返回
《烟草行业信息安全保障体系建设指南》_20080418

《烟草行业信息安全保障体系建设指南》_20080418

ID:1425990

大小:765.00 KB

页数:62页

时间:2017-11-11

《烟草行业信息安全保障体系建设指南》_20080418_第1页
《烟草行业信息安全保障体系建设指南》_20080418_第2页
《烟草行业信息安全保障体系建设指南》_20080418_第3页
《烟草行业信息安全保障体系建设指南》_20080418_第4页
《烟草行业信息安全保障体系建设指南》_20080418_第5页
资源描述:

《《烟草行业信息安全保障体系建设指南》_20080418》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、烟草行业信息安全保障体系建设指南国家烟草专卖局二〇〇八年四月前  言烟草行业信息安全保障体系是行业信息化健康发展的基础和保障,是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设,提高信息安全管理水平和保障能力,国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》(以下简称《指南》)。行业各单位要结合本单位实际情况认真落实《指南》的各项要求,构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系,做到信息安全工作与信息化建设同步规划、同步建设、协调发展。《指南》按照《国家信息化领导小组关于加强信息安全保障

2、工作的意见》(中办发[2003]27号)的要求,依照《信息系统安全保障评估框架》(GB/T20274—2006)等有关国家标准,运用目前信息安全领域广泛应用的思想和方法,明确了烟草行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求。由于水平所限,对《指南》中的不足之处,望各单位在应用过程中提出宝贵意见。《指南》由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写。《指南》编写组组长:高锦;副组长:陈彤;主要成员:张雪峰

3、,王海清,耿刚勇,张利,孙成昊,黄云海,耿欣,刘辉等。目录1范围12引用和参考文献12.1国家信息安全标准、指南12.2国际信息安全标准22.3行业规范33术语定义和缩略语33.1安全策略33.2安全管理体系33.3安全技术体系33.4安全运维体系43.5信息系统43.6缩略语44信息安全保障体系建设总体要求54.1信息安全保障体系建设框架54.2信息安全保障体系建设原则74.3信息安全保障体系建设基本过程85信息安全保障体系建设规划96安全策略106.1总体方针116.2分项策略127管理体系137.1组织机构137.2规章制

4、度167.3人员安全167.4安全教育和培训208技术体系228.1访问控制238.2信息系统完整性保护288.3系统与通信保护318.4物理环境保护348.5检测与响应378.6安全审计398.7备份与恢复409运维体系439.1流程和规范449.2安全分级449.3风险评估459.4阶段性工作计划479.5采购与实施过程管理489.6日常维护管理519.7应急计划和事件响应549.8绩效评估与改进571范围本《指南》明确了行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理体系、信息安全技

5、术体系和信息安全运维体系的建设工作提出了指导意见和要求。《指南》中涉及的信息安全,是指由信息系统产生的信息的保密性、完整性和可用性不遭受破坏。本《指南》仅适用于行业中不涉及国家秘密的信息系统,涉及国家秘密的信息系统的安全保护工作应按照国家及国家局保密部门的相关规定进行。2引用和参考文献本文在编制过程中,依据和参考了国内外信息安全方面的相关标准、法规、指南以及烟草行业的相关标准规范,主要包括:2.1国家信息安全标准、指南GB/T20274—2006信息系统安全保障评估框架GB/T19715.1—2005信息技术—信息技术安全管理指

6、南第1部分:信息技术安全概念和模型GB/T19715.2—2005信息技术—信息技术安全管理指南第2部分:管理和规划信息技术安全GB/T19716—2005信息技术—信息安全管理实用规则GB/T18336—2001信息技术—安全技术—信息技术安全性评估准则GB17859—1999计算机信息系统安全保护等级划分准则电子政务信息安全等级保护实施指南(试行)(国信办[2005]25号)GB/T20984—2007信息安全技术信息安全风险评估规范GB/T20988—2007信息系统灾难恢复规范GB/Z20986—2007信息安全事件分类

7、分级指南1.1国际信息安全标准ISO/IEC27001:2005信息安全技术 信息系统安全管理要求ISO/IEC13335—1:2004信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型ISO/IECTR15443—1:2005信息技术安全保障框架第一部分概述和框架ISO/IECTR15443—2:2005信息技术安全保障框架第二部分保障方法ISO/IECWD15443—3信息技术安全保障框架第三部分保障方法分析ISO/IECPDTR19791:2004信息技术安全技术运行系统安全评估1.1行业规范烟草行业计算机网络和

8、信息安全技术与管理规范(国烟法[2003]17号)烟草行业计算机网络建设技术与管理规范(国烟办综[2006]312号)2术语定义和缩略语下列术语和定义适用于本《指南》。2.1安全策略安全策略是为保障一个单位信息安全而规定的若干安全规划、过程、规范和指导性文件等。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。