烟草行业信息安全体系建设规范-编制说明v2.docVIP

PAGE PAGE 1 《烟草行业信息安全体系建设规范》 编制说明 一 工作简况 1.1 任务来源 根据《国家烟草专卖局关于印发2007年度烟草行业标准制修订项目计划的通知》（国烟科[2007]146号）中“2007年度烟草行业标准制修订项目计划表”第42项《烟草行业信息安全体系建设规范》，制定本标准。 1.2 项目承担单位、协作单位及主要分工 本项目由国家局烟草经济信息中心、中国信息安全测评中心共同承担。 1.3 主要工作过程（起草、试验验证、征求意见、送审、报批等环节及项目研讨会等内容） 2006年，完成《烟草行业信息安全保障体系建设指南》（初稿），并分别在5月和11月召开的中国烟草学会信息化专业委员会网络与信息安全学组会议上进行讨论和修改，形成征求意见稿。 2007年，征求意见稿于1月份通过了由行业内、外专家组成的评审组的评审，而后以电子邮件方式征求了行业部分单位有关同志的意见，10月在行业信息安全技术和管理培训班上进行了宣讲和讨论。 2008年，经修改后，4月印发《国家烟草专卖局办公室关于印发烟草行业信息安全保障体系建设指南的通知》（国烟办综[2008]147号）。 2008年5月至2010年11月，依据《烟草行业信息安全保障体系建设指南》，在行业组织开展信息安全保障体系建设，结合实际工作情况，将《烟草行业信息安全保障体系建设指南》转化为行业标准，形成《烟草行业信息安全体系建设规范》（征求意见稿），并于12月在全国烟草标准化技术委员会信息分技术委员会第二届第二次工作会议上进行研讨。 2011年1月至4月，经进一步修改后，拟征求行业各单位和分标委委员意见。 二 相关领域的国内外标准研究和制修订情况 信息安全主要包括电信网、广播电视传输网和互联网等基础信息网络安全，金融、电力、交通、税务、海关和党政军等的重要信息系统安全以及信息内容安全，是国家安全的重要组成部分。目前，国内信息安全相关标准分为信息安全标准体系、涉密信息系统安全保密、密码技术、鉴别与授权、信息安全评估、通信安全、信息安全管理等，形成了较为完善的标准体系。 关于行业信息安全体系建设规范，是按照《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）要求，依据国家相关标准，结合行业实际，对行业信息安全体系建设的总体原则和建设内容、信息安全策略的制定以及信息安全管理、技术、运维三大体系的建设工作提出了指导意见和具体要求。 未收集到国外的相关标准。 三、标准编制原则及主要内容确定的依据 3.1 标准适用范围 本标准明确了行业信息安全体系建设的总体原则和建设内容，对行业信息安全策略的制订，以及信息安全管理体系、信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求。 本标准仅适用于行业中不涉及国家秘密的信息系统，涉及国家秘密的信息系统的安全保护工作应按照国家及国家局保密部门的相关规定进行。 3.2 标准编制原则 本标准在编制过程中，遵循以下几个原则： 1) 可行性原则：符合行业的实际特点，在行业具备较高的可行性。 2) 合规性原则：把握国家在信息安全领域的标准和政策，具备与国家政策法规的符合性。 3.3 标准主要技术内容确定的依据 本标准根据国家发布的有关信息安全体系建设的下列标准和文件，结合行业自身的信息系统特点，制定适合于行业的信息安全体系建设规范。 GB/T 20274—2006 信息系统安全保障评估框架 GB/T 19715.1—2005 信息技术—信息技术安全管理规范第1部分：信息技术安全概念和模型 GB/T 19715.2—2005 信息技术—信息技术安全管理规范第2部分：管理和规划信息技术安全 GB/T 19716—2005 信息技术—信息安全管理实用规则 GB/T 18336—2001 信息技术—安全技术—信息技术安全性评估准则 GB 17859—1999 计算机信息系统安全保护等级划分准则 电子政务信息安全等级保护实施规范（试行）（国信办[2005]25号） GB/T 20984—2007信息安全技术 信息安全风险评估规范 GB/T 20988—2007信息系统灾难恢复规范 GB/Z 20986—2007信息安全事件分类分级规范 四 标准预期产生的社会、经济效益 本标准是基础性标准，本身不产生直接的经济效益，对规范行业信息安全体系建设将会起到积极的作用。 五 采用国际标准和国外先进标准的情况 本标准未涉及采用国际标准和国外先进标准的内容。 六 与有关的现行法律、法规和强制性标准的关系 本标准引用了以下的国内标准和规范： GB/T 20274—2006 信息系统安全保障评估框架 GB/T 19715.1—2005 信息技术—信息技术安全管理规范第1部分：信息技术安全概念和模型