五、等級(jí)保護(hù)實(shí)施

1、信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南太原清眾鑫科技有限公司太原清眾鑫科技有限公司信息系統(tǒng)終止信息系統(tǒng)終止安全運(yùn)行與維護(hù)安全運(yùn)行與維護(hù)安全設(shè)計(jì)與實(shí)施安全設(shè)計(jì)與實(shí)施總體安全規(guī)劃總體安全規(guī)劃實(shí)施概述實(shí)施概述信息系統(tǒng)定級(jí)信息系統(tǒng)定級(jí)主要內(nèi)容主要內(nèi)容太原清眾鑫科技有限公司太原清眾鑫科技有限公司一、等級(jí)保護(hù)實(shí)施概述一、等級(jí)保護(hù)實(shí)施概述 基本原則： 自主保護(hù)、重點(diǎn)保護(hù)、同步建設(shè)、動(dòng)態(tài)調(diào)整 角色和職責(zé) 國家管理部門，信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、使用單位，信息安全服務(wù)機(jī)構(gòu)，信息安全等級(jí)測評(píng)機(jī)構(gòu)，信息安全產(chǎn)品供應(yīng)商。太原清眾鑫科技有限公司太原清眾鑫科技有限公司信息系統(tǒng)定級(jí)總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施 安全運(yùn)行與維護(hù)等級(jí)

2、變更局部調(diào)整信息系統(tǒng)終止 實(shí)施基本流程太原清眾鑫科技有限公司太原清眾鑫科技有限公司二、信息系統(tǒng)二、信息系統(tǒng)定級(jí)信息系統(tǒng)定級(jí)階段的工作流程信息系統(tǒng)定級(jí)階段的工作流程 輸入 主要過程 輸出 信息系統(tǒng)立項(xiàng)文檔信息系統(tǒng)建設(shè)文檔信息系統(tǒng)管理文檔信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)分析信息系統(tǒng)分析信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件安全保護(hù)等級(jí)確安全保護(hù)等級(jí)確定定信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告太原清眾鑫科技有限公司太原清眾鑫科技有限公司信息系統(tǒng)分析信息系統(tǒng)分析 目標(biāo)是通過從信息系統(tǒng)運(yùn)營、使用單位相關(guān)人員處收集有關(guān)信息系統(tǒng)的信息，并對(duì)信息進(jìn)行綜合分析和整理，依據(jù)分析和整理的內(nèi)容形成組織機(jī)構(gòu)內(nèi)信

3、息系統(tǒng)的總體描述性文檔。太原清眾鑫科技有限公司太原清眾鑫科技有限公司系統(tǒng)概述；系統(tǒng)邊界描述；網(wǎng)絡(luò)拓?fù)洌?設(shè)備部署； 支撐的業(yè)務(wù)應(yīng)用的種類和特性；處理的信息資產(chǎn)；用戶的范圍和用戶類型；信息系統(tǒng)的管理框架。系統(tǒng)識(shí)別和描述系統(tǒng)識(shí)別和描述太原清眾鑫科技有限公司太原清眾鑫科技有限公司安全保護(hù)等級(jí)確定安全保護(hù)等級(jí)確定信息系統(tǒng)運(yùn)營、使用單位 初步定級(jí)初步定級(jí) 信息系統(tǒng)主管部門 審核和批準(zhǔn)審核和批準(zhǔn) 定級(jí)報(bào)告定級(jí)報(bào)告 公安機(jī)關(guān) 備案備案太原清眾鑫科技有限公司太原清眾鑫科技有限公司三、總體安全規(guī)劃三、總體安全規(guī)劃總體安全規(guī)劃階段的工作流程輸入 主要過程 輸出信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系

4、統(tǒng)相關(guān)的其它文檔信息系統(tǒng)安全等級(jí)保護(hù)基本要求安全需求分析安全需求分析安全需求分析報(bào)告信息系統(tǒng)安全總體方案信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)基本要求安全需求分析報(bào)告信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃信息系統(tǒng)安全總體方案機(jī)構(gòu)或單位信息化建設(shè)的中長期發(fā)展規(guī)劃總體安全設(shè)計(jì)總體安全設(shè)計(jì)安全建設(shè)項(xiàng)目安全建設(shè)項(xiàng)目規(guī)劃規(guī)劃太原清眾鑫科技有限公司太原清眾鑫科技有限公司1、安全需求分析、安全需求分析 根據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)，判斷信息系統(tǒng)現(xiàn)有的安全保護(hù)水平與國家等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)之間的差距，提出信息系統(tǒng)的基本安全保護(hù)需求。太原清眾鑫科技有限公司太原清眾鑫科技有限公司安全需求報(bào)告安

5、全需求報(bào)告1) 信息系統(tǒng)描述；2) 安全管理狀況；3) 安全技術(shù)狀況；4) 存在的不足和可能的風(fēng)險(xiǎn)；5) 安全需求描述。 太原清眾鑫科技有限公司太原清眾鑫科技有限公司2、總體安全設(shè)計(jì)、總體安全設(shè)計(jì) 根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求、安全需求分析報(bào)告、機(jī)構(gòu)總體安全策略文件等，提出系統(tǒng)需要實(shí)現(xiàn)的安全技術(shù)、管理措施，形成機(jī)構(gòu)特定的系統(tǒng)安全技術(shù)、管理體系結(jié)構(gòu)，用以指導(dǎo)信息系統(tǒng)分等級(jí)保護(hù)的具體實(shí)現(xiàn)。太原清眾鑫科技有限公司太原清眾鑫科技有限公司信息系統(tǒng)總體安全方案內(nèi)容： 1) 信息系統(tǒng)概述； 2) 總體安全策略； 3) 信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)； 4) 信息系統(tǒng)安全管理體系結(jié)構(gòu)。 太原清眾鑫科技有限公司太

6、原清眾鑫科技有限公司3、安全建設(shè)項(xiàng)目規(guī)劃、安全建設(shè)項(xiàng)目規(guī)劃安全建設(shè)目標(biāo)確定安全建設(shè)目標(biāo)確定 目標(biāo)是依據(jù)信息系統(tǒng)安全總體方案（一個(gè)或多個(gè)文件構(gòu)成）、機(jī)構(gòu)或單位信息化建設(shè)的中長期發(fā)展規(guī)劃和機(jī)構(gòu)的安全建設(shè)資金狀況確定各個(gè)時(shí)期的安全建設(shè)目標(biāo)。太原清眾鑫科技有限公司太原清眾鑫科技有限公司安全建設(shè)內(nèi)容規(guī)劃安全建設(shè)內(nèi)容規(guī)劃 1) 安全基礎(chǔ)設(shè)施建設(shè)； 2) 網(wǎng)絡(luò)安全建設(shè)； 3) 系統(tǒng)平臺(tái)和應(yīng)用平臺(tái)安全建設(shè)；4) 數(shù)據(jù)系統(tǒng)安全建設(shè)； 5) 安全標(biāo)準(zhǔn)體系建設(shè)； 6) 人才培養(yǎng)體系建設(shè)；7) 安全管理體系建設(shè)。 太原清眾鑫科技有限公司太原清眾鑫科技有限公司安全建設(shè)項(xiàng)目計(jì)劃安全建設(shè)項(xiàng)目計(jì)劃1) 規(guī)劃建設(shè)的依據(jù)和原則；

7、2) 規(guī)劃建設(shè)的目標(biāo)和范圍；3) 信息系統(tǒng)安全現(xiàn)狀； 4) 信息化的中長期發(fā)展規(guī)劃；5) 信息系統(tǒng)安全建設(shè)的總體框架； 6) 安全技術(shù)體系建設(shè)規(guī)劃； 7) 安全管理與安全保障體系建設(shè)規(guī)劃；8) 安全建設(shè)投資估算； 9) 信息系統(tǒng)安全建設(shè)的實(shí)施保障等內(nèi)容。太原清眾鑫科技有限公司太原清眾鑫科技有限公司四、安全設(shè)計(jì)與實(shí)施四、安全設(shè)計(jì)與實(shí)施安全設(shè)計(jì)與實(shí)施階段的工作流程輸入 主要過程 輸出信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃各類信息技術(shù)產(chǎn)品技術(shù)白皮書各類信息安全產(chǎn)品技術(shù)白皮書安全方案詳細(xì)設(shè)安全方案詳細(xì)設(shè)計(jì)計(jì)安全詳細(xì)設(shè)計(jì)方案安全詳細(xì)設(shè)計(jì)方案安全組織結(jié)構(gòu)表各項(xiàng)管理制度和操作規(guī)范系統(tǒng)技術(shù)建設(shè)過程文檔系

8、統(tǒng)驗(yàn)收?qǐng)?bào)告信息安全產(chǎn)品采購清單安全控制集成報(bào)告系統(tǒng)驗(yàn)收?qǐng)?bào)告安全詳細(xì)設(shè)計(jì)方案管理措施實(shí)現(xiàn)技術(shù)措施實(shí)現(xiàn)太原清眾鑫科技有限公司太原清眾鑫科技有限公司1、安全方案詳細(xì)設(shè)計(jì)、安全方案詳細(xì)設(shè)計(jì) 根據(jù)建設(shè)目標(biāo)和建設(shè)內(nèi)容將信息系統(tǒng)安全總體方案中要求實(shí)現(xiàn)的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)。 結(jié)構(gòu)框架設(shè)計(jì)；功能要求設(shè)計(jì)；性能要求設(shè)計(jì)；部署方案設(shè)計(jì)；制定安全策略實(shí)現(xiàn)計(jì)劃。太原清眾鑫科技有限公司太原清眾鑫科技有限公司設(shè)計(jì)結(jié)果文檔化設(shè)計(jì)結(jié)果文檔化1) 本期建設(shè)目標(biāo)和建設(shè)

9、內(nèi)容 2) 技術(shù)實(shí)現(xiàn)框架 3) 信息安全產(chǎn)品或組件功能及性能4) 信息安全產(chǎn)品或組件部署 5) 安全策略和配置 6) 配套的安全管理建設(shè)內(nèi)容 7) 工程實(shí)施計(jì)劃 8) 項(xiàng)目投資概算。 太原清眾鑫科技有限公司太原清眾鑫科技有限公司2、管理措施實(shí)現(xiàn)、管理措施實(shí)現(xiàn)1）管理機(jī)構(gòu)和人員的設(shè)置2）管理制度的建設(shè)和修訂3）人員安全技能培訓(xùn)4）安全實(shí)施過程管理 太原清眾鑫科技有限公司太原清眾鑫科技有限公司3、技術(shù)措施實(shí)現(xiàn)、技術(shù)措施實(shí)現(xiàn)1）信息安全產(chǎn)品采購2）安全控制開發(fā)3）安全控制集成4）系統(tǒng)驗(yàn)收太原清眾鑫科技有限公司太原清眾鑫科技有限公司五、安全運(yùn)行與維護(hù)五、安全運(yùn)行與維護(hù)安全運(yùn)行與維護(hù)階段的工作流程輸入

10、主要過程 輸出安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表運(yùn)行管理和控制運(yùn)行管理和控制運(yùn)行管理人員角色和職責(zé)表各類運(yùn)行管理操作規(guī)程 變更需求變更管理和控制變更管理和控制變更方案 變更過程記錄文件變更結(jié)果報(bào)告 安全事件分級(jí)標(biāo)準(zhǔn)安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收?qǐng)?bào)告等監(jiān)控對(duì)象列表安全狀態(tài)信息安全狀態(tài)分析報(bào)告安全狀態(tài)監(jiān)控安全狀態(tài)監(jiān)控 各類安全事件列表安全狀態(tài)分析報(bào)告 安全事件報(bào)告程序各類應(yīng)急預(yù)案安全事件處置報(bào)告安全事件處置和安全事件處置和應(yīng)急預(yù)案應(yīng)急預(yù)案太原清眾鑫科技有限公司太原清眾鑫科技有限公司輸入 主要過程 輸出信息系統(tǒng)詳細(xì)描述文件變更結(jié)果報(bào)告安全狀態(tài)分析報(bào)告信息系統(tǒng)詳細(xì)描述文件變更結(jié)果報(bào)告安全狀態(tài)分析報(bào)告安全檢查和持安全檢查和持續(xù)改進(jìn)續(xù)改進(jìn)信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告系統(tǒng)驗(yàn)收?qǐng)?bào)告安全等級(jí)測評(píng)報(bào)告等級(jí)測評(píng)等級(jí)測評(píng)系統(tǒng)備案系統(tǒng)備案備案材料信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)安全總體方案安全詳細(xì)設(shè)計(jì)方案安全等級(jí)測評(píng)報(bào)告?zhèn)浒覆牧媳O(jiān)督檢查結(jié)果報(bào)告監(jiān)督檢查監(jiān)督檢查太原清眾鑫科技有限公司太原清眾鑫科技有限公司六、信息系統(tǒng)終止六、信息系統(tǒng)終止信息系統(tǒng)