2023林业信息化安全规范

林业信息化安全规范目 次前言 III范围 1规性用1术和1物安全 2网安全 2数安全 3应安全 7安管制度 8人安管理 9附录A（资性）络全件置10附录B（资性）络全件置11附录C（资性）络全件12附录D（资性）络全件置报告 13I林业信息化安全规范范围本文件适用于林业信息化安全建设和管理。文件。GB/T2887计算机场地通用规范GB/T9361计算机场地安全要求GB/T18019GB/T18020GB/T18794.3信息技术开放系统互连开放系统安全框架第3部分：访问控制框架GB/T20269信息安全技术信息系统安全管理要求GB/T20275信息安全技术入侵检测系统技术要求和测试评价方法GB/T20281信息安全技术防火墙技术要求和测试评价方法GB/T20282信息安全技术信息系统安全工程管理要求GB/T20988信息安全技术信息系统灾难恢复规范GB/T20984信息安全技术信息安全风险评估规范GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T35273信息安全技术个人信息安全规范GB/T25069、GB/T35273界定的以及下列术语和定义适用于本文件。保密性confidentiality使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。攻击者attacker黑客hackers泛指对网络或联网系统进行未授权访问的人。1人员出入机房应安排专人负责、控制、鉴别和记录，应符合GB/T9361的要求。防雷机房所在建筑应具备防雷设施，防雷应符合GB/T9361的要求。防火机房应设置灭火设备，机房防火应符合GB/T9361的要求。防水防水应符合GB/T9361的要求。防尘防尘应符合GB/T2887的要求。防静电防静电应符合GB/T9361的要求。机房应设置必要的温、湿度控制设施。温湿度控制应符合GB/T2887的要求。空气调节应符合GB/T9361的要求。应符合GB/T2887、GB/T9361的要求。应绘制完整的网络拓扑结构图，有相应的网络配置表，包含设备IP地址等主要信息，并及时更新。应保证关键网络设备的业务处理能力满足业务需要，保证网络的带宽满足数据传输需要。防火墙GB/T18019GB/T18020GB/T202812支持动态IPVPN入侵检测系统选择成熟、先机、知名的品牌，应符合GB/T20275的要求，还应具备以下功能：报警；DDoSWebVPNGB/T18794.3林业数据分级应符合GB/T22239的要求，遵循统一的分级要素，制定本级林业数据分级。林业数据的分级按照安全事件后的影响对象、程度、范围进行分级。影响对象包括党政机关、企事业单位和社会组织、自然人。影响程度包括轻微影响、一般影响和严重影响。3影响范围可分为较大影响范围和较小影响范围。对林业数据分级时充分考虑数据的敏感性来确定林业数据的级别。（（第三级（高敏感）：发生安全事件后对影响对象的工作运作、资产权益、人身安全产生严重影响。分级要素与数据级别的对应关系，见表1。表1数据分级矩阵表影响程度影响范围较小影响范围较大影响范围轻微影响第一级第一级一般影响第二级第二级严重影响第三级第三级根据政务数据安全级别，数据安全实施分级管理。第一级数据应符合GB/T22239的要求。第二级和第三级数据应符合GB/T22239及本文件6.2.2、6.2.3、6.2.4、6.2.5的要求。个人信息数据安全管理应符合GB/T35273的要求。应配备数据安全岗位人员，承担数据安全工作。人员管理要求见表2。表2人员管理要求管理领域管理要求第二级第三级岗位人员配备应配备数据安全岗位人员，明确各岗位工作职责，细化日常工作内容，承担数据安全工作√√应明确单位各部门人员的安全责任，建立数据安全考核惩戒措施√√培训教育应定期针对数据安全岗位人员开展数据安全培训，培训内容应考虑数据安全管理、数据安全技术、数据安全运营、数据安全合规等方面√√应定期针对所有岗位人员开展数据安全培训，培训内容应考虑数据安全相关管理制度、规范、标准、流程等方面√√应对培训结果实施考核，确保培训的效果√√4表2人员管理要求（续）管理领域管理要求第二级第三级人员安全管理应对数据相关岗位人员选用进行背景、资质审查、技能考核，确保人员具有胜任数据安全岗位工作的能力√√在人员岗位变动时，应与其明确数据安全保密责任与要求√√数据相关岗位人员应实施轮岗、权限分离、多人共管等管理措施√3。表3制度流程管理要求管理领域管理要求第二级第三级管理制度应明确各级数据安全管理范围，制定符合业务战略的，满足本级数据安全要求的安全目标、管理策略、方针和原则√√应依据国家和湖南省关于数据安全的要求，制定数据安全管理制度，考虑数据采集、传输存储、加工、共享、开放、销毁各环节相关的安全保护√√开展合规管理，应持续识别法律法规并转化为数据安全制度要求，规避法律合规风险√管理流程应制定数据安全的管理流程，考虑数据分级、数据共享、数据开放、数据导入数据导出、数据销毁等方面√√应建立数据安全投诉渠道及处理流程√制度流程的管理应将数据安全制度、流程发布，开展培训和宣贯√√应定期审核和更新数据安全制度和流程√√在组织架构、技术架构或者业务服务发生重大变化时，应及时评估数据安全制度流程的适用性，并修订√4。表4技术措施管理要求管理领域管理要求第二级第三级数据采集应明确数据采集原则、目的与用途、范围与方式、周期与频率和保存期限√√应对数据源、数据采集的环境、设施、技术采取必要的安全机制和管控措施，对产生数据的数据源进行鉴别和记录√√数据传输应采用满足数据传输安全策略的安全控制措施，如安全通道、可信通道、数据加密等√√数据存储应提供数据备份与恢复功能，考虑数据存储的保密性、完整性√√应建立数据逻辑存储隔离授权机制√√5表4技术措施管理要求（续）管理领域管理要求第二级第三级应实施数据用户身份标识与鉴别、数据访问控制等安全控制措施√√应具备对数据存储媒体访问和操作行为的安全审计能力√√数据加工应依据数据使用目的建立访问控制机制，限定用户可访问数据范围，具备完整的数据使用操作记录√√应具备数据脱敏支持工具或服务组件，根据需要将数据脱敏后使用√√应具备数据加工过程的风险监测和处理能力√数据共享应对请求共享的终端、用户或服务组件进行身份鉴别√√应对数据共享过程记录日志，及时清除共享过程中缓存的数据√√应对数据共享过程进行监控√√应采用数据加密、安全通道等安全措施保护数据共享过程中的数据√数据开放涉及个人信息的数据开放内容，应根据业务对个人信息进行必要的加密处理√√应具备对异常或高风险数据访问行为的智能化识别和预警能力√数据销毁采用可靠技术手段及时销毁符合销毁条件的数据，确保数据不可还原√√应通过规范运营管控工作，控制日常数据安全风险，DC。5。表5数据安全运营管控要求管理领域管理要求第二级第三级数据资产管理应定期梳理数据资产情况，形成数据资产清单√√应明确数据资产梳理周期，定期更新数据资产清单√√数据分级应对存量或新采集的数据进行分级，将数据的分级结果形成清单√√应定期评审及更新数据分级结果√√数据权限管理应按照业务需求和安全策略为用户配置合理的数据权限，考虑最小授权和角色权限制约等要求，建立数据权限分配表√√应严格执行数据权限审批流程，登记记录√√应定期对数据权限进行清查，人员岗位变动后及时变更权限√√应通统一管理权限审批、记录等事项√√数据操作管理应严格执行数据重要操作（如批量修改、拷贝、下载等）的审批流程，保留审批记录以及数据操作记录√√应统一管理重要操作的审批、执行和记录等事项√数据安全监测与审计应建立数据安全监审机制，对系统日志进行分析，及时发现高风险和违规操作，及时核实和处理√√应对系统日志进行统一收集与关联分析，对数据安全风险实时监测预警√6表5数据安全运营管控要求（续）管理领域管理要求第二级第三级数据安全风险评估应定期开展数据安全风险评估，评估的内容考虑数据平台的安全风险、数据业务的安全风险、人员操作风险、数据使用风险等方面√√对评估发现的问题，应整改并实现闭环管理√√数据安全事件与应急管理宜制定数据安全应急预案，明确数据安全事件（如发生数据泄漏事件）的上报流程和处置方法等√√宜向相关人员培训数据安全应急预案，并定期开展演练，宜根据演练的结果或单位组织架构、业务等的变化情况，及时更新应急预案√√应利用先进的技术手段或工具检测重要用户数据在传输过程中完整性是否受到破坏。应能够对重要数据进行备份和恢复，数据备份恢复应符合如下要求：GB/T20988流程。应用系统安全设计应符合GB/T22239的要求，根据业务软件设计要求，进行网络安全等级保护。应建立完备的身份认证机制，可接入到统一认证中心。GA7IP应对业务系统的登录行为、业务操作以及系统运行状态进行记录与保存。Jsontoken.2WebIPIPV4IPV6兼容。主。安全管理制度应包括：GB/T20269GB/T20282应按照已确定的安全等级对已建成的信息系统定期进行风险评估和等级测评，符合2098489附录A（资料性）网络安全事件处置上报信息系统运营使用单位名称报告时间报告人联系电话通讯地址电子邮件信息系统名称事发时间事件描述初步判定事件类型安全攻击□计算机病毒事件□特洛伊木马事件□僵尸网络事件□混合程序攻击事件□网页内嵌恶意代码事件□拒绝服务攻击事件□后门攻击事件□漏洞攻击事件□网络扫描窃听事件□网络钓鱼事件□干扰事件□信息篡改事件□信息假冒事件□信息泄露事件□信息窃取事件□信息丢失事件□其他设备设施故障□服务器□数据库□网络设备□安全设备□线路□应用系统□操作系统□盗窃或破坏□雷击□失火□漏水或返潮□静电□温湿度□电力供应□电磁干扰□其他信息安全风险□网络端口被监听□IP地址欺骗□TCP序号袭击□病毒□黑客□账号管理混乱□缺乏分级管理□FTP存在风险□便携性移动设备控制不严□其他造成的影响□业务中断□系统破坏□数据流失□其他影响范围□单台主机□多台主机□整个信息系统□整个局域网□其他初步判定的事件等级I级□II级□III级预案执行情况与结果存在的问题和改进的意见10附录B（资料性）网络安全事件处置分析表B.1第三方网络安全事件分析表第三方机构单位名称联系人联系电话传真电子邮件信息系统运营使用单位单位名称联系人联系电话传真电子邮件信息系统名称事发时间事件描述初步判定的事件类型安全攻击□计算机病毒事件□特洛伊木马事件□僵尸网络事件□混合程序攻击事件□网页内嵌恶意代码事件□拒绝服务攻击事件□后门攻击事件漏洞攻击事件□网络扫描窃听事件□网络钓鱼事件□干扰事件□信息篡改事件□信息假冒事件□信息泄露事件□信息窃取事件□信息丢失事件□其他设备设施故障□服务器□数据库□网络设备□安全设备□线路□应用系统□操作系统□盗窃或破坏□雷击□失火□漏水或返潮□静电□温湿度□电力供应□电磁干扰□其他□网络端口被监听□IP地址欺骗□TCP序号袭击□病毒□黑客□账号管理混乱□缺乏分级管理□FTP存在风险□便携性移动设备控制不严□其他之前是否出现过类似情况□是（如果是说明发生时间及被破坏系统的名称）□否分析网络安全事件的发展趋势初步判定的事件等级□特别重大事件□重大事件□较大事件□一般事件11附录C（）表C.1网络安全事件备案表事件发现单位单位名称通讯地址省 地(区、市、州) 县(区、市)联系人联系电话传真电子邮件信息系统运营使用单位单位名