YC/T 495-2014 烟草行业信息系统安全等级保护实施规范

ICS65160

X89.

备案号44828—2014

:

中华人民共和国烟草行业标准

YC/T495—2014

烟草行业信息系统安全等级保护

实施规范

Implementationspecificationsforclassifiedprotectionofinformation

systemoftobaccoindustry

2014-03-24发布2014-04-15实施

国家烟草专卖局发布

YC/T495—2014

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

烟草行业信息系统安全等级保护实施流程

4……………2

信息系统安全保护等级

5…………………6

技术防护

6…………………8

安全管理

7…………………10

附录规范性附录烟草行业信息系统安全等级保护基本要求

A()……13

附录资料性附录安全目标实施措施示例

B()…………75

附录资料性附录安全风险分析表

C()…………………80

附录资料性附录烟草行业信息系统应急演练基本要求

D()…………84

参考文献

……………………86

YC/T495—2014

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本标准的某些内容可能涉及专利本标准的发布机构不承担识别这些专利的责任

。。

本标准由国家烟草专卖局提出

。

本标准由全国烟草标准化技术委员会信息分技术委员会归口

(SAC/TC144/SC7)。

本标准起草单位国家烟草专卖局烟草经济信息中心广东中烟工业有限责任公司公安部第一研

:、、

究所

。

本标准主要起草人庄红王海清李超耿欣易伟文林惠真焉鹤吕由

:、、、、、、、。

Ⅰ

YC/T495—2014

烟草行业信息系统安全等级保护

实施规范

1范围

本标准规定了烟草行业信息系统安全等级保护实施过程中的流程等级划分与确定方法技术保护

、、

和安全管理的要求

。

本标准适用于指导烟草行业新建和已投入使用的信息系统安全等级保护的实施为烟草行业信息

,

系统的定级技术防护安全管理提供依据

、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机场地通用规范

GB/T2887—2011

信息安全技术信息安全事件分类分级指南

GB/Z20986—2007

信息安全技术信息系统物理安全技术要求

GB/T21052—2007

信息安全技术信息系统安全等级保护基本要求

GB/T22239—2008

信息安全技术信息系统安全等级保护定级指南

GB/T22240—2008

信息安全技术信息系统安全等级保护实施指南

GB/T25058—2010

建筑设计防火规范

GB50016—2006

建筑物防雷设计规范

GB50057—2010

电子信息系统机房设计规范

GB50174—2008

年修订版建筑内部装修设计防火规范

GB50222—1995(2001)

防静电活动地板通用规范

SJ/T10796—2001

信息安全等级保护管理办法公通字号文件

([2007]43)

3术语和定义

下列术语和定义适用于本文件

。

31

.

安全保护能力securityprotectionability

系统能够抵御威胁发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度

、。

定义

[GB/T22239—2008,3.1]

32

.

系统服务systemservice

信息系统为支撑其所承载业务而提供的程序化过程

。

定义

[GB/T22240—2008,3.4]

1

YC/T495—2014

33

.

等级测评classifiedsecuritytestingandevaluation

确定信息系统安全保护能力是否达到相应等级基本要求的过程

。

定义

[GB/T25058—2010,3.1]

34

.

恢复时间目标recoverytimeobjective

灾难发生后信息系统或业务功能从停顿到必须恢复的时间要求

,。

定义

[GB/T20988—2007,3.18]

4烟草行业信息系统安全等级保护实施流程

41实施流程

.

烟草行业新建信息系统安全等级保护实施流程如图所示

1。

烟草行业已投入使用的信息系统安全等级保护实施流程如图所示

2。

2

!!!"#$%&'()*+,-./01!

Y

C

/

T

4

9

5

—

2

3

0

1

4

书

Y

C

4

/

T

4

9

5

—

2

0

1

4

!!!"#$%&'()*+,-./012345!

书

YC/T495—2014

42实施活动

.

421新建信息系统

..

新建信息系统安全等级保护实施主要活动如下

:

信息系统定级

a)

信息系统定级主要内容包括识别定级对象确定定级要素和确定安全保护等级信息化工作部门

、。

和业务主管部门应按照国家和行业有关标准规定确定需要定级的信息系统及定级要素根据定级要

、,,

素初步确定信息系统的安全保护等级

。

信息系统安全建设

b)

信息系统安全建设主要内容包括安全需求分析安全风险分析安全方案设计和安全方案实施信

、、。

息化工作部门和业务主管部门应根据信息系统定级情况明确安全需求分析安全风险按照附录中

,,,A

相应等级的基本要求设计合理的满足等级保护要求的安全方案指导信息系统安全建设项目实施

,、,。

信息系统安全运维

c)

信息系统安全运维主要内容包括安全运行与维护安全等级测评安全整改和系统备案在信息系

、、。

统正式上线运行后信息化工作部门应按照国家和行业有关标准规定将信息系统定级结果报上一级

,、,

单位进行审核报公安机关进行备案同时应和业务主管部门按照国家和行业有关标准规定根据附录

,;、,

中信息系统安全等级保护的基本要求开展安全运维工作和安全等级测评工作对发现的问题进行

A,,

及时整改将信息系统测评结果报公安机关和上一级单位

,。

在信息系统安全运维阶段信息系统因需求变化等原因导致局部调整而系统的安全保护等级并未

,

改变应重新进行安全方案设计调整和实施安全措施确保满足等级保护的要求信息系统发生较大变

,、,;

更导致系统安全保护等级发生变化时应重新开始信息系统安全等级保护的实施过程

,。

信息系统终止

d)

信息系统终止主要内容包括提出下线申请下线方案编制及审批系统下线实施和系统备案撤销

、、。

当信息系统停止运行时业务主管部门应向信息化工作部门提出下线申请信息化工作部门受理后按照

,,

系统下线方案进行实施并及时到公安机关办理备案撤销手续同时将有关情况报上一级单位

,,。

422已投入使用信息系统

..

已投入使用信息系统安全等级保护实施主要活动如下

:

信息系统定级

a)

信息系统定级主要内容包括识别定级对象确定定级要素确定安全保护等级安全等级审核和定

、、、

级结果备案信息化工作部门和业务主管部门应按照国家和行业有关标准规定确定需要定级的信息

。、,

系统及其定级要素根据定级要素确定信息系统的安全保护等级将信息系统定级结果报上一级单位进

,,

行审核审核通过后报公安机关进行备案

,。

信息系统安全运维

b)

信息系统安全运维主要内容包括安全运行与维护安全等级测评安全整改和测评结果备案信息

、、。

化工作部门和业务主管部门按照国家和行业标准规定根据确定的信息系统安全保护等级按照附录

、,,

中相应的基本要求开展安全运维工作和安全等级测评工作对发现的问题进行及时整改和测评并

A,,,

将信息系统测评结果报公安机关和上一级单位

。

在信息系统安全运维阶段信息系统发生较大变更导致系统安全保护等级发生变化时应按照新建

,,

信息系统安全等级保护实施过程开展信息系统等级保护工作

。

信息系统终止

c)

5

YC/T495—2014

信息系统终止主要内容包括提出下线申请下线方案编制及审批系统下线实施和系统备案撤销

、、。

当信息系统停止运行时业务主管部门应向信息化工作部门提出下线申请信息化工作部门受理后按照

,,

系统下线方案进行实施并及时到公安机关办理备案撤销手续同时将有关情况报上一级单位

,,。

5信息系统安全保护等级

51等级划分

.

参照烟草行业信息系统安全保护等级由低到高依次划分为自主保护级指导

GB/T22240—2008,、

保护级监督保护级强制保护级和专控保护级五个安全等级信息系统安全等级划分见表

、、。1。

表1信息系统安全等级划分

等级描述

信息系统受到破坏后主要指系统无法运行或者系统数据被泄露被篡改或丢失以下同会对公民的

(,、。),

合法权益其他组织的合法权益本单位的合法权益以及生产经营活动造成损害但不损害国家安全社

第一级、、,、

会秩序和公共利益各单位按有关规定对第一级信息系统进行自行保护它需要实施系统安全运行所需

。,

的基本的技术要求和安全管理要求

信息系统受到破坏后会对公民的合法权益其他组织的合法权益本单位的合法权益以及生产经营活动

,、、

造成严重损害或者对社会秩序和公共利益造成损害但不损害国家安全各单位在国家烟草专卖局以

第二级,,。(

下简称国家局有关部门的指导下对第二级信息系统进行保护它需要实施系统安全运行所需的一定程

)