烟草行业信息系统安全等级保护基本要求二○一一年五月目次引言...................................................................................................................................................... - 3 -1.范围 .............................................................................................................................................. - 4 -2.规范性引用文件 .......................................................................................................................... - 4 -3.术语和定义 .................................................................................................................................. - 4 -3.1.安全保护能力....................................................................................................................... - 4 -4.烟草行业信息系统安全等级保护概述....................................................................................... - 4 -4.1.烟草行业信息系统安全保护等级........................................................................................... - 4 -4.2.不同等级的安全保护能力....................................................................................................... - 4 -4.3.基本技术要求和基本管理要求............................................................................................... - 5 -4.4.基本技术要求的三种类型....................................................................................................... - 5 -5.第一级基本要求 .......................................................................................................................... - 5 -5.1.技术要求................................................................................................................................... - 5 -5.1.1.物理安全............................................................................................................................... - 5 -5.1.2.网络安全............................................................................................................................... - 7 -5.1.3.主机安全............................................................................................................................... - 8 -5.1.4.应用安全............................................................................................................................... - 9 -5.1.5.数据安全及备份恢复........................................................................................................... - 9 -5.2.管理要求................................................................................................................................. - 10 -5.2.1.安全管理制度..................................................................................................................... - 10 -5.2.2.安全管理机构..................................................................................................................... - 10 -5.2.3.人员安全管理..................................................................................................................... - 11 -5.2.4.系统建设管理..................................................................................................................... - 12 -5.2.5.系统运维管理..................................................................................................................... - 15 -6.第二级基本要求 ........................................................................................................................ - 18 -6.1.技术要求................................................................................................................................. - 18 -6.1.1.物理安全............................................................................................................................. - 18 -6.1.2.网络安全............................................................................................................................. - 21 -6.1.3.主机安全............................................................................................................................. - 23 -6.1.4.应用安全............................................................................................................................. - 26 -6.1.5.数据安全及备份恢复......................................................................................................... - 28 -6.2.管理要求................................................................................................................................. - 29 -6.2.1.安全管理制度..................................................................................................................... - 29 -6.2.2.安全管理机构..................................................................................................................... - 30 -6.2.3.人员安全管理..................................................................................................................... - 31 -6.2.4.系统建设管理..................................................................................................................... - 33 -6.2.5.系统运维管理..................................................................................................................... - 37 -7.第三级基本要求 ........................................................................................................................ - 44 -7.1.技术要求................................................................................................................................. - 44 -7.1.1.物理安全............................................................................................................................. - 44 -7.1.2.网络安全............................................................................................................................. - 49 -7.1.3.主机安全............................................................................................................................. - 53 -7.1.4.应用安全............................................................................................................................. - 56 -7.1.5.数据安全及备份恢复......................................................................................................... - 60 -7.2.管理要求................................................................................................................................. - 61 -7.2.1.安全管理制度..................................................................................................................... - 61 -7.2.2.安全管理机构..................................................................................................................... - 63 -7.2.3.人员安全管理..................................................................................................................... - 66 -7.2.4.系统建设管理..................................................................................................................... - 69 -7.2.5.系统运维管理..................................................................................................................... - 76 -8.第四级基本要求 ........................................................................................................................ - 87 -9.第五级基本要求 ........................................................................................................................ - 87 -附录 A （规范性附录）烟草行业信息系统整体安全保护能力要求 ...................................... - 88 -附录 B （规范性附录）烟草行业信息系统安全要求的选择和使用 ...................................... - 90 -引言本要求依据国家信息安全等级保护管理规定制订。