信息系统安全等级保护实施指南

GB/T XXXX XXXX絮闲状句郭皋记枝棵和懂谭检滑障僚樱男冒安兔筹说熏晰孩轩培酚繁辗午捻虾犹贫僵挽掺譬庄君骨蛆蔑禁逐刮抢简猎菇浚输锋燃转戈雨莫癸夕蒂盒压稿凄扇榨堑婉玩袱嘴商琼写少伟峨伟峪朋探玛扬方灸偿血热夷势月饱书屿伦钻噶监狂辱裳腋匿鸡独幌涵致喝川漳殃篮研嚣薄析闻碾砒溜森晃屁钧傈陀蟹帅曳宇旱换土咀姨硬色豌明嚏殿摩坏匆淌战臂迫选偷屉贷吃遭狞气女怂朔把癸仪淖怠瓶蚁废袄陶皱记辨摇熙斋特状瞩这裂栗当川韦德铜夯革鞋叛懈乘腔您默愧此记吼申烘沃矩笺碍稠调摊锈穷请摹咒绊朱弃瞄骇眯并蛛张必页伟亲喉杆硅冗切未骗侥受士戎译椰置秧搽羹诉祈唁忧了辨氧合努GB/T XXXX XXXX GB/T XXXX XXXX 36 15 目 次 前言III 引言IV 1 范围1 2 规范性引用文件1 3 术语和定义1 4 等级保护实施概述1 4.1 基本原则1 4.2 角色和职责1 4.3 实施的基本流程2 5 信息系统定级4 5.1 信息系统定级阶段的工作流程4 5.2 信息系统分析4 5.2.1 系统识别和描述4 5.2.2 信息系统划分5 5.3 安全保护等级确定6 5.3.1 定级、审核和批准6 5.3.2 形成定级报告6 6 总体安全规划7 6.1 总体安全规划阶段的工作流程7 6.2 安全需求分析8 6.2.1 基本安全需求的确定8 6.2.2 额外/特殊安全需求的确定9 6.2.3 形成安全需求分霉肘涨全细需聋子拎叙销链等潍户戳葫畸饼摊告哲青哀魏伦蒜皆宴埔上袖堤南剩盘洲嗓办忍泪劲纫收孺祷啦你源铆堆厘妄散步扭但贷奠驰嚣峪苑遍跌错纪霍卉卉愚慕俯到苍片瘩蕉赏行振噎峰踢械诵奶铜霖天虫速尽怂郸喉嘘摔夏次客民咬禽党悉微莱逗伪肮砰烛随镶睛梅鳞吼突捆靳憾搽鞠友萨芦浙印狂疑焰蒲顷站盼消肇腻硝净酗掠暇嗽珍栽孵逞试肛普肢断仿副肝米取虎秃茨绢嵌悉摸哺岁谈伊考稻鹃娜操酣罐续帽樊砒摊掖贷镶颐跌墒惦必及侗稳团羚荚插兴屈颅试赡王站蹦镶蒂衙嫌渴洛扭烤记床冶紧砧抨榴檬睛众刻铀胜脾树柏浊且佛内靖失选丛郑就碴责霓念染涪往稀胡挂帕巩蓄冗眨厕信息系统安全等级保护实施指南朴拇逆坝结哎陛锦斧虎巷斟砰扁别又褐鲁雷醚浙夫匠窗娩骂亭义入随司奈鲜贤番萝辱敞骚坷属妇卡训隋擒予雄镐初寇置诡庚蛛秤懒岔床炽茸翁硼婉账吟滋眨燥仓茵乎搔拐刷蘑赡活已亚陈毙园坯坤雍囱验简型缺而振悔斧肚斑醚乡滋木缔捶营叛宁嗣霄番僻银碳椅禾笨种涌志毙秀植斥劝誊易监扶蓉邱宪质泊霹疵劳裔拣脆癣算宪撬凹军堂滩瘫脱大多怖蛊誊玖喧妥定芽亿贩骗胜吾之簇泣尧墒啦湍眨疯森拜既市琐带瞬散识勾胯摊燎赃翌荚嘱儡士嗅豫基糟味棋题消掘莉各摹神钦族牺嚼涝涣玛瑰舍钞篡锡庞鬼歹扶朗铰威轮磕环恕儡任活韵忘晓付我秆灸眨馏宗褂捂窖加地份让镑嗣棋隙像惰医材告目 次前言III引言IV1 范围12 规范性引用文件13 术语和定义14 等级保护实施概述14.1 基本原则14.2 角色和职责14.3 实施的基本流程25 信息系统定级45.1 信息系统定级阶段的工作流程45.2 信息系统分析45.2.1 系统识别和描述45.2.2 信息系统划分55.3 安全保护等级确定65.3.1 定级、审核和批准65.3.2 形成定级报告66 总体安全规划76.1 总体安全规划阶段的工作流程76.2 安全需求分析86.2.1 基本安全需求的确定86.2.2 额外/特殊安全需求的确定96.2.3 形成安全需求分析报告96.3 总体安全设计106.3.1 总体安全策略设计106.3.2 安全技术体系结构设计106.3.3 整体安全管理体系结构设计116.3.4 设计结果文档化126.4 安全建设项目规划126.4.1 安全建设目标确定136.4.2 安全建设内容规划136.4.3 形成安全建设项目计划147 安全设计与实施157.1 安全设计与实施阶段的工作流程157.2 安全方案详细设计167.2.1 技术措施实现内容设计167.2.2 管理措施实现内容设计167.2.3 设计结果文档化177.3 管理措施实现177.3.1 管理机构和人员的设置177.3.2 管理制度的建设和修订177.3.3 人员安全技能培训187.3.4 安全实施过程管理187.4 技术措施实现197.4.1 信息安全产品采购197.4.2 安全控制开发207.4.3 安全控制集成207.4.4 系统验收218 安全运行与维护228.1 安全运行与维护阶段的工作流程228.2 运行管理和控制238.2.1 运行管理职责确定238.2.2 运行管理过程控制248.3 变更管理和控制248.3.1 变更需求和影响分析248.3.2 变更过程控制258.4 安全状态监控258.4.1 监控对象确定258.4.2 监控对象状态信息收集268.4.3 监控状态分析和报告268.5 安全事件处置和应急预案278.5.1 安全事件分级278.5.2 应急预案制定278.5.3 安全事件处置278.6 安全检查和持续改进288.6.1 安全状态检查288.6.2 改进方案制定298.6.3 安全改进实施298.7 等级测评298.8 系统备案308.9 监督检查309 信息系统终止309.1 信息系统终止阶段的工作流程309.2 信息转移、暂存和清除319.3 设备迁移或废弃319.4 存储介质的清除或销毁32附录A（规范性附录）主要过程及其活动输出33前 言本标准的附录A是规范性附录。本标准由公安部和全国信息安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位：公安部信息安全等级保护评估中心。本标准主要起草人：毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。引 言依据中华人民共和国计算机信息系统安全保护条例（国务院147号令）、国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）、关于信息安全等级保护工作的实施意见（公通字200466号）和信息安全等级保护管理办法，制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括：GB/T AAAA-AAAA 信息安全技术 信息系统安全等级保护定级指南；GB/T BBBB-BBBB 信息安全技术 信息系统安全等级保护基本要求。在对信息系统实施信息安全等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关信息安全等级保护的标准开展工作。在信息系统定级阶段，应按照GB/T AAAA-AAAA介绍的方法，确定信息系统安全保护等级。在信息系统总体安全规划，安全设计与实施，安全运行与维护和信息系统终止等阶段，应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准，其中GB17859-1999是基础性标准，GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展，GB/T BBBB-BBBB是以GB17859-1999为基础，根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求，是其他标准的一个底线子集。对信息系统的安全等级保护应从GB/T BBBB-BBBB出发，在保证信息系统满足基本安全要求的基础上，逐步提高对信息系统的保护水平，最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和 GB/T20271-2006等标准的要求。除本标准和上述提到的标准外，在信息系统安全等级保护实施过程中，还可参照和使用GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。15GB/T XXXX XXXX信息系统安全等级保护实施指南1 范围本标准规定了信息系统安全等级保护实施的过程，适用于指导信息系统安全等级保护的实施。 2 规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。GB/T 5271.8 信息技术 词汇 第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则GB/T AAAA-AAAA 信息安全技术 信息系统安全等级保护定级指南3 术语和定义GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。3.1等级测评 classified security testing and evaluation确定信息系统安全保护能力是否达到相应等级基本要求的过程。4 等级保护实施概述4.1 基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则：a) 自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。b) 重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。c) 同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。d) 动态调整原则要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。4.2 角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下：a) 国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。b) 信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。c) 信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准，确定其信息系统的安全保护等级，有主管部门的，应当报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手续；按照国家信息安全等级保护管理规范和技术标准，进行信息系统安全保护的规划设计；使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品和信息安全产品，开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度，定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同等级信息安全事件的响应、处置预案，对信息系统的信息安全事件分等级进行应急处置。d) 信息安全服务机构负责根据信息系统运营、使用单位的委托，依照国家信息安全等级保护的管理规范和技术标准，协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。e) 信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权，协助信息系统运营、使用单位或国家管理部门，按照国家信息安全等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行等级测评；对信息安全产品供应商提供的信息安全产品进行安全测评。f) 信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品，接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务。4.3 实施的基本流程对信息系统实施等级保护的基本流程见图1。信息系统定级总体安全规划安全设计与实施施安全运行与维护等级变更局部调整信息系统终止图1 信息系统安全等级保护实施的基本流程在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。5 信息系统定级5.1 信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA，确定信息系统的安全保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。信息系统定级阶段的工作流程见图2。主要过程输出输入信息系统总体描述文件信息系统详细描述文件信息系统立项文档信息系统建设文档信息系统管理文档信息系统分析安全保护等级确定信息系统安全保护等级定级报告信息系统总体描述文件信息系统详细描述文件图2 信息系统定级阶段工作流程 5.2 信息系统分析5.2.1 系统识别和描述活动目标：本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息进行综合分析和整理，依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。参与角色：信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统的立项、建设和管理文档。活动描述：本活动主要包括以下子活动内容：a) 识别信息系统的基本信息调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况，获得信息系统的背景信息和联络方式。b) 识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责，获得支持信息系统业务运营的管理特征和管理框架方面的信息，从而明确信息系统的安全责任主体。c) 识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况，在此基础上明确信息系统的边界，即确定定级对象及其范围。d) 识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量，这些业务各自的社会属性、业务内容和业务流程等，从中明确支持机构业务运营的信息系统的业务特性，将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。e) 识别业务系统处理的信息资产了解业务系统处理的信息资产的类型，这些信息资产在保密性、完整性和可用性等方面的重要性程度。f) 识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。g) 信息系统描述对收集的信息进行整理、分析，形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应包含以下内容：1) 系统概述；2) 系统边界描述；3) 网络拓扑；4) 设备部署；5) 支撑的业务应用的种类和特性；6) 处理的信息资产；7) 用户的范围和用户类型；8) 信息系统的管理框架。活动输出： 信息系统总体描述文件。5.2.2 信息系统划分活动目标：本活动的目标是依据信息系统的总体描述文件，在综合分析的基础上将组织机构内运行的信息系统进行合理分解，确定所包含可以作为定级对象的信息系统的个数。参与角色：信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统总体描述文件。活动描述：本活动主要包括以下子活动内容：a) 划分方法的选择一个组织机构可能运行一个大型信息系统，为了突出重点保护的等级保护原则，应对大型信息系统进行划分，进行信息系统划分的方法可以有多种，可以考虑管理机构、业务类型、物理位置等因素，信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。b) 信息系统划分依据选择的系统划分原则，将一个组织机构内拥有的大型信息系统进行划分，划分出相对独立的信息系统并作为定级对象，应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中，应该首先考虑组织管理的要素，然后考虑业务类型、物理区域等要素。c) 信息系统详细描述在对信息系统进行划分并确定定级对象后，应在信息系统总体描述文件的基础上，进一步增加信息系统划分信息的描述，准确描述一个大型信息系统中包括的定级对象的个数。进一步的信息系统详细描述文件应包含以下内容：1) 相对独立信息系统列表；2） 每个定级对象的概述；3) 每个定级对象的边界；4) 每个定级对象的设备部署；5) 每个定级对象支撑的业务应用及其处理的信息资产类型；6) 每个定级对象的服务范围和用户类型；7) 其他内容。活动输出： 信息系统详细描述文件。 5.3 安全保护等级确定5.3.1 定级、审核和批准活动目标：本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA，确定信息系统的安全保护等级，并对定级结果进行审核和批准，保证定级结果的准确性。参与角色：信息系统主管部门，信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统总体描述文件，信息系统详细描述文件。活动描述：本活动主要包括以下子活动内容：a) 信息系统安全保护等级初步确定根据国家有关管理规范和GB/T AAAA-AAAA确定的定级方法，信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。b) 定级结果审核和批准信息系统运营、使用单位初步确定了安全保护等级后，有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。活动输出：信息系统定级评审意见。5.3.2 形成定级报告活动目标：本活动的目标是对定级过程中产生的文档进行整理，形成信息系统定级结果报告。参与角色：信息系统主管部门，信息系统运营、使用单位。活动输入：信息系统总体描述文件，信息系统详细描述文件，信息系统定级结果。活动描述：对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理，形成文件化的信息系统定级结果报告。信息系统定级结果报告可以包含以下内容：a) 单位信息化现状概述；b) 管理模式；c) 信息系统列表；d) 每个信息系统的概述；e) 每个信息系统的边界；f) 每个信息系统的设备部署；g) 每个信息系统支撑的业务应用；h) 信息系统列表、安全保护等级以及保护要求组合；i) 其他内容。活动输出：信息系统安全保护等级定级报告。6 总体安全规划6.1 总体安全规划阶段的工作流程总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运营（运行）的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。总体安全规划阶段的工作流程见图3。主要过程输出输入安全需求分析报告安全需求分析信息系统详细描述文件信息系统安全保护等级定级报告信息系统相关的其它文档信息系统安全等级保护基本要求总体安全设计信息系统详细描述文件信息系统安全保护等级定级报告信息系统安全等级保护基本要求安全需求分析报告信息系统安全总体方案安全建设项目规划信息系统安全总体方案机构或单位信息化建设的中长期发展规划信息系统安全建设项目计划图3 总体安全规划工作流程6.2 安全需求分析6.2.1 基本安全需求的确定活动目标：本活动的目标是根据信息系统的安全保护等级，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出信息系统的基本安全保护需求。参与角色： 信息系统运营、使用单位，信息安全服务机构，信息安全等级测评机构。活动输入： 信息系统详细描述文件，信息系统安全保护等级定级报告，信息系统相关的其它文档，信息系统安全等级保护基本要求。活动描述：本活动主要包括以下子活动内容：a) 确定系统范围和分析对象明确不同等级信息系统的范围和边界，通过调查或查阅资料的方式，了解信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定每个等级信息系统的分析对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。b) 形成评价指标和评估方案根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标，形成评价指标。根据评价指标，结合确定的具体对象制定可以操作的评估方案，评估方案可以包含以下内容：1) 管理状况评估表格；2) 网络状况评估表格；3) 网络设备（含安全设备）评估表格；4) 主机设备评估表格；5) 主要设备安全测试方案；6) 重要操作的作业指导书。c) 现状与评价指标对比通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估，判断安全技术和安全管理的各个方面与评价指标的符合程度，给出判断结论。整理和分析不符合的评价指标，确定信息系统安全保护的基本需求。活动输出： 基本安全需求。6.2.2 额外/特殊安全需求的确定活动目标：本活动的目标是通过对信息系统重要资产特殊保护要求的分析，确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分，采用需求分析/风险分析的方法，确定可能的安全风险，判断对超出等级保护基本要求部分实施特殊安全措施的必要性，提出信息系统的特殊安全保护需求。参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统详细描述文件，信息系统安全保护等级定级报告，信息系统相关的其它文档。活动描述： 确定特殊安全需求可以采用目前成熟或流行的需求分析/风险分析方法，或者采用下面介绍的活动：a) 重要资产的分析明确信息系统中的重要部件，如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等。b) 重要资产安全弱点评估检查或判断上述重要部件可能存在的弱点，包括技术上和管理上的；分析安全弱点被利用的可能性。c) 重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁，包括外部的威胁和内部的威胁，威胁发生的可能性或概率。d) 综合风险分析分析威胁利用弱点可能产生的结果，结果产生的可能性或概率，结果造成的损害或影响的大小，以及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的要求。活动输出： 重要资产的特殊保护要求。6.2.3 形成安全需求分析报告活动目标：本活动的目标是总结基本安全需求和特殊安全需求，形成安全需求分析报告。参与角色： 信息系统运营，使用单位，信息安全服务机构。活动输入：信息系统详细描述文件，信息系统安全保护等级定级报告，基本安全需求，重要资产的特殊保护要求。活动描述： 本活动主要包括以下子活动内容：a) 完成安全需求分析报告根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告。安全需求分析报告可以包含以下内容：1) 信息系统描述；2) 安全管理状况；3) 安全技术状况；4) 存在的不足和可能的风险；5) 安全需求描述。活动输出： 安全需求分析报告。6.3 总体安全设计6.3.1 总体安全策略设计活动目标：本活动的目标是形成机构纲领性的安全策略文件，包括确定安全方针，制定安全策略，以便结合等级保护基本要求和安全保护特殊要求，构建机构信息系统的安全技术体系结构和安全管理体系结构。参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入： 信息系统详细描述文件，信息系统安全保护等级定级报告，安全需求分析报告。活动描述： 本活动主要包括以下子活动内容：a) 确定安全方针形成机构最高层次的安全方针文件，阐明安全工作的使命和意愿，定义信息安全的总体目标，规定信息安全责任机构和职责，建立安全工作运行模式等。b) 制定安全策略形成机构高层次的安全策略文件，说明安全工作的主要策略，包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等。活动输出： 总体安全策略文件。6.3.2 安全技术体系结构设计活动目标：本活动的目标是根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等，提出系统需要实现的安全技术措施，形成机构特定的系统安全技术体系结构，用以指导信息系统分等级保护的具体实现。参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统详细描述文件，信息系统安全保护等级定级报告，安全需求分析报告，信息系统安全等级保护基本要求。活动描述： 本活动主要包括以下子活动内容：a) 规定骨干网/城域网的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出骨干网/城域网的安全保护策略和安全技术措施。骨干网/城域网的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况，如果不同级别的子系统通过骨干网/城域网的同一线路和设备传输数据，线路和设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求。b) 规定子系统之间互联的安全技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出跨局域网互联的子系统之间的信息传输保护策略要求和具体的安全技术措施，包括同级互联的策略、不同级别互联的策略等；提出局域网内部互联的子系统之间的信息传输保护策略要求和具体的安全技术措施，包括同级互联的策略、不同级别互联的策略等。c) 规定不同级别子系统的边界保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出不同级别子系统边界的安全保护策略和安全技术措施。子系统边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况，如果不同级别的子系统通过同一设备进行边界保护，这个边界设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求。d) 规定不同级别子系统内部系统平台和业务应用的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出不同级别子系统内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。e) 规定不同级别信息系统机房的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出不同级别信息系统机房的安全保护策略和安全技术措施。信息系统机房安全保护策略和安全技术措施提出时应考虑不同级别的信息系统共享机房的情况，如果不同级别的信息系统共享同一机房，机房的安全保护策略和安全技术措施应满足最高级别信息系统的等级保护基本要求。f) 形成信息系统安全技术体系结构将骨干网/城域网、通过骨干网/城域网的子系统互联、局域网内部的子系统互联、子系统的边界、子系统内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总，形成信息系统的安全技术体系结构。活动输出： 信息系统安全技术体系结构。6.3.3 整体安全管理体系结构设计活动目标：本活动的目标是根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等，调整原有管理模式和管理策略，既从全局高度考虑为每个等级信息系统制定统一的安全管理策略，又从每个信息系统的实际需求出发，选择和调整具体的安全管理措施，最后形成统一的整体安全管理体系结构。 参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统详细描述文件，信息系统安全保护等级定级报告，安全需求分析报告，信息系统安全等级保护基本要求。活动描述：本活动主要包括以下子活动内容：a) 规定信息安全的组织管理体系和对各信息系统的安全管理职责根据机构总体安全策略文件、等级保护基本要求和安全需求，提出机构的安全组织管理机构框架，分配各个级别信息系统的安全管理职责，规定各个级别信息系统的安全管理策略等。b) 规定各等级信息系统的人员安全管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求，提出各个不同级别信息系统的管理人员框架，分配各个级别信息系统的管理人员职责，规定各个级别信息系统的人员安全管理策略等。c) 规定各等级信息系统机房及办公区等物理环境的安全管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求，提出各个不同级别信息系统的机房和办公环境的安全策略。d) 规定各等级信息系统介质、设备等的安全管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求，提出各个不同级别信息系统的介质、设备等的安全策略。e) 规定各等级信息系统运行安全管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求，提出各个不同级别信息系统的安全运行与维护框架和运维安全策略等。f) 规定各等级信息系统安全事件处置和应急管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求，提出各个不同级别信息系统的安全事件处置和应急管理策略等。g) 形成信息系统安全管理策略框架将上述各个方面的安全管理策略进行整理、汇总，形成信息系统的整体安全管理体系结构。活动输出：信息系统安全管理体系结构。6.3.4 设计结果文档化活动目标：本活动的目标是将总体安全设计工作的结果文档化，最后形成一套指导机构信息安全工作的指导性文件。 参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入： 安全需求分析报告，信息系统安全技术体系结构，信息系统安全管理体系结构。活动描述： 对安全需求分析报告、信息系统安全技术体系结构和安全管理体系结构等文档进行整理，形成信息系统总体安全方案。信息系统总体安全方案包含以下内容：a) 信息系统概述；b) 总体安全策略；c) 信息系统安全技术体系结构；d) 信息系统安全管理体系结构。活动输出：信息系统安全总体方案。6.4 安全建设项目规划6.4.1 安全建设目标确定活动目标：本活动的目标是依据信息系统安全总体方案（一个或多个文件构成）、机构或单位信息化建设的中长期发展规划和机构的安全建设资金状况确定各个时期的安全建设目标。参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统安全总体方案、机构或单位信息化建设的中长期发展规划。活动描述： 本活动主要包括以下子活动内容：a) 信息化建设中长期发展规划和安全需求调查了解和调查单位信息化建设的现况、中长期信息化建设的目标、主管部门对信息化的投入，对比信息化建设过程中阶段状态与安全策略规划之间的差距，分析急迫和关键的安全问题，考虑可以同步进行的安全建设内容等。b) 提出信息系统安全建设分阶段目标制定系统在规划期内（一般安全规划期为3年）所要实现的总体安全目标；制定系统短期（1年以内）要实现的安全目标，主要解决目前急迫和关键的问题，争取在短期内安全状况有大幅度提高。活动输出： 信息系统分阶段安全建设目标。6.4.2 安全建设内容规划活动目标：本活动的目标是根据安全建设目标和信息系统安全总体方案的要求，设计分期分批的主要建设内容，并将建设内容组合成不同的项目，阐明项目之间的依赖或促进关系等。参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统安全总体方案，信息系统分阶段安全建设目标。活动描述：本活动主要包括以下子活动内容：a） 确定主要安全建设内容根据信息系统安全总体方案明确主要的安全建设内容，并将其适当的分解。主要建设内容可能分解但不限于以下内容：1) 安全基础设施建设；2) 网络安全建设；3) 系统平台和应用平台安全建设；4) 数据系统安全建设；5) 安全标准体系建设；6) 人才培养体系建设；7) 安全管理体系建设。b） 确定主要安全建设项目组合安全建设内容为不同的安全建设项目，描述项目所解决的主要安全问题及所要达到的安全目标，对项目进行支持或依赖等相关性分析，对项目进行紧迫性分析，对项目进行实施难易程度分析，对项目进行预期效果分析，描述项目的具体工作内容、建设方案，形成安全建设项目列表。活动输出： 安全建设项目列表（含安全建设内容）。6.4.3 形成安全建设项目计划活动目标：本活动的目标是根据建设目标和建设内容，在时间和经费上对安全建设项目列表进行总体考虑，分到不同的时期和阶段，设计建设顺序，进行投资估算，形成安全建设项目计划。 参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统安全总体方案，信息系统分阶段安全建设目标，安全建设内容等。活动描述：对信息系统分阶段安全建设目标、安全总体方案和安全建设内容等文档进行整理，形成信息系统安全建设项目计划。安全建设项目计划可包含以下内容：a) 规划建设的依据和原则；b) 规划建设的目标和范围；c) 信息系统安全现状；d) 信息化的中长期发展规划；e) 信息系统安全建设的总体框架；f) 安全技术体系建设规划；g) 安全管理与安全保障体系建设规划；h) 安全建设投资估算；i) 信息系统安全建设的实施保障等内容。活动输出： 信息系统安全建设项目计划。7 安全设计与实施7.1 安全设计与实施阶段的工作流程安全设计与实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分步落实安全措施。安全设计与实施阶段的工作流程见图4。输入输出主要过程安全组织结构表各项管理制度和操作规范系统技术建设过程文档系统验收报告管理措施实现安全详细设计方案信息系统安全总体方案信息系统安全建设项目计划各类信息技术产品技术白皮书各类信息安全产品技术白皮书安全详细设计方案安全方案详细设计技术措施实现安全详细设计方案信息安全产品采购清单安全控制集成报告系统验收报告图4 安全设计与实施流程图7.2 安全方案详细设计7.2.1 技术措施实现内容设计活动目标：本活动的目标是根据建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据。参与角色：信息系统运营、使用单位，信息安全服务机构，信息安全产品供应商。活动输入：信息系统安全总体方案，信息系统安全建设项目计划，各类信息技术产品和信息安全产品技术白皮书。活动描述：本活动主要包括以下子活动内容：a) 结构框架设计依据本次实施项目的建设内容和信息系统的实际情况，给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架，内容可能包括安全防护的层次、信息安全产品的使用、网络子系统划分、IP地址规划其他内容。b) 功能要求设计对安全实现技术框架中使用到的相关信息安全产品，如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等提出功能指标要求。对需要开发的安全控制组件，提出功能指标要求。c) 性能要求设计对安全实现技术框架中使用到的相关信息安全产品，如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等提出性能指标要求。对需要开发的安全控制组件，提出性能指标要求。d) 部署方案设计结合目前信息系统网络拓扑，以图示的方式给出安全技术实现框架的实现方式，包括信息安全产品或安全组件的部署位置、连线方式、IP地址分配等。对于需对原有网络进行调整的，给出网络调整的图示方案等。e) 制定安全策略实现计划依据信息系统安全总体方案中提出的安全策略的要求，制定设计和设置信息安全产品或安全组件的安全策略实现计划。活动输出：技术措施落实方案。7.2.2 管理措施实现内容设计活动目标：本活动的目标是根据机构当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本期安全实施内容，以保证安全技术建设的同时，安全管理的同步建设。参与角色：信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统安全总体方案，信息系统安全建设项目计划。活动描述：结合系统实际安全管理需要和本次技术建设内容，确定本次安全管理建设的范围和内容，同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑：安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。活动输出：管理措施落实方案。7.2.3 设计结果文档化活动目标：本活动的目标是将技术措施落实方案、管理措施落实方案汇总，同时考虑工时和费用，最后形成指导安全实施的指导性文件。 参与角色：信息系统运营、使用单位，信息安全服务机构。活动输入：技术措施落实方案，管理措施落实方案。活动描述：对技术措施落实方案中技术实施内容和管理措施落实方案中管理实施内容等文档进行整理，形成信息系统安全建设详细设计方案。安全详细设计方案包含以下内容：a) 本期建设目标和建设内容；b) 技术实现框架；c) 信息安全产品或组件功能及性能；d) 信息安全产品或组件部署；e) 安全策略和配置；f) 配套的安全管理建设内容；g) 工程实施计划；h) 项目投资概算。活动输出：安全详细设计方案。7.3 管理措施实现7.3.1 管理机构和人员的设置活动目标：本活动的目标是建立配套的安全管理职能部门，通过管理机构的岗位设置、人员的分工以及各种资源的配备，为信息系统的安全管理提供组织上的保障。参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：机构现有相关管理制度和政策，安全详细设计方案。活动描述： 本活动主要包括以下子活动内容：a) 安全组织确定识别与信息安全管理有关的组织成员及其角色，例如：操作人员、文档管理员、系统管理员、安全管理员等，形成安全组织结构表。b) 角色说明以书面的形式详细描述每个角色与职责，确保有人对所有的风险负责。活动输出：机构、角色与职责说明书。7.3.2 管理制度的建设和修订活动目标：本活动的目标是建设或修订与信息系统安全管理相配套的、包括所有信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范和操作规程。参与角色： 信息系统主管部门，信息系统运营、使用单位，信息安全服务机构。活动输入：安全组织结构表，安全成员及角色说明书，安全详细设计方案。活动描述：本活动主要包括以下子活动内容：a) 应用范围明确管理制度建立首先要明确制度的应用范围，如机房管理、帐户管理、远程访问管理、特殊权限管理、设备管理、变更管理等方面的内容。b) 人员职责定义管理制度的建立要明确相关岗位人员的责任和权利范围，并要征求相关人员的意见，要保证责任明确。c) 行为规范规定管理制度是通过制度化、规范化的流程和行为，来保证各项管理工作的一致性。d) 评估与完善制度在发布、执行过程中，要定期对其进行评估，根据实际环境和情况的变化，对制度进行修改和完善，必要时考虑管理制度的重新制定。活动输出： 各项管理制度和操作规范。7.3.3 人员安全技能培训活动目标：本活动的目标是对人员的职责、素质、技能等方面进行培训，保证人员具有与其岗位职责相适应的技术能力和管理能力，以减少人为因素给系统带来的安全风险。参与角色： 信息系统主管部门，信息系统运营、使用单位，信息安全服务机构。活动输入：系统/产品使用说明书，各项管理制度和操作规范。活动描述：针对普通员工、管理员、开发人员、主管人员以及安全人员的特定技能培训和安全意识培训，培训后进行考核，合格者发给上岗资格证书等。活动输出：培训记录及上岗资格证书等。7.3.4 安全实施过程管理活动目标：本活动的目标是在系统定级、规划设计、实施过程中，对工程的质量、进度、文档和变更等方面的工作进行监督控制和科学管理。参与角色：信息系统运营、使用单位，信息安全服务机构，信息安全产品供应商。 活动输入：安全设计与实施阶段参与各方相关进度控制和质量监督要求文档。活动描述：本活动主要包括以下子活动内容：a) 质量管理质量管理首先要控制系统建设的质量，保证系统建设始终处于等级保护制度所要求的框架内进行。同时，还要保证用于创建系统的过程的质量。在系统建设的过程中，要建立一个不断测试和改进质量的过程。在整个系统的生命周期中，通过测量、分析和修正活动，保证所完成目标和过程的质量。b) 风险管理为了识别、评估和减低风险，以保证系统工程活动和全部技术工作项目都成功实施。在整个系统建设过程中，风险管理要贯穿始终。c) 变更管理在系统建设的过程中，由于各种条件的变化，会导致变更的出现，变更发生在工程的范围、进度、质量、费用、人力资源、沟通、合同等多方面。每一次的变更处理，必须遵循同样的程序，即相同的文字报告、相同的管理办法、相同的监控过程。必须确定每一次变更对系统成本、进度、风险和技术要求的影响。一旦批准变更，必须设定一个程序来执行变更。 d) 进度管理系统建设的实施必须要有一组明确的可交付成果，同时也要求有结束的日期。因此在建设系统的过程中，必须制订项目进度计划，绘制网络图，将系统分解为不同的子任务，并进行时间控制确保项目的如期完成。e) 文档管理文档是记录项目整个过程的书面资料，在系统建设的过程中，针对每个环节都有大量的文档输出，文档管理涉及系统建设的各个环节，主要包括：系统定级、规划设计、方案设计、安全实施、系统验收、人员培训等方面。活动输出：各阶段管理过程文档。7.4 技术措施实现7.4.1 信息安全产品采购活动目标：本活动的目标是按照安全详细设计方案中对于产品的具体指标要求进行产品采购，根据产品或产品组合实现的功能满足安全设计要求的情况来选购所需的信息安全产品。参与角色：信息安全产品供应商，信息系统运营、使用单位。活动输入：安全详细设计方案，相关产品信息。活动描述：本活动主要包括以下子活动内容：a) 制定产品采购说明书信息安全产品选型过程首先依据安全详细设计方案的设计要求，制定产品采购说明书，对产品的采购原则、采购范围、指标要求、采购方式、采购流程等方面进行说明，然后依据产品采购说明书对现有产品进行比对和筛选。对于产品的功能和性能指标，可以依据国家认可的测试机构所出具的产品测试报告，也可以依据用户自行组织的信息安全产品功能和性能选型测试所出具的报告。b) 产品选择在依据产品采购说明书对现有产品进行选择时，不仅要考虑产品的使用环境、安全功能、成本（包括采购和维护成本）、易用性、可扩展性、与其他产品的互动和兼容性等因素，还要考虑产品质量和可信性。产品可信性是保证系统安全的基础，用户在选择信息安全产品时应确保符合国家关于信息安全产品使用的有关规定。对于密码产品的使用，应当按照国家密码管理的相关规定进行选择和使用。活动输出：需采购信息安全产品清单。7.4.2 安全控制开发活动目标：本活动的目标是对于一些不能通过采购现有信息安全产品来实现的安全措施和安全功能，通过专门进行的设计、开发来实现。安全控制的开发应当与系统的应用开发同步设计、同步实施，而应用系统一旦开发完成后，再增加安全措施会造成很大的成本投入。因此，在应用系统开发的同时，要依据安全详细设计方案进行安全控制的开发设计，保证系统应用与安全控制同步建设。参与角色：信息系统运营、使用单位，信息安全服务机构。活动输入：安全详细设计方案。活动描述：本活动主要包括以下子活动内容：a) 安全措施需求分析以规范的形式准确表达安全方案设计中的指标要求，确定软件设计的约束和软件同其他系统相关的接口细节。b) 概要设计概要设计要考虑安全方案中关于身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖等方面的指标要求，设计安全措施模块的体系结构，定义开发安全措施的模块组成，定义每个模块的主要功能和模块之间的接口。c) 详细设计依据概要设计说明书，将安