《林业系统信息安全评估准则》 编制说明 《林业系统信息安全评估准则》编制组 2012-10-29 一 任务来源 信息安全等级保护制度是国家信息安全保障工作的基本制度,开展信息安全等 级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关国家安 全、社会稳定的政治任务。 1994 年，国务院 147 号令《中华人民共和国计算机信息系统安全保护条例》 规定“计算机信息系统实行安全等级保护”；2003 年《国家信息化领导小组关于加 强信息安全保障工作的意见》（中办发[2003]27 号）的出台明确提出了 “要重点 保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统， 抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。 为了贯彻落实 147 号令和 27 号文的要求，公安部等四部委制定了《信息安全等级 保护管理办法》（公通字[2007]43 号），该文件由四部委共同会签印发，主要内容 包括信息安全等级保护制度的基本内容、流程及工作要求，以及信息安全等级保护 建设的几个环节，包括：信息系统定级、备案、安全风险评估及差距分析、安全建 设整改、等级测评的实施与管理，信息安全货物(设备或产品)和测评机构选择等， 为开展信息安全等级保护工作提供了规范保障。2005 年发布的《关于信息安全等 级保护的实施意见》（公通字 [2005] 66 号），确立了等级保护作为国家信息安全 保障的基本制度，指出“信息系统安全等级保护制度是国家在国民经济和社会信息 化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共 利益，保障和促进信息化建设健康发展的一项基本制度”。2010 年发布的《关于推 动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安 [2010] 303 号）明确指出， “督促信息系统备案单位尽快委托测评机构开展等级测评，2010 年底前完成测评体系建设，并完成 30%第三级（含）以上信息系统的测评工作，2011 年底前完成第三级（含）以上信息系统的测评工作，2012 年底之前完成第三级（含） 以上信息系统的安全建设整改工作。” 2008 年由国家发展改革委、中华人民共和国公安部和国家保密局联合发布的 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技 —1— [2008]2071 号）文件中，明确指出国家电子政务工程建设项目需要开展信息安全 风险评估及信息安全等级保护测评工作，并在项目验收时提交信息系统安全保护等 级备案证明、相应等级的测评报告。 林业系统信息安全评估准则依据国家相关信息安全政策及技术标准，结合国家林 业系统实际情况，编制一套完整、全面覆盖整个林业信息系统的安全评估准则，为林 业信息系统的建设发展奠定基础。 二 建设目标 融合信息安全国家等级保护要求与林业业务系统安全要求，建立覆盖技术、管理、 运维各环节的林业信息安全指标体系，形成《林业信息系统安全评估准则》行业标准， 为林业信息系统安全提供长效性和一致性的行业指标基准，促进林业信息系统安全监 管，提高信息安全管理和安全运维水平。 三 编制原则与依据 （一）编制原则 1.全面性：要充分地将林业信息化建设所需的各项标准分门别类地纳入相应的体 系表中，使这些标准相互统一、互相配套，构成一个完整、全面的整体，使用户方便 地通过该体系表找到所需的标准或知晓所需标准当前所处的状况，做到有的放矢，减 少盲目性，保证相应的应用系统的通用性，减少不必要的转换和对照，并节省系统的 开销。 2.系统性：对国内外的现有的和正在制定的相关信息化标准进行梳理、归纳和分 类，恰当地将不同适用范围的标准安排在不同的层次上，体现系统性；按标准的功用 和内容进行分类，做到层次分明，结构合理。 3.先进性：要考虑技术进步和林业可持续发展。符合相关的国际标准、国家标准 和国家电子政务标准；采用先进的标准设计技术；具有科学性和先进性。 —2— 4.适用性：既要注重标准体系分类科学、合理性，又要全面满足各级林业部门信 息化建设与管理的需要。重点关注信息资源、信息共享、应用服务、信息安全、基础 设施等方面的实际需要，建立符合林业信息化发展的现状及发展趋势的标准体系。 5.可扩充性：随着信息新技术发展和需求的变化，不断更新、完善和扩充林业数 据库总体设计规范。 （二）编制依据 《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008） 四 主要工作过程 林业数据库总体设计规范的研究工作于 2012 年 4 月启动，成立了编制小组。 （一）资料收集整理，制定编制方案 2012 年 4 月开始收集整理与本规范相关的国内、行业、地方标准规范，为本规 范的编制提供参考。 编制小组在调研、分析的基础上，结合林业信息化的现状和规划的需求，对国内 的现有的和正在制定的相关标准规范进行了梳理、归纳和分类，并制定了《林业系统 信息安全评估准则》。 （二）方案论证，明确思路和内容 讨论小组于 2012 年 5 月四次对《林业系统信息安全评估准则》进行论证，进一 步明确具体内容，确保符合全国林业信息化建设发展的总体要求。 （三）编制初稿，形成征求意见稿 2012 年 4 月-2012 年 6 月《林业系统信息安全评估准则》编制小组在以上工作的 基础上，编制小组内部进行了多次讨论和反复修改，完成了本准则的初稿。2012 年 7 月-2012 年 10 月征求标准总体组的意见，标准总体组组织有关专家对本规范初稿进行 —3— 了共 3 次讨论，本标准编制小组进行了反复修改完善。2012 年 10 月 30 日形成《林业 系统信息安全评估准则》征求意见稿。 五 主要内容 《林业系统信息安全评估准则》主要明确了林业信息系统建设和等级测评各阶段 工作的具体内容和要求，以及文档要求。 《林业系统信息安全评估准则》由前言、引言、9 章和 2 个附录组成。 （1）前言：列出准则的起草单位和部门等。 （2）引言：准则编写的出处及内容的概括。 （3）范围：明确《林业系统信息安全评估准则》的内容范围 （4）规范性引用文件：列出了本本规范所引用的规范性引用文件。 （5）术语与定义：给出了本规范所涉及的术语及其定义。 （6）林业行业信息系统安全等级保护概述：明确了林业行业信息系统安全保护 等级、不同等级的安全保护能力、基本技术要求和基本管理要求、基本技术要求的三 种类型。 （7）第一级基本要求及应对措施：明确了等级保护第一级的要求项和控制点的 具体内容。 （8）第二级基本要求及应对措施：明确了等级保护第二级的要求项和控制点的 具体内容。 （9）第三级基本要求及应对措施：明确了等级保护第三级的要求项和控制点的 具体内容。 （10）第四级基本要求及应对措施：明确了等级保护第四级的要求项和控制点的 具体内容。 （11）第五级基本要求及应对措施（略）。 （12）附录：包括资料性附录“关于林业行业信息系统整体安全保护能力的要求” 和“林业行业重要信息系统安全要求的选择和使用”。 —4—