《信息安全技术政府联网计算机终端安全基本要求》 国家标准草案编制 ....docVIP

《信息安全技术 政府联网计算机终端安全基本要求》 国家标准草案编制说明 一、任务来源 国办发〔2008〕17号《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》提出要在政府部门实行计算机配置管理; 国办发〔2009〕28号《国务院办公厅关于印发〈政府信息系统安全检查办法〉的通知》将终端安全纳入安全检查范围，计算机终端安全逐步受到重视。自2009年, 工业和信息化部开始组织政府机关办公终端安全配置研究，北京信息安全测评中心承担了该项工作。2012年底，基于前期研究和试点成果，由北京信息安全测评中心牵头，向全国信息安全标准化技术委员会申请并立项了国家标准《信息安全技术 政府联网计算机安全配置指南》制定项目（计划编T-469），该标准被列为2013年国家标准重点研制项目。该标准编制牵头单位为北京信息安全测评中心，国家计算机网络应急技术处理协调中心、中国科学院软件研究所、铁道部信息技术中心、黑龙江电子信息产品监督检验院（黑龙江省信息安全测评中心）、北京市石景山区经信委、北京朋创天地科技有限公司等单位参与了标准的起草。主要起草人为刘海峰、钱秀槟、王春佳、赵章界等。 二、标准必要性和意义 随着我国电子政务的不断推进，计算机在政府部门得到了广泛应用，为提高政府行政效率、提升管理水平发挥了重要作用。同时，政府联网计算机终端自身存在的漏洞和外来威胁成为电子政务的信息安全防护的薄弱环节，信息失泄密、病毒木马传播、网络瘫痪等信息安全事件层出不穷，影响了政府部门社会管理和公共服务职能的充分发挥。《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》（国办发〔2008〕17号）要求“实行计算机配置管理和安全审计，加快对办公用计算机和移动存储设备实行配置管理”；《国务院办公厅关于印发政府信息系统安全检查办法的通知》（国办发〔2009〕28号）要求检查终端计算机和移动存储设备安全防护情况；《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)“禁止办公用计算机安装使用与工作无关的软件”;《关于加强党政机关和涉密单位互联网接入安全管理工作的通知》（工信部联协〔2012〕187号）要求强化互联网接入终端管理。另外，GB/T 29245-2012《信息安全技术 政府部门信息安全管理基本要求》也提出明确的终端计算机信息安全防护管理要求，并要求作为信息安全检查的重要内容。 本标准的制定，可以为政府部门开展办公用计算机终端安全管理和防护提供指导，也可以作为信息安全主管部门开展计算机终端信息安全保障工作的检查和考核提供依据。 三、主要工作过程 2009年4月，北京信息安全测评中心承接了工业和信息化部信息安全协调司任务，开展政府机关办公用计算机安全配置研究。2009年4～9月对国内外办公终端安全管理相关标准和规范进行了调研；2010年4月，编制形成《党政机关办公终端安全配置指南》。2010-2012年，根据标准提出部门意见、试点单位意见和专家意见，对标准进行过反复修改完善。其框架也经历了两级配置要求、三级配置要求、基线要求等变化过程，形成了基于基线思路的国家标准草案。2012年底，《信息安全技术 政府联网计算机安全配置指南》标准在全国信息安全标准化技术委员会立项（计划编T-469）。 2013年4月18日、5月23日先后组织了两次专家会，专家均提出标准名称与内容定位不匹配的问题,并建议标准内容要围绕需重点解决的问题，建议梳理与国家信息中心牵头制定的国家标准《政务计算机终端核心配置规范》的关系，建议参考ISO/IEC 27002、NIST SP 800-53等标准的结构对标准框架进行调整。随后，标准编制组根据专家意见对标准草案框架进行了调整，并明确了本标准定位在GB/T 29245-2012《信息安全技术 政府部门信息安全管理基本要求》的下位，《政务计算机终端核心配置规范》的上位。 2013年11月-2014年1月，标准草案通过了全国信息安全标准化委员会WG5工作组的专家审查。根据专家审查意见，将标准改名为《信息安全技术 政府联网计算机终端安全基本要求》。工作组专家审查会后，征求了工信部、海关总署、国家税务总局、国家烟草专卖局、国务院应急办等部委使用部门专家的意见。标准编制组根据专家意见对标准进行了进一步的修改，于12月底通过WG5工作组成员单位投票，随后根据成员单位意见完善后形成征求意见稿。 四、制定标准的原则和依据，与现行法律、法规、标准的关系 目前没有专门针对办公计算机终端安全管理标准的国家标准。本标准主要针对政务办公计算机终端提出安全保护要求，内容基于国办发〔2008〕17号、国办发〔2009〕28号、国发〔2012〕23号、工信部联协〔2012〕187号等文件要求，以及GB/