交通运输行业信息系统安全等级保护实施指南.docx

ICS35.040R07中华人民共和国交通运输行业标准JT/TXXXXX-XXXX交通运输行业信息系统安全等级保护实施指南Implementationguideforsecurityclassifiedprotectionoftransportationinformationsystem点击此处添加与国际标准一致性程度的标识（征求意见稿）（本稿完成日期：2016年3月28日）XXXX -XX-XX 发布XXXX-XX-XX实施中华人民共和国交通运输部目次前言H1范围12规范性引用文件13术语和定义14等级保护实施概述14.1实施目标14. 2基本原则14.3 角色和职责24.4 实施的基本流程25信息系统定级35. 1信息系统定级35.3 定级工作原则35.4 等级变更46安全规划设计47安全建设整改47.1 安全管理体系建设整改47.2 安全技术措施建设整改47.3 信息安全产品采购57.4 系统验收58等级测评58.1 等级测评工作内容58.2 等级测评机构选择58.3 3等级测评报告备案59信息系统备案510安全运行与维护611安全检查611.1 检查方式611.2 检查内容611.3 检查结果报备6参考文献7本标准按照GB/T1.1-2009给出的规则起草。本标准由交通运输信息通信及导航标准化技术委员会提出并归口.本标准起草单位：中国交通通信信息中心。本标准主要起草人：戴明、李璐瑶、杜渐、齐志峰、张岩、刘佳、张煜、李佑钢。交通运输行业信息系统安全等级保护实施指南1范围本标准规定了交通运输行业信息系统安全等级保护实施的基本流程及规范，包括信息系统定级、安全规划设计、安全建设整改、等级测评、信息系统备案、安全运行与维护、安全检查等部分。本标准适用于指导交通运输行业信息系统安全等级保护的实施。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的文件适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。GB17859计算机信息系统安全保护等级划分准则GB/T22239信息安全技术信息系统安全等级保护基本要求JT/T904交通运输行业信息系统安全等级保护定级指南3术语和定义GB17859和JT/T904中确立的术语和定义适用于本标准。4等级保护实施概述4. 1实施目标通过对交通运输行业重要信息系统进行安全等级划分,按照国家及交通运输行业管理规范和技术标准进行规划建设、运行维护和监督管理，加强交通运输行业重要信息系统的安全防护能力，确保其安全稳定运行。5. 2基本原则交通运输行业重要信息系统安全等级保护的核心是对信息系统分等级，按标准进行规划、建设、运维、管理和监督。交通运输行业信息系统安全等级保护实施过程中应遵循以下基本原则： 自主保护原则：信息系统主管部门或运营、使用单位按照国家和交通运输行业信息安全等级保护相关管理规范和技术标准，自主确定信息系统的安全保护等级，自行组织实施安全保护；一重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级，实现不同强度的安全保护，集中资源优先保护涉及交通运输行业核心业务或关键信息资产的信息系统； 同步建设原则：信息系统在新建、改建和扩建时应同步规划和设计安全方案，投入一定比例的资金实施信息安全设施建设和防护措施，保障信息安全与信息化建设相适应； 动态调整原则：跟踪信息系统变化情况，调整安全保护措施。信息系统安全保护等级需要变更的，应根据国家和交通运输行业信息安全等级保护相关管理规范和技术标准，重新确定信息系统安全保护等级，根据信息系统安全保护等级调整情况，重新实施安全保护。4. 3角色和职责交通运输行业信息系统安全等级保护实施过程中涉及的各类角色及其职责如下：a）信息安全监管职能部门：负责依照国家和行业信息安全等级保护的管理规范和技术标准,督促、检查和指导信息系统安全等级保护工作，（请在此增加引导语，例如：XXX如下：）D部级信息安全监管职能部门：负责交通运输行业重要信息系统安全等级保护定级备案、等级测评、安全建设整改等工作的监督、检查和指导，组织制定交通运输行业相关政策文件和行业标准规范；2）省级或部直属机构信息安全监管职能部门：负责本单位和直属单位的信息系统安全等级保护定级备案、等级测评、安全建设整改等工作的监督、检查和指导，组织制定相关政策文件和行业标准规范；3）地市级信息安全监管职能部门：地市级信息安全监管职能部门的角色和职责参照省级。b）信息系统主管部门及运营、使用单位：信息系统主管部门及运营、使用单位按照国家和行业信息安全等级保护的管理规范和技术标准进行信息安全等级保护建设和管理,负责所管辖信息系统安全等级保护定级备案、等级测评、安全自查、安全建设、整改加固等工作的组织实施；c）信息系统运维部门：负责根据信息系统主管部门及运营、使用单位和信息安全监管职能部门的委托,依照国家和行业信息安全等级保护的管理规范和技术标准,落实信息安全等级保护要求,确保信息系统安全稳定运行；d）等级保护测评机构：负责根据信息系统主管部门及运营、使用单位的委托或根据信息安全监管职能部门的授权，按照国家和行业信息安全等级保护的管理规范和技术标准，对信息系统进行等级测评，对信息安全产品供应商提供的信息安全产品进行安全测评；协助完成信息系统安全保护等级确定、定级结果评审、信息系统备案、安全规划设计、安全方案评审、信息安全风险评估等工作；e）信息安全服务机构：负责根据信息系统主管部门及运营、使用单位的委托，依照国家和行业信息安全等级保护的管理规范和技术标准，协助完成安全建设整改、安全集成等工作；f）信息安全产品供应商：负责按照国家和行业信息安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品，接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务。4.4 实施的基本流程按照信息安全等级保护的生命周期，交通运输行业信息系统划分为信息系统定级、安全规划设计、安全建设整改、等级测评、信息系统备案、安全运行与维护和安全检查七个阶段。交通运输行业信息系统实施等级保护的基本流程见图1。新建信息系统已建信息系统图1交通运输行业信息系统安全等级保护实施基本流程图在安全运行与维护阶段，在信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。在等级测评阶段,应检验信息系统安全保护措施是否满足等级保护相应等级的安全要求,若不满足,应进入安全规划设计和安全建设整改阶段，重新设计、调整和实施安全措施，最终确保满足等级保护的安全要求；若满足，应从等级测评阶段进入信息系统备案阶段，准备备案材料，到国家和行业主管部门备案。5信息系统定级4.5 信息系统定级信息系统主管部门及运营、使用单位按照国家和行业信息安全等级保护相关管理规范和技术标准，对已运行但未定级或定级不准的信息系统进行定级，对新建、改建和扩建的信息系统在设计阶段确定安全保护等级。信息系统定级原理、流程及方法按照JT/T904的要求。4.6 定级工作原则a）自主定级：信息系统主管部门及运营、使用单位根据信息系统自身特点，按照国家和行业信息安全等级保护管理规范和技术标准的要求，自主确定信息系统的安全保护等级,起草定级报告。联网运行信息系统在各地运行、应用的分支系统，安全保护等级不能随着部、省、市行政级别的降低而降低；b）专家评审：对拟确定为第三级（含）以上信息系统的，由信息系统主管部门及运营、使用单位聘请安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定；对拟确定为第四级（含）以上信息系统的，由信息系统主管部门及运营、使用单位聘请国家信息安全等级保护专家评审委员会评审；c）信息安全监管职能部门审批：对拟确定为第二级（含）以上信息系统，由信息系统主管部门及运营、使用单位报信息安全监管职能部门对信息系统定级结果进行审核和批准。对拟确定为第三级（含）以上信息系统的定级结果还应报部级信息安全监管职能部门审核和批准；d）公安机关审核：信息系统备案时，由公安机关对信息系统的定级结果进行审核。4.7 等级变更在交通运输行业信息系统的运行过程中，信息系统安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当变更,尤其是系统变化可能导致业务信息或系统服务安全对客体的侵害程度有较大变化，可能影响系统安全保护等级，应由信息系统主管部门及运营、使用单位重新定级。6安全规划设计信息系统主管部门及运营、使用单位按照国家和行业信息安全等级保护相关管理规范和技术标准，依靠自身的技术力量或在信息安全服务机构的协助下完成安全需求分析、总体安全方案设计和安全方案详细设计等工作。信息系统主管部门及运营、使用单位根据信息系统承载业务情况、信息系统的定级情况和等级保护的安全要求，分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全详细方案，以指导后续的信息系统安全建设整改工程的实施。对于己运营（运行）的信息系统，需求分析应首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。信息系统主管部门及运营、使用单位应将安全规划设计阶段形成的安全需求分析报告、信息系统总体安全方案、信息系统安全详细方案报信息安全监管职能部门审批，审批通过后，方可进行安全建设和整改。7安全建设整改7.1 安全管理体系建设整改信息系统主管部门及运营、使用单位根据GB/T22239的要求和行业信息系统安全等级保护基本要求、安全详细设计方案等，开展信息安全等级保护安全管理体系建设整改，建立信息安全责任制、人员安全管理制度、系统建设管理制度、系统运维管理制度等，建立健全并落实符合相应等级要求的安全管理制度体系，提高信息系统的安全管理水平。7.2 安全技术措施建设整改信息系统主管部门及运营、使用单位根据GB/T22239的要求和行业信息系统安全等级保护基本要求、安全详细设计方案等，开展信息系统安全等级保护技术措施建设整改，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，建立并完善信息系统综合防护体系，提高信息系统的安全防护能力和水平。7.3 信息安全产品采购信息系统主管部门及运营、使用单位按照GB/T22239的要求和行业信息安全等级保护管理规范和技术标准，选择使用符合国家和行业有关规定，满足信息系统安全保护等级需求的信息安全产品。对于行业内不同安全保护等级的信息系统，宜采用有信息安全产品销售许可证的安全产品。7.4 系统验收信息系统验收阶段应包含安全测试验收工作，以检验信息系统是否严格按照安全详细设计方案进行安全建设整改，信息安全监管职能部门负责指导、监督信息系统主管部门及运营、使用单位进行安全测试验收工作。第三级（含）以上信息系统应采用等级测评的方式检验信息系统安全管理和技术措施是否满足等级保护的安全要求。信息系统验收通过后，信息系统主管部门及运营、使用单位将信息系统总体安全方案、详细设计方案、安全测试验收报告备案到信息安全监管职能部门。8等级测评8.1 等级测评工作内容信息系统主管部门及运营、使用单位按照国家和交通运输行业信息安全等级保护规定要求，根据信息系统已确定的安全保护等级，定期组织开展等级测评，掌握信息系统的安全现状，查找发现并及时整改存在的安全问题、漏洞和隐患，检验信息系统安全保护措施是否符合相应等级的安全要求，是否具备相应等级的安全保护能力。第四级信息系统应每半年至少进行一次等级测评，第三级信息系统应当每年至少进行一次等级测评，第二级信息系统参照第三级信息系统的要求进行等级测评。新建、改建和扩建信息系统应在系统安全建设整改完成后进行等级测评工作。己运营（运行）信息系统，应在系统确定安全保护等级后进行等级测评工作。8.2 等级测评机构选择信息系统主管部门及运营、使用单位应从全国信息系统安全等级保护测评机构推荐目录中择优选择测评机构，第三级（含）以上信息系统应选择行业或国家级测评机构。8.3等级测评报告备案信息系统等级测评完成后，信息系统主管部门及运营、使用单位应将等级测评报告等相关资料报送信息安全监管职能部门备案。9信息系统备案信息系统主管部门及运营、使用单位按照国家和行业信息安全等级保护相关管理规范和技术标准，对已确定安全保护等级的信息系统，到公安机关办理备案手续。新建、改建和扩建信息系统在系统上线30日内完成公安机关备案工作，己运行且定级的信息系统在确定安全保护等级后30日内完成公安机关备案工作。第三级（含）以上信息系统应在系统整改、测评完成后30日完成备案工作。全国联网运行的信息系统，备案到公安部；区域或省域联网运行信息系统，备案到省级公安机关；机构内运行的信息系统、全国或区域联网运行的信息系统在各地运行、应用的分支系统，备案到所在地地市级以上公安机关。10安全运行与维护等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行及变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。对上述管理过程本标准不作规定，可参见其他标准或指南。11安全检查11.1 检查方式信息系统安全检查是信息安全监管职能部门和信息系统主管部门及运营、使用单位对信息系统等级保护工作的落实情况进行监督检查和自查的过程。信息安全监管职能部门定期对各单位等级保护工作开展情况、信息系统安全保护措施落实情况进行监督检查，全面掌握各单位网络安全工作开展情况，督促指导其进行安全建设整改，推动信息系统安全防护能力逐步达到信息安全等级保护要求。信息系统主管部门及运营、使用单位应定期对信息系统安全状况、安全保护制度及技术措施的落实情况进行自查，及时发现系统中存在的安全问题并整改。第四级信息系统应每半年至少进行一次自查，第三级信息系统应每年至少进行一次自查，第二级信息系统参照第三级信息系统的要求进行自查。11.2 检查内容信息安全监管职能部门、信息系统主管部门、运营及使用单位应对以下内容进行监督检查和自查:a）信息系统安全需求是否发生变化，原定保护等级是否准确；b）安全管理制度和措施的落实情况；c）信息系统安全状况自查和监督检查的情况；d）系统安全等级测评是否符合要求；e）信息安全产品使用是否符合要求；f）信息系统安全整改情况；g）信息安全事件应急处置情况；h）备案材料与运营、使用单位及信息系统的符合情况。11.3 检查结果报备信息系统主管部门及运营、使用单位应将信息系统自查和监督检查结果记录报告及相关整改材料报信息安全监管职能部门备案；第三级（含）以上信息系统应备案到部级信息安全监管职能部门。参考文献1交通运输行业信息安全等级保护管理总则（交科技发2013272号），交通运输部办公厅2全国信息系统安全等级保护测评机构推荐目录http:/,