ICS35.040 L80 中华人民共和国国家标准 GB/T29245—2012 信 息安全技术 政府部门信息安全管理 基本要求 Informationsecuritytechniques—Basicrequirementsofinformationsecurityfor nationaldepartment 2012-12-31发布 2013-06-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 信息安全组织管理 1 ……………………………………………………………………………………… 4 日常信息安全管理 1 ……………………………………………………………………………………… 4.1 基本要求 1 …………………………………………………………………………………………… 4.2 人员管理 1 …………………………………………………………………………………………… 4.3 资产管理 2 …………………………………………………………………………………………… 4.4 采购管理 2 …………………………………………………………………………………………… 4.5 外包管理 2 …………………………………………………………………………………………… 4.6 经费保障 2 …………………………………………………………………………………………… 5 信息安全防护管理 3 ……………………………………………………………………………………… 5.1 基本要求 3 …………………………………………………………………………………………… 5.2 网络边界防护管理 3 ………………………………………………………………………………… 5.3 信息系统防护管理 3 ………………………………………………………………………………… 5.4 门户网站防护管理 3 ………………………………………………………………………………… 5.5 电子邮件防护管理 3 ………………………………………………………………………………… 5.6 终端计算机防护管理 4 ……………………………………………………………………………… 5.7 存储介质防护管理 4 ………………………………………………………………………………… 6 信息安全应急管理 4 ……………………………………………………………………………………… 7 信息安全教育培训 4 ……………………………………………………………………………………… 8 信息安全检查 5 …………………………………………………………………………………………… 参考文献 6 ………………………………………………………………………………………………………GB/T29245—2012 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准主要起草单位:中国电子技术标准化研究所、中国软件评测中心。 本标准主要起草人:杨建军、罗锋盈、王延鸣、高炽扬、朱璇、唐旺、傅如毅、朴献国、梁博。 ⅠGB/T29245—2012 引 言 本标准的编制主要是为指导各级政府部门的信息安全管理工作以及信息安全检查工作,保障政府 机关各部门各单位信息和信息系统的安全。 ⅡGB/T29245—2012 信息安全技术 政府部门信息安全管理 基本要求 1 范围 本标准规定了政府部门信息安全管理基本要求,用于指导各级政府部门的信息安全管理工作。本 标准中涉及保密工作的,按照保密法规和标准执行;涉及密码工作的,按照国家密码管理规定执行。 本标准适用于各级政府部门,其他单位可以参考使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20984—2007 信息安全技术 信息安全风险评估规范 GB/T22239—2008 信息安全技术 信息系统安全等级保护基本要求 GB/T22240—2008 信息安全技术 信息系统安全等级保护定级指南 3 信息安全组织管理 本项要求包括: a) 应加强领导,落实责任,完善措施,建立健全信息安全责任制和工作机制; b) 应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际 组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件; c) 应指定一个机构,具体承担信息安全管理工作,负责组织落实信息安全管理制度和信息安全技 术防护措施,开展信息安全教育培训和监督检查等; d) 各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。信 息安全员应当具备较强的信息安全意识和工作责任心,掌握基本的信息安全知识和技能。 4 日常信息安全管理 4.1 基本要求 本项要求包括: a) 应制定信息安全工作的总体方针和目标,明确信息安全工作的主要任务和原则; b) 应建立健全信息安全相关管理制度,加强技术支撑手段建设,提高信息安全管理工作的信息化 水平; c) 应加强对人员、资产、采购、外包等的安全管理,并保证信息安全工作经费投入。 4.2 人员管理 本项要求包括: 1GB/T29245—2012 a) 应建立健全岗位信息安全责任制度,明确岗位及人员的信息安全责任。重点岗位的计算机使 用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任; b) 应制定并严格执行人员离岗离职信息安全管理规定,人员离岗离职时应终止信息系统访问权 限,收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书; c) 应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位 工作人员现场陪同,对访问活动进行记录并留存; d) 应对信息安全责任事故进行查处,对违反信息安全管理规定的人员给予严肃处理,对造成信息 安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。 4.3 资产管理 本项要求包括: a) 应建立并严格执行资产管理制度; b) 应指定专人负责资产管理; c) 应建立资产台账(清单),统一编号、统一标识、统一发放; d) 应及时记录资产状态和使用情况,保证账物相符; e) 应建立并严格执行设备维修维护和报废管理制度。 4.4 采购管理 本项要求包括: a) 应采购安全可控的信息技术产品和服务,并进行安全性评估; b) 办公用计算机、服务器等设备的更新换代中,应采购配备安全可控CPU、操作系统等的关键软 硬件; c) 公文处理软件、信息安全产品等应采购安全可控产品,信息安全产品应经过国家认证; d) 接受捐赠的信息技术产品,使用前应进行安全测评,并与捐赠方签订信息安全与保密协议; e) 不得采购社会第三方认证机构提供的信息安全管理体系认证服务; f) 信息系统数据中心、灾备中心不得设立在境外。 4.5 外包管理 本项要求包括: a) 应建立并严格执行信息技术外包服务安全管理制度; b) 应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责 任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得 占有服务过程中产生的任何资产,不得以服务为由强制要求委托方购买、使用指定产品; c) 信息技术现场服务过程中应安排专人陪同,并详细记录服务过程; d) 外包开发的系统、软件上线应用前应进行安全测评,要求开发方及时提供系统、软件的升级、漏 洞等信息和相应服务; e) 信息系统运维外包不得采用远程在线运维服务方式; f) 应将信息技术外包服务安全管理纳入年度信息安全检查范围。 4.6 经费保障 本项要求包括: a) 应将信息安全设施运行维护、日常信息安全管理、信息安全教育培训、信息安全检查、信息安全 风险评估、信息系统等级测评、信息安全应急处置等费用纳入部门年度预算; 2GB/T29245—2012 b) 应严格落实信息安全经费预算,保证信息安全经费投入。 5 信息安全防护管理 5.1 基本要求 开展信息化建设应按照同步规划、同步建设、同步运行的原则,同步规划、设计、建设、运行、管理信 息安全设施,建立健全信息安全防护体系。 5.2 网络边界防护管理 本项要求包括: a) 非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离,涉密信息系统与互联网及其 他公共信息网络应实行物理隔离; b) 建立互联网接入审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管理和 安全防护; c) 应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络边界 防护; d) 应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进 行防护、对不同安全域之间实施访问控制; e) 应对网络日志进行管理,定期分析,及时发现安全风险。 5.3 信息系统防护管理 本项要求包括: a) 应按照GB/T20984—2007的要求,定期对信息系统面临的安全风险