体标准
城镇供水信息系统安全规范
中 国 宇 航学 中国宇航学会标准化分会
目次
前言1范围2规范性引用文件3术语和定义4基本要求2保护原则4.1保障体系4.25安全等级划分与保护5.1 评估准则5.2 评估方法5.3 安全保护要求
前言
本标准由中国城市规划设计研究院提出,由中国宇航学会标准化分会组织编写,推荐各有关方使用.
请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任.至文件发布时标准起草单位给出的涉及专利包括:本标准不涉及专利.
本标准起草单位:中国城市规划设计研究院、国家信息中心软件评测中心、国家电子政务系统质量监督检验中心(北京新国信软件评测技术有限公司)、北京神舟航天软件技术有限公司、中国航天科工三院三O四所.
本标准主要起草人:牛晗、张志果、韩超、李荔、袁艺匀、苏文铮、焦向宇、劳继、陈宇亭、王联华、史启民、朱伯乐、王占峰、张军峰、陈立忠、纪刚、张毅斌、杨子辰、范文文、陈鹏飞、梁涛、耿艳妍、宋兰合、余忻、何琴、马雯爽、陶相婉、白静、刘德、李萌萌、张全斌、安玉敏、徐至澄.
联系方式:
中国宇航学会标准化分会:、yh_msc@.
T/YH7003-2020
城镇供水信息系统安全规范
1范围
本规范规定了城镇供水信息系统安全等级划分原则、安全保护原则与保障体系.本规范适用于城镇供水信息系统安全建设、运行与管理.
2规范性引用文件
下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅所注日期的版本适用于本文件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T22240信息安全技术信息系统安全等级保护定级指南GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求GB/T28448-2019信息安全技术网络安全等级保护测评要求GB/T34943C/C语言源代码漏洞测试规范软件GB/T34944Java语言源代码漏洞测试规范GB/T34946C#语言源代码漏洞测试规范
3术语和定义
GB/T22239-2019、GB/T22240、GB/T25070确定的以及下列术语和定义适用于本文件.
3.1
城镇供水信息系统urbanwatersupplyinformationsystem
基于计算机软硬件、网络与通信、地理信息系统、大数据分析等技术,管理城镇供水主管部门、城镇供水单位、城镇供水厂相关基础信息,采集原水水源地、水厂净水工艺、供水水量、供水管网、二次供水、实验室检测、在线监测的水质数据、供水服务、供水安全、供水单位信息化建设等信息,通过多部门信息共享、协同工作,实现信息的日常管理、预警管理、应急管理等功能,为城镇供水安全监督管理提供技术支撑的一种综合集成化的信息系统.
3.2
敏感信息sensitiveinformation
具有实际和潜在的利用价值,一旦遭到泄露或修改,会对标识的信息主体造成不良影响的信息.
3.3.
一般信息generalinformation
T/YH7003-2020
满足不同层次、不同部门间的交流与共用,从而合理地达到资源配置、节约成本、提高信息资源利用率等目的的信息.
4基本要求
4.1保护原则
4.1.1自主保护原则
应按照GB/T22239-2019要求,自主确定安全保护等级,组织实施安全保护.
4.1.2同步建设原则
应在信息系统新建或升级时同步制定安全保护方案.
4.1.3综合保护原则
应采用软硬件相结合的方式保障系统安全.
4.2保障体系
4.2.1安全管理体系
应包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等.明确安全管理责任人,落实安全责任制.
4.2.2安全运行体系
应能通过运行情况分析出存在的不足,为后期完善信息安全工作提供依据.
4.2.3安全技术体系
应采用身份鉴别、安全审计、访问控制、数据防护等多种安全技术手段.编写的软件代码,不应存在源代码漏洞.
5安全等级划分与保护
5.1评估准则
以“社会影响、系统损失、依赖程度”为评估准则,以“影响范围、影响程度、软硬件功能及信息的破坏、恢复系统正常运行付出的代价、消除安全事件负面影响付出的代价、业务效率的影响”为评估指标,对城镇供水信息系统进行安全评估.
5.1.1社会影响
其大小主要考虑社会秩序、经济建设和公众利益等方面的影响,见表1.
