标准规范下载简介
YZ/T 0152-2016 邮政业信息系统安全等级保护基本要求简介:
YZ/T 0152-2016《邮政业信息系统安全等级保护基本要求》是由中国邮政科学研究院(中国邮政集团公司科技信息部门)制定的一份信息安全技术标准。该标准旨在规范邮政业信息系统的信息安全管理工作,保障邮政业务数据的安全、完整和保密。
该标准根据信息安全的重要性、信息系统遭到破坏后对社会经济的影响等因素,将信息系统的安全等级划分为五个级别:第一级(用户自主保护)、第二级(系统审计保护)、第三级(安全标记保护)、第四级(结构化保护)和第五级(访问验证保护)。每个级别的安全要求都不同,从基本的安全控制措施到高级的安全管理体系都有详细的规定。
例如,第一级主要要求用户对自己的信息和数据负责,而第三级则需要对系统中的数据进行标记,以区分敏感和非敏感信息。第四级和第五级则涉及到更高级别的安全措施,如多层访问控制、安全审计、灾难恢复计划等。
总的来说,YZ/T 0152-2016标准是为了指导邮政企业建立符合国家信息安全等级保护制度的信息安全管理体系,以预防和应对信息安全威胁,保障邮政业务的正常运行和客户信息安全。
YZ/T 0152-2016 邮政业信息系统安全等级保护基本要求部分内容预览:
a 应制定信息系统安全工作的总体方针和安全策略,规定信息系统安全工作的总体目标、范围、原 则和安全框架等; b 应针对重要的安全管理内容建立安全管理制度,管理制度应包括物理、网络、主机、应用、数据管 理等内容; C 应建立安全操作规程,范围应覆盖安全主管、安全管理员、网络管理员、主机管理员、安全审计 员数据库管理易应用管理员和介质管理品等岗位
6.2.1.2制定和发布(G2)
a)应指定或授权专门的部门或人员负责安全管理制度的制定; b) 应组织相关人员对安全管理制度进行论证和审定,保存安全管理制度评审记录,详细记录相关 人员的评审意见; C 应将安全管理制度以纸质或电子版等方式发布到相关人员手中
GB∕T 3810.3-2006陶瓷砖试验方法 第3部分吸水率、显气孔率、表观相对密度和容重的测定6.2.1.3评审和修订(G2)
应每年或当技术基础架构和组织架构等发生变更时,对安全管理制度进行
6.2.2 安全管理机构
6.2.2. 1岗位设置(G2)
a)应设立负责信息系统安全管理工作的职能部门; b)应设立系统管理员、网络管理员、安全管理员等岗位,并明确各个岗位的职责, 6.2.2.2人员配备(G2) a 应配备一定数量的系统管理员、网络管理员、安全管理员等: b) 安全管理员不可兼任网络管理员、系统管理员、数据库管理员等 6.2.2.3授权和审批(G2) a 应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投人运行、网络系统接人利 重要资源的访问、系统变更等关键活动进行审批; b 应针对关键活动建立审批流程,并由批准人签字确认。 6.2.2.4沟通和合作(G2) 应加强管理人员之间、内部组织机构之间以及信息系统安全管理职能部门之间的合作与沟通: 应加强与同业单位、公安机关、安全机关、运营商的合作与沟通,明确合作内容和合作方式。 6.2.2.5 5审核和检查(G2)
6.2.2. 3 授权和审批(G2)
6.2.2.5审核和检查(G2)
6.2.3 人员安全管理
6.2.3. 1人员录用(G2)
应与从事关键岗位的人员签署保密协议,保密协议应明确保密范围、保密责任 期限等内容。
6.2. 3. 2 人员离岗(G2)
a)应规范人员离岗程序,及时终止离岗员工的所有访问权限,包括但不限于物理访问权限、网络设 备访问权限、操作系统访问权限、数据库访问权限、应用系统访问权限、用户终端访问权限等; b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备,详细记录交还情况; )应办理严格的调离手续并保存调离手续记录
c)应办理严格的调离手续,并保存调离手续记录。 6.2.3.3人员考核(G2) 应至少每年一次对各个岗位的人员进行安全认知、安全技能及信息系统安全等级保护相关内容的考核 6.2.3.4安全意识教育和培训(G2) a 应制定安全意识教育和培训计划,内容包括信息系统安全基础知识、岗位操作规程等; b 应至少每年一次对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训; C 应告知相关人员安全责任和惩戒措施,对违反安全策略和规定的人员进行惩戒
6.2.3.3人员考核(G2)
6.2.3.4安全意识教育和培训(GI
a)应制定安全意识教育和培训计划,内容包括信息系统安全基础知识、岗位操作规程等; b)应至少每年一次对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训; c)应告知相关人员安全责任和惩戒措施,对违反安全策略和规定的人员进行惩戒。
6.2.3.5外部人员访问管理(G2)
外部人员在访问机房、重要服务器或设备区等受控区域前应获得授权或审批,由专人全程陪同或监 督,并登记备案。
6.2.4 系统建设管理
6.2.4.1系统定级(G2)
a 应明确信息系统的边界和安全保护等级; b 应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由 C 信息系统的定级结果应经过相关部门批准
6.2.4.2安全方案设计(G2) a) 应根据系统的安全保护等级选择基本安全措施,并依据风险分析结果补充和调整安全措施; b 应以书面形式描述系统的安全保护要求、保护策略和安全措施等内容,形成系统的安全方案; c) 应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案; 应组织相关部门和有关技术专家对安全设计方案的合理性和正确性进行论证和审定,安全设计 方案经过批准后才能正式实施。 6.2.4.3产品采购和使用(G2) a 信息系统安全产品的采购和使用应符合国家有关规定,如根据信息系统安全需求选择使用相应 等级的产品; b) 密码产品的采购和使用应符合国家密码主管部门的要求,如系统中使用的密码产品应具有国家 密码主管部门颁发的销售许可证; C 应指定或授权专门的部门负责信息系统安全产品采购。 6.2.4.4自行软件开发(G2) 开发环境应与实际运行环境物理分开; 应制定软件开发管理制度,明确规定开发过程的控制方法和人员行为准则,明确应经过授权、审 批的开发活动; c)应确保提供软件设计的相关文档和使用指南,并由专人负责保管。
6.2.4.2安全方案设计(G2)
a 应根据系统的安全保护等级选择基本安全措施,并依据风险分析结果补充和调整安全措施; 应以书面形式描述系统的安全保护要求、保护策略和安全措施等内容,形成系统的安全方案; C) 应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案; d 应组织相关部门和有关技术专家对安全设计方案的合理性和正确性进行论证和审定,安全设 方案经过批准后才能正式实施
6.2.4.3产品采购和使用(G2)
6.2.4.5外包软件开发(G2)
a 应根据开发需求检测软件质量,检测范围应包括代码质量、软件功能和性能等; b) 应在软件安装之前检测软件包中可能存在的恶意代码,并保存恶意代码检测报告; C 应确保开发单位提供软件设计的相关文档和使用指南:
d)应要求开发单位提供软件源代码,并审查软件中可能存在的后门木马;若开发单位未能提供软 件源代码,则应要求开发单位提供第三方机构出具的软件源代码审查报告。 6.2.4.6工程实施(G2) a 应指定或授权专门的部门或人员负责工程实施过程管理; b) 应制订详细的工程实施方案,工程实施方案应明确工程时间限制、进度控制和质量控制等内容 6.2.4.7测试验收(G2) a) 应对系统进行安全性测试验收,并保存测试报告; b 在测试验收前应根据设计方案或合同要求等制定测试验收方案,测试验收方案应明确规定参与 测试的部门、人员、测试验收内容、现场操作过程等内容,在测试验收过程中应详细记录测试验 收结果,并形成测试验收报告; C) 应组织相关部门和人员对测试验收报告进行审定,并签字确认。 6.2.4.8系统交付(G2) a) 应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b) 应对负责系统运行维护的技术人员进行相应的技能培训; C 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档
6.2.4.6 工程实施(G2)
6.2. 4. 8系统交付( G2)
6.2.4.9安全服务商选择(G2)
a 安全服务商的选择应符合国家有关规定; b) 应与选定的安全服务商签订安全协议,明确约定相关责任、保密范围、有效期限等内容; C 选定的安全服务商应提供技术培训和服务承诺,必要时与其签订服务合同,内容包括但不限于 技术培训、服务承诺、服务期限等。
6.2.5系统运维管理
6.2.5.1环境管理(G2)
a 应指定专门的部门或人员至少每季度对机房供配电、空调、温湿度控制等设施设备进行维护 管理; b 应配备机房安全管理人员,对设备与人员进出机房、服务器的开关等工作进行管理; C 应建立机房安全管理制度,对有关人员进出机房,物品带进、带出机房和机房环境安全等作出 规定; d 应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还办公室钥匙、登记在办 公区接待来访人员情况等。
6.2.5.2 资产管理(G2)
a)应建立资产管理制度,规定信息系统资产管理的责任部门和人员,规范资产使用和管理行为,明 确资产使用、传输、存储、维护以及职责划分等内容; b 编制并保存与信息系统相关的资产清单,包括资产的重要程度、价值和类别、责任部门和所处位 置等。
6.2.5.3介质管理(G2)
a 介质应存放在安全环境中,专人负责保护和管理各类介质; b 应根据所承载数据和软件的重要程度,对介质进行分类和标识,如粘贴纸质标签等; C 应对介质的归档和查询等过程进行记录,每季度根据介质存档清单进行检查; d)对需要送出维修或销毁的介质应清除其中的敏感数据,防止非法泄露相关信息
6.2.5.4设备管理(G2)
应指定专门的部门或人员定期对信息系统相关的各种设备、线路等进行维护 应建立设备安全管理制度,对信息系统中各种软硬件设备的选型、采购、发
规定; C 应对服务器、计算机终端、业务移动终端、网络等设备的操作和使用进行规范化管理GB∕T 16411-2008 家用燃气用具通用试验方法,按照安全 操作规程对主要设备进行启动、停止、加电、断电等操作; d)信息处理设备应经过审批才能带离机房或办公地点。
6.2.5.5网络安全管理(G2)
a 应指定人员对网络安全进行管理,负责运行日志和网络监控记录的日常维护,以及报警信息分 析处理工作: b 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新 周期等作出规定; C 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对重要文件进行备份; 应定期对网络系统进行漏洞扫描,及时对发现的安全漏洞进行修补。在实施漏洞扫描或漏洞修 补前,应对可能的风险进行评估,并做好充分准备,如选择恰当时间、制定数据备份和回退方案 漏洞扫描或漏洞修补后应进行验证测试,以保证网络系统的正常运行; e 应定期对网络设备的配置文件进行备份; 所有与外部系统的连接均应获得授权和批准
6.2.5.6系统安全管理(G2)
JT/T 1221-2018标准下载6.2.5.7恶意代码防范管理(G2)
6.2.5.8密码管理(G2)
6.2.5.9变更管理(G2)