等級保護(hù) 實(shí)施流程

1、等級保護(hù)實(shí)施流程一、總體流程對信息系統(tǒng)實(shí)施等級保護(hù)的基本流程見圖1。信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計與實(shí)施施安全運(yùn)行與維護(hù)等級變更局部調(diào)整信息系統(tǒng)終止圖1 信息系統(tǒng)安全等級保護(hù)實(shí)施的基本流程二、每個工作部分流程1、信息系統(tǒng)定級階段的工作流程見圖2。主要過程輸出輸入信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)立項(xiàng)文檔信息系統(tǒng)建設(shè)文檔信息系統(tǒng)管理文檔信息系統(tǒng)分析安全保護(hù)等級確定信息系統(tǒng)安全保護(hù)等級定級報告信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件圖2 信息系統(tǒng)定級階段工作流程 2、總體安全規(guī)劃階段的工作流程見圖3。主要過程輸出輸入安全需求分析報告安全需求分析信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等

2、級定級報告信息系統(tǒng)相關(guān)的其它文檔信息系統(tǒng)安全等級保護(hù)基本要求總體安全設(shè)計信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報告信息系統(tǒng)安全等級保護(hù)基本要求安全需求分析報告信息系統(tǒng)安全總體方案安全建設(shè)項(xiàng)目規(guī)劃信息系統(tǒng)安全總體方案機(jī)構(gòu)或單位信息化建設(shè)的中長期發(fā)展規(guī)劃信息系統(tǒng)安全建設(shè)項(xiàng)目計劃圖3 總體安全規(guī)劃工作流程3、實(shí)施階段的工作流程見圖4。輸入輸出主要過程安全組織結(jié)構(gòu)表各項(xiàng)管理制度和操作規(guī)范系統(tǒng)技術(shù)建設(shè)過程文檔系統(tǒng)驗(yàn)收報告管理措施實(shí)現(xiàn)安全詳細(xì)設(shè)計方案信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設(shè)項(xiàng)目計劃各類信息技術(shù)產(chǎn)品技術(shù)白皮書各類信息安全產(chǎn)品技術(shù)白皮書安全詳細(xì)設(shè)計方案安全方案詳細(xì)設(shè)計技術(shù)措施實(shí)現(xiàn)安全詳細(xì)設(shè)計

3、方案信息安全產(chǎn)品采購清單安全控制集成報告系統(tǒng)驗(yàn)收報告圖4 安全設(shè)計與實(shí)施流程圖4、安全運(yùn)行與維護(hù)階段的工作流程見圖5。輸入主要過程輸出運(yùn)行管理和控制運(yùn)行管理人員角色和職責(zé)表各類運(yùn)行管理操作規(guī)程安全詳細(xì)設(shè)計方案安全組織機(jī)構(gòu)表變更管理和控制變更方案變更過程記錄文件變更結(jié)果報告變更需求安全狀態(tài)監(jiān)控監(jiān)控對象列表安全狀態(tài)信息安全狀態(tài)分析報告 安全事件分級標(biāo)準(zhǔn)安全詳細(xì)設(shè)計方案系統(tǒng)驗(yàn)收報告等安全事件處置和應(yīng)急預(yù)案安全事件報告程序各類應(yīng)急預(yù)案安全事件處置報告各類安全事件列表安全狀態(tài)分析報告安全檢查報告安全改進(jìn)方案測試或驗(yàn)收報告信息系統(tǒng)詳細(xì)描述文件變更結(jié)果報告安全狀態(tài)分析報告安全檢查和持續(xù)改進(jìn)安全等級測評報告信

4、息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報告系統(tǒng)驗(yàn)收報告等級測評信息系統(tǒng)安全保護(hù)等級定級報告信息系統(tǒng)安全總體方案安全詳細(xì)設(shè)計方案安全等級測評報告?zhèn)浒覆牧舷到y(tǒng)備案監(jiān)督檢查結(jié)果報告監(jiān)督檢查備案材料圖5 安全運(yùn)行與維護(hù)階段的主要過程5、信息系統(tǒng)終止階段的工作流程見圖6。輸出主要過程輸入信息轉(zhuǎn)移、暫存和清除信息轉(zhuǎn)移、暫存、清除處理記錄文檔信息系統(tǒng)信息資產(chǎn)清單設(shè)備遷移或廢棄設(shè)備遷移、廢棄處理記錄文檔信息系統(tǒng)硬件設(shè)備清單存儲介質(zhì)的清除或銷毀信息系統(tǒng)存儲介質(zhì)清單存儲介質(zhì)清除、銷毀處理記錄文檔圖6 信息系統(tǒng)終止階段的工作流程三、主要過程及其活動輸出主要過程及其活動輸出主要階段主要過程活動活動輸入活動輸出信息

5、系統(tǒng)定級信息系統(tǒng)分析系統(tǒng)識別和描述信息系統(tǒng)的立項(xiàng)、建設(shè)、管理文檔信息系統(tǒng)總體描述文件信息系統(tǒng)劃分信息系統(tǒng)總體描述文件* 信息系統(tǒng)詳細(xì)描述文件安全保護(hù)等級確定定級、審核和批準(zhǔn)信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件定級結(jié)果形成定級報告信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件定級結(jié)果* 信息系統(tǒng)安全保護(hù)等級定級報告總體安全規(guī)劃安全需求分析基本安全需求確定信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報告信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)相關(guān)的其它文檔基本安全需求額外/特殊安全需求的確定信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報告信息系統(tǒng)相關(guān)的其它文檔重要資產(chǎn)的特殊保護(hù)要求形成安全需求分析報告信

6、息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報告信息系統(tǒng)安全等級保護(hù)基本要求基本安全需求重要資產(chǎn)的特殊保護(hù)要求* 安全需求分析報告安全總體設(shè)計總體安全策略設(shè)計信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報告安全需求分析報告總體安全策略文件各級系統(tǒng)安全技術(shù)措施設(shè)計總體安全策略文件安全需求分析報告信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)系統(tǒng)整體安全管理策略設(shè)計總體安全策略文件安全需求分析報告信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)安全管理體系結(jié)構(gòu)設(shè)計結(jié)果文檔化安全需求分析報告信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)信息系統(tǒng)安全管理體系結(jié)構(gòu)* 信息系統(tǒng)安全總體方案安全建設(shè)項(xiàng)目規(guī)劃安全建設(shè)目標(biāo)確定信息系統(tǒng)安全總

7、體方案單位信息化建設(shè)的中長期發(fā)展規(guī)劃信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容規(guī)劃信息系統(tǒng)安全總體方案信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容安全建設(shè)項(xiàng)目計劃設(shè)計信息系統(tǒng)安全總體方案信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容* 信息系統(tǒng)安全建設(shè)項(xiàng)目計劃安全設(shè)計與實(shí)施安全方案詳細(xì)設(shè)計技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設(shè)項(xiàng)目計劃各類信息技術(shù)產(chǎn)品技術(shù)白皮書各類信息安全產(chǎn)品技術(shù)白皮書技術(shù)措施實(shí)現(xiàn)方案管理措施實(shí)現(xiàn)內(nèi)容設(shè)計信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設(shè)項(xiàng)目計劃管理措施實(shí)現(xiàn)方案設(shè)計結(jié)果文檔化技術(shù)措施落實(shí)方案管理措施落實(shí)方案* 安全詳細(xì)設(shè)計方案管理措施落實(shí)管理機(jī)構(gòu)和人員的設(shè)置機(jī)構(gòu)現(xiàn)有相關(guān)管理制

8、度和政策安全詳細(xì)設(shè)計方案* 角色與職責(zé)說明書管理制度的建設(shè)和修訂安全組織結(jié)構(gòu)表角色與職責(zé)說明書安全詳細(xì)設(shè)計方案* 各項(xiàng)管理制度和操作規(guī)范人員安全技能培訓(xùn)系統(tǒng)/產(chǎn)品使用說明書各項(xiàng)管理制度和操作規(guī)范培訓(xùn)記錄及上崗資格證等安全實(shí)施過程管理安全技術(shù)建設(shè)各階段相關(guān)文檔各階段管理過程文檔技術(shù)措施落實(shí)信息安全產(chǎn)品采購安全詳細(xì)設(shè)計方案、相關(guān)產(chǎn)品信息已采購信息安全產(chǎn)品清單安全控制開發(fā)安全詳細(xì)設(shè)計方案安全控制開發(fā)過程相關(guān)文檔安全控制集成安全詳細(xì)設(shè)計方案安全控制集成報告系統(tǒng)驗(yàn)收安全詳細(xì)設(shè)計方案安全控制集成報告* 系統(tǒng)驗(yàn)收報告安全運(yùn)行與維護(hù)運(yùn)行管理和控制運(yùn)維管理職責(zé)確定安全詳細(xì)設(shè)計方案安全組織機(jī)構(gòu)表* 運(yùn)行管理人員角

9、色和職責(zé)表運(yùn)維管理過程控制運(yùn)行管理需求運(yùn)行管理人員角色和職責(zé)表* 各類運(yùn)行管理操作規(guī)程變更管理和控制變更需求和影響分析變更需求變更方案變更過程控制變更方案* 變更結(jié)果報告安全狀態(tài)監(jiān)控監(jiān)控對象確定安全詳細(xì)設(shè)計方案系統(tǒng)驗(yàn)收報告等監(jiān)控對象列表監(jiān)控對象狀態(tài)信息收集監(jiān)控對象列表安全狀態(tài)信息監(jiān)控狀態(tài)分析和報告安全狀態(tài)信息* 安全狀態(tài)分析報告安全事件處置和應(yīng)急預(yù)案安全事件分級各類安全事件列表* 安全事件報告程序應(yīng)急預(yù)案制定安全事件報告程序* 各類應(yīng)急預(yù)案安全事件處置安全狀態(tài)分析報告安全事件報告程序各類應(yīng)急預(yù)案* 安全事件處置報告安全檢查和持續(xù)改進(jìn)安全狀態(tài)檢查信息系統(tǒng)詳細(xì)描述文件變更結(jié)果報告安全狀態(tài)分析報告* 安全檢查報告改進(jìn)方案制定安全檢查報告* 安全改進(jìn)方案安全改進(jìn)實(shí)施安全改進(jìn)方案* 測試或驗(yàn)收報告等級測評信息系統(tǒng)安全保護(hù)等級定級報告系統(tǒng)驗(yàn)收報告測試或驗(yàn)收報告* 安全等級測評報告系統(tǒng)備案信息系統(tǒng)安全保護(hù)等級定級報告信息系統(tǒng)安全總體方案安全詳細(xì)設(shè)計方案安全等級測評報告* 備