《法人库信息共享信息安全规范》(送审稿)编制说明.docxVIP

《法人库信息共享信息 安全规范》 (送审稿)编制说明湖南省质量技术监督局湖南省质量和标准化研究院2015年12月《法人库信息共享信息 安全规范》（送审稿）编制说明一、项目背景根据《国家电子政务总体框架》（国信[2006]2号）文件精神，随着国家电子政务建设跨入政务信息资源的开发利用和交换共享的新阶段，法人单位基础信息交换、共享、开发和利用已经成为各级政府部门电子政务建设的一项重要的基础性工作。国家“十二五”规划中指出要完善基础信息资源体系，强化信息资源的整合，规范采集和发布，加强社会化综合开发利用。在《湖南省社会信用体系建设规划（2015—2020年）》以及智慧城市建设规划中也强调了法人单位基础库的建成和完善，因此急需相关技术标准的支持。2012年，《法人库信息共享信息 安全规范》列入湖南省地方标准制修订项目计划起草工作主要由省标准化研究院负责，主要是提出法人单位基础库数据共享的安全要求，旨在提高法人数据的安全性、规范性、完整性、准确性、一致性。二、标准制定目的与意义随着湖南省法人单位数据库应用不断深入、功能不断扩充，系统拓扑结构日趋复杂，参与到系统维护工作中的机构和人员也日渐增多。为保障系统安全稳定运行, 迫切需要制定统一的信息共享安全规范，指导系统维护工作平稳有序开展。制定《法人库信息共享信息 安全规范》，有助于各运维机构协调一致做好系统运维保障、安全管理并及时处置突发状况，有助于系统运维高效规范化管理。三、 编制原则本标准制定遵循以下原则：（1）科学性原则本标准的制定从湖南省法人库运行安全的实际需求出发，充分遵照信息系统运维安全的各项技术规范，借鉴大型信息系统运维管理先进经验，力求科学、严谨的制订本标准主要内容和各项指标。（2）指导性原则本标准的制定必须适应法人库技术特点及部署实际情况，在明确各级数据共享的同时，强调安全工作开展的协同性，指导全省各级法人库工作平稳有序开展。（3）可操作性原则本标准对法人库安全的各项要求应力求简洁明确，有较强的操作性，便于安全工作开展和持续改进。（4）适度前瞻原则本标准应具有适度的前瞻性,在充分研究信息技术发展趋势的基础上，以未来法人库功能扩展性为重要参考因素，制订主要内容和技术指标应。四、标准编制过程地方标准《法人库信息共享信息 安全规范》任务下达后，为保证该标准编制工作顺利进行，项目组在广泛收集整理与本项目有关的国内外标准信息和文献资料的基础上，开展了内部讨论、专家咨询、公开征求意见，经反复讨论、修改形成了本标准送审稿。2012年12月，确定参加起草的单位和人员，成立项目组，启动制定工作。项目组制定了详细的工作计划，明确了各阶段的任务与目标，确定了制定的方法与思路。项目开展过程中，因项目人员的变化，标准的制定工作，停滞了一段时间后，又重新组织项目组人员，继续开展了研制工作。项目编制组在研制过程中查阅了相关标准文本，总结我省法人库运行的实际需求，组织多次座谈会，通过文献分析、系统研究，拟定了本标准的基本框架。2015年6--8月，根据标准提纲与专家指导意见，完成了本标准初稿。项目组组织召开多次相关专家座谈会听取意见，参加会议的有邀请的技术专家、法人库管理部门领导、参与法人库运维管理的主要技术工程师，与会人员针对标准初稿提出了的更细致的要求及修改建议。与此同时将标准稿函送给高校数据库建设和网络技术专家、信息化行政主管部门领导，收集指导意见。项目经过分析论证，采纳了其他信息系统安全管理的部分先进经验和做法，对标准内容进行了多次修改。2015年11月，通过网站向社会公开征求意见，截至到12月10日，项目组未收到修改意见。项目组对征求意见稿个别文字进行调整，形成本送审稿。五、 标准的主要内容说明1标准适用范围本标准规定了法人库信息共享安全工作的要求，适用于所有法人库系统信息共享的安全工作。2标准结构框架本标准依照GB1.1-2009《标准化工作导则 第1部分：标准的结构和编写规则》的有关要求，以及编制目的和原则，拟定结构框架和主要章节包括：前言、适用范围、术语与定义、安全目标、基本要求、管理要求、技术要求。4、术语与定义本标准共有四个术语和定义，主要是根据系统安全的具体要求，在参照相关标准的定义的基础进行的定义。5、标准主要技术内容的说明基本要求（以下条目编号是引用的标准编号）5.1是对法人单位基础信息在存储、共享、应用过程中要求满足数据信息的完整性、保密性和可用性要求。5.2是对法人库信息数据完整性的要求。5.3是对法人库信息数据保密性的要求。5.4是对法人库信息数据可用性的要求。管理要求主要是对法人库安全管理上进行明确，本条主要上从制度、人员、安全设备方面进行一些具体的要求。技术要求7.1物理和环境安全7.1.1条是对法人库机房场地选择的要求，根据GB/T 21052-2007《信息安全技术