《邮政业信息系统安全等级保护实施指南》.doc

《邮政业信息系统安全等级保护实施指南》

（征求意见稿）

编制说明

标准起草组

2018年2月

一、项目来源

2014年3月，国家邮政局政法简函【2014】18号下达了《邮政业信息系统安全等级保护实施规范》制定任务，包括定级指南、基本要求和实施指南三部分内容。

顺丰速运（集团）有限公司在完成《邮政业信息系统安全等级保护定级指南》（YZ/T0142-2015）和《邮政业信息系统安全等级保护基本要求》（YZ/T0152-2016）行业标准的基础上，着手启动《邮政业信息系统安全等级保护实施指南》标准的编制，深圳职业技术学院一同参与标准起草工作。该标准由国家邮政局提出，全国邮政业标准化技术委员会归口。

二、标准制定的目的及意义

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。目前，我国已经形成了比较完整的信息安全等级保护标准体系，相关标准分为基础、应用、产品和其他等四大类。

近年来，我国邮政业发展迅速，企业数量大幅增加，业务规模持续扩大，服务水平不断提升，在降低流通成本、支撑电子商务、服务生产生活、扩大就业渠道等方面发挥了积极作用。随着邮政业的不断发展，邮政业各类信息系统的建设步伐日益加快。由于邮政业信息系统一般具有结构复杂、节点众多、敏感信息量大等特点，信息系统的安全问题日益凸显。确保信息系统的安全运行已经成为邮政业信息化建设的重要考虑因素，也对信息系统的运行和维护提出了更高要求。

根据《信息系统安全等级保护基本要求》(GB/T22239-2008)《信息系统安全等级保护实施指南》（GB/T25058-2010）《邮政业信息系统安全等级保护定级指南》（YZ/T0142-2015）和《邮政业信息系统安全等级保护基本要求》（YZ/T0152-2016）等标准的相关要求，结合邮政行业特点以及信息系统安全建设需要，按照突出流程、突出实用性的原则，制定《邮政业信息系统安全等级保护实施指南》。该标准对邮政业信息系统提出等级保护安全实施过程要求，能够更好地服务于邮政业信息系统的等级保护建设、运行和维护等工作，对于建立健全邮政业信息系统安全保护制度，提高邮政业信息系统的安全防范能力，落实安全责任，加强监督检查具有重要意义。

三、主要工作过程

按照标准要求和项目组的进度计划，编制主要工作过程如下：

（一）成立起草组

2016年11月，标准起草组成立。起草组经过分析研究，制定了详细的工作计划和调研提纲，开始资料收集工作。

（二）编写初稿

2017年2月起，标准起草组分析现有相关标准资料，结合企业实际情况，编写形成框架稿。2017年4月，标准起草组根据国家邮政局政策法规司提出的修改意见和建议，对标准内容进行了调整，形成标准初稿。

（三）开展调研研讨

2017年9月，标准起草组组织召开标准研讨会，与申通、圆通、中通、宅急送、百世汇通、韵达、天天、优速、德邦、DHL等快递企业进行调研座谈，了解快递企业开展等级保护相关情况，分析工作流程等实施需求。

（四）形成征求意见稿

2018年2月，标准起草组根据研讨情况，对标准的主要内容进行修改，形成征求意见稿。

四、标准编制原则

标准参照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写规则》和GB/T1.2-2002《标准化工作导则第2部分：标准中规范性技术要素内容的确定方法》的编写要求，按照以下原则编写。

1.连贯性

该标准在YZ/T0142-2015和YZ/T0152-2016行业标准出台的基础上，提出安全等级保护实施要求，保证了内容与相关标准的接轨，进一步优化了邮政业信息安全标准体系，满足了现实需要。

2.适用性

标准充分考虑邮政行业实际特点，在内容上规定了邮政业新建和已建信息系统安全等级保护实施过程中的定级、备案、安全建设整改、等级测评、安全运维和系统终止等环节的实施要求。适用于指导邮政业信息系统安全等级保护工作的实施。

3.通用性

标准考虑到行业企业信息化水平差异，尽可能从新建系统和已建系统具体工作中选取共性指标。通过求同存异，整体反应不同企业信息系统的等级保护情况。

4.可操作性

本标准规定的实施要求，在顺丰公司的实际新建系统和已建系统中进行了实施验证。结果表明，可以解决人员对等级保护过程流程不熟悉、内容不清楚、过程不标准等问题，可以用来指导邮政业信息系统安全等级保护工作的实施。同时，在备注或附录中对一些工作进行了详细解释，提出邮政业信息系统安全等级保护安全建设方案便于企业操作。

五、标准主要内容

本标准的编制主要考虑了以下