《27.信息系统安全等级保护实施指南.docx》由会员分享,可在线阅读,更多相关《27.信息系统安全等级保护实施指南.docx(29页珍藏版)》请在课桌文档上搜索。
1、A1.息系统安全等霰保护卖IMI1.1.前言本标准的附录A是规范性冏录。本标准由公安部和全国信息安全标准化技术委员会提出.本标准由全国信恩安全标准化技术委员会归11.本标准起草单位;公安部信息安全等皱保护评估中心.本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥.引古依据中华人民共和国计算机信息系统安全保护条例3国务院147号令)、国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号、关于信息安全等侬保护工作的实施意见3(公通字2004)66号)和信息安全等级保护管理办法(公通字2007143号),制定本标准.本标准是信恩安全
2、等级保护相关系列标准之一.与木标准相关的系列标准包括:-GBTTAAAA-AAAA信息安全技术信息系统安全等级保护定级指南:一GB-1TBBBB-BBBB信息安全技术信息系统安全等级保护基本要求.在对信息系统实施信息安全等欲保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作.在信息系统定级阶段,应按照GB,TAAAA-AAAA介绍的方法,确定信息系统安全保护等级。在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999.GBTBBBBBBBB.GB/T20269-2006、GB/T20270-2006和G
3、B/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行雉护管理工作。GB17859-1999.GB,BBBB-BBBB.GBT20269-2006、GBT202702006和GB,T20271-2006等技术标准是信息系统安全等级保护的系列相关欧套标准.其中GB17859-1999是基础性标准.GB1T202692006.GB420270-2006和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB,TBBBB-BBBB是以GB17859-1999为塞础,根据现疔技术发展水平提出的对不同安全保护等级信息系统的最基本
4、安全要求,是其他标准的一个底线子集,对信息系统的安全等级保护应从GB/TBBBBBBBB出发.在保证信息系统满足基本安全要求的基础上,逐步提高电信息系统的保妒水平,最终满足GB17859-1999、GBT202692006.GBXT20270-2006和GB120271-2006等标准的要求。除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用GB.T20272-2006和GB.T20273-2006等其它等级保护相关技术标准.信息系统安全等级保妒实施指附1范困本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施.2规范性引用文件下列文件中的
5、条款通过在本标准中的引用而成为本标准的条款.凡是注H期的引用文件,其随后所有的修改堆(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本,凡是不注明”期的引用文件,其以新版本适用于本标准。GB.T5271.8倍息技术词汇笫8部分:安全GB17859-1999计算扒信息系统安全保护等级划分准则GBzTAAAA-AAAA信息安全技术佰恩系统安全等徼保护定级指南3术语和定义GB.T5271.8和GB17859-1999确立的以及卜列术语和定义透用于本标准,3.1等级测评c1.assifiedsecuritytestingandeva1.uat
6、ion确定信息系统安全保护能力是否达到相应等级整本要求的过理,4等级保护实能柢述4.1基本原则信息系统安全等级保妒的核心是对估恩系统分等级、按标准进行建设、管埋和监侪.伯思系统安全等级保护实施过程中应遵循以下班本原则:a)自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法现和标准,自主确定信息系统的安全保护等级.自行组织实脩安全保护.b)Hi点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等姒的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关隧信息资产的信息系统.0同步建设厚则信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金
7、建设信息安全设施,保障信息安全与信息化建设相适应。d)动态调整原则要堪踪信息系统的变化情况,啊整安全保护措施,由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理现范和技术标准的要求,至新确定信息系统的安全保护等级,根据信恩系统安全保护等级的遍整情况,重新实勘安全保护。4.2 角色和职责信息系统安全等级保妒实施过程中涉及的各类角色和职员如下:a)国家笆理部门公安机关负资信息安全等级保护工作的监督、检查、指导:国家保密工作部门负责等娘保护工作中有关保密工作的监督、检查、指导:国家密码管理部门负责等级保护工作中仃关*:科I:作的监督、脸查、指导:涉及其
8、他职能部门管咕范用的事项,由有关职能部门依照国家法律法规的规定进行管理:国分院信息化工作办公室及地方信息化领导小祖办干机构负贡等级保护工作的部门间协调。b)信息系统主管部门负我依照国家信息安全等级保护的管理烷范和技术标准,督促、检查和拒寻本行业、本部门或者本地区信息系统运营、使用单位的信息安全等欲保护工作.c)信息系统运营、使用单位负货依照国家信息安全等侬保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准:根据已经确定的安全保护等级.到公安机关办理符案手续:按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计:使用符合国家有关现
9、定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建i殳或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构.定期进行等级测评:制定不同等级信息安全期件的响应、处置预案,对信息系统的恰恩安全事件分等欲进行应急处置.d)信息安全服务机构负成根据信息系统运营、使用单位的委托,依照国家信刖安全等娘保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全备求分析、安全总体现划、实施安全建设和安全改造等.e)信息安全等级测评机构
10、负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,仍助信息系统运营、使用单位或国家管理部门.按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级刈评:财伯恩安全产丛供应商提供的信息安全产品诳行安全测评.I)信息安全产品供应商负或按照国家信息安全等缎保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评:按照等级保护相关要求俏售信息安全产品并提供相关服务.4.3 实施的基本诋程在安全运行与维护阶段,信息系统因需求变化等原因导致局部谓整,而系统的安全保护等级并未改变.应从安全运行与维护阶段进入安全设计与实脩阶段,曳新设计、诩整和
11、实施安全措施,确保满足等级保护的要求:但信息系统发生正大变更导致系统安全保护等级变化时,应从安全运行与维护阶段迸入信息系统定圾阶段,重新开始一轮信息安全等级保护的实施过程。5信息系统定级5.1 信息系定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家行关管理规范和GBrrAAAA-AAAA.确定信息系统的安全保护等级,信史系统运营、使用单位有主管部门的,应当经主管部门审核批准.5.2 信息系统分析5.2.1 系统浜别和描述活动目标:木活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息迸行媒合分析和整理,依据分析和整理的内容形成组织机构内信息
12、系统的总体描述性文档。参与角色,信息系统运营使用单位信息安全服务机构.活动输入:信息系统的立项、建设和管理文档.活动描述;本活动主要包括以下子活动内容:a)识别信息系统的基本信息网杏了解信恩系统的行业特征、主管机内、业务范围、地理位at以及信息系统基本情况,扶解信息系统的背景信息和联络方式。b)识别信息系统的管理框架/解信息系统的组织管理结构、管理策略、部门设置和部门在业务场行中的作用、岗位职费.获得支持信息系统业务运营的管埋特征和管理框架方面的佑息,从而明确信息系统的安全贡任主体.c)识别信息系统的网络及设备部署r解信息系统的物理坏境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统
13、的边界.即确定定级对软及其范围.d)识别信息系统的业务种类和特性了解机构内主要依他信息系统处理的业务种类和数量,这”业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,符承敬比较单一的业务应用或者承就相对独立的业务应用的伯息系统作为垠独的定级对象.e)识别业务系统处理的信息资产了解业务系统处理的信息资产的类鞭,这信息资产在保密性、完整性和UJFH性等方面的重要性程度,f)识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范困、作用以及业务连续性方面的要求等.g)信息系统描述对收集的信总进行整理分析,形成对信息系统的总体描述文件。一个典鞭的信息
14、系统的总体描述文件应包含以下内容:1)系统概述:2)系统边界描述;3)网络拓扑;4)设备部署:5)支摔的业务应用的种类和特性:6)处理的信息资产:7)用户的范附和用户类型:8)信息系统的管理框架.活动输出:信总系统总体描述文件.5.2.2 信息系统划分活动目标:本活动的目标是依捌信息系统的总体描述文件,在琮合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数.参与角色:信息系统运营、使用单位,信息安全服务机构,活动输入:信息系统总体描述文件。活动描述:本活动主要包括以下子活动内容:a)划分方法的选择一个组织机构Ur能运行一个大型信息系统,为了突出重点
15、保护的等媛保护原则,应对大型信刖系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本埴位的具体情况确定一个系统的分解原则.6信息系统划分依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分.划分出相对独立的信息系统并作为定级对象.应保证每个相对独立的信息系统具否定级对我的基本特征.在信息系统划分的过程1,应该首先考虑组织管埋的要素.然后考虑业分类型、物理区域等要素.c)信息系统详细描述在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信
16、息系统中包括的定级对象的个数.进一步的信息系统详细描述文件应包含以下内容:1)相对独立信息系统列表;2)短个定级对象的概述:3)极个定级对故的边界:4)每个定徼对望的设备部潜:5)每个定例对象支撑的业务应用及其处理的信息资产类型:6)每个定级对象的眼务葩曲和用户类型:7)其他内容.活动输出:信忠系统详细描述文件.5.3 安全保护等级确定5.3.1 定级、审核和批准活动目标:本活动的目标是按照国家有关管理规范和G&TAAAA-AAAA,确定佶.&系统的安全保护等级,并对定破结果进行审核和批准,保证定级结果的准确性。参与角色:信息系统主管部门,信息系统运营、使用单位,信刖安全服务机构。活动输入:信
17、息系统总体描述文件.信息系统详细描述文件.活动描述:木活动主要包括以下子活动内容:a)信息系统安全保护等级初步确定根据国家行关管理规范和GB,AAAA-AAAA墉定的定级方法.信息系统运营、使用单位对保个定级对象确定初步的安全保护等级.6定级结果审核和批准信息系统运苜、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管都门审核批准。踏省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级.对拟确定为第四级以上信息系统的,运营使刖单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审.活动输出:信息系统定级评审懑见。5.3.2 形成定级报告活动目标:本活动的目标是对定
18、级过程中产生的文档进行整理,形成信息系统定徼结果报告.参与角色:信息系统主管部门,信息系统运包、使用单位,活动输入:信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果,活动描述:对估息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告。信息系统定级结果报告可以包含以下内容:a)单位信息化现状概述:b)管理模式:0信息系统列表;d)的个信息系统的概述;)每个信息系统的边界:0每个信,&系统的设备部潜:g)期个信息系统支探的业务应用:h)信息系统列表、安全保护等皴以及保护要求组合:i)其他内容.活动检出:信息系统安全保
19、护等徼定级报告.6总体安全规划6.1 总体安全规划阶段的工作流程总体安全规划阶段的E1.标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况.通过分析明确信息系统安全需求,改计合埋的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实他。对于己运营(运行的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距,6.2 安全需求分析6.2.1 艇本安全衢求的确定活动目标:本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求.
20、参与角色:信息系统运首、使用单位,信息安全服务机构,信息安全等级测评机构,活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求.活动描述:木活动主要包括以下子活动内容:a)确定系统施围和分析对象明确不同等级信息系统的范用和边界,通过调行或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信.&、安全措能状况等.初步确定每个等徵信息系统的分析时象.包括整体对象,如机房、办公环境、网络等,也包拈具体对象,如边界设备、网关设备、眼务器设备、工作站、应用系统等。b)形成评价指标和评估方案根据各个伯恩系统的安全保护等级
21、从信息系统安全等被保护基本要求中选择相应等级的指标,形成评价指标。根据评价指标,站令确定的具体对软制定可以操作的评估方案,评估方案可以包含以下内容:1)管理状况评估表格;2)网络状况评估表格:3)网络设备(含安全设备)评估表格:4)主机设备评估表格;5)主要设符安全测试方案;6)重要操作的作业指导书.0现状与评价指标对比通过观察现场、询何人员、i询资料、检杳记录、检修配置、技术测成、渗透攻击等方式迸行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论,整理和分析不符合的评价指标,确定信息系统安全保护的基本霜求.活动输出:基本安全需求.6.2.2 额
22、外特殊安全需求的确定活动目标:本活动的目标是通过对信息系统理要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分,采用新求分析,风险分析的方法,确定可能的安全风险,判断对掰出等税保护基本要求部分实施特殊安全措施的必要性,提出信息系统的特殊安全保护需求,参与角色:信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统详细描述文件.信息系统安全保护等级定级报告.信息系统相关的其它文档.活动描述:确定特殊安全衢求可以采用目前成熟或流行的衢求分析/风哙分析方法,或者枭用下面介绍的活动:a)申要资产的分析明确信息系统中的重要部件.如边界设备、网关设备、核心网络设
23、备、重要服务零设备、重要应用系统等,b)Hi要资产安全弱点评估检造或判断上述取要部件可能存在的弱点,包括技术上和管理上的:分析安全弱点被利用的可能性。c)重要资产面临峻胁评估分析和判断上述曳要郃件可能面临的成胁.包括外部的威胁和内部的威胁,成物发生的可能性或概率.d)涂合风险分析分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损杏或影响的大小,以及题免上述结果产生的可能性、必要性和经济性.按照重要资产的排序和风险的排序确定安全保护的要求.活动输出:重要资产的特殊保护要求.6.2.3形成安全衢求分析报告活动目标:本活动的目标是总结基本安全需求和特殊安全需求,形成安全需求分析报告
24、.参与角色:信息系统运营,使用单位,信息安全服务机构.活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,获木安全御求,JR要资产的特殊保护要求。活动描述:本活动主要包括以下子活动内容:a)完成安全需求分析报告根据基本安全益求和特殊的安全保护需求等形成安全需求分析报告。安全需求分析报告可以包含以下内容:1)信息系统描述:2)安全管理状况:3)安全技术状况:4)存在的不足和可能的风除:5)安全需求描述.活动输出:安全需求分析报告。6.3 总体安全设计6.3.1 总体安全策略设计活动目标:本活动的目标是形成机构纲摘性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求
25、和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构。参与角色:信息系统运营、使用单位,信息安全极务机构.活动输入:信.&系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告.活动描述;本活动主要包括以下子活动内容:a)确定安全方针形成机构最高层次的安全方针文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定依息安全货任机构和职员,建立安全工作运行模式等。b)制定安全策略形成机构拓层次的安全策略文件,说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分欲獭略、数据信息分级策略、子系统互连策略、估息流控制策略等.活动输出;总体安全策略文件。6.3.
26、2 安全技术体系结构设计活动目标:本活动的目标是根据信息系统安全等级保护基本要求、安全布求分析报告、机构总体安全策略文件等,提出系统筋要实现的安全技术措施,形成机构特定的系统安全技术体系结构,用以指导信息系统分等级保护的具体实现。参与角色:信息系统运苜、使用单位,信息安全服务机构.活动输入:信息系统详细描述文件,信息系统安全保妒等级定徼Hi告,安全需求分析报告,信息系统安全等级保护明本要求。活动描述:本活动主要包括以下于活动内容:a)规定的干KW城域网的安全保妒技术措施根据机构总体安全策略文件、等级保护堤本要求和安全需求,提出骨干网/城域忖的安全保护策略和安全技术措施。骨干网/城域网的安全保护
27、策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况.如果不同级别的子系统通过什干网/城城网的同一线路和设备传输数据,线路和设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求.6规定子系统之间互联的安全技术措施根据机何总体安全策略文件、等级保护基本要求和安全需求,提出跨局域网?联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等:提出局域网内部互联的子系统之间的伯息传航保护策珞要求和具体的安全技术措脩,包括同级互联的策略、不同级别互联的策略等。c)规定不同级别子系统的边界保护技术措例根据机构总体安全策略文件、等级保护基本要
28、求和安全需求,提出不同级别子系统边界的安全保护策略和安全技术措脩.子系统边界安全保护斌略和安全技术措俺提出时应考虑边界设备共享的情况.如果不同级别的子系统通过同一设法迸行边界保护,这个边界设备的安全保护镀略和安全技术措施应满足最高级别子系统的等级保护基本要求,d)规定不同级别子系统内部系统平台和业务应用的安全保护技术指,施根据机构总体安全策略文件、等欲保护基本要求和安全需求,提出不同级别子系统内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。e)规定不同级别信息系统机房的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别信息系统机房的安全保护策略和安
29、全技术措施.信息系统机房安全保护策略和安全技术措施提出时应考虑不同级别的怙息系统共享机房的情况,如果不同级别的信息系统共享同一机房,机房的安全保护皱略和安全技术措施应满足最高缎别信息系统的等级保护将本要求,0形成信息系统安全技术体系结构将骨干网/城域网、通过情干网/城域网的子系统互联、局域网内部的子系统互联、子系统的边界、子系统内制各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成信息系统的安全技术体系结何。活动输出:信息系统安全技术体系结构.6.3.3 整体安全管理体系结构设计活动目标:本活动的目标是根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,询整
30、原有管理模式和管理策略,既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选拯和调整具体的安全管理措施,域后形成统的整体安全管理体系结构,参与角色:信息系统运音、使用单位,信刖安全服务机构。活动输入:信息系统详细描述文件.信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等徼保护基本要求.活动描述;本活动主要包括以下子活动内容:a)规定信息安全的组织管理体系和对各信息系统的安全管理职责根据机构总体安全策略文件、等徼保护屉本要求和安全需求,提出机构的安全组织管埋机构框架,分配各个级别信息系统的安全管理职而,规定各个级别信息系统的安全管理策珞等,b
31、)规定各等级信息系统的人员安全管理策略根据机构总体安全策略文件、等级保护基本要求和安全偌求,提出各个不同级别信息系统的管理人员框架,分配各个级别伯恩系统的管理人员职费,现定各个级别信息系统的人员安全管埋策略等.0规定各等级信息系统机房及办公区等物理环境的安全管理策略根据机树总体安全策略文件、等姒保护基本要求和安全需求,提出各个不同级别信息系统的机房和办公环境的安全策略.d)规定各等级信息系统介质、设备等的安全管理第略根据机构总体安全策略文件、等级保护塞本要求和安全需求,提出各个不同级别信息系统的介质、设备等的安全策略。e)规定各等级信息系统运行安全管理策略根据机向总体安全策略文件、等欲保护基本
32、要求和安全需求,提出各个不同级别伯恩系统的安全运行与维护框架和运维安全策略等.f)规定各等级信息系统安全事件处置和应急管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求.提出各个不同级别信息系统的安全事件处置和应急管埋策略等.g)形成信息系统安全管理箱略框架将上述各个方面的安全管理策略进行整理、汇总,形成信息系统的整体安全管理体系结构,活动输出:信息系统安全管理体系结构.6.3.4 设计结果文档化活动F1.标:本活动的目标是将总体安全设计工作的结果文档化,G后形成一我指导机构信息安全工作的指杼性文件。参与角色:信息系统运营、使用单位,信息安全服务机的.活动输入:安全需求分析报告,信息
33、系统安全技术体系结构,信息系统安全管理体系结构。活动描述:对安全需求分析报告、信息系统安全技术体系结构和安全管理体系结构等文档进行整理,形成信息系统总体安全方案.信息系统总体安全方案包含以下内容:a)信息系统概述:b)总体安全策略:0怙息系统安全技术体系结构:d)信息系统安全管理体系结构,活动输出:信息系统安全总体方案。6.4 安全建设项目规划6.4.1 安全建设目标确定活动目标;本活动的目标是依据信息系统安全总体方案(一个或多个文件构成)、机构或单位信息化建设的中长期发展规划和机构的安全建设资金状况确定各个时期的安全建设目标.参与角色:信息系统运营、使用单位,信息安全服务机构.活动输入:信息
34、系统安全总体方案、机构或单位信息化建设的中长期发展规划。活动描述:本活动主要包括以下子活动内容:a)信息化建谀中长期发展规朋和安全诲求门花了解和调色单位信息化建设的现况、中长期信息化建设的目标、主管制门对信息化的投入,对比信息化建设过程中阶段状态与安全策略规划之间的差距,分析急迫和关键的安全问甥,考虑可以同步进行的安全建设内容等.b)提出信息系统安全建设分阶段目标制定系统在规划期内(一般安全规划期为3年)所要实现的总体安全目标;制定系统短期(1年以内)要实现的安全目标,主要解决目前急迫和关键的问题,争取在短期内安全状况有大幅度提高。活动输出:信息系统分阶段安全建设目标.6.4.2 安全建设内容
35、规划活动目标:本活动的目标是根据安全建设目标和信息系统安全总体方案的要求,设计分期分批的主要建设内容.并将建设内容组合成不同的项目,阐明项目之间的依极或促进关系等.参与角色:信总系统运营、使用单位,信息安全服务机构.活动输入:信息系统安全总体方案,信息系统分阶段安全建设目标,活动描述:本活动主要包括以下于活动内容:a)确定主要安全建设内容根据信息系统安全总体方案明确主要的安全建设内容,并将其适当的分解,主要建设内容可能分解但不限于以下内容:1)安全基础设脩建谀:2)网络安全建设:3)系统平台和应用平台安全建设:4)数据系统安全建设;5)安全标准体系建设:6)人才培养体系建设:7)安全管理体系建
36、设,b)确定主要安全建设项目组合安全建设内容为不同的安全建设项目描述项目所解决的主要安全问遨及所要达到的安全目标.对项目进行支持或依楔等相关性分析,对项目进行紧迫性分析,对项目进行实施难易程度分析,时项目进行预期效果分析,描述项目的具体工作内容、建设方案,形成安全建设项目列表。活动输Hh安全建设项目列表(含安全建设内容)。6.4.3 形成安全建设项目计划活动目标:木活动的目标是根据建设目标和建设内容,在时间和经忸上对安全建设JS11列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,杉成安全建设项目计划.,参与角色:信息系统运营、使用单位,信息安全极务机构.活动输入:伯息系统安
37、全总体方案,信息系统分阶段安全建设目标,安全建设内容等”活动描述:对信息系统分阶段安全建设目标、安全总体方案和安全建设内容等文档进行整理,形成信刖系统安全建设项目计划“安全建设项目计划可包含以下内容:abdeV规划建设的依据和原则;规划建设的目标和范的;信息系统安全现状:信息化的中长期发展规叨:信息系统安全建设的总体框架;安全技术体系建设规划:g)安全管理与安全保障体系建设规划:m安全建设投资估究:i)信息系统安全建设的实施保障等内容。活动输出:信息系统安全建设项目计划。7安全设计与实施7.1 安全设计与实施阶段的工作流程安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安
38、全建设项目计划.分期分步落实安全措施.7.2 安全方案详细设计7.2.1 技术措施实现内容设计活动目标:本活动的目标是根据建设目标和建设内容将信恩系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产砧功能或物理形态上,提出能够实现的产丛或配件及丸具体现泡,并将产品功能特征整理成文档,使得在信息安全产品采购和安全控制开发阶段具有依据。参与角色:信息系统运营、使用单位信息安全朋务机构,信息安全产品供应商.活动愉入:信息系统安全总体方案,信息系统安全建设项目计划,各类信恩技术产M和伯息安全产品技术白皮书。活动描述:本活动主要包括以下子活动内容:a)结构框架设计依据本次实施项
39、目的建设内容和信息系统的实际情况,给出与总体安全规划阶段的安全体系结构致的安全实现技术框架,内容可能包括安全防护的层次、信息安全产品的使用、网络子系统划分、IP地址规划其他内容.b)功能要求设计对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PK1.等提出功能指标要求。对需要开发的安全控制组件,提出功能指标要求,C)性能要求设计对安全实现技术框架中使用到的相关信息安全产品,如防火增、VPN,同闸、认证网关、代埋服务器、网络防病毒、PK1.等提出性能指标要求.对需要开发的安全控制组件,提出性能指标要求,d)部署方案设计结合目前信息系统网络拓
40、扑,以图示的方式给出安全技术实现框架的实现方式.包括信息安全产品或安全组件的部詈位设、连线方式、IP地址分圮等.对于需时原有网络进行冏整的,给出网络谓整的图示方案等。e)制定安全策略实现计划依据信息系统安全总体方案中提出的安全策略的要求,制定设计和设置信息安全产品或安全组件的安全策略实现计划,活动输出:技术措施落实方案,7.2.2 管理措施实现内容设计活动目标:本活动的目标是根据机构当前安全管理偏要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设.参与角色:信息系统运营、使用单位.信息安全服务机构.活动输入:信息系统安
41、全总体方案佰息系统安全建设项目计划.活动描述:结合系统实际安全管理霰要和本次技术建设内容,确定本次安全管理建i殳的莅困和内容,同时注意与信息系统安全总体方案的一致性.安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等.活动输出:管埋措施落实方案.7.2.3 设计结果文档化活动目标:本活动的目标是将技术措胞落实方案、管理措施落实方案汇总同时考虑工时和费用,最后形成指导安全实施的指导性文件.参与角色:信息系统运营、使用单位,信息安全服务机构,活动输入:技术措弗落实方案,管理措施落实方案.活动描述:对技术措施落实方案中技术实施内容和管理措施落实方案中管
42、理实施内容等文档进行整理,形成信息系统安全建设详细设计方案,安全详细设计方案包含以下内容:a)本期建设目标和建设内容:b)技术实现框架:0信息安全产品或祖件功能及性能:d)信息安全产品或组件部署;)安全策略和配置:f)河套的安全管埋建设内容:g)工程实施计划:h)项目投资概舞。活动输出:安全详细设计方案.7.3 管理措施实现7.3.1 管理机构和人员的设置活动目标:本活动的目标是建立配套的安全管理职能部门,通过管理机构的岗位设置,人员的分工以及各种资源的配备,为信恩系统的安全管理提供组织上的保障.参与角色:信息系统运甘、使用单位,信息安全服务机相。活动输入:机构现有相关管理制度和政策,安全详细
43、设计方案.活动描述:本活动主要包括以下子活动内容:a)安全如银确定识别与信息安全管理有关的览织成员及其角色,例如:操作人员、文档管理员、系统管理员、安全管理员等,形成安全组织结构表.b)角色说明以书面的形式详细描述个角色与职贡,确保有人对所有的风险负费。活动输出:机构、角色与职货说明书。7.3.2 管理制度的建设和修订活动目标:木活动的目标是建设或修订与信息系统安全管理相皂套的、包括所有信息系统的建设、开发、运维、升段和改造等各个阶段和环节所应当遵循的行为规范和操作规程,参与角色:信息系统主管部门.信息系统运营、使用单位.信息安全服务机构.活动输入:安全组织结构我.安全成员及角色说明书,安全详
44、细设计方案-活动描述:本活动主要包括以下子活动内容:a)应用范围明确管理制度建立首先要明确制度的应用范围,如机房管理、帐户管理、远程访问管理、特殊权限管理、设备管理、变更管理簪方面的内容,b)人员职员定义管理制度的建立要明确相关岗位人员的贲任和权利范用,并要征求相关人员的意见,要保证贲任明确.C)行为规范规定管理制度是通过制度化、规范化的流程和行为,来保证各项管理工作的一致性。d)评估与完簪制度在发布、执行过程中,要定期对其进行评估,根据实际环境和情况的变化.对制度进行修改和完善,必要时考虑管理制度的重新制定.活动输出:各项管理制度和操作规范.7.3.3 人员安全技能培训活动目标:本活动的目标
45、是对人员的职责、素质、技能等方面进行培训,保证人员具有与其岗位职员相适应的技术能力和管理能力,以减少人为因素给系统带来的安全风降。参与角色:信息系统主管部门.信息系统运营、使用单位.信息安全服务机构,活动输入:系统/产品使用说明书.各项管理制度和操作规范.活动描述:针对普通员工、管理员、开发人员、主管人员以及安全人员的特定技能培训和安全度识培训,培训后进行考核,合格者发给上岗资格证书等。活动输出:培训记录及上岗资格证书等.7.3.4 安全实施过程管理活动目标:本活动的目标是在系统定级、规划设计、实施过程中.对工程的质贵、进度、文档和变更等方面的工作进行监帑控制和科学管理.参与角色:信息系统运营
46、、使用单位,信息安全服务机构,信息安全产品供应商.活动输入:安全设计与实施阶段参与各方相关进度控制和质况雅督要求文档。活动描述:本活动主要包括以下子活动内容:a)质研管理咙求管理首先要控制系统建设的麻砧,保证系统建设始终处于等级保护制度所要求的框架内进行。同时.还要保证用于创建系统的过程的筋地,在系统建设的过程中,要建立一个不断测试和改进质量的过程.在整个系统的生命周期中,通过测衣、分析和正活动,保证所完成目标和过程的质鼠.b)风险管理为了识别、评估和减低风险,以保证系统工程活动和全部技术工作项目都成功实施。在整个系统建设过程中,风险管理要贯穿始终.C)变更管理在系统建设的过程中,由于各种条件
47、的变化,会导致变更的出现,变更发生在工程的范围、进收、质里、费用、人力资源、沟通合同等多方面。每一次的变更处理.必须遵循同样的程序,即相同的文字报告、相同的管理办法、相同的监控过程.必须确定每一次变更对系统成本、进度、风险和技术要求的影响.一旦批准变更,必须设定一个程序来执行变更.d)诳收管理系统建设的实施必须要有一-祖明确的可交付成果,同时也要求有结束的日期。因此在建设系统的过程中,必须制订项目进度计划.绘制网络图,将系统分解为不同的子任务,并进行时间控制确保项目的如期充成.e)文档管理文档是记录项目整个过程的体面资料,在系统建设的过程中,针对每个环节都有大量的文档输出,文档管理涉及系统也设的各个环节,主要包括: