《郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》

《郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（征求意見(jiàn)稿）編制說(shuō)明標(biāo)準(zhǔn)起草組

2018年2月—、項(xiàng)目來(lái)源2014年3月，國(guó)家郵政局政法簡(jiǎn)函【2014]18號(hào)下達(dá)了《郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施規(guī)范》制定任務(wù)，包括定級(jí)指南、基本要求和實(shí)施指南三部分內(nèi)容。順豐速運(yùn)(集團(tuán))有限公司在完成《郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(YZ/T0142-2015)和《郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(YZ/T0152-2016)行業(yè)標(biāo)準(zhǔn)的基礎(chǔ)上，著手啟動(dòng)《郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》標(biāo)準(zhǔn)的編制，深圳職業(yè)技術(shù)學(xué)院一同參與標(biāo)準(zhǔn)起草工作。該標(biāo)準(zhǔn)由國(guó)家郵政局提出，全國(guó)郵政業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。二、標(biāo)準(zhǔn)制定的目的及意義信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略和基本方法。目前，我國(guó)已經(jīng)形成了比較完整的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系，相關(guān)標(biāo)準(zhǔn)分為基礎(chǔ)、應(yīng)用、產(chǎn)品和其他等四大類(lèi)。近年來(lái)，我國(guó)郵政業(yè)發(fā)展迅速，企業(yè)數(shù)量大幅增加，業(yè)務(wù)規(guī)模持續(xù)擴(kuò)大，服務(wù)水平不斷提升，在降低流通成本、支撐電子商務(wù)、服務(wù)生產(chǎn)生活、擴(kuò)大就業(yè)渠道等方面發(fā)揮了積極作用。隨著郵政業(yè)的不斷發(fā)展，郵政業(yè)各類(lèi)信息系統(tǒng)的建設(shè)步伐日益加快。由于郵政業(yè)信息系統(tǒng)一般具有結(jié)構(gòu)復(fù)雜、節(jié)點(diǎn)眾多、敏感信息量大等特點(diǎn)，信息系統(tǒng)的安全問(wèn)題日益凸顯。確保信息系統(tǒng)的安全運(yùn)行已經(jīng)成為郵政業(yè)信息化建設(shè)的重要考慮因素，也對(duì)信息系統(tǒng)的運(yùn)行和維護(hù)提出了更高要求。根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T25058-2010)《郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(YZ/T0142-2015)和《郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(YZ/T0152-2016)等標(biāo)準(zhǔn)的相關(guān)要求，結(jié)合郵政行業(yè)特點(diǎn)以及信息系統(tǒng)安全建設(shè)需要，按照突出流程、突出實(shí)用性的原則，制定《郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》。該標(biāo)準(zhǔn)對(duì)郵政業(yè)信息系統(tǒng)提出等級(jí)保護(hù)安全實(shí)施過(guò)程要求，能夠更好地服務(wù)于郵政業(yè)信息系統(tǒng)的等級(jí)保護(hù)建設(shè)、運(yùn)行和維護(hù)等工作，對(duì)于建立健全郵政業(yè)信息系統(tǒng)安全保護(hù)制度，提高郵政業(yè)信息系統(tǒng)的安全防范能力，落實(shí)安全責(zé)任，加強(qiáng)監(jiān)督檢查具有重要意義。三、主要工作過(guò)程按照標(biāo)準(zhǔn)要求和項(xiàng)目組的進(jìn)度計(jì)劃，編制主要工作過(guò)程如下：成立起草組2016年11月，標(biāo)準(zhǔn)起草組成立。起草組經(jīng)過(guò)分析研究，制定了詳細(xì)的工作計(jì)劃和調(diào)研提綱，開(kāi)始資料收集工作。編寫(xiě)初稿2017年2月起，標(biāo)準(zhǔn)起草組分析現(xiàn)有相關(guān)標(biāo)準(zhǔn)資料，結(jié)合企業(yè)實(shí)際情況，編寫(xiě)形成框架稿。2017年4月，標(biāo)準(zhǔn)起草組根據(jù)國(guó)家郵政局政策法規(guī)司提出的修改意見(jiàn)和建議，對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行了調(diào)整，形成標(biāo)準(zhǔn)初稿。開(kāi)展調(diào)研研討2017年9月，標(biāo)準(zhǔn)起草組組織召開(kāi)標(biāo)準(zhǔn)研討會(huì)，與申通、圓通、中通、宅急送、百世匯通、韻達(dá)、天天、優(yōu)速、德邦、DHL等快遞企業(yè)進(jìn)行調(diào)研座談，了解快遞企業(yè)開(kāi)展等級(jí)保護(hù)相關(guān)情況，分析工作流程等實(shí)施需求。（四）形成征求意見(jiàn)稿2018年2月，標(biāo)準(zhǔn)起草組根據(jù)研討情況，對(duì)標(biāo)準(zhǔn)的主要內(nèi)容進(jìn)行修改，形成征求意見(jiàn)稿。、標(biāo)準(zhǔn)編制原則標(biāo)準(zhǔn)參照GB/T1.1-2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫(xiě)規(guī)則》和GB/T1.2-2002《標(biāo)準(zhǔn)化工作導(dǎo)則第2部分：標(biāo)準(zhǔn)中規(guī)范性技術(shù)要素內(nèi)容的確定方法》的編寫(xiě)要求，按照以下原則編寫(xiě)。連貫性該標(biāo)準(zhǔn)在YZ/T0142-2015和YZ/T0152-2016行業(yè)標(biāo)準(zhǔn)出臺(tái)的基礎(chǔ)上，提出安全等級(jí)保護(hù)實(shí)施要求，保證了內(nèi)容與相關(guān)標(biāo)準(zhǔn)的接軌，進(jìn)一步優(yōu)化了郵政業(yè)信息安全標(biāo)準(zhǔn)體系，滿足了現(xiàn)實(shí)需要。適用性標(biāo)準(zhǔn)充分考慮郵政行業(yè)實(shí)際特點(diǎn)，在內(nèi)容上規(guī)定了郵政業(yè)新建和已建信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過(guò)程中的定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、安全運(yùn)維和系統(tǒng)終止等環(huán)節(jié)的實(shí)施要求。適用于指導(dǎo)郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)工作的實(shí)施。通用性標(biāo)準(zhǔn)考慮到行業(yè)企業(yè)信息化水平差異，盡可能從新建系統(tǒng)和已建系統(tǒng)具體工作中選取共性指標(biāo)。通過(guò)求同存異，整體反應(yīng)不同企業(yè)信息系統(tǒng)的等級(jí)保護(hù)情況?？刹僮餍员緲?biāo)準(zhǔn)規(guī)定的實(shí)施要求，在順豐公司的實(shí)際新建系統(tǒng)和已建系統(tǒng)中進(jìn)行了實(shí)施驗(yàn)證。結(jié)果表明，可以解決人員對(duì)等級(jí)保護(hù)過(guò)程流程不熟悉、內(nèi)容不清楚、過(guò)程不標(biāo)準(zhǔn)等問(wèn)題，可以用來(lái)指導(dǎo)郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)工作的實(shí)施。同時(shí)，在備注或附錄中對(duì)一些工作進(jìn)行了詳細(xì)解釋?zhuān)岢鲟]政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)安全建設(shè)方案便于企業(yè)操作。五、標(biāo)準(zhǔn)主要內(nèi)容本標(biāo)準(zhǔn)的編制主要考慮了以下幾個(gè)問(wèn)題：（一）七個(gè)基本工作環(huán)節(jié)的確定郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過(guò)程劃分為系統(tǒng)定級(jí)、等級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查、安全運(yùn)維和系統(tǒng)終止等七個(gè)基本工作環(huán)節(jié)，與國(guó)家標(biāo)準(zhǔn)GB/T25058-2010的規(guī)定相一致，也符合信息系統(tǒng)生命周期的特點(diǎn)。信息系統(tǒng)生命周期可分為：規(guī)劃需求階段。由業(yè)務(wù)要求，產(chǎn)生了信息系統(tǒng)建設(shè)和使用的需求。從信息系統(tǒng)建設(shè)的開(kāi)始就應(yīng)該綜合考慮系統(tǒng)的安全保障要求，使信息系統(tǒng)的建設(shè)和信息系統(tǒng)安全保障的建設(shè)同步規(guī)劃。對(duì)應(yīng)本標(biāo)準(zhǔn)的系統(tǒng)定級(jí)、等級(jí)備案兩個(gè)階段。開(kāi)發(fā)建設(shè)階段。此階段進(jìn)行系統(tǒng)體系的設(shè)計(jì)，也要對(duì)信息系統(tǒng)安全保障進(jìn)行整體規(guī)劃和設(shè)計(jì)，對(duì)應(yīng)本標(biāo)準(zhǔn)的建設(shè)整改階段，完成信息系統(tǒng)的安全建設(shè)工作。測(cè)試驗(yàn)收階段。通過(guò)信息系統(tǒng)安全保障進(jìn)行測(cè)試評(píng)估，確保所交付系統(tǒng)的安全性。對(duì)應(yīng)本標(biāo)準(zhǔn)的等級(jí)測(cè)評(píng)階段。運(yùn)行維護(hù)階段。信息系統(tǒng)進(jìn)入運(yùn)行維護(hù)階段后，對(duì)信息系統(tǒng)的管理、運(yùn)行維護(hù)和使用人員的能力等方面進(jìn)行綜合保障，是信息系統(tǒng)得以安全正常運(yùn)行的根本保證，對(duì)應(yīng)本標(biāo)準(zhǔn)的監(jiān)督檢查和安全運(yùn)維兩個(gè)階段。廢棄階段。當(dāng)信息系統(tǒng)的保障不能滿足現(xiàn)有要求時(shí)，信息系統(tǒng)進(jìn)入廢棄階段。對(duì)應(yīng)本標(biāo)準(zhǔn)的系統(tǒng)終止階段。郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)的核心是保證不同安全保護(hù)等級(jí)的信息系統(tǒng)具有相適應(yīng)的安全保護(hù)能力。本標(biāo)準(zhǔn)針對(duì)信息系統(tǒng)的全生命周期提出了不同的安全過(guò)程要求及能力要求，這些要求是以PDCA的思路提出，即計(jì)劃（plan）、執(zhí)行（do）、檢查（check）、調(diào)整（action）。本標(biāo)準(zhǔn)中七個(gè)基本工作環(huán)節(jié)借鑒PDCA,按照要求誰(shuí)來(lái)發(fā)起、誰(shuí)來(lái)組織、什么時(shí)候發(fā)起（P）、如何實(shí)施、誰(shuí)負(fù)責(zé)實(shí)施（D）、怎么檢查、誰(shuí)來(lái)審批（C）和中間差錯(cuò)控制調(diào)整過(guò)程（A）,形成工作閉環(huán)。（二） 新建系統(tǒng)和已建系統(tǒng)的不同企業(yè)存在大量的信息系統(tǒng)是在實(shí)施等級(jí)保護(hù)管理制度之前就已建好的并正在運(yùn)行，這類(lèi)屬于已建系統(tǒng)，必須進(jìn)行分等級(jí)保護(hù)。在第7章和第9章分別針對(duì)已建系統(tǒng)和新建系統(tǒng)在系統(tǒng)定級(jí)和建設(shè)整改方面提出不同的要求。7.2節(jié)對(duì)新建系統(tǒng)定級(jí)提出了技術(shù)要求，新建信息系統(tǒng)的定級(jí)流程包括信息系統(tǒng)邊界劃定、等級(jí)確定、定級(jí)結(jié)果形成和定級(jí)審核等基本過(guò)程。7.3節(jié)為已建系統(tǒng)定級(jí)，包括前期準(zhǔn)備、信息系統(tǒng)邊界劃定、等級(jí)確定、定級(jí)結(jié)果形成、定級(jí)審核等基本過(guò)程。9.2節(jié)為新建系統(tǒng)安全建設(shè)，包括建設(shè)方案編制、方案審批、方案實(shí)施和工程驗(yàn)收等基本過(guò)程。9.3節(jié)已建系統(tǒng)安全整改，包括差距分析、方案編制、方案審批、方案實(shí)施和項(xiàng)目驗(yàn)收等基本過(guò)程。（三） 與現(xiàn)有行業(yè)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與《郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（YZ/T0142-2015）和《郵政業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（YZ/T0152-2016）是一脈相承的。對(duì)應(yīng)關(guān)系如下表。序號(hào)工作內(nèi)容工作環(huán)節(jié)名稱(chēng)

序號(hào)工作內(nèi)容1系統(tǒng)定級(jí)按照YZ/T0142-2015要求來(lái)確定信息系統(tǒng)的安全保護(hù)等級(jí)。2建設(shè)整改按照YZ/T0152-2016要求對(duì)信息系統(tǒng)進(jìn)行信息安全建設(shè)整改，加強(qiáng)信息系統(tǒng)的安全技術(shù)保護(hù)和安全管理工作。3等級(jí)測(cè)評(píng)應(yīng)選擇合適的信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)，按照YZ/T0152-2016要求實(shí)施等級(jí)測(cè)評(píng)，獲得等級(jí)測(cè)評(píng)報(bào)告，確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級(jí)的安全要求。4安全運(yùn)維按照YZ/T0152-2016對(duì)信息系統(tǒng)進(jìn)行相應(yīng)等級(jí)的安全運(yùn)維工作，確保信息系統(tǒng)的正常運(yùn)行使用°（四）安全運(yùn)維階段突出應(yīng)急演練《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五章規(guī)定了我國(guó)信息系統(tǒng)的監(jiān)測(cè)預(yù)警與應(yīng)急處置的法律要求。本標(biāo)準(zhǔn)在12.3節(jié)提出運(yùn)維監(jiān)控要求，包括監(jiān)控對(duì)象確定、監(jiān)控實(shí)施、監(jiān)控報(bào)告等基本過(guò)程。在12.4節(jié)提出事件管理要求，包括安全事件分級(jí)、安全事件上報(bào)、安全事件處置、安全事件總結(jié)等基本過(guò)程。在12.5節(jié)提出應(yīng)急演練，包括制定應(yīng)急預(yù)案、應(yīng)急培訓(xùn)和應(yīng)急演練、預(yù)案改進(jìn)等基本過(guò)程。通過(guò)制定應(yīng)急演練要求，可以提升信息安全部門(mén)對(duì)應(yīng)急演練重要性的認(rèn)識(shí)，逐步形成統(tǒng)一指揮、反應(yīng)靈敏、協(xié)調(diào)有序、運(yùn)轉(zhuǎn)高效的突發(fā)事件應(yīng)急處置機(jī)制，提高有關(guān)部門(mén)內(nèi)部、部門(mén)之間和單位內(nèi)外資源的協(xié)調(diào)聯(lián)動(dòng)能力。六、與現(xiàn)行法律、法規(guī)和強(qiáng)制性家標(biāo)準(zhǔn)的關(guān)系六、與現(xiàn)行法律、法規(guī)和強(qiáng)制性家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)在編制過(guò)程中嚴(yán)格遵循現(xiàn)行的法律、法規(guī)，與國(guó)家頒布的現(xiàn)行法律、法規(guī)不存在任何沖突。同時(shí)，與強(qiáng)制性國(guó)家標(biāo)準(zhǔn)也不存在任何沖突。1.與現(xiàn)行法律、法規(guī)的關(guān)系《中華人民共和國(guó)網(wǎng)絡(luò)安全法》指出國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。本標(biāo)準(zhǔn)規(guī)定的內(nèi)容是《中華人民共和國(guó)網(wǎng)絡(luò)安全法》在郵政行業(yè)落地實(shí)施的一個(gè)具體體現(xiàn)。本標(biāo)準(zhǔn)規(guī)定了郵政業(yè)新建和已建信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過(guò)程中的定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、安全運(yùn)維和系統(tǒng)終止等環(huán)節(jié)的工作實(shí)施要求。2.與國(guó)家標(biāo)準(zhǔn)的關(guān)系《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T25058-2010)規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的過(guò)程，適用于指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施。本標(biāo)準(zhǔn)以GB/T250