信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南介紹.ppt

信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南介紹 目錄 概述等級(jí)保護(hù)的實(shí)施過(guò)程系統(tǒng)定級(jí)階段安全規(guī)劃設(shè)計(jì)階段安全實(shí)施 實(shí)現(xiàn)階段安全運(yùn)行管理階段系統(tǒng)中止階段 概述 背景實(shí)施指南的作用實(shí)施指南的使用對(duì)象與風(fēng)險(xiǎn)管理之間的關(guān)系 概述 背景 1994年 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 的發(fā)布1999年 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB17859 1999發(fā)布2003年 中央辦公廳 國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā) 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) 27號(hào)文 2004年 四部委聯(lián)合簽發(fā)了 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) 66號(hào)文 概述 背景 續(xù) 在 66號(hào)文 的職責(zé)分工和工作要求中指出 信息和信息系統(tǒng)的運(yùn)營(yíng) 使用單位按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 確定其信息和信息系統(tǒng)的安全保護(hù)等級(jí)信息和信息系統(tǒng)的運(yùn)營(yíng) 使用單位按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對(duì)新建 改建 擴(kuò)建的信息系統(tǒng)進(jìn)行信息系統(tǒng)的安全規(guī)劃設(shè)計(jì) 安全建設(shè)施工信息和信息系統(tǒng)的運(yùn)營(yíng) 使用單位及其主管部門按照與信息系統(tǒng)安全保護(hù)等級(jí)相對(duì)應(yīng)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求 定期進(jìn)行安全狀況檢測(cè)評(píng)估國(guó)家指定信息安全監(jiān)管職能部門按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求 對(duì)信息和信息系統(tǒng)的安全等級(jí)保護(hù)狀況進(jìn)行監(jiān)督檢查 概述 背景 續(xù) 管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的作用 主管部門 監(jiān)督檢查 信息安全監(jiān)管職能部門 系統(tǒng)定級(jí) 安全保護(hù) 檢測(cè)評(píng)估 運(yùn)營(yíng) 使用單位 安全服務(wù)商安全評(píng)估機(jī)構(gòu) 技術(shù)標(biāo)準(zhǔn) 管理規(guī)范 概述 背景 續(xù) 主要的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)管理規(guī)范 信息安全等級(jí)保護(hù)管理辦法 技術(shù)標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 信息系統(tǒng)安全等級(jí)保護(hù)監(jiān)督檢查指南 概述 實(shí)施指南的作用 是信息系統(tǒng)實(shí)施等級(jí)保護(hù)的指南性文件 作為等級(jí)保護(hù)標(biāo)準(zhǔn)體系的指引文檔 貫穿整個(gè)等級(jí)保護(hù)工作的所有階段 規(guī)范和指導(dǎo)所有的安全活動(dòng) 介紹信息系統(tǒng)實(shí)施等級(jí)保護(hù)的方法 不同的角色在不同階段的作用 概述 實(shí)施指南的使用對(duì)象 本指南的使用對(duì)象是 信息系統(tǒng)的主管單位 信息系統(tǒng)運(yùn)營(yíng) 使用單位 信息系統(tǒng)安全服務(wù)商 信息安全監(jiān)管機(jī)構(gòu) 安全測(cè)評(píng)機(jī)構(gòu) 安全產(chǎn)品供應(yīng)商 概述 與風(fēng)險(xiǎn)管理之間的關(guān)系 相同點(diǎn)都是對(duì)活動(dòng)過(guò)程的管理 都闡明了對(duì)信息系統(tǒng)整個(gè)生命周期的管理 不同點(diǎn)風(fēng)險(xiǎn)管理方法以 風(fēng)險(xiǎn) 控制為核心 描述了風(fēng)險(xiǎn)管理的主要活動(dòng)過(guò)程 信息系統(tǒng)實(shí)施等級(jí)保護(hù)的思路是首先根據(jù)信息系統(tǒng)定級(jí)方法對(duì)信息系統(tǒng)進(jìn)行定級(jí) 根據(jù)安全級(jí)別確定基本安全保護(hù)措施 通過(guò)風(fēng)險(xiǎn)分析補(bǔ)充其它需要的安全措施 構(gòu)成等級(jí)保護(hù)安全設(shè)計(jì)方案 并依據(jù)方案進(jìn)行安全工程實(shí)施 概述 與風(fēng)險(xiǎn)管理之間的關(guān)系 續(xù) 二者之間關(guān)系在對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的過(guò)程中 風(fēng)險(xiǎn)管理是一種輔助手段 等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)對(duì)不同級(jí)別的信息系統(tǒng)提出了基本保護(hù)要求 基本保護(hù)要求是系統(tǒng)安全建設(shè)的基礎(chǔ) 但是不同的信息系統(tǒng)由于其本身的特性 除基本保護(hù)要求外 可以通過(guò)風(fēng)險(xiǎn)管理中風(fēng)險(xiǎn)分析的方法選擇需要補(bǔ)充的安全措施 從而使得系統(tǒng)的等級(jí)保護(hù)更加個(gè)性化 等級(jí)保護(hù)的基本實(shí)施過(guò)程 基本實(shí)施過(guò)程與信息系統(tǒng)生命周期之間的關(guān)系重要概念 等級(jí)保護(hù)的基本實(shí)施過(guò)程 重大變更 局部調(diào)整 系統(tǒng)定級(jí) 安全規(guī)劃設(shè)計(jì) 安全實(shí)施 實(shí)現(xiàn) 安全運(yùn)行管理 系統(tǒng)終止 與信息系統(tǒng)生命周期之間的關(guān)系 新建信息系統(tǒng) 新建信息系統(tǒng)等級(jí)保護(hù)實(shí)施過(guò)程 信息系統(tǒng)生命周期 與信息系統(tǒng)生命周期之間的關(guān)系 已建信息系統(tǒng)已經(jīng)存在的信息系統(tǒng) 通常處于系統(tǒng)運(yùn)行維護(hù)階段 安全等級(jí)保護(hù)實(shí)施過(guò)程中的系統(tǒng)定級(jí)階段 安全規(guī)劃設(shè)計(jì)階段 安全實(shí)施 實(shí)現(xiàn)階段和系統(tǒng)終止等的主要活動(dòng)都將在信息系統(tǒng)生命周期的系統(tǒng)運(yùn)行維護(hù)階段完成 主要階段和主要活動(dòng) 重要概念 階段主要活動(dòng) 主要活動(dòng)過(guò)程 階段 工作內(nèi)容 過(guò)程目標(biāo) 輸入 輸出 活動(dòng)目標(biāo) 階段目標(biāo) 參與角色 主要工作內(nèi)容 主要活動(dòng)過(guò)程 實(shí)施流程 主要活動(dòng) 主要參考標(biāo)準(zhǔn) 實(shí)施等級(jí)保護(hù)的主要階段 第一階段 系統(tǒng)定級(jí)第二階段 安全規(guī)劃設(shè)計(jì)第三階段 安全實(shí)施 實(shí)現(xiàn)第四階段 安全運(yùn)行管理第五階段 系統(tǒng)終止 第一階段 系統(tǒng)定級(jí) 定級(jí)方法參與角色和職責(zé)實(shí)施流程階段主要活動(dòng) 系統(tǒng)定級(jí)階段 定級(jí)方法 第一種方法 根據(jù)經(jīng)驗(yàn)直接定級(jí)第二種方法 按照標(biāo)準(zhǔn)定級(jí)第三種方法 制定方法自行定級(jí)如采用第二種定級(jí)方法則可以參考 實(shí)施指南 系統(tǒng)定級(jí)階段相關(guān)活動(dòng)內(nèi)容 系統(tǒng)定級(jí)階段 參與角色和職責(zé) 信息系統(tǒng)運(yùn)營(yíng) 使用單位 負(fù)責(zé)選擇定級(jí)方法確定其信息系統(tǒng)的安全等級(jí) 并報(bào)其主管部門審批同意 對(duì)安全等級(jí)在三級(jí)以上的信息系統(tǒng) 報(bào)送本地區(qū)地市級(jí)公安機(jī)關(guān)備案 信息系統(tǒng)主管部門 對(duì)下屬單位確定的信息系統(tǒng)安全等級(jí)進(jìn)行審批 信息系統(tǒng)安全服務(wù)商 協(xié)助信息系統(tǒng)運(yùn)營(yíng) 使用單位完成與信息系統(tǒng)定級(jí)相關(guān)的工作 系統(tǒng)定級(jí)階段 實(shí)施流程 主要輸入 主要輸出 階段主要活動(dòng) 子系統(tǒng)識(shí)別和描述 系統(tǒng)立項(xiàng)文檔系統(tǒng)建設(shè)文檔系統(tǒng)管理文檔 系統(tǒng)詳細(xì)描述文件 系統(tǒng)識(shí)別與劃分 系統(tǒng)總體描述文件 系統(tǒng)總體描述文件 安全等級(jí)確定 系統(tǒng)總體描述文件系統(tǒng)詳細(xì)描述文件 系統(tǒng)安全保護(hù)等級(jí)定級(jí)建議書(shū) 系統(tǒng)定級(jí)階段 系統(tǒng)識(shí)別和劃分 過(guò)程目標(biāo)收集有關(guān)信息系統(tǒng)的信息 在對(duì)信息進(jìn)行綜合分析的基礎(chǔ)上將組織機(jī)構(gòu)內(nèi)運(yùn)行的信息系統(tǒng)合理地分解成若干個(gè)信息系統(tǒng) 針對(duì)目標(biāo)信息系統(tǒng) 形成信息系統(tǒng)的總體描述性文檔 輸入信息系統(tǒng)的立項(xiàng) 建設(shè) 管理文檔 系統(tǒng)定級(jí)階段 系統(tǒng)識(shí)別和劃分 續(xù) 輸出信息系統(tǒng)總體描述文件主要工作內(nèi)容識(shí)別單位的基本信息識(shí)別信息系統(tǒng)的管理框架識(shí)別信息系統(tǒng)的網(wǎng)絡(luò)邊界及設(shè)備部署識(shí)別信息系統(tǒng)的業(yè)務(wù)種類和特性識(shí)別用戶范圍和用戶類型劃分方法的選擇形成信息系統(tǒng)總體描述文檔 系統(tǒng)定級(jí)階段 系統(tǒng)識(shí)別和劃分 續(xù) 信息系統(tǒng)劃分方法從組織管理角度劃分從業(yè)務(wù)類型角度劃分從物理區(qū)域或運(yùn)行環(huán)境角度劃分 系統(tǒng)定級(jí)階段 業(yè)務(wù)子系統(tǒng)識(shí)別和描述 過(guò)程目標(biāo)如果某一個(gè)信息系統(tǒng)中包含多個(gè)業(yè)務(wù)子系統(tǒng) 識(shí)別出主要的業(yè)務(wù)子系統(tǒng) 對(duì)主要業(yè)務(wù)子系統(tǒng)的安全屬性進(jìn)行識(shí)別和描述 輸入信息系統(tǒng)詳細(xì)描述文件 系統(tǒng)定級(jí)階段 業(yè)務(wù)子系統(tǒng)識(shí)別和描述 輸出信息系統(tǒng)詳細(xì)描述文件主要工作內(nèi)容識(shí)別各業(yè)務(wù)子系統(tǒng)處理的信息類型識(shí)別各業(yè)務(wù)子系統(tǒng)的服務(wù)范圍識(shí)別各項(xiàng)業(yè)務(wù)對(duì)系統(tǒng)的依賴程度形成信息系統(tǒng)和業(yè)務(wù)子系統(tǒng)的詳細(xì)描述文檔 系統(tǒng)定級(jí)階段 安全等級(jí)確定 過(guò)程目標(biāo)依據(jù) 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 確定每個(gè)業(yè)務(wù)子系統(tǒng)的安全保護(hù)等級(jí) 由所包括的各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定信息系統(tǒng)的安全保護(hù)等級(jí) 對(duì)定級(jí)過(guò)程文檔進(jìn)行整理 形成文件化的信息系統(tǒng)定級(jí)建議書(shū) 輸入信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件 系統(tǒng)定級(jí)階段 安全等級(jí)確定 輸出信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)建議書(shū)主要工作內(nèi)容各業(yè)務(wù)子系統(tǒng)安全保護(hù)等級(jí)確定信息系統(tǒng)安全保護(hù)等級(jí)確定安全保護(hù)等級(jí)的調(diào)整定級(jí)結(jié)果文檔化 第二階段 安全規(guī)劃設(shè)計(jì)階段 階段目標(biāo)參與角色和職責(zé)實(shí)施流程階段主要活動(dòng) 安全規(guī)劃設(shè)計(jì) 階段目標(biāo) 通過(guò)安全評(píng)估和需求分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求之間的差距 確定安全需求 然后根據(jù)信息系統(tǒng)的劃分情況 信息系統(tǒng)的定級(jí)情況 信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等 設(shè)計(jì)合理的 滿足等級(jí)保護(hù)要求的總體安全方案 并制定出安全實(shí)施計(jì)劃等 以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施 安全規(guī)劃設(shè)計(jì) 參與角色和職責(zé) 信息系統(tǒng)運(yùn)營(yíng) 使用單位 根據(jù)已經(jīng)確定的安全等級(jí) 按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 進(jìn)行信息系統(tǒng)的安全規(guī)劃設(shè)計(jì) 信息系統(tǒng)安全服務(wù)商 根據(jù)信息系統(tǒng)運(yùn)營(yíng) 使用單位的委托 按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 協(xié)助信息系統(tǒng)運(yùn)營(yíng) 使用單位完成信息系統(tǒng)安全規(guī)劃設(shè)計(jì)工作 安全規(guī)劃設(shè)計(jì) 實(shí)施流程 主要輸入 主要輸出 階段主要活動(dòng) 安全評(píng)估和需求分析 系統(tǒng)詳細(xì)描述文件系統(tǒng)定級(jí)建議書(shū)等級(jí)保護(hù)基本要求 安全評(píng)估報(bào)告安全需求分析報(bào)告 安全總體設(shè)計(jì) 安全總體方案書(shū)技術(shù)防護(hù)框架管理策略框架 安全建設(shè)規(guī)劃 總體安全策略 框架單位信息化的中長(zhǎng)期規(guī)劃 信息系統(tǒng)安全建設(shè)方案 安全評(píng)估報(bào)告安全需求分析報(bào)告等級(jí)保護(hù)基本要求 階段主要活動(dòng) 1 安全評(píng)估和需求分析 活動(dòng)目標(biāo)通過(guò)系統(tǒng)調(diào)查和安全評(píng)估了解系統(tǒng)目前的安全現(xiàn)狀 評(píng)估系統(tǒng)已經(jīng)采用的或?qū)⒁捎玫谋Ｗo(hù)措施和等級(jí)保護(hù)安全要求之間的差距 這種差距作為系統(tǒng)的一種安全需求 了解系統(tǒng)額外的安全需求 明確系統(tǒng)的完整安全需求 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求 信息安全風(fēng)險(xiǎn)評(píng)估指南 階段主要活動(dòng) 1 安全評(píng)估和需求分析 主要活動(dòng)過(guò)程評(píng)估對(duì)象和評(píng)估方法的明確 評(píng)估指標(biāo)體系的選擇和確定 系統(tǒng)現(xiàn)狀與評(píng)估指標(biāo)的對(duì)比 特殊安全要求的確定 階段主要活動(dòng) 1 安全評(píng)估和需求分析 評(píng)估對(duì)象和評(píng)估方法的明確 確定評(píng)估范圍 獲得信息系統(tǒng)的信息 確定具體的評(píng)估對(duì)象 確定評(píng)估工作的方法 制定評(píng)估工作計(jì)劃 系統(tǒng)詳細(xì)描述文件系統(tǒng)定級(jí)建議書(shū)用戶文檔 輸入 輸出 過(guò)程的工作內(nèi)容 評(píng)估工作方案 階段主要活動(dòng) 1 安全評(píng)估和需求分析 評(píng)估指標(biāo)體系的選擇和確定 選擇基本評(píng)估指標(biāo) 評(píng)估對(duì)象威脅分析 系統(tǒng)詳細(xì)描述文件系統(tǒng)定級(jí)建議書(shū)等級(jí)保護(hù)基本要求評(píng)估工作方案 輸入 輸出 過(guò)程的工作內(nèi)容 安全評(píng)估方案 落實(shí)評(píng)估對(duì)象的評(píng)估指標(biāo) 制定評(píng)估方案 階段主要活動(dòng) 1 安全評(píng)估和需求分析 安全現(xiàn)狀與評(píng)估指標(biāo)對(duì)比 管理指標(biāo)符合性評(píng)估 技術(shù)指標(biāo)符合性測(cè)評(píng) 系統(tǒng)詳細(xì)描述文件評(píng)估工作方案安全評(píng)估方案 輸入 輸出 過(guò)程的工作內(nèi)容 符合性評(píng)估結(jié)果 重要資產(chǎn)特殊安全要求的確定 重要資產(chǎn)分析 重要資產(chǎn)弱點(diǎn)評(píng)估 系統(tǒng)詳細(xì)描述文件評(píng)估結(jié)果記錄用戶需求文檔 輸入 輸出 過(guò)程的工作內(nèi)容 風(fēng)險(xiǎn)評(píng)估結(jié)果特殊安全要求 重要資產(chǎn)威脅評(píng)估 重要資產(chǎn)風(fēng)險(xiǎn)評(píng)估 階段主要活動(dòng) 1 安全評(píng)估和需求分析 階段主要活動(dòng) 2 安全總體設(shè)計(jì) 活動(dòng)目標(biāo)根據(jù)等級(jí)保護(hù)基本安全要求和系統(tǒng)的特殊要求 從被評(píng)估單位全局考慮設(shè)計(jì)系統(tǒng)的整體安全框架 提出各信息系統(tǒng)在總體方面的策略要求 應(yīng)實(shí)現(xiàn)的安全技術(shù)措施和安全管理措施等 形成用于指導(dǎo)系統(tǒng)進(jìn)行安全建設(shè)的安全總體方案 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB Txxxxx 2006操作系統(tǒng)安全技術(shù)要求GB Txxxxx 2006數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求GB T19716 2005信息安全管理實(shí)用規(guī)則IATF3 0信息保障技術(shù)框架 階段主要活動(dòng) 2 安全總體設(shè)計(jì) 主要活動(dòng)過(guò)程系統(tǒng)等級(jí)化模型處理總體安全策略設(shè)計(jì)各級(jí)系統(tǒng)安全技術(shù)措施設(shè)計(jì)單位整體安全管理策略設(shè)計(jì)設(shè)計(jì)結(jié)果文檔化 階段主要活動(dòng) 2 安全總體設(shè)計(jì) 系統(tǒng)等級(jí)化模型處理 信息系統(tǒng)構(gòu)成抽象處理 骨干網(wǎng)抽象處理 系統(tǒng)詳細(xì)描述文件符合性評(píng)估結(jié)果風(fēng)險(xiǎn)評(píng)估結(jié)果特殊安全要求 輸入 輸出 過(guò)程的工作內(nèi)容 信息系統(tǒng)等級(jí)化抽象模型 安全域抽象處理 局域網(wǎng) 邊界抽象處理 形成信息系統(tǒng)抽象模型 階段主要活動(dòng) 2 安全總體設(shè)計(jì) 總體安全策略設(shè)計(jì) 制定安全方針 規(guī)定安全策略 系統(tǒng)詳細(xì)描述文件安全需求分析報(bào)告信息系統(tǒng)等級(jí)化抽象模型 輸入 輸出 過(guò)程的工作內(nèi)容 總體安全策略等級(jí)保護(hù)模型 建立等級(jí)化保護(hù)模型 階段主要活動(dòng) 2 安全總體設(shè)計(jì) 各級(jí)系統(tǒng)安全技術(shù)措施設(shè)計(jì) 骨干網(wǎng)等級(jí)保護(hù)措施 安全域等級(jí)保護(hù)措施 安全需求分析報(bào)告信息系統(tǒng)等級(jí)保護(hù)模型等級(jí)保護(hù)基本要求特殊安全要求 輸入 輸出 過(guò)程的工作內(nèi)容 信息系統(tǒng)技術(shù)防護(hù)框架 等級(jí)系統(tǒng)邊界防護(hù)策略 主機(jī)系統(tǒng) 應(yīng)用等級(jí)保護(hù)措施 機(jī)房等物理安全保護(hù)措施 階段主要活動(dòng) 2 安全總體設(shè)計(jì) 單位整體安全管理策略設(shè)計(jì) 規(guī)定安全管理職責(zé) 規(guī)定安全管理策略 安全需求分析報(bào)告信息系統(tǒng)等級(jí)保護(hù)模型等級(jí)保護(hù)基本要求特殊安全要求 輸入 輸出 過(guò)程的工作內(nèi)容 信息系統(tǒng)安全管理策略框架 給定介質(zhì) 設(shè)備管理策略 規(guī)定運(yùn)行安全管理策略 規(guī)定安全事件處置和應(yīng)急管理策略 階段主要活動(dòng) 2 安全總體設(shè)計(jì) 設(shè)計(jì)結(jié)果文檔化 編制安全總體方案書(shū) 安全需求分析報(bào)告等級(jí)保護(hù)模型技術(shù)防護(hù)框架管理策略框架 輸入 輸出 過(guò)程的工作內(nèi)容 安全總體方案書(shū) 安全規(guī)劃設(shè)計(jì) 3 安全建設(shè)規(guī)劃 活動(dòng)目標(biāo)將信息系統(tǒng)安全總體方案書(shū)規(guī)定的內(nèi)容落實(shí)到安全建設(shè)項(xiàng)目中 通過(guò)對(duì)安全項(xiàng)目的相關(guān)性 緊迫性 難易程度和預(yù)期效果等因素進(jìn)行分析 確定實(shí)施的先后順序 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB Txxxxx 2006等級(jí)保護(hù)系列安全產(chǎn)品技術(shù)要求GB Txxxxx 2006操作系統(tǒng)安全技術(shù)要求GB Txxxxx 2006數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求 安全規(guī)劃設(shè)計(jì) 3 安全建設(shè)規(guī)劃 主要活動(dòng)過(guò)程安全建設(shè)目標(biāo)確定安全建設(shè)內(nèi)容規(guī)劃安全建設(shè)方案設(shè)計(jì) 階段主要活動(dòng) 3 安全建設(shè)規(guī)劃 安全建設(shè)目標(biāo)確定 收集規(guī)劃文檔 調(diào)研相關(guān)安全需求 安全總體方案書(shū)單位信息化建設(shè)中長(zhǎng)期發(fā)展規(guī)劃 輸入 輸出 過(guò)程的工作內(nèi)容 分階段建設(shè)目標(biāo) 調(diào)研建設(shè)資金準(zhǔn)備狀況 階段主要活動(dòng) 3 安全建設(shè)規(guī)劃 安全建設(shè)內(nèi)容規(guī)劃 確定主要建設(shè)內(nèi)容 分類形成建設(shè)項(xiàng)目 安全總體方案書(shū)分階段安全建設(shè)目標(biāo) 輸入 輸出 過(guò)程的工作內(nèi)容 具體安全建設(shè)內(nèi)容 階段主要活動(dòng) 3 安全建設(shè)規(guī)劃 安全建設(shè)方案設(shè)計(jì) 設(shè)計(jì)建設(shè)順序 安全總體方案書(shū)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容 輸入 輸出 過(guò)程的工作內(nèi)容 系統(tǒng)安全建設(shè)方案 估算各項(xiàng)目投資 編制文檔 第三階段 安全實(shí)施 實(shí)現(xiàn)階段 階段目標(biāo)參與角色和職責(zé)實(shí)施流程階段主要活動(dòng) 安全實(shí)施 實(shí)現(xiàn) 階段目標(biāo) 安全實(shí)施 實(shí)現(xiàn)的目標(biāo)是按照信息系統(tǒng)安全總體方案書(shū)的總體要求 結(jié)合信息系統(tǒng)安全建設(shè)方案 分期分步落實(shí)安全措施 安全實(shí)施 實(shí)現(xiàn) 參與角色和職責(zé) 主管部門 審批下屬單位制定的文件運(yùn)營(yíng) 使用單位 按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 進(jìn)行信息系統(tǒng)的安全建設(shè) 安全服務(wù)商 根據(jù)信息系統(tǒng)運(yùn)營(yíng) 使用單位的委托 協(xié)助信息系統(tǒng)運(yùn)營(yíng) 使用單位完成信息系統(tǒng)安全建設(shè)施工 安全產(chǎn)品供應(yīng)商 按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 開(kāi)發(fā)符合安全等級(jí)保護(hù)要求的安全產(chǎn)品安全測(cè)評(píng)機(jī)構(gòu) 按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) 對(duì)已經(jīng)完成安全等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行檢查評(píng)估 對(duì)安全產(chǎn)品供應(yīng)商提供的安全產(chǎn)品進(jìn)行檢查評(píng)估 安全實(shí)施 實(shí)現(xiàn)階段 實(shí)施流程 主要輸入 主要輸出 階段主要活動(dòng) 安全詳細(xì)方案設(shè)計(jì) 安全總體方案書(shū)系統(tǒng)安全建設(shè)方案安全產(chǎn)品技術(shù)白皮書(shū) 安全詳細(xì)設(shè)計(jì)方案 安全技術(shù)實(shí)施 安全測(cè)評(píng)報(bào)告 等級(jí)化安全測(cè)評(píng) 安全詳細(xì)設(shè)計(jì)方案 系統(tǒng)定級(jí)建議書(shū)系統(tǒng)驗(yàn)收?qǐng)?bào)告 系統(tǒng)驗(yàn)收?qǐng)?bào)告 安全管理實(shí)施 安全詳細(xì)設(shè)計(jì)方案 角色與職責(zé)說(shuō)明書(shū)管理制度 操作規(guī)范 階段主要活動(dòng) 1 安全詳細(xì)方案設(shè)計(jì) 活動(dòng)目標(biāo)依據(jù)信息系統(tǒng)安全建設(shè)方案 提出本期實(shí)施項(xiàng)目的具體實(shí)施方案 包括安全技術(shù)實(shí)施內(nèi)容 安全管理實(shí)施內(nèi)容 項(xiàng)目實(shí)施計(jì)劃以及項(xiàng)目經(jīng)費(fèi)投入等 以便進(jìn)行本次項(xiàng)目的實(shí)施 階段主要活動(dòng) 1 安全詳細(xì)方案設(shè)計(jì) 主要參考標(biāo)準(zhǔn)GB17859 1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB T19716 2005信息安全管理實(shí)用規(guī)則GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB Txxxxx 2006等級(jí)保護(hù)系列安全產(chǎn)品技術(shù)要求GB Txxxxx 2006操作系統(tǒng)安全技術(shù)要求GB Txxxxx 2006數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求 階段主要活動(dòng) 1 安全詳細(xì)方案設(shè)計(jì) 主要活動(dòng)過(guò)程安全技術(shù)實(shí)施內(nèi)容設(shè)計(jì)安全管理實(shí)施內(nèi)容設(shè)計(jì)設(shè)計(jì)結(jié)果文檔化 階段主要活動(dòng) 1 安全詳細(xì)方案設(shè)計(jì) 安全技術(shù)實(shí)施內(nèi)容設(shè)計(jì) 設(shè)計(jì)結(jié)構(gòu)框架 設(shè)計(jì)功能要求 安全總體方案書(shū)安全建設(shè)方案安全產(chǎn)品技術(shù)白皮書(shū) 輸入 輸出 過(guò)程的工作內(nèi)容 安全技術(shù)實(shí)施方案 設(shè)計(jì)性能指標(biāo) 設(shè)計(jì)部署方案 制定安全策略實(shí)現(xiàn)計(jì)劃 階段主要活動(dòng) 1 安全詳細(xì)方案設(shè)計(jì) 安全管理實(shí)施內(nèi)容設(shè)計(jì) 設(shè)置安全管理機(jī)構(gòu) 配備安全管理人員 安全總體方案書(shū)安全建設(shè)方案 輸入 輸出 過(guò)程的工作內(nèi)容 安全管理實(shí)施方案 制定安全管理制度 培訓(xùn)安全管理技能 階段主要活動(dòng) 1 安全詳細(xì)方案設(shè)計(jì) 安全技術(shù)實(shí)施內(nèi)容設(shè)計(jì) 設(shè)置安全管理機(jī)構(gòu) 配備安全管理人員 安全總體方案書(shū)安全建設(shè)方案 輸入 輸出 過(guò)程的工作內(nèi)容 安全管理實(shí)施方案 制定安全管理制度 培訓(xùn)安全管理技能 階段主要活動(dòng) 1 安全詳細(xì)方案設(shè)計(jì) 設(shè)計(jì)結(jié)果文檔化 實(shí)施內(nèi)容匯總 編制文檔 安全技術(shù)實(shí)施方案安全管理實(shí)施方案 輸入 輸出 過(guò)程的工作內(nèi)容 安全詳細(xì)設(shè)計(jì)方案 階段主要活動(dòng) 2 安全管理實(shí)施 活動(dòng)目標(biāo)建立與信息系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的安全管理機(jī)制 在本期安全詳細(xì)設(shè)計(jì)方案的指導(dǎo)下 建立配套的安全管理機(jī)構(gòu)和人員 建立配套的安全管理制度和操作規(guī)程 進(jìn)行人員的安全技能培訓(xùn)等 保證本期安全實(shí)施完成后 安全運(yùn)行管理有配套的機(jī)制 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB T19715 2 2005IT安全管理指南GB T19716 2005信息安全管理實(shí)用規(guī)則 階段主要活動(dòng) 2 安全管理實(shí)施 主要活動(dòng)內(nèi)容管理機(jī)構(gòu)和人員的設(shè)置管理制度的建設(shè)和修訂人員安全技能培訓(xùn)安全實(shí)施過(guò)程管理 階段主要活動(dòng) 2 安全管理實(shí)施 管理機(jī)構(gòu)和人員設(shè)置 識(shí)別安全管理組織成員 識(shí)別安全管理角色 現(xiàn)有管理制度和政策文件安全詳細(xì)設(shè)計(jì)方案 輸入 輸出 過(guò)程的工作內(nèi)容 機(jī)構(gòu) 角色職責(zé)說(shuō)明文件 規(guī)定各機(jī)構(gòu)和角色職責(zé) 階段主要活動(dòng) 2 安全管理實(shí)施 管理制度的建設(shè)和修訂 確定制度的應(yīng)用范圍 確定部門 人員職責(zé) 現(xiàn)有管理制度和政策文件安全組織結(jié)構(gòu)表機(jī)構(gòu) 角色職責(zé)說(shuō)明文件 輸入 輸出 過(guò)程的工作內(nèi)容 各項(xiàng)管理制度和操作規(guī)范 評(píng)估并完善現(xiàn)有制度 階段主要活動(dòng) 2 安全管理實(shí)施 人員安全技能培訓(xùn) 培訓(xùn)特定崗位技能 培訓(xùn)安全意識(shí) 崗位職責(zé)說(shuō)明系統(tǒng) 產(chǎn)品使用手冊(cè)各項(xiàng)管理制度和操作規(guī)程 輸入 輸出 過(guò)程的工作內(nèi)容 培訓(xùn)記錄上崗資格證書(shū) 考核 頒發(fā)上崗資格證書(shū) 階段主要活動(dòng) 2 安全管理實(shí)施 安全實(shí)施過(guò)程管理 質(zhì)量管理 進(jìn)度管理 信息系統(tǒng)等級(jí)保護(hù)建設(shè)的各階段文檔 輸入 輸出 過(guò)程的工作內(nèi)容 各階段過(guò)程管理控制記錄 文檔管理 版本控制 變更管理 風(fēng)險(xiǎn)管理 階段主要活動(dòng) 3 安全技術(shù)實(shí)施 活動(dòng)目標(biāo)保證按照安全詳細(xì)設(shè)計(jì)方案實(shí)現(xiàn)各項(xiàng)安全技術(shù)措施 并確保安全技術(shù)措施的有效性 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB T19715 2 2005IT安全管理指南GB T19716 2005信息安全管理實(shí)用規(guī)則GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB Txxxxx 2006操作系統(tǒng)安全技術(shù)要求GB Txxxxx 2006數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求GB Txxxxx 2006網(wǎng)絡(luò)技術(shù)要求GB Txxxxx 2006網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求 階段主要活動(dòng) 3 安全技術(shù)實(shí)施 主要活動(dòng)過(guò)程安全產(chǎn)品采購(gòu)安全控制開(kāi)發(fā)安全控制集成測(cè)試與驗(yàn)收 階段主要活動(dòng) 3 安全技術(shù)實(shí)施 安全產(chǎn)品采購(gòu) 制定產(chǎn)品采購(gòu)說(shuō)明書(shū) 選擇入圍產(chǎn)品 安全設(shè)計(jì)詳細(xì)方案相關(guān)產(chǎn)品信息 輸入 輸出 過(guò)程的工作內(nèi)容 已采購(gòu)安全產(chǎn)品清單 產(chǎn)品招標(biāo) 階段主要活動(dòng) 3 安全技術(shù)實(shí)施 安全控制開(kāi)發(fā) 安全措施需求分析 概要設(shè)計(jì) 安全設(shè)計(jì)詳細(xì)方案 輸入 輸出 過(guò)程的工作內(nèi)容 安全控制開(kāi)發(fā)過(guò)程相關(guān)文檔 詳細(xì)設(shè)計(jì) 編碼實(shí)現(xiàn) 測(cè)試 階段主要活動(dòng) 3 安全技術(shù)實(shí)施 安全控制集成 制定集成實(shí)施方案 實(shí)施集成 安全設(shè)計(jì)詳細(xì)方案 輸入 輸出 過(guò)程的工作內(nèi)容 安全控制集成報(bào)告 階段集成測(cè)試 產(chǎn)品和維護(hù)培訓(xùn) 階段主要活動(dòng) 3 安全技術(shù)實(shí)施 測(cè)試與驗(yàn)收 測(cè)試系統(tǒng)功能和性能 測(cè)試運(yùn)行可靠性 安全設(shè)計(jì)詳細(xì)方案安全控制集成報(bào)告 輸入 輸出 過(guò)程的工作內(nèi)容 系統(tǒng)測(cè)試報(bào)告系統(tǒng)驗(yàn)收?qǐng)?bào)告 測(cè)評(píng)安全管理實(shí)施 系統(tǒng)驗(yàn)收 系統(tǒng)交付 階段主要活動(dòng) 3 安全技術(shù)實(shí)施 等級(jí)化安全測(cè)評(píng) 測(cè)試系統(tǒng)功能和性能 測(cè)試運(yùn)行可靠性 安全設(shè)計(jì)詳細(xì)方案安全控制集成報(bào)告 輸入 輸出 過(guò)程的工作內(nèi)容 系統(tǒng)測(cè)試報(bào)告系統(tǒng)驗(yàn)收?qǐng)?bào)告 測(cè)評(píng)安全管理實(shí)施 系統(tǒng)驗(yàn)收 系統(tǒng)交付 階段主要活動(dòng) 4 等級(jí)化安全測(cè)評(píng) 過(guò)程目標(biāo)通過(guò)安全測(cè)評(píng)機(jī)構(gòu)對(duì)已經(jīng)完成安全等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行測(cè)評(píng) 確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級(jí)的安全要求 主要參考標(biāo)準(zhǔn) 信息安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 信息安全等級(jí)保護(hù)基本要求 階段主要活動(dòng) 4 等級(jí)化安全測(cè)評(píng) 輸入信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告系統(tǒng)驗(yàn)收?qǐng)?bào)告輸出安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告主要工作內(nèi)容參見(jiàn) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 第四階段 安全運(yùn)行管理階段 階段目標(biāo)參與角色和職責(zé)實(shí)施流程階段主要活動(dòng) 安全運(yùn)行管理 階段目標(biāo) 通過(guò)在安全運(yùn)行管理階段實(shí)施操作管理和控制 變更管理和控制 安全狀態(tài)監(jiān)控 安全事件處置和應(yīng)急預(yù)案 安全評(píng)估和持續(xù)改進(jìn)以及監(jiān)督檢查等活動(dòng) 在安全管理基本要求的基礎(chǔ)上 指導(dǎo)系統(tǒng)運(yùn)行的動(dòng)態(tài)管理 安全運(yùn)行管理 參與角色和職責(zé) 運(yùn)營(yíng) 使用單位 對(duì)已經(jīng)完成安全等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行維護(hù)管理 發(fā)現(xiàn)問(wèn)題及時(shí)整改 定期進(jìn)行安全狀況檢測(cè)評(píng)估 及時(shí)消除安全隱患和漏洞 制定不同等級(jí)信息安全事件的響應(yīng) 處置預(yù)案 加強(qiáng)信息系統(tǒng)的安全管理 信息安全監(jiān)管機(jī)構(gòu) 按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求 重點(diǎn)對(duì)第三 第四級(jí)信息系統(tǒng)的安全等級(jí)保護(hù)狀況進(jìn)行監(jiān)督檢查 發(fā)現(xiàn)存在安全隱患或未達(dá)到等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求的 限期整改 使信息系統(tǒng)的安全保護(hù)措施更加完善 安全運(yùn)行管理 實(shí)施流程 主要輸入 主要輸出 階段主要活動(dòng) 操作管理和控制 安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表 操作人員角色 職責(zé)表各類操作規(guī)程 變更管理和控制 變更需求 變更結(jié)果報(bào)告 安全狀態(tài)監(jiān)控 安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收?qǐng)?bào)告等 安全狀態(tài)分析報(bào)告 安全事件處置和應(yīng)急預(yù)案 安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表 安全事件報(bào)告程序各類應(yīng)急預(yù)案安全事件處置報(bào)告 安全運(yùn)行管理 實(shí)施流程 續(xù) 主要輸入 主要輸出 階段主要活動(dòng) 安全評(píng)估和持續(xù)改進(jìn) 安全評(píng)估報(bào)告安全改進(jìn)方案 等級(jí)化安全測(cè)評(píng) 安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收?qǐng)?bào)告等 安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告 監(jiān)督檢查 安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收?qǐng)?bào)告等 監(jiān)督檢查結(jié)果報(bào)告 變更需求 階段主要活動(dòng) 1 操作管理和控制 活動(dòng)目標(biāo)確保操作人員對(duì)信息系統(tǒng)實(shí)行正確 安全操作 控制系統(tǒng)不斷變化和種類繁多的操作活動(dòng) 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南主要活動(dòng)過(guò)程操作職責(zé)確定操作過(guò)程控制 階段主要活動(dòng) 1 操作管理和控制 操作職責(zé)確定 劃分操作角色 授予管理權(quán)限 安全設(shè)計(jì)詳細(xì)方案安全組織機(jī)構(gòu)表 輸入 輸出 過(guò)程的工作內(nèi)容 操作人員角色和職責(zé)表 定義人員職責(zé) 階段主要活動(dòng) 1 操作管理和控制 操作過(guò)程控制 確定操作目的和內(nèi)容 確定操作時(shí)間和地點(diǎn) 操作需求操作人員角色和職責(zé)表 輸入 輸出 過(guò)程的工作內(nèi)容 各類操作規(guī)程操作記錄 選擇操作方法 建立操作規(guī)程 記錄操作過(guò)程和結(jié)果 階段主要活動(dòng) 2 變更管理和控制 活動(dòng)目標(biāo)確保在發(fā)生安全配置 安全設(shè)施 系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)應(yīng)用等變化的時(shí)候 使用標(biāo)準(zhǔn)的方法和步驟 盡快的實(shí)施變更 確保變更所導(dǎo)致的信息資產(chǎn)安全性降低 業(yè)務(wù)中斷或業(yè)務(wù)影響減小到最低 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南主要活動(dòng)過(guò)程變更需求和影響分析變更過(guò)程控制 階段主要活動(dòng) 2 變更管理和控制 變更需求和影響分析 變更需求分析 識(shí)別變更種類 變更需求 輸入 輸出 過(guò)程的工作內(nèi)容 變更方案 變更影響分析 制定變更方案 階段主要活動(dòng) 2 變更管理和控制 變更過(guò)程控制 變更內(nèi)容審核與審批 建立變更過(guò)程日志 變更方案 輸入 輸出 過(guò)程的工作內(nèi)容 變更結(jié)果報(bào)告 形成變更結(jié)果報(bào)告 階段主要活動(dòng) 3 安全狀態(tài)監(jiān)控 活動(dòng)目標(biāo)對(duì)信息系統(tǒng)的安全運(yùn)行狀態(tài)進(jìn)行監(jiān)控 確保信息系統(tǒng)運(yùn)行安全 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南主要活動(dòng)過(guò)程監(jiān)控對(duì)象確定監(jiān)控對(duì)象狀態(tài)信息收集監(jiān)控狀態(tài)分析和報(bào)告 階段主要活動(dòng) 3 安全狀態(tài)監(jiān)控 監(jiān)控對(duì)象確定 業(yè)務(wù)關(guān)鍵要素分析 安全關(guān)鍵點(diǎn)分析 安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收?qǐng)?bào)告 輸入 輸出 過(guò)程的工作內(nèi)容 監(jiān)控對(duì)象列表 形成監(jiān)控對(duì)象列表 階段主要活動(dòng) 3 安全狀態(tài)監(jiān)控 監(jiān)控對(duì)象狀態(tài)信息收集 選擇監(jiān)控工具 識(shí)別和記錄入侵行為 監(jiān)控對(duì)象列表 輸入 輸出 過(guò)程的工作內(nèi)容 監(jiān)控對(duì)象安全狀態(tài)信息 監(jiān)控對(duì)象信息收集 階段主要活動(dòng) 3 安全狀態(tài)監(jiān)控 監(jiān)控狀態(tài)分析和報(bào)告 狀態(tài)分析 影響程度和范圍分析 監(jiān)控對(duì)象安全狀態(tài)信息 輸入 輸出 過(guò)程的工作內(nèi)容 安全狀態(tài)分析報(bào)告變更需求 變更需求分析 階段主要活動(dòng) 4 安全事件處置和應(yīng)急預(yù)案 活動(dòng)目標(biāo)根據(jù)安全事件相關(guān)標(biāo)準(zhǔn)中規(guī)定的安全事件分級(jí)原則和劃分結(jié)果 結(jié)合自身具體的情況酌情劃分本單位安全事件級(jí)別 建立合適的應(yīng)急響應(yīng)機(jī)制 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB Txxxxx 2006信息系統(tǒng)安全通用技術(shù)要求GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南主要活動(dòng)過(guò)程安全事件分級(jí)應(yīng)急預(yù)案制定安全事件處置報(bào)告 階段主要活動(dòng) 4 安全事件處置和應(yīng)急預(yù)案 安全事件分級(jí) 安全事件調(diào)查和分析 安全事件等級(jí)劃分 各類安全事件列表 輸入 輸出 過(guò)程的工作內(nèi)容 安全事件報(bào)告程序 建立分級(jí)的事件報(bào)告流程 階段主要活動(dòng) 4 安全事件處置和應(yīng)急預(yù)案 應(yīng)急預(yù)案制定 確定應(yīng)急預(yù)案對(duì)象 確定和認(rèn)可各項(xiàng)職責(zé) 安全事件報(bào)告程序 輸入 輸出 過(guò)程的工作內(nèi)容 各類應(yīng)急預(yù)案 制定程序和執(zhí)行條件 制定各類事件應(yīng)急恢復(fù)措施 階段主要活動(dòng) 4 安全事件處置和應(yīng)急預(yù)案 安全事件處置 安全事件上報(bào) 安全事件處置 安全狀態(tài)分析報(bào)告安全事件報(bào)告程序各類應(yīng)急預(yù)案 輸入 輸出 過(guò)程的工作內(nèi)容 安全事件處置報(bào)告 安全事件影響分析 安全事件總結(jié)和處置報(bào)告 階段主要活動(dòng) 5 安全評(píng)估和持續(xù)改進(jìn) 活動(dòng)目標(biāo)確保在發(fā)生信息系統(tǒng)變更 安全狀態(tài)改變等情況后定期對(duì)信息系統(tǒng)進(jìn)行安全評(píng)估 確保信息系統(tǒng)滿足相應(yīng)等級(jí)安全需求和自身特殊安全需求 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南 信息安全風(fēng)險(xiǎn)評(píng)估指南 主要活動(dòng)過(guò)程安全評(píng)估改進(jìn)方案制定安全改進(jìn)實(shí)施 階段主要活動(dòng) 5 安全評(píng)估和持續(xù)改進(jìn) 安全評(píng)估 確定評(píng)估對(duì)象和方法 制定評(píng)估計(jì)劃和方案 系統(tǒng)詳細(xì)描述文件安全狀態(tài)分析報(bào)告變更結(jié)果報(bào)告 輸入 輸出 過(guò)程的工作內(nèi)容 安全評(píng)估報(bào)告 實(shí)施安全評(píng)估 匯總分析評(píng)估結(jié)果 匯總分析評(píng)估結(jié)果 提出改進(jìn)建議 階段主要活動(dòng) 5 安全評(píng)估和持續(xù)改進(jìn) 改進(jìn)方案制定 安全調(diào)整和改進(jìn)立項(xiàng) 制定安全改進(jìn)方案 安全評(píng)估報(bào)告 輸入 輸出 過(guò)程的工作內(nèi)容 安全改進(jìn)方案 階段主要活動(dòng) 5 安全評(píng)估和持續(xù)改進(jìn) 實(shí)施安全改進(jìn) 實(shí)施過(guò)程控制 補(bǔ)充安全功能測(cè)試 安全改進(jìn)方案 輸入 輸出 過(guò)程的工作內(nèi)容 安全測(cè)試 驗(yàn)收?qǐng)?bào)告 相關(guān)技術(shù)文件修訂 相關(guān)管理制度修訂 階段主要活動(dòng) 6 監(jiān)督檢查 國(guó)家信息安全監(jiān)督管理職能部門按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求 重點(diǎn)對(duì)第三 第四級(jí)信息和信息系統(tǒng)安全保護(hù)制度和措施的落實(shí)情況 以及安全現(xiàn)狀的達(dá)標(biāo)情況進(jìn)行監(jiān)督檢查 安全監(jiān)督管理職能部門對(duì)信息系統(tǒng)安全保護(hù)等級(jí)監(jiān)督檢查遵循 公平 公正 權(quán)威 有效 原則 采用例行檢查和專項(xiàng)檢查相結(jié)合的方法 具體參見(jiàn) 信息安全等級(jí)保護(hù)監(jiān)督檢查管理辦法 第五階段 系統(tǒng)終止階段 階段目標(biāo)參與角色和職責(zé)實(shí)施流程主要活動(dòng)過(guò)程 系統(tǒng)終止階段 目標(biāo)和角色 階段目標(biāo)確保信息系統(tǒng)被轉(zhuǎn)移 終止或廢棄時(shí) 正確處理系統(tǒng)內(nèi)的敏感信息 確保組織信息資產(chǎn)的安全 參與角色和職責(zé)信息系統(tǒng)運(yùn)營(yíng) 使用單位信息系統(tǒng)主管部門 系統(tǒng)終止階段 主要參考標(biāo)準(zhǔn) 主要參考標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB T19716 2005信息安全管理實(shí)用規(guī)則GB T19715 2005IT安全管理指南 系統(tǒng)終止階段 實(shí)施流程 主要輸入 主要輸出 主要活動(dòng) 信息轉(zhuǎn)移 暫存和清除 信息資產(chǎn)清單 信息轉(zhuǎn)移 暫存 清除處理記錄文檔 設(shè)備遷移或廢棄 設(shè)備遷移 廢棄處理記錄文檔 介質(zhì)清除或銷毀 信息系統(tǒng)介質(zhì)清單 介質(zhì)清除 銷毀處理記錄文檔 硬件設(shè)備清單 系統(tǒng)終止 信息轉(zhuǎn)移 暫存和清除 識(shí)別要轉(zhuǎn)移 暫存和清除的信息資產(chǎn) 信息資產(chǎn)轉(zhuǎn)移 暫存和清除 資產(chǎn)清單 輸入 輸出 過(guò)程的工作內(nèi)容 信息轉(zhuǎn)移 暫存 清除處理記錄文檔 處理過(guò)程記錄 系統(tǒng)終止 設(shè)備遷移或廢棄 軟硬件設(shè)備識(shí)別 信息資產(chǎn)轉(zhuǎn)移 暫存和清除 設(shè)備遷移或廢棄清單 輸入 輸出 過(guò)程的工作內(nèi)容 設(shè)備遷移 廢棄處理報(bào)告 設(shè)備處理和記錄 處理方案審批 系統(tǒng)終止 介質(zhì)清除或銷毀 識(shí)別要清除或銷毀的介質(zhì) 確定介質(zhì)處理方法和流程 存檔介質(zhì)清單 輸入 輸出 過(guò)程的工作內(nèi)容 介質(zhì)清除或銷毀記錄文檔 介質(zhì)處理和記錄 處理方案審批 Q A