烟草行业信息系统安全审计接口设计规范编制说明.docVIP

《烟草行业信息系统安全审计接口 设计规范》编制说明 一、工作简况 （一）任务来源 本标准依据《国家烟草专卖局关于印发2011年度烟草行业标准制修订项目计划的通知》（国烟科[2011]165号）下达的任务编制。本标准由山东省烟草专卖局（公司）提出，经国家局批准，经全国烟草标准化技术委员会信息分技术委员会（TC 144/SC 7）审查归口。 （二）协作单位及主要起草人 本标准的牵头承担单位为山东省烟草专卖局（公司），协作单位为东软集团股份有限公司。 标准的主要起草人为：邹勇、王海宁、朱宏、刘嘉胤、王冬青、宋楠、仇道霞、石涛、曹鹏。 （三）主要工作过程 2011年6月，山东省烟草专卖局（公司）在和国家烟草专卖局签订标准专项合同后立即会同各协作单位成立了标准编写项目组，先后对行业内外多家企业进行了深入调研，通过调研和查阅资料发现：一是安全审计接口在国内处于起步阶段，暂时没有相关的国家标准、行业标准、地方标准；二是国内很多一流企业已着手研究和应用安全审计接口，他们通过安全审计接口的应用使存在于信息安全统一管理平台的一些新的技术问题得到了很大的改善，加强了信息安全的稳定性、可靠性和安全性，提升了企业软实力和核心竞争力；三是烟草行业，特别是信息技术企业已经认识到安全审计接口的重要性及其对信息安全管理的显著作用，但尚未形成一个统一、具有可操作性的标准。 截止到目前，标准编写项目组主要开展了以下工作： 第一，明确职责。2011年5月，山东省烟草专卖局（公司）同协作单位共同成立接口规范编写项目组，负责本接口规范的资料收集与整理、起草、讨论、意见征集、评审、报批和推广宣传工作。 第二，需求研讨。山东省烟草专卖局（公司）同协作单位共同探讨研究该接口规范的需求范围和编制要求。 第三，项目调研及资料收集。为借鉴国内相关标准的先进经验，标准编写项目组分别浪潮、中软、厦门用友、上海双杨、山东用友、中软海晟、新源易通、东南融通、信安世纪等行业外企业进行了调研。项目组结合信息技术企业的信息安全管理的特点，在烟草行业信息系统特点的基础上形成了《烟草行业信息系统安全审计接口设计规范》（初稿）。 第四，会议研讨。2011年8月底，发送标准《烟草行业信息系统安全审计接口设计规范》（初稿）至各信息系统研发公司进行意见收集。汇总各公司意见，对逐条建议和意见进行认真研究，提出处理意见，并在标准中进行了相应修订，形成《意见汇总处理表》(修改草案)。 2011年9月8日至9日，召开了《烟草行业信息系统安全审计接口设计规范》（初稿）研讨会，受邀的有信息分标委的专家及14家中烟公司的代表。会议对本标准的各条款进行细致分析和讨论，对格式与排版提出了修订意见，确定了依据行业应用软件与信息安全产品安全事件之间的共性和差异将信息系统安全事件划分为身份认证、参数验证、管理功能、对系统和系统数据的访问、审计记录、审计配置、存储空间、标识机制、安全配置、用户组变更、系统时间变更的分类方法。并且确定了依据安全事件对安全对象造成损失的程度、威胁以及涉及信息系统和网络的重要程度等因素，参考国标GB/Z 20986-2007中对安全事件级别的定义将安全事件的级别分为五级的分级方法。 第五，总结意见，修改条款。依据研讨会达成的共识，修订了《烟草行业信息系统安全审计接口设计规范》（初稿）条款，将安全事件的分类、分级和统一描述格式的方法作为标准。修改完成后发送到各参会代表邮箱征求意见，整理后形成《意见汇总处理表》，对安全事件分类再次进行了调整，增加了“其他类”。2011年10月，与各协作单位对送审讨论稿初稿进一步展开了讨论，再次针对各信息技术公司提出的建议和意见进行确认和统一意见。 为了使本标准更具可操作性，标准编写项目组对应用的技术路线与本接口格式的关联进行了研讨，依据技术路线的特点，制订《烟草行业信息系统安全审计接口设计规范》标准是很有必要的，对接口格式的选择及规范化开发有很大的帮助和指导意义。 2011年9月24日，国家烟草专卖局烟草经济信息中心通过电视电话会议形式，召集标准编写项目组所有成员单位对标准进行了针对性讨论，对标准的一些条款进行探讨，达成一致意见，形成《烟草行业信息系统安全审计接口设计规范》（征求意见稿）。 第六，意见征求，完善修订。2011年10月12日，全国烟草标准化技术委员会信息分技术委员会通过中国烟草标准化研究中心发出《烟草行业信息系统安全审计接口设计规范》行业标准征求意见的通知，请行业各直属单位对该标准（征求意见稿）的内容进行认真讨论，提出具体的修改意见和建议。标准编写项目组对收集到的反馈意见分类汇总，认真研究学习，将其中的一部分建议在标准中进行了修改完善，对没有采纳的建议和意见作了详细说明。根据形式审查提出的意见，重点对《征求意见稿》的格式与排版进行了完善，形成了《烟草行业信息系统