DB5305T 19.48-2019 保山市信息惠民工程综合标准 第48部分：信息惠民工程项目信息安全管理办法

ICS35.240L67DB5305替代DG5305/T19.48—2017保山市市场监督管理局发布DB5305/T19.48—2019本标准按照GB/T1.1—2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。本标准由保山市大数据管理局提出。本标准由保山市工业和信息化委员会归口。本标准起草单位：保山市大数据管理局。本标准主要起草人：刘志胡、王明超、李祖燕、丁威、袁建雄、李家晓。本标准替代DG5305/T19.48—2017。DB5305/T19.48—20191保山市信息惠民工程综合标准第48部分信息惠民工程项目信息安全管理办法本标准规定了保山市信息惠民工程项目信息安全管理的术语和定义、信息安全管理总则、信息安全规划设计、信息安全建设实施、信息安全运行管理、信息安全绩效考核、信息安全违规处理，本标准适用于保山市信息惠民工程项目安全管理建设。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22240信息安全技术信息系统安全等级保护定级指南GB/T25070信息安全技术信息系统等级保护安全设计技术要求GA/T390计算机信息系统安全等级保护通用技术要求BMZ3涉及国家秘密的计算机信息系统安全保密测评指南BMB22涉及国家秘密的计算机信息系统分级保护测评指南信息安全等级保护管理办法关于大力推进信息化发展和切实保障信息安全的若干意见云南省网络与信息系统安全监察管理规定DB5305/T19.3-2019保山市信息惠民工程综合标准术语DB5305/T19.49-2019保山市信息惠民工程综合标准权限管理与登录技术标准DB5305/T19.50-2019保山市信息惠民工程综合标准数字证书技术应用标准3术语和定义DB5305/T19.3-2019确立的以及下列术语和定义适用于本标准。3.1信息安全管理信息安全管理指为保障信息系统、数据、计算机网络及相关配套设施安全稳定、持续运行而采取的系列措施和活动。3.2信息安全测评信息安全测评是信息安全等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。3.3分级保护测评分级保护测评是涉密分级保护测评机构依据国家秘密信息系统安全等级保护制度规定，按照有关管理规范和技术标准，对涉及国家秘密信息系统安全分级保护状况进行检测评估的活动。3.4风险评估风险评估指在风险事件发生之前或之后（但还没有结束该事件给人们的生活、生命、财产等各DB5305/T19.48—20192个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。3.5证书认证机构（CA）证书认证机构（CA）指负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。3.6安全认证安全认证指由可以充分信任的第三方证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。3.7网络信任体系网络信任体系指通过身份认证、授权管理和责任认定来建立的电子政务网络信任体系，以保障网络中的信息系统的信息安全。4总则4.1信息安全管理原则电子政务和信息惠民工程信息安全管理按统一领导、统筹规划、强化管理、使用高效、重在防范、全面审查的原则。4.2信息安全管理职责创建工作领导小组负责统筹协调和指导全市电子政务和信息惠民工程项目的信息安全管理工作。按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的格式，各单位负责本单位电子政务和信息惠民工程项目的信息安全管理，建立健全信息安全管理机构和工作责任制，明确主管领导和安全责任人。5信息安全规划设计5.1信息安全方案电子政务和信息惠民工程各信息系统建设应遵守国家、省、市有关信息安全和保密规定，参照GB/T25070等国家相关标准规范，同步规划、同步设计系统的信息安全保障方案。5.2信息安全投资电子政务和信息惠民工程各信息系统建设（含新建、改建）和运行维护中用于信息安全保障方面的投入应不低于信息系统建设投资总额的10%。5.3信息安全等级保护信息系统安全实行等级保护制度，各单位应在规划设计阶段依据GB/T22240对信息系统自主定级，并将定级报告和信息安全保障方案报送各级信息化主管部门，作为信息化项目立项审核依据之一。涉及国家秘密信息系统应报市保密工作主管部门审批。6信息安全建设实施6.1信息安全保障系统建设DB5305/T19.48—20193电子政务和信息惠民工程各信息系统应严格按照通过信息化项目立项审核后的规划和设计方案，同步建设信息安全保障系统。6.2信息安全产品和服务选择建设电子政务和信息惠民工程各信息系统应选用具有国家主管部门认可资质的安全产品和服务，确保信息安全自主可控。鼓励选用国产设备和软件。6.3信息安全验收测评电子政务和信息惠民工程各信息系统应经创建工作领导小组组织的信息安全测评和验收，通过后方可投入使用。涉密信息系统应经市保密工作主管部门组织的分级保护测评，通过后方可投入使用。信息安全测评和分级保护测评应按GA/T390、BMZ3、BMB227等相关国家或行业标准。7信息安全运行管理7.1信息安全队伍建设各单位应建立健全信息安全运行、维护管理制度和人员队伍，设置专职信息安全人员。信息安全人员应通过创建工作领导小组组织的信息安全培训和考核，持证上岗。涉密信息系统的人员管理按保密工作主管部门有关规定。7.2安全监测机制建设各单位应建立本单位信息系统的安全监测机制，并纳入全市的统一监测管理，发现问题应当及时向信息化主管部门报告并采取处理措施。7.3信息安全报送机制建设各单位应建立信息安全报送机制，每半年向信息化主管部门报送信息安全状况。7.4信息安全自查各单位应每年至少开展一次信息安全自查，对信息系统进行风险评估，发现问题，及时整改，并将自查结果报送信息化主管部门。创建工作领导小组每年开展全市信息系统信息安全检查。7.5信息安全整改信息系统因发生重大安全事件或发现重大安全隐患而下线整改的，整改后应经创建工作领导小组组织的信息安全测评，通过后方可恢复上线运行。7.6信息安全应急处置各单位应组建信息安全应急处置小组，就本单位的应用系统、数据和网络及其它配套设施制定信息安全事件应急预案，每年至少组织一次信息安全应急演练。7.7重要数据备份重要信息数据应进行备份，每年至少组织一次灾难恢复演练。7.8安全认证体系建设电子政务和信息惠民工程各应用系统建设应按DB5305/T19.49-2019、DB5305/T19.50-2019及省市CA认证系统相关管理办法，加强信息系统安全认证，建立健全政务网络信任体系。DB5305/T19.48—201947.9数据保密规定各单位应严格控制电子政务数据和介质的废弃、销毁过程，其中涉密系统应按国家保密格式执行。7.10信息安全教育各单位应加强信息安全教育，定期组织信息安全宣传教育活动，增强单位人员信息安全意识。8信息安全绩效考核全市建立信息惠民工程信息安全绩效考核制度，创建工作领导小组每年负责对各单位信息安全绩效进行考核评分，于每年第一季度公布上一年度的安全绩效考核结果。9信息安全违规处理对于在信息惠民工程项目的设计、建设、运行过程中违反本标准规定的信息安全准则的各种行为，由创建工