YC/T 495-2014
基本信息
标准号: YC/T 495-2014
中文名称:烟草行业信息系统安全等级保护实施规范
标准类别:烟草行业标准(YC)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1510KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YC/T 495-2014 烟草行业信息系统安全等级保护实施规范
YC/T495-2014
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS65.160
备案号:44828—2014
中华人民共和国烟草行业标准
YC/T495—2014
烟草行业信息系统安全等级保护实施规范
Implementation specifications for classified protection of informationsystem of tobacco industry
2014-03-24发布
国家烟草专卖局
2014-04-15实施
YC/T495—2014
规范性引用文件
3术语和定义
烟草行业信息系统安全等级保护实施流程5信息系统安全保护等级
技术防护.
安全管理.…
附录A(规范性附录)
附录B《资料性附录)
附录C(资料性附录)
附录D(资料性附录)
参考文献.
.......
烟草行业信息系统安全等级保护基本要求安全目标实施措施示例
安全风险分析表·
烟草行业信息系统应急演练基本要求.8
YC/T495—2014
本标准按照GB/T1.1-2009给出的规则起草。请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。本标准由国家烟草专卖局提出。本标准由全国烟草标准化技术委员会信息分技术委员会(SAC/TC144/SC7)归口。本标准起草单位:国家烟草专卖局烟草经济信息中心、广东中烟工业有限责任公司、公安部第一研究所。
本标准主要起草人:庄红、王海清、李超、耿欣、易伟文、林惠真、為鹤、昌由。1范围
烟草行业信息系统安全等级保护实施规范
YC/T495—2014
本标准规定了烟草行业信息系统安全等级保护实施过程中的流程、等级划分与确定方法,技术保护和安全管理的要求,
本标准适用于指导烟章行业新建和已投大便用的情世系统安全导级保护的实施,为烟苹行业信息系统的定级、技术防护、装全管理提供依据。规范性引用文性
下列文件好于文件的应用是必不可少的凡适详日期的求用件,仅注育期的疑本适用于本文祥,凡是不活日护的引用文件其感新趣来(包能斯在伯样变单)通用于本文2011计机场排动用烧范
信您安全
GB/2098
GB/T2105-2007电
信息安全技
GB/T2058
GB5001
信想安企技术
GB500572014
GB50174-
建消设计防火费范
建筑物防画设现地
类分级指南
全事有
全技术要
泰绕物理安
累统安
需本要
级保护
星级指南
掌级保
单级保护实维指用
2008电于信息系统机房设计规范GB50222—195(200年修订版》建筑内部装修设计防火规范SJ/T10796-200防静电话动地板通用规范信息安全等级保护管理业装(公通300714日号文件3术语和定义
下列术语和定义适用于本文件。3.1
安全保护能力securityprotectionability系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前默态等的程度[GB/T22239-2008,定义3.17
系统服务systemservice
信息系统为支撑其所承载业务而提供的程序化过程。[GB/T22240—2008.定义3.4]
KacadiaiKAca
YC/T495—2014
等级测评classified securitytestingandevaluation确定信息系统安全保护能力是否达到相应等级基本要求的过程。[GB/T25058—2010,定义3.1]
恢复时间目标
recoverytime objective
灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。[GB/T20988—2007.定义3.18]
烟草行业信息系统安全等级保护实施流程实施流程
烟草行业新建信息系统安全等级保护实施流程如图1所示。烟草行业已投人使用的信息系统安全等级保护实施流程如图2所示。2
YC/T495—2014
信息系烧线血
信总票械安金迎
信息系桃安全建设
信息系统定级
关添汤“双动痛
电车学
定得事等
然解腺敏委wwW.bzxz.Net
慕年等示
品生手养
1车市
等做变更
市海一年
美源#
iiKacaQiaiKAca
YC/T495-—2014
信感系就性
增品系统家全运维
最系就定级
手年当您
口器品王位
好成猫步等
口丰学
4.2实施活动
4.2.1新建信息系统
新建信息系统安全等级保护实施主要活动如下:8)信息系统定级
YC/T4952014
信息系统定级主要内容包括识别定级对象、确定定级要素和确定安全保护等级信息化工作部门和业务主管部门应按照围家和行业有关标准、规定,确定需要定级的信息系绕及定级要素,根据定级要素初步确定信息系统的安全保护等级,b)信息系统安全建设
信息系统安全建设主要内#包括安全需求分折安全风险分桥安全方案设计和安全方案实施,信息化工作部门和业务主管部门应根插信息系统定级情况·明动安全需水分析安全风险,按照附录A中相应等级的基本要,设计金里的、满足等级保护要求的安全方案,活学信息系统安全建设项目实施。e)信息系统安全运维
信息系统全运主要内容包括安全运行与维护、安全等级测评、安全能改利系统备案。在信息系统正式上线适行后信息化工作部门应托服国家和行业有关标准,地定,将信息系统竞级结果报上一级单位进行审,报公安机关进行备案,用旧康和业责主营部门接服国家和行业有兰标规定,根据附录A中信息先安全等级保护的基本要求,开限安全运作作和安全舒级通平工套,对受现的尚题进行开钻果框公安机关利司
一统净位,
及时整改将信息系统测评
在信慧系光安全运维新政·信息系统限希实变化整顾因导致部调整而系统的安全保护等级并来改变,应量新适行安全方设一调整和实童贷全措施,保满足你级保护的要求,息统发生较大变更导致系先安全保护等级
发生变化时,应量新开始信息小统安全级保护的实施过程,d)
请息养统终止
信息身统终上主要内客包括提出下领电项下战力系报物更市业系统下线施不系统备案撤销。
当信息系统#止运行时业
务主管部电医间信思化工作希门提出下绒中增信息化工维部门受理后按照系统下钱方策进行业随,开及时到4.2.2已投入使用信息系统
已投人使用信息统安全级保护实施主婴活动如下:信息系统定级
将有关情配报一
级单位。
信息系统定级主要内容包押品别定级对象、确定定级要素,副定安全保护等级安全等级审核和定级结果备案。信息化工作部门和业务主管可腰职国家和行业有关标准、规定,确定需要定级的信息系统及其定级要素,根据定级要素确定信息系统的安全保护等绒,将信息系统定级结果报上一级单位进行审核,审核通过后报公安机美进行备案。hy信息系统安全运维
信息系统安全运维主要内容包括安全运行与维护,安全等级测评、安全整改和测评结果备案,信息化工作部门和业务主管部门按照国家和行业标准、规定,根据确定的信息系统安全保护等级,按照附录A中相应的基本要求,开展安全运维工作和安全等级测评工作,对发现的间题进行及时整改和测评,并将信息系统测评结果报公安机关和上一级单位。在信息系统安全运维阶段,信息系统发生较大变更导致系统安全保护等级发生变化时,应按照新建值息系统安全等级保护实施过程开展信息系统等级保护工作。信息系统终止
iiKacaQiaiKAca-
YC/T495—2014
信息系统终止主要内容包括提出下线申请、下线方案编制及审批、系统下线实施和系统备案撤销。当信息系统停止运行时,业务主管部门应向信息化工作部门提出下线申请,信息化工作部门受理后按照系统下线方案进行实施,并及时到公安机关办理备案撤销手续,同时将有关情况报上一级单位。5信息系统安全保护等级
5.1等级划分
参照GB/T22240-2008,烟草行业信息系统安全保护等级由低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级和专控保护级五个安全等级。信息系统安全等级划分见表1。表1信息系统安全等级划分
第一级
第二级
第三级
第鹦级
第五级
信息系统受到破坏后(主要指系统无法运行,或者系统数据被泄露、被算改或丢失。以下同),会对公民的合法权益、其他组织的合法权益、本单位的合法权益以及生产经营活动造成损害,但不损害国家安全、社会秩序和公共利益。各单位按有关规定对第一级信息系统进行自行保护,它需要实施系统安全运行所需的基本的技术要求和安全管理要求信息系统受到破坏后,会对公民的合法权益、其他组织的合法权益,本单位的合法权益以及生产经营活动造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。各单位在国家烟草专卖局(以下简称国家局)有关部门的指导下对第二级信息系统进行保护,它需要实施系统安全运行所需的一定程度的技术要求和安全管理要求
信息系统受到破坏后,会对行业的合法权益以及行业生产经誉活动造成严重损害,对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。各单位在国家局有关部门的监督下对第三级信息系统进行保护,它需要实施系统安全运行所需的高程度的技术要求和严格的安全管理要求信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害,各单位应依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对第四级信息系统信息安全等级保护工作进行强制监督、检查信息系统受到破坏后,会对国家安全造成特别严重损害。各单位应依据国家管理规范、技术标准和业务特殊安全需求进行保护,国家指定专门部门对第五级信息系统信息安全等级保护工作进行专门监督检查
安全保护等级确定方法
识别定级对
信息化工作部门和业务主管部门应根据烟草行业信息系统的重要程度和业务对信息系统的依赖度进行综合分析,确定需要定级的信息系统。作为定级对象的信息系统应当满足以下条件:一明确了业务主管部门;
一具有信息系统的基本要素,是指由相关配套的设备、设施按照一定的应用目标和规则组合而成的有形实体,某个单一的系统组件,如服务器、终端、网络设备等不作为单独定级对象:一承载单一的或相对独立的业务应用。若承载多个业务应用的信息系统进行集成,且业务应用流程和数据相互关联,则可作为一个定级对象,如企业资源计划系统(简称ERP系统)、生产执行系统(简称MES系统),若需定级的信息系统构成6
YC/T495—2014
比较复杂,则可根据信息系统承载的多项业务类型、提供的服务范围等方式,将系统划分为若干业务子系统分别定级。
5.2.2确定定级要索
在确定安全保护等级时,应遵循GB/T22240一2008的要求,根据信息系统受到破坏时所侵害的客体及侵害的程度来确定安全保护等级。受到破坏时所侵害的客体及侵害的程度应根据以下定级要素进行判断:
)业务信息类型
业务信息类型反映了信息资产在信息系统中应受到的保护程度,业务信息类型分类如下公开信息:是指国家公开共享的信息、组织机构公开共享的信息、公民个人可公开共享的信息。当公开信息被算改或受到破环,可能会造成经济纠纷、法律纠纷和较小社会影响等:专有信息:是指国家或组织机构内部共享内部受限、内部专控信息,以及公民个人专有信息。当专有信息被泄露或受到破坏,可能会造成经济纠纷法律纠纷和一定社会影响等:一重要信息:是指国家秘密信息以外的受国家法律保护的商业秘密和个人隐私信息,以及地理、人口,法人,绕计等基础信息。重要信息被泄露或受到破坏,可能产生较大社会不良影响,可能侵害公共利益、国家安全。
系统服务范围
烟草行业信息系统的服务范围可划分为局部性、区域性和全局性:局部性:系统道到破坏后,只对本单位内部范围内的业务工作造成影响,可能会给本单位造成一定的财产损失、法律纠纷等。不影响本单位对所属单位的管理工作,不会对社会造成不良影响,不会影响与其他单位有关联的各项工作:一区域性:系统遭到破坏后,对本省范围内的业务工作造成影南,不涉及与其他单位有关联的各项工作。可能会造成业务能力下降,产生一定社会不良影响;一全局性:系统道到破坏后,对省级单位之间的相互关联工作造成影响,甚至给全行业范围的业务和管理工作带来较大影响或造成较大社会不良影响,可能侵害公共利益。c)系统运行环境
互联网:运行在互联网上的信息系统,面向社会公众,社会影响力较大,当系统受到破坏后,可能给全行业范围的业务和管理工作带来较大影响或造成一定社会不良影响,可能侵害社会公共利益和公共秩序;
内联网:运行在内联网上的信息系统,面向行业内部员工,社会影响力小,当系统受到破坏后,仅对行业内部的业务和管理工作带来影响,不会侵害社会公共利益和公共秩序。d)恢复时间目标
系统在遭到被坏后恢复时间目标在8h以上,对烟草行业业务影响较小且经济损失较少;系统在遭到破坏后恢复时间目标在4h~8h内,对烟草行业业务影响教大且造成摄失较大系统在遭到被环后恢复时间自标在4五内,对姻草行业业务影响大且造成损失严重。5.2.3确定保护等级
确定需要定级的信息系统后·应依据信息系统业务信息类型、系统服务范围、系统运行环境、恢复时间目标四个定级要素,参考以下原则确定安全保护等级。特别重要的信息系统视情参照GB/T22240-2008定为第四级或第五级。第一级至第三级信息系统应根据业务信息类型和系统服务范围初步确定信息系统安全保护等级,最终确定安全保护等级还应考意系统运行环境和恢复时间目标。运行在互联网上的信息系统安全保护等级应接较高一级要求进行保护,恢复时间目标在4h以内的信息系统安全保护等级应按较高一级要求进行保护业务信息类型、系统服务范围与安全保护等级的关系如表27
iiKacaQiaiKAca
YC/T495-—2014
所示,
表2业务信息类型系统服务范围与安全保护等级的关系业务信息美型
公开值意
不含专卖管理、生产
专有信息
营销等专有信息
咨专卖管理、生产,营销等专有信息重要信息
第一般
第一级或第二级
第二级
第二级或第三级
系统服务范围
区城性
第二级或第三般
第二级或第三级
第二级或第三缴
第三级
承载信息为公开信息、系就服务范围为局部性的信息系统成定为第级:全局性
第三级
第三级
第三级
第三级
承载信息为开信点系统服务范围为区域性的信息系统应定第二或第三级:承载信息为公开息,系统服务范围为全局性的信息系统应定为第生级:承载信更为大着专卖管理生产、营销等专有信息,系统服务范围为局部性品信息系统应定为成等级
承载信息的不含专卖营理生产营链等专有信息、系统服务范用为这域的信息系统应定为
第级或第三级:
承我信为不含专
第主级
承我信息为含专美管班车
全局性量信息系统应定为
服务范册为
产,营销亦有信息承就服务造丽为励部性的信息养统应定为第承靠信息为含专实们理,生色查销等专有信、系统服务施用为这哦性的售息紧统应定为第二级成第级:
承载信息为合专维微理、生产,精倒等专看信他,系统服务范围为全局性的信息系统应定为第三级:
承载信息重要息、系统服务范围为局部性的信息系统应定为第级或第三级:承载信息为要信息系统服务范围为区域性的信息系统应定当第三级承载信息为重要直息、系统服务范围为全局性的信息系统定为第级6技术防护
6.1支撑环境保护
6.1.1机房环境保护
行业各单位机房环境应符合时永A中的第三级基本安全要求,参见附录B中的B1进行建设防护,包括但不限手以下内容!
应对机房进行区城划分,安装电子门禁系统,防盗报警系统和视频监控系统:机房应配备UPS,采用双路供电方式并建立备用供电系统:应部馨火灾自动消防系统:
应部署机房环境监控系统,对空调,UPS门禁系统等的运行状况以及机房供配电,漏水、温湿度、烟雾等情况进行实时监控,并提供报警功能:8
机房应配备机房专用空调
电源线和通信线缆应高铺设
6.1.2网络环境保护
YC/T495—2014
行业各单位网络环境应符合录A的第三级基本安全要求,参见B2进行建设,防护,包括但不限于以下内容:
应根据网络结构、业务需求和区城安全防护要求划分网络区域:应提供核心网络设备,通信链路的元余:应配置QoS(服务质量)或具有带宽/流量管理能力,对通信链路带宽进行优先级分配:应具有对人侵事件防护能力,在发生就严重配人侵事件时应提供报整及防护应具有病毒韩护能力,对网恶意代码进行检倒利所,对防病毒软件进行统一管理、统一升级:
应采用用户多留码和可业数等证书相结合的式,对意间络设备的用户进行身份鉴别。6.1,3应用支撑环境保护
应用支撑不境广安期信息系统的安全保护等级进行建设、防护,符合附A相应级别的基本安全要求·同时压应量见1题进行追读,防护,包括但不限手以下内容应采用美户名/脂和行业数证书告在的防式:欢紧录服费牌操作系统利故据库系统的用进行身份鉴别:
提供服务器的?
服务器病在务
立对户终端集中器理安表防病软件统腰装系光补丁等
违用的移动存储介及中,对重要数据进对动存储介质
养保验性处理:
应寸移终端接
6.2应用软安全
管理,质要数据储在车
人网备系统进行提用
应用软件开应按隔信息系统的安全保护等级进行建设、防护,符合购录中相应级别的基本安全要求,安全保拍级定为第一级(含)以上的信息系统还应参见上5进承建设,防护,安全保护等级定为第三级(食)以上信息系还应包括但不限于以下内客应来用用户名/宝码面行业数字证出相动合的有式·对登录通用系统的用户进行身份鉴别:应提供身份鉴别、用户身价标识唯一,鉴别信息复办度验查、用户登录失败处理、用户操作超时限制、并发会话连接数限制和数据有效连校验等功能:应提供访间控制功能,具有限制用户访问系统功能、业务信息等权限应提供安全审计功能,对用户登录过程、挚作行为等进行记录,并能对审升日志进行统计、分析生成审计报表:
一应具有用户退出应用系统后及时擦除存储空间中身份鉴别信息,清除内存中临时文件的功能:应采用码技术保证通信过程中数据的完整性和保密性一应其有在请求的情况下为数据原发者或接收者揭供数据原发证据和接收证据的功能:应能够检测到系统管理数据,鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储的保密性。
KacadiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
备案号:44828—2014
中华人民共和国烟草行业标准
YC/T495—2014
烟草行业信息系统安全等级保护实施规范
Implementation specifications for classified protection of informationsystem of tobacco industry
2014-03-24发布
国家烟草专卖局
2014-04-15实施
YC/T495—2014
规范性引用文件
3术语和定义
烟草行业信息系统安全等级保护实施流程5信息系统安全保护等级
技术防护.
安全管理.…
附录A(规范性附录)
附录B《资料性附录)
附录C(资料性附录)
附录D(资料性附录)
参考文献.
.......
烟草行业信息系统安全等级保护基本要求安全目标实施措施示例
安全风险分析表·
烟草行业信息系统应急演练基本要求.8
YC/T495—2014
本标准按照GB/T1.1-2009给出的规则起草。请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。本标准由国家烟草专卖局提出。本标准由全国烟草标准化技术委员会信息分技术委员会(SAC/TC144/SC7)归口。本标准起草单位:国家烟草专卖局烟草经济信息中心、广东中烟工业有限责任公司、公安部第一研究所。
本标准主要起草人:庄红、王海清、李超、耿欣、易伟文、林惠真、為鹤、昌由。1范围
烟草行业信息系统安全等级保护实施规范
YC/T495—2014
本标准规定了烟草行业信息系统安全等级保护实施过程中的流程、等级划分与确定方法,技术保护和安全管理的要求,
本标准适用于指导烟章行业新建和已投大便用的情世系统安全导级保护的实施,为烟苹行业信息系统的定级、技术防护、装全管理提供依据。规范性引用文性
下列文件好于文件的应用是必不可少的凡适详日期的求用件,仅注育期的疑本适用于本文祥,凡是不活日护的引用文件其感新趣来(包能斯在伯样变单)通用于本文2011计机场排动用烧范
信您安全
GB/2098
GB/T2105-2007电
信息安全技
GB/T2058
GB5001
信想安企技术
GB500572014
GB50174-
建消设计防火费范
建筑物防画设现地
类分级指南
全事有
全技术要
泰绕物理安
累统安
需本要
级保护
星级指南
掌级保
单级保护实维指用
2008电于信息系统机房设计规范GB50222—195(200年修订版》建筑内部装修设计防火规范SJ/T10796-200防静电话动地板通用规范信息安全等级保护管理业装(公通300714日号文件3术语和定义
下列术语和定义适用于本文件。3.1
安全保护能力securityprotectionability系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前默态等的程度[GB/T22239-2008,定义3.17
系统服务systemservice
信息系统为支撑其所承载业务而提供的程序化过程。[GB/T22240—2008.定义3.4]
KacadiaiKAca
YC/T495—2014
等级测评classified securitytestingandevaluation确定信息系统安全保护能力是否达到相应等级基本要求的过程。[GB/T25058—2010,定义3.1]
恢复时间目标
recoverytime objective
灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。[GB/T20988—2007.定义3.18]
烟草行业信息系统安全等级保护实施流程实施流程
烟草行业新建信息系统安全等级保护实施流程如图1所示。烟草行业已投人使用的信息系统安全等级保护实施流程如图2所示。2
YC/T495—2014
信息系烧线血
信总票械安金迎
信息系桃安全建设
信息系统定级
关添汤“双动痛
电车学
定得事等
然解腺敏委wwW.bzxz.Net
慕年等示
品生手养
1车市
等做变更
市海一年
美源#
iiKacaQiaiKAca
YC/T495-—2014
信感系就性
增品系统家全运维
最系就定级
手年当您
口器品王位
好成猫步等
口丰学
4.2实施活动
4.2.1新建信息系统
新建信息系统安全等级保护实施主要活动如下:8)信息系统定级
YC/T4952014
信息系统定级主要内容包括识别定级对象、确定定级要素和确定安全保护等级信息化工作部门和业务主管部门应按照围家和行业有关标准、规定,确定需要定级的信息系绕及定级要素,根据定级要素初步确定信息系统的安全保护等级,b)信息系统安全建设
信息系统安全建设主要内#包括安全需求分折安全风险分桥安全方案设计和安全方案实施,信息化工作部门和业务主管部门应根插信息系统定级情况·明动安全需水分析安全风险,按照附录A中相应等级的基本要,设计金里的、满足等级保护要求的安全方案,活学信息系统安全建设项目实施。e)信息系统安全运维
信息系统全运主要内容包括安全运行与维护、安全等级测评、安全能改利系统备案。在信息系统正式上线适行后信息化工作部门应托服国家和行业有关标准,地定,将信息系统竞级结果报上一级单位进行审,报公安机关进行备案,用旧康和业责主营部门接服国家和行业有兰标规定,根据附录A中信息先安全等级保护的基本要求,开限安全运作作和安全舒级通平工套,对受现的尚题进行开钻果框公安机关利司
一统净位,
及时整改将信息系统测评
在信慧系光安全运维新政·信息系统限希实变化整顾因导致部调整而系统的安全保护等级并来改变,应量新适行安全方设一调整和实童贷全措施,保满足你级保护的要求,息统发生较大变更导致系先安全保护等级
发生变化时,应量新开始信息小统安全级保护的实施过程,d)
请息养统终止
信息身统终上主要内客包括提出下领电项下战力系报物更市业系统下线施不系统备案撤销。
当信息系统#止运行时业
务主管部电医间信思化工作希门提出下绒中增信息化工维部门受理后按照系统下钱方策进行业随,开及时到4.2.2已投入使用信息系统
已投人使用信息统安全级保护实施主婴活动如下:信息系统定级
将有关情配报一
级单位。
信息系统定级主要内容包押品别定级对象、确定定级要素,副定安全保护等级安全等级审核和定级结果备案。信息化工作部门和业务主管可腰职国家和行业有关标准、规定,确定需要定级的信息系统及其定级要素,根据定级要素确定信息系统的安全保护等绒,将信息系统定级结果报上一级单位进行审核,审核通过后报公安机美进行备案。hy信息系统安全运维
信息系统安全运维主要内容包括安全运行与维护,安全等级测评、安全整改和测评结果备案,信息化工作部门和业务主管部门按照国家和行业标准、规定,根据确定的信息系统安全保护等级,按照附录A中相应的基本要求,开展安全运维工作和安全等级测评工作,对发现的间题进行及时整改和测评,并将信息系统测评结果报公安机关和上一级单位。在信息系统安全运维阶段,信息系统发生较大变更导致系统安全保护等级发生变化时,应按照新建值息系统安全等级保护实施过程开展信息系统等级保护工作。信息系统终止
iiKacaQiaiKAca-
YC/T495—2014
信息系统终止主要内容包括提出下线申请、下线方案编制及审批、系统下线实施和系统备案撤销。当信息系统停止运行时,业务主管部门应向信息化工作部门提出下线申请,信息化工作部门受理后按照系统下线方案进行实施,并及时到公安机关办理备案撤销手续,同时将有关情况报上一级单位。5信息系统安全保护等级
5.1等级划分
参照GB/T22240-2008,烟草行业信息系统安全保护等级由低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级和专控保护级五个安全等级。信息系统安全等级划分见表1。表1信息系统安全等级划分
第一级
第二级
第三级
第鹦级
第五级
信息系统受到破坏后(主要指系统无法运行,或者系统数据被泄露、被算改或丢失。以下同),会对公民的合法权益、其他组织的合法权益、本单位的合法权益以及生产经营活动造成损害,但不损害国家安全、社会秩序和公共利益。各单位按有关规定对第一级信息系统进行自行保护,它需要实施系统安全运行所需的基本的技术要求和安全管理要求信息系统受到破坏后,会对公民的合法权益、其他组织的合法权益,本单位的合法权益以及生产经营活动造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。各单位在国家烟草专卖局(以下简称国家局)有关部门的指导下对第二级信息系统进行保护,它需要实施系统安全运行所需的一定程度的技术要求和安全管理要求
信息系统受到破坏后,会对行业的合法权益以及行业生产经誉活动造成严重损害,对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。各单位在国家局有关部门的监督下对第三级信息系统进行保护,它需要实施系统安全运行所需的高程度的技术要求和严格的安全管理要求信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害,各单位应依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对第四级信息系统信息安全等级保护工作进行强制监督、检查信息系统受到破坏后,会对国家安全造成特别严重损害。各单位应依据国家管理规范、技术标准和业务特殊安全需求进行保护,国家指定专门部门对第五级信息系统信息安全等级保护工作进行专门监督检查
安全保护等级确定方法
识别定级对
信息化工作部门和业务主管部门应根据烟草行业信息系统的重要程度和业务对信息系统的依赖度进行综合分析,确定需要定级的信息系统。作为定级对象的信息系统应当满足以下条件:一明确了业务主管部门;
一具有信息系统的基本要素,是指由相关配套的设备、设施按照一定的应用目标和规则组合而成的有形实体,某个单一的系统组件,如服务器、终端、网络设备等不作为单独定级对象:一承载单一的或相对独立的业务应用。若承载多个业务应用的信息系统进行集成,且业务应用流程和数据相互关联,则可作为一个定级对象,如企业资源计划系统(简称ERP系统)、生产执行系统(简称MES系统),若需定级的信息系统构成6
YC/T495—2014
比较复杂,则可根据信息系统承载的多项业务类型、提供的服务范围等方式,将系统划分为若干业务子系统分别定级。
5.2.2确定定级要索
在确定安全保护等级时,应遵循GB/T22240一2008的要求,根据信息系统受到破坏时所侵害的客体及侵害的程度来确定安全保护等级。受到破坏时所侵害的客体及侵害的程度应根据以下定级要素进行判断:
)业务信息类型
业务信息类型反映了信息资产在信息系统中应受到的保护程度,业务信息类型分类如下公开信息:是指国家公开共享的信息、组织机构公开共享的信息、公民个人可公开共享的信息。当公开信息被算改或受到破环,可能会造成经济纠纷、法律纠纷和较小社会影响等:专有信息:是指国家或组织机构内部共享内部受限、内部专控信息,以及公民个人专有信息。当专有信息被泄露或受到破坏,可能会造成经济纠纷法律纠纷和一定社会影响等:一重要信息:是指国家秘密信息以外的受国家法律保护的商业秘密和个人隐私信息,以及地理、人口,法人,绕计等基础信息。重要信息被泄露或受到破坏,可能产生较大社会不良影响,可能侵害公共利益、国家安全。
系统服务范围
烟草行业信息系统的服务范围可划分为局部性、区域性和全局性:局部性:系统道到破坏后,只对本单位内部范围内的业务工作造成影响,可能会给本单位造成一定的财产损失、法律纠纷等。不影响本单位对所属单位的管理工作,不会对社会造成不良影响,不会影响与其他单位有关联的各项工作:一区域性:系统遭到破坏后,对本省范围内的业务工作造成影南,不涉及与其他单位有关联的各项工作。可能会造成业务能力下降,产生一定社会不良影响;一全局性:系统道到破坏后,对省级单位之间的相互关联工作造成影响,甚至给全行业范围的业务和管理工作带来较大影响或造成较大社会不良影响,可能侵害公共利益。c)系统运行环境
互联网:运行在互联网上的信息系统,面向社会公众,社会影响力较大,当系统受到破坏后,可能给全行业范围的业务和管理工作带来较大影响或造成一定社会不良影响,可能侵害社会公共利益和公共秩序;
内联网:运行在内联网上的信息系统,面向行业内部员工,社会影响力小,当系统受到破坏后,仅对行业内部的业务和管理工作带来影响,不会侵害社会公共利益和公共秩序。d)恢复时间目标
系统在遭到被坏后恢复时间目标在8h以上,对烟草行业业务影响较小且经济损失较少;系统在遭到破坏后恢复时间目标在4h~8h内,对烟草行业业务影响教大且造成摄失较大系统在遭到被环后恢复时间自标在4五内,对姻草行业业务影响大且造成损失严重。5.2.3确定保护等级
确定需要定级的信息系统后·应依据信息系统业务信息类型、系统服务范围、系统运行环境、恢复时间目标四个定级要素,参考以下原则确定安全保护等级。特别重要的信息系统视情参照GB/T22240-2008定为第四级或第五级。第一级至第三级信息系统应根据业务信息类型和系统服务范围初步确定信息系统安全保护等级,最终确定安全保护等级还应考意系统运行环境和恢复时间目标。运行在互联网上的信息系统安全保护等级应接较高一级要求进行保护,恢复时间目标在4h以内的信息系统安全保护等级应按较高一级要求进行保护业务信息类型、系统服务范围与安全保护等级的关系如表27
iiKacaQiaiKAca
YC/T495-—2014
所示,
表2业务信息类型系统服务范围与安全保护等级的关系业务信息美型
公开值意
不含专卖管理、生产
专有信息
营销等专有信息
咨专卖管理、生产,营销等专有信息重要信息
第一般
第一级或第二级
第二级
第二级或第三级
系统服务范围
区城性
第二级或第三般
第二级或第三级
第二级或第三缴
第三级
承载信息为公开信息、系就服务范围为局部性的信息系统成定为第级:全局性
第三级
第三级
第三级
第三级
承载信息为开信点系统服务范围为区域性的信息系统应定第二或第三级:承载信息为公开息,系统服务范围为全局性的信息系统应定为第生级:承载信更为大着专卖管理生产、营销等专有信息,系统服务范围为局部性品信息系统应定为成等级
承载信息的不含专卖营理生产营链等专有信息、系统服务范用为这域的信息系统应定为
第级或第三级:
承我信为不含专
第主级
承我信息为含专美管班车
全局性量信息系统应定为
服务范册为
产,营销亦有信息承就服务造丽为励部性的信息养统应定为第承靠信息为含专实们理,生色查销等专有信、系统服务施用为这哦性的售息紧统应定为第二级成第级:
承载信息为合专维微理、生产,精倒等专看信他,系统服务范围为全局性的信息系统应定为第三级:
承载信息重要息、系统服务范围为局部性的信息系统应定为第级或第三级:承载信息为要信息系统服务范围为区域性的信息系统应定当第三级承载信息为重要直息、系统服务范围为全局性的信息系统定为第级6技术防护
6.1支撑环境保护
6.1.1机房环境保护
行业各单位机房环境应符合时永A中的第三级基本安全要求,参见附录B中的B1进行建设防护,包括但不限手以下内容!
应对机房进行区城划分,安装电子门禁系统,防盗报警系统和视频监控系统:机房应配备UPS,采用双路供电方式并建立备用供电系统:应部馨火灾自动消防系统:
应部署机房环境监控系统,对空调,UPS门禁系统等的运行状况以及机房供配电,漏水、温湿度、烟雾等情况进行实时监控,并提供报警功能:8
机房应配备机房专用空调
电源线和通信线缆应高铺设
6.1.2网络环境保护
YC/T495—2014
行业各单位网络环境应符合录A的第三级基本安全要求,参见B2进行建设,防护,包括但不限于以下内容:
应根据网络结构、业务需求和区城安全防护要求划分网络区域:应提供核心网络设备,通信链路的元余:应配置QoS(服务质量)或具有带宽/流量管理能力,对通信链路带宽进行优先级分配:应具有对人侵事件防护能力,在发生就严重配人侵事件时应提供报整及防护应具有病毒韩护能力,对网恶意代码进行检倒利所,对防病毒软件进行统一管理、统一升级:
应采用用户多留码和可业数等证书相结合的式,对意间络设备的用户进行身份鉴别。6.1,3应用支撑环境保护
应用支撑不境广安期信息系统的安全保护等级进行建设、防护,符合附A相应级别的基本安全要求·同时压应量见1题进行追读,防护,包括但不限手以下内容应采用美户名/脂和行业数证书告在的防式:欢紧录服费牌操作系统利故据库系统的用进行身份鉴别:
提供服务器的?
服务器病在务
立对户终端集中器理安表防病软件统腰装系光补丁等
违用的移动存储介及中,对重要数据进对动存储介质
养保验性处理:
应寸移终端接
6.2应用软安全
管理,质要数据储在车
人网备系统进行提用
应用软件开应按隔信息系统的安全保护等级进行建设、防护,符合购录中相应级别的基本安全要求,安全保拍级定为第一级(含)以上的信息系统还应参见上5进承建设,防护,安全保护等级定为第三级(食)以上信息系还应包括但不限于以下内客应来用用户名/宝码面行业数字证出相动合的有式·对登录通用系统的用户进行身份鉴别:应提供身份鉴别、用户身价标识唯一,鉴别信息复办度验查、用户登录失败处理、用户操作超时限制、并发会话连接数限制和数据有效连校验等功能:应提供访间控制功能,具有限制用户访问系统功能、业务信息等权限应提供安全审计功能,对用户登录过程、挚作行为等进行记录,并能对审升日志进行统计、分析生成审计报表:
一应具有用户退出应用系统后及时擦除存储空间中身份鉴别信息,清除内存中临时文件的功能:应采用码技术保证通信过程中数据的完整性和保密性一应其有在请求的情况下为数据原发者或接收者揭供数据原发证据和接收证据的功能:应能够检测到系统管理数据,鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储的保密性。
KacadiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。