DB37_T-3303-2018-信息安全技术-内控安全管理技术规范

DB37/T3303-2018信息安全技术内控安全管理技术规范1范围本标准规定了信总安全技术中用于内控安全管理的相关技术内容。本标准适用于提供内控安全管理服务的机构及有内控安全管理需求的用户。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239-2008信息安全技术信息系统安全等级保护基本要求3术语和定义下列术语和定义适用于本文件。3.1内控安全管理internal security management对组织内部IT系统的管理和维护人员（包括第三方IT外包服务人员）的运维行为进行的安全风险管理。3.2应用发布机制application publishing mechanism将某些应用系统所需的客户端运维软件集中安装、部署到特定系统，实现应用软件的集中管控。3.3管理员Administrators具有对IT系统管理职能的人员。根据职责不同分为运维管理员和密码管理员。运维管理员负责对杠T系统运维权限的划分与操作员的管理：密码管理员负责IT系统账号密码的管理。3.4审计员Auditor负责对操作员、管理员的操作行为监督审计的人员的统称。3.5操作员Operator1山东省地方标准公开