1、 ICS 35.040 L 80 道B中华人民共和国国家标准GB/T 29245-2012 信息安全技术政府部门信息安全管理基本要求Information security techniques-Basic requirements of information security for national department 2012回12-31发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会2013-06-01实施发布G/T 29245-2012 目次咱indnLnLnL呵dndqaqaqaqaaAaaaaaaFHUFOTiHU 理理理理理管理管管管管护管理理uuuuuu
2、理u护护护护防护理训件管管管防防防防机防管培文织全求理理理理障护求界统站件算质急育查用组安要管管管管保防要边系网邮计介应教检引全息本员产购包费全本络息户子端储全全全性安信基人资采外经安基网信门电终存安安安自围范息常息息息息性范规信日JJ3456信1234JJJ信信信时言言444444tttt555考前引12345678参GB/T 29245-2012 前吉同本标准按照GB/T1. 1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准主要起草单位z中国电子技术标准化研究所、中国软件评测中心。本标准主要起草人z杨建军、罗锋盈、王延鸣、高炽扬、朱璇
3、、唐旺、傅如毅、朴献国、梁博。I GB/T 29245-2012 51 本标准的编制主要是为指导各级政府部门的信息安全管理工作以及信息安全检查工作,保障政府机关各部门各单位信息和信息系统的安全。E GB/T 29245-2012 1 范围信息安全技术政府部门信息安全管理基本要求本标准规定了政府部门信息安全管理基本要求,用于指导各级政府部门的信息安全管理工作。本标准中涉及保密工作的,按照保密法规和标准执行s涉及密码工作的,按照国家密码管理规定执行。本标准适用于各级政府部门,其他单位可以参考使用。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
4、件。凡是不注日期的引用文件,其最新版本(包括所有的修改单适用于本文件。GB/T 20984-2007 信息安全技术信息安全风险评估规范GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南3 信息安全组织管理本项要求包括zd 应加强领导,落实责任,完善措施,建立健全信息安全责任制和工作机制zb) 应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件Fc) 应指定一个机构,具体承担信息安全管理工作,负责组织落实信
5、息安全管理制度和信息安全技术防护措施,开展信息安全教育培训和监督检查等5d) 各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。信息安全员应当具备较强的信息安全意识和工作责任心,掌握基本的信息安全知识和技能。4 日常信息安全管理4. 1 基本要求本项要求包括za) 应制定信息安全工作的总体方针和目标,明确信息安全工作的主要任务和原则zb) 应建立健全信息安全相关管理制度,加强技术支撑手段建设,提高信息安全管理工作的信息化水平sc) 应加强对人员、资产、采购、外包等的安全管理,并保证信息安全工作经费投入。4.2 人员管理本项要求包括z1 GB/T 29245-201
6、2 a) 应建立健全岗位信息安全责任制度,明确岗位及人员的信息安全责任。重点岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任zb) 应制定并严格执行人员离岗离职信息安全管理规定,人员离岗离职时应终止信息系统访问权限,收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书zc) 应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存Fd) 应对信息安全责任事故进行查处,对违反信息安全管理规定的人员给予严肃处理,对造成信息安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。4.3
7、资产管理本项要求包括=a) 应建立并严格执行一一b) 应指定专人负责资产c) 应建立资产第艇(清算),统一编号、统一标识、统一发放pd) 应及时记最资芹仪态和使用情况,保证账物相符ze) 应建立并俨梅筑行设备维修维护和报废管理制度.、44:LfLi/i a)瞅瞅佳可控的信息技术附和服务,制怕她问;J b)时用计制、服仰等设备的更新换代t中,应采购配备安全可控町、瞅瞅等的关键软硬#川J/lljj c)公桦林件、信息全产品创拌可控向伊拉产品哗过家1证1d) 接受指赠的信息技术f品,使用前应在安全测坪¥并与捐赠方签订信息安是与侃密协议ze)不得相岭第才认证机构提供的信息始管理体系认证服务sf) 信息
8、系就数据申心、支备中心石得设立在境外,4.5 外包管理本项要求包括Ea)应建立并严格执即在求飞气b) 应与信息技术外包服旁瓷钻商签订服务合再和信窟安全与保锺协议,明确信息安全与保密责任,要求服务提供商不得剧院辛悔不提泄露T扩转证服务过程中获知的敏感信息,不得占有服务过程中产生的任何资产,不得以服务为由强制要求委托方购买、使用指定产品zc) 信息技术现场服务过程中应安排专人陪同,并详细记录服务过程sd) 外包开发的系统、软件上线应用前应进行安全测评,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务z。信息系统运维外包不得采用远程在线运维服务方式sf) 应将信息技术外包服务安全管理纳入年度
9、信息安全检查范围。4.6 经费保障2 本项要求包括za) 应将信息安全设施运行维护、日常信息安全管理、信息安全教育培训11、信息安全检查、信息安全风险评估、信息系统等级测评、信息安全应急处置等费用纳入部门年度预算zf7 GB/T 29245-2012 b) 应严格落实信息安全经费预算,保证信息安全经费投入。5 信息安全防护管理5. 1 基本要求开展信息化建设应按照同步规划、同步建设、同步运行的原则,同步规划、设计、建设、运行、管理信息安全设施,建立健全信息安全防护体系。5.2 网络边界防护管理b) c) d) 本项要求包括za) 应使用gov.四、政务.四或政务域名zb) 网站开通前,应组织专
10、业技术机构进行安全测评,对新增应用要进行安全评估Ec) 应定期对网站链接进行安全性和有效性检查pd) 应采取必要的技术措施,提高网站防篡改、防攻击能力,加强网站敏感信息保护zd 应建立完善网站信息发布审核制度,明确审核程序,严格审核流程。5.5 电子邮件防妒管理本项要求包括sa) 应加强电子邮箱系统安全防护,采取反垃圾邮件等技术措施Fb) 应规范电子邮箱注册管理,原则上只限于本部门工作人员注册使用Fc) 应严格邮箱账户及口令管理,采取技术和管理措施确保口令具有一定强度并定期更换。3 GB/T 29245-2012 5.6 终端计算机防护管理本项要求包括za) 应采用集中统一管理方式对终端计算机
11、进行管理,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀,统一进行漏洞扫描zb) 应采取必要的技术手段,规范和加强终端计算机使用行为管理zc) 应规范软硬件使用,不得擅自更改软硬件配置,不得擅自安装软件zd) 应加强账户及口令管理,使用具有一定强度的口令并定期更换Fe) 应对接人互联网的终端计算机采取控制措施,包括实名接人认证、IP地址与MAC地址绑定等Ef) 应定期对终端计算机进行安全审计zg) 非涉密计算机不得存储和处理国家秘密信息。5. 7 存储介质防护管理本项要求包括zd 应严格存储阵列、磁带库等大容量存储介质的管理,采取技术措施防范外联风险,确保存储数据安全zb) 应对
12、移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况FO 非涉密移动存储介质不得存储涉及国家秘密的信息,不得在涉密计算机上使用sd) 移动存储介质在接入本部门计算机和信息系统前,应当查杀病毒、水马等恶意代码ze) 应配备必要的电子信息消除和销毁设备,对变更用途的存储介质要消除信息,对废弃的存储介质要进行销毁。6 信息安全应急管理本项要求包括zd 应建立健全信息安全应急工作机制,提高应对信息安全事件的能力,预防和减少信息安全事件造成的损失和危害zb) 应制定信息安全事件应急预案,原则上每年评估一次,并根据实际情况适时修订Fc) 应组织开展应急预案的宣贯培训,确保相关人员熟悉应
13、急预案zd) 每年应开展信息安全应急演练,检验应急预案的可操作性,并将演练情况报信息安全主管部门ze) 应建立信息安全事件报告和通报机制,提高预防预警能力zO 应明确应急技术支援队伍,做好应急技术支援准备zg) 应做好信息安全应急物资保障,确保必要的备机、备件等资源到位zh) 应根据业务实际需要对重要数据和业务系统进行备份。7 信息安全教育培训4 本项要求包括za) 应加强信息安全宣传和教育培训工作,提高信息安全意识,增强信息安全基本防护技能Fb) 应建立信息安全教育培训制度,把信息安全教育作为工作人员上岗、干部培训11、业务学习的重要内容p,、F 4 . d G/T 29245-2012 c
14、) 应定期开展信息安全管理人员和技术人员专业技能培训,提高信息安全工作能力和水平Ed) 应把信息安全防护基本技能纳入工作考核范围,并作为干部任用的重要条件;e) 应记录并保存信息安全教育培训11、考核情况和结果。8 信息安全检查本项要求包括zu 应认真组织开展信息安全检查工作,掌握信息安全总体状况和面临的威胁,查找安全隐患,墙塞安全漏洞,完善安全措施,减少安全风险,提高安全防护能力zb) 应每年进行一次全面的信息安全检查,重点检查办公系统、业务系统、门户网站的安全防护情况zc) 应加强检查工作组织领导,建立检查工作责任制,制定检查工作方案并认真落实zd) 应重视安全技术检测,采取必要的技术检测
15、手段对信息系统、门户网站、服务器、终端设备、终端计算机等进行安全检测。可根据需要委托符合要求的检测机构进行技术检测ze) 应加强安全检查过程中的保密管理和风险控制,严格检查人员、有关文档和数据的安全保密管理,制定安全检查应急预案,确保被检查信息系统的正常运行zf) 应对安全检查中发现的问题进行分析研判,制定整改措施并及时整改zg) 应对年度安全检查情况进行全面总结,按照要求如实完成检查报告并报信息安全主管部门。5 GB/T 29245-2012 6 参考文献1J GB/T 20271-2006信息安全技术信息系统通用安全技术要求2J GB/T 20270-2006 信息安全技术网络基础安全技术
16、要求3J GB/T 20282-2006 信息安全技术信息系统安全工程管理要求4J 国信办(2006)5号关于开展信息安全风险评估工作的意见5J 公通字(2007)43号关于印发信息安全等级保护管理办法的通知6J 公信安(2007)861号关于开展全国重要信息系统安全等级保护定级工作的通知7J NIST FIP5-200 联邦信息与信息系统最小安全要求8J NIST SP 800-53:2002 联邦信息系统推荐安全控制9J 工信部联协(2010)394号关于加强信息安全管理体系认证安全管理的通知口OJ财库(2010)48号关于信息安全产品实施政府采购的通知口1J国办发【2010)47号国务院
17、办公厅关于进一步做好政府机关使用正版软件工作的通知、F、. F 二f, NFON|的守NNH阁。 华人民共和国家标准信息安全技术政府部门信息安全管理基本要求GB/T 29245-2012 国中* 中国标准出版社出版发行北京市朝阳区和平里西街甲2号。00013)北京市西城区三旦河北街16号(10004日4 、网址总编室:(010)64275323发行中心:(010)51780235读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 印张0.75字数12千字2013年4月第一次印刷开本880X12301/16 2013年4月第一版* 书号:155066. 1-46894定价16.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68510107打印日期:2013年5月7日F002A