烟草行业信息安全保障体系建设指南20080418.doc

烟草行业信息安全保障体系建设指南 国家烟草专卖局 二〇〇八年四月 前　　言 烟草行业信息安全保障体系是行业信息化健康发展的基础和保障，是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设，提高信息安全管理水平和保障能力，国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》（以下简称《指南》）。行业各单位要结合本单位实际情况认真落实《指南》的各项要求，构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系，做到信息安全工作与信息化建设同步规划、同步建设、协调发展。 《指南》按照《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）的要求，依照《信息系统安全保障评估框架》(GB/T 20274—2006)等有关国家标准，运用目前信息安全领域广泛应用的思想和方法，明确了烟草行业信息安全保障体系建设的总体原则和建设内容，对行业信息安全策略的制订，以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求。由于水平所限，对《指南》中的不足之处，望各单位在应用过程中提出宝贵意见。 《指南》由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写。《指南》编写组组长：高锦；副组长：陈彤；主要成员：张雪峰，王海清，耿刚勇，张利，孙成昊，黄云海，耿欣，刘辉等。 目 录 1 范围 1 2 引用和参考文献 1 2.1 国家信息安全标准、指南 1 2.2 国际信息安全标准 2 2.3 行业规范 3 3 术语定义和缩略语 3 3.1 安全策略 3 3.2 安全管理体系 3 3.3 安全技术体系 3 3.4 安全运维体系 4 3.5 信息系统 4 3.6 缩略语 4 4 信息安全保障体系建设总体要求 5 4.1 信息安全保障体系建设框架 5 4.2 信息安全保障体系建设原则 7 4.3 信息安全保障体系建设基本过程 8 5 信息安全保障体系建设规划 9 6 安全策略 10 6.1 总体方针 11 6.2 分项策略 12 7 管理体系 13 7.1 组织机构 13 7.2 规章制度 16 7.3 人员安全 16 7.4 安全教育和培训 20 8 技术体系 22 8.1 访问控制 23 8.2 信息系统完整性保护 28 8.3 系统与通信保护 31 8.4 物理环境保护 34 8.5 检测与响应 37 8.6 安全审计 39 8.7 备份与恢复 40 9 运维体系 43 9.1 流程和规范 44 9.2 安全分级 44 9.3 风险评估 45 9.4 阶段性工作计划 47 9.5 采购与实施过程管理 48 9.6 日常维护管理 51 9.7 应急计划和事件响应 54 9.8 绩效评估与改进 57 范围 本《指南》明确了行业信息安全保障体系建设的总体原则和建设内容，对行业信息安全策略的制订，以及信息安全管理体系、信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求。 《指南》中涉及的信息安全，是指由信息系统产生的信息的必威体育官网网址性、完整性和可用性不遭受破坏。 本《指南》仅适用于行业中不涉及国家秘密的信息系统，涉及国家秘密的信息系统的安全保护工作应按照国家及国家局必威体育官网网址部门的相关规定进行。 引用和参考文献 本文在编制过程中，依据和参考了国内外信息安全方面的相关标准、法规、指南以及烟草行业的相关标准规范，主要包括： 国家信息安全标准、指南 GB/T 20274—2006 信息系统安全保障评估框架 GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分：信息技术安全概念和模型 GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分：管理和规划信息技术安全 GB/T 19716—2005 信息技术—信息安全管理实用规则 GB/T 18336—2001 信息技术—安全技术—信息技术安全性评估准则 GB 17859—1999 计算机信息系统安全保护等级划分准则 电子政务信息安全等级保护实施指南(试行)（国信办[2005]25号） GB/T 20984—2007信息安全技术 信息安全风险评估规范 GB/T 20988—2007信息系统灾难恢复规范 GB/Z 20986—2007信息安全事件分类分级指南 国际信息安全标准 ISO/IEC 27001:2005信息安全技术?信息系统安全管理要求 ISO/IEC 13335—1: 2004 信息技术 信息技术安全管理指南 第1部分：信息技术安全概念和模型 ISO/IEC TR 15443—1: 2005 信息技术安全保障框架 第一部分 概述和框架 ISO/IEC TR 15443—2: 2005信息技术安全保障框架 第二部分 保障方法 ISO/IEC WD 15443