烟草行业是我国的重要行业之一，其信息系统的安全性对于行业的稳定运行和发展至关重要。为了保障烟草行业信息安全，提高信息安全管理水平，本标准制定了烟草行业信息安全体系建设规范。

一、适用范围
本标准适用于烟草行业信息系统的安全管理和技术保障，包括烟草企业、烟草专卖机构、烟草科研机构等。

二、术语和定义
本标准中使用的术语和定义参照GB/T 20984-2007《信息安全技术 信息安全管理术语》。

三、信息安全管理
1.信息安全管理体系
烟草行业应建立信息安全管理体系，明确信息安全管理的目标、任务、职责、权限和工作流程，确保信息安全管理的有效性和连续性。
2.信息安全政策
烟草行业应制定信息安全政策，明确信息安全的基本要求和管理原则，确保信息安全管理的一致性和有效性。
3.信息安全风险评估
烟草行业应对信息系统进行风险评估，确定信息安全风险等级，制定相应的安全措施，确保信息系统的安全性。
4.信息安全培训
烟草行业应对信息安全管理人员和用户进行信息安全培训，提高信息安全意识和技能，确保信息安全管理的有效性和连续性。

四、信息安全技术
1.网络安全技术
烟草行业应采用网络安全技术，包括网络防火墙、入侵检测系统、网络安全监控系统等，确保网络的安全性。
2.数据安全技术
烟草行业应采用数据安全技术，包括数据备份、数据加密、数据恢复等，确保数据的安全性。
3.身份认证技术
烟草行业应采用身份认证技术，包括密码认证、生物特征认证等，确保用户身份的真实性和合法性。
4.安全审计技术
烟草行业应采用安全审计技术，对信息系统的安全性进行监控和审计，及时发现和处理安全事件。

五、信息安全应急管理
1.应急预案
烟草行业应制定信息安全应急预案，明确应急响应流程和应急处置措施，确保信息安全事件的及时处理和控制。
2.应急演练
烟草行业应定期进行信息安全应急演练，提高应急响应能力和处置水平，确保信息安全事件的有效处理和控制。
3.应急响应
烟草行业应及时响应信息安全事件，采取相应的应急措施，防止信息安全事件的扩散和影响。

相关标准
GB/T 20984-2007 信息安全技术 信息安全管理术语
GB/T 22239-2008 信息安全技术 信息安全评估指南
GB/T 25070-2010 信息安全技术 信息安全管理规范
GB/T 28448-2012 信息安全技术 信息安全事件管理指南
GB/T 31139-2014 信息安全技术 信息安全管理体系要求