信息系统安全等级保护实施指南.docx
- 文档编号:16593377
- 上传时间:2023-07-15
- 格式:DOCX
- 页数:55
- 大小:34.97KB
信息系统安全等级保护实施指南.docx
《信息系统安全等级保护实施指南.docx》由会员分享,可在线阅读,更多相关《信息系统安全等级保护实施指南.docx(55页珍藏版)》请在冰点文库上搜索。
信息系统安全等级保护实施指南
资料范本
本资料为word版本,可以直接编辑和打印,感谢您的下载
信息系统安全等级保护实施指南
地点:
__________________
时间:
__________________
说明:
本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容
目次
TOC\o"1-5"前言PAGEREF_Toc168288467\hIII
引言PAGEREF_Toc168288468\hIV
1范围PAGEREF_Toc168288469\h1
2规范性引用文件PAGEREF_Toc168288470\h1
3术语和定义PAGEREF_Toc168288471\h1
4等级保护实施概述PAGEREF_Toc168288472\h1
4.1基本原则PAGEREF_Toc168288473\h1
4.2角色和职责PAGEREF_Toc168288474\h1
4.3实施的基本流程PAGEREF_Toc168288475\h2
5信息系统定级PAGEREF_Toc168288476\h4
5.1信息系统定级阶段的工作流程PAGEREF_Toc168288477\h4
5.2信息系统分析PAGEREF_Toc168288478\h4
5.2.1系统识别和描述PAGEREF_Toc168288479\h4
5.2.2信息系统划分PAGEREF_Toc168288480\h5
5.3安全保护等级确定PAGEREF_Toc168288481\h6
5.3.1定级、审核和批准PAGEREF_Toc168288482\h6
5.3.2形成定级报告PAGEREF_Toc168288483\h6
6总体安全规划PAGEREF_Toc168288484\h7
6.1总体安全规划阶段的工作流程PAGEREF_Toc168288485\h7
6.2安全需求分析PAGEREF_Toc168288486\h8
6.2.1基本安全需求的确定PAGEREF_Toc168288487\h8
6.2.2额外/特殊安全需求的确定PAGEREF_Toc168288488\h9
6.2.3形成安全需求分析报告PAGEREF_Toc168288489\h9
6.3总体安全设计PAGEREF_Toc168288490\h10
6.3.1总体安全策略设计PAGEREF_Toc168288491\h10
6.3.2安全技术体系结构设计PAGEREF_Toc168288492\h10
6.3.3整体安全管理体系结构设计PAGEREF_Toc168288493\h11
6.3.4设计结果文档化PAGEREF_Toc168288494\h12
6.4安全建设项目规划PAGEREF_Toc168288495\h12
6.4.1安全建设目标确定PAGEREF_Toc168288496\h13
6.4.2安全建设内容规划PAGEREF_Toc168288497\h13
6.4.3形成安全建设项目计划PAGEREF_Toc168288498\h14
7安全设计与实施PAGEREF_Toc168288499\h15
7.1安全设计与实施阶段的工作流程PAGEREF_Toc168288500\h15
7.2安全方案详细设计PAGEREF_Toc168288501\h16
7.2.1技术措施实现内容设计PAGEREF_Toc168288502\h16
7.2.2管理措施实现内容设计PAGEREF_Toc168288503\h16
7.2.3设计结果文档化PAGEREF_Toc168288504\h17
7.3管理措施实现PAGEREF_Toc168288505\h17
7.3.1管理机构和人员的设置PAGEREF_Toc168288506\h17
7.3.2管理制度的建设和修订PAGEREF_Toc168288507\h17
7.3.3人员安全技能培训PAGEREF_Toc168288508\h18
7.3.4安全实施过程管理PAGEREF_Toc168288509\h18
7.4技术措施实现PAGEREF_Toc168288510\h19
7.4.1信息安全产品采购PAGEREF_Toc168288511\h19
7.4.2安全控制开发PAGEREF_Toc168288512\h20
7.4.3安全控制集成PAGEREF_Toc168288513\h20
7.4.4系统验收PAGEREF_Toc168288514\h21
8安全运行与维护PAGEREF_Toc168288515\h22
8.1安全运行与维护阶段的工作流程PAGEREF_Toc168288516\h22
8.2运行管理和控制PAGEREF_Toc168288517\h23
8.2.1运行管理职责确定PAGEREF_Toc168288518\h23
8.2.2运行管理过程控制PAGEREF_Toc168288519\h24
8.3变更管理和控制PAGEREF_Toc168288520\h24
8.3.1变更需求和影响分析PAGEREF_Toc168288521\h24
8.3.2变更过程控制PAGEREF_Toc168288522\h25
8.4安全状态监控PAGEREF_Toc168288523\h25
8.4.1监控对象确定PAGEREF_Toc168288524\h25
8.4.2监控对象状态信息收集PAGEREF_Toc168288525\h26
8.4.3监控状态分析和报告PAGEREF_Toc168288526\h26
8.5安全事件处置和应急预案PAGEREF_Toc168288527\h27
8.5.1安全事件分级PAGEREF_Toc168288528\h27
8.5.2应急预案制定PAGEREF_Toc168288529\h27
8.5.3安全事件处置PAGEREF_Toc168288530\h27
8.6安全检查和持续改进PAGEREF_Toc168288531\h28
8.6.1安全状态检查PAGEREF_Toc168288532\h28
8.6.2改进方案制定PAGEREF_Toc168288533\h29
8.6.3安全改进实施PAGEREF_Toc168288534\h29
8.7等级测评PAGEREF_Toc168288535\h29
8.8系统备案PAGEREF_Toc168288536\h30
8.9监督检查PAGEREF_Toc168288537\h30
9信息系统终止PAGEREF_Toc168288538\h30
9.1信息系统终止阶段的工作流程PAGEREF_Toc168288539\h30
9.2信息转移、暂存和清除PAGEREF_Toc168288540\h31
9.3设备迁移或废弃PAGEREF_Toc168288541\h31
9.4存储介质的清除或销毁PAGEREF_Toc168288542\h32
附录A(规范性附录)主要过程及其活动输出PAGEREF_Toc168288543\h33
前言
本标准的附录A是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:
公安部信息安全等级保护评估中心。
本标准主要起草人:
毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。
引言
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》,制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
——GB/TAAAA-AAAA信息安全技术信息系统安全等级保护定级指南;
——GB/TBBBB-BBBB信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/TAAAA-AAAA介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/TBBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/TBBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/TBBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。
对信息系统的安全等级保护应从GB/TBBBB-BBBB出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等标准的要求。
除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。
信息系统安全等级保护实施指南
范围
本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。
规范性引用文件
下列文件中的条款通过在本标准中的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T5271.8信息技术词汇第8部分:
安全
GB17859-1999计算机信息系统安全保护等级划分准则
GB/TAAAA-AAAA信息安全技术信息系统安全等级保护定级指南
术语和定义
GB/T5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1
等级测评classifiedsecuritytestingandevaluation
确定信息系统安全保护能力是否达到相应等级基本要求的过程。
等级保护实施概述
基本原则
信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。
信息系统安全等级保护实施过程中应遵循以下基本原则:
自主保护原则
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
动态调整原则
要跟踪信息系统的变化情况,调整安全保护措施。
由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
角色和职责
信息系统安全等级保护实施过程中涉及的各类角色和职责如下:
国家管理部门
公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
信息系统主管部门
负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
信息系统运营、使用单位
负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。
信息安全服务机构
负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。
信息安全等级测评机构
负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。
信息安全产品供应商
负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。
实施的基本流程
对信息系统实施等级保护的基本流程见图1。
信息系统定级
总体安全规划
安全设计与实施
施
安全运行与维护
等级变更
局部调整
信息系统终止
图1信息系统安全等级保护实施的基本流程
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
信息系统定级
信息系统定级阶段的工作流程
信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/TAAAA-AAAA,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。
信息系统定级阶段的工作流程见图2。
主要过程
输出
输入
信息系统总体描述文件
信息系统详细描述文件
信息系统立项文档
信息系统建设文档
信息系统管理文档
信息系统分析
安全保护等级确定
信息系统安全保护等级
定级报告
信息系统总体描述文件
信息系统详细描述文件
图2信息系统定级阶段工作流程
信息系统分析
系统识别和描述
活动目标:
本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统的立项、建设和管理文档。
活动描述:
本活动主要包括以下子活动内容:
识别信息系统的基本信息
调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式。
识别信息系统的管理框架
了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。
识别信息系统的网络及设备部署
了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围。
识别信息系统的业务种类和特性
了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。
识别业务系统处理的信息资产
了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。
识别用户范围和用户类型
根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。
信息系统描述
对收集的信息进行整理、分析,形成对信息系统的总体描述文件。
一个典型的信息系统的总体描述文件应包含以下内容:
1)系统概述;
2)系统边界描述;
3)网络拓扑;
4)设备部署;
5)支撑的业务应用的种类和特性;
6)处理的信息资产;
7)用户的范围和用户类型;
8)信息系统的管理框架。
活动输出:
信息系统总体描述文件。
信息系统划分
活动目标:
本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统总体描述文件。
活动描述:
本活动主要包括以下子活动内容:
划分方法的选择
一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。
信息系统划分
依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。
在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。
信息系统详细描述
在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数。
进一步的信息系统详细描述文件应包含以下内容:
1)相对独立信息系统列表;
2)每个定级对象的概述;
3)每个定级对象的边界;
4)每个定级对象的设备部署;
5)每个定级对象支撑的业务应用及其处理的信息资产类型;
6)每个定级对象的服务范围和用户类型;
7)其他内容。
活动输出:
信息系统详细描述文件。
安全保护等级确定
定级、审核和批准
活动目标:
本活动的目标是按照国家有关管理规范和GB/TAAAA-AAAA,确定信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性。
参与角色:
信息系统主管部门,信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统总体描述文件,信息系统详细描述文件。
活动描述:
本活动主要包括以下子活动内容:
信息系统安全保护等级初步确定
根据国家有关管理规范和GB/TAAAA-AAAA确定的定级方法,信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。
定级结果审核和批准
信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。
活动输出:
信息系统定级评审意见。
形成定级报告
活动目标:
本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报告。
参与角色:
信息系统主管部门,信息系统运营、使用单位。
活动输入:
信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果。
活动描述:
对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告。
信息系统定级结果报告可以包含以下内容:
单位信息化现状概述;
管理模式;
信息系统列表;
每个信息系统的概述;
每个信息系统的边界;
每个信息系统的设备部署;
每个信息系统支撑的业务应用;
信息系统列表、安全保护等级以及保护要求组合;
其他内容。
活动输出:
信息系统安全保护等级定级报告。
总体安全规划
总体安全规划阶段的工作流程
总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。
对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
总体安全规划阶段的工作流程见图3。
主要过程
输出
输入
安全需求分析报告
安全需求分析
信息系统详细描述文件
信息系统安全保护等级定级报告
信息系统相关的其它文档
信息系统安全等级保护基本要求
总体安全设计
信息系统详细描述文件
信息系统安全保护等级定级报告
信息系统安全等级保护基本要求
安全需求分析报告
信息系统安全总体方案
安全建设项目规划
信息系统安全总体方案
机构或单位信息化建设的
中长期发展规划
信息系统安全建设项目计划
图3总体安全规划工作流程
安全需求分析
基本安全需求的确定
活动目标:
本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。
参与角色:
信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构。
活动输入:
信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 等级 保护 实施 指南