ICS01.020 T CCSA00 体 标 准 才 T/CI505-2024 智慧科研机构安全体系建设导则 Guidelines for the construction of security system in smartresearch institutions 2024-09-18发布 2024-09-18实施 中国国际科技促进会 发布
目次 前言.. 11 1范围. 2规范性引用文件 3术语和定义, 4缩略语. 5智慧科研机构安全目标和原则. 5.1安全目标.... 5.2建设原则. 6智慧科研机构安全体系概述. 6.1智慧科研机构安全保护的对象 6.2智慧科研机构安全体系框架.
6.3智慧科研机构安全角色 6.4智慧科研机构安全要素. 7智慧科研机构安全管理. 7.1安全管理体系... 7.2信息安全管理制度.
7.3应急响应机制. 7.4人员安全意识培训和演练.. 7.5评价改进. 8智慧科研机构安全技术. 5 8.1技术要素. 8.2安全功能. 9智慧科研机构安全建设与运营... 9.1工程实施. 9.2过程管理.. 9.3监测预警与应急处置. 9.4灾备恢复. 附录A(资料性)智慧科研机构安全风险分析 10 附录B(资料性)智慧科研机构安全风险要素 133 附录C(资料性)智慧科研机构安全风险功能 15 12
前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规 则》的规定起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国国际科技促进会提出并归口.
本文件起草单位:国家信息技术安全研究中心、华为技术有限公司、工业和信息化部电 子第五研究所、北京可信华泰科技有限公司、北京新科时代传媒信息技术有限公司、北京国 科标研科技有限公司.
本文件主要起草人:梁利、李霞、李道政、朱洪波、刘岳、周风蛟、夏虹、陈平、于级、 徐欣、高辰杰、尚尔钧、张林虎.
13
智慧科研机构安全体系建设导则 1范围 本文件规定了智慧科研机构安全、体系的构成、体系建设的基本原则和目标、体系建设 的基本要求、建设流程.
本文件适用于从事自主创新技术研究的智慧型科研机构的安全体系建设.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期 的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括 的修改单)适用于本文件.
GB/T25069-2022信息安全技术术语 3术语和定义 GB/T25069-2022界定的以及下列术语和定义适用于本文件.
3. 1 智慧科研机构smartresearchinstitutions 基于知识构筑的智慧化组织,其组织、决策、运营、市场营销、管理和科研生产模式是 以知识应用为基础,以创新驱动发展为目的,具有自学习、自成长、自优化、自适应的特征, 是以自主创新为核心的新型科研机构.
3.2 智慧科研机构安全security ofsmartresearchinstitutions 在智慧科研机构中对信息的保密性、完整性和可用性的保持,以及依此提供的信息安全、 网络安全和运行安全.
3.3 智慧科研机构安全体系建设construction of safety systemof smartresearch institutions 通过建立健全的安全管理制度、技术防范体系和应急响应机制,确保科研机构的信息安 全,网络安全和运行安全.
3.4 智慧科研机构安全管理者security manager of smartresearchinstitutions 智慧科研机构信息安全组织建设、机制建设,以及协调监督的实体.
3.5 智慧科研机构安全建设者securitybuilderofsmartresearchinstitution 实施智慧科研机构信息安全工程,部署智慧科研机构安全技术防护措施的实体.
3.6 智慧科研机构安全运维者securityoperationandmaintenance personnelof smart research institutions 负责智慧科研机构安全事件的监测、预警、响应、应急处置和恢复的实体.
4缩略语 下列缩略语适用于本文件.
ICT:信息通信技术(Information and Communications Technology) 5安全目标和建设原则 5.1安全目标 围绕智慧科研机构安全保护对象,智慧科研机构安全提供者、安全管理者、建设者、安 全运维者等安全角色相互协作,实现以下安全目标: a)保证智慧科研机构信息系统安全运行,尤其是保证重要关键信息系统的可用性和可 靠性: b)保证智慧科研机构的数据资产的实在性、保密性、完整性、可用性和可靠性: c)保证智慧科研机构应用和服务的可用性、可靠性和可核查性: d)保证智慧科研机构整体安全的合理性、鲁棒性和可扩展性.
5.2建设原则 智慧科研机构安全体系建设应遵循以下原则: a)合法合规性原则.智慧科研机构安全体系的建设必须遵守国家相关法律法规,如《网 络安全法》、《数据安全法》和《个人信息保护法》等,确保安全措施和流程合 法有效.
b)全面性原则.
智慧科研机构安全体系应全面覆盖科研机构的方面,包括数据安 全、网络安全、物理安全、人员安全等,确保没有安全盲点.
c)分级分类原则.
智慧科研机构安全体系根据数据和资产的重要性、敏感性进行分类 分级,实施差异化的安全措施和策略.
d)风险导向原则.
基于风险评估的结果,确定智慧科研机构安全体系措施的优先级和 重点,有效分配安全资源.
e)动态适应性:安全体系应具备动态适应能力,能够及时响应新的安全威胁和挑战, 进行持续的改进和更新.
f)技术先进性原则.
采用先进的安全技术和解决方案,提高安全防护的能力和效率.
g)强化人员参与安全意识.
强化人员的安全意识和能力,确保每位科研人员都能参与 到安全体系建设中,形成全员参与的安全文化.
h)系统整合性原则.
实现与不同安全系统和措施的整合,形成协同一致的安全防护体 系.
i)可操作性原则.
制定切实可行的安全措施和操作流程,确保安全体系的有效执行.
j)可审计性原则.
确保安全体系的各个环节都具备可审计性,便于监督、检查和责任 追究.
k)开放与共享原则.
在保障智慧科研机构安全体系的前提下,推动数据和资源的开放 2
