烟草行业信息安全保障体系建设指南国家烟草专卖局二〇〇八年四月前言烟草行业信息安全保障体系是行业信息化健康发展的基础和保障，是行业各级数据中心的重要组成部分。

为推进行业信息安全保障体系建设，提高信息安全管理水平和保障能力，国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》（以下简称《指南》）。

行业各单位要结合本单位实际情况认真落实《指南》的各项要求，构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系，做到信息安全工作与信息化建设同步规划、同步建设、协调发展。

《指南》按照《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）的要求，依照《信息系统安全保障评估框架》(GB/T 20274—2006)等有关国家标准，运用目前信息安全领域广泛应用的思想和方法，明确了烟草行业信息安全保障体系建设的总体原则和建设内容，对行业信息安全策略的制订，以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求。

由于水平所限，对《指南》中的不足之处，望各单位在应用过程中提出宝贵意见。

《指南》由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写。

《指南》编写组组长：高锦；副组长：陈彤；主要成员：张雪峰，王海清，耿刚勇，张利，孙成昊，黄云海，耿欣，刘辉等。

目录1范围 (3)2引用和参考文献 (3)2.1国家信息安全标准、指南 (3)2.2国际信息安全标准 (4)2.3行业规范 (5)3术语定义和缩略语 (5)3.1安全策略 (5)3.2安全管理体系 (5)3.3安全技术体系 (5)3.4安全运维体系 (6)3.5信息系统 (6)3.6缩略语 (6)4信息安全保障体系建设总体要求 (7)4.1信息安全保障体系建设框架 (7)4.2信息安全保障体系建设原则 (9)4.3信息安全保障体系建设基本过程 (10)5信息安全保障体系建设规划 (11)6安全策略 (12)6.1总体方针 (13)6.2分项策略 (14)7管理体系 (15)7.1组织机构 (15)7.2规章制度 (18)7.3人员安全 (18)7.4安全教育和培训 (22)8技术体系 (24)8.1访问控制 (25)8.2信息系统完整性保护 (30)8.3系统与通信保护 (33)8.4物理环境保护 (36)8.5检测与响应 (39)8.6安全审计 (41)8.7备份与恢复 (42)9运维体系 (45)9.1流程和规范 (46)9.2安全分级 (46)9.3风险评估 (47)9.4阶段性工作计划 (49)9.5采购与实施过程管理 (50)9.6日常维护管理 (53)9.7应急计划和事件响应 (56)9.8绩效评估与改进 (59)1范围本《指南》明确了行业信息安全保障体系建设的总体原则和建设内容，对行业信息安全策略的制订，以及信息安全管理体系、信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求。

《指南》中涉及的信息安全，是指由信息系统产生的信息的保密性、完整性和可用性不遭受破坏。

本《指南》仅适用于行业中不涉及国家秘密的信息系统，涉及国家秘密的信息系统的安全保护工作应按照国家及国家局保密部门的相关规定进行。

2引用和参考文献本文在编制过程中，依据和参考了国内外信息安全方面的相关标准、法规、指南以及烟草行业的相关标准规范，主要包括：2.1国家信息安全标准、指南GB/T 20274—2006 信息系统安全保障评估框架GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分：信息技术安全概念和模型GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分：管理和规划信息技术安全GB/T 19716—2005 信息技术—信息安全管理实用规则GB/T 18336—2001 信息技术—安全技术—信息技术安全性评估准则GB 17859—1999 计算机信息系统安全保护等级划分准则电子政务信息安全等级保护实施指南(试行)（国信办[2005]25号）GB/T 20984—2007信息安全技术信息安全风险评估规范GB/T 20988—2007信息系统灾难恢复规范GB/Z 20986—2007信息安全事件分类分级指南2.2国际信息安全标准ISO/IEC 27001:2005信息安全技术信息系统安全管理要求ISO/IEC 13335—1: 2004 信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型ISO/IEC TR 15443—1: 2005 信息技术安全保障框架第一部分概述和框架ISO/IEC TR 15443—2: 2005信息技术安全保障框架第二部分保障方法ISO/IEC WD 15443—3 信息技术安全保障框架第三部分保障方法分析ISO/IEC PDTR 19791: 2004 信息技术安全技术运行系统安全评估2.3行业规范烟草行业计算机网络和信息安全技术与管理规范(国烟法[2003]17号)烟草行业计算机网络建设技术与管理规范(国烟办综[2006]312号)3术语定义和缩略语下列术语和定义适用于本《指南》。

3.1安全策略安全策略是为保障一个单位信息安全而规定的若干安全规划、过程、规范和指导性文件等。

3.2安全管理体系安全管理体系简称“管理体系”，是为保障信息安全以“安全策略”为核心而采取的一系列管理措施的总和，内容主要包括建立健全组织机构和管理制度、实施人员管理和安全教育等。

3.3安全技术体系安全技术体系简称“技术体系”，是为保障“安全策略”的贯彻落实而采取的一系列技术措施的总和，内容主要包括访问控制、信息完整性保护、系统与通信保护、物理与环境保护、检测与响应、安全审计、备份与恢复等。

3.4安全运维体系安全运维体系简称“运维体系”，是为保障管理措施和技术措施有效执行“安全策略”而采取的一系列活动的总和，内容主要包括制订流程和规范、制订阶段性工作计划、开展风险评估、实施安全分级、规范产品与服务采购、加强维护管理、安全事件响应、绩效评估与改进等。

3.5信息系统信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.6缩略语PDCA规划实施检查调整（Plan Do Check Action）P2DR2策略防护检测响应恢复（Policy Protection Detection Response Recovery）MAC介质存取控制（Media Access Control）IP网际协议（Internet Protocol）EAP扩展鉴权协议（Extensible Authentication Protocol）CNCERT国家计算机网络应急技术处理协调中心(National Computer Network Emergency Response Technical Team)IDS 入侵侦测系统（Intrusion Detection System）IPS入侵防护系统（Intrusion Prevention System）DoS 拒绝服务（Denial Of Service ）A V 病毒防护(Anti—Virus)PKI 公钥基础设施(Public Key Infrastructure)PMI 特权管理基础设施（Permission Management Infrastructure）CA 数字证书认证机构（Certificate Authority）注：凡在本文中使用但未定义的术语按相关国家标准或规范解释，无相关国家标准或规范的，按学术界惯例解释。

本文中除非特殊说明，所指行业均为烟草行业。

4信息安全保障体系建设总体要求4.1信息安全保障体系建设框架根据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）（以下简称27号文件）的精神，按照《信息系统安全保障评估框架》（GB/T 20274—2006）、《信息安全管理实用规则》（GB/T 19716—2005）等有关标准要求，本《指南》提出了以策略为核心，管理体系、技术体系和运维体系共同支撑的行业信息安全保障体系框架（如图1—1）。

图1—1行业信息安全保障体系框架在安全策略方面，应依据国家信息安全战略的方针政策、法律法规、制度，按照行业标准规范要求，结合自身的安全环境，制订完善的信息安全策略体系文件。

信息安全策略体系文件应覆盖信息安全工作的各个方面，对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则。

在管理体系方面，应按照27号文件的有关要求，将“安全策略”提出的目标和原则形成具体的、可操作的信息安全管理制度，组建信息安全组织机构，加强对人员安全的管理，提高全行业的信息安全意识和人员的安全防护能力，形成一支过硬的信息安全人才队伍。

在技术体系方面，应按照P2DR2模型，通过全面提升信息安全防护、检测、响应和恢复能力，保证信息系统保密性、完整性和可用性等安全目标的实现。

在运维体系方面，应制订和完善各种流程规范，制订阶段性工作计划，开展信息安全风险评估，规范产品与服务采购流程，同时坚持做好日常维护管理、应急计划和事件响应等方面的工作，以保证安全管理措施和安全技术措施的有效执行。

4.2信息安全保障体系建设原则行业信息安全保障体系建设应遵循以下原则：1)同步建设原则：信息安全保障体系建设应与信息化建设同步规划，同步建设，协调发展，要将信息安全保障体系建设融入到信息化建设的规划、建设、运行和维护的全过程中。

2)综合防范原则：信息安全保障体系建设要根据信息系统的安全级别，采用适当的管理和技术措施，降低安全风险，综合提高保障能力。

3)动态调整原则：信息安全保障体系建设要根据信息资产的变化、技术的进步、管理的发展，结合信息安全风险评估，动态调整、持续改进信息安全保障体系，贯彻“以安全保发展，在发展中求安全”的精神，保障和促进行业业务的发展。

4)符合性原则：信息安全保障体系建设要符合国家的有关法律法规和政策精神，以及行业有关制度和规定，同时应符合有关国家技术标准，以及行业的技术标准和规范。

4.3信息安全保障体系建设基本过程信息安全保障体系建设是管理与技术紧密结合，集“组织机构、规章制度、技术架构”三位一体的系统工程，也是与信息化同步发展，不断提高和完善的动态过程。

行业信息安全保障体系的建设与发展遵循《ISO/IEC 27001:2005 信息技术—安全技术—信息安全管理系统要求》提出的PDCA（Plan—Do—Check—Action）循环模式（如下图）。

“P”是规划过程，根据信息化建设的需求和信息安全风险现状，结合信息系统等级保护的要求，提出信息安全保障体系建设的总体目标、实施步骤和资源分配方式；“D”是实施过程，依据规划制订信息安全策略，给信息安全保障体系建设提供明确的目标和原则并通过安全管理体系、安全技术体系和安全运维体系的建立实施，贯彻和落实安全策略。