信息系统安全等级保护实施指南介绍.ppt

信息系统安全等级保护实施指南介绍 目录 概述等级保护的实施过程系统定级阶段安全规划设计阶段安全实施 实现阶段安全运行管理阶段系统中止阶段 概述 背景实施指南的作用实施指南的使用对象与风险管理之间的关系 概述 背景 1994年 中华人民共和国计算机信息系统安全保护条例 的发布1999年 计算机信息系统安全保护等级划分准则 GB17859 1999发布2003年 中央办公厅 国务院办公厅转发 国家信息化领导小组关于加强信息安全保障工作的意见 27号文 2004年 四部委联合签发了 关于信息安全等级保护工作的实施意见 66号文 概述 背景 续 在 66号文 的职责分工和工作要求中指出 信息和信息系统的运营 使用单位按照等级保护的管理规范和技术标准 确定其信息和信息系统的安全保护等级信息和信息系统的运营 使用单位按照等级保护的管理规范和技术标准对新建 改建 扩建的信息系统进行信息系统的安全规划设计 安全建设施工信息和信息系统的运营 使用单位及其主管部门按照与信息系统安全保护等级相对应的管理规范和技术标准的要求 定期进行安全状况检测评估国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求 对信息和信息系统的安全等级保护状况进行监督检查 概述 背景 续 管理规范和技术标准的作用 主管部门 监督检查 信息安全监管职能部门 系统定级 安全保护 检测评估 运营 使用单位 安全服务商安全评估机构 技术标准 管理规范 概述 背景 续 主要的管理规范和技术标准管理规范 信息安全等级保护管理办法 技术标准 信息系统安全等级保护实施指南 信息系统安全保护等级定级指南 信息系统安全等级保护基本要求 信息系统安全等级保护测评准则 信息系统安全等级保护监督检查指南 概述 实施指南的作用 是信息系统实施等级保护的指南性文件 作为等级保护标准体系的指引文档 贯穿整个等级保护工作的所有阶段 规范和指导所有的安全活动 介绍信息系统实施等级保护的方法 不同的角色在不同阶段的作用 概述 实施指南的使用对象 本指南的使用对象是 信息系统的主管单位 信息系统运营 使用单位 信息系统安全服务商 信息安全监管机构 安全测评机构 安全产品供应商 概述 与风险管理之间的关系 相同点都是对活动过程的管理 都阐明了对信息系统整个生命周期的管理 不同点风险管理方法以 风险 控制为核心 描述了风险管理的主要活动过程 信息系统实施等级保护的思路是首先根据信息系统定级方法对信息系统进行定级 根据安全级别确定基本安全保护措施 通过风险分析补充其它需要的安全措施 构成等级保护安全设计方案 并依据方案进行安全工程实施 概述 与风险管理之间的关系 续 二者之间关系在对信息系统实施等级保护的过程中 风险管理是一种辅助手段 等级保护的相关标准对不同级别的信息系统提出了基本保护要求 基本保护要求是系统安全建设的基础 但是不同的信息系统由于其本身的特性 除基本保护要求外 可以通过风险管理中风险分析的方法选择需要补充的安全措施 从而使得系统的等级保护更加个性化 等级保护的基本实施过程 基本实施过程与信息系统生命周期之间的关系重要概念 等级保护的基本实施过程 重大变更 局部调整 系统定级 安全规划设计 安全实施 实现 安全运行管理 系统终止 与信息系统生命周期之间的关系 新建信息系统 新建信息系统等级保护实施过程 信息系统生命周期 与信息系统生命周期之间的关系 已建信息系统已经存在的信息系统 通常处于系统运行维护阶段 安全等级保护实施过程中的系统定级阶段 安全规划设计阶段 安全实施 实现阶段和系统终止等的主要活动都将在信息系统生命周期的系统运行维护阶段完成 主要阶段和主要活动 重要概念 阶段主要活动 主要活动过程 阶段 工作内容 过程目标 输入 输出 活动目标 阶段目标 参与角色 主要工作内容 主要活动过程 实施流程 主要活动 主要参考标准 实施等级保护的主要阶段 第一阶段 系统定级第二阶段 安全规划设计第三阶段 安全实施 实现第四阶段 安全运行管理第五阶段 系统终止 第一阶段 系统定级 定级方法参与角色和职责实施流程阶段主要活动 系统定级阶段 定级方法 第一种方法 根据经验直接定级第二种方法 按照标准定级第三种方法 制定方法自行定级如采用第二种定级方法则可以参考 实施指南 系统定级阶段相关活动内容 系统定级阶段 参与角色和职责 信息系统运营 使用单位 负责选择定级方法确定其信息系统的安全等级 并报其主管部门审批同意 对安全等级在三级以上的信息系统 报送本地区地市级公安机关备案 信息系统主管部门 对下属单位确定的信息系统安全等级进行审批 信息系统安全服务商 协助信息系统运营 使用单位完成与信息系统定级相关的工作 系统定级阶段 实施流程 主要输入 主要输出 阶段主要活动 子系统识别和描述 系统立项文档系统建设文档系统管理文档 系统详细描述文件 系统识别与划分 系统总体描述文件 系统总体描述文件 安全等级确定 系统总体描述文件系统详细描述文件 系统安全保护等级定级建议书 系统定级阶段 系统识别和划分 过程目标收集有关信息系统的信息 在对信息进行综合分析的基础上将组织机构内运行的信息系统合理地分解成若干个信息系统 针对目标信息系统 形成信息系统的总体描述性文档 输入信息系统的立项 建设 管理文档 系统定级阶段 系统识别和划分 续 输出信息系统总体描述文件主要工作内容识别单位的基本信息识别信息系统的管理框架识别信息系统的网络边界及设备部署识别信息系统的业务种类和特性识别用户范围和用户类型划分方法的选择形成信息系统总体描述文档 系统定级阶段 系统识别和划分 续 信息系统划分方法从组织管理角度划分从业务类型角度划分从物理区域或运行环境角度划分 系统定级阶段 业务子系统识别和描述 过程目标如果某一个信息系统中包含多个业务子系统 识别出主要的业务子系统 对主要业务子系统的安全属性进行识别和描述 输入信息系统详细描述文件 系统定级阶段 业务子系统识别和描述 输出信息系统详细描述文件主要工作内容识别各业务子系统处理的信息类型识别各业务子系统的服务范围识别各项业务对系统的依赖程度形成信息系统和业务子系统的详细描述文档 系统定级阶段 安全等级确定 过程目标依据 信息系统安全保护等级定级指南 确定每个业务子系统的安全保护等级 由所包括的各业务子系统的最高等级决定信息系统的安全保护等级 对定级过程文档进行整理 形成文件化的信息系统定级建议书 输入信息系统总体描述文件信息系统详细描述文件 系统定级阶段 安全等级确定 输出信息系统安全保护等级定级建议书主要工作内容各业务子系统安全保护等级确定信息系统安全保护等级确定安全保护等级的调整定级结果文档化 第二阶段 安全规划设计阶段 阶段目标参与角色和职责实施流程阶段主要活动 安全规划设计 阶段目标 通过安全评估和需求分析判断信息系统的安全保护现状与等级保护基本要求之间的差距 确定安全需求 然后根据信息系统的划分情况 信息系统的定级情况 信息系统承载业务情况和安全需求等 设计合理的 满足等级保护要求的总体安全方案 并制定出安全实施计划等 以指导后续的信息系统安全建设工程实施 安全规划设计 参与角色和职责 信息系统运营 使用单位 根据已经确定的安全等级 按照等级保护的管理规范和技术标准 进行信息系统的安全规划设计 信息系统安全服务商 根据信息系统运营 使用单位的委托 按照等级保护的管理规范和技术标准 协助信息系统运营 使用单位完成信息系统安全规划设计工作 安全规划设计 实施流程 主要输入 主要输出 阶段主要活动 安全评估和需求分析 系统详细描述文件系统定级建议书等级保护基本要求 安全评估报告安全需求分析报告 安全总体设计 安全总体方案书技术防护框架管理策略框架 安全建设规划 总体安全策略 框架单位信息化的中长期规划 信息系统安全建设方案 安全评估报告安全需求分析报告等级保护基本要求 阶段主要活动 1 安全评估和需求分析 活动目标通过系统调查和安全评估了解系统目前的安全现状 评估系统已经采用的或将要采用的保护措施和等级保护安全要求之间的差距 这种差距作为系统的一种安全需求 了解系统额外的安全需求 明确系统的完整安全需求 主要参考标准 信息系统安全等级保护基本要求 信息系统安全等级保护测评准则 GB Txxxxx 2006信息系统安全通用技术要求 信息安全风险评估指南 阶段主要活动 1 安全评估和需求分析 主要活动过程评估对象和评估方法的明确 评估指标体系的选择和确定 系统现状与评估指标的对比 特殊安全要求的确定 阶段主要活动 1 安全评估和需求分析 评估对象和评估方法的明确 确定评估范围 获得信息系统的信息 确定具体的评估对象 确定评估工作的方法 制定评估工作计划 系统详细描述文件系统定级建议书用户文档 输入 输出 过程的工作内容 评估工作方案 阶段主要活动 1 安全评估和需求分析 评估指标体系的选择和确定 选择基本评估指标 评估对象威胁分析 系统详细描述文件系统定级建议书等级保护基本要求评估工作方案 输入 输出 过程的工作内容 安全评估方案 落实评估对象的评估指标 制定评估方案 阶段主要活动 1 安全评估和需求分析 安全现状与评估指标对比 管理指标符合性评估 技术指标符合性测评 系统详细描述文件评估工作方案安全评估方案 输入 输出 过程的工作内容 符合性评估结果 重要资产特殊安全要求的确定 重要资产分析 重要资产弱点评估 系统详细描述文件评估结果记录用户需求文档 输入 输出 过程的工作内容 风险评估结果特殊安全要求 重要资产威胁评估 重要资产风险评估 阶段主要活动 1 安全评估和需求分析 阶段主要活动 2 安全总体设计 活动目标根据等级保护基本安全要求和系统的特殊要求 从被评估单位全局考虑设计系统的整体安全框架 提出各信息系统在总体方面的策略要求 应实现的安全技术措施和安全管理措施等 形成用于指导系统进行安全建设的安全总体方案 主要参考标准 信息系统安全等级保护基本要求 GB Txxxxx 2006信息系统安全通用技术要求GB Txxxxx 2006操作系统安全技术要求GB Txxxxx 2006数据库管理系统安全技术要求GB T19716 2005信息安全管理实用规则IATF3 0信息保障技术框架 阶段主要活动 2 安全总体设计 主要活动过程系统等级化模型处理总体安全策略设计各级系统安全技术措施设计单位整体安全管理策略设计设计结果文档化 阶段主要活动 2 安全总体设计 系统等级化模型处理 信息系统构成抽象处理 骨干网抽象处理 系统详细描述文件符合性评估结果风险评估结果特殊安全要求 输入 输出 过程的工作内容 信息系统等级化抽象模型 安全域抽象处理 局域网 边界抽象处理 形成信息系统抽象模型 阶段主要活动 2 安全总体设计 总体安全策略设计 制定安全方针 规定安全策略 系统详细描述文件安全需求分析报告信息系统等级化抽象模型 输入 输出 过程的工作内容 总体安全策略等级保护模型 建立等级化保护模型 阶段主要活动 2 安全总体设计 各级系统安全技术措施设计 骨干网等级保护措施 安全域等级保护措施 安全需求分析报告信息系统等级保护模型等级保护基本要求特殊安全要求 输入 输出 过程的工作内容 信息系统技术防护框架 等级系统边界防护策略 主机系统 应用等级保护措施 机房等物理安全保护措施 阶段主要活动 2 安全总体设计 单位整体安全管理策略设计 规定安全管理职责 规定安全管理策略 安全需求分析报告信息系统等级保护模型等级保护基本要求特殊安全要求 输入 输出 过程的工作内容 信息系统安全管理策略框架 给定介质 设备管理策略 规定运行安全管理策略 规定安全事件处置和应急管理策略 阶段主要活动 2 安全总体设计 设计结果文档化 编制安全总体方案书 安全需求分析报告等级保护模型技术防护框架管理策略框架 输入 输出 过程的工作内容 安全总体方案书 安全规划设计 3 安全建设规划 活动目标将信息系统安全总体方案书规定的内容落实到安全建设项目中 通过对安全项目的相关性 紧迫性 难易程度和预期效果等因素进行分析 确定实施的先后顺序 主要参考标准 信息系统安全等级保护基本要求 GB Txxxxx 2006等级保护系列安全产品技术要求GB Txxxxx 2006操作系统安全技术要求GB Txxxxx 2006数据库管理系统安全技术要求 安全规划设计 3 安全建设规划 主要活动过程安全建设目标确定安全建设内容规划安全建设方案设计 阶段主要活动 3 安全建设规划 安全建设目标确定 收集规划文档 调研相关安全需求 安全总体方案书单位信息化建设中长期发展规划 输入 输出 过程的工作内容 分阶段建设目标 调研建设资金准备状况 阶段主要活动 3 安全建设规划 安全建设内容规划 确定主要建设内容 分类形成建设项目 安全总体方案书分阶段安全建设目标 输入 输出 过程的工作内容 具体安全建设内容 阶段主要活动 3 安全建设规划 安全建设方案设计 设计建设顺序 安全总体方案书分阶段安全建设目标安全建设内容 输入 输出 过程的工作内容 系统安全建设方案 估算各项目投资 编制文档 第三阶段 安全实施 实现阶段 阶段目标参与角色和职责实施流程阶段主要活动 安全实施 实现 阶段目标 安全实施 实现的目标是按照信息系统安全总体方案书的总体要求 结合信息系统安全建设方案 分期分步落实安全措施 安全实施 实现 参与角色和职责 主管部门 审批下属单位制定的文件运营 使用单位 按照等级保护的管理规范和技术标准 进行信息系统的安全建设 安全服务商 根据信息系统运营 使用单位的委托 协助信息系统运营 使用单位完成信息系统安全建设施工 安全产品供应商 按照等级保护的管理规范和技术标准 开发符合安全等级保护要求的安全产品安全测评机构 按照等级保护的管理规范和技术标准 对已经完成安全等级保护建设的信息系统进行检查评估 对安全产品供应商提供的安全产品进行检查评估 安全实施 实现阶段 实施流程 主要输入 主要输出 阶段主要活动 安全详细方案设计 安全总体方案书系统安全建设方案安全产品技术白皮书 安全详细设计方案 安全技术实施 安全测评报告 等级化安全测评 安全详细设计方案 系统定级建议书系统验收报告 系统验收报告 安全管理实施 安全详细设计方案 角色与职责说明书管理制度 操作规范 阶段主要活动 1 安全详细方案设计 活动目标依据信息系统安全建设方案 提出本期实施项目的具体实施方案 包括安全技术实施内容 安全管理实施内容 项目实施计划以及项目经费投入等 以便进行本次项目的实施 阶段主要活动 1 安全详细方案设计 主要参考标准GB17859 1999计算机信息系统安全保护等级划分准则 信息系统安全等级保护基本要求 GB T19716 2005信息安全管理实用规则GB Txxxxx 2006信息系统安全通用技术要求GB Txxxxx 2006等级保护系列安全产品技术要求GB Txxxxx 2006操作系统安全技术要求GB Txxxxx 2006数据库管理系统安全技术要求 阶段主要活动 1 安全详细方案设计 主要活动过程安全技术实施内容设计安全管理实施内容设计设计结果文档化 阶段主要活动 1 安全详细方案设计 安全技术实施内容设计 设计结构框架 设计功能要求 安全总体方案书安全建设方案安全产品技术白皮书 输入 输出 过程的工作内容 安全技术实施方案 设计性能指标 设计部署方案 制定安全策略实现计划 阶段主要活动 1 安全详细方案设计 安全管理实施内容设计 设置安全管理机构 配备安全管理人员 安全总体方案书安全建设方案 输入 输出 过程的工作内容 安全管理实施方案 制定安全管理制度 培训安全管理技能 阶段主要活动 1 安全详细方案设计 安全技术实施内容设计 设置安全管理机构 配备安全管理人员 安全总体方案书安全建设方案 输入 输出 过程的工作内容 安全管理实施方案 制定安全管理制度 培训安全管理技能 阶段主要活动 1 安全详细方案设计 设计结果文档化 实施内容汇总 编制文档 安全技术实施方案安全管理实施方案 输入 输出 过程的工作内容 安全详细设计方案 阶段主要活动 2 安全管理实施 活动目标建立与信息系统安全技术和安全运行相适应的安全管理机制 在本期安全详细设计方案的指导下 建立配套的安全管理机构和人员 建立配套的安全管理制度和操作规程 进行人员的安全技能培训等 保证本期安全实施完成后 安全运行管理有配套的机制 主要参考标准 信息系统安全等级保护基本要求 GB T19715 2 2005IT安全管理指南GB T19716 2005信息安全管理实用规则 阶段主要活动 2 安全管理实施 主要活动内容管理机构和人员的设置管理制度的建设和修订人员安全技能培训安全实施过程管理 阶段主要活动 2 安全管理实施 管理机构和人员设置 识别安全管理组织成员 识别安全管理角色 现有管理制度和政策文件安全详细设计方案 输入 输出 过程的工作内容 机构 角色职责说明文件 规定各机构和角色职责 阶段主要活动 2 安全管理实施 管理制度的建设和修订 确定制度的应用范围 确定部门 人员职责 现有管理制度和政策文件安全组织结构表机构 角色职责说明文件 输入 输出 过程的工作内容 各项管理制度和操作规范 评估并完善现有制度 阶段主要活动 2 安全管理实施 人员安全技能培训 培训特定岗位技能 培训安全意识 岗位职责说明系统 产品使用手册各项管理制度和操作规程 输入 输出 过程的工作内容 培训记录上岗资格证书 考核 颁发上岗资格证书 阶段主要活动 2 安全管理实施 安全实施过程管理 质量管理 进度管理 信息系统等级保护建设的各阶段文档 输入 输出 过程的工作内容 各阶段过程管理控制记录 文档管理 版本控制 变更管理 风险管理 阶段主要活动 3 安全技术实施 活动目标保证按照安全详细设计方案实现各项安全技术措施 并确保安全技术措施的有效性 主要参考标准 信息系统安全等级保护基本要求 GB T19715 2 2005IT安全管理指南GB T19716 2005信息安全管理实用规则GB Txxxxx 2006信息系统安全通用技术要求GB Txxxxx 2006操作系统安全技术要求GB Txxxxx 2006数据库管理系统安全技术要求GB Txxxxx 2006网络技术要求GB Txxxxx 2006网络脆弱性扫描产品技术要求 阶段主要活动 3 安全技术实施 主要活动过程安全产品采购安全控制开发安全控制集成测试与验收 阶段主要活动 3 安全技术实施 安全产品采购 制定产品采购说明书 选择入围产品 安全设计详细方案相关产品信息 输入 输出 过程的工作内容 已采购安全产品清单 产品招标 阶段主要活动 3 安全技术实施 安全控制开发 安全措施需求分析 概要设计 安全设计详细方案 输入 输出 过程的工作内容 安全控制开发过程相关文档 详细设计 编码实现 测试 阶段主要活动 3 安全技术实施 安全控制集成 制定集成实施方案 实施集成 安全设计详细方案 输入 输出 过程的工作内容 安全控制集成报告 阶段集成测试 产品和维护培训 阶段主要活动 3 安全技术实施 测试与验收 测试系统功能和性能 测试运行可靠性 安全设计详细方案安全控制集成报告 输入 输出 过程的工作内容 系统测试报告系统验收报告 测评安全管理实施 系统验收 系统交付 阶段主要活动 3 安全技术实施 等级化安全测评 测试系统功能和性能 测试运行可靠性 安全设计详细方案安全控制集成报告 输入 输出 过程的工作内容 系统测试报告系统验收报告 测评安全管理实施 系统验收 系统交付 阶段主要活动 4 等级化安全测评 过程目标通过安全测评机构对已经完成安全等级保护建设的信息系统进行测评 确保信息系统的安全保护措施符合相应等级的安全要求 主要参考标准 信息安全等级保护测评准则 信息安全等级保护基本要求 阶段主要活动 4 等级化安全测评 输入信息系统安全保护等级定级报告系统验收报告输出安全等级保护测评报告主要工作内容参见 信息系统安全等级保护测评准则 第四阶段 安全运行管理阶段 阶段目标参与角色和职责实施流程阶段主要活动 安全运行管理 阶段目标 通过在安全运行管理阶段实施操作管理和控制 变更管理和控制 安全状态监控 安全事件处置和应急预案 安全评估和持续改进以及监督检查等活动 在安全管理基本要求的基础上 指导系统运行的动态管理 安全运行管理 参与角色和职责 运营 使用单位 对已经完成安全等级保护建设的信息系统进行维护管理 发现问题及时整改 定期进行安全状况检测评估 及时消除安全隐患和漏洞 制定不同等级信息安全事件的响应 处置预案 加强信息系统的安全管理 信息安全监管机构 按照等级保护的管理规范和技术标准的要求 重点对第三 第四级信息系统的安全等级保护状况进行监督检查 发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的 限期整改 使信息系统的安全保护措施更加完善 安全运行管理 实施流程 主要输入 主要输出 阶段主要活动 操作管理和控制 安全详细设计方案安全组织机构表 操作人员角色 职责表各类操作规程 变更管理和控制 变更需求 变更结果报告 安全状态监控 安全详细设计方案系统验收报告等 安全状态分析报告 安全事件处置和应急预案 安全详细设计方案安全组织机构表 安全事件报告程序各类应急预案安全事件处置报告 安全运行管理 实施流程 续 主要输入 主要输出 阶段主要活动 安全评估和持续改进 安全评估报告安全改进方案 等级化安全测评 安全详细设计方案系统验收报告等 安全等级保护测评报告 监督检查 安全详细设计方案系统验收报告等 监督检查结果报告 变更需求 阶段主要活动 1 操作管理和控制 活动目标确保操作人员对信息系统实行正确 安全操作 控制系统不断变化和种类繁多的操作活动 主要参考标准 信息系统安全等级保护基本要求 GB Txxxxx 2006信息系统安全通用技术要求GB T19716 2005信息安全管理实用规则GB T19715 2005IT安全管理指南主要活动过程操作职责确定操作过程控制 阶段主要活动 1 操作管理和控制 操作职责确定 划分操作角色 授予管理权限 安全设计详细方案安全组织机构表 输入 输出 过程的工作内容 操作人员角色和职责表 定义人员职责 阶段主要活动 1 操作管理和控制 操作过程控制 确定操作目的和内容 确定操作时间和地点 操作需求操作人员角色和职责表 输入 输出 过程的工作内容 各类操作规程操作记录 选择操作方法 建立操作规程 记录操作过程和结果 阶段主要活动 2 变更管理和控制 活动目标确保在发生安全配置 安全设施 系统结构和业务应用等变化的时候 使用标准的方法和步骤 尽快的实施变更 确保变更所导致的信息资产安全性降低 业务中断或业务影响减小到最低 主要参考标准 信息系统安全等级保护基本要求 GB Txxxxx 2006信息系统安全通用技术要求GB T19716 2005信息安全管理实用规则GB T19715 2005IT安全管理指南主要活动过程变更需求和影响分析变更过程控制 阶段主要活动 2 变更管理和控制 变更需求和影响分析 变更需求分析 识别变更种类 变更需求 输入 输出 过程的工作内容 变更方案 变更影响分析 制定变更方案 阶段主要活动 2 变更管理和控制 变更过程控制 变更内容审核与审批 建立变更过程日志 变更方案 输入 输出 过程的工作内容 变更结果报告 形成变更结果报告 阶段主要活动 3 安全状态监控 活动目标对信息系统的安全运行状态进行监控 确保信息系统运行安全 主要参考标准 信息系统安全等级保护基本要求 GB Txxxxx 2006信息系统安全通用技术要求GB T19716 2005信息安全管理实用规则GB T19715 2005IT安全管理指南主要活动过程监控对象确定监控对象状态信息收集监控状态分析和报告 阶段主要活动 3 安全状态监控 监控对象确定 业务关键要素分析 安全关键点分析 安全详细设计方案系统验收报告 输入 输出 过程的工作内容 监控对象列表 形成监控对象列表 阶段主要活动 3 安全状态监控 监控对象状态信息收集 选择监控工具 识别和记录入侵行为 监控对象列表 输入 输出 过程的工作内容 监控对象安全状态信息 监控对象信息收集 阶段主要活动 3 安全状态监控 监控状态分析和报告 状态分析 影响程度和范围分析 监控对象安全状态信息 输入 输出 过程的工作内容 安全状态分析报告变更需求 变更需求分析 阶段主要活动 4 安全事件处置和应急预案 活动目标根据安全事件相关标准中规定的安全事件分级原则和划分结果 结合自身具体的情况酌情划分本单位安全事件级别 建立合适的应急响应机制 主要参考标准 信息系统安全等级保护基本要求 GB Txxxxx 2006信息系统安全通用技术要求GB T19716 2005信息安全管理实用规则GB T19715 2005IT安全管理指南主要活动过程安全事件分级应急预案制定安全事件处置报告 阶段主要活动 4 安全事件处置和应急预案 安全事件分级 安全事件调查和分析 安全事件等级划分 各类安全事件列表 输入 输出 过程的工作内容 安全事件报告程序 建立分级的事件报告流程 阶段主要活动 4 安全事件处置和应急预案 应急预案制定 确定应急预案对象 确定和认可各项职责 安全事件报告程序 输入 输出 过程的工作内容 各类应急预案 制定程序和执行条件 制定各类事件应急恢复措施 阶段主要活动 4 安全事件处置和应急预案 安全事件处置 安全事件上报 安全事件处置 安全状态分析报告安全事件报告程序各类应急预案 输入 输出 过程的工作内容 安全事件处置报告 安全事件影响分析 安全事件总结和处置报告 阶段主要活动 5 安全评估和持续改进 活动目标确保在发生信息系统变更 安全状态改变等情况后定期对信息系统进行安全评估 确保信息系统满足相应等级安全需求和自身特殊安全需求 主要参考标准 信息系统安全等级保护基本要求 GB T19716 2005信息安全管理实用规则GB T19715 2005IT安全管理指南 信息安全风险评估指南 主要活动过程安全评估改进方案制定安全改进实施 阶段主要活动 5 安全评估和持续改进 安全评估 确定评估对象和方法 制定评估计划和方案 系统详细描述文件安全状态分析报告变更结果报告 输入 输出 过程的工作内容 安全评估报告 实施安全评估 汇总分析评估结果 汇总分析评估结果 提出改进建议 阶段主要活动 5 安全评估和持续改进 改进方案制定 安全调整和改进立项 制定安全改进方案 安全评估报告 输入 输出 过程的工作内容 安全改进方案 阶段主要活动 5 安全评估和持续改进 实施安全改进 实施过程控制 补充安全功能测试 安全改进方案 输入 输出 过程的工作内容 安全测试 验收报告 相关技术文件修订 相关管理制度修订 阶段主要活动 6 监督检查 国家信息安全监督管理职能部门按照等级保护的管理规范和技术标准的要求 重点对第三 第四级信息和信息系统安全保护制度和措施的落实情况 以及安全现状的达标情况进行监督检查 安全监督管理职能部门对信息系统安全保护等级监督检查遵循 公平 公正 权威 有效 原则 采用例行检查和专项检查相结合的方法 具体参见 信息安全等级保护监督检查管理办法 第五阶段 系统终止阶段 阶段目标参与角色和职责实施流程主要活动过程 系统终止阶段 目标和角色 阶段目标确保信息系统被转移 终止或废弃时 正确处理系统内的敏感信息 确保组织信息资产的安全 参与角色和职责信息系统运营 使用单位信息系统主管部门 系统终止阶段 主要参考标准 主要参考标准 信息系统安全等级保护基本要求 GB T19716 2005信息安全管理实用规则GB T19715 2005IT安全管理指南 系统终止阶段 实施流程 主要输入 主要输出 主要活动 信息转移 暂存和清除 信息资产清单 信息转移 暂存 清除处理记录文档 设备迁移或废弃 设备迁移 废弃处理记录文档 介质清除或销毁 信息系统介质清单 介质清除 销毁处理记录文档 硬件设备清单 系统终止 信息转移 暂存和清除 识别要转移 暂存和清除的信息资产 信息资产转移 暂存和清除 资产清单 输入 输出 过程的工作内容 信息转移 暂存 清除处理记录文档 处理过程记录 系统终止 设备迁移或废弃 软硬件设备识别 信息资产转移 暂存和清除 设备迁移或废弃清单 输入 输出 过程的工作内容 设备迁移 废弃处理报告 设备处理和记录 处理方案审批 系统终止 介质清除或销毁 识别要清除或销毁的介质 确定介质处理方法和流程 存档介质清单 输入 输出 过程的工作内容 介质清除或销毁记录文档 介质处理和记录 处理方案审批 Q A