烟草行业信息系统安全 等级保护基本要求 二0一一年五月 目 引 1. 范围 2. 规范性引用文件 3. 术语和定义 3. 1. 安全保护能力 4. 烟草行业信息系统安全等级保护概述 4.1. 烟草行业信息系统安全保护等级 4.2. 不同等级的安全保护能力 4.3. 基本技术要求和基本管理要求. 4.4. 基本技术要求的三种类型 5. 第一级基本要求 5.1. 技术要求 5.1.1. 物理安全， 5.1.2. 网络安全 5.1.3. 主机安全 5.1.4. 应用安全 5.1.5. 数据安全及备份恢复 5.2. 管理要求 10 5.2.1. 安全管理制度， 5.2.2. 安全管理机构. .10 5.2.3. 人员安全管 5.2.4. 系统建设管理 ...12 5.2.5. 系统运维管理 6. 第二级基本要芽 .18 6.1. 技术要求 6.1.1. 物理安全 .18 网络安全 6.1.2. 21 6.1.3. 主机安全 .23 6.1.4. 应用安全 26 6.1.5. 数据安全及备份恢复， 6.2. 管理要求 6.2.1. 安全管理制度 6.2.2. 安全管理机构. ...30 6.2.3. 人员安全管理 .32 6.2.4. 系统建设管理 34 6.2.5. 系统运维管理 ..38 7. 第三级基本要求 ..45 7.1. 技术要求 7.1.1. 物理安全 45 7.1.2. 网络安全. .49 7.1.3. 主机安全， ..53 7.1.4. 应用安全 57 7.1.5. 数据安全及备份恢复 7.2. 管理要求 ..62 7.2.1. 安全管理制度 .62 7.2.2. 安全管理机构. ...64 7.2.3. 人员安全管理 7.2.4. 系统建设管理 7.2.5. 系统运维管理， ..78 8. 第四级基本要求. ...88 9. 第五级基本要习 附 A（规范性附录）烟草行业信息系统整体安全保护能力要求 ..89 附 录B（规范性附录）烟草行业信息系统安全要求的选择和使用. ....91 引言 本要求依据国家信息安全等级保护管理规定制订。从烟草行业实际情况出 发，对《信息系统安全等级保护基本要求》 》（GB/T22239一2008）的有关要求进 行了明确、细化和调整，提出和规定了烟草行业不同等级信息系统的安全要求， 适用于烟草行业按照等级保护要求进行安全建设、测评和监督管理等工作。 烟草行业信息系统安全等级保护基本要求 1. 范围 本要求规定了烟草行业不同安全保护等级信息系统的安全要求，包括基本技术要求和基 本管理要求，适用于烟草行业按照等级保护要求进行安全建设、测评和监督管理等工作。 2.规范性引用文件 GB/T5271.8信息技术词汇第8部分：安全（GB/T5271.82001，idtIS0/IEC2382 —8:1998) GB17859计算机信息系统安全保护等级划分准则 GB50174—2008电子信息系统机房设计规范 GB/T22240一2008信息安全技术信息系统安全等级保护定级指南 GB/T22239一2008信息安全技术信息系统安全等级保护基本要求 YC/T389—2011烟草行业信息系统安全等级保护与信息安全事件的定级准则 3.术语和定义 GB/T5271.8和GB17859一1999确定的以及下列术语和定义适用于本要求。 3.1.安全保护能力security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度 4.烟草业信息系统安全等级保护概述 4.1.烟草业信息系统安全保护等级 烟草行业信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后 对国家安全、社会秩序、公共利益以及法人和其他组织的合法权益的危害程度，等级划分定 义见YC/T389—2011。 4.2.不同等级的安全保护能力 不同等级的信息系统应具备的基本安全保护能力如下： 第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的 恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害。信息系 统遭到破坏后，对业务造成局部性影响且经济损失程度一般，由信息系统建设和使用单位按 本单位信息化工作部门有关规定进行自行保护，它需要实施系统安全运行所需的基本的技术 要求和安全管理要求。 第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁 源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害， 能够发现重要的安全漏洞和安全事件。信息系统遭到破坏后，对烟草业务造成区域性影响且 经济损失程度较大，由信息系统建设和使用单位在国家烟草专卖局有关部门的指导下进行保 护，它需要实施系统安全运行所需的一定程度的技术要求和安全管理要求。 烟草行业信息系统安全等级保护基本要求 1. 范围 本要求规定了烟草行业不同安全保护等级信息系统的安全要求，包括基本技术要求和基 本管理要求，适用于烟草行业按照等级保护要求进行安全建设、测评和监督管理等工作。 2.规范性引用文件 GB/T5271.8信息技术词汇第8部分：安全（GB/T5271.82001，idtIS0/IEC2382 —8:1998) GB17859计算机信息系统安全保护等级划分准则 GB50174—2008电子信息系统机房设计规范 GB/T22240一2008信息安全技术信息系统安全等级保护定级指南 GB/T22239一2008信息安全技术信息系统安全等级保护基本要求 YC/T389—2011烟草行业信息系统安全等级保护与信息安全事件的定级准则 3.术语和定义 GB/T5271.8和GB17859一1999确定的以及下列术语和定义适用于本要求。 3.1.安全保护能力security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度 4.烟草业信息系统安全等级保护概述 4.1.烟草业信息系统安全保护等级 烟草行业信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后 对国家安全、社会秩序、公共利益以及法人和其他组织的合法权益的危害程度，等级划分定 义见YC/T389—2011。 4.2.不同等级的安全保护能力 不同等级的信息系统应具备的基本安全保护能力如下： 第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的 恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害。信息系 统遭到破坏后，对业务造成局部性影响且经济损失程度一般，由信息系统建设和使用单位按 本单位信息化工作部门有关规定进行自行保护，它需要实施系统安全运行所需的基本的技术 要求和安全管理要求。 第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁 源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害， 能够发现重要的安全漏洞和安全事件。信息系统遭到破坏后，对烟草业务造成区域性影响且 经济损失程度较大，由信息系统建设和使用单位在国家烟草专卖局有关部门的指导下进行保 护，它需要实施系统安全运行所需的一定程度的技术要求和安全管理要求。 烟草行业信息系统安全等级保护基本要求 1. 范围 本要求规定了烟草行业不同安全保护等级信息系统的安全要求，包括基本技术要求和基 本管理要求，适用于烟草行业按照等级保护要求进行安全建设、测评和监督管理等工作。 2.规范性引用文件 GB/T5271.8信息技术词汇第8部分：安全（GB/T5271.82001，idtIS0/IEC2382 —8:1998) GB17859计算机信息系统安全保护等级划分准则 GB50174—2008电子信息系统机房设计规范 GB/T22240一2008信息安全技术信息系统安全等级保护定级指南 GB/T22239一2008信息安全技术信息系统安全等级保护基本要求 YC/T389—2011烟草行业信息系统安全等级保护与信息安全事件的定级准则 3.术语和定义 GB/T5271.8和GB17859一1999确定的以及下列术语和定义适用于本要求。 3.1.安全保护能力security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度 4.烟草业信息系统安全等级保护概述 4.1.烟草业信息系统安全保护等级 烟草行业信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后 对国家安全、社会秩序、公共利益以及法人和其他组织的合法权益的危害程度，等级划分定 义见YC/T389—2011。 4.2.不同等级的安全保护能力 不同等级的信息系统应具备的基本安全保护能力如下： 第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的 恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害。信息系 统遭到破坏后，对业务造成局部性影响且经济损失程度一般，由信息系统建设和使用单位按 本单位信息化工作部门有关规定进行自行保护，它需要实施系统安全运行所需的基本的技术 要求和安全管理要求。 第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁 源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害， 能够发现重要的安全漏洞和安全事件。信息系统遭到破坏后，对烟草业务造成区域性影响且 经济损失程度较大，由信息系统建设和使用单位在国家烟草专卖局有关部门的指导下进行保 护，