首页 > 国家标准(GB) > GB/T 29245-2012 信息安全技术 政府部门信息安全管理基本要求
GB/T 29245-2012

基本信息

标准号: GB/T 29245-2012

中文名称:信息安全技术 政府部门信息安全管理基本要求

标准类别:国家标准(GB)

标准状态:现行

出版语种:简体中文

下载格式:.rar .pdf

下载大小:792KB

相关标签: 信息安全 技术 管理

标准分类号

关联标准

出版信息

相关单位信息

标准简介

GB/T 29245-2012 信息安全技术 政府部门信息安全管理基本要求 GB/T29245-2012 标准压缩包解压密码:www.bzxz.net

标准图片预览






标准内容

ICS35.040
中华人民共和国国家标准
GB/T29245—2012
信息安全技术
政府部门信息安全管理
基本要求
Information security technigues-Basic requirements of information security fornationaldepartment
2012-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2013-06-01实施
GB/T29245—2012
1范围
规范性引用文件
信息安全组织管理
日常信息安全管理
4.1基本要求
4.2人员管理
4.3资产管理
4.4采购管理
4.5外包管理
4.6经费保障
5信息安全防护管理
5.1基本要求
5.2网络边界防护管理
5.3信息系统防护管理
门户网站防护管理
5.5电子邮件防护管理
5.6终端计算机防护管理
5.7存储介质防护管理
6信息安全应急管理
信息安全教育培训
8信息安全检查
参考文献
本标准按照GB/T1.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准主要起草单位:中国电子技术标准化研究所、中国软件评测中心。GB/T29245—2012
本标准主要起草人:杨建军、罗锋盈、王延鸣、高炽扬、朱璇、唐旺、傅如毅、朴献国、梁博。I
GB/T29245-2012
本标准的编制主要是为指导各级政府部门的信息安全管理工作以及信息安全检查工作,保障政府机关各部门各单位信息和信息系统的安全。-iiKacaQiaikAca
1范围
信息安全技术政府部门信息安全管理基本要求
GB/T29245—2012
本标准规定了政府部门信息安全管理基本要求,用于指导各级政府部门的信息安全管理工作。本标准中涉及保密工作的,按照保密法规和标准执行,涉及密码工作的,按照国家密码管理规定执行。本标准适用于各级政府部门,其他单位可以参考使用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注甘期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20984—2007信息安全技术信息安全风险评估规范GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/T22240—2008信息安全技术信息系统安全等级保护定级指南3信息安全组织管理
本项要求包括:
a)应加强领导,落实责任,完善措施,建立健全信息安全责任制和工作机制;b)应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件:应指定一个机构,具体承担信息安全管理工作,负责组织落实信息安全管理制度和信息安全技术防护措施,开展信息安全教育培训和监督检查等;d)各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。信息安全员应当具备较强的信息安全意识和工作责任心,掌握基本的信息安全知识和技能。4
日常信息安全管理
4.1基本要求
本项要求包括:
应制定信息安全工作的总体方针和目标,明确信息安全工作的主要任务和原则;a)
b)应建立健全信息安全相关管理制度,加强技术支撑手段建设,提高信息安全管理工作的信息化水平;
c)应加强对人员、资产、采购、外包等的安全管理,并保证信息安全工作经费投人。4.2
人员管理
本项要求包括:
GB/T29245-2012
应建立健全岗位信息安全责任制度,明确岗位及人员的信息安全责任。重点岗位的计算机使a)
用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任;应制定并严格执行人员离岗离职信息安全管理规定,人员离岗离职时应终止信息系统访问权bs
限,收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书;应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进人,并安排本单位c
工作人员现场陪同,对访问活动进行记录并留存;d)
应对信息安全责任事故进行查处,对违反信息安全管理规定的人员给予严肃处理,对造成信息安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。4.3资产管理
本项要求包括:
应建立并严格执行资产管理制度a
应指定专人负责资产管理:
应建立资产台账(清单),统一编号、统一标识、统一发放:d)
应及时记录资产状态和使用情况,保证账物相符;e
应建立并产严格执行设备维修维护和报废管理制度。4.4采购管理
本项要求包括:
应采购安全可控的信息技术产品和服务,并进行安全性评估;a)
办公用计算机、服务器等设备的更新换代中,应采购配备安全可控CPU、操作系统等的关键软b)
硬件:
公文处理软件、信息安全产品等应采购安全可控产品,信息安全产品应经过国家认证;c
接受捐赠的信息技术产品,使用前应进行安全测评,并与捐赠方签订信息安全与保密协议;as
e)·不得采购社会第三方认证机构提供的信息安全管理体系认证服务;信息系统数据中心、灾备中心不得设立在境外。4.5外包管理
本项要求包括:
应建立并严格执行信息技术外包服务安全管理制度;a)
应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何资产,不得以服务为由强制要求委托方购买、使用指定产品;信息技术现场服务过程中应安排专人陪同,并详细记录服务过程;c
外包开发的系统、软件上线应用前应进行安全测评,要求开发方及时提供系统、软件的升级、洞等信息和相应服务;
信息系统运维外包不得采用远程在线运维服务方式;e
应将信息技术外包服务安全管理纳人年度信息安全检查范围。4.6经费保障
本项要求包括:
a)应将信息安全设施运行维护、日常信息安全管理、信息安全教育培训、信息安全检查、信息安全风险评估、信息系统等级测评、信息安全应急处置等费用纳人部门年度预算;2
iiKacaQiaiKAca-
b)应严格落实信息安全经费预算,保证信息安全经费投入。5信息安全防护管理
5.1基本要求
GB/T29245—2012
开展信息化建设应按照同步规划、同步建设、同步运行的原则,同步规划、设计、建设、运行、管理信息安全设施,建立健全信息安全防护体系。5.2网络边界防护管理
本项要求包括:
a)非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离,涉密信息系统与互联网及其他公共信息网络应实行物理隔离:b)建立互联网接人审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管理和安全防护:
应采取访问控制、安全审计、边界完整性检查、人侵防范、恶意代码防范等措施,进行网络边界防护:
应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制;e)应对网络日志进行管理,定期分析,及时发现安全风险。5.3信息系统防护管理
本项要求包括:
应按照GB/T20984一2007的要求,定期对信息系统面临的安全风险和威胁、薄弱环节以及防a
护措施的有效性等进行分析评估:b)应综合考虑信息系统的重要性、涉密程度和面临的信息安全风险等因素,按照国家信息安全等级保护相关政策和技术标准规范,对信息系统实施相应等级的安全管理;应按照GB/T22240-2008的要求,确定信息系统安全保护等级:c)
应按照GB/T22239—2008的要求,对信息系统实施相应等级的安全建设和整改;e
应按照信息系统安全等级保护测评相关要求,对信息系统进行等级测评5.4门户网站防护管理
本项要求包括:
应使用\gov.cn”、“政务cn”或“政务”域名;网站开通前,应组织专业技术机构进行安全测评,对新增应用要进行安全评估;b)
应定期对网站链接进行安全性和有效性检查;d)
应采取必要的技术措施,提高网站防改、防攻击能力,加强网站敏感信息保护;e)
应建立完善网站信息发布审核制度,明确审核程序,严格审核流程。5.5电子邮件防护管理
本项要求包括:
应加强电子邮箱系统安全防护,采取反垃圾邮件等技术措施;a
应规范电子邮箱注册管理,原则上只限于本部门工作人员注册使用:c)应严格邮箱账户及口令管理,采取技术和管理措施确保口令具有一定强度并定期更换。3
GB/T29245—2012
5.6终端计算机防护管理
本项要求包括:
a)应采用集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀,统一进行漏洞扫描;b)应采取必要的技术手段,规范和加强终端计算机使用行为管理:c
应规范软硬件使用,不得擅自更改软硬件配置,不得擅自安装软件;d
应加强账户及口令管理,使用具有一定强度的口令并定期更换;e)
应对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等:
应定期对终端计算机进行安全审计g)非涉密计算机不得存储和处理国家秘密信息。5.7存储介质防护管理
本项要求包括:
a)应严格存储阵列、磁带库等大容量存储介质的管理,采取技术措施防范外联风险,确保存储数据安全;
应对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况e)非涉密移动存储介质不得存储涉及国家秘密的信息,不得在涉密计算机上使用d)移动存储介质在接入本部门计算机和信息系统前,应当查杀病毒、木马等恶意代码;e)应配备必要的电子信息消除和销毁设备,对变更用途的存储介质要消除信息,对废弃的存储介质要进行销毁。
6信息安全应急管理
本项要求包括:
a)应建立健全信息安全应急工作机制,提高应对信息安全事件的能力,预防和减少信息安全事件造成的损失和危害;
应制定信息安全事件应急预案,原则上每年评估一次,并根据实际情况适时修订;b)
应组织开展应急预案的宜贯培训,确保相关人员熟悉应急预案;c
每年应开展信息安全应急演练,检验应急预案的可操作性,并将演练情况报信息安全主管部门;
应建立信息安全事件报告和通报机制,提高预防预警能力:f
应明确应急技术支援队伍,做好应急技术支援准备;应做好信息安全应急物资保障,确保必要的备机、备件等资源到位;g)
应根据业务实际需要对重要数据和业务系统进行备份。7信息安全教育培训
本项要求包括:
a)应加强信息安全宣传和教育培训工作,提高信息安全意识,增强信息安全基本防护技能;b)应建立信息安全教育培训制度,把信息安全教育作为工作人员上岗、干部培训、业务学习的重要内容:
iiKacaQiaiKAca-
GB/T29245—2012
c)应定期开展信息安全管理人员和技术人员专业技能培训,提高信息安全工作能力和水平;应把信息安全防护基本技能纳人工作考核范围,并作为干部任用的重要条件;d)bzxZ.net
应记录并保存信息安全教育培训、考核情况和结果。8信息安全检查
本项要求包括:
a)应认真组织开展信息安全检查工作,掌握信息安全总体状况和面临的威胁,查找安全隐惠,堵塞安全漏洞,完善安全措施,减少安全风险,提高安全防护能力;b)
应每年进行一次全面的信息安全检查,重点检查办公系统、业务系统、门户网站的安全防护情况,
应加强检查工作组织领导,建立检查工作责任制,制定检查工作方案并认真落实;d)
应重视安全技术检测,采取必要的技术检测手段对信息系统、门户网站、服务器、终端设备、终端计算机等进行安全检测。可根据需要委托符合要求的检测机构进行技术检测:e)
应加强安全检查过程中的保密管理和风险控制,严格检查人员、有关文档和数据的安全保密管理,制定安全检查应急预案,确保被检查信息系统的正常运行:应对安全检查中发现的问题进行分析研判,制定整改措施并及时整改;应对年度安全检查情况进行全面总结,按照要求如实完成检查报告并报信息安全主管部门。g)
GB/T29245—2012
参考文献
[1]】GB/T20271—2006信息安全技术信息系统通用安全技术要求[2]
GB/T20270—2006
GB/T20282—2006
信息安全技术网络基础安全技术要求信息安全技术信息系统安全工程管理要求国信办【2006】5号关于开展信息安全风险评估工作的意见公通字【2007】43号关于印发《信息安全等级保护管理办法》的通知公信安【20077861号关于开展全国重要信息系统安全等级保护定级工作的通知NISTFIPS-200联邦信息与信息系统最小安全要求NISTSP800-53:2002联邦信息系统推荐安全控制工信部联协(2010)394号关于加强信息安全管理体系认证安全管理的通知E9]
财库C2010)48号关于信息安全产品实施政府采购的通知国办发(201047号国务院办公厅关于进一步做好政府机关使用正版软件工作的通知iiKacadiaikAca
GB/T29245-2012
打印日期:2013年5月7日F009
中华人民共和国
国家标准
信息安全技术政府部门信息安全管理基本要求
GB/T292452012
中国标推出版社出版发行
北京市朝阳区和平里西街甲2号(100013)北京市西城区三里河北街16号(100045)网址spc.net.cn
总编室:(010)64275323发行中心:(010)51780235读者服务部:(010)68523946
中国标准出版社秦皇岛印刷厂印剧各地新华书店经销
开本880×12301/16印张0.75字数12千字2013年4月第一版2013年4月第一次印刷书号:155066·1-46894定价16.00元如有印装差错由本社发行中心调换版权专有侵权必究
举报电话:(010)68510107
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。