GB/T 37095-2018 信息安全技术 办公信息系统安全基本技术要求

1 范围

      本标准规定了办公信息系统的安全基本技术要求。

      本标准适用于指导党政部门的办公信息系统建设，包括在系统设计、产品采购、系统集成等方面应遵循的基本原则，以及应满足的基本技术要求。涉密办公信息系统的建设管理依据相关国家保密法规和标准要求实施。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 2887-2011 计算机场地通用规范

      GB/T 18018 信息安全技术 路由器安全技术要求

      GB 18030-2005 信息技术 中文编码字符集

      GB/T 20272 信息安全技术 操作系统安全技术要求

      GB/T 20273 信息安全技术 数据库管理系统安全技术要求

      GB/T 20275-2013 信息安全技术 网络入侵检测系统技术要求和测试评价方法

      GB/T 20281-2015 信息安全技术 防火墙技术要求和测试评价方法

      GB/T 21028-2007 信息安全技术 服务器安全技术要求

      GB/T 21050-2007 信息安全技术 网络交换机安全技术要求（评估保证级3）

      GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求

      GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求

      GB/T 25069-2010 信息安全技术 术语

      GB/T 26856-2011 中文办公软件基础要求及符合性测试规范

      GB/T 28452-2012 信息安全技术 应用软件系统通用安全技术要求

      GB/T 29240-2012 信息安全技术 终端计算机通用安全技术要求与测试评价方法

      GB/T 33190-2016 电子文件存储与交换格式 版式文档

3 术语和定义

      GB/T 25069-2010界定的以及下列术语和定义适用于本文件。

3.1

      办公信息系统 office information system

      由服务器、桌面PC、操作系统、数据库管理系统、应用服务器中间件、办公软件、网络设施、应用软件系统等软硬件组成，通过数据的收集、存储、传递、管理和处理等手段，提供办公服务的信息系统。

3.2

      用户相关信息 user related information

      使用办公信息系统的自然人或法人的信息及其元数据。

      注：用户相关信息包括用户个人信息，办公信息系统中用户生成的文档、程序、多媒体资料，用户通信的内容、地址、时间，产品的配置、运行及位置数据等。

3.3

      第三方测试机构 third party test organization

      与产品供应方、产品应用方等相关各方均独立的专业测试机构。

4 缩略语

      下列缩略语适用于本文件。

      BIOS：基本输入输出系统（Basic Input Output System）

      CA：认证授权（Certificate Authority）

      CPU：中央处理器（Central Processing Unit）

      PC：个人计算机（Personal Computer）

      USB：通用串行总线（Universal Serial Bus）

5 基本原则

5.1 标准符合原则

      办公信息系统所采用的软硬件产品在功能性、性能、可靠性、安全性等方面应符合相关的国家标准。

5.2 开放兼容原则

      办公信息系统所采用的软硬件产品应在同类产品之间可替换，并支持两种或以上操作系统架构，相关产品之间应具备良好的兼容适配性，保证办公信息系统的互操作性和可移植性。

5.3 安全性原则

      办公信息系统软硬件产品提供商应当为其产品、服务持续提供安全维护；不得在产品中预置、加载禁用安全机制或绕过安全机制的功能；承诺在产品维护升级更新活动中，不侵害用户信息安全；收集用户个人敏感信息前，应取得用户的明示同意；不将搜集掌握的用户相关信息在境外存储和处理，不得泄退止提供安全维护。

6 技术要求

6.1 概述

      本章对办公信息系统部署和运维的物理环境提出了要求，并对办公信息系统的重要组成部分，包括基础软硬件产品、网络设施、应用软件系统提出了要求。

6.2 通用要求

      办公信息系统应按照GB/T 22239-2008的第三级及以上要求进行设计、建设和运维。

6.3 物理环境

      办公信息系统的物理环境应满足以下要求：

      a）办公信息系统部署、运维的机房建设应符合GB/T 2887-2011的相应要求；

      b）办公信息系统部署、运维的物理环境应符合GB/T 21052-2007的相应要求。

6.4 基础软硬件产品

6.4.1 硬件产品

6.4.1.1 服务器

6.4.1.1.1 服务器硬件指标

      服务器硬件指标应符合GB/T 21028-2007中第三级及以上安全要求。

6.4.1.1.2 BIOS

      服务器的BIOS要求主要包括：

      a）BIOS的配置界面应支持中文显示；

      b）BIOS应支持固件软件安全升级；

      c）针对CPU及芯片组固件驱动、操作系统内核等，BIOS应支持上述设备经过国家认可的第三方CA机构颁发的代码签名验证。

6.4.1.2 桌面PC

6.4.1.2.1 桌面PC硬件指标

      桌面PC硬件指标主要包括：

      a）应符合GB/T 29240-2012中安全技术要求第三级及以上要求；

      b）应提供禁止无线网络模块、红外模块、蓝牙模块、接入USB设备的功能。

6.4.1.2.2 BIOS

      桌面PC的BIOS要求主要包括：

      a） BIOS的配置界面应支持中文显示；

      b）BIOS应支持固件软件安全升级；

      c）针对CPU及芯片组固件驱动、操作系统内核等，BIOS应支持上述设备经过国家认可的第三方CA机构颁发的代码签名验证。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。