《2.林业信息化安全规范-编制说明-征求意见稿.docx》由会员分享,可在线阅读,更多相关《2.林业信息化安全规范-编制说明-征求意见稿.docx(8页珍藏版)》请在三一办公上搜索。
1、项目计划号:林业信息化安全规范编制说明(征求意见稿)湖南省林业局2022年9月23日林业信息化安全规范编制说明(-)工作简况1.1 任务来源本标准是湖南省林业大数据体系建设项目(一期)的建设内容之一,项目计划编号 为XXX。本标准由湖南省林业局提出;由湖南省林业局归口;由湖南省林业局林业大 数据体系建设项目专班、湖南省农林工业勘察设计研究总院、航天宏图信息技术股份有 限公司负责起草。1.2 主要工作过程、标准主要起草人及其所做工作编制任务下达后,编制单位湖南省林业局林业大数据体系建设项目专班、湖南省农 林工业勘察设计研究总院、航天宏图信息技术股份有限公司成立了编制组。编制组成员 包括湖南省林业
2、局林业大数据体系建设项目专班、湖南省农林工业勘察设计研究总院、 的业务专家、航天宏图信息技术股份有限公司的技术专家及标准化管理人员,标准编制 组人员组成和分工见表1。表1编制组人员分工序号姓名所在单位任务分工备 注1徐海 文湖南省林业局编制组组长,负责标准编写组织及技术协,调。2刘鸿 升湖南省林业局事务中心国内外相关标准调研,引用文件、术语与定义部分 编写。3王灿湖南省农林工业勘察设计 研究总院辅助术语与定义部分编写4范磊航天宏图信息技术股份有 限公司物理安全、网络安全、数据安全部分编写5张乐航天宏图信息技术股份有 限公司应用安全、安全管理制度、安全管理机构、人员安 全管理部分编写6徐斌航天宏
3、图信息技术股份有 限公司系统建设管理编写7孔宝 贺航天宏图信息技术股份有 限公司安全事件分级处理部分编写8苏定 坤航天宏图信息技术股份有 限公司日常开展信息安全等级保护工作、附录部分编写2022年5月2022年7月,编制组开展了大量的调研工作,包括国内外有关现有 标准,以及湖南省林业信息化工作和标准化的实际实施情况,开始起草标准草案。2022年8月2022年9月,编制组编制完成了标准征求意见稿。2022年10月,编制组将标准征求意见稿发送省内各有关单位征求意见,征求意见 的单位包括 XXXX XXXX XXX、XXXXX XXXX、XXXX、XXXXX XXXXX、 XXXX和XXXX共X个单
4、位,收到征求意见稿后,回函的单位数X个,其中有建 议或意见的单位数X个,共收到X条意见,采纳X条,不采纳X条,部分采纳X条。2022年11月,编制组根据征求意见的反馈情况,对标准征求意见稿进行了修改完 善,形成了标准预审稿。2022年11月,由湖南省市场监督管理局组织召开了该标准预审稿的审查会,参加 审查会的专家分别来自 XXXX、XXXX XXX、XXXXX、XXXX XXXX、XXXXX、 XXXXX XXXX和XXXX等X个单位。会议对标准预审稿进行了审查,共收到X条 意见,采纳X条,不采纳X条,部分采纳X条。2022年11月,编制组根据审查会意见,对标准预审稿进一步修改完善,形成了标
5、准送审稿。2022年12月1日,由湖南省市场监督管理局组织召开了该标准送审稿的审查会, 参力口审查会的专家分另I来自XXXX XXXX、XXX、XXXXX XXXX、XXXX、XXXXX XXXXX XXXX和XXXX等X个单位。会议对标准预审稿进行了审查,共收到X条 意见,采纳X条,不采纳X条,部分采纳X条。2022年12月,编制组根据审查会意见,对标准送审稿进一步修改完善,形成了标 准报批稿。(二)标准编制原则和确定标准主要内容的论据2. 1标准编制原则本标准编制原则如下:a)全面性原则本标准在调研分析林业发展现状、林业信息化工作实际、林业信息化标准化需 求的基础上,结合湖南省林业大数据项
6、目(一期)建设要求,总结形成了林业信 息化安全通用规范。标准规定的内容可覆盖林业信息化安全工作的一般要求b)适应性原则本标准适用于湖南省林业信息化安全建设和管理。c)可操作原则本标准制定了湖南省林业信息化安全建设和管理的规范,覆盖林业信息化所涉 及的基础设施、网络、数据、应用和管理等方面,内容完整,可操作性强。cl)先进性原则本标准填补了省内标准相关领域的空白,具有良好通用性和先进性。2.2标准主要技术内容标准主要技术内容说明如下:2.2.1 本标准的标准化对象和范围指导林业信息化安全标准化工作的规范性开展。针对此工作特点,本标准规定了林 业信息化安全标准化工作的原则、工作机构与原则、工作程序
7、和步骤、标准体系等。 2.2.2相关标准的调研和分析情况编制本标准期间,编制组调研了相关国家标准、林业行业标准的最新版本。本标准 参考了 GB/T20269信息安全技术信息系统安全管理要求 GB/T 19716信息技术 信息安全管理实用规则GB/T 20272信息安全技术操作系统安全技术要求GBZT 352732020信息安全技术个人信息安全规范GB 501742008电子信息系统机房 设计规范GBb 21052信息安全技术信息系统物理安全技术要求等关于林业信息化 安全体系管理体系构建的内容。参考了 GB/Z 20986信息安全技术信息安全事件分类分 级指南GB/T 20988信息安全技术信息
8、系统灾难恢复规范GB/T 20275信息安全技 术入侵检测系统技术要求和测试评价方法GB/T 20984信息安全技术信息安全风险评 估规范关于林业信息化安全防护分级应急处理体系的内容。2.2.3 关于“林业信息化安全基本原则”基本林业信息化安全原则的确定按照信息化安全标准化工作的一般性原则,结合林 业行业特点和地方实际,确保林业信息安全标准化工作的基本原则的指导意义,符合基 本原则是指导林业信息化安全标准化工作开展的必要条件,遵循基本原则是林业信息化 安全标准化工作的重要前提。2.2.4 关于“物理安全”物理安全是信息安全的必要前提,它影响着信息系统的保密性、完整性、可用性。 物理安全是整个网
9、络信息系统安全的前提,是保护计算机网络设备、设施,保护其他媒 体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏 的过程。标准5.1-5.6中关于物理安全;可用于指导、组织协调、管理林业信息化安全标准 化工作,设立林业信息化安全标准的物理防护的措施及注意事项,为全省林业主管部门 组织开展信息安全标准化工作可参照确定物理防护措施。2.2.5 关于“网络安全”信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故 意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、 机密性、完整性、可控性、不可抵赖性。标准5.1-5.7中关于网
10、络安全;可用于指导网络系统的硬件、软件及气系统中的信 息受到保护。具体从防火墙、数据传输、入侵检测及防护等多方面指导开展信息安全标 准化工作。2.2.6 关于“数据安全”数据安全性是指在数字信息的整个生命周期中保护数字信息不受未经授权的访问、 损坏或盗窃。这个概念涵盖了信息安全的各个方面,从硬件和存储设备的物理安全到管 理和访问控制,以及软件应用程序的逻辑安全。因此标准6.1-6.4中关于数据安全;涵盖了数据分级和数据泄露的影响程度分级, 数据的安全管理制度及流程,数据的储存备份等等。2.2.7 关于“应用安全”林业信息化安全标准工作是一项过程复杂、要求严谨、程序规范的指导工作,对于 应用全过
11、程实时监测确保应用过程和结果的安全。标准7.2中,详细阐述了应用安全过程中身份鉴别身份认证所采取的措施标准7.3中,对于访问授权做出一系列要求,通过限制用户访问权限,后台限制访 问ip地址,后端实现访问控制,合理分配授权力度等标准7.4中,在安全审计部分,实现用户访问业务软件系统时,应对登录行为、业 务操作以及系统运行状态进行记录与保存,保证操作过程可溯源、可审计,确保业务日 志数据的安全。标准7.5中,在通信安全部分,通过接口方式安全设计、数据安全设计、会话安全 三部分阐述具体操作标准7.6中,在容错设计部分,异常消息一般包含了针对开发和维护人员调试使用 的系统信息,这些信息将增加攻击者发现
12、潜在缺陷并进行攻击的机会,并做出了具体要 求标准7.7中,在数据库安全部分,对于数据库设计时的稳定、安全、储存过程以及 数据库的部署方式、查询显示方式、业务逻辑等等做出了具体要求 2.2.8关于“安全管理制度”安全管理制度其目的是为了控制风险,将危害降到最小。因此,本标准对开展林业 信息安全标准化,安全管理制度、流程、风险测评、应急演练进行了描述。229关于“安全管理机构”安全管理组织机构是为确保网络正常运行,建立并逐步健全一套自上而下的安全组 织机构、管理机构和技术机构。机构的设置尽量与行政隶属关系一致,借助行政手段确 保网络安全政策的顺利实施。本标准对于安全管理机构的岗位职责以及注意事项进
13、行了 描述。2.2.10 关于“人员安全管理”人员安全管理是确保林业信息化安全必不可少的一环,人员的责任安全意识,保密 意识是必备职业素养,本标准对于人员安全管理中安全意识培训,授权,承诺保密协议 书,规章制度进行了描述。2211关于“系统建设管理”系统建设管理确保系统建设前中后期的运行维护。本标准版从安全性测试,测试验 收报告、交付清单、建设过程运营维护文档进行了描述。2.2.12 关于“附录”附录包含附录A、附录B和附录C附录D附录E五个部分。附录A包含网络安全 事件上报表。附录B第三方网络安全事件分析表。附录C网络安全事件备案表。附录D 网络安全事件现场调查表。附录E网络安全事件处置工作
14、报告。()主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果本标准规范了林业信息化标准化工作的原则、机构和职责、工作程序和步骤以及林 业信息化标准体系模型、框架和组成,适用于湖南省林业信息化标准化工作开展,填补 了湖南省地方性标准相关领域的空白,有利于促进湖南省林业信息化标准化的发展和湖 南省林业信息化水平的提高,可为全省各级林业部门开展信息化标准建设提供参考标准。(四)采用国际标准和国外先进标准的情况无。(五)与有关的现行法律、法规和强制性国家标准的关系本标准全面规范了林业信息化标准化工作,适用于湖南省林业信息化标准化建设。本标准遵守现行法律、法规要求,无冲突内容。本标准与上级
15、政府法令、有关的国 家标准和行业标准保持一致。(六)重大分歧意见的处理经过和依据无。(七)国家标准作为强制性国家标准或推荐性国家标准的建议推荐执行。(八)贯彻国家标准的要求和措施建议本标准可指导湖南省林业信息化标准化工作。建议标准发布后尽快组织各相关单位 的标准培训、宣贯工作。(九)废止现行有关标准的建议无。(十)其他应予说明的事项无。(十一)参考文献Hl GB/T2887计算机场地通用规范2 GB/T 9361计算机场地安全要求引GB/T 19715信息技术安全管理指南4 GB/T 19716信息技术信息安全管理实用规则5 GB/T 20269信息安全技术信息系统安全管理要求6 GB/T 2
16、0270信息安全技术网络基础安全技术要求7 GB/T 20271信息安全技术信息系统通用安全技术要求8 GB/T 20272信息安全技术操作系统安全技术要求19 GB/T 20273信息安全技术数据库管理系统安全技术要求10GBT 20274信息安全技术信息系统安全保障评估框架HGBT20275信息安全技术入侵检测系统技术要求和测试评价方法12GBT 20278信息安全技术网络脆弱性扫描产品技术要求1引GB/T 20279信息安全技术网络和终端设备隔离部件安全技术要求14GBT20281信息安全技术防火墙技术要求和测试评价方法15JGB/T 20282信息安全技术信息系统安全丁程管理要求16J
17、GB/T20916中文办公软件文档格式规范17GBZ 20985信息技术安全技术信息安全事件管理指南181GBZ 20986信息安全技术信息安全事件分类分级指南19)GBT 20988信息安全技术信息系统灾难恢复规范20GBT 20945信息安全技术信息系统安全审计产品技术要求和测试评价方法21GBT20984信息安全技术信息安全风险评估规范22GB/T 21028信息安全技术服务器安全技术要求23GBT 21050信息安全技术网络交换机安全技术要求241GB/T 21052信息安全技术信息系统物理安全技术要求25GB/T 22239信息安全技术网络安全等级保护基本要求26JGB/T 222402008信息安全技术信息系统安全等级保护定级指南27GBT31168信息安全技术云计算服务安全能力要求28JGB/T 352732020信息安全技术个人信息安全规范129GB 501742008电子信息系统机房设计规范
