《烟草行业信息安全保障体系建设指南》_20080418

烟草行业信息安全保障体系建设指南

国家烟草专卖局

二〇〇八年四月

前言

烟草行业信息安全保障体系是行业信息化健康发展的基础和保障，是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设，提高信息安全管理水平和保障能力，国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》（以下简称《指南》）。行业各单位要结合本单位实际情况认真落实《指南》的各项要求，构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系，做到信息安全工作与信息化建设同步规划、同步建设、协调发展。

《指南》按照《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）的要求，依照《信息系统安全保障评估框架》(GB/T 20274—2006)等有关国家标准，运用目前信息安全领域广泛应用的思想和方法，明确了烟草行业信息安全保障体系建设的总体原则和建设内容，对行业信息安全策略的制订，以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求。由于水平所限，对《指南》中的不足之处，望各单位在应用过程中提出宝贵意见。

《指南》由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写。《指南》编写组组长：高锦；副组长：陈彤；主要成员：张雪峰，王海清，耿刚勇，张利，孙成昊，黄云海，耿欣，刘辉等。

目录

1范围 (3)

2引用和参考文献 (3)

2.1国家信息安全标准、指南 (3)

2.2国际信息安全标准 (4)

2.3行业规范 (5)

3术语定义和缩略语 (5)

3.1安全策略 (5)

3.2安全管理体系 (5)

3.3安全技术体系 (5)

3.4安全运维体系 (6)

3.5信息系统 (6)

3.6缩略语 (6)

4信息安全保障体系建设总体要求 (7)

4.1信息安全保障体系建设框架 (7)

4.2信息安全保障体系建设原则 (9)

4.3信息安全保障体系建设基本过程 (10)

5信息安全保障体系建设规划 (11)

6安全策略 (12)

6.1总体方针 (13)

6.2分项策略 (14)

7管理体系 (15)

7.1组织机构 (15)

7.2规章制度 (18)

7.3人员安全 (18)

7.4安全教育和培训 (22)

8技术体系 (24)

8.1访问控制 (25)

8.2信息系统完整性保护 (30)

8.3系统与通信保护 (33)

8.4物理环境保护 (36)

8.5检测与响应 (39)

8.6安全审计 (41)

8.7备份与恢复 (42)

9运维体系 (45)

9.1流程和规范 (46)

9.2安全分级 (46)

9.3风险评估 (47)

9.4阶段性工作计划 (49)

9.5采购与实施过程管理 (50)

9.6日常维护管理 (53)

9.7应急计划和事件响应 (56)

9.8绩效评估与改进 (59)

1范围

本《指南》明确了行业信息安全保障体系建设的总体原则和建设内容，对行业信息安全策略的制订，以及信息安全管理体系、信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求。

《指南》中涉及的信息安全，是指由信息系统产生的信息的保密性、完整性和可用性不遭受破坏。

本《指南》仅适用于行业中不涉及国家秘密的信息系统，涉及国家秘密的信息系统的安全保护工作应按照国家及国家局保密部门的相关规定进行。

2引用和参考文献

本文在编制过程中，依据和参考了国内外信息安全方面的相关标准、法规、指南以及烟草行业的相关标准规范，主要包括：

2.1国家信息安全标准、指南

GB/T 20274—2006 信息系统安全保障评估框架

GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分：信息技术安全概念和模型

GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分：管理和规划信息技术安全

GB/T 19716—2005 信息技术—信息安全管理实用规则

GB/T 18336—2001 信息技术—安全技术—信息技术安全性评估准则

GB 17859—1999 计算机信息系统安全保护等级划分准则

电子政务信息安全等级保护实施指南(试行)（国信办[2005]25号）GB/T 20984—2007信息安全技术信息安全风险评估规范

GB/T 20988—2007信息系统灾难恢复规范

GB/Z 20986—2007信息安全事件分类分级指南

2.2国际信息安全标准

ISO/IEC 27001:2005信息安全技术信息系统安全管理要求

ISO/IEC 13335—1: 2004 信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型

ISO/IEC TR 15443—1: 2005 信息技术安全保障框架第一部分概述和框架

ISO/IEC TR 15443—2: 2005信息技术安全保障框架第二部分保障方法

ISO/IEC WD 15443—3 信息技术安全保障框架第三部分保障方法分析

ISO/IEC PDTR 19791: 2004 信息技术安全技术运行系统安全评估

2.3行业规范

烟草行业计算机网络和信息安全技术与管理规范(国烟法[2003]17号)

烟草行业计算机网络建设技术与管理规范(国烟办综[2006]312号)

3术语定义和缩略语

下列术语和定义适用于本《指南》。

3.1安全策略

安全策略是为保障一个单位信息安全而规定的若干安全规划、过程、规范和指导性文件等。

3.2安全管理体系

安全管理体系简称“管理体系”，是为保障信息安全以“安全策略”为核心而采取的一系列管理措施的总和，内容主要包括建立健全组织机构和管理制度、实施人员管理和安全教育等。

3.3安全技术体系

安全技术体系简称“技术体系”，是为保障“安全策略”的贯彻落实而采取的一系列技术措施的总和，内容主要包括访问控制、信息完整性保护、系统与通信保护、物理与环境保护、检测与响应、安全审

计、备份与恢复等。

3.4安全运维体系

安全运维体系简称“运维体系”，是为保障管理措施和技术措施有效执行“安全策略”而采取的一系列活动的总和，内容主要包括制订流程和规范、制订阶段性工作计划、开展风险评估、实施安全分级、规范产品与服务采购、加强维护管理、安全事件响应、绩效评估与改进等。

3.5信息系统

信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.6缩略语

PDCA规划实施检查调整（Plan Do Check Action）

P2DR2策略防护检测响应恢复（Policy Protection Detection Response Recovery）

MAC介质存取控制（Media Access Control）

IP网际协议（Internet Protocol）

EAP扩展鉴权协议（Extensible Authentication Protocol）

CNCERT国家计算机网络应急技术处理协调中心(National Computer Network Emergency Response Technical Team)

IDS 入侵侦测系统（Intrusion Detection System）

IPS入侵防护系统（Intrusion Prevention System）

DoS 拒绝服务（Denial Of Service ）

A V 病毒防护(Anti—Virus)

PKI 公钥基础设施(Public Key Infrastructure)

PMI 特权管理基础设施（Permission Management Infrastructure）

CA 数字证书认证机构（Certificate Authority）

注：凡在本文中使用但未定义的术语按相关国家标准或规范解释，无相关国家标准或规范的，按学术界惯例解释。本文中除非特殊说明，所指行业均为烟草行业。

4信息安全保障体系建设总体要求

4.1信息安全保障体系建设框架

根据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）（以下简称27号文件）的精神，按照《信息系统安全保障评估框架》（GB/T 20274—2006）、《信息安全管理实用规则》（GB/T 19716—2005）等有关标准要求，本《指南》提出了以策略为核心，管理体系、技术体系和运维体系共同支撑的行业信息安全保障体系框架（如图1—1）。

图1—1行业信息安全保障体系框架

在安全策略方面，应依据国家信息安全战略的方针政策、法律法规、制度，按照行业标准规范要求，结合自身的安全环境，制订完善的信息安全策略体系文件。信息安全策略体系文件应覆盖信息安全工作的各个方面，对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则。

在管理体系方面，应按照27号文件的有关要求，将“安全策略”提出的目标和原则形成具体的、可操作的信息安全管理制度，组建信息安全组织机构，加强对人员安全的管理，提高全行业的信息安全意识和人员的安全防护能力，形成一支过硬的信息安全人才队伍。

在技术体系方面，应按照P2DR2模型，通过全面提升信息安全防护、检测、响应和恢复能力，保证信息系统保密性、完整性和可用性

等安全目标的实现。

在运维体系方面，应制订和完善各种流程规范，制订阶段性工作计划，开展信息安全风险评估，规范产品与服务采购流程，同时坚持做好日常维护管理、应急计划和事件响应等方面的工作，以保证安全管理措施和安全技术措施的有效执行。

4.2信息安全保障体系建设原则

行业信息安全保障体系建设应遵循以下原则：

1)同步建设原则：信息安全保障体系建设应与信息化建设同步规划，同步建设，协调发展，要将信息安全保障体系建设融入到信息化建设的规划、建设、运行和维护的全过程中。

2)综合防范原则：信息安全保障体系建设要根据信息系统的安全级别，采用适当的管理和技术措施，降低安全风险，综合提高保障能力。

3)动态调整原则：信息安全保障体系建设要根据信息资产的变化、技术的进步、管理的发展，结合信息安全风险评估，动态调整、持续改进信息安全保障体系，贯彻“以安全保发展，在发展中求安全”的精神，保障和促进行业业务的发展。

4)符合性原则：信息安全保障体系建设要符合国家的有关法律法规和政策精神，以及行业有关制度和规定，同时应符合有关国家技术标准，以及行业的技术标准和规范。

4.3信息安全保障体系建设基本过程

信息安全保障体系建设是管理与技术紧密结合，集“组织机构、规章制度、技术架构”三位一体的系统工程，也是与信息化同步发展，不断提高和完善的动态过程。行业信息安全保障体系的建设与发展遵循《ISO/IEC 27001:2005 信息技术—安全技术—信息安全管理系统要求》提出的PDCA（Plan—Do—Check—Action）循环模式（如下图）。

“P”是规划过程，根据信息化建设的需求和信息安全风险现状，结合信息系统等级保护的要求，提出信息安全保障体系建设的总体目标、实施步骤和资源分配方式；“D”是实施过程，依据规划制订信息安全策略，给信息安全保障体系建设提供明确的目标和原则并通过安全管理体系、安全技术体系和安全运维体系的建立实施，贯彻和落实安全策略。“C”是检查过程，通过检查和评估及时发现信息安全保障体系存在的弱点和不足。“A”是纠正调整过程，它是一个阶段任务的结束，也是新的阶段工作的开始，该过程针对信息安全保障体系运行

过程中发现的新风险，以及信息化发展中出现的新需求，采取纠正和调整措施并根据信息化的发展提出新一轮建设规划，从而使信息安全保障体系循环提高、持续发展。

应根据国家局的总体要求和自身实际情况，从PDCA循环的某一环节入手，作为本单位信息安全保障体系建设的切入点，按照本《指南》提出的建设内容，持续不断地提高和完善信息安全保障体系。

5信息安全保障体系建设规划

信息安全保障体系建设规划（简称安全规划）是描述信息安全保障体系建设的总体目标、实施步骤、时间计划以及资金、人员等资源的分配方式的文件。安全规划的表现形式可以是信息化建设总体规划文件的一个部分，也可以是单独的信息安全规划文件，或是结合具体技术细节而形成的信息安全保障体系建设方案。安全规划的内容应覆盖安全策略建设、安全管理体系建设、安全技术体系建设和安全运维体系建设等方面。

安全保障体系规划的制订工作，可以邀请具有相关专业知识和经验的外部专家或安全服务机构协助完成。

要求：

1）安全规划要符合本单位信息化发展战略的总体要求，应与信息化建设的实际需求和信息安全风险的实际状况相结合，遵循国家的法律法规、技术标准和行业的有关规定并且具有明确的指导性和可实施性。

2）应制订本系统所有单位共同执行的统一的安全规划。制订安全规划应做好三个方面工作，一要对本单位信息安全的基本现状进行科学、全面的调研分析，准确了解本单位各信息系统的功能作用、系统架构以及在安全方面存在的隐患和弱点；二要根据安全建设需求，对所需的资金、人员和政策进行分析；三要依据分析结果以及安全保障体系建设总体原则，区分主次，突出重点，制订总体目标、实施步骤和资源分配方式。

3）安全规划要有时效性，制订完成后，应确保相关人员全面了解规划的内容和要求并及时实施。在安全规划执行过程中，应及时开展阶段性或整体的绩效评估工作。

6安全策略

安全策略是一个单位对信息安全目标和工作原则的规定，其表现形式是一系列安全策略体系文件。安全策略是信息安全保障体系的核心，是信息安全管理工作、技术工作和运维工作的目标和依据。

安全策略体系文件应由总体方针和分项策略两个层次组成并具备以下七个特性：

指导性：安全策略体系文件应对单位整体信息安全工作提供全局性的指导。

原则性：安全策略体系文件不涉及具体技术细节，不需要规定具体的实现方式，只需要指出要完成的目标。

可行性：安全策略体系文件应适应本单位的现实情况和可预见的

变化，在当前和未来的一段时间内切实可行。

动态性：安全策略体系文件应有明确的时效性，不能长期一成不变。随着信息安全形势的动态变化和信息技术的不断发展，需要对策略体系文件进行不断的调整和修正。

可审核性：安全策略体系文件应可作为审核和评价本单位内部对信息安全策略遵守和执行情况的依据。

非技术性：安全策略体系文件不是具体的技术解决方案，应以非技术性的语言详细说明。

文档化：安全策略体系文件应用清晰和完整的文档进行描述。

6.1总体方针

总体方针是指导本单位所有信息安全工作的纲领性文件，是信息安全决策机构对信息安全工作的决策和意图的表述。总体方针的作用在于统一对信息安全工作的认识，规定信息安全的基本架构，明确信息安全的根本目标和原则。

要求：

1)总体方针应紧紧围绕行业的发展战略，符合本单位实际的信息安全需求，能保障与促进信息化建设的顺利进行，避免理想化与不可操作性。

2)总体方针中须明确阐述本单位所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段，应遵循的总体原则和要求。

3)总体方针应经过本单位信息安全决策机构批准并使之具备指导和规范信息安全工作的效力。

4)总体方针中应规定其自身的时效性，当信息系统运行环境发生重大变化时，应及时对总体安全策略进行必要的调整，调整后的策略必须经过信息安全决策机构批准。

6.2分项策略

分项策略是在总体方针的指导下，对信息安全某一方面工作的目标和原则进行阐述的文件。

要求：

1)分项策略要依据总体方针制订，明确信息安全各方面工作的目标和原则。

2)分项策略应包括但不限于以下内容：物理安全策略、网络安全策略、系统安全策略、应用安全策略、数据安全策略、病毒防护策略、安全教育策略、信息系统备份与恢复策略、业务连续性策略、账号口令策略、安全审计策略、系统开发策略、人员安全策略等。

3)分项策略中必须明确负责执行该策略的责任单位（部门）、该策略的适用范围、该策略所针对的信息安全工作的目标和原则。

4)分项策略中应规定其自身的时效性，当信息系统运行环境发生变化时，应及时对分项策略进行必要的调整。

7管理体系

安全管理体系的作用是通过建立健全组织机构、规章制度，以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行，来落实人员职责，确定行为规范，保证技术措施真正发挥效用，与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。

7.1组织机构

建立信息安全组织机构的目的是通过合理的组织结构设臵、人员配备和工作职责划分，对信息安全工作实行全方位管理，充分发挥各部门和各类人员在信息安全工作中的作用，共同遵守和执行安全规章制度，以保障信息安全策略的贯彻落实。

信息安全组织机构应由决策机构、管理机构和执行机构三个层面组成。

7.1.1决策机构

信息安全决策机构处于安全组织机构的第一个层次，是本单位信息安全工作的最高管理机构，按照国家和国家局的方针、政策和要求，对本单位信息安全进行统一领导和管理。

要求：

1)应成立由本单位主要领导负责、各有关部门参加的信息安全工作领导小组作为信息安全决策机构。

2)信息安全决策机构应承担如下主要工作职责：审议和批准信息安全保障体系建设规划、信息安全策略、规章制度和信息安全工程建设方案等，为本单位信息安全保障体系建设提供各类必要的资源，对信息安全的宏观问题进行决策，审定信息安全重大突发事件应急预案。

7.1.2管理机构

信息安全管理机构处于安全组织机构的第二个层次，在决策机构的领导下，负责组织制订信息安全保障体系建设规划，以及信息安全的管理、监督、检查、考核等工作。日常的信息安全管理工作主要由信息化工作部门负责。

要求：

1)应成立由信息化工作部门牵头，保密、行政、人事和业务等相关部门共同参与组成的信息安全管理机构并明确该机构的成员。应在信息化工作部门设立专门组织或指定专职人员，负责管理信息安全日常事务。

2)信息安全管理机构应承担的职责主要包括：信息安全保障体系建设规划、安全策略、规章制度的制订并组织贯彻落实；规章制度执行情况的监督与检查；信息安全建设项目的组织实施；人员安全，安全教育与培训的实施；协调信息安全日常工作中的各项事宜等。

3)应在安全规章制度中明确安全管理机构中各部门和各类人员的工作职责与责任。

7.1.3执行机构

信息安全执行机构处于信息安全组织机构的第三个层次，在管理层的领导下，负责保证信息安全技术体系的有效运行及日常维护，通过具体技术手段落实安全策略，消除安全风险，以及发生安全事件后的具体响应和处理。

要求：

1)执行机构应由信息化工作部门具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职（或兼职）信息安全员组成。应至少设臵系统管理员、网络管理员、信息安全管理员等岗位，并确定各个岗位的岗位职责、访问权限。关键操作应配备多人共同负责，关键岗位应定期轮岗。

2)信息安全管理员的主要职责是管理维护本单位信息安全设备，监测本单位信息安全状态，进行安全审计，在发生安全事件后及时组织有关技术人员进行事件响应。原则上信息安全管理员不应由系统管理员、网络管理员、数据库管理员等兼任。

3)应明确重要信息资产的安全负责人，有关责任人应清楚地了解自己担负的安全责任。

4)信息系统的使用部门要设立专职（或兼职）的信息安全员，参与相应信息系统的安全管理，指导本部门各项安全措施的落实。

5)计算机和信息系统使用人员都有义务参与信息安全工作，贯彻执行各项安全规章制度。

7.2规章制度

信息安全规章制度是所有与信息安全有关的人员必须共同遵守的行为准则。信息安全规章制度的作用在于通过规范所有与信息安全有关人员的行为来保证实现安全策略中规定的目标和原则。

要求：

1)信息安全规章制度内容应包括但不限于以下几方面：信息安全组织机构和岗位职责、人员管理制度、信息安全工作考核制度、信息系统采购开发与设计实施管理制度、机房安全管理制度、核心资产安全管理制度、密码管理制度、数据备份管理制度、业务连续性管理制度、计算机终端管理制度、应用系统日常操作安全管理制度、网络设备日常操作安全管理制度、安全设备日常操作管理制度等。

2)信息安全管理制度必须符合安全策略和本单位的实际情况，其内容和要求应当清晰明确并且可执行、可审查。

3)应通过下发文件、会议宣传和培训等多种方式确保所有相关人员知悉规章制度的内容和要求。

4)应根据本单位实际情况的变化，及时对信息安全管理制度的可行性和实施效果进行评估并根据评估结果对其进行调整和完善。

7.3人员安全

人员安全是指通过管理控制手段，确保单位内部人员（特别是信息系统的管理维护人员）和第三方人员在安全意识、能力和素质等方面都满足工作岗位的安全要求，减少对信息安全有意或无意的人为威