烟草行业信息系统安全等级保护基本要求.doc

烟草行业信息系统平安

等级保护根本要求

二○一一年五月

目次

TOC\o1-3\h\z\u引言-3-

1.范围-4-

2.标准性引用文件-4-

3.术语和定义-4-

3.1.平安保护能力-4-

4.烟草行业信息系统平安等级保护概述-4-

4.1.烟草行业信息系统平安保护等级-4-

4.2.不同等级的平安保护能力-4-

4.3.根本技术要求和根本管理要求-5-

4.4.根本技术要求的三种类型-5-

5.第一级根本要求-5-

5.1.技术要求-5-

5.1.1.物理平安-5-

5.1.2.网络平安-7-

5.1.3.主机平安-8-

5.1.4.应用平安-9-

5.1.5.数据平安及备份恢复-10-

5.2.管理要求-10-

5.2.1.平安管理制度-10-

5.2.2.平安管理机构-10-

5.2.3.人员平安管理-11-

5.2.4.系统建设管理-12-

5.2.5.系统运维管理-15-

6.第二级根本要求-18-

6.1.技术要求-18-

6.1.1.物理平安-18-

6.1.2.网络平安-21-

6.1.3.主机平安-23-

6.1.4.应用平安-26-

6.1.5.数据平安及备份恢复-28-

6.2.管理要求-29-

6.2.1.平安管理制度-29-

6.2.2.平安管理机构-30-

6.2.3.人员平安管理-31-

6.2.4.系统建设管理-33-

6.2.5.系统运维管理-38-

7.第三级根本要求-44-

7.1.技术要求-44-

7.1.1.物理平安-44-

7.1.2.网络平安-49-

7.1.3.主机平安-53-

7.1.4.应用平安-56-

7.1.5.数据平安及备份恢复-60-

7.2.管理要求-61-

7.2.1.平安管理制度-61-

7.2.2.平安管理机构-63-

7.2.3.人员平安管理-66-

7.2.4.系统建设管理-69-

7.2.5.系统运维管理-76-

8.第四级根本要求-87-

9.第五级根本要求-87-

附录A〔标准性附录〕烟草行业信息系统整体平安保护能力要求-88-

附录B〔标准性附录〕烟草行业信息系统平安要求的选择和使用-90-

引言

本要求依据国家信息平安等级保护管理规定制订。从烟草行业实际情况出发，对《信息系统平安等级保护根本要求》〔GB/T22239—2008〕的有关要求进行了明确、细化和调整，提出和规定了烟草行业不同等级信息系统的平安要求，适用于烟草行业按照等级保护要求进行平安建设、测评和监督管理等工作。

烟草行业信息系统平安等级保护根本要求

范围

本要求规定了烟草行业不同平安保护等级信息系统的平安要求，包括根本技术要求和根本管理要求，适用于烟草行业按照等级保护要求进行平安建设、测评和监督管理等工作。

标准性引用文件

GB/T5271.8信息技术词汇第8局部：平安〔GB/T5271.82001,idtISO/IEC2382—8:1998〕

GB17859计算机信息系统平安保护等级划分准那么

GB50174—2008电子信息系统机房设计标准

GB/T22240—2008信息平安技术信息系统平安等级保护定级指南

GB/T22239—2008信息平安技术信息系统平安等级保护根本要求

YC/T389—2011烟草行业信息系统平安等级保护与信息平安事件的定级准那么

术语和定义

GB/T5271.8和GB17859—1999确定的以及以下术语和定义适用于本要求。

平安保护能力securityprotectionability

系统能够抵御威胁、发现平安事件以及在系统遭到损害后能够恢复先前状态等的程度。

烟草业信息系统平安等级保护概述

烟草业信息系统平安保护等级

烟草行业信息系统根据其在国家平安、经济建设、社会生活中的重要程度，遭到破坏后对国家平安、社会秩序、公共利益以及法人和其他组织的合法权益的危害程度，等级划分定义见YC/T389—2011。

不同等级的平安保护能力

不同等级的信息系统应具备的根本平安保护能力如下：

第一级平安保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害。信息系统遭到破坏后，对业务造成局部性影响且经济损失程度一般，由信息系统建设和使用单位按本单位信息化工作部门有关规定进行自行