ICS 65.160 YC X 89 备案号：44828—2014 中华人民共和国烟草行业标准 YC/T 495—2014 烟草行业信息系统安全等级保护 实施规范 Implementation specifications for classified protection of information system of tobacco industry 2014-03-24发布 2014-04-15实施 国家烟草专卖局 发布 刮涂层查真伪 YC/T 495—2014 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 烟草行业信息系统安全等级保护实施流程 4 5 信息系统安全保护等级 6 技术防护 X 7安全管理 10 附录A（规范性附录） 烟草行业信息系统安全等级保护基本要求 13 附录B（资料性附录） 安全目标实施措施示例 75 附录C（资料性附录） 安全风险分析表 80 附录D（资料性附录）烟草行业信息系统应急演练基本要求· 84 参考文献 86 YC/T 495-2014 前言 本标准按照GB/T1.1一2009给出的规则起草 请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由国家烟草专卖局提出。 本标准由全国烟草标准化技术委员会信息分技术委员会（SAC/TC144/SC7)归口。 本标准起草单位：国家烟草专卖局烟草经济信息中心、广东中烟工业有限责任公司、公安部第一研 究所。 本标准主要起草人：庄红、王海清、李超、耿欣、易伟文、林惠真、為鹤、吕由。 I YC/T 495—2014 烟草行业信息系统安全等级保护 实施规范 1范围 本标准规定了烟草行业信息系统安全等级保护实施过程中的流程、等级划分与确定方法、技术保护 和安全管理的要求。 本标准适用于指导烟草行业新建和已投入使用的信息系统安全等级保护的实施，为烟草行业信息 系统的定级、技术防护、安全管理提供依据。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。 GB/T2887--2011计算机场地通用规范 GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南 GB/T21052—2007 信息安全技术信息系统物理安全技术要求 GB/T 22239—2008 信息安全技术信息系统安全等级保护基本要求 GB/T 22240---2008 信息安全技术信息系统安全等级保护定级指南 GB/T25058-2010信息安全技术信息系统安全等级保护实施指南 GB50016-—2006建筑设计防火规范 GB 50057--2010 建筑物防雷设计规范 GB50174—2008 电子信息系统机房设计规范 GB50222一1995（2001年修订版）建筑内部装修设计防火规范 SJ/T10796一2001防静电活动地板通用规范 信息安全等级保护管理办法（公通字[2007]43号文件） 3术语和定义 下列术语和定义适用于本文件。 3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 ［GB/T22239—2008,定义3.1] 3.2 系统服务system service 信息系统为支撑其所承载业务而提供的程序化过程。 ［GB/T22240—2008,定义3.4] YC/T 495—2014 烟草行业信息系统安全等级保护 实施规范 1范围 本标准规定了烟草行业信息系统安全等级保护实施过程中的流程、等级划分与确定方法、技术保护 和安全管理的要求。 本标准适用于指导烟草行业新建和已投入使用的信息系统安全等级保护的实施，为烟草行业信息 系统的定级、技术防护、安全管理提供依据。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。 GB/T2887--2011计算机场地通用规范 GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南 GB/T21052—2007 信息安全技术信息系统物理安全技术要求 GB/T 22239—2008 信息安全技术信息系统安全等级保护基本要求 GB/T 22240---2008 信息安全技术信息系统安全等级保护定级指南 GB/T25058-2010信息安全技术信息系统安全等级保护实施指南 GB50016-—2006建筑设计防火规范 GB 50057--2010 建筑物防雷设计规范 GB50174—2008 电子信息系统机房设计规范 GB50222一1995（2001年修订版）建筑内部装修设计防火规范 SJ/T10796一2001防静电活动地板通用规范 信息安全等级保护管理办法（公通字[2007]43号文件） 3术语和定义 下列术语和定义适用于本文件。 3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 ［GB/T22239—2008,定义3.1] 3.2 系统服务system service 信息系统为支撑其所承载业务而提供的程序化过程。 ［GB/T22240—2008,定义3.4] YC/T 495—2014 烟草行业信息系统安全等级保护 实施规范 1范围 本标准规定了烟草行业信息系统安全等级保护实施过程中的流程、等级划分与确定方法、技术保护 和安全管理的要求。 本标准适用于指导烟草行业新建和已投入使用的信息系统安全等级保护的实施，为烟草行业信息 系统的定级、技术防护、安全管理提供依据。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。 GB/T2887--2011计算机场地通用规范 GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南 GB/T21052—2007 信息安全技术信息系统物理安全技术要求 GB/T 22239—2008 信息安全技术信息系统安全等级保护基本要求 GB/T 22240---2008 信息安全技术信息系统安全等级保护定级指南 GB/T25058-2010信息安全技术信息系统安全等级保护实施指南 GB50016-—2006建筑设计防火规范 GB 50057--2010 建筑物防雷设计规范 GB50174—2008 电子信息系统机房设计规范 GB50222一1995（2001年修订版）建筑内部装修设计防火规范 SJ/T10796一2001防静电活动地板通用规范 信息安全等级保护管理办法（公通字[2007]43号文件） 3术语和定义 下列术语和定义适用于本文件。 3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 ［GB/T22239—2008,定义3.1] 3.2 系统服务system service 信息系统为支撑其所承载业务而提供的程序化过程。 ［GB/T22240—2008,定义3.4]