《烟草行业信息系统安全等级保护实施规范》

《烟草行业信息系统安全等级保护实施规范》编制说明

一工作简况

1.1 任务来源

根据《国家烟草专卖局关于印发2012年度烟草行业标准制修订项目计划的通知》(国烟科[2012]118号)中“2012年度烟草行业标准制修订项目计划表”第38项《烟草行业信息系统安全等级保护实施规范》制定本标准。

1.2 项目承担单位、协作单位及主要分工

本项目由国家局烟草经济信息中心、广东中烟工业有限责任公司、公安部第一研究所共同承担。

国家局烟草经济信息中心负责项目组织、策划、项目需求、开展调研、征求意见等。

广东中烟工业有限责任公司和公安部第一研究所负责起草标准初稿、征求意见稿。 1.3 主要工作过程

2013年，完成《烟草行业信息系统安全等级保护实施规范》(初稿)，并在10月召开的烟草行业信息系统安全等级保护实施规范研讨会上进行讨论和修改，形成征求意见稿。 1.4 标准主要起草人及其所做的工作等

庄红、王海清负责标准策划，易伟文、耿欣、林惠真、焉鹤负责编写信息系统安全保护等级、实施流程，吕由、李超等负责编写技术防护要求和管理防护要求等。

二相关领域的国内外标准研究和制修订情况

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息

系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息安全的等级保护是党中央国务院决定在信息安全领域实施的基本国策。目前，国内信息安全等级保护相关标准分为基础类、应用类、产品类和其他类，形成了比较完整的信息安全等级保护标准体系。

关于行业信息系统安全等级保护实施规范，是按照《信息安全等级保护管理办法》(公通字[2007]43号)要求，依据国家相关标准，结合行业实际情况，对行业信息系统安全等级保护实施流程以及技术防护要求、安全管理要求提出了指导意见和具体要求。

未收集到国外的相关标准。

三、标准编制原则及主要内容确定的依据

3.1 标准适用范围

本标准规定了烟草行业信息系统安全等级保护实施的过程，适用于指导烟草行业信息系统安全等级保护的实施。

3.2 标准编制原则

本标准在编制过程中，遵循以下几个原则:

1) 可行性原则:符合行业的实际特点，在行业具备较高的可行性。

1

2) 合规性原则:把握国家在信息安全领域的标准和政策，具备与国家政策法规的符合性。

3.3 标准主要内容确定的依据

本标准根据国家发布的有关信息系统安全等级保护的下列标准和文件，结合行业自身的信息

系统特点，制定适合于行业的信息系统安全等级保护实施规范。

GB 17859-1999 计算机信息系统安全保护等级划分准则

GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求

GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南

GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南 3.4 本标准与被修订标准在标准技术内容、水平方面的对比情况

无。

四标准预期产生的社会、经济效益

本标准是基础性标准，本身不产生直接的经济效益，对规范行业信息系统安全等级保护工作

将会起到积极的作用。

五采用国际标准和国外先进标准的情况

本标准未涉及采用国际标准和国外先进标准的内容。六与有关的现行法律、法规和强制性标准的关系

本标准引用了以下的国内标准和规范:

GB 17859-1999 计算机信息系统安全保护等级划分准则

GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求

GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南

GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南七重大分歧意见的处理经过和依据

见意见汇总处理表。

八作为强制性标准或推荐性标准的建议及主要依据

本标准作为推荐性标准批准发布后，可用于规范行业信息系统安全等级保护工作的开展。

九标准宣贯的要求和措施建议

本标准批准发布后，应组织行业信息化工作人员培训学习。十废止现行有关标准的建议

无。

十一其他应予以说明的事项

无。

《烟草行业信息系统安全等级保护实施规范》标准项目组

2013年10月

2