您的位置:360文档中心› 《烟草行业信息安全保障体系建设指南》_20080418

《烟草行业信息安全保障体系建设指南》_20080418

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

烟草行业信息安全保障体系建设指南

国家烟草专卖局

二〇〇八年四月

前言

烟草行业信息安全保障体系是行业信息化健康发展的基础和保障,是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设,提高信息安全管理水平和保障能力,国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》(以下简称《指南》)。行业各单位要结合本单位实际情况认真落实《指南》的各项要求,构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系,做到信息安全工作与信息化建设同步规划、同步建设、协调发展。

《指南》按照《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的要求,依照《信息系统安全保障评估框架》(GB/T 20274—2006)等有关国家标准,运用目前信息安全领域广泛应用的思想和方法,明确了烟草行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求。由于水平所限,对《指南》中的不足之处,望各单位在应用过程中提出宝贵意见。

《指南》由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写。《指南》编写组组长:高锦;副组长:陈彤;主要成员:张雪峰,王海清,耿刚勇,张利,孙成昊,黄云海,耿欣,刘辉等。

目录

1范围 (3)

2引用和参考文献 (3)

2.1国家信息安全标准、指南 (3)

2.2国际信息安全标准 (4)

2.3行业规范 (5)

3术语定义和缩略语 (5)

3.1安全策略 (5)

3.2安全管理体系 (5)

3.3安全技术体系 (5)

3.4安全运维体系 (6)

3.5信息系统 (6)

3.6缩略语 (6)

4信息安全保障体系建设总体要求 (7)

4.1信息安全保障体系建设框架 (7)

4.2信息安全保障体系建设原则 (9)

4.3信息安全保障体系建设基本过程 (10)

5信息安全保障体系建设规划 (11)

6安全策略 (12)

6.1总体方针 (13)

6.2分项策略 (14)

7管理体系 (15)

7.1组织机构 (15)

7.2规章制度 (18)

7.3人员安全 (18)

7.4安全教育和培训 (22)

8技术体系 (24)

8.1访问控制 (25)

8.2信息系统完整性保护 (30)

8.3系统与通信保护 (33)

8.4物理环境保护 (36)

8.5检测与响应 (39)

8.6安全审计 (41)

8.7备份与恢复 (42)

9运维体系 (45)

9.1流程和规范 (46)

9.2安全分级 (46)

9.3风险评估 (47)

9.4阶段性工作计划 (49)

9.5采购与实施过程管理 (50)

9.6日常维护管理 (53)

9.7应急计划和事件响应 (56)

9.8绩效评估与改进 (59)

1范围

本《指南》明确了行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理体系、信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求。

《指南》中涉及的信息安全,是指由信息系统产生的信息的保密性、完整性和可用性不遭受破坏。

本《指南》仅适用于行业中不涉及国家秘密的信息系统,涉及国家秘密的信息系统的安全保护工作应按照国家及国家局保密部门的相关规定进行。

2引用和参考文献

本文在编制过程中,依据和参考了国内外信息安全方面的相关标准、法规、指南以及烟草行业的相关标准规范,主要包括:

2.1国家信息安全标准、指南

GB/T 20274—2006 信息系统安全保障评估框架

GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分:信息技术安全概念和模型

GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分:管理和规划信息技术安全

GB/T 19716—2005 信息技术—信息安全管理实用规则

GB/T 18336—2001 信息技术—安全技术—信息技术安全性评估准则

GB 17859—1999 计算机信息系统安全保护等级划分准则

电子政务信息安全等级保护实施指南(试行)(国信办[2005]25号)GB/T 20984—2007信息安全技术信息安全风险评估规范

GB/T 20988—2007信息系统灾难恢复规范

GB/Z 20986—2007信息安全事件分类分级指南

2.2国际信息安全标准

ISO/IEC 27001:2005信息安全技术信息系统安全管理要求

ISO/IEC 13335—1: 2004 信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型

ISO/IEC TR 15443—1: 2005 信息技术安全保障框架第一部分概述和框架

ISO/IEC TR 15443—2: 2005信息技术安全保障框架第二部分保障方法

ISO/IEC WD 15443—3 信息技术安全保障框架第三部分保障方法分析

ISO/IEC PDTR 19791: 2004 信息技术安全技术运行系统安全评估

2.3行业规范

烟草行业计算机网络和信息安全技术与管理规范(国烟法[2003]17号)

烟草行业计算机网络建设技术与管理规范(国烟办综[2006]312号)

3术语定义和缩略语

下列术语和定义适用于本《指南》。

3.1安全策略

安全策略是为保障一个单位信息安全而规定的若干安全规划、过程、规范和指导性文件等。

3.2安全管理体系

安全管理体系简称“管理体系”,是为保障信息安全以“安全策略”为核心而采取的一系列管理措施的总和,内容主要包括建立健全组织机构和管理制度、实施人员管理和安全教育等。

3.3安全技术体系

安全技术体系简称“技术体系”,是为保障“安全策略”的贯彻落实而采取的一系列技术措施的总和,内容主要包括访问控制、信息完整性保护、系统与通信保护、物理与环境保护、检测与响应、安全审

相关文档
最新文档