推荐星级:
- 1
- 2
- 3
- 4
- 5
YCT 495-2014 烟草行业信息系统安全等级保护实施规范
资料介绍
YCT 495-2014 烟草行业信息系统安全等级保护实施规范
本标准规定了潮草行业信息系统安全等级保护实施过程中的流程、等级划分与确定方法、技术保护和安全管理的要求,本标准适用于指导烟草新建和已批内使用的件系统安全导级保护的实施,为烟草行业信息系统的定级、技术防护、全管理提依据。
2 规范性引用文
下列文件对于基文件的应用是必不可少的,凡是注日期的引用文件,仅注 期的版本适用于本文件,凡是不日期的引用文件,其最抚版本(包括所框的修改单)适用于本文件。
GB/T8872011计算机场地道规范GB/Z09842007信息安全技术
信息安全事件会类分选析南
GB/T 21052007而息安全技术
GB/T2232008信息安全技术
信息系统安全等级保护资本要求
GB/T2242008信息安全技术
有息系统物建安全技术要通
信息系统安全等级保护定级指南
GB/T0582010信息安全技术
信息系统安全等级保护实施指南
GB 50016-2006建流设计贴火洗范GB 50057201建筑物防雷设计规范
GB 50174-2008电子信息系统机房设计规范
GB 50222—1995(2001年修订版)建筑内部装修设计防火规范SJ/T 10796-200防静电活动地板通用规范
信息安全等级保护管养电法(公通2007143号文化)
3术语和定义
下列术语和定义适用于本文件。
3.1安全保护能力 security protection ability系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度,
[GB/T 22239-2008,定义3.1]
3.2系统服务 system service信息系统为支撑其所承载业务而提供的程序化过程。[GB/T 22240-2008,定义3.4]
3.3等级测评 classified security testing and evaluation确定信息系统安全保护能力是否达到相应等级基本要求的过程。
[GB/T 25058-2010,定义3.1]
3.4恢复时间目标 recovery time objeetive灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。
[GB/T 20988—2007,定义 3.18]
烟草行业信息系统安全等级保护实施流程
4.1 实施流程
烟草行业新建信息系统安全等级保护实施流程如图 1所示。
烟草行业已投入使用的信息系统安全等级保护实施流程如图 2 所示。
新建信息系统安全等级保护实施主要活动如下:
a)信息系统定级
信息系统定级主要内容包括识别定级对象、确定定级要素和确定安全保护等级,信息化工作部门和业务主管部门应按照国家和行业有关标准,规定,确定需要定级的信息系统及定级要素,根据定级要素初步确定信息系统的安全保护等级
b)信息系统安全建设
信息系统安全建设主要内醉包括安全需求分析、安全风险分析,安全方案设计和安全方案实施,信息化工作部门和业务主管部门应些断信息系统定级情况,听确安全需求,分析安全风险,按照附录A中相应等级的基本要求,设计会的、满足等级保护要求的安全方案,他量信应医统安全建设项目实施。
e)信息系统安全作
信息系统安全运主要内容包括安全运行匀维护,安全等级测评、安全餐改和系统备案,在信息系统正式上线行后,信息化工作品门应按品国家和行业有关标在,现定,将信息系统定级结果报上一级单位进行市,把公安机关进行备案;同时应和业务主管部门按照国家和行业有关标准、规定,根据附录A中信息系统安全等级保护的基本要求,开展安全适作工作和安全等级调评工在,对发现的问题进行及时整改将信息系统测评结电描公安机关和上一班单位。
在信息系统安全运地局投,信息系统因求变化原因导致号部调整而系统 安全保护等级并未改变,应重新进行安全方调整和实性安全精施,确保满足等中的要求:息易使发生较大变更导致系统安全保护等级发生变化时,应重新开始信息系统安全等极保护的实能过程。
d)息易统终止
信息系统终止主要内容包括提出下线申请,下线方案架制及审批、系统下线实施那系统备案撤销。
当信息系统管止进行时,业务主管部门应向信息化工作部门提出下线申请,信息化工 部门受理后按照系统下线方案进行支能,并及时到公安机关办理备索期的手续,同时将有关情 报 一级单位。
4.2.2 已投入使用信息系统
已投入使用信息 统安全 级保护实施主要活动如下a)信息系统定级
信息系统定级主要内容包括拟别定级对象、确定定级要素,确定安全保护等级、安全等级审核和定级结果备案,信息化工作部门和业务主管部行按按照国家和行业有关标准、规定,确定需要定级的信息系统及其定级要素,根据定级要素确定信息系统的安全保护等级,将信息系统定级结果报上一级单位进行审核,审核通过后报公安机关进行备案。
b)信息系统安全运维
信息系统安全运维主要内容包括安全运行与维护、安全等级测评、安全整改和测评结果备案,信息化工作部门和业务主管部门按照国家和行业标准、规定,根据确定的信息系统安全保护等级,按照附录A中相应的基本要求,开展安全运维工作和安全等级测评工作,对发现的问题进行及时整改和测评,并将信息系统测评结果报公安机关和上一级单位。
在信息系统安全运维阶段,信息系统发生较大变更导致系统安全保护等级发生变化时,应按照新建信息系统安全等级保护实施过程开展信息系统等级保护工作。
信息系统终止
部分文件列表
| 文件名 | 大小 |
| YCT_495-2014_烟草行业信息系统安全等级保护实施规范.pdf | 9M |
全部评论(0)