您的位置:360文档中心› 《烟草行业信息安全保障体系建设指南》_20080418

《烟草行业信息安全保障体系建设指南》_20080418

合集下载

《烟草行业信息化建设指南》

《烟草行业信息化建设指南》

《烟草行业信息化建设指南》编制说明一、工作简况(一)任务来源本标准依据《国家烟草专卖局关于印发2009年度烟草行业标准制修订项目计划的通知》(国烟科[2009]100号)下达的任务编制。

本标准由国家烟草专卖局提出,经全国烟草标准化技术委员会信息分技术委员会(TC 144/SC 7)审查归口。

(二)协作单位及主要起草人本标准的牵头承担单位为国家烟草专卖局烟草经济信息中心,协作单位为湖南省烟草专卖局(公司)、广东中烟工业有限责任公司。

标准的主要起草人为:高一军、李林、颜玫、庄红、侯杰华、顾小江、许勇、王宇山、韩云辉、蔡喆、邹暾、郭贤正、徐喆。

(三)主要工作过程2010年5月,国家烟草专卖局烟草经济信息中心在和国家烟草专卖局签订标准专项合同后立即成立了项目组,并到湖南烟草、广东中烟等多个卷烟工商企业进行了深入的调研,通过调研和查阅资料发现:一是信息化建设管理在国内还处于起步阶段,除了《电子文件归档与管理规范》(GB/T 18894—2002),目前没有其它有关信息化建设管理的国家标准、行业标准、地方标准;二是国际已有一些涉及到信息化建设管理IT服务、项目管理等阶段的标准,如ITIL V3、COBIT V4.1、ISO/IEC20000-1:2005、PMBOK 2008等,且在国内很多一流企业中已有较广泛的应用和实施,对企业信息化的建设管理起到了较好的指导作用;三是烟草行业已经逐渐认识到信息化建设管理的重要性及其对生产经营管理的显著作用,但尚未形成一个统一、具有可操作性的标准。

截止到目前,项目组开展了以下工作:第一,明确职责。

2010年6月,国家局烟草经济信息中心与各协作单位共同成立了项目组,负责标准项目的起草、讨论、评审和报批工作。

湖南烟草、广东中烟在信息中心抽调资深专家和技术骨干作为编撰人员,负责本项目的调研、资料收集与整理、需求分析、条目编制等工作。

第二,组织调研。

项目组对行业外信息化建设水平较高的单位如银行、电信、移动等进行了学习,对行业内信息化建设成效较好的单位的建设经验进行了收集与总结,按照信息化项目生命周期理论,对信息化建设的各个关键环节进行深入研究,探索其客观规律,了解其最佳实践。

《烟草行业信息系统容灾备份建设规范》

《烟草行业信息系统容灾备份建设规范》

《烟草行业信息系统容灾备份建设规范》编制说明1 工作简况1.1 任务来源本标准依据《国家烟草专卖局关于印发2013年度烟草行业标准制修订项目计划的通知》(国烟科[2013]115号)下达的任务编制。

本标准由国家烟草专卖局提出,由全国烟草标准化技术委员会信息分技术委员会(TC 144/SC 7)归口技术审查。

1.2 项目承担单位、协作单位及主要分工项目牵头承担单位是国家烟草专卖局烟草经济信息中心,协作承担单位为上海烟草集团有限责任公司(中国烟草总公司信息系统上海容灾中心)和杭州新世纪信息技术有限公司。

国家烟草专卖局烟草经济信息中心主要负责总体组织协调、策划、开展调研、征求意见等。

中国烟草总公司信息系统上海容灾中心和杭州新世纪信息技术有限公司负责参与项目调研、技术研究和标准的编制工作。

1.3 主要工作过程2013年4月,在签订标准专项合同后,国家局信息中心会同各协作单位成立了标准编写项目组,组织开展标准的编制工作。

截止到目前,标准编写项目组主要完成了以下工作:第一,2013年7月至9月,项目组对三十多家行业单位进行现场调研,了解行业单位信息系统现状和信息系统灾难恢复工作基本需求。

第二,2014年2月,国家局信息中心运维处完成了对所有行业单位信息系统灾难恢复工作情况的问卷调查,整理编制了《烟草行业灾备系统建设现状调研报告》,掌握了已开展信息系统灾备建设行业单位的容灾范围,采用的技术路线和实现的灾难恢复技术指标。

第三,2014年4月至11月,为借鉴国内相关标准的先进经验,项目组分别到中国平安、国家电网、建设银行、国家质检总局等企业进行了调研。

项目组结合行业单位和其他企业调研情况,形成了标准的讨论稿。

第四,2015年2月,国家局信息中心组织山西省局、江苏省局、湖南省局、云南省局、甘肃省局、清华大学以及国家电网公司信息部共7名专家对本标准的初稿进行了研讨,与会专家对行业单位灾备系统的建设模式提出了参考意见。

烟草行业信息系统容灾备份建设指南

烟草行业信息系统容灾备份建设指南

烟草行业信息系统容灾备份建设指南烟草行业信息系统容灾备份建设指南引言在烟草行业中,信息系统的重要性日益凸显。

随着技术的迅速发展和信息化程度的提高,烟草企业越来越依赖于信息系统的高效运行。

然而,由于各种不确定的因素,如自然灾害、人为破坏和硬件故障等,信息系统可能会发生意外的故障,对烟草企业的正常运营造成不可估量的影响。

建立信息系统的容灾备份机制,成为烟草企业管理的重要组成部分。

一、容灾备份的概念和意义容灾备份指的是为了防范和应对信息系统可能出现的各种灾难所采取的一系列技术和管理手段。

容灾备份的意义在于保障信息系统的连续性和可用性,并使企业能够在不可预测的灾难中快速恢复和正常运转。

具体来说,烟草行业信息系统容灾备份的目标有以下几个方面:1. 保障数据的安全性:通过定期备份和加密技术等手段,确保烟草企业的关键数据得以安全地保存和保护,以防止数据遗失或泄露。

2. 缩短系统恢复时间:通过容灾备份的建设,使得在信息系统发生故障时,烟草企业能够迅速恢复正常运营,并尽可能减少因故障而导致的损失。

3. 提高业务连续性:当信息系统发生故障时,烟草企业可以通过备份系统继续提供基本的业务服务,以确保企业的正常运营。

二、容灾备份建设的关键要素要成功建设烟草行业信息系统的容灾备份机制,以下几个关键要素需要引起重视:1. 风险评估和可用性分析:需要对烟草企业的信息系统进行全面评估和风险分析,了解可能导致系统故障的风险因素。

在此基础上,针对不同的风险,确定响应策略和备份机制的优先级。

2. 合理的备份策略:高效的备份策略是信息系统容灾备份建设的关键。

备份策略应该根据烟草企业的业务需求和实际情况来制定,并且要考虑到备份数据的完整性、可靠性和可恢复性。

3. 容灾设备和环境建设:合适的容灾设备和环境建设对于保障信息系统的连续性至关重要。

这包括备份服务器、存储设备、网络设备等硬件设施的选购和配置,以及为容灾设备提供稳定的供电、网络和环境条件等方面的配套措施。

【行业分析】烟草报告-“四统一”原则:烟草行业信息化建设要素分析

【行业分析】烟草报告-“四统一”原则:烟草行业信息化建设要素分析

烟草免费报告-“四统一”原则:烟草行业信息化建设要素分析21世纪是以信息技能为核心的高新技能主导的世纪。

信息化已成为衡量一个国家、一个行业当代化程度的主要标志之一。

烟草行业在世界经济全球化、信息网络化的时代背景下,特别是在加入WTO后,面临国内市场国际化的严峻挑战,以及行业内部兼并、重组,深化改革的形势,尤其是国家对垄断行业市场化改革的不断加快,行业的宏观调控与企业创新能力将是决定行业竞争成败的关键。

烟草行业用信息化推进当代化,就是要用最先进的信息技能彻底渗入烟草行业生产、流通、管理流程,改动传统的生产经营模式,加快烟草产业、产品结构的调整,完备烟草行业管理体制,满足市场和消费者的需求,提高适应市场能力,提升整体竞争实力。

行业信息化发展与企业联合重组、资产一体化、集团化管理、工商信息协同密不可分,但又是动态变化的。

可以说,其建设成功与否是体现行业综合实力强弱的主要标志。

因此,对行业信息化建设的实施策略执行研究与探索,具有十分主要的现实意义。

烟草行业信息化基础已具规模烟草行业信息化建设在党的十六大提出的以信息化带动工业化、以工业化促进信息化,走新型工业化道路的战略指引下,按照“统一标准、统一平台、统一数据、统一网络”,逐步实现系统集成、资源整合、信息共享的总体要求,彻底启动数字烟草建设,有效地推动了行业的规范管理,有力地促进了行业的深化改革。

(一)烟草行业网络基础设施建设已具规模,实现了互联互通。

行业地面通信骨干网已建成并全网投入运行,实现了国家局与行业各直属单位及所属卷烟厂、分公司、烟机厂和进出口口岸公司等69个节点之间的互联互通,入网率达到了100%;基本完成了行业各直属单位省域网建设,各直属单位与所属单位的联网率达到了96%;行业网络与信息安全体系初步形成,网络运行管理进一步增强。

启动了烟草行业安全认证体系(CA)建设和烟草行业信息安全等级划分的研究工作。

(二)信息化在行业运用范围更加广泛,建成了业务主题数据库。

国家烟草专卖局制定行业信息安全规划

国家烟草专卖局制定行业信息安全规划

14
/中国信息安全移动终端系 统和移动指挥系统的对接;整合现有资源,逐步 实现向地市、区县级机构覆盖。另一方面要加强 应急指挥系统的应用建设。要逐步建立数据采集 和分析系统,实现12365应急指挥系统、行政监察 系统、疫病疫情分析系统、风险预警系统等重要 系统和应急指挥系统的对接。与此同时,还要做 好组织工作。把现有资源整合起来,同时开发新 的系统,并进一步加大建设投入。
ISO/IEC JTC1/SC27工作组会议召开
10月10-14日,国际ISO/IEC JTC1/SC27(信 息安全分技术委员会)工作组会议在肯尼亚首都内 罗毕肯雅塔国际会议中心召开,来自40多个国家 和地区的代表出席了本次会议。由国家信息技术 安全研究中心崔书昆研究员、中国信息安全测评 中心江常青、中国信息安全认证中心魏军、中国 电子技术标准化研究所上官晓丽及北京时代新威 信息技术有限公司、西安西电捷通无线网络通信 有限公司、上海三零卫士信息安全有限公司组成 的代表团参加了此次会议并作相关提案。 ISO/IEC JTC1/SC27(信息安全分技术委员 会)大会每年五月和十月召开两次,此次会议为工 作组会议。大会分为WG1-WG5五个工作组,工 作组分别探讨了信息安全管理、密码技术与安全 机制、安全评价准则、安全控制与服务及身份管 理与隐私保护技术等方面的问题。
国家烟草专卖局制定行业信息安全规划
CNITSEC
近日,中国烟草学会信息化专业委员会网络 与信息安全学组研讨会在武汉召开。会上,国家烟 草专卖局信息中心有关负责人介绍了制定行业信息 安全规划以及相关制度、标准、规范的目的、意义 和主要内容等,并对行业正在开展的信息安全检查 及统计并轨工作提出了具体要求。 会议期间,工信部电子科技情报研究所副所 长就国际国内的信息安全形势,工业控制系统安 全、云安全、物联网安全等内容对与会人员进行了 培训;山西、湖北省烟草专卖局(公司)交流了本 单位开展信息安全运维工作经验;荆州市烟草专卖 局(公司)汇报了基层单位贯彻实施安全运维一体 化保障体系的具体做法和效果;与会代表认真讨论 了《行业“十二五”信息安全规划》、《计算机终 端应用安全保护措施》、《行业运维管理办法、运 维费用标准》以及湖北省局(公司)在国家局指导 下编写的《运维规范》。 北京、天津、山西、内蒙古等省级局(公 司)、福建、广西中烟公司等18家行业网络与信息 安全学组成员单位有关负责人,湖北省局(公司) 各单位信息中心主任参加会议。

烟草行业信息系统容灾备份建设指南

烟草行业信息系统容灾备份建设指南

烟草行业信息系统容灾备份建设指南一、简介烟草行业作为我国国民经济的支柱产业之一,信息系统在其管理和运营过程中扮演着至关重要的角色。

为了保障信息系统的正常运行和数据的安全性,烟草行业必须建立健全的容灾备份系统。

本文将针对烟草行业信息系统容灾备份建设进行深度探讨,以期为行业相关从业人员提供指导和借鉴。

二、容灾备份的定义和重要性容灾备份是指为防止因意外事件而导致的信息系统中断或数据丢失而采取的预防性措施,其核心目的在于确保业务连续性和数据安全。

在烟草行业,信息系统容灾备份具有重要的意义。

烟草行业的运营数据庞大,一旦发生数据丢失或系统中断,将对行业的正常运转造成严重影响;另烟草行业的信息系统直接关系到烟草生产、销售、流通等方方面面,因此必须确保信息系统的高可用性和稳定性。

三、容灾备份建设的基本原则1.全面性:容灾备份建设必须覆盖烟草行业的所有关键信息系统,包括但不限于生产管理系统、销售管理系统、仓储物流系统等。

2.多样性:采用多种备份手段和技术,包括数据备份、镜像备份、异地备份等,以确保备份的全面性和可靠性。

3.自动化:容灾备份系统应该具备自动化的备份流程和监控机制,减少人为操作的可能性,提高备份效率和可靠性。

4.定期性:定期对备份系统进行检测和验证,确保备份数据的完整性和一致性。

5.安全性:备份数据必须具备加密和权限控制机制,以防止数据泄露和损坏。

四、容灾备份建设的具体步骤1.需求分析:根据烟草行业的信息系统特点和业务需求,明确容灾备份的基本要求和功能。

2.系统设计:设计容灾备份系统的架构和技术方案,包括备份服务器的选型、网络连接、存储设备等。

3.设备采购:根据系统设计的要求,选购备份服务器、存储设备、网络设备等硬件设备,并确保设备的可靠性和兼容性。

4.软件选型:选择适合烟草行业信息系统的备份软件和监控工具,确保软件的稳定性和兼容性。

5.系统建设:按照系统设计的方案,对备份系统进行实施和部署,包括网络连接、设备配置、软件安装和调试等。

论烟草行业网络信息安全保障体系构建

论烟草行业网络信息安全保障体系构建
摘 要 :烟草 行业 网络信 息安全措 施 应是 能全 方位地针 对各 种 不 同的威胁 和脆 弱性 ,建 立起 的一套 完整 的 网络信 息安 全保 障体 系,只有 这样 才能确 保烟 草行 业 网络 信 息的保 密性 ,完整性 和 -h性 。本 文结合 当前烟草 行 业 网络 信息 安全现 状 - ̄ - J -
a dtecn t cino n t r ft ainscrt v rlo jcie yte o a c d s yn t okifr t nsc r se n o s u t f e h r o wokio i t eui o eal bet s b c oi u t e r omai ui s tm n n o y v b ht n r w n o e t y y
Ab ta tT e tb c o id s y i an t r f r t n s c r y me s r ss o l e i l d r cin ra v r t ftr as sr c : h a c u t S ewo k i o mai e u i a u e h u d b al i t sf a i o e t o n r n o t n e o o e y h a d v le a i t sa d e tb i o lt s to e wo k i f r t n s c r y tm. e o l y t n u e ta e tb c o n u n rb l i . s l h a c mp ee e fn t r omai e u i s s ie n a s n o y t e t ny wa o e s t o a c h r h t h
和 建设 总 目标 ,提 出了烟草行 业 网络信 息安全 保 障体 系的构 建 。

烟草行业信息系统安全等级保护基本要求

烟草行业信息系统安全等级保护基本要求

烟草行业信息系统安全等级保护基本要求二○一一年五月目次引言...................................................................................................................................................... - 3 -1.范围 .............................................................................................................................................. - 4 -2.规范性引用文件 .......................................................................................................................... - 4 -3.术语和定义 .................................................................................................................................. - 4 -3.1.安全保护能力....................................................................................................................... - 4 -4.烟草行业信息系统安全等级保护概述....................................................................................... - 4 -4.1.烟草行业信息系统安全保护等级........................................................................................... - 4 -4.2.不同等级的安全保护能力....................................................................................................... - 4 -4.3.基本技术要求和基本管理要求............................................................................................... - 5 -4.4.基本技术要求的三种类型....................................................................................................... - 5 -5.第一级基本要求 .......................................................................................................................... - 5 -5.1.技术要求................................................................................................................................... - 5 -5.1.1.物理安全............................................................................................................................... - 5 -5.1.2.网络安全............................................................................................................................... - 7 -5.1.3.主机安全............................................................................................................................... - 8 -5.1.4.应用安全............................................................................................................................... - 9 -5.1.5.数据安全及备份恢复........................................................................................................... - 9 -5.2.管理要求................................................................................................................................. - 10 -5.2.1.安全管理制度..................................................................................................................... - 10 -5.2.2.安全管理机构..................................................................................................................... - 10 -5.2.3.人员安全管理..................................................................................................................... - 11 -5.2.4.系统建设管理..................................................................................................................... - 12 -5.2.5.系统运维管理..................................................................................................................... - 15 -6.第二级基本要求 ........................................................................................................................ - 18 -6.1.技术要求................................................................................................................................. - 18 -6.1.1.物理安全............................................................................................................................. - 18 -6.1.2.网络安全............................................................................................................................. - 21 -6.1.3.主机安全............................................................................................................................. - 23 -6.1.4.应用安全............................................................................................................................. - 26 -6.1.5.数据安全及备份恢复......................................................................................................... - 28 -6.2.管理要求................................................................................................................................. - 29 -6.2.1.安全管理制度..................................................................................................................... - 29 -6.2.2.安全管理机构..................................................................................................................... - 30 -6.2.3.人员安全管理..................................................................................................................... - 31 -6.2.4.系统建设管理..................................................................................................................... - 33 -6.2.5.系统运维管理..................................................................................................................... - 37 -7.第三级基本要求 ........................................................................................................................ - 44 -7.1.技术要求................................................................................................................................. - 44 -7.1.1.物理安全............................................................................................................................. - 44 -7.1.2.网络安全............................................................................................................................. - 49 -7.1.3.主机安全............................................................................................................................. - 53 -7.1.4.应用安全............................................................................................................................. - 56 -7.1.5.数据安全及备份恢复......................................................................................................... - 60 -7.2.管理要求................................................................................................................................. - 61 -7.2.1.安全管理制度..................................................................................................................... - 61 -7.2.2.安全管理机构..................................................................................................................... - 63 -7.2.3.人员安全管理..................................................................................................................... - 66 -7.2.4.系统建设管理..................................................................................................................... - 69 -7.2.5.系统运维管理..................................................................................................................... - 76 -8.第四级基本要求 ........................................................................................................................ - 87 -9.第五级基本要求 ........................................................................................................................ - 87 -附录 A (规范性附录)烟草行业信息系统整体安全保护能力要求 ...................................... - 88 -附录 B (规范性附录)烟草行业信息系统安全要求的选择和使用 ...................................... - 90 -引言本要求依据国家信息安全等级保护管理规定制订。

烟草行业信息化建设3篇

烟草行业信息化建设3篇

烟草行业信息化建设篇1:烟草行业如何推进信息化建设烟草行业如何推进信息化建设(2008-10-10 16:50:25)“数字烟草”是21世纪信息科学技术与烟草生产管理结合的必然产物,是未来烟草生产科技革命的重要内容,也是我国烟草行业发展的一个重要方向。

“数字烟草”是21世纪信息科学技术与烟草生产管理结合的必然产物,是未来烟草生产科技革命的重要内容,也是我国烟草行业发展的一个重要方向。

当今中国的烟草行业面临着全球化、信息化的冲击,只有适应变化、迎接挑战、以变应变,才能在市场竞争中立于不败之地。

为此,我国的烟草行业在传统的专卖管理模式中注入了信息化的内涵,大力打造“数字专卖”、“数字烟草”。

对比国内外同行业信息化建设水平,烟草行业信息化建设与国内其他行业相比还是比较领先和有特点的,行业信息传输公路已基本开通,技术设施较为领先,为系统集成奠定了基础;行业信息应用系统普及,办公自动化手段有了较大改进,提高了行业办公和行政审批效率,为行业信息化建设起到了较大的促进作用。

然而,也应该看到,行业整体信息化建设和应用水平还比较低、集成度较差、存在问题也不少。

烟草行业的信息化建设作为国家信息化建设的一个组成部分,存在的问题与大环境分不开,大部分问题属于共性问题,主要表现在以下几方面:一是照搬国外。

信息化是从西方国家发展起来的,是建立在高水平管理机制上的。

把在这个基础上形成的信息化方案拿到管理水平总体上还处于初级阶段的中国来,不可能完全适应。

二是信息化建设各自为主,“信息孤岛”和“信息烟筒”现象严重。

由于行业信息化建设项目缺乏明确和严格的立项审批程序和管理制度,行业信息化总体建设规划和指导原则不健全,各单位在开发和建设信息化项目中,自主性较大。

在卷烟企业、商业企业,不少单位还对单一系统分别立项开发和建设,而不考虑系统的整体和集成性,造成同时建设的项目不能集成,无法实现信息共享和资源共享。

工业、商业和政务信息脱节,各卷烟企业很难及时获得商业流通领域的全面、及时、详细和准确的销售信息与市场信息,实现以销定产。

等级保护思想在烟草行业信息安全体系建设的研究及应用

等级保护思想在烟草行业信息安全体系建设的研究及应用
r i s k s a e r a l s o i n c ea r s i n g d a y b y d a y . T o e f e c t i v e l y e r d u c e i n f o r ma t i o n s e c u r i t y r i s k s , t h e a r t i c l e i n t r o d u c e s C l a s s i i f e d p r o t e c t i o n i d e a , b y a n a l y z i n g t h e
1 等级保护思想
等级 保 护思 想 2 0世 纪 8 0年代 在美 国产生 以来 ,
对 信 息 安 全 的 研 究 和 应 用 产 生 着 深 远 的 影 响 。 以 [ T S E C、 T C S E C、 CC 等 为 代 表 的 一 系 列 安 全 评 估 准 则 相 继 台 , 被越 来越 多 的国家 和行业 所 引入 。 我 国于 2 0世
i d e o l o g i c a l c h a r a c t e r i s t i c s a n d t h e i mp l e me n t a t i on p a t h ,we r e s e a r c h t h e i n t e gr a t i o n b u s i n e s s r e l a t i o n s h i p b e t we e n c l a s s i f i e d p r o t e c t i o n i d e a a n d i n f o r ma t i o n s e c u r i t y s y s t e ms , a n d b u i l d t h e c h a r a c t e r i s t i c s wh i c h c on f o r m t o t o b a c c o i n f o r ma t i o n s e c u r i t y s y s t e m.

烟草行业信息化标准体系

烟草行业信息化标准体系

烟草行业信息化标准体系烟草行业信息化标准体系(征求意见稿)××××-××-××发布××××-××-××实施国家烟草专卖局发布目次前言 (IV)引言 (V)1 范围 (1)2 规范性引用文件 (1)3 术语与定义 (2)4 烟草行业信息化标准体系 (4)4.1标准体系组成 (4)4.2烟草行业信息化标准体系的分体系说明 (5)4.3标准体系逻辑框图 (11)5 烟草行业信息化标准体系的发展模式 (12)附录 A (规范性附录)烟草行业信息化标准体系明细表 (14)A.1 总体标准分体系 (14)A.1.1 术语标准明细表 (14)A.1.2 标准化指南明细表 (19)A.1.3 总技术要求明细表 (20)A.2 应用标准分体系 (21)A.2.1 文档交换格式标准明细表 (21)A.2.2 应用系统标准明细表 (22)A.3 信息资源标准分体系 (24)A.3.1 数据元标准明细表 (24)A.3.2 信息分类与编码标准明细表 (27)A.3.3 数据库标准明细表 (32)A.4 应用支撑标准分体系 (33)A.4.1 数据中心标准明细表 (33)A.4.2 描述技术标准明细表 (34)A.4.3 目录/Web服务标准明细表 (35)A.5 网络基础设施标准分体系 (37)A.5.1 网络总体标准明细表 (37)A.5.2 SDH传送网标准明细表 (38)A.5.3 IP网标准明细表 (38)A.5.4 ATM标准明细表 (41)A.5.5 以太网标准明细表 (42)A.5.6 卫星通信网标准明细表 (46)A.5.7 接入标准明细表 (48)A.5.8 会议电视标准明细表 (49)A.5.9 综合布线标准明细表 (50)A.6 信息安全标准分体系 (51)A.6.1 信息安全体系标准明细表 (51)A.6.2 网络安全标准明细表 (54)A.6.3 系统安全标准明细表 (55)A.6.4 应用安全标准明细表 (60)A.6.5 物理安全标准明细表 (61)A.6.6 安全管理标准明细表 (63)A.7 信息化管理标准分体系 (67)A.7.1 系统管理标准明细表 (67)A.7.2 软件工程标准明细表 (68)A.7.3 项目管理标准明细表 (70)A.7.4 质量管理标准明细表 (71)图1 烟草行业信息化标准体系框架 (7)图2 烟草行业信息化标准体系逻辑框图 (12)图3 烟草行业信息化标准体系的PDCA循环发展模式 (12)前言本标准体系为烟草行业信息化建设、规划、运行以及烟草行业信息化标准的制、修订与管理提供了依据。

烟草行业信息网络安全保障体系的构建

烟草行业信息网络安全保障体系的构建

烟草行业信息网络安全保障体系的构建摘要:本文结合烟草行业信息化的特征,探讨了烟草行业信息网络安全保障体系的构建原则、框架和实施效果,并以某市烟草局为例进行了实证研究和探讨。

本文首先分析了烟草行业信息网络安全现状分析,随后提出了构建烟草行业信息网络安全保障体系的三大原则,即安全性原则、可行性原则和可持续性原则,并在此基础上构建了烟草行业信息网络安全保障体系的具体框架,包括组织架构、安全管理制度、安全技术措施、安全意识培训和应急预案和演练。

最后,以某市烟草局为例,探讨烟草行业信息网络安全保障体系的实施效果。

关键字:烟草行业;信息网络安全;保障体系;构建原则;在当今信息化的时代,烟草行业也逐渐依赖于信息技术的支持来提高生产效率和市场竞争力。

随之而来的是,烟草行业也面临着信息网络安全的威胁。

如何构建一套稳健而有效的信息网络安全保障体系,成为了保障烟草行业信息安全的关键。

一、引言烟草行业是中国国民经济中一个重要的产业,也是一个不可或缺的税收来源。

近年来,随着信息化的兴起,烟草生产和销售逐渐倚重于信息技术的支持。

但是,信息网络安全威胁的增长也给烟草行业的信息安全带来了巨大的挑战。

在这种背景下,本文以构建烟草行业信息网络安全保障体系为研究目标,通过政策法规、文献调研和实证分析等方法,探讨了烟草行业信息网络安全保障体系的构建原则和可行框架,并以某市烟草局为例,探讨烟草行业信息网络安全保障体系的实施效果。

希望本文能够为烟草行业信息网络安全保障体系的优化提供一定的理论与实践参考。

二、烟草行业信息网络安全现状分析在当前的信息化时代,烟草企业要面临的网络安全威胁不断增加,其信息资产会涉及到很多机密信息,包括经济、商业、技术等。

首先,网络钓鱼和社交工程是烟草企业应该重视的安全威胁之一。

攻击者通过伪造虚假信息欺骗企业工作人员透露敏感信息,如用户名和密码等,从而获取更高等级敏感信息。

通过制定完善的网络安全策略和加强员工的网络安全教育,企业可以防止这种网络钓鱼行为的发生,提高员工的安全防范意识和技能,以确保企业信息安全。

烟草企业网络安全防护体系建设

烟草企业网络安全防护体系建设

烟草企业网络安全防护体系建设摘要:随着信息技术的发展,互联网的安全问题越来越受到各行各业和企业的重视。

目前,计算机系统的安全保密技术得到了极大的发展,但目前的信息保密技术和各种安全防范手段仍不能完全满足用户的需要。

本文将对烟草企业中存在的网络安全问题从技术和管理两个方面提出优化措施,以期能够更好地提升烟草企业的网络安全水平。

关键词:大数据;烟草企业;网络安全;防护措施1.引言在我国科学技术不断发展的背景下,网络技术也得到了快速发展,烟草企业网络安全也成为当前值得重点关注的工作内容之一。

烟草企业网络系统中储存了大量的信息数据资源,因此为了更好地保障用户的个人信息,将需要切实针对其中存在的网络安全隐患,做好网络安全技术策略的融入,进而为推动烟草企业的可持续性运行奠定良好基础。

2.大数据下烟草企业网络安全所存在的问题2.1病毒恶意入侵随着网络技术的飞速发展,网络信息的传递渠道也日益丰富,同时也为网络病毒的入侵创造了有利的条件。

在使用电脑的时候会遇到各种各样的病毒,进而导致电脑系统出现信息泄漏以及系统瘫痪等问题,进而影响烟草企业的工作效率。

期间黑客利用专业技术手段,在烟草企业电脑系统中安装具有破坏性的软件,以达到窃取数据、破坏系统等目的。

目前,烟草企业内的病毒有两种,一种是工作人员在使用电脑时,随身携带的U盘中携带病毒,当电脑与U盘之间进行数据交换时,将会对电脑产生一定的危害。

二是因网络被非法侵入,如被非法侵入,导致计算机网络受到损害。

2.2信息系统管理问题现阶段,虽然我国在信息化领域取得了较为出色的发展,也实现了较为完善的信息系统管理机制构建。

但是在机制构建上,依然缺乏一定的科学性,导致信息系统开发者在进行系统开发的过程中,过于关注系统的软硬件设计,而不重视系统应用过程中所需的人员配置。

在这种情况下,一旦有网络通信安全问题爆出,就会导致在信息系统管理工作践行上,难以实现规范化的运作,诱发网络通信安全问题。

大数据背景下的烟草行业数据信息安全保护建设方法研究

大数据背景下的烟草行业数据信息安全保护建设方法研究

大数据背景下的烟草行业数据信息安全保护建设方法研究摘要:本文旨在探讨大数据背景下烟草行业的数据信息安全保护方法,并提出相应的建设方向。

首先,概述了大数据与烟草行业的关系,强调了数据信息安全保护的重要性和挑战。

接着,分析了烟草行业数据信息安全保护的关键方法和风险。

然后,提出了烟草行业数据信息安全保护的建设方向,包括人员培训与意识提升、安全策略与管理体系构建以及技术方案与应用。

本文旨在为烟草企业提供可行的解决方案,以提高数据信息安全保护水平。

1引言在当今大数据时代,烟草行业作为传统行业受到数字化转型的迫切需求。

随着大数据技术的广泛应用,烟草企业拥有了大量的数据资源,包括市场调研数据、消费者信息、销售数据等。

然而,随之而来的是数据信息安全保护的方法,如个人隐私泄露、网络攻击等。

本文将对烟草行业在大数据背景下的数据信息安全保护进行探讨,以期为烟草企业提供可行的解决方案,以提高数据信息安全保护水平。

大数据对烟草行业带来了新的机遇和挑战。

首先,大数据平台的建设和应用使得烟草企业能够收集和分析大量的数据,从而实现更精准的市场预测和决策。

其次,数据采集和处理的增加使得烟草企业能够更好地理解消费者需求和行为,从而提供个性化的产品和服务。

最后,数据驱动的决策和创新成为了烟草企业提升竞争力的重要手段。

2数据信息安全保护的重要性在全球化、信息化的大数据时代,数据信息安全保护的重要性日益凸显,尤其对于烟草企业而言,其拥有的大量核心数据资产,如市场数据、产品研发数据和消费者信息等,对企业运营和发展至关重要。

然而,数据泄露和滥用的风险始终存在,一旦数据被不法分子获取或滥用,将对企业造成巨大的损失。

此外,数据信息安全保护也涉及到企业声誉和优势竞争力的维护,因此,数据信息安全保护在大数据时代显得尤为重要。

首先,深入理解烟草企业核心数据资产的重要性。

在大数据时代,数据被誉为“新的石油”,是驱动企业发展的关键资源。

烟草企业拥有的市场数据、产品研发数据和消费者信息等,既是企业运营的基础,也是企业决策的依据。

烟草行业网络信息安全保障体系构建包括哪些

烟草行业网络信息安全保障体系构建包括哪些

烟草⾏业⽹络信息安全保障体系构建包括哪些烟草⾏业⽹络信息安全保障体系构建⽹络信息安全保障体系建设包括三个体系,即安全管理,技术保障,安全运维,这三个体系是不可分割的,相互补充。

只有这三个体系安全完善,才能确保烟草⾏业⽹络信息安全得到保障。

(⼀)安全管理体系建设安全管理是系统安全的重要组成部分,负责对安全架构的其它⼏个部分进⾏协调和监管,以实现安全保密架构的整体安全防范职能。

安全保密管理部分在很⼤程度上涉及到⼈员管理和资源调配等管理层⾯的内容,因⽽也是整个安全保密架构中技术⼿段和管理⼿段结合较紧密的⼀个部分。

参照iso/iec17799信息安全管理标准的思路以及有关内容,烟草信息安全管理体系的建设包括风险评估机制的确定、安全管理策略的制定、安全管理组织架构的建设、安全管理技术平台的建设以及⽇常安全管理制度的建设等。

由于烟草⾏业计算机⽹络与信息安全系统架构的建⽴和实施将涉及到整个烟草系统从管理、技术到⼀般⼯作⼈员的各个层⾯,并需要各⽅⾯资源的有⼒⽀持,并从管理体制上进⾏必要的调整以适应安全系统建设的需要。

(⼆)技术保障体系建设1.确保物理安全。

物理安全的⽬的是保护计算机系统、⽹络服务器、打印机等硬件实体和通信链路免受⾃然灾害、⼈为破坏和搭线攻击;验证⽤户的⾝份和使⽤权限,防⽌⽤户越权操作;确保计算机系统有⼀个良好的电磁兼容⼯作环境;建⽴完备的安全管理制度,防⽌⾮法进⼊计算机控制室和各种偷窃、破坏活动的发⽣。

2.实⾏访问控制。

为了实现⽹络访问控制,可以在内部⽹络和外部⽹络之间设置⼀个netscreen或ciscopix防⽕墙。

防⽕墙的⼀块⽹卡连接在内部交换机上,另⼀块⽹卡连接在路由器上。

所有从internet访问烟草⾏业计算机信息⽹络内部⽹络的访问请求都⾸先到达防⽕墙,防⽕墙可以通过分析这些数据包的性质控制对主机的访问;同时,防⽕墙还可以针对internet制定安全策略,只允许与业务有关的通讯进⼊烟草⾏业⽹络,其他的⽹络服务请求都加以拒绝,来⾃外⽹的攻击⾏为就不能到达⽹络的主机。

烟草行业信息安全运维管理体系建设的分析

烟草行业信息安全运维管理体系建设的分析

烟草行业信息安全运维管理体系建设的分析发表时间:2017-06-19T09:56:27.930Z 来源:《基层建设》2017年6期作者:韦泰丞[导读] 为了更好地满足于现代化烟草行业安全运维管理体系建设的需求,本文也对烟草行业信息安全运维管理体系建设进行了具体的分析。

广西中烟工业有限责任公司广西南宁 530001摘要:在信息技术不断发展过程中,烟草行业信息化进程也在不断加剧,为了更好地满足于现代化烟草行业安全运维管理体系建设的需求,本文也对烟草行业信息安全运维管理体系建设进行了具体的分析。

关键词:烟草行业;信息安全;运维管理体系0.引言为了能够最大程度促进烟草行业信息化水平,我国对于这一行业内部安全保障体系建设原则以及内容也进行较为明确的规定,同时还制定出来相应的业务信息安全策略以及安全管理体系,希望通过这些要求来指导烟草行业信息安全运维管理体系建设工作的开展。

但是,在烟草行业信息化实际建设过程中还是存在着一些问题,而为了能够有效地避免这些问题,笔者也提出了具体的建设措施以及建议。

1.烟草行业信息安全运维管理体系建设中所存在的问题就目前而言,在信息化技术不断发展过程中,我国烟草行业信息化建设相比较于之前也取得了较为显著的成就,相应的信息化系统也在不断的完善、规模化,就比如说现如今常见的MIS(管理信息系统)、OA(办公自动化系统)、客户管理系统(CRM)等应用程序都可以将其应用到烟草行业信息化建设当中。

但是,我国烟草行业信息化建设相比较于之前虽然已经取得了较为显著的成就,但是,在实际建设过程中还是存在着一定的问题,具体表现为以下几个方面:(1)缺乏完善的信息安全管理规范。

烟草行业在信息化建设过程中,没有较为完善的信息安全管理规范,所以在实际工作过程中就很难讲安全标准以及制度落实到其中,最终很容易出现各种信息安全问题。

(2)在建设过程中,还有部分企业没有建立起信息资产认证,在这种情况下就不能按照信息的重要性对资产进行规范和保护,最终就会致使业务和实际需求存在较为显著的差异。

国家烟草专卖局关于开展行业内联网互联互通安全运行情况检查的通知

国家烟草专卖局关于开展行业内联网互联互通安全运行情况检查的通知

国家烟草专卖局关于开展行业内联网互联互通安全运行情况检查的通知文章属性•【制定机关】国家烟草专卖局•【公布日期】2003.03.24•【文号】国烟办[2003]131号•【施行日期】2003.03.24•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】专卖、专营正文国家烟草专卖局关于开展行业内联网互联互通安全运行情况检查的通知(国烟办[2003]131号)各省、自治区、直辖市及大连、深圳市烟草专卖局(公司),郑州烟草研究院:为贯彻落实2003年全国烟草工作会议及全国烟草行业信息化工作会议要求,确保行业内联网的互联互通、安全运行,国家局决定在全行业开展行业内联网互联互通、安全运行情况的检查工作。

现将有关事项通知如下:一、主要检查内容1.各省级局(公司)机关局域网和省域网建设情况。

2.《烟草行业计算机网络建设技术规范》(以下简称“网络规范”)和《烟草行业计算机网络和信息安全技术与管理规范》(以下简称“安全规范”)的执行情况。

3.各省级局(公司)、地市级局(分公司)及重点卷烟工业企业的局域网(园区网)与国家局网络的互联互通及应用情况。

二、检查工作的组织与时间安排本次检查工作由国家局烟草经济信息中心具体组织,抽调省级局(公司)有关人员组成检查组,逐省检查。

3月下旬,在四川、重庆进行检查试点工作。

其他各省级局(公司)的检查时间安排如下:4月份检查上海、江苏、浙江、安徽、云南;5月份检查湖南、湖北、山东、大连;6月份检查广东、深圳、江西、福建、吉林、北京、天津;7月份检查河北、山西、河南、郑州烟草研究院、内蒙;8月份检查广西、海南、辽宁、黑龙江;9月份检查甘肃、青海、陕西、宁夏、贵州;10月份检查西藏、新疆。

以上安排,如有变化,将另行通知有关省级局(公司)。

三、要求1.各省级局(公司)要高度重视行业内联网的互联互通、安全运行工作,按照“网络规范”和“安全规范”要求,加强管理,保障网络的互联互通、安全运行。

烟草行业安全防护方案

烟草行业安全防护方案

天融信烟草行业安全防护方案1.烟草行业信息系统概述2004年上半年,烟草行业加快了“电话订货、网上配货、电子结算、现代物流”为主要内容的现代流通建设,进一步完善网络功能和提升网络运行质量。

启动了全国卷烟销售网络标准化工作,组织行业内外专家、业务骨干制定网络的标准和规范。

电子商务作为建立卷烟销售网络各环节信息共享的统一平台发挥了重要的作用,通过平台的管理机制,集中管理卷烟代码、统一批发价格、用户账号等基础信息,从而既可以实现数据库的分布存储,又能对信息进行集中统一管理,在保证数据共享的同时,降低了因数据集中带来的风险。

该平台包括:基本信息管理系统(BIS)、销售管理信息系统(XSMIS)、专卖管理信息系统(ZMMIS)、客户关系管理系统(CRM)、仓储管理系统(WMS)、电话访销系统(CTI)、品牌策划支持分析系统(PPS)、零售连锁网上配货系统(CNS)、信息查询系统(IQS)、办公自动化(OA)系统等十几个业务功能系统,可以说,卷烟销售网络的建设也推动了业务流程的重组。

但是随着网络开放性、互连性、共享性程度的扩大,网络的重要性和对社会的影响也越来越大,网络的安全问题也变得越来越重要。

信息网络的安全问题不仅仅涉及到国家的经济安全,还影响着国家的国防安全、政治安全和文化安全。

国家烟草局非常重视信息安全建设,因此特召开了关于学习贯彻《烟草行业计算机网络和信息安全技术管理规范》的会议,北京天融信公司作为国家烟草行业重要的网络安全技术顾问单位,我们认真的研究了会议精神,针对于烟草行业网络的特点,采取动态、科学的设计思想及原则,将信息安全系统规划成合理、科学的网络安全体系应用于烟草行业信息网。

我们在网络安全体系及安全管理体系上有层次、有内容、有方法,在设计方案上有坚实的理论基础,整体安全规划设计所提供的信息安全产品具有良好的前瞻性,把烟草行业信息网安全系统建设成为以安全管理、访问控制、安全审计、全监控平台为基础的,基于策略的、动态的、实时的信息安全系统。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

烟草行业信息安全保障体系建设指南国家烟草专卖局二〇〇八年四月前言烟草行业信息安全保障体系是行业信息化健康发展的基础和保障,是行业各级数据中心的重要组成部分。

为推进行业信息安全保障体系建设,提高信息安全管理水平和保障能力,国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》(以下简称《指南》)。

行业各单位要结合本单位实际情况认真落实《指南》的各项要求,构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系,做到信息安全工作与信息化建设同步规划、同步建设、协调发展。

《指南》按照《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的要求,依照《信息系统安全保障评估框架》(GB/T 20274—2006)等有关国家标准,运用目前信息安全领域广泛应用的思想和方法,明确了烟草行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求。

由于水平所限,对《指南》中的不足之处,望各单位在应用过程中提出宝贵意见。

《指南》由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写。

《指南》编写组组长:高锦;副组长:陈彤;主要成员:张雪峰,王海清,耿刚勇,张利,孙成昊,黄云海,耿欣,刘辉等。

目录1范围 (3)2引用和参考文献 (3)2.1国家信息安全标准、指南 (3)2.2国际信息安全标准 (4)2.3行业规范 (5)3术语定义和缩略语 (5)3.1安全策略 (5)3.2安全管理体系 (5)3.3安全技术体系 (5)3.4安全运维体系 (6)3.5信息系统 (6)3.6缩略语 (6)4信息安全保障体系建设总体要求 (7)4.1信息安全保障体系建设框架 (7)4.2信息安全保障体系建设原则 (9)4.3信息安全保障体系建设基本过程 (10)5信息安全保障体系建设规划 (11)6安全策略 (12)6.1总体方针 (13)6.2分项策略 (14)7管理体系 (15)7.1组织机构 (15)7.2规章制度 (18)7.3人员安全 (18)7.4安全教育和培训 (22)8技术体系 (24)8.1访问控制 (25)8.2信息系统完整性保护 (30)8.3系统与通信保护 (33)8.4物理环境保护 (36)8.5检测与响应 (39)8.6安全审计 (41)8.7备份与恢复 (42)9运维体系 (45)9.1流程和规范 (46)9.2安全分级 (46)9.3风险评估 (47)9.4阶段性工作计划 (49)9.5采购与实施过程管理 (50)9.6日常维护管理 (53)9.7应急计划和事件响应 (56)9.8绩效评估与改进 (59)1范围本《指南》明确了行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理体系、信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求。

《指南》中涉及的信息安全,是指由信息系统产生的信息的保密性、完整性和可用性不遭受破坏。

本《指南》仅适用于行业中不涉及国家秘密的信息系统,涉及国家秘密的信息系统的安全保护工作应按照国家及国家局保密部门的相关规定进行。

2引用和参考文献本文在编制过程中,依据和参考了国内外信息安全方面的相关标准、法规、指南以及烟草行业的相关标准规范,主要包括:2.1国家信息安全标准、指南GB/T 20274—2006 信息系统安全保障评估框架GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分:信息技术安全概念和模型GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分:管理和规划信息技术安全GB/T 19716—2005 信息技术—信息安全管理实用规则GB/T 18336—2001 信息技术—安全技术—信息技术安全性评估准则GB 17859—1999 计算机信息系统安全保护等级划分准则电子政务信息安全等级保护实施指南(试行)(国信办[2005]25号)GB/T 20984—2007信息安全技术信息安全风险评估规范GB/T 20988—2007信息系统灾难恢复规范GB/Z 20986—2007信息安全事件分类分级指南2.2国际信息安全标准ISO/IEC 27001:2005信息安全技术信息系统安全管理要求ISO/IEC 13335—1: 2004 信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型ISO/IEC TR 15443—1: 2005 信息技术安全保障框架第一部分概述和框架ISO/IEC TR 15443—2: 2005信息技术安全保障框架第二部分保障方法ISO/IEC WD 15443—3 信息技术安全保障框架第三部分保障方法分析ISO/IEC PDTR 19791: 2004 信息技术安全技术运行系统安全评估2.3行业规范烟草行业计算机网络和信息安全技术与管理规范(国烟法[2003]17号)烟草行业计算机网络建设技术与管理规范(国烟办综[2006]312号)3术语定义和缩略语下列术语和定义适用于本《指南》。

3.1安全策略安全策略是为保障一个单位信息安全而规定的若干安全规划、过程、规范和指导性文件等。

3.2安全管理体系安全管理体系简称“管理体系”,是为保障信息安全以“安全策略”为核心而采取的一系列管理措施的总和,内容主要包括建立健全组织机构和管理制度、实施人员管理和安全教育等。

3.3安全技术体系安全技术体系简称“技术体系”,是为保障“安全策略”的贯彻落实而采取的一系列技术措施的总和,内容主要包括访问控制、信息完整性保护、系统与通信保护、物理与环境保护、检测与响应、安全审计、备份与恢复等。

3.4安全运维体系安全运维体系简称“运维体系”,是为保障管理措施和技术措施有效执行“安全策略”而采取的一系列活动的总和,内容主要包括制订流程和规范、制订阶段性工作计划、开展风险评估、实施安全分级、规范产品与服务采购、加强维护管理、安全事件响应、绩效评估与改进等。

3.5信息系统信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.6缩略语PDCA规划实施检查调整(Plan Do Check Action)P2DR2策略防护检测响应恢复(Policy Protection Detection Response Recovery)MAC介质存取控制(Media Access Control)IP网际协议(Internet Protocol)EAP扩展鉴权协议(Extensible Authentication Protocol)CNCERT国家计算机网络应急技术处理协调中心(National Computer Network Emergency Response Technical Team)IDS 入侵侦测系统(Intrusion Detection System)IPS入侵防护系统(Intrusion Prevention System)DoS 拒绝服务(Denial Of Service )A V 病毒防护(Anti—Virus)PKI 公钥基础设施(Public Key Infrastructure)PMI 特权管理基础设施(Permission Management Infrastructure)CA 数字证书认证机构(Certificate Authority)注:凡在本文中使用但未定义的术语按相关国家标准或规范解释,无相关国家标准或规范的,按学术界惯例解释。

本文中除非特殊说明,所指行业均为烟草行业。

4信息安全保障体系建设总体要求4.1信息安全保障体系建设框架根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)(以下简称27号文件)的精神,按照《信息系统安全保障评估框架》(GB/T 20274—2006)、《信息安全管理实用规则》(GB/T 19716—2005)等有关标准要求,本《指南》提出了以策略为核心,管理体系、技术体系和运维体系共同支撑的行业信息安全保障体系框架(如图1—1)。

图1—1行业信息安全保障体系框架在安全策略方面,应依据国家信息安全战略的方针政策、法律法规、制度,按照行业标准规范要求,结合自身的安全环境,制订完善的信息安全策略体系文件。

信息安全策略体系文件应覆盖信息安全工作的各个方面,对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则。

在管理体系方面,应按照27号文件的有关要求,将“安全策略”提出的目标和原则形成具体的、可操作的信息安全管理制度,组建信息安全组织机构,加强对人员安全的管理,提高全行业的信息安全意识和人员的安全防护能力,形成一支过硬的信息安全人才队伍。

在技术体系方面,应按照P2DR2模型,通过全面提升信息安全防护、检测、响应和恢复能力,保证信息系统保密性、完整性和可用性等安全目标的实现。

在运维体系方面,应制订和完善各种流程规范,制订阶段性工作计划,开展信息安全风险评估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行。

4.2信息安全保障体系建设原则行业信息安全保障体系建设应遵循以下原则:1)同步建设原则:信息安全保障体系建设应与信息化建设同步规划,同步建设,协调发展,要将信息安全保障体系建设融入到信息化建设的规划、建设、运行和维护的全过程中。

2)综合防范原则:信息安全保障体系建设要根据信息系统的安全级别,采用适当的管理和技术措施,降低安全风险,综合提高保障能力。

3)动态调整原则:信息安全保障体系建设要根据信息资产的变化、技术的进步、管理的发展,结合信息安全风险评估,动态调整、持续改进信息安全保障体系,贯彻“以安全保发展,在发展中求安全”的精神,保障和促进行业业务的发展。

4)符合性原则:信息安全保障体系建设要符合国家的有关法律法规和政策精神,以及行业有关制度和规定,同时应符合有关国家技术标准,以及行业的技术标准和规范。

4.3信息安全保障体系建设基本过程信息安全保障体系建设是管理与技术紧密结合,集“组织机构、规章制度、技术架构”三位一体的系统工程,也是与信息化同步发展,不断提高和完善的动态过程。

行业信息安全保障体系的建设与发展遵循《ISO/IEC 27001:2005 信息技术—安全技术—信息安全管理系统要求》提出的PDCA(Plan—Do—Check—Action)循环模式(如下图)。

“P”是规划过程,根据信息化建设的需求和信息安全风险现状,结合信息系统等级保护的要求,提出信息安全保障体系建设的总体目标、实施步骤和资源分配方式;“D”是实施过程,依据规划制订信息安全策略,给信息安全保障体系建设提供明确的目标和原则并通过安全管理体系、安全技术体系和安全运维体系的建立实施,贯彻和落实安全策略。

相关文档
最新文档