收藏
下载资源

2021信息安全技术 网络安全等级保护实施指南

上传人:职** 文档编号:348958433 上传时间:2023-04-13 格式:DOCX 页数:48 大小:300.10KB
返回 下载 相关 举报
2021信息安全技术 网络安全等级保护实施指南_第1页
第1页 / 共48页
2021信息安全技术 网络安全等级保护实施指南_第2页
第2页 / 共48页
2021信息安全技术 网络安全等级保护实施指南_第3页
第3页 / 共48页
2021信息安全技术 网络安全等级保护实施指南_第4页
第4页 / 共48页
亲,该文档总共48页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《2021信息安全技术 网络安全等级保护实施指南》由会员分享,可在线阅读,更多相关《2021信息安全技术 网络安全等级保护实施指南(48页珍藏版)》请在金锄头文库上搜索。

1、信息安全技术 网络安全等级保护实施指南目次前言IV1 范围12 规范性引用文件13 术语和定义14 等级保护实施概述14.1 基本原则14.2 角色和职责24.3 实施的基本流程25 等级保护对象定级与备案35.1 定级与备案阶段的工作流程35.2 行业/领域定级工作45.3 等级保护对象分析55.3.1 对象重要性分析55.3.2 定级对象确定65.4 安全保护等级确定75.4.1 定级、审核和批准75.4.2 形成定级报告75.5 定级结果备案86 总体安全规划86.1 总体安全规划阶段的工作流程86.2 安全需求分析96.2.1 基本安全需求的确定96.2.2 特殊安全需求的确定96.2

2、.3 形成安全需求分析报告106.3 总体安全设计106.3.1 总体安全策略设计106.3.2 安全技术体系结构设计116.3.3 整体安全管理体系结构设计136.3.4 设计结果文档化146.4 安全建设项目规划146.4.1 安全建设目标确定156.4.2 安全建设内容规划156.4.3 形成安全建设项目规划157 安全设计与实施167.1 安全设计与实施阶段的工作流程16I7.2 安全方案详细设计177.2.1 技术措施实现内容的设计177.2.2 管理措施实现内容的设计187.2.3 设计结果的文档化187.3 技术措施的实现187.3.1 网络安全产品或服务采购197.3.2 安全

3、控制的开发197.3.3 安全控制集成207.3.4 系统验收217.4 管理措施的实现217.4.1 安全管理制度的建设和修订217.4.2 安全管理机构和人员的设置227.4.3 安全实施过程管理228 安全运行与维护238.1 安全运行与维护阶段的工作流程238.2 运行管理和控制248.2.1 运行管理职责确定248.2.2 运行管理过程控制258.3 变更管理和控制258.3.1 变更需求和影响分析258.3.2 变更过程控制268.4 安全状态监控268.4.1 监控对象确定268.4.2 监控对象状态信息收集278.4.3 监控状态分析和报告278.5 安全自查和持续改进278.

4、5.1 安全状态自查278.5.2 改进方案制定288.5.3 安全改进实施288.6 服务商管理和监控298.6.1 服务商选择298.6.2 服务商管理298.6.3 服务商监控308.7 等级测评318.8 监督检查319 应急响应与保障319.1 应急响应与保障的工作流程319.2 应急准备与预案329.2.1 应急组织329.2.2 应急预案329.2.3 应急演练339.3 应急监测与响应33II9.3.1 监测预警339.3.2 信息报送与共享349.3.3 应急响应349.4 后期评估与改进359.5 应急保障3510 等级保护对象终止3510.1 等级保护对象终止阶段的工作流

5、程3510.2 信息转移、暂存和清除3610.3 设备迁移或废弃3610.4 存储介质的清除或销毁37附录 A(规范性附录) 主要过程及其活动输出38III信息安全技术 网络安全等级保护实施指南1 范围本标准规定了等级保护对象安全等级保护工作实施的过程,适用于指导等级保护对象安全等级保护 工作的实施。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 178591999 计算机信息系统安全保护等级划分准则GB/Z 20986-2007 信息安全技术 信息安全事件分类

6、分级指南GB/T 22239 信息安全技术 信息系统安全等级保护基本要求3 术语和定义GB/T 25069-2010和GB 178591999界定的术语和定义适用于本文件。4 等级保护实施概述4.1 基本原则安全等级保护的核心是将等级保护对象划分等级,按标准进行建设、管理和监督。安全等级保护实 施过程中应遵循以下基本原则:a) 自主保护原则等级保护对象运营、使用单位及其主管部门按照国家相关法规和标准,自主确定等级保护对象的安 全保护等级,自行组织实施安全保护。b) 重点保护原则根据等级保护对象的重要程度、业务特点,通过划分不同安全保护等级的等级保护对象,实现不同 强度的安全保护,集中资源优先保

7、护涉及核心业务或关键信息资产的等级保护对象。c) 同步建设原则等级保护对象在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设网络 安全设施,保障网络安全与信息化建设相适应。d) 动态调整原则要跟踪定级对象的变化情况,调整安全保护措施。由于定级对象的应用类型、范围等条件的变化及 其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定定级 对象的安全保护等级,根据其安全保护等级的调整情况,重新实施安全保护。4.2 角色和职责1等级保护对象安全等级保护实施过程中涉及的各类角色和职责如下:a) 等级保护管理部门等级保护管理部门依照等级保护相关法律、行

8、政法规的规定,在各自职责范围内负责网络安全保护 和监督管理工作。b) 主管部门负责依照国家网络安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本 地区等级保护对象运营、使用单位的网络安全等级保护工作。c) 运营、使用单位负责依照国家网络安全等级保护的管理规范和技术标准,确定其等级保护对象的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续; 按照国家网络安全等级保护管理规范和技术标准,进行等级保护对象安全保护的规划设计;使用符合国家有关规定,满足等级保护对象安全保护等级需求的信息技术产品和网络安全产品,开展安全建设或者改

9、建工作;制定、落实各项安全管理制度,定期对等级保护对象的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级网络安全事件的响应、处置预案,对网络安全事件分等级进行应急处置。d) 网络安全服务机构负责根据运营、使用单位的委托,依照国家网络安全等级保护的管理规范和技术标准,协助运营、 使用单位完成等级保护的相关工作,包括确定其等级保护对象的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造、提供服务支撑平台等。e) 网络安全等级测评机构负责根据运营、使用单位的委托或根据等级保护管理部门的授权,协助运营、使用单位或等级保

10、护 管理部门,按照国家网络安全等级保护的管理规范和技术标准,对已经完成等级保护建设的等级保护对 象进行等级测评;对网络安全产品供应商提供的网络安全产品进行安全测评。f) 网络安全产品供应商负责按照国家网络安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的网络安全产 品,接受安全测评;按照等级保护相关要求销售网络安全产品并提供相关服务。4.3 实施的基本流程对等级保护对象实施等级保护的基本流程见图1。2图 1 安全等级保护工作实施的基本流程在安全运行与维护阶段,等级保护对象因需求变化等原因导致局部调整,而其安全保护等级并未改 变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、

11、调整和实施安全措施,确保满足等 级保护的要求;当等级保护对象发生重大变更导致安全保护等级变化时,应从安全运行与维护阶段进入 等级保护对象定级与备案阶段,重新开始一轮网络安全等级保护的实施过程。等级保护对象在运行与维 护过程中,发生安全事件时可能会发生应急响应与保障。等级保护对象安全等级保护实施的基本流程中各个阶段的主要过程、活动、输入和输出见附录A。5 等级保护对象定级与备案5.1 定级与备案阶段的工作流程等级保护对象定级阶段的目标是运营、使用单位按照国家有关管理规范和定级标准,确定等级保护对象及其安全保护等级,并组织专家评审。运营、使用单位有主管部门的,应当经主管部门审核、批准, 并报公安机

12、关备案审查。等级保护对象定级与备案阶段的工作流程见图2。3图 2 定级与备案阶段工作流程5.2 行业/领域定级工作活动目标:本活动的目标是行业/领域主管部门在必要时可组织梳理行业/领域的主要社会功能/职能及作用, 分析履行主要社会功能/职能所依赖的主要业务及服务范围,最后依据分析和整理的内容形成行业/领域 的业务总体描述性文档。参与角色:主管部门,网络安全服务机构。活动输入:行业介绍文档,定级标准。活动描述:本活动主要包括以下子活动内容:a) 识别、分析行业/领域重要性主管部门可组织梳理本行业/领域的行业特征、业务范围、主要社会功能/职能和生产产值等信息, 分析主要社会功能/职能在保障国家安全

13、、经济发展、社会秩序、公共服务等方面发挥的重要作用。b) 识别行业/领域的主要业务主管部门可组织梳理本行业/领域内主要依靠信息化处理的业务情况,并按照业务承载的社会功能/ 职能的重要程度、其他行业对其的依赖程度等方面确定本行业/领域内的主要业务。c) 定级指导4主管部门可组织分析本行业/领域内的主要业务,并根据业务信息重要性和业务服务重要性分析各主要业务的安全保护要求,结合行业/领域自身情况,形成针对主要业务的行业/领域定级指导意见。跨 省或者全国统一联网运行的等级保护对象可以由主管部门统一确定安全保护等级。d) 定级工作部署主管部门可制定本行业/领域的定级指导意见,并统一部署全行业/领域的定

14、级工作。行业/领域主管部门应对下属单位的定级结果进行审核、批准。活动输出:行业/领域的业务总体描述文件,行业/领域定级指导意见,行业/领域定级工作部署文件。5.3 等级保护对象分析5.3.1 对象重要性分析活动目标:本活动的目标是通过收集了解有关等级保护对象的信息,并对信息进行综合分析和整理,分析单位 的主要社会功能/职能及作用,确定履行主要社会功能/职能所依赖的等级保护对象,整理等级保护对象 处理的业务及服务范围,最后依据分析和整理的内容,有行业/领域定级指导意见的还应依据行业/领域 定级指导意见,形成单位内等级保护对象的总体描述性文档。参与角色:运营、使用单位,网络安全服务机构。活动输入:单位情况说明文档,等级保护对象的立项、建设和管理文档,行业/领域定级指导意见。 活动描述:本活动主要包括以下子活动内容:a) 识别单位的基

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号