《邮政业信息系统安全等级保护实施指南》

《邮政业信息系统安全等级保护实施指南》（征求意见稿）编制说明标准起草组2018年2月一、项目来源2014年3月，国家邮政局政法简函【2014】18号下达了《邮政业信息系统安全等级保护实施规范》制定任务，包括定级指南、基本要求和实施指南三部分内容。顺丰速运（集团）有限公司在完成《邮政业信息系统安全等级保护定级指南》（YZ/T0142-2015）和《邮政业信息系统安全等级保护基本要求》（YZ/T0152-2016）行业标准的基础上，着手启动《邮政业信息系统安全等级保护实施指南》标准的编制，深圳职业技术学院一同参与标准起草工作。该标准由国家邮政局提出，全国邮政业标准化技术委员会归口。二、标准制定的目的及意义信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。目前，我国已经形成了比较完整的信息安全等级保护标准体系，相关标准分为基础、应用、产品和其他等四大类。近年来，我国邮政业发展迅速，企业数量大幅增加，业务规模持续扩大，服务水平不断提升，在降低流通成本、支撑电子商务、服务生产生活、扩大就业渠道等方面发挥了积极作用。随着邮政业的不断发展，邮政业各类信息系统的建设步伐日益加快。由于邮政业信息系统一般具有结构复杂、节点众多、敏感信息量大等特点，信息系统的安全问题日益凸显。确保信息系统的安全运行已经成为邮政业信息化建设的重要考虑因素，也对信息系统的运行和维护提出了更高要求。根据《信息系统安全等级保护基本要求》(GB/T22239-2008)《信息系统安全等级保护实施指南》（GB/T25058-2010）《邮政业信息系统安全等级保护定级指南》（YZ/T0142-2015）和《邮政业信息系统安全等级保护基本要求》（YZ/T0152-2016）等标准的相关要求，结合邮政行业特点以及信息系统安全建设需要，按照突出流程、突出实用性的原则，制定《邮政业信息系统安全等级保护实施指南》。该标准对邮政业信息系统提出等级保护安全实施过程要求，能够更好地服务于邮政业信息系统的等级保护建设、运行和维护等工作，对于建立健全邮政业信息系统安全保护制度，提高邮政业信息系统的安全防范能力，落实安全责任，加强监督检查具有重要意义。三、主要工作过程按照标准要求和项目组的进度计划，编制主要工作过程如下：（一）成立起草组2016年11月，标准起草组成立。起草组经过分析研究，制定了详细的工作计划和调研提纲，开始资料收集工作。（二）编写初稿2017年2月起，标准起草组分析现有相关标准资料，结合企业实际情况，编写形成框架稿。2017年4月，标准起草组根据国家邮政局政策法规司提出的修改意见和建议，对标准内容进行了调整，形成标准初稿。（三）开展调研研讨2017年9月，标准起草组组织召开标准研讨会，与申通、圆通、中通、宅急送、百世汇通、韵达、天天、优速、德邦、DHL等快递企业进行调研座谈，了解快递企业开展等级保护相关情况，分析工作流程等实施需求。（四）形成征求意见稿2018年2月，标准起草组根据研讨情况，对标准的主要内容进行修改，形成征求意见稿。四、标准编制原则标准参照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写规则》和GB/T1.2-2002《标准化工作导则第2部分：标准中规范性技术要素内容的确定方法》的编写要求，按照以下原则编写。1.连贯性该标准在YZ/T0142-2015和YZ/T0152-2016行业标准出台的基础上，提出安全等级保护实施要求，保证了内容与相关标准的接轨，进一步优化了邮政业信息安全标准体系，满足了现实需要。2.适用性标准充分考虑邮政行业实际特点，在内容上规定了邮政业新建和已建信息系统安全等级保护实施过程中的定级、备案、安全建设整改、等级测评、安全运维和系统终止等环节的实施要求。适用于指导邮政业信息系统安全等级保护工作的实施。3.通用性标准考虑到行业企业信息化水平差异，尽可能从新建系统和已建系统具体工作中选取共性指标。通过求同存异，整体反应不同企业信息系统的等级保护情况。4.可操作性本标准规定的实施要求，在顺丰公司的实际新建系统和已建系统中进行了实施验证。结果表明，可以解决人员对等级保护过程流程不熟悉、内容不清楚、过程不标准等问题，可以用来指导邮政业信息系统安全等级保护工作的实施。同时，在备注或附录中对一些工作进行了详细解释，提出邮政业信息系统安全等级保护安全建设方案便于企业操作。五、标准主要内容本标准的编制主要考虑了以下几个问题：（一）七个基本工作环节的确定邮政业信息系统安全等级保护实施过程划分为系统定级、等级备案、建设整改、等级测评、监督检查、安全运维和系统终止等七个基本工作环节，与国家标准GB/T25058-2010的规定相一致，也符合信息系统生命周期的特点。信息系统生命周期可分为：1.规划需求阶段。由业务要求，产生了信息系统建设和使用的需求。从信息系统建设的开始就应该综合考虑系统的安全保障要求，使信息系统的建设和信息系统安全保障的建设同步规划。对应本标准的系统定级、等级备案两个阶段。2.开发建设阶段。此阶段进行系统体系的设计，也要对信息系统安全保障进行整体规划和设计，对应本标准的建设整改阶段，完成信息系统的安全建设工作。3.测试验收阶段。通过信息系统安全保障进行测试评估，确保所交付系统的安全性。对应本标准的等级测评阶段。4.运行维护阶段。信息系统进入运行维护阶段后，对信息系统的管理、运行维护和使用人员的能力等方面进行综合保障，是信息系统得以安全正常运行的根本保证，对应本标准的监督检查和安全运维两个阶段。5.废弃阶段。当信息系统的保障不能满足现有要求时，信息系统进入废弃阶段。对应本标准的系统终止阶段。邮政业信息系统安全等级保护的核心是保证不同安全保护等级的信息系统具有相适应的安全保护能力。本标准针对信息系统的全生命周期提出了不同的安全过程要求及能力要求，这些要求是以PDCA的思路提出，即计划（plan）、执行（do）、检查（check）、调整（action）。本标准中七个基本工作环节借鉴PDCA，按照要求谁来发起、谁来组织、什么时候发起(P)、如何实施、谁负责实施(D)、怎么检查、谁来审批（C）和中间差错控制调整过程(A)，形成工作闭环。（二）新建系统和已建系统的不同企业存在大量的信息系统是在实施等级保护管理制度之前就已建好的并正在运行，这类属于已建系统，必须进行分等级保护。在第7章和第9章分别针对已建系统和新建系统在系统定级和建设整改方面提出不同的要求。7.2节对新建系统定级提出了技术要求，新建信息系统的定级流程包括信息系统边界划定、等级确定、定级结果形成和定级审核等基本过程。7.3节为已建系统定级，包括前期准备、信息系统边界划定、等级确定、定级结果形成、定级审核等基本过程。9.2节为新建系统安全建设，包括建设方案编制、方案审批、方案实施和工程验收等基本过程。9.3节已建系统安全整改，包括差距分析、方案编制、方案审批、方案实施和项目验收等基本过程。（三）与现有行业标准的关系本标准与《邮政业信息系统安全等级保护定级指南》（YZ/T0142-2015）和《邮政业信息系统安全等级保护基本要求》（YZ/T0152-2016）是一脉相承的。对应关系如下表。序号工作环节名称工作内容1系统定级按照YZ/T0142-2015要求来确定信息系统的安全保护等级。2建设整改按照YZ/T0152-2016要求对信息系统进行信息安全建设整改，加强信息系统的安全技术保护和安全管理工作。3等级测评应选择合适的信息安全等级保护测评机构，按照YZ/T0152-2016要求实施等级测评，获得等级测评报告，确保信息系统的安全保护措施符合相应等级的安全要求。4安全运维按照YZ/T0152-2016对信息系统进行相应等级的安全运维工作，确保信息系统的正常运行使用。（四）安全运维阶段突出应急演练《中华人民共和国网络安全法》第五章规定了我国信息系统的监测预警与应急处置的法律要求。本标准在12.3节提出运维监控要求，包括监控对象确定、监控实施、监控报告等基本过程。在12.4节提出事件管理要求，包括安全事件分级、安全事件上报、安全事件处置、安全事件总结等基本过程。在12.5节提出应急演练，包括制定应急预案、应急培训和应急演练、预案改进等基本过程。通过制定应急演练要求，可以提升信息安全部门对应急演练重要性的认识，逐步形成统一指挥、反应灵敏、协调有序、运转高效的突发事件应急处置机制，提高有关部门内部、部门之间和单位内外资源的协调联动能力。六、与现行法律、法规和强制性国家标准的关系本标准在编制过程中严格遵循现行的法律、法规，与国家颁布的现行法律、法规不存在任何冲突。同时，与强制性国家标准也不存在任何冲突。1.与现行法律、法规的关系《中华人民共和国网络安全法》指出国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。本标准规定的内容是《中华人民共和国网络安全法》在邮政行业落地实施的一个具体体现。本标准规定了邮政业新建和已建信息系统安全等级保护实施过程中的定级、备案、安全建设整改、等级测评、安全运维和系统终止等环节的工作实施要求。2.与国家标准的关系《信息系统安全等级保护实施指南》（GB/T25058-2010）规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。本标准以GB/T250