YZ_T 0163-2018邮政业信息系统安全等级保护实施指南.pdf

ICS 35.240.01A 90YZ备案号：64650—2018中华人民共和国邮政行业标准YZ/T 0163—2018邮政业信息系统安全等级保护实施指南Implementation guide for classified security protection ofpostal industry information system2018-07-23 发布2018-10-01实施国家邮政局发布 YZ/T 0163—2018目次前言范围2规范性引用文件3术语和定义·4基本原则5角色5.1角色设置5.2安全决策组织5.3安全管理组织-5.4技术实施组织-.5.5业务管理组织-工作环节7系统定级7. 1工作内容7. 2新建信息系统7. 3已建信息系统-7. 4等级变更等级备案8.1工作内容8.2具体要求，建设整改9. 1工作内容9. 2新建信息系统9.3已建信息系统10等级测评10. 1工作内容10.2具体要求11安全检查11.1工作内容11.2具体要求12安全运维12. 1工作内容12.2变更管理- YZ/T 0163—2018a)信息系统描述：b)安全管理状况；)安全技术状况；d)存在的不足和可能面临的风险；e)安全需求描述。9.3.4技术实施组织应依据差距分析报告编制安全整改方案，安全整改方案应符合YZ/T0152要求，包括安全技术措施和安全管理措施两方面优化与调整内容，并考虑云计算、物联网、移动互联网和大数据新技术应用的安全需求，对个人信息的处理应遵循YZ/T0147、GB/Z28828和GB/T35273要求。安全整改方案由安全管理组织审核，并报安全决策组织审批。9.3.5技术实施组织应按照安全整改方案开展已建信息系统技术整改，落实信息安全产品采购、安全控制开发、安全控制集成和系统验收等工作。管理制度建设和修订、人员安全技能培训等工作。9.3.7已建信息系统安全建设工程结束时可邀请符合国家相关要求的安全服务商进行安全测试验收。10等级测评10.1工作内容定期开展等级测评工作，确保邮政业信息系统安全保护措施能符合与其安全等级相适应的要求。10.22具体要求10.2.1新建信息系统正式上线运行前，对第二级新建信息系统可开展安全自评或等级测评，对第三级及以上新建信息系统应开展等级测评，通过安全自评或等级测评的信息系统方可上线运行。10.2.2邮政业信息系统应定期开展等级测评工作。第二级邮政业信息系统可每年进行一次安全自评或等级测评，第三级邮政业信息系统应每年进行一次等级测评，第四级邮政业信息系统应每半年进行-次等级测评。10.2.3安全管理组织应选择具有国家相关技术资质和安全资质的等级测评机构，对第三级及以上邮政业信息系统进行等级测评10.2.4邮政业信息系统的等级测评标准应按照YZ/T0152要求执行，并形成等级测评报告安机关和邮政管理部门报备。11安全检查11.1工作内容接受等级保护管理机构和行业主管部门的监督检查，提高邮政业信息系统的安全保护水平。11.2具体要求11.2.1在接受安全监督检查前，安全管理组织应及时开展信息系统定级、规划设计、建设实施和运行管理自查自纠工作。11.2.2安全管理组织和技术实施组织应详细记录监督检查过程、检查内容、检查结果和整改建议。11.2.3安全管理组织和技术实施组织应按照监督检查结果对信息系统安全进行整改优化，安全管理6 YZ/T 0163—201812安全运维12.1工作内容按照YZ/T0152要求开展邮政业信息系统等级保护的安全运维工作。12.2变更管理12.2.1邮政业信息系统的变更需求可由技术实施组织、业务管理组织或安全管理组织提出。技术实施组织应接照YZ/T0152要求进行变更需求分析，确定变更的内容、变更资源需求和变更范围等。安全管理组织判断安全变更的必要性和可行性12.2.2技术实施组织应根据系统变更需求制订变更工作实施方案。变更工作实施方案包括变更目的、内容、影响、时间、地点和变更回退方法等。变更工作实施方案应由安全管理组织审核，并报安全决策组织审批。12.2.3技术实施组织应对变更实施过程进行监控和记录，保证变更对业务的影响最小。12.2.4技术实施组织应收集变更过程的各类相关文档，整理、分析变更数据，总结变更结果，形成变更报告，并归档保存。12.3运维监控12.3.1技术实施组织应按照YZ/T0152要求确定运维监控对象，对影响系统、业务安全性的关键要素进行分析，信息系统的防火墙、核心路由器、核心交换机、主要通信线路、关键服务器或客户端、人侵检测，防病毒等重要设备应纳入监控范围，形成监控对象列表12.3.2技术实施组织应按照YZ/T0152要求选择合适的监控工具，收集来自监控对象的网络流量、日志信息、安全报警和性能状况等各类状态信息12.3.3技本实施组织