收藏
下载资源

《等级化保护实施流程》

上传人:文*** 文档编号:89163304 上传时间:2019-05-19 格式:DOC 页数:38 大小:296.50KB
返回 下载 相关 举报
《等级化保护实施流程》_第1页
第1页 / 共38页
《等级化保护实施流程》_第2页
第2页 / 共38页
《等级化保护实施流程》_第3页
第3页 / 共38页
《等级化保护实施流程》_第4页
第4页 / 共38页
《等级化保护实施流程》_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《《等级化保护实施流程》》由会员分享,可在线阅读,更多相关《《等级化保护实施流程》(38页珍藏版)》请在金锄头文库上搜索。

1、等级化保护实施流程目 次等级化保护实施流程11.1 实施的基本流程32 信息系统定级42.1 信息系统定级阶段的工作流程42.2 信息系统分析42.2.1 系统识别和描述42.2.2 信息系统划分52.3 安全保护等级确定62.3.1 定级、审核和批准62.3.2 形成定级报告63 总体安全规划73.1 总体安全规划阶段的工作流程73.2 安全需求分析83.2.1 基本安全需求的确定83.2.2 额外/特殊安全需求的确定93.2.3 形成安全需求分析报告93.3 总体安全设计103.3.1 总体安全策略设计103.3.2 安全技术体系结构设计103.3.3 整体安全管理体系结构设计113.3.

2、4 设计结果文档化123.4 安全建设项目规划123.4.1 安全建设目标确定123.4.2 安全建设内容规划133.4.3 形成安全建设项目计划134 安全设计与实施154.1 安全设计与实施阶段的工作流程154.2 安全方案详细设计164.2.1 技术措施实现内容设计164.2.2 管理措施实现内容设计164.2.3 设计结果文档化174.3 管理措施实现174.3.1 管理机构和人员的设置174.3.2 管理制度的建设和修订174.3.3 人员安全技能培训184.3.4 安全实施过程管理184.4 技术措施实现194.4.1 信息安全产品采购194.4.2 安全控制开发194.4.3 安

3、全控制集成204.4.4 系统验收215 安全运行与维护225.1 安全运行与维护阶段的工作流程225.2 运行管理和控制235.2.1 运行管理职责确定235.2.2 运行管理过程控制245.3 变更管理和控制245.3.1 变更需求和影响分析245.3.2 变更过程控制255.4 安全状态监控255.4.1 监控对象确定255.4.2 监控对象状态信息收集265.4.3 监控状态分析和报告265.5 安全事件处置和应急预案265.5.1 安全事件分级265.5.2 应急预案制定275.5.3 安全事件处置275.6 安全检查和持续改进285.6.1 安全状态检查285.6.2 改进方案制定

4、285.6.3 安全改进实施295.7 等级测评295.8 系统备案295.9 监督检查306 信息系统终止306.1 信息系统终止阶段的工作流程306.2 信息转移、暂存和清除316.3 设备迁移或废弃316.4 存储介质的清除或销毁327 等保过程配合人员需:327.1 配合协调联络人员1名327.2 配合访谈人员:32附录A 主要过程及其活动输出33信息系统安全等级保护三级实施流程1.1 实施的基本流程对信息系统实施等级保护的基本流程见图1。信息系统定级总体安全规划安全设计与实施施安全运行与维护等级变更局部调整信息系统终止图1 信息系统安全等级保护实施的基本流程在安全运行与维护阶段,信息

5、系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。2 信息系统定级2.1 信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。信息系统定级阶段的工作流程见图2。主要过程输出输入信息系统总体描述

6、文件信息系统详细描述文件信息系统立项文档信息系统建设文档信息系统管理文档信息系统分析安全保护等级确定信息系统安全保护等级定级报告信息系统总体描述文件信息系统详细描述文件图2 信息系统定级阶段工作流程 2.2 信息系统分析2.2.1 系统识别和描述活动目标:本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。参与角色:信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统的立项、建设和管理文档。活动描述:本活动主要包括以下子活动内容:a) 识别信息系统的基本信息调查了解信息系统的

7、行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式。b) 识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。c) 识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围。d) 识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统

8、的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。e) 识别业务系统处理的信息资产了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。f) 识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。g) 信息系统描述对收集的信息进行整理、分析,形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应包含以下内容:1) 系统概述;2) 系统边界描述;3) 网络拓扑;4) 设备部署;5) 支撑的业务应用的种类和特性;6) 处理的信息资产;7) 用户的范围和用户类型;

9、8) 信息系统的管理框架。活动输出: 信息系统总体描述文件。2.2.2 信息系统划分活动目标:本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数。参与角色:信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统总体描述文件。活动描述:本活动主要包括以下子活动内容:a) 划分方法的选择一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体

10、情况确定一个系统的分解原则。b) 信息系统划分依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。c) 信息系统详细描述在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数。进一步的信息系统详细描述文件应包含以下内容:1) 相对独立信息系统列表;2) 每个定级对象的概述;3) 每个定级对象的边界;4) 每

11、个定级对象的设备部署;5) 每个定级对象支撑的业务应用及其处理的信息资产类型;6) 每个定级对象的服务范围和用户类型;7) 其他内容。活动输出: 信息系统详细描述文件。 2.3 安全保护等级确定2.3.1 定级、审核和批准活动目标:本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性。参与角色:信息系统主管部门,信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统总体描述文件,信息系统详细描述文件。活动描述:本活动主要包括以下子活动内容:a) 信息系统安全保护等级初步确定根据国家有关管理规范和GB

12、/T AAAA-AAAA确定的定级方法,信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。b) 定级结果审核和批准信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。活动输出:信息系统定级评审意见。2.3.2 形成定级报告活动目标:本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报告。参与角色:信息系统主管部门,信息系统运营、使用单位。活动输入:信息系统总体描述

13、文件,信息系统详细描述文件,信息系统定级结果。活动描述:对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告。信息系统定级结果报告可以包含以下内容:a) 单位信息化现状概述;b) 管理模式;c) 信息系统列表;d) 每个信息系统的概述;e) 每个信息系统的边界;f) 每个信息系统的设备部署;g) 每个信息系统支撑的业务应用;h) 信息系统列表、安全保护等级以及保护要求组合;i) 其他内容。活动输出:信息系统安全保护等级定级报告。3 总体安全规划3.1 总体安全规划阶段的工作流程总体安全规划阶段的目标是根据信息系统的划分情

14、况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。总体安全规划阶段的工作流程见图3。主要过程输出输入安全需求分析报告安全需求分析信息系统详细描述文件信息系统安全保护等级定级报告信息系统相关的其它文档信息系统安全等级保护基本要求总体安全设计信息系统详细描述文件信息系统安全保护等级定级报告信息系统安全等级保护基本要求安全需求分析报告信息系统安全总体方案安全建设项目规划信息系统安全总体方案机构或单位信息化建设的中长期发展规划信息系统安全建设项目计划图3 总体安全规划工作流程3.2 安全需求分析

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号