《等级保护实施指南》由会员分享,可在线阅读,更多相关《等级保护实施指南(97页珍藏版)》请在金锄头文库上搜索。
1、2010绿盟科技等级保护实施指南广州市计算机信息网络安全协会马建斌CISSP/CISA/ISO27001LA2010/05大纲作为系统等级保护实施的指南性文件指导对一个信息系统实施安全等级保护的参与各方,如何在等级保护实施过程的各个阶段开展相应的活动,给出阶段活动的内容、控制方法和输出结果。作为等级保护标准体系的指引性文件介绍实施信息系统等级保护过程中,在不同阶段和从事不同活动中,如何使用等级保护标准体系中的其他等级保护相关标准。实施指南的主要作用国家管理部门信息系统主管部门信息系统运营、使用单位信息安全服务机构信息安全等级测评机构信息安全产品供应商实施指南的使用对象第1、2、3章为标准的固定
2、格式要求,说明实施指南标准的使用范围、引用的其他标准、使用到的术语和定义。第4章总体描述信息系统等级保护的实施过程,包括实施过程中涉及到的各种角色和职责、实施的基本原则、实施的基本流程。第5、6、7、8、9章分别根据等级保护实施流程划分的阶段,说明每个阶段的主要实施过程。每章以阶段名称作为一级标题,以主要过程作为二级标题,主要活动要素作为三级标题,说明信息系统安全等级保护的实施活动。附录A为主要过程的输出列表。实施指南的基本结构信息系统定级阶段总体安全规划阶段安全设计与实施阶段安全运行与维护阶段信息系统终止阶段等级保护的主要实施阶段等级保护实施概述4.1基本原则4.2角色和职责4.3实施的基本
3、流程自主保护原则重点保护原则同步建设原则动态调整原则4.1基本原则国家管理部门信息系统主管部门信息系统运营、使用单位信息安全服务机构信息安全等级测评机构信息安全产品供应商4.2角色和职责4.3实施的基本流程信息系统定级5.1工作流程5.2信息系统分析5.3安全保护等级确定5.1信息系统定级阶段的工作流程系统识别和描述信息系统划分5.2信息系统分析定级、审核和批准形成定级报告5.3安全保护等级确定总体安全规划6.1工作流程6.2安全需求分析6.3总体安全设计6.4安全建设项目规划6.1总体规划阶段工作流程基本安全需求分析额外/特殊安全需求的确定形成安全需求分析报告6.2安全需求分析活动目标根据信
4、息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求。基本安全需求确定活动描述确定系统范围和分析对象形成评价指标和评估方案现状与评价指标对比活动输出基本安全需求基本安全需求确定活动目标通过对信息系统重要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分,采用需求分析/风险分析的方法,确定可能的安全风险,判断对超出等级保护基本要求部分实施特殊安全措施的必要性,提出信息系统的特
5、殊安全保护需求。活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档。额外/特殊安全需求活动描述重要资产的分析重要资产安全弱点评估重要资产面临威胁评估综合风险分析活动输出重要资产的特殊保护要求额外/特殊安全需求活动目标总结基本安全需求和特殊安全需求,形成安全需求分析报告。活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,基本安全需求,重要资产的特殊保护要求。形成安全需求分析报告活动描述完成安全需求分析报告信息系统描述安全管理状况安全技术状况存在的不足和可能的风险安全需求描述活动输出安全需求分析报告形成安全需求分析报告总体安全策略设计安全技术体系结构设计整
6、体安全管理体系结构设计设计结果文档化6.3总体安全设计活动目标形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构。活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告。总体安全策略设计活动描述确定安全方针制定安全策略活动输出总体安全策略文件总体安全策略设计活动目标根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,提出系统需要实现的安全技术措施,形成机构特定的系统安全技术体系结构,用以指导信息系统分等级保护的具体实现。活动输入信息系统详细描
7、述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求。安全技术体系结构设计活动描述规定骨干网/城域网的安全保护技术措施规定子系统之间互联的安全技术措施规定不同级别子系统的边界保护技术措施规定不同级别子系统内部系统平台和业务应用的安全保护技术措施规定不同级别信息系统机房的安全保护技术措施形成信息系统安全技术体系结构活动输出信息系统安全技术体系结构。安全技术体系结构设计活动目标根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,调整原有管理模式和管理策略,既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整
8、具体的安全管理措施,最后形成统一的整体安全管理体系结构。活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求。整体安全管理体系结构设计活动描述规定信息安全的组织管理体系和对各信息系统的安全管理职责规定各等级信息系统的人员安全管理策略规定各等级信息系统机房及办公区等物理环境的安全管理策略规定各等级信息系统介质、设备的安全管理策略规定各等级信息系统运行安全管理策略规定各等级信息系统安全事件处置和应急管理策略形成信息系统安全管理策略框架活动输出信息系统安全管理体系结构。整体安全管理体系结构设计活动目标将总体安全设计工作的结果文档化,最后形成一套指
9、导机构信息安全工作的指导性文件。活动输入安全需求分析报告,信息系统安全技术体系结构,信息系统安全管理体系结构。设计结果文档化活动描述对安全需求分析报告、信息系统安全技术体系结构和安全管理体系结构等文档进行整理,形成信息系统总体安全方案。总体方案包含如下内容:信息系统概述;总体安全策略;信息系统安全技术体系结构;信息系统安全管理体系结构。活动输出信息系统安全总体方案设计结果文档化安全建设目标确定安全建设内容规划安全建设项目计划6.4安全建设项目规划活动目标依据信息系统安全总体方案(一个或多个文件构成)、机构或单位信息化建设的中长期发展规划和机构的安全建设资金状况确定各个时期的安全建设目标。活动输
10、入信息系统安全总体方案、机构或单位信息化建设的中长期发展规划。安全建设目标确定活动描述信息化建设中长期发展规划和安全需求调查提出信息系统安全建设分阶段目标活动输出信息系统分阶段安全建设目标安全建设目标确定活动目标根据安全建设目标和信息系统安全总体方案的要求,设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。活动输入信息系统安全总体方案,信息系统分阶段安全建设目标。安全建设内容规划活动描述确定主要安全建设内容确定主要安全建设项目活动输出安全建设项目列表(含安全建设内容)安全建设内容规划活动目标根据建设目标和建设内容,在时间和经费上对安全建设项目列表进行总体
11、考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划。活动输入信息系统安全总体方案,信息系统分阶段安全建设目标,安全建设内容等。形成安全建设项目计划活动描述规划建设的依据和原则规划建设的目标和范围信息系统安全现状信息化的中长期发展规划信息系统安全建设的总体框架安全技术体系建设规划安全管理与安全保障体系建设规划安全建设投资估算信息系统安全建设的实施保障等内容活动输出信息系统安全建设项目计划形成安全建设项目计划安全设计与实施7.1工作流程7.2安全方案详细设计7.3管理措施实现7.4技术措施实现7.1安全设计与实施阶段工作流程技术措施实现内容设计管理措施实现内容设计设计结果
12、文档化7.2安全方案详细设计活动目标根据建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据。活动输入信息系统安全总体方案,信息系统安全建设项目计划,各类信息技术产品和信息安全产品技术白皮书。技术措施实现内容设计活动描述结构框架设计功能要求设计性能要求设计部署方案设计制定安全策略实现计划活动输出技术措施落实方案技术措施实现内容设计活动目标:根据机构当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理
13、部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设。活动输入信息系统安全总体方案,信息系统安全建设项目计划。管理措施实现内容设计活动描述:结合系统实际安全管理需要和本次技术建设内容,确定本次安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。活动输出管理措施落实方案。管理措施实现内容设计活动目标:将技术措施落实方案、管理措施落实方案汇总,同时考虑工时和费用,最后形成指导安全实施的指导性文件。活动输入技术措施落实方案,管理措施落实方案。设计结果文档化活动描述:
14、本期建设目标和建设内容技术实现框架信息安全产品或组件功能及性能信息安全产品或组件部署安全策略和配置配套的安全管理建设内容工程实施计划项目投资概算活动输出安全详细设计方案。设计结果文档化管理机构和人员设置管理制度建设和修订人员安全技能培训安全实施过程管理7.3管理措施实现活动目标本活动的目标是建立配套的安全管理职能部门,通过管理机构的岗位设置、人员的分工以及各种资源的配备,为信息系统的安全管理提供组织上的保障。活动输入机构现有相关管理制度和政策,安全详细设计方案。管理机构和人员的设置活动描述安全组织确定角色说明活动输出机构、角色与职责说明书管理机构和人员的设置活动目标本活动的目标是建设或修订与信
15、息系统安全管理相配套的、包括所有信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范和操作规程。活动输入安全组织结构表,安全成员及角色说明书,安全详细设计方案。管理制度的建设和修订活动描述应用范围明确人员职责定义行为规范规定评估与完善活动输出各项管理制度和操作规范管理制度的建设和修订活动目标对人员的职责、素质、技能等方面进行培训,保证人员具有与其岗位职责相适应的技术能力和管理能力,以减少人为因素给系统带来的安全风险活动输入系统/产品使用说明书,各项管理制度和操作规范活动描述针对普通员工、管理员、开发人员、主管人员以及安全人员的特定技能培训和安全意识培训,培训后进行考核,合
16、格者发给上岗资格证书等。活动输出培训记录及上岗资格证书等。人员安全技能培训活动目标本活动的目标是在系统定级、规划设计、实施过程中,对工程的质量、进度、文档和变更等方面的工作进行监督控制和科学管理。活动输入安全设计与实施阶段参与各方相关进度控制和质量监督要求文档。安全实施过程管理活动描述质量管理风险管理变更管理进度管理文档管理活动输出各阶段管理过程文档安全实施过程管理信息安全产品采购安全控制开发安全控制集成系统验收7.4技术措施实现活动目标本活动的目标是按照安全详细设计方案中对于产品的具体指标要求进行产品采购,根据产品或产品组合实现的功能满足安全设计要求的情况来选购所需的信息安全产品。活动输入安
17、全详细设计方案,相关产品信息。信息安全产品采购活动描述制定产品采购说明书产品选择活动输出需采购信息安全产品清单。信息安全产品采购活动目标本活动的目标是对于一些不能通过采购现有信息安全产品来实现的安全措施和安全功能,通过专门进行的设计、开发来实现。安全控制的开发应当与系统的应用开发同步设计、同步实施,而应用系统一旦开发完成后,再增加安全措施会造成很大的成本投入。因此,在应用系统开发的同时,要依据安全详细设计方案进行安全控制的开发设计,保证系统应用与安全控制同步建设。活动输入安全详细设计方案。安全控制开发活动描述安全措施需求分析概要设计详细设计编码实现测试安全控制开发过程文档化活动输出安全控制开发
18、过程相关文档。安全控制开发活动目标将不同的软硬件产品集成起来,依据安全详细设计方案,将信息安全产品、系统软件平台和开发的安全控制模块与各种应用系统综合、整合成为一个系统。安全控制集成的过程需要把安全实施、风险控制、质量控制等有机结合起来,遵循运营使用单位与信息安全服务机构共同参与相互配合的实施的原则。活动输入安全详细设计方案。安全控制集成活动描述集成实施方案制定集成准备集成实施培训形成安全控制集成报告活动输出安全控制集成报告。安全控制集成活动目标检验系统是否严格按照安全详细设计方案进行建设,是否实现了设计的功能和性能。在安全控制集成工作完成后,系统测试及验收是从总体出发,对整个系统进行集成性安
19、全测试,包括对系统运行效率和可靠性的测试,也包括对管理措施落实内容的验收。活动输入安全详细设计方案,安全控制集成报告。系统验收活动描述系统验收准备组织系统验收验收报告系统交付活动输出系统验收报告。系统验收安全运行与维护8.1工作流程8.2运行管理和控制8.3变更管理和控制8.4安全状态监控8.5安全事件处置和应急预案8.6安全检查和持续改进8.7等级测评8.8系统备案8.9监督检查8.1安全运行与维护阶段的工作流程运行管理职责确定运行管理过程控制8.2运行管理和控制活动目标通过对运行管理活动或任务的角色划分,并授予相应的管理权限,来确定安全运行管理的具体人员和职责。活动输入安全详细设计方案,安
20、全组织机构表。活动描述划分运行管理角色授予管理权限定义人员职责活动输出运行管理人员角色和职责表。运行管理职责确定活动目标本活动的主要目标是通过制定运行管理操作规程,确定运行管理人员的操作目的、操作内容、操作时间和地点、操作方法和流程等,并进行操作过程记录,确保对操作过程进行控制。活动输入运行管理需求,运行管理人员角色和职责表。活动描述建立操作规程操作过程记录活动输出各类运行管理操作规程。运行管理过程控制变更需求和影响分析变更过程控制8.3变更管理和控制活动目标是通过对变更需求和变更影响的分析,来确定变更的类别,计划后续的活动内容。活动输入变更需求活动描述变更需求分析变更影响分析明确变更的类别制
21、定变更方案活动输出变更方案变更需求和影响分析活动目标确保变更实施过程受到控制,各项变化内容进行记录,保证变更对业务的影响最小。活动输入变更方案活动描述变更内容审核和审批建立变更过程日志形成变更结果报告活动输出变更结果报告。变更过程控制监控对象确定监控对象状态信息收集监控状态分析和报告8.4安全状态监控活动目标确定可能会对信息系统安全造成影响的因素,即确定安全状态监控的对象。活动输入安全详细设计方案、系统验收报告等。活动描述安全关键点分析形成监控对象列表活动输出监控对象列表。监控对象确定活动目标选择状态监控工具,收集安全状态监控的信息,识别和记录入侵行为,对信息系统的安全状态进行监控。活动输入监
22、控对象列表。活动描述选择监控工具状态信息收集活动输出安全状态信息。监控对象状态信息收集活动目标通过是对安全状态信息进行分析,及时发现安全事件或安全变更需求,并对其影响程度和范围进行分析,形成安全状态结果分析报告。活动输入安全状态信息。活动描述状态分析影响分析形成安全状态分析报告活动输出安全状态分析报告。监控状态分析和报告安全事件分级应急预案制定安全事件处置8.5安全事件处置和应急预案活动目标结合信息系统的实际情况,分析事件对信息系统的破坏程度,所造成后果严重程度,将安全事件依次进行分级。活动输入各类安全事件列表。活动描述安全事件调查和分析安全事件等级划分活动输出安全事件报告程序。安全事件分级活
23、动目标通过对安全事件的等级分析,在统一的应急预案框架下制定不同安全事件的应急预案。活动输入安全事件报告程序活动描述:确定应急预案对象确定和认可各项职责制定应急预案程序及其执行条件活动输出各类应急预案。应急预案制定活动目标对监控到的安全事件采取适当的方法进行处置,对安全事件的影响程度和等级进行分析,确定是否启动应急响应。活动输入安全状态分析报告,安全事件报告程序,各类应急预案。活动描述安全事件上报安全事件处置安全事件总结和报告活动输出安全事件处置报告。安全事件处置安全状态检查改进方案制定安全改进实施8.6安全检查和持续改进活动目标通过对信息系统的安全状态进行检查,为信息系统的持续改进过程提供依据
24、和建议,确保信息系统的安全保护能力满足相应等级安全要求。活动输入信息系统详细描述文件,变更结果报告,安全状态分析报告。活动描述确定检查对象和检查方法,制定检查计划和检查方案安全检查实施,结果和报告活动输出安全检查报告。安全状态检查活动目标依据安全检查的结果,调整信息系统的安全状态,保证信息系统安全防护的有效性。活动输入安全检查报告。活动描述安全改进的立项制定安全改进方案活动输出安全改进方案。改进方案制定活动目标保证按照安全改进方案实现各项补充安全措施,并确保原有的技术措施和管理措施与各项补充的安全措施一致有效地工作。活动输入安全改进方案。活动描述安全方案实施控制安全措施测试与验收配套技术文件和
25、管理制度的修订活动输出测试或验收报告。安全改进实施活动目标通过信息安全等级测评机构对已经完成等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,系统验收报告。活动描述参见有关信息系统安全保护等级测评的规范或标准。活动输出安全等级测评报告。8.7等级测评活动目标根据国家管理部门对备案的要求,整理相关备案材料,并向受理备案的单位提交备案材料。活动输入信息系统安全保护等级定级报告,信息系统安全总体方案,安全详细设计方案,安全等级测评报告。活动描述备案材料整理备案材料提交活动输出备案材料8.8系统备案活动
26、目标通过国家管理部门对信息系统定级、规划设计、建设实施和运行管理等过程进行监督检查,确保其符合信息系统安全保护相应等级的要求。活动输入备案材料活动描述参见信息安全等级保护监督检查的规范或标准。活动输出监督检查结果报告。8.9监督检查信息系统终止9.1工作流程9.2信息转移、暂存和清除9.3设备迁移或废除9.4存储介质的清除或销毁9.1信息系统终止阶段的工作流程活动目标在信息系统终止处理过程中,对于可能会在另外的信息系统中使用的信息采取适当的方法将其安全地转移或暂存到可以恢复的介质中,确保将来可以继续使用,同时采用安全的方法清除要终止的信息系统中的信息。活动输入信息系统信息资产清单活动描述识别要
27、转移、暂存和清除的信息资产信息资产转移、暂存和清除处理过程记录活动输出信息转移、暂存、清除处理记录文档。9.2信息转移、暂存和清除活动目标确保信息系统终止后,迁移或废弃的设备内不包括敏感信息,对设备的处理方式应符合国家相关部门的要求。活动输入设备迁移或废弃清单等。活动描述软硬件设备识别制定硬件设备处理方案处理方案审批设备处理和记录活动输出设备迁移、废弃处理报告9.3设备迁移和废弃活动目标通过采用合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息清除或销毁处理,防止介质内的敏感信息泄露。活动输入存储介质清单等活动描述识别要清除或销毁的介质确定存储介质处理方法和流程处理方案审批存储介
28、质处理和记录活动输出存储介质的清除或销毁记录文档9.4存储介质的清除或销毁归纳安全管理法律法规等级保护安全规划安全运维安全技术安全网关入侵防御行为审计内网安全WEB 防护物理网络系统应用等级保护安全组织管理流程H R 安全安安全全培培训训扫描加固渗渗透透测测试试配配置置基基准准安安全全应应急急安全方案详细设计安全方案详细设计安全技术设计实现安全技术设计实现安全管理设计实现安全管理设计实现安全运维设计实现安全运维设计实现交付产品实施产品实施服务实施服务实施管理实施管理实施运行管理和控制运行管理和控制变更管理变更管理安全状态监控安全状态监控事件管理与应急事件管理与应急配置管理配置管理教育与培训教育与培训总体安全设计总体安全设计等保投资规划等保投资规划等保项目规划等保项目规划持续改善持续改善持续教育持续教育安全检查安全检查等保自评等保自评等保测评等保测评安全建设模型实施设计规划运维测评改进识别技术产品培训技术产品培训管理制度颁布管理制度颁布安全需求分析安全需求分析差异性分析差异性分析风险识别风险识别分析报告分析报告四级管理四级管理三级管理三级管理二级管理二级管理等保三级技术三级技术四级技术四级技术二级技术二级技术对对抗抗能能力力恢复恢复能力能力2010绿盟科技谢谢!
