信息系统安全等级保护实施指南.docx
《信息系统安全等级保护实施指南.docx》由会员分享,可在线阅读,更多相关《信息系统安全等级保护实施指南.docx(47页珍藏版)》请在三一办公上搜索。
1、前言III引言IV1 范围12规范性引用文件13 术语和定义14等级保护实施概述14.1 基本原则14.2角色和职责14.3 实施的基本流程25信息系统定级45.1信息系统定级阶段的工作流程45.2信息系统分析45.2.1系统识别和描述45.2.2 信息系统划分 55.3 安全保护等级确定65.3.1 定级、审核和批准65.3.2 形成定级报告 66总体安全规划76.1总体安全规划阶段的工作流程76.2 安全需求分析86.2.1 基本安全需求的确定86.2.2 额外/特殊安全需求的确定96.2.3形成安全需求分析报告96.3总体安全设计106.3.1 总体安全策略设计 106.3.2安全技术体
2、系结构设计106.3.3整体安全管理体系结构设计116.3.4设计结果文档化126.4 安全建设项目规划 126.4.1 安全建设目标确定 136.4.2 安全建设内容规划 136.4.3 形成安全建设项目计划147安全设计与实施157.1 安全设计与实施阶段的工作流程157.2 安全方案详细设计 167.2.1技术措施实现内容设计 167.2.2 管理措施实现内容设计 167.2.3 设计结果文档化177.3 管理措施实现177.3.1管理机构和人员的设置177.3.2 管理制度的建设和修订 177.3.3 人员安全技能培训 187.3.4 安全实施过程管理 187.4 技术措施实现197.
3、4.1 信息安全产品采购197.4.2 安全控制开发 207.4.3 安全控制集成207.4.4系统验收218安全运行与维护228.1安全运行与维护阶段的工作流程228.2 运行管理和控制238.2.1运行管理职责确定238.2.2 运行管理过程控制248.3 变更管理和控制248.3.1 变更需求和影响分析248.3.2 变更过程控制258.4 安全状态监控 258.4.1 监控对象确定 258.4.2监控对象状态信息收集268.4.3监控状态分析和报告268.5 安全事件处置和应急预案268.5.1 安全事件分级278.5.2 应急预案制定278.5.3 安全事件处置278.6 安全检查和
4、持续改进 288.6.1 安全状态检查 288.6.2 改进方案制定298.6.3 安全改进实施 298.7 等级测评298.8系统备案308.9 监督检查 309信息系统终止309.1信息系统终止阶段的工作流程309.2信息转移、暂存和清除 319.3设备迁移或废弃319.4 存储介质的清除或销毁32附录A (规范性附录)主要过程及其活动输出33本标准的附录A是规范性附录。本标准由公安部和全国信息安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位:公安部信息安全等级保护评估中心。本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、
5、李升、刘静、罗峥。依据中华人民共和国计算机信息系统安全保护条例(国务院147号令)、国家信息化领导小组 关于加强信息安全保障工作的意见(中办发200327号)、关于信息安全等级保护工作的实施意见 (公通字200466号)和信息安全等级保护管理办法,制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括:GB/T AAAA-AAAA信息安全技术信息系统安全等级保护定级指南;GB/T BBBB-BBBB信息安全技术信息系统安全等级保护基本要求。在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有 关信息安全等级保护的标准开展工作。在信息系
6、统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照 GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006 和 GB/T20271-2006 等技术标 准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006 和 GB/T20271-2006 等技 术标准是信息系统安全等级保护的系列
7、相关配套标准,其中GB17859-1999是基础性标准, GB/T20269-2006、GB/T20270-2006 和 GB/T20271-2006 等是对 GB17859-1999 的进一步细化和扩展, GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信 息系统的最基本安全要求,是其他标准的一个底线子集。对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基 础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006 和
8、GB/T20271-2006等标准的要求。除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用 GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。信息系统安全等级保护实施指南1范围本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。2 规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所 有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方 研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准
9、。GB/T 5271.8信息技术 词汇 第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T AAAA-AAAA信息安全技术信息系统安全等级保护定级指南3 术语和定义GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。3.1等级测评 classified security testing and evaluation确定信息系统安全保护能力是否达到相应等级基本要求的过程。4等级保护实施概述4.1 基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全 等级保护实施过程中应遵循以下基本原则:a
10、)自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等 级,自行组织实施安全保护。b)重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安 全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。c)同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全 设施,保障信息安全与信息化建设相适应。d)动态调整原则要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及 其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范
11、和技术标准的要求,重新确定信息 系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。4.2 角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下:a)国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中 有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、 指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院 信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。b)信息系统主管部门负责依照国家信息安全等级保护的管理规
12、范和技术标准,督促、检查和指导本行业、本部门或者本 地区信息系统运营、使用单位的信息安全等级保护工作。c)信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管 部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照 国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规 定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建 工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进 行自查,选择符合
13、国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响 应、处置预案,对信息系统的信息安全事件分等级进行应急处置。d)信息安全服务机构负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协 助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全 需求分析、安全总体规划、实施安全建设和安全改造等。e)信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单 位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信 息系统进行等
14、级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。f)信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产 品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。4.3实施的基本流程对信息系统实施等级保护的基本流程见图1。局部调整等级变更图1信息系统安全等级保护实施的基本流程在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改 变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等 级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应
15、从安全运行与维护阶段进入 信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。5 信息系统定级5.1信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管 部门审核批准。信息系统定级阶段的工作流程见图2。输入主要过程输出5.2 信息系统分析5.2.1系统识别和描述活动目标:本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进 行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。参与角色:
16、信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统的立项、建设和管理文档。活动描述:本活动主要包括以下子活动内容:a)识别信息系统的基本信息调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息 系统的背景信息和联络方式。b)识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得 支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。c)识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界, 即确定定级对象及
17、其范围。d)识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务 流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对 独立的业务应用的信息系统作为单独的定级对象。e)识别业务系统处理的信息资产了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程 度。f)识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。g)信息系统描述对收集的信息进行整理、分析,形成对信息系统的总体描述文件。一个典型的信息系统的总体描述 文
18、件应包含以下内容:1)系统概述;2)系统边界描述;3)网络拓扑;4)设备部署;5)支撑的业务应用的种类和特性;6)处理的信息资产;7)用户的范围和用户类型;8)信息系统的管理框架。活动输出:信息系统总体描述文件。5.2.2 信息系统划分活动目标:本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统 进行合理分解,确定所包含可以作为定级对象的信息系统的个数。参与角色:信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统总体描述文件。活动描述:本活动主要包括以下子活动内容:a)划分方法的选择一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原
19、则,应对大型信息系统 进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信 息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。b)信息系统划分依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信GB/T XXXX - XXXX息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的 过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。c)信息系统详细描述在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息 系统划分信息
20、的描述,准确描述一个大型信息系统中包括的定级对象的个数。进一步的信息系统详细描述文件应包含以下内容:1)相对独立信息系统列表;2)每个定级对象的概述;3)每个定级对象的边界;4)每个定级对象的设备部署;5)每个定级对象支撑的业务应用及其处理的信息资产类型;6)每个定级对象的服务范围和用户类型;7)其他内容。活动输出:信息系统详细描述文件。5.3安全保护等级确定5.3.1 定级、审核和批准活动目标:本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级, 并对定级结果进行审核和批准,保证定级结果的准确性。参与角色:信息系统主管部门,信息系统运营、使用单位,信
21、息安全服务机构。活动输入:信息系统总体描述文件,信息系统详细描述文件。活动描述:本活动主要包括以下子活动内容:a)信息系统安全保护等级初步确定根据国家有关管理规范和GB/T AAAA-AAAA确定的定级方法,信息系统运营、使用单位对每个 定级对象确定初步的安全保护等级。b)定级结果审核和批准信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上 信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。活动输出:信息系统定级评审意见。5.3.2
22、形成定级报告活动目标:本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报告。参与角色:信息系统主管部门,信息系统运营、使用单位。活动输入:信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果。活动描述:对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告。信息系统定级结果报告可以包含以下内容:a)单位信息化现状概述;b)管理模式;c)信息系统列表;d)每个信息系统的概述;e)每个信息系统的边界;f)每个信息系统的设备部署;g)每个信息系统支撑的业务应用;h)信息系统列表、安全保护等级以及保护要求
23、组合;i)其他内容。活动输出:信息系统安全保护等级定级报告。6 总体安全规划6.1总体安全规划阶段的工作流程总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情 况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全 实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当 首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。GB/T XXXX - XXXX总体安全规划阶段的工作流程见图3。输入主要过程输出图3总体安全规划工作流程6.2 安全需求分析6.2.1 基本安全需求的确定活动
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 等级 保护 实施 指南
链接地址:https://www.31ppt.com/p-5012918.html