《信息系统安全等级保护实施指南28723.docx》由会员分享,可在线阅读,更多相关《信息系统安全等级保护实施指南28723.docx(57页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目 次次前言IIII引言IVV1 范范围12 规规范性引引用文件件13 术术语和定定义14 等等级保护护实施概概述14.1 基本本原则114.2 角色色和职责责14.3 实施施的基本本流程225 信信息系统统定级445.1 信息息系统定定级阶段段的工作作流程445.2 信息息系统分分析45.2.1 系统识识别和描描述45.2.2 信息系系统划分分55.3 安全全保护等等级确定定65.3.1 定级、审审核和批批准65.3.2 形成定定级报告告66 总总体安全全规划776.1 总体体安全规规划阶段段的工作作流程776.2 安全全需求分分析86.2.1 基本安安全需求求的确定定86.2.2 额外/特
2、殊安安全需求求的确定定96.2.3 形成安安全需求求分析报报告96.3 总体体安全设设计1006.3.1 总体安安全策略略设计1106.3.2 安全技技术体系系结构设设计1006.3.3 整体安安全管理理体系结结构设计计116.3.4 设计结结果文档档化1226.4 安全全建设项项目规划划126.4.1 安全建建设目标标确定1136.4.2 安全建建设内容容规划1136.4.3 形成安安全建设设项目计计划1447 安安全设计计与实施施157.1 安全全设计与与实施阶阶段的工工作流程程157.2 安全全方案详详细设计计167.2.1 技术措措施实现现内容设设计1667.2.2 管理措措施实现现内
3、容设设计1667.2.3 设计结结果文档档化1777.3 管理理措施实实现1777.3.1 管理机机构和人人员的设设置1777.3.2 管理制制度的建建设和修修订1777.3.3 人员安安全技能能培训1187.3.4 安全实实施过程程管理1187.4 技术术措施实实现1997.4.1 信息安安全产品品采购1197.4.2 安全控控制开发发207.4.3 安全控控制集成成207.4.4 系统验验收2118 安安全运行行与维护护228.1 安全全运行与与维护阶阶段的工工作流程程228.2 运行行管理和和控制2238.2.1 运行管管理职责责确定2238.2.2 运行管管理过程程控制2248.3 变
4、更更管理和和控制2248.3.1 变更需需求和影影响分析析248.3.2 变更过过程控制制258.4 安全全状态监监控2558.4.1 监控对对象确定定258.4.2 监控对对象状态态信息收收集2668.4.3 监控状状态分析析和报告告268.5 安全全事件处处置和应应急预案案278.5.1 安全事事件分级级278.5.2 应急预预案制定定278.5.3 安全事事件处置置278.6 安全全检查和和持续改改进2888.6.1 安全状状态检查查288.6.2 改进方方案制定定298.6.3 安全改改进实施施298.7 等级级测评2298.8 系统统备案3308.9 监督督检查3309 信信息系统统
5、终止3309.1 信息息系统终终止阶段段的工作作流程3309.2 信息息转移、暂暂存和清清除3119.3 设备备迁移或或废弃3319.4 存储储介质的的清除或或销毁332附录A(规规范性附附录)主主要过程程及其活活动输出出33前言本标准的的附录AA是规范范性附录录。本标准由由公安部部和全国信信息安全全标准化化技术委委员会提提出。本标准由由全国信信息安全全标准化化技术委委员会归归口。本标准起起草单位位:公安安部信息息安全等等级保护护评估中中心。本标准主主要起草草人:毕毕马宁、马马力、陈陈雪秀、李李明、朱朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。引 言言依据中中华人民民共和国国计算机机
6、信息系系统安全全保护条条例(国国务院1147号号令)、国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)、关于信息安全等级保护工作的实施意见(公通字200466号)和信息安全等级保护管理办法,制定本标准。本标准是是信息安安全等级级保护相相关系列列标准之之一。与本标准准相关的的系列标标准包括括:GBB/T AAAAA-AAAAAA 信息息安全技技术 信信息系统统安全等等级保护护定级指指南;GBB/T BBBBB-BBBBBB 信息息安全技技术 信信息系统统安全等等级保护护基本要要求。在对信息息系统实实施信息息安全等等级保护护的过程程中,除除使用本本标准外外,在不不同的阶阶段
7、,还还应参照照其他有关关信息安安全等级级保护的的标准开展展工作。在信息系系统定级级阶段,应应按照GGB/TT AAAAA-AAAAA介绍绍的方法法,确定定信息系系统安全全保护等级级。在信息系系统总体体安全规规划,安全设设计与实实施,安全运运行与维维护和信息系系统终止止等阶段,应应按照GGB1778599-19999、GB/T BBBBBB-BBBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。GB1778599-19999、GB/T BBBB-BBBB、GB/
8、T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。对信息系系统的安安全等级级保护应从GB/T BBBBBB-BBBBB出出发,在在保证信信息系统统满足基基本安全全要求的的基础上
9、上,逐步步提高对信信息系统统的保护护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等标准的要求。除本标准准和上述述提到的的标准外外,在信信息系统统安全等等级保护护实施过程程中,还还可参照和和使用GGB/TT202272-20006和GB/T2002733-20006等等其它等等级保护护相关技技术标准准。19GB/T XXXX XXXX信息系统统安全等等级保护护实施指指南1 范围本标准规规定了信息息系统安安全等级级保护实实施的过过程,适适用于指指导信息息系统安安全等级级保护的的实施。2 规范性引引用文件件下列文件件
10、中的条条款通过过在本标标准中的引用用而成为为本标准准的条款款。凡是是注日期期的引用用文件,其其随后所所有的修修改单(不不包括勘勘误的内内容)或或修订版版均不适适用于本本标准,然然而,鼓鼓励根据据本标准准达成协协议的各各方研究究是否使使用这些些文件的的最新版版本。凡凡是不注注明日期期的引用用文件,其其最新版版本适用用于本标标准。GB/TT 52271.8 信息技技术 词词汇 第第8部分分:安全全GB1778599-19999 计算机机信息系系统安全全保护等等级划分分准则GB/TT AAAAA-AAAAA 信信息安全全技术 信息系系统安全全等级保保护定级级指南3 术语和定定义GB/TT 52271
11、.8和GGB 1178559-119999确立的的以及下下列术语语和定义义适用于于本标准准。3.1等级测评评 classsiffiedd seecurrityy teestiing andd evvaluuatiion确定信息息系统安安全保护护能力是是否达到到相应等等级基本本要求的的过程。4 等级保护护实施概概述4.1 基本原则则信息系统统安全等等级保护护的核心心是对信信息系统统分等级级、按标标准进行行建设、管管理和监监督。信信息系统统安全等等级保护护实施过过程中应应遵循以以下基本本原则:a) 自主保护护原则信息系统统运营、使用单单位及其其主管部部门按照照国家相相关法规规和标准准,自主主确定信
12、信息系统统的安全全保护等级级,自行行组织实实施安全全保护。b) 重点保护护原则根据信息息系统的的重要程程度、业业务特点点,通过过划分不不同安全全保护等级级的信息息系统,实实现不同同强度的的安全保保护,集集中资源源优先保保护涉及及核心业业务或关关键信息息资产的的信息系系统。c) 同步建设设原则信息系统统在新建建、改建建、扩建建时应当当同步规规划和设设计安全全方案,投投入一定定比例的的资金建建设信息息安全设设施,保保障信息息安全与与信息化化建设相相适应。d) 动态调整整原则要跟踪信信息系统统的变化化情况,调调整安全全保护措措施。由由于信息息系统的的应用类类型、范范围等条条件的变变化及其其他原因因,
13、安全全保护等级级需要变变更的,应应当根据据等级保保护的管管理规范范和技术术标准的的要求,重重新确定定信息系系统的安安全保护护等级,根根据信息息系统安安全保护护等级的的调整情情况,重重新实施施安全保保护。4.2 角色和职职责信息系统统安全等等级保护护实施过过程中涉涉及的各各类角色色和职责如如下:a) 国家管理理部门公安机关关负责信信息安全全等级保保护工作作的监督督、检查查、指导导;国家保保密工作作部门负负责等级级保护工工作中有有关保密密工作的的监督、检检查、指指导;国家密密码管理理部门负负责等级级保护工工作中有有关密码码工作的的监督、检检查、指指导;涉及其其他职能能部门管管辖范围围的事项项,由有
14、有关职能能部门依依照国家家法律法法规的规规定进行行管理;国务院院信息化化工作办办公室及及地方信信息化领领导小组组办事机机构负责责等级保保护工作作的部门门间协调调。b) 信息系统统主管部部门负责依照照国家信信息安全全等级保保护的管管理规范范和技术术标准,督督促、检查查和指导导本行业业、本部部门或者者本地区区信息系系统运营营、使用用单位的信信息安全全等级保保护工作作。c) 信息系统统运营、使用单单位负责依照照国家信信息安全全等级保保护的管管理规范范和技术术标准,确确定其信信息系统统的安全全保护等级级,有主主管部门门的,应应当报其其主管部部门审核核批准;根据已已经确定定的安全全保护等级级,到公公安机
15、关关办理备备案手续续;按照照国家信信息安全全等级保保护管理理规范和和技术标标准,进进行信息息系统安安全保护护的规划划设计;使用符合合国家有有关规定定,满足足信息系系统安全全保护等等级需求求的信息息技术产品品和信息息安全产产品,开展信信息系统统安全建建设或者者改建工工作;制制定、落实各项项安全管理理制度,定定期对信信息系统统的安全状状况、安安全保护护制度及及措施的的落实情情况进行行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。d) 信息安全全服务机机构负责根据据信息系系统运营营、使用单单位的委委托
16、,依依照国家信信息安全全等级保保护的管管理规范范和技术术标准,协协助信息息系统运运营、使用单单位完成成等级保保护的相相关工作作,包括括确定其其信息系系统的安安全保护护等级、进进行安全全需求分分析、安安全总体体规划、实施安全全建设和安安全改造造等。e) 信息安全全等级测评评机构负责根据据信息系系统运营营、使用单单位的委委托或根根据国家家管理部部门的授权,协协助信息息系统运运营、使用单单位或国家管管理部门门,按照照国家信信息安全全等级保保护的管管理规范范和技术术标准,对对已经完完成等级级保护建建设的信信息系统统进行等等级测评评;对信息息安全产产品供应应商提供供的信息息安全产产品进行行安全测测评。f
17、) 信息安全全产品供供应商负责按照照国家信信息安全全等级保保护的管管理规范范和技术术标准,开开发符合合等级保保护相关关要求的的信息安全全产品,接接受安全全测评;按照等等级保护护相关要求求销售信信息安全全产品并并提供相相关服务务。4.3 实施的基基本流程程对信息系系统实施施等级保保护的基本流流程见图1。信息系统定级总体安全规划安全设计与实施施安全运行与维护等级变更局部调整信息系统终止图1 信息系统安全等级保护实施的基本流程在安全运运行与维维护阶段段,信息息系统因因需求变变化等原原因导致致局部调调整,而而系统的的安全保保护等级级并未改改变,应应从安全全运行与与维护阶阶段进入入安全设设计与实实施阶段
18、段,重新新设计、调调整和实实施安全全措施,确确保满足足等级保保护的要要求;但但信息系统统发生重重大变更更导致系系统安全全保护等级级变化时,应应从安全全运行与与维护阶阶段进入入信息系统统定级阶阶段,重重新开始始一轮信信息安全全等级保保护的实实施过程程。5 信息系统统定级5.1 信息系统统定级阶阶段的工工作流程程信息系统统定级阶阶段的目目标是信信息系统统运营、使用单单位按照照国家有有关管理理规范和和GB/T AAAAA-AAAAAA,确定信息息系统的的安全保保护等级级,信息息系统运运营、使用单单位有主主管部门门的,应应当经主主管部门门审核批批准。信息系统统定级阶阶段的工作流流程见图2。主要过程输出
19、输入信息系统总体描述文件信息系统详细描述文件信息系统立项文档信息系统建设文档信息系统管理文档信息系统分析安全保护等级确定信息系统安全保护等级定级报告信息系统总体描述文件信息系统详细描述文件图2 信息系统定级阶段工作流程5.2 信息系统统分析5.2.1 系统识别别和描述述活动目标标:本活动的的目标是是通过从从信息系系统运营营、使用单单位相关关人员处处收集有有关信息息系统的的信息,并并对信息息进行综综合分析析和整理理,依据据分析和和整理的的内容形形成组织织机构内内信息系系统的总总体描述述性文档档。参与角色色:信息息系统运运营、使用单单位,信息安安全服务务机构。活动输入入:信息息系统的的立项、建设和
20、管理文文档。活动描述述:本活动主主要包括括以下子子活动内内容:a) 识别信息息系统的的基本信信息调查了解解信息系系统的行行业特征征、主管管机构、业业务范围围、地理理位置以以及信息息系统基基本情况况,获得得信息系系统的背背景信息息和联络络方式。b) 识别信息息系统的的管理框框架了解信息息系统的的组织管管理结构构、管理理策略、部部门设置置和部门门在业务务运行中中的作用用、岗位位职责,获获得支持持信息系系统业务务运营的的管理特特征和管管理框架架方面的的信息,从从而明确确信息系系统的安安全责任任主体。c) 识别信息息系统的的网络及及设备部部署了解信息息系统的的物理环环境、网网络拓扑扑结构和和硬件设设备
21、的部部署情况况,在此此基础上上明确信信息系统统的边界界,即确确定定级级对象及其其范围。d) 识别信息息系统的的业务种种类和特特性了解机构构内主要要依靠信信息系统统处理的的业务种种类和数量,这这些业务务各自的的社会属属性、业务内内容和业业务流程程等,从从中明确确支持机机构业务务运营的的信息系系统的业业务特性性,将承承载比较较单一的的业务应应用或者者承载相相对独立立的业务务应用的的信息系系统作为为单独的的定级对对象。e) 识别业务务系统处处理的信信息资产产了解业务务系统处处理的信信息资产产的类型型,这些些信息资资产在保保密性、完完整性和和可用性性等方面的的重要性性程度。f) 识别用户户范围和和用户
22、类类型根据用户户或用户户群的分分布范围围了解业业务系统统的服务务范围、作作用以及及业务连连续性方方面的要要求等。g) 信息系统统描述对收集的的信息进进行整理理、分析析,形成成对信息息系统的的总体描描述文件件。一个个典型的的信息系系统的总总体描述述文件应应包含以下下内容:1)系统统概述;2)系统统边界描描述;3)网络络拓扑;4)设备备部署;5)支撑撑的业务务应用的的种类和和特性;6)处理理的信息息资产;7)用户户的范围围和用户户类型;8)信息息系统的的管理框框架。活动输出出: 信信息系统统总体描描述文件件。5.2.2 信息系统统划分活动目标标:本活动的的目标是是依据信信息系统统的总体体描述文文件
23、,在在综合分分析的基基础上将将组织机机构内运运行的信信息系统统进行合合理分解解,确定定所包含含可以作作为定级级对象的的信息系系统的个数。参与角色色:信息息系统运运营、使用单单位,信息安安全服务务机构。活动输入入:信息息系统总总体描述述文件。活动描述述:本活动主主要包括括以下子子活动内内容:a) 划分方法法的选择择一个组织织机构可可能运行行一个大大型信息息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。b) 信息系统统划分依据选择择
24、的系统统划分原原则,将将一个组组织机构构内拥有有的大型型信息系系统进行行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。c) 信息系统统详细描述述在对信息息系统进进行划分分并确定定定级对象象后,应应在信息息系统总总体描述述文件的的基础上上,进一一步增加加信息系系统划分分信息的的描述,准准确描述述一个大大型信息息系统中中包括的的定级对对象的个个数。进一步的的信息系系统详细细描述文文件应包包含以下下内容:1) 相对独独立信息息系统列列表;2)每个个定级对对象的概概
25、述;3) 每每个定级级对象的的边界;4) 每每个定级级对象的的设备部部署;5) 每每个定级级对象支支撑的业业务应用用及其处处理的信信息资产产类型;6) 每每个定级级对象的的服务范范围和用用户类型型;7) 其其他内容容。活动输出出: 信信息系统统详细描描述文件件。5.3 安全保护护等级确确定5.3.1 定级、审审核和批批准活动目标标:本活动的的目标是是按照国国家有关关管理规规范和GGB/TT AAAAAA-AAAAA,确定信息息系统的的安全保保护等级级,并对定级结结果进行行审核和批准,保保证定级级结果的的准确性性。参与角色色:信息息系统主主管部门门,信息系系统运营营、使用单单位,信息安安全服务务
26、机构。活动输入入:信息息系统总总体描述述文件,信息系系统详细细描述文文件。活动描述述:本活动主主要包括括以下子子活动内内容:a) 信息系统统安全保保护等级级初步确定定根据国家家有关管管理规范范和GBB/T AAAAA-AAAAA确定定的定级级方法,信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。b) 定级结果果审核和和批准信息系统统运营、使用单单位初步步确定了了安全保保护等级级后,有有主管部部门的,应应当经主主管部门门审核批批准。跨跨省或者者全国统统一联网网运行的的信息系系统可以以由主管管部门统统一确定定安全保保护等级级。对拟拟确定为为第四级级以上信信息系统统的,运运营使用用单位或
27、或者主管管部门应应当邀请请国家信信息安全全保护等等级专家家评审委委员会评评审。活动输出出:信息息系统定定级评审审意见。5.3.2 形成定级级报告活动目标标:本活动的的目标是是对定级级过程中中产生的的文档进进行整理理,形成成信息系系统定级级结果报报告。参与角色色:信息息系统主主管部门门,信息息系统运运营、使用单单位。活动输入入:信息息系统总总体描述述文件,信息系系统详细细描述文文件,信息系系统定级级结果。活动描述述:对信息系系统的总总体描述述文档、信信息系统统的详细细描述文文件、信信息系统统安全保保护等级级确定结结果等内内容进行行整理,形形成文件件化的信信息系统统定级结结果报告告。信息系统统定级
28、结结果报告告可以包包含以下下内容:a) 单位信息息化现状状概述;b) 管理模式式;c) 信息系统统列表;d) 每个信息息系统的的概述;e) 每个信息息系统的的边界;f) 每个信息息系统的的设备部部署;g) 每个信息息系统支支撑的业业务应用用;h) 信息系统统列表、安全保护等级以及保护要求组合;i) 其他内容容。活动输出出:信息息系统安安全保护护等级定定级报告告。6 总体安全全规划6.1 总体安全全规划阶阶段的工工作流程程总体安全全规划阶阶段的目目标是根根据信息息系统的的划分情情况、信信息系统统的定级级情况、信信息系统统承载业业务情况况,通过过分析明明确信息息系统安安全需求求,设计计合理的的、满
29、足足等级保保护要求求的总体体安全方方案,并并制定出出安全实实施计划划,以指指导后续续的信息息系统安安全建设设工程实实施。对对于已运运营(运运行)的的信息系系统,需需求分析析应当首首先分析析判断信信息系统统的安全全保护现现状与等等级保护护要求之之间的差差距。总体安全全规划阶段段的工作流流程见图3。主要过程输出输入安全需求分析报告安全需求分析信息系统详细描述文件信息系统安全保护等级定级报告信息系统相关的其它文档信息系统安全等级保护基本要求总体安全设计信息系统详细描述文件信息系统安全保护等级定级报告信息系统安全等级保护基本要求安全需求分析报告信息系统安全总体方案安全建设项目规划信息系统安全总体方案机
30、构或单位信息化建设的中长期发展规划信息系统安全建设项目计划图3 总体安全规划工作流程6.2 安全需求求分析6.2.1 基本安全全需求的的确定活动目标标:本活动的的目标是是根据信信息系统统的安全全保护等等级,判断信信息系统统现有的的安全保保护水平平与国家家等级保保护管理理规范和和技术标标准之间间的差距距,提出出信息系系统的基基本安全全保护需需求。参与角色色: 信信息系统统运营、使用单单位,信息安安全服务务机构,信信息安全全等级测测评机构构。活动输入入: 信信息系统统详细描描述文件件,信息系系统安全全保护等等级定级级报告,信息系系统相关关的其它它文档,信息系系统安全全等级保护护基本要要求。活动描述
31、述:本活动主主要包括括以下子子活动内内容:a) 确定系统统范围和分分析对象象明确不同同等级信信息系统统的范围围和边界界,通过过调查或或查阅资资料的方方式,了了解信息息系统的的构成,包包括网络络拓扑、业业务应用用、业务务流程、设设备信息息、安全全措施状状况等。初初步确定定每个等等级信息息系统的的分析对象象,包括括整体对对象,如如机房、办办公环境境、网络络等,也也包括具具体对象象,如边边界设备备、网关关设备、服服务器设设备、工工作站、应应用系统统等。b) 形成评价价指标和评估方方案根据各个个信息系系统的安安全保护护等级从从信息系系统安全全等级保保护基本本要求中中选择相相应等级级的指标标,形成成评价
32、指标。根根据评价价指标,结结合确定定的具体体对象制制定可以以操作的的评估方方案,评评估方案案可以包包含以下下内容:1) 管理状况况评估表表格;2) 网络状况况评估表表格;3) 网络设备备(含安安全设备备)评估估表格;4) 主机设备备评估表表格;5) 主要设备备安全测测试方案案;6) 重要操作作的作业业指导书书。c) 现状与评评价指标对对比通过观察察现场、询询问人员员、查询询资料、检检查记录录、检查查配置、技技术测试试、渗透透攻击等等方式进进行安全全技术和和安全管管理方面面的评估估,判断断安全技技术和安安全管理理的各个个方面与与评价指标的的符合程程度,给给出判断断结论。整理和分析不符合的评价指标
33、,确定信息系统安全保护的基本需求。活动输出出: 基本本安全需需求。6.2.2 额外/特特殊安全全需求的的确定活动目标标:本活动的的目标是是通过对对信息系系统重要要资产特特殊保护护要求的的分析,确确定超出出相应等等级保护护基本要要求的部部分或具具有特殊殊安全保保护要求求的部分分,采用用需求分分析/风风险分析析的方法法,确定定可能的的安全风风险,判判断对超出等等级保护护基本要求求部分实实施特殊殊安全措措施的必必要性,提提出信息息系统的的特殊安安全保护护需求。参与角色色: 信信息系统统运营、使用单单位,信息安安全服务务机构。活动输入入:信息息系统详详细描述述文件,信息系系统安全全保护等等级定级级报告
34、,信息系系统相关关的其它它文档。活动描述述: 确定特殊殊安全需需求可以以采用目目前成熟熟或流行行的需求求分析/风险分分析方法法,或者者采用下下面介绍绍的活动动:a) 重要资产产的分析析明确信息息系统中中的重要要部件,如如边界设设备、网网关设备备、核心心网络设设备、重重要服务务器设备备、重要要应用系系统等。b) 重要资产产安全弱弱点评估估检查或判判断上述述重要部部件可能能存在的的弱点,包包括技术术上和管管理上的的;分析析安全弱弱点被利利用的可可能性。c) 重要资产产面临威威胁评估估分析和判判断上述述重要部部件可能能面临的的威胁,包包括外部部的威胁胁和内部部的威胁胁,威胁胁发生的的可能性性或概率率
35、。d) 综合风险险分析分析威胁胁利用弱弱点可能能产生的的结果,结结果产生生的可能能性或概概率,结结果造成成的损害害或影响响的大小,以以及避免免上述结结果产生生的可能能性、必必要性和和经济性性。按照照重要资资产的排排序和风风险的排排序确定定安全保保护的要要求。活动输出出: 重重要资产产的特殊殊保护要要求。6.2.3 形成安全全需求分分析报告告活动目标标:本活动的的目标是是总结基基本安全全需求和和特殊安安全需求求,形成成安全需需求分析析报告。参与角色色: 信信息系统统运营,使用单单位,信息安安全服务务机构。活动输入入:信息息系统详详细描述述文件,信息系系统安全全保护等等级定级级报告,基本安安全需求
36、求,重要资资产的特特殊保护护要求。活动描述述: 本活动主主要包括括以下子子活动内内容:a) 完成安全全需求分分析报告告根据基本本安全需需求和特特殊的安安全保护护需求等等形成安安全需求求分析报报告。安全需求求分析报报告可以以包含以下下内容:1) 信息系统统描述;2) 安全管理理状况;3) 安全技术术状况;4) 存在的不不足和可可能的风风险;5) 安全需求求描述。活动输出出: 安安全需求求分析报报告。6.3 总体安全全设计6.3.1 总体安全全策略设设计活动目标标:本活动的的目标是是形成机机构纲领领性的安安全策略略文件,包包括确定定安全方方针,制制定安全全策略,以以便结合合等级保保护基本本要求和和
37、安全保保护特殊殊要求,构构建机构构信息系系统的安安全技术术体系结结构和安安全管理理体系结结构。参与角色色: 信信息系统统运营、使用单单位,信息安安全服务务机构。活动输入入: 信信息系统统详细描描述文件件,信息系系统安全全保护等等级定级级报告,安全需需求分析析报告。活动描述述:本活动主主要包括括以下子子活动内内容:a) 确定安全全方针形成机构构最高层层次的安安全方针针文件,阐阐明安全全工作的的使命和和意愿,定定义信息息安全的的总体目目标,规规定信息息安全责责任机构构和职责责,建立立安全工工作运行行模式等等。b) 制定安全全策略形成机构构高层次次的安全全策略文文件,说说明安全全工作的的主要策策略,
38、包包括安全全组织机机构划分分策略、业业务系统统分级策策略、数数据信息息分级策策略、子子系统互互连策略略、信息息流控制制策略等等。活动输出出: 总总体安全全策略文文件。6.3.2 安全技术术体系结结构设计计活动目标标:本活动的的目标是是根据信信息系统统安全等等级保护护基本要要求、安安全需求求分析报报告、机机构总体体安全策策略文件件等,提提出系统统需要实实现的安安全技术术措施,形形成机构构特定的的系统安安全技术术体系结结构,用用以指导导信息系系统分等等级保护护的具体体实现。参与角色色: 信信息系统统运营、使用单单位,信息安安全服务务机构。活动输入入:信息系系统详细细描述文文件,信息系系统安全全保护
39、等等级定级级报告,安全需需求分析析报告,信息系系统安全全等级保保护基本本要求。活动描述述: 本活动主主要包括括以下子子活动内内容:a) 规定骨干干网/城城域网的的安全保保护技术术措施根据机构构总体安安全策略略文件、等等级保护护基本要要求和安安全需求求,提出出骨干网网/城域域网的安安全保护护策略和和安全技技术措施施。骨干干网/城城域网的的安全保保护策略略和安全全技术措措施提出出时应考考虑网络络线路和和网络设设备共享享的情况况,如果果不同级级别的子子系统通通过骨干干网/城城域网的的同一线线路和设设备传输输数据,线线路和设设备的安安全保护护策略和和安全技技术措施施应满足足最高级级别子系系统的等等级保
40、护护基本要要求。b) 规定子系系统之间间互联的的安全技技术措施施根据机构构总体安安全策略略文件、等等级保护护基本要要求和安安全需求求,提出出跨局域域网互联联的子系系统之间间的信息息传输保保护策略略要求和和具体的的安全技技术措施施,包括括同级互互联的策策略、不不同级别别互联的的策略等等;提出出局域网网内部互互联的子子系统之之间的信信息传输输保护策策略要求求和具体体的安全全技术措措施,包包括同级级互联的的策略、不不同级别别互联的的策略等等。c) 规定不同同级别子子系统的的边界保保护技术术措施根据机构构总体安安全策略略文件、等等级保护护基本要要求和安安全需求求,提出出不同级级别子系系统边界界的安全全
41、保护策策略和安安全技术术措施。子系统边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况,如果不同级别的子系统通过同一设备进行边界保护,这个边界设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求。d) 规定不同同级别子子系统内内部系统统平台和和业务应应用的安安全保护护技术措措施根据机构构总体安安全策略略文件、等等级保护护基本要要求和安安全需求求,提出出不同级级别子系系统内部部网络平平台、系系统平台台和业务务应用的的安全保保护策略略和安全全技术措措施。e) 规定不同同级别信信息系统统机房的的安全保保护技术术措施根据机构构总体安安全策略略文件、等等级保护护基本要要求和安
42、安全需求求,提出出不同级级别信息息系统机机房的安安全保护护策略和和安全技技术措施施。信息息系统机机房安全全保护策策略和安安全技术术措施提提出时应应考虑不不同级别别的信息息系统共共享机房房的情况况,如果果不同级级别的信信息系统统共享同同一机房房,机房房的安全全保护策策略和安安全技术术措施应应满足最最高级别别信息系系统的等等级保护护基本要要求。f) 形成信息息系统安安全技术术体系结结构将骨干网网/城域域网、通通过骨干干网/城城域网的的子系统统互联、局局域网内内部的子子系统互互联、子子系统的的边界、子系统内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成信息系统的安全技术
43、体系结构。活动输出出: 信信息系统统安全技技术体系系结构。6.3.3 整体安全全管理体体系结构构设计活动目标标:本活动的的目标是是根据等等级保护护基本要要求、安安全需求求分析报报告、机机构总体体安全策策略文件件等,调调整原有有管理模模式和管管理策略略,既从从全局高高度考虑虑为每个个等级信信息系统统制定统统一的安安全管理理策略,又又从每个个信息系系统的实实际需求求出发,选选择和调调整具体体的安全全管理措措施,最最后形成成统一的的整体安安全管理理体系结结构。 参与角色色: 信信息系统统运营、使用单单位,信息安安全服务务机构。活动输入入:信息系系统详细细描述文文件,信息系系统安全全保护等等级定级级报
44、告,安全需需求分析析报告,信息系系统安全全等级保保护基本本要求。活动描述述:本活动主主要包括括以下子子活动内内容:a) 规定信息息安全的的组织管管理体系系和对各各信息系系统的安安全管理理职责根据机构构总体安安全策略略文件、等等级保护护基本要要求和安安全需求求,提出出机构的的安全组组织管理理机构框框架,分分配各个个级别信信息系统统的安全全管理职职责,规定各各个级别别信息系系统的安安全管理理策略等等。b) 规定各等等级信息息系统的的人员安安全管理理策略根据机构构总体安安全策略略文件、等等级保护护基本要要求和安安全需求求,提出出各个不不同级别别信息系系统的管管理人员员框架,分分配各个个级别信信息系统
45、统的管理理人员职职责,规定各各个级别别信息系系统的人人员安全全管理策策略等。c) 规定各等等级信息息系统机机房及办办公区等等物理环环境的安安全管理理策略根据机构构总体安安全策略略文件、等等级保护护基本要要求和安安全需求求,提出出各个不不同级别别信息系系统的机机房和办办公环境境的安全全策略。d) 规定各等等级信息息系统介介质、设设备等的的安全管管理策略略根据机构构总体安安全策略略文件、等等级保护护基本要要求和安安全需求求,提出出各个不不同级别别信息系系统的介介质、设设备等的的安全策策略。e) 规定各等等级信息息系统运运行安全全管理策策略根据机构构总体安安全策略略文件、等等级保护护基本要要求和安安全需求求,提出出各个不不同级别别信息系系统的安安全运行行与维护护框架和和运维安安全策略略等。f) 规定各等等级信息息系统安安全事件件处置和和应急管管理策略略根据机构构总体安安全策略略文件、等等级保护护基本要要求和安安全需求求,提出出各个不不同级别别信息系系统的安安全事件件处置和和应急管管理策略略等。g) 形成信息息系统安安全管理理策略框框架将上述各各个方面面的安全全管理策策略进行行整理、汇汇总,形形成