YC_T 495-2014 烟草行业信息系统安全等级保护实施规范.docx

ICS 65.160 X 89 备案号：44828—2014 中 华 人 民 共 和 国 烟 草 行 业 标 准 YC/T 495—2014 烟草行业信息系统安全等级保护 实施规范 Implementation specifications for classified protection of information system of tobacco industry 2014-03-24 发布 2014-04-15实施 国家烟草专卖局 发 布 YC/T 495—2014 目 次 前言 I 1 范 围 1 2 规范性引用文件 1 3 术语和定义 1 4 烟草行业信息系统安全等级保护实施流程 2 5 信息系统安全保护等级 6 6 技术防护 8 7 安全管理 10 附录 A(规范性附录) 烟草行业信息系统安全等级保护基本要求 13 附录B(资料性附录) 安全目标实施措施示例 75 附录C(资料性附录) 安全风险分析表 80 附录D(资料性附录) 烟草行业信息系统应急演练基本要求 84 参考文献 86 I YC/T 495—2014 前 言 本标准按照GB/T 1.1—2009 给出的规则起草。 请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由国家烟草专卖局提出。 本标准由全国烟草标准化技术委员会信息分技术委员会(SAC/TC 144/SC7)归口。 本标准起草单位：国家烟草专卖局烟草经济信息中心、广东中烟工业有限责任公司、公安部第一研 究所。 本标准主要起草人：庄红、王海清、李超、耿欣、易伟文、林惠真、焉鹤、吕由。 YC/T 495—2014 烟草行业信息系统安全等级保护 实施规范 1 范围 本标准规定了烟草行业信息系统安全等级保护实施过程中的流程、等级划分与确定方法、技术保护 和安全管理的要求 本标准适用于指导烟草行业新建和已投人使用的信息系统安全等级保护的实施，为烟草行业信息 系统的定级、技术防护、安全管理提供依据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注 日 期的引 用文件 ，仅注目期的板本适用于本文 件。凡是不注日期的引用文性 ，其必威体育精装版版木(包括所 有的修改单)适用于本文件。 GB/T 2887 + 2011 计算 机场地 通 用规范 GB/Z 20986-2007信息安全技术 信息 安全事件 分类分级指南 GB/T 21052—2007 信息安圣技术 信息系统物理 安全技术要求 GB/T 22239—2008 信息安全技术 信 息系统安全 等级保护基本要求 GB/T 22240—2008信息安全技术 信息系统安全等级保护定 级 指南 GB/T 250582010 信息安全技术 信息系统安全等级保护实施指南 GB 50016—2006 建筑设计防火规范 GB 500572010 建筑物防雷设计规范 GB 50174—2008 电子信息系统机房设计规范 GB 50222—1995(2001年修订版)建筑内部装修设计防火规范 SJ/T 10796—2001防静电活动地板通用规范 信息安全等级保护管理办法(公通字[2007]43号文件) 3 术语和定义 下列术语和定义适用于本文件。 3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 [GB/T 22239—2008,定义3.1] 3.2 系统服务 system service 信息系统为支撑其所承载业务而提供的程序化过程。 [GB/T 22240—2008,定义3.4] YC/T 495—2014 3.3 等级测评 classified security testing and evaluation 确定信息系统安全保护能力是否达到相应等级基本要求的过程。 [GB/T 25058—2010,定义3.1 3.4 恢复时间目标 recovery time objective 灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。 [GB/T 20988—2007,定义3.18- 4 烟草行业信息系统安全等级保护实施流程 4.1 实施流程 烟草行业新建信息系统安全等级保护实施流程如图1所示。 烟草行业已投入使用的信息系统安全等级保护实施流程如图2所示。 YC/T YC/T 495-2014 业务主管部门、信息化 业务主管部门、信息化 工作部门 识别定级对象 业务主管部门、信息化 工作部门 确