng)的脆弱性以及面臨的威脅等因素，及時(shí)調(diào)整現(xiàn)有安全策略、風(fēng)險(xiǎn)接受程度和安全防護(hù)措施，并 周期性的對(duì)信息系統(tǒng)安全狀態(tài)進(jìn)行復(fù)查、修改和調(diào)整，以調(diào)整安全管理等級(jí)，維護(hù)和改進(jìn)信息安全管理 體系。5 內(nèi)部風(fēng)險(xiǎn)管理要求 總體要求本項(xiàng)要求主要包括：應(yīng)制定信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理的總體規(guī)劃，包含但不限于計(jì)劃安排、人員配置、資金配置等；應(yīng)對(duì)總體規(guī)劃開展內(nèi)部組織評(píng)審、發(fā)布、宣貫，且過程記錄完整、可讀；宜以信息技術(shù)為支撐，積極推進(jìn)職權(quán)電子化，結(jié)合實(shí)際業(yè)務(wù)工作開展風(fēng)險(xiǎn)管理；應(yīng)積極推進(jìn)內(nèi)部

13、事務(wù)職權(quán)電子化進(jìn)程，采用信息技術(shù)手段對(duì)組織內(nèi)部的人、財(cái)、物管理等權(quán)力的使用進(jìn)行監(jiān)管；應(yīng)建立完善的信息系統(tǒng)管理風(fēng)險(xiǎn)評(píng)估與控制程序，包括但不限于風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)定級(jí)、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)例外處置策略等；應(yīng)配合業(yè)務(wù)主管部門、監(jiān)管部門對(duì)組織開展信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理落實(shí)情況的監(jiān)督檢查工作。 合規(guī)性要求本項(xiàng)要求主要包括：3應(yīng)符合國家網(wǎng)絡(luò)安全相關(guān)法律法規(guī)及標(biāo)準(zhǔn)要求；應(yīng)建立健全組織法規(guī)庫，形成法規(guī)要求的業(yè)務(wù)流程及業(yè)務(wù)關(guān)鍵控制點(diǎn)清單；應(yīng)對(duì)信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理涉及的相關(guān)法律法規(guī)及標(biāo)準(zhǔn)要求進(jìn)行梳理，形成合規(guī)性要求列表；應(yīng)按照相關(guān)法規(guī)及標(biāo)準(zhǔn)要求設(shè)定電子崗位；應(yīng)按照相關(guān)法規(guī)及標(biāo)準(zhǔn)要求設(shè)定信息系統(tǒng)的業(yè)務(wù)流程；應(yīng)按照相關(guān)法規(guī)及標(biāo)準(zhǔn)

14、要求設(shè)定信息系統(tǒng)的業(yè)務(wù)關(guān)鍵控制點(diǎn)；宜采用自主安全的信息技術(shù)、服務(wù)及產(chǎn)品建設(shè)信息系統(tǒng)。 職權(quán)電子化管理要求本項(xiàng)要求主要包括：應(yīng)明確職權(quán)電子化過程中的對(duì)應(yīng)關(guān)系(見附錄 A)，確定線上職權(quán)與線下職權(quán)在組織中的崗位職責(zé)、業(yè)務(wù)流程和賬號(hào)權(quán)限等方面獲得準(zhǔn)確映射或嵌入；應(yīng)設(shè)立電子業(yè)務(wù)管理崗，負(fù)責(zé)信息系統(tǒng)的業(yè)務(wù)功能、業(yè)務(wù)流程、訪問方式、權(quán)限等設(shè)定，監(jiān)控業(yè)務(wù)的正常運(yùn)行，避免業(yè)務(wù)崗位之間存在越權(quán)或繞權(quán)；應(yīng)設(shè)立電子人事崗，負(fù)責(zé)信息系統(tǒng)的組織架構(gòu)、業(yè)務(wù)部門、責(zé)任崗位、人員賬號(hào)初始化等人事信息的設(shè)定，監(jiān)控人事信息的非法變動(dòng)；應(yīng)設(shè)立電子財(cái)務(wù)崗，負(fù)責(zé)財(cái)務(wù)信息系統(tǒng)電子業(yè)務(wù)權(quán)力的行使；應(yīng)設(shè)立電子監(jiān)察審計(jì)崗，負(fù)責(zé)監(jiān)督、審查電子業(yè)

15、務(wù)權(quán)力和電子技術(shù)權(quán)力的行使，避免電子業(yè)務(wù)管理崗、電子人事崗、電子財(cái)務(wù)崗、電子技術(shù)崗參與業(yè)務(wù)運(yùn)作，確保各崗位獨(dú)立運(yùn)行，排除崗位間相互干預(yù)及隱患；應(yīng)對(duì)職權(quán)電子化后的電子崗位進(jìn)行權(quán)限設(shè)計(jì)，建立電子崗位權(quán)限清單；應(yīng)明確電子崗位角色權(quán)力事項(xiàng)名稱、內(nèi)容、行使主體、法律法規(guī)制度依據(jù)、監(jiān)督方式等；應(yīng)依據(jù)法規(guī)要求建立職權(quán)電子化控制流程，形成電子崗位的權(quán)責(zé)不兼容矩陣，固化電子崗位權(quán)限運(yùn)行流程；應(yīng)根據(jù)決策、執(zhí)行、監(jiān)督互為獨(dú)立的原則進(jìn)行分崗分責(zé)，實(shí)現(xiàn)同一業(yè)務(wù)不同崗位、同一流程不同環(huán)節(jié)的相互制約，重點(diǎn)滿足業(yè)務(wù)部門與技術(shù)部門的權(quán)責(zé)分離；宜建立職權(quán)電子化需求編制與變更的評(píng)審機(jī)制，確保職權(quán)電子化過程得到有效控制，包括職權(quán)電子

16、化的需求提出、審核、審批等各個(gè)環(huán)節(jié)，并實(shí)現(xiàn)全程留痕；應(yīng)建立全程留痕機(jī)制，留痕內(nèi)容應(yīng)包括但不限于可研報(bào)告、立項(xiàng)書、招投標(biāo)文件、系統(tǒng)概設(shè)與詳設(shè)文檔、開發(fā)人員保密協(xié)議承諾、測試報(bào)告、系統(tǒng)功能說明、系統(tǒng)操作維護(hù)手冊、驗(yàn)收文檔等相關(guān)審批情況與文檔記錄。 電子權(quán)力運(yùn)行管理要求本項(xiàng)要求主要包括：應(yīng)對(duì)信息系統(tǒng)開展上線前的風(fēng)險(xiǎn)評(píng)估，評(píng)估范圍包括但不限于信息系統(tǒng)自身、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)處理全流程等，評(píng)估內(nèi)容包括但不限于法律合規(guī)、邏輯設(shè)計(jì)、編碼漏洞、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)等；應(yīng)建立電子業(yè)務(wù)權(quán)力崗位角色與權(quán)限清單，包括但不限于業(yè)務(wù)部門、電子業(yè)務(wù)崗位、電子業(yè)務(wù)崗位人員、電子業(yè)務(wù)賬號(hào)、電子職責(zé)等；應(yīng)建立電子技術(shù)

17、權(quán)力崗位角色與權(quán)限清單，包括但不限于業(yè)務(wù)部門、電子技術(shù)崗位、電子技術(shù)崗位人員、系統(tǒng)平臺(tái)賬號(hào)、電子職責(zé)等；應(yīng)建立電子業(yè)務(wù)權(quán)力運(yùn)行流程圖，包括但不限于業(yè)務(wù)受控因素、業(yè)務(wù)流全過程、業(yè)務(wù)節(jié)點(diǎn)輸入輸出信息、業(yè)務(wù)節(jié)點(diǎn)對(duì)應(yīng)電子崗位等；4應(yīng)建立電子技術(shù)權(quán)力運(yùn)行流程圖，包括但不限于業(yè)務(wù)信息存儲(chǔ)和訪問的流程、業(yè)務(wù)對(duì)應(yīng)的應(yīng)用模塊、信息平臺(tái)對(duì)應(yīng)電子技術(shù)崗位、主機(jī)設(shè)備架構(gòu)、主機(jī)對(duì)應(yīng)的電子技術(shù)崗位、網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備架構(gòu)、網(wǎng)絡(luò)對(duì)應(yīng)的電子技術(shù)崗位、監(jiān)督系統(tǒng)等；應(yīng)識(shí)別電子業(yè)務(wù)權(quán)力運(yùn)行風(fēng)險(xiǎn)點(diǎn)，包括但不限于權(quán)限設(shè)置不合理、無明確的權(quán)力保管要求、誤操作、用戶操作抵賴、職責(zé)不清、職責(zé)未有效分離、繞權(quán)、越權(quán)等風(fēng)險(xiǎn)；應(yīng)識(shí)別電子技術(shù)權(quán)力運(yùn)行風(fēng)

18、險(xiǎn)點(diǎn)，包括但不限于職責(zé)不清、職責(zé)未有效分離、權(quán)力無明確保管要求、重要參數(shù)和策略設(shè)置不合理、業(yè)務(wù)系統(tǒng)安裝及更新維護(hù)管理不規(guī)范、安全維護(hù)不規(guī)范、數(shù)據(jù)維護(hù)和備份管理不規(guī)范、沒有例外的處理機(jī)制、運(yùn)維操作無審計(jì)、無主機(jī)自身的安全保障機(jī)制、主機(jī)不可用等風(fēng)險(xiǎn)；應(yīng)建立電子權(quán)力運(yùn)行風(fēng)險(xiǎn)點(diǎn)列表，包括但不限于業(yè)務(wù)部門、電子崗位、賬號(hào)信息、權(quán)力對(duì)應(yīng)的業(yè)務(wù)流程節(jié)點(diǎn)、風(fēng)險(xiǎn)編號(hào)、風(fēng)險(xiǎn)描述、控制目標(biāo)等信息；應(yīng)對(duì)電子權(quán)力運(yùn)行風(fēng)險(xiǎn)進(jìn)行分析，明確風(fēng)險(xiǎn)點(diǎn)、風(fēng)險(xiǎn)控制目標(biāo)、現(xiàn)有控制措施、風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果、風(fēng)險(xiǎn)描述、風(fēng)險(xiǎn)嚴(yán)重程度、殘余風(fēng)險(xiǎn)分析結(jié)果等信息，并提出風(fēng)險(xiǎn)控制措施；應(yīng)建立有效的電子權(quán)力行使主體身份的識(shí)別、驗(yàn)證與管理機(jī)制，包括唯一性識(shí)別

19、、多因素認(rèn)證以及安全性管理；應(yīng)對(duì)電子權(quán)力運(yùn)行全過程進(jìn)行監(jiān)控，包括權(quán)力行使主體、時(shí)間、內(nèi)容、結(jié)果等；宜建立電子權(quán)力運(yùn)行預(yù)警與處置機(jī)制，實(shí)現(xiàn)電子權(quán)力管理風(fēng)險(xiǎn)的事前提醒、事中監(jiān)督和事后追溯；宜對(duì)時(shí)效性要求高的重要電子權(quán)力承載主體，建立相應(yīng)的機(jī)制，保障權(quán)限運(yùn)行的連續(xù)性；應(yīng)采用規(guī)劃、設(shè)計(jì)和技術(shù)手段限制或消除特權(quán)電子權(quán)力的運(yùn)行；應(yīng)對(duì)電子權(quán)力運(yùn)行情況進(jìn)行定期審計(jì)，審計(jì)范圍應(yīng)涵蓋電子業(yè)務(wù)權(quán)力運(yùn)行情況與電子技術(shù)權(quán)力運(yùn)行情況，具體內(nèi)容應(yīng)包含操作主體、事件、操作內(nèi)容、合規(guī)性情況、異常信息等；應(yīng)建立電子權(quán)力運(yùn)行全過程留痕與追溯機(jī)制，增強(qiáng)關(guān)鍵日志的可讀性，實(shí)現(xiàn)重要數(shù)據(jù)更改的日志報(bào)警，留痕信息保留限期應(yīng)符合相關(guān)法律法規(guī)要

20、求；宜對(duì)承載電子權(quán)力運(yùn)行的主體變更建立完整的變更控制程序、流程和記錄，并保留變更控制相關(guān)記錄；宜對(duì)重要電子業(yè)務(wù)權(quán)力運(yùn)行主體保留原始主體及其變更主體源代碼的完整記錄。 敏感數(shù)據(jù)保護(hù)要求本項(xiàng)要求主要包括：應(yīng)依法建立數(shù)據(jù)分類分級(jí)規(guī)范，確定組織的重要數(shù)據(jù)具體目錄，對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)；應(yīng)對(duì)敏感數(shù)據(jù)進(jìn)行標(biāo)識(shí)，形成敏感數(shù)據(jù)資產(chǎn)列表，不限于公民個(gè)人、公共管理、信息傳播、行業(yè)領(lǐng)域、組織經(jīng)營等維度數(shù)據(jù)；應(yīng)加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測，識(shí)別數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)，對(duì)重要數(shù)據(jù)的數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告；應(yīng)建立健全全流程數(shù)據(jù)安全管理制度，明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安

21、全保護(hù)責(zé)任；應(yīng)采取技術(shù)措施保護(hù)數(shù)據(jù)全生命周期各階段的數(shù)據(jù)安全，對(duì)敏感數(shù)據(jù)變更、數(shù)據(jù)高風(fēng)險(xiǎn)操作和敏感數(shù)據(jù)訪問進(jìn)行全流程管控和審計(jì)；宜采用密碼技術(shù)保障數(shù)據(jù)的機(jī)密性、完整性、可用性、真實(shí)性、不可否認(rèn)性等屬性不受侵害；可利用數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)安全管控、數(shù)據(jù)安全威脅感知等技術(shù)對(duì)數(shù)據(jù)資產(chǎn)的安全屬性進(jìn)行有效監(jiān)管。5 持續(xù)改進(jìn)機(jī)制要求本項(xiàng)要求主要包括：應(yīng)圍繞信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理工作，在組織內(nèi)部建立自查、互查等完善的督查機(jī)制；應(yīng)每年定期對(duì)信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理開展自評(píng)估，根據(jù)評(píng)估結(jié)果整改并修訂內(nèi)部控制策略；應(yīng)每年定期對(duì)信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理落實(shí)情況進(jìn)行檢查；應(yīng)積極開展對(duì)業(yè)務(wù)主管部門、監(jiān)督檢查部門以及內(nèi)部檢查工作中發(fā)

22、現(xiàn)的信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理控制缺陷的評(píng)估與處置；應(yīng)指定相關(guān)業(yè)務(wù)部門和人員負(fù)責(zé)組織的信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理評(píng)估工作，并負(fù)責(zé)風(fēng)險(xiǎn)的處置；應(yīng)定期開展信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理工作的監(jiān)督檢查，并向有關(guān)主管部門報(bào)送監(jiān)督檢查結(jié)果；應(yīng)定期對(duì)重要的錄入數(shù)據(jù)或原始數(shù)據(jù)進(jìn)行完整性、可用性和真實(shí)性審計(jì)；應(yīng)定期對(duì)重大電子權(quán)力的運(yùn)行操作進(jìn)行稽核；應(yīng)定期對(duì)內(nèi)控例外策略的執(zhí)行情況進(jìn)行檢查；宜在內(nèi)外部環(huán)境、業(yè)務(wù)活動(dòng)或管理要求發(fā)生重大變化時(shí)組織開展檢查，并對(duì)發(fā)現(xiàn)的問題予以改進(jìn)；應(yīng)不定期委托第三方機(jī)構(gòu)對(duì)自身信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理工作進(jìn)行評(píng)估，評(píng)估報(bào)告應(yīng)作為本單位建立責(zé)任制考核的參考。 宣傳與培訓(xùn)要求本項(xiàng)要求主要包括：并做好資料歸檔；b) 應(yīng)不定期的組織人員參加相關(guān)專業(yè)的繼續(xù)教育，重要崗位人員應(yīng)持有國家相關(guān)網(wǎng)絡(luò)安全專業(yè)認(rèn)證證書。6a) 應(yīng)定期開展信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)管理的教育、培訓(xùn)和宣傳活動(dòng)，