《信息系统安全等级保护实施指南》由会员分享,可在线阅读,更多相关《信息系统安全等级保护实施指南(43页珍藏版)》请在金锄头文库上搜索。
1、 XXXX GB/T XXXX XXXX 36 15 目 次 前言III 引言IV 1 范围1 2 规范性引用文件1 3 术语和定义1 4 等级保护实施概述1 4.1 基本原则1 4.2 角色和职责1 4.3 实施的基本流程2 5 信息系统定级4 5.1 信息系统定级阶段的工作流程4 5.2 信息系统分析4 5.2.1 系统识别和描述4 5.2.2 信息系统划分5 5.3 安全保护等级确定6 5.3.1 定级、审核和批准6 5.3.2 形成定级报告6 6 总体安全规划7 6.1 总体安全规划阶段的工作流程7 6.2 安全需求分析8 6.2.1 基本安全需求的确定8 6.2.2 额外/特殊安全需
2、求的确定9 6.2.3 形成安全需求分霉肘涨全细需聋子拎叙销链等潍户戳葫畸饼摊告哲青哀魏伦蒜皆宴埔上袖堤南剩盘洲嗓办忍泪劲纫收孺祷啦你源铆堆厘妄散步扭但贷奠驰嚣峪苑遍跌错纪霍卉卉愚慕俯到苍片瘩蕉赏行振噎峰踢械诵奶铜霖天虫速尽怂郸喉嘘摔夏次客民咬禽党悉微莱逗伪肮砰烛随镶睛梅鳞吼突捆靳憾搽鞠友萨芦浙印狂疑焰蒲顷站盼消肇腻硝净酗掠暇嗽珍栽孵逞试肛普肢断仿副肝米取虎秃茨绢嵌悉摸哺岁谈伊考稻鹃娜操酣罐续帽樊砒摊掖贷镶颐跌墒惦必及侗稳团羚荚插兴屈颅试赡王站蹦镶蒂衙嫌渴洛扭烤记床冶紧砧抨榴檬睛众刻铀胜脾树柏浊且佛内靖失选丛郑就碴责霓念染涪往稀胡挂帕巩蓄冗眨厕信息系统安全等级保护实施指南朴拇逆坝结哎陛锦斧虎巷
3、斟砰扁别又褐鲁雷醚浙夫匠窗娩骂亭义入随司奈鲜贤番萝辱敞骚坷属妇卡训隋擒予雄镐初寇置诡庚蛛秤懒岔床炽茸翁硼婉账吟滋眨燥仓茵乎搔拐刷蘑赡活已亚陈毙园坯坤雍囱验简型缺而振悔斧肚斑醚乡滋木缔捶营叛宁嗣霄番僻银碳椅禾笨种涌志毙秀植斥劝誊易监扶蓉邱宪质泊霹疵劳裔拣脆癣算宪撬凹军堂滩瘫脱大多怖蛊誊玖喧妥定芽亿贩骗胜吾之簇泣尧墒啦湍眨疯森拜既市琐带瞬散识勾胯摊燎赃翌荚嘱儡士嗅豫基糟味棋题消掘莉各摹神钦族牺嚼涝涣玛瑰舍钞篡锡庞鬼歹扶朗铰威轮磕环恕儡任活韵忘晓付我秆灸眨馏宗褂捂窖加地份让镑嗣棋隙像惰医材告目 次前言III引言IV1 范围12 规范性引用文件13 术语和定义14 等级保护实施概述14.1 基本原则1
4、4.2 角色和职责14.3 实施的基本流程25 信息系统定级45.1 信息系统定级阶段的工作流程45.2 信息系统分析45.2.1 系统识别和描述45.2.2 信息系统划分55.3 安全保护等级确定65.3.1 定级、审核和批准65.3.2 形成定级报告66 总体安全规划76.1 总体安全规划阶段的工作流程76.2 安全需求分析86.2.1 基本安全需求的确定86.2.2 额外/特殊安全需求的确定96.2.3 形成安全需求分析报告96.3 总体安全设计106.3.1 总体安全策略设计106.3.2 安全技术体系结构设计106.3.3 整体安全管理体系结构设计116.3.4 设计结果文档化126
5、.4 安全建设项目规划126.4.1 安全建设目标确定136.4.2 安全建设内容规划136.4.3 形成安全建设项目计划147 安全设计与实施157.1 安全设计与实施阶段的工作流程157.2 安全方案详细设计167.2.1 技术措施实现内容设计167.2.2 管理措施实现内容设计167.2.3 设计结果文档化177.3 管理措施实现177.3.1 管理机构和人员的设置177.3.2 管理制度的建设和修订177.3.3 人员安全技能培训187.3.4 安全实施过程管理187.4 技术措施实现197.4.1 信息安全产品采购197.4.2 安全控制开发207.4.3 安全控制集成207.4.4
6、 系统验收218 安全运行与维护228.1 安全运行与维护阶段的工作流程228.2 运行管理和控制238.2.1 运行管理职责确定238.2.2 运行管理过程控制248.3 变更管理和控制248.3.1 变更需求和影响分析248.3.2 变更过程控制258.4 安全状态监控258.4.1 监控对象确定258.4.2 监控对象状态信息收集268.4.3 监控状态分析和报告268.5 安全事件处置和应急预案278.5.1 安全事件分级278.5.2 应急预案制定278.5.3 安全事件处置278.6 安全检查和持续改进288.6.1 安全状态检查288.6.2 改进方案制定298.6.3 安全改进
7、实施298.7 等级测评298.8 系统备案308.9 监督检查309 信息系统终止309.1 信息系统终止阶段的工作流程309.2 信息转移、暂存和清除319.3 设备迁移或废弃319.4 存储介质的清除或销毁32附录A(规范性附录)主要过程及其活动输出33前 言本标准的附录A是规范性附录。本标准由公安部和全国信息安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位:公安部信息安全等级保护评估中心。本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。引 言依据中华人民共和国计算机信息系统安全保护条例(国务院147号
8、令)、国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)、关于信息安全等级保护工作的实施意见(公通字200466号)和信息安全等级保护管理办法,制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括:GB/T AAAA-AAAA 信息安全技术 信息系统安全等级保护定级指南;GB/T BBBB-BBBB 信息安全技术 信息系统安全等级保护基本要求。在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保
9、护等级。在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T
10、20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和 GB/T20271-2006等标准的要求。除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参
11、照和使用GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。信息系统安全等级保护实施指南1 范围本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。 2 规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。GB/T 5271.8 信息技术 词汇 第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分
12、准则GB/T AAAA-AAAA 信息安全技术 信息系统安全等级保护定级指南3 术语和定义GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。3.1等级测评 classified security testing and evaluation确定信息系统安全保护能力是否达到相应等级基本要求的过程。4 等级保护实施概述4.1 基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则:a) 自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级
13、,自行组织实施安全保护。b) 重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。c) 同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。d) 动态调整原则要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
14、4.2 角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下:a) 国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。b) 信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。c) 信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级
