ICS 35.030 CCS L 80 21 辽宁省 地方标准 DB21/T 4171—2025 信息系统安全工程质量控制技术规范 Technical specification for quality control of information system security engineering 2025 - 08 - 30发布 2025 - 09 - 30实施 辽宁省市场监督管理局 发布 DB21/T 4171 —2025 I 目次 前言.................................................................................III 1 范围................................................................................1 2 规范性引用文件 ......................................................................1 3 术语和定义 ..........................................................................1 4 资格控制要求 ........................................................................1 4.1 人员资质要求 ....................................................................1 4.2 安全产品要求 ....................................................................1 4.3 法律、法规、政策符合性要求 ......................................................1 5 需求调研阶段 ........................................................................1 5.1 目标............................................................................1 5.2 内容............................................................................1 6 设计阶段 ............................................................................3 6.1 目标............................................................................4 6.2 内容............................................................................4 7 实施阶段 ............................................................................8 7.1 目标............................................................................8 7.2 内容............................................................................8 8 验收阶段 ............................................................................9 8.1 目标............................................................................9 8.2 内容............................................................................9DB21/T 4171 —2025 III 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由辽宁省工业和信息化厅提出并归口。 本文件起草单位： 北方实验室（沈阳）股份有限公司、辽宁鲲鹏生态创新中心有限公司、北京北实 正安信息技术有限公司、辽宁北实网安信息技术有限公司、东北大学、沈阳市网络安全应急指挥中心。 本文件主要起草人： 张健楠、丁琳、袁洪朋、李琳、张鏖、隋大智、郝瑞、蔡雨、魏凤娇、王健、 姜海龙、赵奇、娄欣宇、郑宇、任鑫宇、李昂霄、赵鑫、孙鹏程、李佳伦、任庆峰、黄国城、李冰琪、 王莹、姚羽、杨庆民。 本文件发布实施后， 任何单位和个人如有问题和意见建议， 均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。 归口管理部门通讯地址：辽宁省工业和信息化厅（沈阳市皇姑区北陵大街 45-2号），联系电话： 024-86893258 。 标准起草单位通讯地址： 北方实验室 （沈阳） 股份有限公司 （辽宁省沈阳市浑南区智慧三街 199号） ， 联系电话： 400-664-5588。 DB21/T 4171 —2025 1 信息系统安全工程质量控制技术规范 1 范围 本文件规定了信息系统安全工程需求调研、设计、实施和验收阶段的质量控制技术措施 。 本文件适用于信息系统安全工程的需方、实施方、监理方等在需求调研、设计、实施、验收阶段的 质量控制管理，其他有关各方也可参照使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 20282 信息安全技术 信息系统安全工程管理要求 GB/T 22081 信息技术 安全技术 信息安全控制实践指南 GB/T 25069 信息安全技术 术语 3 术语和定义 GB/T 25069 、GB/T 22081 、GB/T 20282 、GB/T22032 界定的以及下列术语和定义适用于本文件。 3.1 信息安全建设工 程 information system security construction engineering 为确保信息系统的保密性、完整性、可用性等目标而进行的工程。 4 资格控制要求 人员资质要求 4.1 参与信息安全建设工程实施的人员 应具备国家相关主管部门认可的安全服务人员、 实施人员相应资 质。 安全产品要求 4.2 信息安全建设工程所采用的安全产品 应具有在国内生产、经营、销售的许可证，并符合相应等级。 5 需求调研阶段 目标 5.1 开展全面的需求调研和分析，识别安全风险，为工程后期的建设和质量控制提供重要依据。 内容 5.2 5.2.1 需求收集 本项控制措施包括： DB21/T 4171 —2025 2 a) 明确信息系统的业务目标、功能需求、性能需求，以及特定的安全需求，并加强数据安全需 求的获取，确保需求的全面和准确； b) 通过问卷调查、访谈、研讨会等方式，充分获取各利益相关方的安全需求； c) 对收集到的需求进行整理、分类、汇总，并与各相关方确认，确保需求理解的一致性； d) 根据安全需求确定系统的安全防护目标和级别。 5.2.2 风险评估 5.2.2.1 风险识别 本项控制措施包括： a） 采用定性与定量相结合的方法，识别信息系统可能面临的信息安全威胁、脆弱性、影响及可 能性，形成风险源列表； b） 结合业务环境、系统架构、数据类型、用户行为等因素，全面考虑物理安全、网络安全、应 用安全、数据安全、安全管理等方面的风险。 5.2.2.2 风险分析与评估 本项控制措施包括： a) 对识别出的风险进行量化评分，计算风险值，确定风险等级； b) 分析风险之间的关联性，识别可能引发连锁反应或放大效应的风险组合； c) 评估风险对业务连续性、数据加密、数据完整性、隐私保护、合规性等方面的影响，形成风 险评估报告。 5.2.2.3 风险应对策略制定 本项控制措施包括： a) 根据风险评估结果，制定风险接受、转移、规避、减轻等应对策略，明确风险责任人及应对 措施的具体实施计划； b) 对于高风险项，应提