信息系統(tǒng)安全等級保護(hù)實(shí)施指南介紹.ppt

信息系統(tǒng)安全等級保護(hù)實(shí)施指南介紹 目錄 概述等級保護(hù)的實(shí)施過程系統(tǒng)定級階段安全規(guī)劃設(shè)計(jì)階段安全實(shí)施 實(shí)現(xiàn)階段安全運(yùn)行管理階段系統(tǒng)中止階段 概述 背景實(shí)施指南的作用實(shí)施指南的使用對象與風(fēng)險管理之間的關(guān)系 概述 背景 1994年 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 的發(fā)布1999年 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GB17859 1999發(fā)布2003年 中央辦公廳 國務(wù)院辦公廳轉(zhuǎn)發(fā) 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見 27號文 2004年 四部委聯(lián)合簽發(fā)了 關(guān)于信息安全等級保護(hù)工作的實(shí)施意見 66號文 概述 背景 續(xù) 在 66號文 的職責(zé)分工和工作要求中指出 信息和信息系統(tǒng)的運(yùn)營 使用單位按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 確定其信息和信息系統(tǒng)的安全保護(hù)等級信息和信息系統(tǒng)的運(yùn)營 使用單位按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對新建 改建 擴(kuò)建的信息系統(tǒng)進(jìn)行信息系統(tǒng)的安全規(guī)劃設(shè)計(jì) 安全建設(shè)施工信息和信息系統(tǒng)的運(yùn)營 使用單位及其主管部門按照與信息系統(tǒng)安全保護(hù)等級相對應(yīng)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求 定期進(jìn)行安全狀況檢測評估國家指定信息安全監(jiān)管職能部門按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求 對信息和信息系統(tǒng)的安全等級保護(hù)狀況進(jìn)行監(jiān)督檢查 概述 背景 續(xù) 管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的作用 主管部門 監(jiān)督檢查 信息安全監(jiān)管職能部門 系統(tǒng)定級 安全保護(hù) 檢測評估 運(yùn)營 使用單位 安全服務(wù)商安全評估機(jī)構(gòu) 技術(shù)標(biāo)準(zhǔn) 管理規(guī)范 概述 背景 續(xù) 主要的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)管理規(guī)范 信息安全等級保護(hù)管理辦法 技術(shù)標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)實(shí)施指南 信息系統(tǒng)安全保護(hù)等級定級指南 信息系統(tǒng)安全等級保護(hù)基本要求 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 信息系統(tǒng)安全等級保護(hù)監(jiān)督檢查指南 概述 實(shí)施指南的作用 是信息系統(tǒng)實(shí)施等級保護(hù)的指南性文件 作為等級保護(hù)標(biāo)準(zhǔn)體系的指引文檔 貫穿整個等級保護(hù)工作的所有階段 規(guī)范和指導(dǎo)所有的安全活動 介紹信息系統(tǒng)實(shí)施等級保護(hù)的方法 不同的角色在不同階段的作用 概述 實(shí)施指南的使用對象 本指南的使用對象是 信息系統(tǒng)的主管單位 信息系統(tǒng)運(yùn)營 使用單位 信息系統(tǒng)安全服務(wù)商 信息安全監(jiān)管機(jī)構(gòu) 安全測評機(jī)構(gòu) 安全產(chǎn)品供應(yīng)商 概述 與風(fēng)險管理之間的關(guān)系 相同點(diǎn)都是對活動過程的管理 都闡明了對信息系統(tǒng)整個生命周期的管理 不同點(diǎn)風(fēng)險管理方法以 風(fēng)險 控制為核心 描述了風(fēng)險管理的主要活動過程 信息系統(tǒng)實(shí)施等級保護(hù)的思路是首先根據(jù)信息系統(tǒng)定級方法對信息系統(tǒng)進(jìn)行定級 根據(jù)安全級別確定基本安全保護(hù)措施 通過風(fēng)險分析補(bǔ)充其它需要的安全措施 構(gòu)成等級保護(hù)安全設(shè)計(jì)方案 并依據(jù)方案進(jìn)行安全工程實(shí)施 概述 與風(fēng)險管理之間的關(guān)系 續(xù) 二者之間關(guān)系在對信息系統(tǒng)實(shí)施等級保護(hù)的過程中 風(fēng)險管理是一種輔助手段 等級保護(hù)的相關(guān)標(biāo)準(zhǔn)對不同級別的信息系統(tǒng)提出了基本保護(hù)要求 基本保護(hù)要求是系統(tǒng)安全建設(shè)的基礎(chǔ) 但是不同的信息系統(tǒng)由于其本身的特性 除基本保護(hù)要求外 可以通過風(fēng)險管理中風(fēng)險分析的方法選擇需要補(bǔ)充的安全措施 從而使得系統(tǒng)的等級保護(hù)更加個性化 等級保護(hù)的基本實(shí)施過程 基本實(shí)施過程與信息系統(tǒng)生命周期之間的關(guān)系重要概念 等級保護(hù)的基本實(shí)施過程 重大變更 局部調(diào)整 系統(tǒng)定級 安全規(guī)劃設(shè)計(jì) 安全實(shí)施 實(shí)現(xiàn) 安全運(yùn)行管理 系統(tǒng)終止 與信息系統(tǒng)生命周期之間的關(guān)系 新建信息系統(tǒng) 新建信息系統(tǒng)等級保護(hù)實(shí)施過程 信息系統(tǒng)生命周期 與信息系統(tǒng)生命周期之間的關(guān)系 已建信息系統(tǒng)已經(jīng)存在的信息系統(tǒng) 通常處于系統(tǒng)運(yùn)行維護(hù)階段 安全等級保護(hù)實(shí)施過程中的系統(tǒng)定級階段 安全規(guī)劃設(shè)計(jì)階段 安全實(shí)施 實(shí)現(xiàn)階段和系統(tǒng)終止等的主要活動都將在信息系統(tǒng)生命周期的系統(tǒng)運(yùn)行維護(hù)階段完成 主要階段和主要活動 重要概念 階段主要活動 主要活動過程 階段 工作內(nèi)容 過程目標(biāo) 輸入 輸出 活動目標(biāo) 階段目標(biāo) 參與角色 主要工作內(nèi)容 主要活動過程 實(shí)施流程 主要活動 主要參考標(biāo)準(zhǔn) 實(shí)施等級保護(hù)的主要階段 第一階段 系統(tǒng)定級第二階段 安全規(guī)劃設(shè)計(jì)第三階段 安全實(shí)施 實(shí)現(xiàn)第四階段 安全運(yùn)行管理第五階段 系統(tǒng)終止 第一階段 系統(tǒng)定級 定級方法參與角色和職責(zé)實(shí)施流程階段主要活動 系統(tǒng)定級階段 定級方法 第一種方法 根據(jù)經(jīng)驗(yàn)直接定級第二種方法 按照標(biāo)準(zhǔn)定級第三種方法 制定方法自行定級如采用第二種定級方法則可以參考 實(shí)施指南 系統(tǒng)定級階段相關(guān)活動內(nèi)容 系統(tǒng)定級階段 參與角色和職責(zé) 信息系統(tǒng)運(yùn)營 使用單位 負(fù)責(zé)選擇定級方法確定其信息系統(tǒng)的安全等級 并報其主管部門審批同意 對安全等級在三級以上的信息系統(tǒng) 報送本地區(qū)地市級公安機(jī)關(guān)備案 信息系統(tǒng)主管部門 對下屬單位確定的信息系統(tǒng)安全等級進(jìn)行審批 信息系統(tǒng)安全服務(wù)商 協(xié)助信息系統(tǒng)運(yùn)營 使用單位完成與信息系統(tǒng)定級相關(guān)的工作 系統(tǒng)定級階段 實(shí)施流程 主要輸入 主要輸出 階段主要活動 子系統(tǒng)識別和描述 系統(tǒng)立項(xiàng)文檔系統(tǒng)建設(shè)文檔系統(tǒng)管理文檔 系統(tǒng)詳細(xì)描述文件 系統(tǒng)識別與劃分 系統(tǒng)總體描述文件 系統(tǒng)總體描述文件 安全等級確定 系統(tǒng)總體描述文件系統(tǒng)詳細(xì)描述文件 系統(tǒng)安全保護(hù)等級定級建議書 系統(tǒng)定級階段 系統(tǒng)識別和劃分 過程目標(biāo)收集有關(guān)信息系統(tǒng)的信息 在對信息進(jìn)行綜合分析的基礎(chǔ)上將組織機(jī)構(gòu)內(nèi)運(yùn)行的信息系統(tǒng)合理地分解成若干個信息系統(tǒng) 針對目標(biāo)信息系統(tǒng) 形成信息系統(tǒng)的總體描述性文檔 輸入信息系統(tǒng)的立項(xiàng) 建設(shè) 管理文檔 系統(tǒng)定級階段 系統(tǒng)識別和劃分 續(xù) 輸出信息系統(tǒng)總體描述文件主要工作內(nèi)容識別單位的基本信息識別信息系統(tǒng)的管理框架識別信息系統(tǒng)的網(wǎng)絡(luò)邊界及設(shè)備部署識別信息系統(tǒng)的業(yè)務(wù)種類和特性識別用戶范圍和用戶類型劃分方法的選擇形成信息系統(tǒng)總體描述文檔 系統(tǒng)定級階段 系統(tǒng)識別和劃分 續(xù) 信息系統(tǒng)劃分方法從組織管理角度劃分從業(yè)務(wù)類型角度劃分從物理區(qū)域或運(yùn)行環(huán)境角度劃分 系統(tǒng)定級階段 業(yè)務(wù)子系統(tǒng)識別和描述 過程目標(biāo)如果某一個信息系統(tǒng)中包含多個業(yè)務(wù)子系統(tǒng) 識別出主要的業(yè)務(wù)子系統(tǒng) 對主要業(yè)務(wù)子系統(tǒng)的安全屬性進(jìn)行識別和描述 輸入信息系統(tǒng)詳細(xì)描述文件 系統(tǒng)定級階段 業(yè)務(wù)子系統(tǒng)識別和描述 輸出信息系統(tǒng)詳細(xì)描述文件主要工作內(nèi)容識別各業(yè)務(wù)子系統(tǒng)處理的信息類型識別各業(yè)務(wù)子系統(tǒng)的服務(wù)范圍識別各項(xiàng)業(yè)務(wù)對系統(tǒng)的依賴程度形成信息系統(tǒng)和業(yè)務(wù)子系統(tǒng)的詳細(xì)描述文檔 系統(tǒng)定級階段 安全等級確定 過程目標(biāo)依據(jù) 信息系統(tǒng)安全保護(hù)等級定級指南 確定每個業(yè)務(wù)子系統(tǒng)的安全保護(hù)等級 由所包括的各業(yè)務(wù)子系統(tǒng)的最高等級決定信息系統(tǒng)的安全保護(hù)等級 對定級過程文檔進(jìn)行整理 形成文件化的信息系統(tǒng)定級建議書 輸入信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件 系統(tǒng)定級階段 安全等級確定 輸出信息系統(tǒng)安全保護(hù)等級定級建議書主要工作內(nèi)容各業(yè)務(wù)子系統(tǒng)安全保護(hù)等級確定信息系統(tǒng)安全保護(hù)等級確定安全保護(hù)等級的調(diào)整定級結(jié)果文檔化 第二階段 安全規(guī)劃設(shè)計(jì)階段 階段目標(biāo)參與角色和職責(zé)實(shí)施流程階段主要活動 安全規(guī)劃設(shè)計(jì) 階段目標(biāo) 通過安全評估和需求分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與等級保護(hù)基本要求之間的差距 確定安全需求 然后根據(jù)信息系統(tǒng)的劃分情況 信息系統(tǒng)的定級情況 信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等 設(shè)計(jì)合理的 滿足等級保護(hù)要求的總體安全方案 并制定出安全實(shí)施計(jì)劃等 以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施 安全規(guī)劃設(shè)計(jì) 參與角色和職責(zé) 信息系統(tǒng)運(yùn)營 使用單位 根據(jù)已經(jīng)確定的安全等級 按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 進(jìn)行信息系統(tǒng)的安全規(guī)劃設(shè)計(jì) 信息系統(tǒng)安全服務(wù)商 根據(jù)信息系統(tǒng)運(yùn)營 使用單位的委托 按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 協(xié)助信息系統(tǒng)運(yùn)營 使用單位完成信息系統(tǒng)安全規(guī)劃設(shè)計(jì)工作 安全規(guī)劃設(shè)計(jì) 實(shí)施流程 主要輸入 主要輸出 階段主要活動 安全評估和需求分析 系統(tǒng)詳細(xì)描述文件系統(tǒng)定級建議書等級保護(hù)基本要求 安全評估報告安全需求分析報告 安全總體設(shè)計(jì) 安全總體方案書技術(shù)防護(hù)框架管理策略框架 安全建設(shè)規(guī)劃 總體安全策略 框架單位信息化的中長期規(guī)劃 信息系統(tǒng)安全建設(shè)方案 安全評估報告安全需求分析報告等級保護(hù)基本要求 階段主要活動 1 安全評估和需求分析 活動目標(biāo)通過系統(tǒng)調(diào)查和安全評估了解系統(tǒng)目前的安全現(xiàn)狀 評估系統(tǒng)已經(jīng)采用的或?qū)⒁捎玫谋Ｗo(hù)措施和等級保護(hù)安全要求之間的差距 這種差距作為系統(tǒng)的一種安全需求 了解系統(tǒng)額外的安全需求 明確系統(tǒng)的完整安全需求 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)基本要求 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求 信息安全風(fēng)險評估指南 階段主要活動 1 安全評估和需求分析 主要活動過程評估對象和評估方法的明確 評估指標(biāo)體系的選擇和確定 系統(tǒng)現(xiàn)狀與評估指標(biāo)的對比 特殊安全要求的確定 階段主要活動 1 安全評估和需求分析 評估對象和評估方法的明確 確定評估范圍 獲得信息系統(tǒng)的信息 確定具體的評估對象 確定評估工作的方法 制定評估工作計(jì)劃 系統(tǒng)詳細(xì)描述文件系統(tǒng)定級建議書用戶文檔 輸入 輸出 過程的工作內(nèi)容 評估工作方案 階段主要活動 1 安全評估和需求分析 評估指標(biāo)體系的選擇和確定 選擇基本評估指標(biāo) 評估對象威脅分析 系統(tǒng)詳細(xì)描述文件系統(tǒng)定級建議書等級保護(hù)基本要求評估工作方案 輸入 輸出 過程的工作內(nèi)容 安全評估方案 落實(shí)評估對象的評估指標(biāo) 制定評估方案 階段主要活動 1 安全評估和需求分析 安全現(xiàn)狀與評估指標(biāo)對比 管理指標(biāo)符合性評估 技術(shù)指標(biāo)符合性測評 系統(tǒng)詳細(xì)描述文件評估工作方案安全評估方案 輸入 輸出 過程的工作內(nèi)容 符合性評估結(jié)果 重要資產(chǎn)特殊安全要求的確定 重要資產(chǎn)分析 重要資產(chǎn)弱點(diǎn)評估 系統(tǒng)詳細(xì)描述文件評估結(jié)果記錄用戶需求文檔 輸入 輸出 過程的工作內(nèi)容 風(fēng)險評估結(jié)果特殊安全要求 重要資產(chǎn)威脅評估 重要資產(chǎn)風(fēng)險評估 階段主要活動 1 安全評估和需求分析 階段主要活動 2 安全總體設(shè)計(jì) 活動目標(biāo)根據(jù)等級保護(hù)基本安全要求和系統(tǒng)的特殊要求 從被評估單位全局考慮設(shè)計(jì)系統(tǒng)的整體安全框架 提出各信息系統(tǒng)在總體方面的策略要求 應(yīng)實(shí)現(xiàn)的安全技術(shù)措施和安全管理措施等 形成用于指導(dǎo)系統(tǒng)進(jìn)行安全建設(shè)的安全總體方案 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)基本要求 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB Txxxxx 2006操作系統(tǒng)安全技術(shù)要求GB Txxxxx 2006數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB T19716 2005信息安全管理實(shí)用規(guī)則IATF3 0信息保障技術(shù)框架 階段主要活動 2 安全總體設(shè)計(jì) 主要活動過程系統(tǒng)等級化模型處理總體安全策略設(shè)計(jì)各級系統(tǒng)安全技術(shù)措施設(shè)計(jì)單位整體安全管理策略設(shè)計(jì)設(shè)計(jì)結(jié)果文檔化 階段主要活動 2 安全總體設(shè)計(jì) 系統(tǒng)等級化模型處理 信息系統(tǒng)構(gòu)成抽象處理 骨干網(wǎng)抽象處理 系統(tǒng)詳細(xì)描述文件符合性評估結(jié)果風(fēng)險評估結(jié)果特殊安全要求 輸入 輸出 過程的工作內(nèi)容 信息系統(tǒng)等級化抽象模型 安全域抽象處理 局域網(wǎng) 邊界抽象處理 形成信息系統(tǒng)抽象模型 階段主要活動 2 安全總體設(shè)計(jì) 總體安全策略設(shè)計(jì) 制定安全方針 規(guī)定安全策略 系統(tǒng)詳細(xì)描述文件安全需求分析報告信息系統(tǒng)等級化抽象模型 輸入 輸出 過程的工作內(nèi)容 總體安全策略等級保護(hù)模型 建立等級化保護(hù)模型 階段主要活動 2 安全總體設(shè)計(jì) 各級系統(tǒng)安全技術(shù)措施設(shè)計(jì) 骨干網(wǎng)等級保護(hù)措施 安全域等級保護(hù)措施 安全需求分析報告信息系統(tǒng)等級保護(hù)模型等級保護(hù)基本要求特殊安全要求 輸入 輸出 過程的工作內(nèi)容 信息系統(tǒng)技術(shù)防護(hù)框架 等級系統(tǒng)邊界防護(hù)策略 主機(jī)系統(tǒng) 應(yīng)用等級保護(hù)措施 機(jī)房等物理安全保護(hù)措施 階段主要活動 2 安全總體設(shè)計(jì) 單位整體安全管理策略設(shè)計(jì) 規(guī)定安全管理職責(zé) 規(guī)定安全管理策略 安全需求分析報告信息系統(tǒng)等級保護(hù)模型等級保護(hù)基本要求特殊安全要求 輸入 輸出 過程的工作內(nèi)容 信息系統(tǒng)安全管理策略框架 給定介質(zhì) 設(shè)備管理策略 規(guī)定運(yùn)行安全管理策略 規(guī)定安全事件處置和應(yīng)急管理策略 階段主要活動 2 安全總體設(shè)計(jì) 設(shè)計(jì)結(jié)果文檔化 編制安全總體方案書 安全需求分析報告等級保護(hù)模型技術(shù)防護(hù)框架管理策略框架 輸入 輸出 過程的工作內(nèi)容 安全總體方案書 安全規(guī)劃設(shè)計(jì) 3 安全建設(shè)規(guī)劃 活動目標(biāo)將信息系統(tǒng)安全總體方案書規(guī)定的內(nèi)容落實(shí)到安全建設(shè)項(xiàng)目中 通過對安全項(xiàng)目的相關(guān)性 緊迫性 難易程度和預(yù)期效果等因素進(jìn)行分析 確定實(shí)施的先后順序 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)基本要求 GB Txxxxx 2006等級保護(hù)系列安全產(chǎn)品技術(shù)要求GB Txxxxx 2006操作系統(tǒng)安全技術(shù)要求GB Txxxxx 2006數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 安全規(guī)劃設(shè)計(jì) 3 安全建設(shè)規(guī)劃 主要活動過程安全建設(shè)目標(biāo)確定安全建設(shè)內(nèi)容規(guī)劃安全建設(shè)方案設(shè)計(jì) 階段主要活動 3 安全建設(shè)規(guī)劃 安全建設(shè)目標(biāo)確定 收集規(guī)劃文檔 調(diào)研相關(guān)安全需求 安全總體方案書單位信息化建設(shè)中長期發(fā)展規(guī)劃 輸入 輸出 過程的工作內(nèi)容 分階段建設(shè)目標(biāo) 調(diào)研建設(shè)資金準(zhǔn)備狀況 階段主要活動 3 安全建設(shè)規(guī)劃 安全建設(shè)內(nèi)容規(guī)劃 確定主要建設(shè)內(nèi)容 分類形成建設(shè)項(xiàng)目 安全總體方案書分階段安全建設(shè)目標(biāo) 輸入 輸出 過程的工作內(nèi)容 具體安全建設(shè)內(nèi)容 階段主要活動 3 安全建設(shè)規(guī)劃 安全建設(shè)方案設(shè)計(jì) 設(shè)計(jì)建設(shè)順序 安全總體方案書分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容 輸入 輸出 過程的工作內(nèi)容 系統(tǒng)安全建設(shè)方案 估算各項(xiàng)目投資 編制文檔 第三階段 安全實(shí)施 實(shí)現(xiàn)階段 階段目標(biāo)參與角色和職責(zé)實(shí)施流程階段主要活動 安全實(shí)施 實(shí)現(xiàn) 階段目標(biāo) 安全實(shí)施 實(shí)現(xiàn)的目標(biāo)是按照信息系統(tǒng)安全總體方案書的總體要求 結(jié)合信息系統(tǒng)安全建設(shè)方案 分期分步落實(shí)安全措施 安全實(shí)施 實(shí)現(xiàn) 參與角色和職責(zé) 主管部門 審批下屬單位制定的文件運(yùn)營 使用單位 按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 進(jìn)行信息系統(tǒng)的安全建設(shè) 安全服務(wù)商 根據(jù)信息系統(tǒng)運(yùn)營 使用單位的委托 協(xié)助信息系統(tǒng)運(yùn)營 使用單位完成信息系統(tǒng)安全建設(shè)施工 安全產(chǎn)品供應(yīng)商 按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 開發(fā)符合安全等級保護(hù)要求的安全產(chǎn)品安全測評機(jī)構(gòu) 按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 對已經(jīng)完成安全等級保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行檢查評估 對安全產(chǎn)品供應(yīng)商提供的安全產(chǎn)品進(jìn)行檢查評估 安全實(shí)施 實(shí)現(xiàn)階段 實(shí)施流程 主要輸入 主要輸出 階段主要活動 安全詳細(xì)方案設(shè)計(jì) 安全總體方案書系統(tǒng)安全建設(shè)方案安全產(chǎn)品技術(shù)白皮書 安全詳細(xì)設(shè)計(jì)方案 安全技術(shù)實(shí)施 安全測評報告 等級化安全測評 安全詳細(xì)設(shè)計(jì)方案 系統(tǒng)定級建議書系統(tǒng)驗(yàn)收報告 系統(tǒng)驗(yàn)收報告 安全管理實(shí)施 安全詳細(xì)設(shè)計(jì)方案 角色與職責(zé)說明書管理制度 操作規(guī)范 階段主要活動 1 安全詳細(xì)方案設(shè)計(jì) 活動目標(biāo)依據(jù)信息系統(tǒng)安全建設(shè)方案 提出本期實(shí)施項(xiàng)目的具體實(shí)施方案 包括安全技術(shù)實(shí)施內(nèi)容 安全管理實(shí)施內(nèi)容 項(xiàng)目實(shí)施計(jì)劃以及項(xiàng)目經(jīng)費(fèi)投入等 以便進(jìn)行本次項(xiàng)目的實(shí)施 階段主要活動 1 安全詳細(xì)方案設(shè)計(jì) 主要參考標(biāo)準(zhǔn)GB17859 1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息系統(tǒng)安全等級保護(hù)基本要求 GB T19716 2005信息安全管理實(shí)用規(guī)則GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB Txxxxx 2006等級保護(hù)系列安全產(chǎn)品技術(shù)要求GB Txxxxx 2006操作系統(tǒng)安全技術(shù)要求GB Txxxxx 2006數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 階段主要活動 1 安全詳細(xì)方案設(shè)計(jì) 主要活動過程安全技術(shù)實(shí)施內(nèi)容設(shè)計(jì)安全管理實(shí)施內(nèi)容設(shè)計(jì)設(shè)計(jì)結(jié)果文檔化 階段主要活動 1 安全詳細(xì)方案設(shè)計(jì) 安全技術(shù)實(shí)施內(nèi)容設(shè)計(jì) 設(shè)計(jì)結(jié)構(gòu)框架 設(shè)計(jì)功能要求 安全總體方案書安全建設(shè)方案安全產(chǎn)品技術(shù)白皮書 輸入 輸出 過程的工作內(nèi)容 安全技術(shù)實(shí)施方案 設(shè)計(jì)性能指標(biāo) 設(shè)計(jì)部署方案 制定安全策略實(shí)現(xiàn)計(jì)劃 階段主要活動 1 安全詳細(xì)方案設(shè)計(jì) 安全管理實(shí)施內(nèi)容設(shè)計(jì) 設(shè)置安全管理機(jī)構(gòu) 配備安全管理人員 安全總體方案書安全建設(shè)方案 輸入 輸出 過程的工作內(nèi)容 安全管理實(shí)施方案 制定安全管理制度 培訓(xùn)安全管理技能 階段主要活動 1 安全詳細(xì)方案設(shè)計(jì) 安全技術(shù)實(shí)施內(nèi)容設(shè)計(jì) 設(shè)置安全管理機(jī)構(gòu) 配備安全管理人員 安全總體方案書安全建設(shè)方案 輸入 輸出 過程的工作內(nèi)容 安全管理實(shí)施方案 制定安全管理制度 培訓(xùn)安全管理技能 階段主要活動 1 安全詳細(xì)方案設(shè)計(jì) 設(shè)計(jì)結(jié)果文檔化 實(shí)施內(nèi)容匯總 編制文檔 安全技術(shù)實(shí)施方案安全管理實(shí)施方案 輸入 輸出 過程的工作內(nèi)容 安全詳細(xì)設(shè)計(jì)方案 階段主要活動 2 安全管理實(shí)施 活動目標(biāo)建立與信息系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的安全管理機(jī)制 在本期安全詳細(xì)設(shè)計(jì)方案的指導(dǎo)下 建立配套的安全管理機(jī)構(gòu)和人員 建立配套的安全管理制度和操作規(guī)程 進(jìn)行人員的安全技能培訓(xùn)等 保證本期安全實(shí)施完成后 安全運(yùn)行管理有配套的機(jī)制 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)基本要求 GB T19715 2 2005IT安全管理指南GB T19716 2005信息安全管理實(shí)用規(guī)則 階段主要活動 2 安全管理實(shí)施 主要活動內(nèi)容管理機(jī)構(gòu)和人員的設(shè)置管理制度的建設(shè)和修訂人員安全技能培訓(xùn)安全實(shí)施過程管理 階段主要活動 2 安全管理實(shí)施 管理機(jī)構(gòu)和人員設(shè)置 識別安全管理組織成員 識別安全管理角色 現(xiàn)有管理制度和政策文件安全詳細(xì)設(shè)計(jì)方案 輸入 輸出 過程的工作內(nèi)容 機(jī)構(gòu) 角色職責(zé)說明文件 規(guī)定各機(jī)構(gòu)和角色職責(zé) 階段主要活動 2 安全管理實(shí)施 管理制度的建設(shè)和修訂 確定制度的應(yīng)用范圍 確定部門 人員職責(zé) 現(xiàn)有管理制度和政策文件安全組織結(jié)構(gòu)表機(jī)構(gòu) 角色職責(zé)說明文件 輸入 輸出 過程的工作內(nèi)容 各項(xiàng)管理制度和操作規(guī)范 評估并完善現(xiàn)有制度 階段主要活動 2 安全管理實(shí)施 人員安全技能培訓(xùn) 培訓(xùn)特定崗位技能 培訓(xùn)安全意識 崗位職責(zé)說明系統(tǒng) 產(chǎn)品使用手冊各項(xiàng)管理制度和操作規(guī)程 輸入 輸出 過程的工作內(nèi)容 培訓(xùn)記錄上崗資格證書 考核 頒發(fā)上崗資格證書 階段主要活動 2 安全管理實(shí)施 安全實(shí)施過程管理 質(zhì)量管理 進(jìn)度管理 信息系統(tǒng)等級保護(hù)建設(shè)的各階段文檔 輸入 輸出 過程的工作內(nèi)容 各階段過程管理控制記錄 文檔管理 版本控制 變更管理 風(fēng)險管理 階段主要活動 3 安全技術(shù)實(shí)施 活動目標(biāo)保證按照安全詳細(xì)設(shè)計(jì)方案實(shí)現(xiàn)各項(xiàng)安全技術(shù)措施 并確保安全技術(shù)措施的有效性 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)基本要求 GB T19715 2 2005IT安全管理指南GB T19716 2005信息安全管理實(shí)用規(guī)則GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB Txxxxx 2006操作系統(tǒng)安全技術(shù)要求GB Txxxxx 2006數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB Txxxxx 2006網(wǎng)絡(luò)技術(shù)要求GB Txxxxx 2006網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求 階段主要活動 3 安全技術(shù)實(shí)施 主要活動過程安全產(chǎn)品采購安全控制開發(fā)安全控制集成測試與驗(yàn)收 階段主要活動 3 安全技術(shù)實(shí)施 安全產(chǎn)品采購 制定產(chǎn)品采購說明書 選擇入圍產(chǎn)品 安全設(shè)計(jì)詳細(xì)方案相關(guān)產(chǎn)品信息 輸入 輸出 過程的工作內(nèi)容 已采購安全產(chǎn)品清單 產(chǎn)品招標(biāo) 階段主要活動 3 安全技術(shù)實(shí)施 安全控制開發(fā) 安全措施需求分析 概要設(shè)計(jì) 安全設(shè)計(jì)詳細(xì)方案 輸入 輸出 過程的工作內(nèi)容 安全控制開發(fā)過程相關(guān)文檔 詳細(xì)設(shè)計(jì) 編碼實(shí)現(xiàn) 測試 階段主要活動 3 安全技術(shù)實(shí)施 安全控制集成 制定集成實(shí)施方案 實(shí)施集成 安全設(shè)計(jì)詳細(xì)方案 輸入 輸出 過程的工作內(nèi)容 安全控制集成報告 階段集成測試 產(chǎn)品和維護(hù)培訓(xùn) 階段主要活動 3 安全技術(shù)實(shí)施 測試與驗(yàn)收 測試系統(tǒng)功能和性能 測試運(yùn)行可靠性 安全設(shè)計(jì)詳細(xì)方案安全控制集成報告 輸入 輸出 過程的工作內(nèi)容 系統(tǒng)測試報告系統(tǒng)驗(yàn)收報告 測評安全管理實(shí)施 系統(tǒng)驗(yàn)收 系統(tǒng)交付 階段主要活動 3 安全技術(shù)實(shí)施 等級化安全測評 測試系統(tǒng)功能和性能 測試運(yùn)行可靠性 安全設(shè)計(jì)詳細(xì)方案安全控制集成報告 輸入 輸出 過程的工作內(nèi)容 系統(tǒng)測試報告系統(tǒng)驗(yàn)收報告 測評安全管理實(shí)施 系統(tǒng)驗(yàn)收 系統(tǒng)交付 階段主要活動 4 等級化安全測評 過程目標(biāo)通過安全測評機(jī)構(gòu)對已經(jīng)完成安全等級保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行測評 確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級的安全要求 主要參考標(biāo)準(zhǔn) 信息安全等級保護(hù)測評準(zhǔn)則 信息安全等級保護(hù)基本要求 階段主要活動 4 等級化安全測評 輸入信息系統(tǒng)安全保護(hù)等級定級報告系統(tǒng)驗(yàn)收報告輸出安全等級保護(hù)測評報告主要工作內(nèi)容參見 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 第四階段 安全運(yùn)行管理階段 階段目標(biāo)參與角色和職責(zé)實(shí)施流程階段主要活動 安全運(yùn)行管理 階段目標(biāo) 通過在安全運(yùn)行管理階段實(shí)施操作管理和控制 變更管理和控制 安全狀態(tài)監(jiān)控 安全事件處置和應(yīng)急預(yù)案 安全評估和持續(xù)改進(jìn)以及監(jiān)督檢查等活動 在安全管理基本要求的基礎(chǔ)上 指導(dǎo)系統(tǒng)運(yùn)行的動態(tài)管理 安全運(yùn)行管理 參與角色和職責(zé) 運(yùn)營 使用單位 對已經(jīng)完成安全等級保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行維護(hù)管理 發(fā)現(xiàn)問題及時整改 定期進(jìn)行安全狀況檢測評估 及時消除安全隱患和漏洞 制定不同等級信息安全事件的響應(yīng) 處置預(yù)案 加強(qiáng)信息系統(tǒng)的安全管理 信息安全監(jiān)管機(jī)構(gòu) 按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求 重點(diǎn)對第三 第四級信息系統(tǒng)的安全等級保護(hù)狀況進(jìn)行監(jiān)督檢查 發(fā)現(xiàn)存在安全隱患或未達(dá)到等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求的 限期整改 使信息系統(tǒng)的安全保護(hù)措施更加完善 安全運(yùn)行管理 實(shí)施流程 主要輸入 主要輸出 階段主要活動 操作管理和控制 安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表 操作人員角色 職責(zé)表各類操作規(guī)程 變更管理和控制 變更需求 變更結(jié)果報告 安全狀態(tài)監(jiān)控 安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收報告等 安全狀態(tài)分析報告 安全事件處置和應(yīng)急預(yù)案 安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表 安全事件報告程序各類應(yīng)急預(yù)案安全事件處置報告 安全運(yùn)行管理 實(shí)施流程 續(xù) 主要輸入 主要輸出 階段主要活動 安全評估和持續(xù)改進(jìn) 安全評估報告安全改進(jìn)方案 等級化安全測評 安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收報告等 安全等級保護(hù)測評報告 監(jiān)督檢查 安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收報告等 監(jiān)督檢查結(jié)果報告 變更需求 階段主要活動 1 操作管理和控制 活動目標(biāo)確保操作人員對信息系統(tǒng)實(shí)行正確 安全操作 控制系統(tǒng)不斷變化和種類繁多的操作活動 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)基本要求 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南主要活動過程操作職責(zé)確定操作過程控制 階段主要活動 1 操作管理和控制 操作職責(zé)確定 劃分操作角色 授予管理權(quán)限 安全設(shè)計(jì)詳細(xì)方案安全組織機(jī)構(gòu)表 輸入 輸出 過程的工作內(nèi)容 操作人員角色和職責(zé)表 定義人員職責(zé) 階段主要活動 1 操作管理和控制 操作過程控制 確定操作目的和內(nèi)容 確定操作時間和地點(diǎn) 操作需求操作人員角色和職責(zé)表 輸入 輸出 過程的工作內(nèi)容 各類操作規(guī)程操作記錄 選擇操作方法 建立操作規(guī)程 記錄操作過程和結(jié)果 階段主要活動 2 變更管理和控制 活動目標(biāo)確保在發(fā)生安全配置 安全設(shè)施 系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)應(yīng)用等變化的時候 使用標(biāo)準(zhǔn)的方法和步驟 盡快的實(shí)施變更 確保變更所導(dǎo)致的信息資產(chǎn)安全性降低 業(yè)務(wù)中斷或業(yè)務(wù)影響減小到最低 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)基本要求 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南主要活動過程變更需求和影響分析變更過程控制 階段主要活動 2 變更管理和控制 變更需求和影響分析 變更需求分析 識別變更種類 變更需求 輸入 輸出 過程的工作內(nèi)容 變更方案 變更影響分析 制定變更方案 階段主要活動 2 變更管理和控制 變更過程控制 變更內(nèi)容審核與審批 建立變更過程日志 變更方案 輸入 輸出 過程的工作內(nèi)容 變更結(jié)果報告 形成變更結(jié)果報告 階段主要活動 3 安全狀態(tài)監(jiān)控 活動目標(biāo)對信息系統(tǒng)的安全運(yùn)行狀態(tài)進(jìn)行監(jiān)控 確保信息系統(tǒng)運(yùn)行安全 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)基本要求 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南主要活動過程監(jiān)控對象確定監(jiān)控對象狀態(tài)信息收集監(jiān)控狀態(tài)分析和報告 階段主要活動 3 安全狀態(tài)監(jiān)控 監(jiān)控對象確定 業(yè)務(wù)關(guān)鍵要素分析 安全關(guān)鍵點(diǎn)分析 安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收報告 輸入 輸出 過程的工作內(nèi)容 監(jiān)控對象列表 形成監(jiān)控對象列表 階段主要活動 3 安全狀態(tài)監(jiān)控 監(jiān)控對象狀態(tài)信息收集 選擇監(jiān)控工具 識別和記錄入侵行為 監(jiān)控對象列表 輸入 輸出 過程的工作內(nèi)容 監(jiān)控對象安全狀態(tài)信息 監(jiān)控對象信息收集 階段主要活動 3 安全狀態(tài)監(jiān)控 監(jiān)控狀態(tài)分析和報告 狀態(tài)分析 影響程度和范圍分析 監(jiān)控對象安全狀態(tài)信息 輸入 輸出 過程的工作內(nèi)容 安全狀態(tài)分析報告變更需求 變更需求分析 階段主要活動 4 安全事件處置和應(yīng)急預(yù)案 活動目標(biāo)根據(jù)安全事件相關(guān)標(biāo)準(zhǔn)中規(guī)定的安全事件分級原則和劃分結(jié)果 結(jié)合自身具體的情況酌情劃分本單位安全事件級別 建立合適的應(yīng)急響應(yīng)機(jī)制 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)基本要求 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南主要活動過程安全事件分級應(yīng)急預(yù)案制定安全事件處置報告 階段主要活動 4 安全事件處置和應(yīng)急預(yù)案 安全事件分級 安全事件調(diào)查和分析 安全事件等級劃分 各類安全事件列表 輸入 輸出 過程的工作內(nèi)容 安全事件報告程序 建立分級的事件報告流程 階段主要活動 4 安全事件處置和應(yīng)急預(yù)案 應(yīng)急預(yù)案制定 確定應(yīng)急預(yù)案對象 確定和認(rèn)可各項(xiàng)職責(zé) 安全事件報告程序 輸入 輸出 過程的工作內(nèi)容 各類應(yīng)急預(yù)案 制定程序和執(zhí)行條件 制定各類事件應(yīng)急恢復(fù)措施 階段主要活動 4 安全事件處置和應(yīng)急預(yù)案 安全事件處置 安全事件上報 安全事件處置 安全狀態(tài)分析報告安全事件報告程序各類應(yīng)急預(yù)案 輸入 輸出 過程的工作內(nèi)容 安全事件處置報告 安全事件影響分析 安全事件總結(jié)和處置報告 階段主要活動 5 安全評估和持續(xù)改進(jìn) 活動目標(biāo)確保在發(fā)生信息系統(tǒng)變更 安全狀態(tài)改變等情況后定期對信息系統(tǒng)進(jìn)行安全評估 確保信息系統(tǒng)滿足相應(yīng)等級安全需求和自身特殊安全需求 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)基本要求 GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南 信息安全風(fēng)險評估指南 主要活動過程安全評估改進(jìn)方案制定安全改進(jìn)實(shí)施 階段主要活動 5 安全評估和持續(xù)改進(jìn) 安全評估 確定評估對象和方法 制定評估計(jì)劃和方案 系統(tǒng)詳細(xì)描述文件安全狀態(tài)分析報告變更結(jié)果報告 輸入 輸出 過程的工作內(nèi)容 安全評估報告 實(shí)施安全評估 匯總分析評估結(jié)果 匯總分析評估結(jié)果 提出改進(jìn)建議 階段主要活動 5 安全評估和持續(xù)改進(jìn) 改進(jìn)方案制定 安全調(diào)整和改進(jìn)立項(xiàng) 制定安全改進(jìn)方案 安全評估報告 輸入 輸出 過程的工作內(nèi)容 安全改進(jìn)方案 階段主要活動 5 安全評估和持續(xù)改進(jìn) 實(shí)施安全改進(jìn) 實(shí)施過程控制 補(bǔ)充安全功能測試 安全改進(jìn)方案 輸入 輸出 過程的工作內(nèi)容 安全測試 驗(yàn)收報告 相關(guān)技術(shù)文件修訂 相關(guān)管理制度修訂 階段主要活動 6 監(jiān)督檢查 國家信息安全監(jiān)督管理職能部門按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求 重點(diǎn)對第三 第四級信息和信息系統(tǒng)安全保護(hù)制度和措施的落實(shí)情況 以及安全現(xiàn)狀的達(dá)標(biāo)情況進(jìn)行監(jiān)督檢查 安全監(jiān)督管理職能部門對信息系統(tǒng)安全保護(hù)等級監(jiān)督檢查遵循 公平 公正 權(quán)威 有效 原則 采用例行檢查和專項(xiàng)檢查相結(jié)合的方法 具體參見 信息安全等級保護(hù)監(jiān)督檢查管理辦法 第五階段 系統(tǒng)終止階段 階段目標(biāo)參與角色和職責(zé)實(shí)施流程主要活動過程 系統(tǒng)終止階段 目標(biāo)和角色 階段目標(biāo)確保信息系統(tǒng)被轉(zhuǎn)移 終止或廢棄時 正確處理系統(tǒng)內(nèi)的敏感信息 確保組織信息資產(chǎn)的安全 參與角色和職責(zé)信息系統(tǒng)運(yùn)營 使用單位信息系統(tǒng)主管部門 系統(tǒng)終止階段 主要參考標(biāo)準(zhǔn) 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)基本要求 GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南 系統(tǒng)終止階段 實(shí)施流程 主要輸入 主要輸出 主要活動 信息轉(zhuǎn)移 暫存和清除 信息資產(chǎn)清單 信息轉(zhuǎn)移 暫存 清除處理記錄文檔 設(shè)備遷移或廢棄 設(shè)備遷移 廢棄處理記錄文檔 介質(zhì)清除或銷毀 信息系統(tǒng)介質(zhì)清單 介質(zhì)清除 銷毀處理記錄文檔 硬件設(shè)備清單 系統(tǒng)終止 信息轉(zhuǎn)移 暫存和清除 識別要轉(zhuǎn)移 暫存和清除的信息資產(chǎn) 信息資產(chǎn)轉(zhuǎn)移 暫存和清除 資產(chǎn)清單 輸入 輸出 過程的工作內(nèi)容 信息轉(zhuǎn)移 暫存 清除處理記錄文檔 處理過程記錄 系統(tǒng)終止 設(shè)備遷移或廢棄 軟硬件設(shè)備識別 信息資產(chǎn)轉(zhuǎn)移 暫存和清除 設(shè)備遷移或廢棄清單 輸入 輸出 過程的工作內(nèi)容 設(shè)備遷移 廢棄處理報告 設(shè)備處理和記錄 處理方案審批 系統(tǒng)終止 介質(zhì)清除或銷毀 識別要清除或銷毀的介質(zhì) 確定介質(zhì)處理方法和流程 存檔介質(zhì)清單 輸入 輸出 過程的工作內(nèi)容 介質(zhì)清除或銷毀記錄文檔 介質(zhì)處理和記錄 處理方案審批 Q A