交通运输行业信息系统安全等级保护实施指南.docx

《交通运输行业信息系统安全等级保护实施指南.docx》由会员分享，可在线阅读，更多相关《交通运输行业信息系统安全等级保护实施指南.docx（10页珍藏版）》请在第一文库网上搜索。

1、ICS35.040R07中华人民共和国交通运输行业标准JT/TXXXXX-XXXX交通运输行业信息系统安全等级保护实施指南Imp1ementationguideforsecurityc1assifiedprotectionoftransportationinformationsystem点击此处添加与国际标准一致性程度的标识（征求意见稿）（本稿完成日期：2016年3月28日）XXXX-XX-XX发布XXXX-XX-XX实施中华人民共和国交通运输部目次前言H1范围12规范性引用文件13术语和定义14等级保护实施概述14.1实施目标14. 2基本原则14.3 角色和职责24.4 实施的基本流程25

2、信息系统定级35. 1信息系统定级35.3 定级工作原则35.4 等级变更46安全规划设计47安全建设整改47.1 安全管理体系建设整改47.2 安全技术措施建设整改47.3 信息安全产品采购57.4 系统验收58等级测评58.1 等级测评工作内容58.2 等级测评机构选择58.3 3等级测评报告备案59信息系统备案510安全运行与维护611安全检查611.1 检查方式611.2 检查内容611.3 检查结果报备6参考文献7本标准按照GB/T1.1-2009给出的规则起草。本标准由交通运输信息通信及导航标准化技术委员会提出并归口。本标准起草单位：中国交通通信信息中心。本标准主要起草人：戴明、李

3、璐瑶、杜渐、齐志峰、张岩、刘佳、张煜、李佑钢。交通运输行业信息系统安全等级保护实施指南1范围本标准规定了交通运输行业信息系统安全等级保护实施的基本流程及规范，包括信息系统定级、安全规划设计、安全建设整改、等级测评、信息系统备案、安全运行与维护、安全检查等部分。本标准适用于指导交通运输行业信息系统安全等级保护的实施。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的文件适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。GB17859计算机信息系统安全保护等级划分准则GB/T22239信息安全技术信息系统安全等级保护基本要求JT/

4、T904交通运输行业信息系统安全等级保护定级指南3术语和定义GB17859和JT/T904中确立的术语和定义适用于本标准。4等级保护实施概述4. 1实施目标通过对交通运输行业重要信息系统进行安全等级划分,按照国家及交通运输行业管理规范和技术标准进行规划建设、运行维护和监督管理，加强交通运输行业重要信息系统的安全防护能力，确保其安全稳定运行。5. 2基本原则交通运输行业重要信息系统安全等级保护的核心是对信息系统分等级，按标准进行规划、建设、运维、管理和监督。交通运输行业信息系统安全等级保护实施过程中应遵循以下基本原则： 自主保护原则：信息系统主管部门或运营、使用单位按照国家和交通运输行业信息安全

5、等级保护相关管理规范和技术标准，自主确定信息系统的安全保护等级，自行组织实施安全保护；一重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级，实现不同强度的安全保护，集中资源优先保护涉及交通运输行业核心业务或关键信息资产的信息系统； 同步建设原则：信息系统在新建、改建和扩建时应同步规划和设计安全方案，投入一定比例的资金实施信息安全设施建设和防护措施，保障信息安全与信息化建设相适应； 动态调整原则：跟踪信息系统变化情况，调整安全保护措施。信息系统安全保护等级需要变更的，应根据国家和交通运输行业信息安全等级保护相关管理规范和技术标准，重新确定信息系统安全保护等级，根据信息系统安

6、全保护等级调整情况，重新实施安全保护。4. 3角色和职责交通运输行业信息系统安全等级保护实施过程中涉及的各类角色及其职责如下：a）信息安全监管职能部门：负责依照国家和行业信息安全等级保护的管理规范和技术标准,督促、检查和指导信息系统安全等级保护工作，（请在此增加引导语，例如：XXX如下：）D部级信息安全监管职能部门：负责交通运输行业重要信息系统安全等级保护定级备案、等级测评、安全建设整改等工作的监督、检查和指导，组织制定交通运输行业相关政策文件和行业标准规范；2）省级或部直属机构信息安全监管职能部门：负责本单位和直属单位的信息系统安全等级保护定级备案、等级测评、安全建设整改等工作的监督、检查和

7、指导，组织制定相关政策文件和行业标准规范；3）地市级信息安全监管职能部门：地市级信息安全监管职能部门的角色和职责参照省级。b）信息系统主管部门及运营、使用单位：信息系统主管部门及运营、使用单位按照国家和行业信息安全等级保护的管理规范和技术标准进行信息安全等级保护建设和管理,负责所管辖信息系统安全等级保护定级备案、等级测评、安全自查、安全建设、整改加固等工作的组织实施；c）信息系统运维部门：负责根据信息系统主管部门及运营、使用单位和信息安全监管职能部门的委托,依照国家和行业信息安全等级保护的管理规范和技术标准,落实信息安全等级保护要求,确保信息系统安全稳定运行；d）等级保护测评机构：负责根据信息

8、系统主管部门及运营、使用单位的委托或根据信息安全监管职能部门的授权，按照国家和行业信息安全等级保护的管理规范和技术标准，对信息系统进行等级测评，对信息安全产品供应商提供的信息安全产品进行安全测评；协助完成信息系统安全保护等级确定、定级结果评审、信息系统备案、安全规划设计、安全方案评审、信息安全风险评估等工作；e）信息安全服务机构：负责根据信息系统主管部门及运营、使用单位的委托，依照国家和行业信息安全等级保护的管理规范和技术标准，协助完成安全建设整改、安全集成等工作；f）信息安全产品供应商：负责按照国家和行业信息安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品，接受安全测

9、评；按照等级保护相关要求销售信息安全产品并提供相关服务。4.4 实施的基本流程按照信息安全等级保护的生命周期，交通运输行业信息系统划分为信息系统定级、安全规划设计、安全建设整改、等级测评、信息系统备案、安全运行与维护和安全检查七个阶段。交通运输行业信息系统实施等级保护的基本流程见图1。新建信息系统已建信息系统图1交通运输行业信息系统安全等级保护实施基本流程图在安全运行与维护阶段，在信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。在等级测评阶段,应检验信息系统安全保护措施是否满足等级保护相应等级的安全要求,若不满

10、足,应进入安全规划设计和安全建设整改阶段，重新设计、调整和实施安全措施，最终确保满足等级保护的安全要求；若满足，应从等级测评阶段进入信息系统备案阶段，准备备案材料，到国家和行业主管部门备案。5信息系统定级4.5 信息系统定级信息系统主管部门及运营、使用单位按照国家和行业信息安全等级保护相关管理规范和技术标准，对已运行但未定级或定级不准的信息系统进行定级，对新建、改建和扩建的信息系统在设计阶段确定安全保护等级。信息系统定级原理、流程及方法按照JT/T904的要求。4.6 定级工作原则a）自主定级：信息系统主管部门及运营、使用单位根据信息系统自身特点，按照国家和行业信息安全等级保护管理规范和技术标

11、准的要求，自主确定信息系统的安全保护等级,起草定级报告。联网运行信息系统在各地运行、应用的分支系统，安全保护等级不能随着部、省、市行政级别的降低而降低；b）专家评审：对拟确定为第三级（含）以上信息系统的，由信息系统主管部门及运营、使用单位聘请安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定；对拟确定为第四级（含）以上信息系统的，由信息系统主管部门及运营、使用单位聘请国家信息安全等级保护专家评审委员会评审；c）信息安全监管职能部门审批：对拟确定为第二级（含）以上信息系统，由信息系统主管部门及运营、使用单位报信息安全监管职能部门对信息系统定级结果进行审核和批准。对拟确定为第三级（含）以

12、上信息系统的定级结果还应报部级信息安全监管职能部门审核和批准；d）公安机关审核：信息系统备案时，由公安机关对信息系统的定级结果进行审核。4.7 等级变更在交通运输行业信息系统的运行过程中，信息系统安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当变更,尤其是系统变化可能导致业务信息或系统服务安全对客体的侵害程度有较大变化，可能影响系统安全保护等级，应由信息系统主管部门及运营、使用单位重新定级。6安全规划设计信息系统主管部门及运营、使用单位按照国家和行业信息安全等级保护相关管理规范和技术标准，依靠自身的技术力量或在信息安全服务机构的协助下完成安全需求分析、总体安全方案设计和安全方案详

13、细设计等工作。信息系统主管部门及运营、使用单位根据信息系统承载业务情况、信息系统的定级情况和等级保护的安全要求，分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全详细方案，以指导后续的信息系统安全建设整改工程的实施。对于己运营（运行）的信息系统，需求分析应首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。信息系统主管部门及运营、使用单位应将安全规划设计阶段形成的安全需求分析报告、信息系统总体安全方案、信息系统安全详细方案报信息安全监管职能部门审批，审批通过后，方可进行安全建设和整改。7安全建设整改7.1 安全管理体系建设整改信息系统主管部门及运营、使用

14、单位根据GB/T22239的要求和行业信息系统安全等级保护基本要求、安全详细设计方案等，开展信息安全等级保护安全管理体系建设整改，建立信息安全责任制、人员安全管理制度、系统建设管理制度、系统运维管理制度等，建立健全并落实符合相应等级要求的安全管理制度体系，提高信息系统的安全管理水平。7.2 安全技术措施建设整改信息系统主管部门及运营、使用单位根据GB/T22239的要求和行业信息系统安全等级保护基本要求、安全详细设计方案等，开展信息系统安全等级保护技术措施建设整改，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，建立并完善信息系统综合防护体系，提高信息系统的安全防

15、护能力和水平。7.3 信息安全产品采购信息系统主管部门及运营、使用单位按照GB/T22239的要求和行业信息安全等级保护管理规范和技术标准，选择使用符合国家和行业有关规定，满足信息系统安全保护等级需求的信息安全产品。对于行业内不同安全保护等级的信息系统，宜采用有信息安全产品销售许可证的安全产品。7.4 系统验收信息系统验收阶段应包含安全测试验收工作，以检验信息系统是否严格按照安全详细设计方案进行安全建设整改，信息安全监管职能部门负责指导、监督信息系统主管部门及运营、使用单位进行安全测试验收工作。第三级（含）以上信息系统应采用等级测评的方式检验信息系统安全管理和技术措施是否满足等级保护的安全要求。信息系统验收通过后，信息系统主管部门及运营、使用单位将信息系统总体安全方案、详细设计方案、安全测试验收报告备案到信息安全监管职能部门。8等级测评8.1 等级测评工作内容信息系统主管部门及运营、使用单位按照国家和交通运输行业信息安全等级保护规定要求，根据信息系统已确定的安全保护等级，定期组织开展等级测评，掌握信息系统的安全现状，查找发现并及时整改存在的安全问题、漏洞和隐患，检验信息系统安全保护措施是否符合相应等级的安全要求，是否具备相应等级的安全保护能力。第四