等級(jí)保護(hù)實(shí)施流程

1、等級(jí)保護(hù)實(shí)施流程一、總體流程對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的基本流程見圖1。信息系統(tǒng)定級(jí)總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施施安全運(yùn)行與維護(hù)等級(jí)變更局部調(diào)整信息系統(tǒng)終止圖1 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本流程二、每個(gè)工作部分流程1、信息系統(tǒng)定級(jí)階段的工作流程見圖2。主要過(guò)程輸出輸入信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)立項(xiàng)文檔信息系統(tǒng)建設(shè)文檔信息系統(tǒng)管理文檔信息系統(tǒng)分析安全保護(hù)等級(jí)確定信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件圖2 信息系統(tǒng)定級(jí)階段工作流程 2、總體安全規(guī)劃階段的工作流程見圖3。主要過(guò)程輸出輸入安全需求分析報(bào)告安全需求分析信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等

2、級(jí)定級(jí)報(bào)告信息系統(tǒng)相關(guān)的其它文檔信息系統(tǒng)安全等級(jí)保護(hù)基本要求總體安全設(shè)計(jì)信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)基本要求安全需求分析報(bào)告信息系統(tǒng)安全總體方案安全建設(shè)項(xiàng)目規(guī)劃信息系統(tǒng)安全總體方案機(jī)構(gòu)或單位信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃圖3 總體安全規(guī)劃工作流程3、實(shí)施階段的工作流程見圖4。輸入輸出主要過(guò)程安全組織結(jié)構(gòu)表各項(xiàng)管理制度和操作規(guī)范系統(tǒng)技術(shù)建設(shè)過(guò)程文檔系統(tǒng)驗(yàn)收?qǐng)?bào)告管理措施實(shí)現(xiàn)安全詳細(xì)設(shè)計(jì)方案信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃各類信息技術(shù)產(chǎn)品技術(shù)白皮書各類信息安全產(chǎn)品技術(shù)白皮書安全詳細(xì)設(shè)計(jì)方案安全方案詳細(xì)設(shè)計(jì)技術(shù)措施實(shí)現(xiàn)安全詳細(xì)設(shè)計(jì)

3、方案信息安全產(chǎn)品采購(gòu)清單安全控制集成報(bào)告系統(tǒng)驗(yàn)收?qǐng)?bào)告圖4 安全設(shè)計(jì)與實(shí)施流程圖4、安全運(yùn)行與維護(hù)階段的工作流程見圖5。輸入主要過(guò)程輸出運(yùn)行管理和控制運(yùn)行管理人員角色和職責(zé)表各類運(yùn)行管理操作規(guī)程安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表變更管理和控制變更方案變更過(guò)程記錄文件變更結(jié)果報(bào)告變更需求安全狀態(tài)監(jiān)控監(jiān)控對(duì)象列表安全狀態(tài)信息安全狀態(tài)分析報(bào)告 安全事件分級(jí)標(biāo)準(zhǔn)安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收?qǐng)?bào)告等安全事件處置和應(yīng)急預(yù)案安全事件報(bào)告程序各類應(yīng)急預(yù)案安全事件處置報(bào)告各類安全事件列表安全狀態(tài)分析報(bào)告安全檢查報(bào)告安全改進(jìn)方案測(cè)試或驗(yàn)收?qǐng)?bào)告信息系統(tǒng)詳細(xì)描述文件變更結(jié)果報(bào)告安全狀態(tài)分析報(bào)告安全檢查和持續(xù)改進(jìn)安全等級(jí)測(cè)評(píng)報(bào)告信

4、息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告系統(tǒng)驗(yàn)收?qǐng)?bào)告等級(jí)測(cè)評(píng)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)安全總體方案安全詳細(xì)設(shè)計(jì)方案安全等級(jí)測(cè)評(píng)報(bào)告?zhèn)浒覆牧舷到y(tǒng)備案監(jiān)督檢查結(jié)果報(bào)告監(jiān)督檢查備案材料圖5 安全運(yùn)行與維護(hù)階段的主要過(guò)程5、信息系統(tǒng)終止階段的工作流程見圖6。輸出主要過(guò)程輸入信息轉(zhuǎn)移、暫存和清除信息轉(zhuǎn)移、暫存、清除處理記錄文檔信息系統(tǒng)信息資產(chǎn)清單設(shè)備遷移或廢棄設(shè)備遷移、廢棄處理記錄文檔信息系統(tǒng)硬件設(shè)備清單存儲(chǔ)介質(zhì)的清除或銷毀信息系統(tǒng)存儲(chǔ)介質(zhì)清單存儲(chǔ)介質(zhì)清除、銷毀處理記錄文檔圖6 信息系統(tǒng)終止階段的工作流程三、主要過(guò)程及其活動(dòng)輸出主要過(guò)程及其活動(dòng)輸出主要階段主要過(guò)程活動(dòng)活動(dòng)輸入活動(dòng)輸出信息

5、系統(tǒng)定級(jí)信息系統(tǒng)分析系統(tǒng)識(shí)別和描述信息系統(tǒng)的立項(xiàng)、建設(shè)、管理文檔信息系統(tǒng)總體描述文件信息系統(tǒng)劃分信息系統(tǒng)總體描述文件* 信息系統(tǒng)詳細(xì)描述文件安全保護(hù)等級(jí)確定定級(jí)、審核和批準(zhǔn)信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件定級(jí)結(jié)果形成定級(jí)報(bào)告信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件定級(jí)結(jié)果* 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告總體安全規(guī)劃安全需求分析基本安全需求確定信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)相關(guān)的其它文檔基本安全需求額外/特殊安全需求的確定信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)相關(guān)的其它文檔重要資產(chǎn)的特殊保護(hù)要求形成安全需求分析報(bào)告信

6、息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)基本要求基本安全需求重要資產(chǎn)的特殊保護(hù)要求* 安全需求分析報(bào)告安全總體設(shè)計(jì)總體安全策略設(shè)計(jì)信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告安全需求分析報(bào)告總體安全策略文件各級(jí)系統(tǒng)安全技術(shù)措施設(shè)計(jì)總體安全策略文件安全需求分析報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)系統(tǒng)整體安全管理策略設(shè)計(jì)總體安全策略文件安全需求分析報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全管理體系結(jié)構(gòu)設(shè)計(jì)結(jié)果文檔化安全需求分析報(bào)告信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)信息系統(tǒng)安全管理體系結(jié)構(gòu)* 信息系統(tǒng)安全總體方案安全建設(shè)項(xiàng)目規(guī)劃安全建設(shè)目標(biāo)確定信息系統(tǒng)安全總

7、體方案單位信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容規(guī)劃信息系統(tǒng)安全總體方案信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容安全建設(shè)項(xiàng)目計(jì)劃設(shè)計(jì)信息系統(tǒng)安全總體方案信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容* 信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃安全設(shè)計(jì)與實(shí)施安全方案詳細(xì)設(shè)計(jì)技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃各類信息技術(shù)產(chǎn)品技術(shù)白皮書各類信息安全產(chǎn)品技術(shù)白皮書技術(shù)措施實(shí)現(xiàn)方案管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃管理措施實(shí)現(xiàn)方案設(shè)計(jì)結(jié)果文檔化技術(shù)措施落實(shí)方案管理措施落實(shí)方案* 安全詳細(xì)設(shè)計(jì)方案管理措施落實(shí)管理機(jī)構(gòu)和人員的設(shè)置機(jī)構(gòu)現(xiàn)有相關(guān)管理制

8、度和政策安全詳細(xì)設(shè)計(jì)方案* 角色與職責(zé)說(shuō)明書管理制度的建設(shè)和修訂安全組織結(jié)構(gòu)表角色與職責(zé)說(shuō)明書安全詳細(xì)設(shè)計(jì)方案* 各項(xiàng)管理制度和操作規(guī)范人員安全技能培訓(xùn)系統(tǒng)/產(chǎn)品使用說(shuō)明書各項(xiàng)管理制度和操作規(guī)范培訓(xùn)記錄及上崗資格證等安全實(shí)施過(guò)程管理安全技術(shù)建設(shè)各階段相關(guān)文檔各階段管理過(guò)程文檔技術(shù)措施落實(shí)信息安全產(chǎn)品采購(gòu)安全詳細(xì)設(shè)計(jì)方案、相關(guān)產(chǎn)品信息已采購(gòu)信息安全產(chǎn)品清單安全控制開發(fā)安全詳細(xì)設(shè)計(jì)方案安全控制開發(fā)過(guò)程相關(guān)文檔安全控制集成安全詳細(xì)設(shè)計(jì)方案安全控制集成報(bào)告系統(tǒng)驗(yàn)收安全詳細(xì)設(shè)計(jì)方案安全控制集成報(bào)告* 系統(tǒng)驗(yàn)收?qǐng)?bào)告安全運(yùn)行與維護(hù)運(yùn)行管理和控制運(yùn)維管理職責(zé)確定安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表* 運(yùn)行管理人員角

9、色和職責(zé)表運(yùn)維管理過(guò)程控制運(yùn)行管理需求運(yùn)行管理人員角色和職責(zé)表* 各類運(yùn)行管理操作規(guī)程變更管理和控制變更需求和影響分析變更需求變更方案變更過(guò)程控制變更方案* 變更結(jié)果報(bào)告安全狀態(tài)監(jiān)控監(jiān)控對(duì)象確定安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收?qǐng)?bào)告等監(jiān)控對(duì)象列表監(jiān)控對(duì)象狀態(tài)信息收集監(jiān)控對(duì)象列表安全狀態(tài)信息監(jiān)控狀態(tài)分析和報(bào)告安全狀態(tài)信息* 安全狀態(tài)分析報(bào)告安全事件處置和應(yīng)急預(yù)案安全事件分級(jí)各類安全事件列表* 安全事件報(bào)告程序應(yīng)急預(yù)案制定安全事件報(bào)告程序* 各類應(yīng)急預(yù)案安全事件處置安全狀態(tài)分析報(bào)告安全事件報(bào)告程序各類應(yīng)急預(yù)案* 安全事件處置報(bào)告安全檢查和持續(xù)改進(jìn)安全狀態(tài)檢查信息系統(tǒng)詳細(xì)描述文件變更結(jié)果報(bào)告安全狀態(tài)分析報(bào)告* 安全檢查報(bào)告改進(jìn)方案制定安全檢查報(bào)告* 安全改進(jìn)方案安全改進(jìn)實(shí)施安全改進(jìn)方案* 測(cè)試或驗(yàn)收?qǐng)?bào)告等級(jí)測(cè)評(píng)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告系統(tǒng)驗(yàn)收?qǐng)?bào)告測(cè)試或驗(yàn)收?qǐng)?bào)告* 安全等級(jí)測(cè)評(píng)報(bào)告系統(tǒng)備案信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)安全總體方案安全詳細(xì)設(shè)計(jì)方案安全等級(jí)測(cè)評(píng)報(bào)告* 備