《信息安全技术-信息系统安全等级保护实施指南(DOC32)》由会员分享,可在线阅读,更多相关《信息安全技术-信息系统安全等级保护实施指南(DOC32)(71页珍藏版)》请在金锄头文库上搜索。
1、Evaluation Warning: The document was created with Spire.Doc for .NET.信息安全技术 信息系统安全等级保护实施指南前言本标准的附录AA是规范性附附录。本标准由公安部部和全国信息息安全标准化化技术委员会会提出。本标准由全国信信息安全标准准化技术委员员会归口。本标准起草单位位:公安部信信息安全等级级保护评估中中心。本标准主要起草草人:毕马宁宁、马力、陈陈雪秀、李明明、朱建平、任任卫红、谢朝朝海、曲洁、袁袁静、李升、刘刘静、罗峥。引言依据中华人民民共和国计算算机信息系统统安全 保护条例(国国务院147号令)、国国家信息化领领导小组关于
2、于加强信息安安全保障工作作的意见(中中办发2003327号)、关关于信息安全全等级保护工工作的实 施意见(公公通字2004466号)和信信息安全等级级保护管理办办法(公通通字2007743号),制定定本标准。本标准是信息安安全等级保护护相关系列标标准之一。与本标准相关的的系列标准包包括:GB/T AAAA-AAAA 信息安全技技术 信息系统安安全等级保护护定级指南;GB/T BBBB-BBBB 信息安全技技术 信息系统安安全等级保护护基本要求。在对信息系统实实施信息安全全等级保护的的过程中,除除使用本标准准外,在不同同的阶段,还还应参照其他他有关信息安安全等级保护护的标准开展展工作。在信息系统
3、定级级阶段,应按按照GB/T AAAA-AAAA介绍的方法法,确定信息息系统安全保保护等级。在信息系统总体体安全规划,安安全设计与实实施,安全运运行与维护和和信息系统终终止等阶段,应应按照GB178859-19999、GB/T BBBB-BBBB、GB/T220269-2006、GB/T220270-2006和GB/T220271-2006等技术标准准,设计、建建设符合信息息安全等级保保护要求的信信息系统,开开展信息系统统的运行维护护管理工作。GB178599-19999、GB/T BBBB-BBBB、GB/T220269-2006、GB/T220270-2006和GB/T220271-200
4、6等技术标准准是信息系统统安全等级保保护的系 列相关配套套标准,其中中GB178859-19999是基础性标标准,GB/T220269-2006、GB/T220270-2006 和GB/T220271-2006等是对GB178859-19999的进一步细细化和扩展,GB/T BBBB-BBBB是以GB178859-19999为基础,根根据现有技术术发展水平提提出的对不同同安全保护等等级信息系统统的最基本安安全要求,是是其他标准的的一个底线 子集。对信息系统的安安全等级保护护应从GB/T BBBB-BBBB出发,在保保证信息系统统满足基本安安全要求的基基础上,逐步步提高对信息息系统的保护护水平,
5、最终终满足GB178859-19999、 GB/TT202699-20066、GB/T220270-2006和 GB/TT202711-20066等标准的要要求。除本标准和上述述提到的标准准外,在信息息系统安全等等级保护实施施过程中,还还可参照和使使用GB/T220272-2006和GB/T220273-2006等其它等级级保护相关技技术标准。信息系统安全等等级保护实施施指南1范围本标准规定了信信息系统安全全等级保护实实施的过程,适适用于指导信信息系统安全全等级保护的的实施。2规范性引引用文件下 列文件中的的条款通过在在本标准中的的引用而成为为本标准的条条款。凡是注注日期的引用用文件,其随随后
6、所有的修修改单(不包包括勘误的内内容)或修订订版均不适用用于本标准,然 而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。GB/T 52271.8信息技术词词汇第8部分:安全全GB178599-19999计算机信息息系统安全保保护等级划分分准则GB/T AAAAA-AAAAA 信息安全技技术信息系统统安全等级保保护定级指南南3术语和定定义GB/T 52271.8和GB 177859-11999确立的以及及下列术语和和定义适用于于本标准。3.1等级测评 cllassiffied ssecuriity teestingg and ev
7、aluuationn确定信息系统安安全保护能力力是否达到相相应等级基本本要求的过程程。4等级保护护实施概述4.1基本本原则信息系统安全等等级保护的核核心是对信息息系统分等级级、按标准进进行建设、管管理和监督。信信息系统安全全等级保护实实施过程中应应遵循以下基基本原则:a) 自主主保护原则信息系统运营、使使用单位及其其主管部门按按照国家相关关法规和标准准,自主确定定信息系统的的安全保护等等级,自行组组织实施安全全保护。b) 重点点保护原则根据信息系统的的重要程度、业业务特点,通通过划分不同同安全保护等等级的信息系系统,实现不不同强度的安安全保护,集集中资源优先先保护涉及核核心业务或关关键信息资产
8、产的信息系统统。c) 同步步建设原则信息系统在新建建、改建、扩扩建时应当同同步规划和设设计安全方案案,投入一定定比例的资金金建设信息安安全设施,保保障信息安全全与信息化建建设相适应。d) 动态态调整原则要跟踪信息系统统的变化情况况,调整安全全保护措施。由由于信息系统统的应用类型型、范围等条条件的变化及及其他原因,安安全保护等级级需要变更的的,应当根据据等级保护的的管理规范和和技术标准的的要求,重新新确定信息系系统的安全保保护等级,根根据信息系统统安全保护等等级的调整情情况,重新实实施安全保护护。4.2角色色和职责信息系统安全等等级保护实施施过程中涉及及的各类角色色和职责如下下:a) 国家家管理
9、部门公安机关负责信信息安全等级级保护工作的的监督、检查查、指导;国国家保密工作作部门负责等等级保护工 作中有关保保密工作的监监督、检查、指指导;国家密密码管理部门门负责等级保保护工作中有有关密码工作作的监督、检检查、指导;涉及其他职职能部门管辖辖范围的事项项,由有关职职能 部门依照国国家法律法规规的规定进行行管理;国务务院信息化工工作办公室及及地方信息化化领导小组办办事机构负责责等级保护工工作的部门间间协调。b) 信息息系统主管部部门负责依照国家信信息安全等级级保护的管理理规范和技术术标准,督促促、检查和指指导本行业、本本部门或者本本地区信息系系统运营、使使用单位的信信息安全等级级保护工作。c
10、) 信息息系统运营、使使用单位负责依照国家信信息安全等级级保护的管理理规范和技术术标准,确定定其信息系统统的安全保护护等级,有 主管部门的的,应当报其其主管部门审审核批准;根根据已经确定定的安全保护护等级,到公公安机关办理理备案手续;按照国家信信息安全等级级保护管理规规范和技术标标准,进行信信息系 统安全保护护的规划设计计;使用符合合国家有关规规定,满足信信息系统安全全保护等级需需求的信息技技术产品和信信息安全产品品,开展信息息系统安全建建设或者改建建工作;制定定、落 实各项安全全管理制度,定定期对信息系系统的安全状状况、安全保保护制度及措措施的落实情情况进行自查查,选择符合合国家相关规规定的
11、等级测测评机构,定定期进行等级级测评;制定定不 同等级信息息安全事件的的响应、处置置预案,对信信息系统的信信息安全事件件分等级进行行应急处置。d) 信息息安全服务机机构负责根据信息系系统运营、使使用单位的委委托,依照国国家信息安全全等级保护的的管理规范和和技术标准,协协助信息系统统运营、使用用单位完成等等级保护的相相关工作,包包括确定其信信息系统的安安全保护等级级、进行安全全需求分析、安安全总体规划划、实施安全全建设和安全全改造等。e) 信息息安全等级测测评机构负责根据信息系系统运营、使使用单位的委委托或根据国国家管理部门门的授权,协协助信息系统统运营、使用用单位或国家家管理部门,按按照国家信
12、息息安全等级保保护的管理规规范和技术标标准,对已经经完成等级保保护建设的信信息系统进行行等级测评;对信息安全全产品供应商商提供的信息息安全产品进进行安全测评评。f) 信息息安全产品供供应商负责按照国家信信息安全等级级保护的管理理规范和技术术标准,开发发符合等级保保护相关要求求的信息安全全产品,接受受安全测评;按照等级保保护相关要求求销售信息安安全产品并提提供相关服务务。4.3实施施的基本流程程在安全运行与维维护阶段,信信息系统因需需求变化等原原因导致局部部调整,而系系统的安全保保护等级并未未改变,应从从安全运行与与维护阶段进进入安全设计计与实施阶段段,重新设 计、调整和和实施安全措措施,确保满
13、满足等级保护护的要求;但但信息系统发发生重大变更更导致系统安安全保护等级级变化时,应应从安全运行行与维护阶段段进入信息系系统定级阶段段,重 新开始一轮轮信息安全等等级保护的实实施过程。5信息系统统定级5.1信息息系定级阶段段的工作流程程信息系统定级阶阶段的目标是是信息系统运运营、使用单单位按照国家家有关管理规规范和GB/TAAAA-AAAA,确定信息息系统的安全全保护等级,信信息系统运营营、使用单位位有主管部门门的,应当经经主管部门审审核批准。5.2信息息系统分析5.2.1 系统识别和和描述活动目标:本活动的目标是是通过从信息息系统运营、使使用单位相关关人员处收集集有关信息系系统的信息,并并对
14、信息进行行综合分析和和整理,依据据分析和整理理的内容形成成组织机构内内信息系统的的总体描述性性文档。参与角色:信息息系统运营、使使用单位,信信息安全服务务机构。活动输入:信息息系统的立项项、建设和管管理文档。活动描述:本活动主要包括括以下子活动动内容:a) 识别别信息系统的的基本信息调查了解信息系系统的行业特特征、主管机机构、业务范范围、地理位位置以及信息息系统基本情情况,获得信信息系统的背背景信息和联联络方式。b) 识别别信息系统的的管理框架了解信息系统的的组织管理结结构、管理策策略、部门设设置和部门在在业务运行中中的作用、岗岗位职责,获获得支持信息息系统业务运运营的管理特特征和管理框框架方
15、面的信信息,从而明明确信息系统统的安全责任任主体。c) 识别别信息系统的的网络及设备备部署了解信息系统的的物理环境、网网络拓扑结构构和硬件设备备的部署情况况,在此基础础上明确信息息系统的边界界,即确定定定级对象及其其范围。d) 识别别信息系统的的业务种类和和特性了解机构内主要要依靠信息系系统处理的业业务种类和数数量,这些业业务各自的社社会属性、业业务内容和业业务流程等,从从中明确支持持机构业务运运营的信息系系统的业务特特性,将承载载比较单一的的业务应用或或者承载相对对独立的业务务应用的信息息系统作为单单独的定级对对象。e) 识别别业务系统处处理的信息资资产了解业务系统处处理的信息资资产的类型,这这些信息资产产在保密性、完完整性和可用用性等方面的的重要性程度度。f) 识别别用户范围和和用户类型根据用户或用户户群的分布范范围了解业务务系统的服务务范围、作用用以及业务连连续性方面的的要求等。g) 信息息系统描述对收集的信息进进行整理、分分析,形成对对信息系统的的总体描述文文件。一个典典型的信息系系统的总体描描述文件应包包含以下内容容:1)系统概述述;2)
