《烟草行业信息安全保障体系建指南》20080418.docVIP

烟草行业信息安全保障体系建设指南 国家烟草专卖局 二〇〇八年四月 前　　言 烟草行业信息安全保障体系是行业信息化健康发展的基础和保障，是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设，提高信息安全管理水平和保障能力，国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》（以下简称《指南》）。行业各单位要结合本单位实际情况认真落实《指南》的各项要求，构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系，做到信息安全工作与信息化建设同步规划、同步建设、协调发展。 《指南》按照《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）的要求，依照《信息系统安全保障评估框架》(GB/T 20274—2006)等有关国家标准，运用目前信息安全领域广泛应用的思想和方法，明确了烟草行业信息安全保障体系建设的总体原则和建设内容，对行业信息安全策略的制订，以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求。由于水平所限，对《指南》中的不足之处，望各单位在应用过程中提出宝贵意见。 《指南》由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写。《指南》编写组组长：高锦；副组长：陈彤；主要成员：张雪峰，王海清，耿刚勇，张利，孙成昊，黄云海，耿欣，刘辉等。 目 录 TOC \o 1-2 \h \z \u HYPERLINK \l _Toc193801032 1 范围 PAGEREF _Toc193801032 \h 1 HYPERLINK \l _Toc193801033 2 引用和参考文献 PAGEREF _Toc193801033 \h 1 HYPERLINK \l _Toc193801034 2.1 国家信息安全标准、指南 PAGEREF _Toc193801034 \h 1 HYPERLINK \l _Toc193801035 2.2 国际信息安全标准 PAGEREF _Toc193801035 \h 2 HYPERLINK \l _Toc193801036 2.3 行业规范 PAGEREF _Toc193801036 \h 3 HYPERLINK \l _Toc193801037 3 术语定义和缩略语 PAGEREF _Toc193801037 \h 3 HYPERLINK \l _Toc193801038 3.1 安全策略 PAGEREF _Toc193801038 \h 3 HYPERLINK \l _Toc193801039 3.2 安全管理体系 PAGEREF _Toc193801039 \h 3 HYPERLINK \l _Toc193801040 3.3 安全技术体系 PAGEREF _Toc193801040 \h 3 HYPERLINK \l _Toc193801041 3.4 安全运维体系 PAGEREF _Toc193801041 \h 4 HYPERLINK \l _Toc193801042 3.5 信息系统 PAGEREF _Toc193801042 \h 4 HYPERLINK \l _Toc193801043 3.6 缩略语 PAGEREF _Toc193801043 \h 4 HYPERLINK \l _Toc193801044 4 信息安全保障体系建设总体要求 PAGEREF _Toc193801044 \h 5 HYPERLINK \l _Toc193801045 4.1 信息安全保障体系建设框架 PAGEREF _Toc193801045 \h 5 HYPERLINK \l _Toc193801046 4.2 信息安全保障体系建设原则 PAGEREF _Toc193801046 \h 7 HYPERLINK \l _Toc193801047 4.3 信息安全保障体系建设基本过程 PAGEREF _Toc193801047 \h 8 HYPERLINK \l _Toc193801048 5 信息安全保障体系建设规划 PAGEREF _Toc193801048 \h 9 HYPERLINK \l _Toc193801049 6 安全策略 PAGEREF _Toc193801049 \h 10 HYPERLINK \l _Toc193801050 6.1 总体方针 PAGEREF _Toc193801050 \h 11 HYPERLINK \l _Toc193801051 6.2 分项策略 PAGEREF _Toc193801051 \h 12 HYPERLINK \l _Toc193801052 7 管理体系 PAGEREF _Toc