ICS 35.240 L67 保 DB5305 山 市 地 方 标 准 DB 5305/T 19.48—2019 替代 DG5305/T 19.48—2017 保山市信息惠民工程综合标准 第 48 部分:信息惠民工程项目信息安全管 理办法 2019 - 10 - 30 发布 保山市市场监督管理局 2019 - 11 - 01 实施 发 布 DB5305/T 19.48—2019 前    言 本标准按照GB/T 1.1—2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则起草。 本标准由保山市大数据管理局提出。 本标准由保山市工业和信息化委员会归口。 本标准起草单位：保山市大数据管理局。 本标准主要起草人：刘志胡、王明超、李祖燕、丁威、袁建雄、李家晓。 本标准替代DG5305/T 19.48—2017。 DB5305/T 19.48—2019 保山市信息惠民工程综合标准 第48部分 信息惠民工程项目信息安全管理办法 1 范围 本标准规定了保山市信息惠民工程项目信息安全管理的术语和定义、信息安全管理总则、信息安全 规划设计、信息安全建设实施、信息安全运行管理、信息安全绩效考核、信息安全违规处理，本标准适 用于保山市信息惠民工程项目安全管理建设。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 22240 信息安全技术 信息系统安全等级保护定级指南 GB/T 25070 信息安全技术 信息系统等级保护安全设计技术要求 GA/T 390 计算机信息系统 安全等级保护通用技术要求 BMZ3 涉及国家秘密的计算机信息系统安全保密测评指南 BMB22 涉及国家秘密的计算机信息系统分级保护测评指南 信息安全等级保护管理办法 关于大力推进信息化发展和切实保障信息安全的若干意见 云南省网络与信息系统安全监察管理规定 DB5305/T 19.3-2019 保山市信息惠民工程综合标准 术语 DB5305/T 19.49-2019 保山市信息惠民工程综合标准 权限管理与登录技术标准 DB5305/T 19.50-2019 保山市信息惠民工程综合标准 数字证书技术应用标准 3 术语和定义 DB5305/T 19.3-2019 确立的以及下列术语和定义适用于本标准。 3.1 信息安全管理 信息安全管理指为保障信息系统、数据、计算机网络及相关配套设施安全稳定、持续运行而采取的 系列措施和活动。 3.2 信息安全测评 信息安全测评是信息安全等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和 技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 3.3 分级保护测评 分级保护测评是涉密分级保护测评机构依据国家秘密信息系统安全等级保护制度规定，按照有关管 理规范和技术标准，对涉及国家秘密信息系统安全分级保护状况进行检测评估的活动。 3.4 风险评估 风险评估指在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各 1 DB5305/T 19.48—2019 个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带 来的影响或损失的可能程度。从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有 的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。 3.5 证书认证机构（CA） 证书认证机构（CA）指负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创 建密钥。 3.6 安全认证 安全认证指由可以充分信任的第三方证实某一经鉴定的产品或服务符合特定标准或规范性文件的 活动。 3.7 网络信任体系 网络信任体系指通过身份认证、授权管理和责任认定来建立的电子政务网络信任体系，以保障网络 中的信息系统的信息安全。 4 总则 4.1 信息安全管理原则 电子政务和信息惠民工程信息安全管理按统一领导、统筹规划、强化管理、使用高效、重在防范、 全面审查的原则。 4.2 信息安全管理职责 创建工作领导小组负责统筹协调和指导全市电子政务和信息惠民工程项目的信息安全管理工作。按 照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的格式，各单位负责本单位电子政务和信息惠民工 程项目的信息安全管理，建立健全信息安全管理机构和工作责任制，明确主管领导和安全责任人。 5 信息安全规划设计 5.1 信息安全方案 电子政务和信息惠民工程各信息系统建设应遵守国家、省、市有关信息安全和保密规定，参照 GB/T 25070 等国家相关标准规范，同步规划、同步设计系统的信息安全保障方案。 5.2 信息安全投资 电子政务和信息惠民工程各信息系统建设（含新建、改建）和运行维护中用于信息安全保障方面的 投入应不低于信息系统建设投资总额的 10%。 5.3 信息安全等级保护 信息系统安全实行等级保护制度，各单位应在规划设计阶段依据 GB/T 22240 对信息系统自主定级， 并将定级报告和信息安全保障方案报送各级信息化主管部门，作为信息化项目立项审核依据之一。涉及 国家秘密信息系统应报市保密工作主管部门审批。 6 信息安全建设实施 6.1 信息安全保障系统建设 2 DB5305/T 19.48—2019 电子政务和信息惠民工程各信息系统应严格按照通过信息化项目立项审核后的规划和设计方案，同 步建设信息安全保障系统。 6.2 信息安全产品和服务选择 建设电子政务和信息惠民工程各信息系统应选用具有国家主管部门认可资质的安全产品和服务，确 保信息安全自主可控。鼓励选用国产设备和软件。 6.3 信息安全验收测评 电子政务和信息惠民工程各信息系统应经创建工作领导小组组织的信息安全测评和验收，通过后方 可投入使用。涉密信息系统应经市保密工作主管部门组织的分级保护测评，通过后方可投入使用。信息 安全测评和分级保护测评应按 GA/T 390、BMZ3、BMB227 等相关国家或行业标准。 7 信息安全运行管理 7.1 信息安全队伍建设 各单位应建立健全信息安全运行、维护管理制度和人员队伍，设置专职信息安全人员。信息安全人 员应通过创建工作领导小组组织的信息安全培训和考核，持证上岗。涉密信息系统的人员管理按保密工 作主管部门有关规定。 7.2 安全监测机制建设 各单位应建立本单位信息系统的安全监测机制，并纳入全市的统一监测管理，发现问题应当及时向 信息化主管部门报告并采取处理措施。 7.3 信息安全报送机制建设 各单位应建立信息安全报送机制，每半年向信息化主管部门报送信息安全状况。 7.4 信息安全自查 各单位应每年至少开展一次信息安全自查，对信息系统进行风险评估，发现问题，及时整改，并将 自查结果报送信息化主管部门。创建工作领导小组每年开展全市信息系统信息安全检查。 7.5 信息安全整改 信息系统因发生重大安全事件或发现重大安全隐患而下线整改的，整改后应经创建工作领导小组组 织的信息安全测评，通过后方可恢复上线运行。 7.6 信息安全应急处置 各单位应组建信息安全应急处置小组，就本单位的应用系统、数据和网络及其它配套设施制定信息 安全事件应急预案，每年至少组织一次信息安全应急演练。 7.7 重要数据备份 重要信息数据应进行备份，每年至少组织一次灾难恢复演练。 7.8 安全认证体系建设 电子政务和信息惠民工程各应用系统建设应按 DB5305/T 19.49-2019、DB5305/T 19.50-2019 及省 市 CA 认证系统相关管理办法，加强信息系统安全认证，建立健全政务网络信任体系。 3 DB5305/T 19.48—2019 7.9 数据保密规定 各单位应严格控制电子政务数据和介质的废弃、销毁过程，其中涉密系统应按国家保密格式执行。 7.10 信息安全教育 各单位应加强信息安全教育，定期组织信息安全宣传教育活动，增强单位人员信息安全意识。 8 信息安全绩效考核 全市建立信息惠民工程信息安全绩效考核制度，创建工作领导小组每年负责对各单位信息安全绩效 进行考核评分，于每年第一季度公布上一年度的安全绩效考核结果。 9 信息安全违规处理 对于在信息惠民工程项目的设计、建设、运行过程中违反本标准规定的信息安全准则的各种行为， 由创建工作领导小组或司法机关处理，根据情节轻重分别处理包括但不限于： ——有违反本标准规定行为的，由创建工作领导小组责令其限期改正； ——逾期不改正的，由创建工作领导小组给予通报批评； ——情节严重且未完成改正的不能申请下一年度财政信息化投资申请； ——造成重大损失的，依法追究责任单位主要负责人和有关责任人员的行政责任； ——涉嫌犯罪的，移送司法机关依法追究刑事责任。 _________________________________ 4