信息系統(tǒng)安全等級保護實施指南介紹課件

信息系統(tǒng)安全等級保護實施指南介紹41、實際上，我們想要的不是針對犯罪的法律，而是針對瘋狂的法律?！R克·吐溫42、法律的力量應當跟隨著公民，就像影子跟隨著身體一樣?！惪ɡ麃?3、法律和制度必須跟上人類思想進步。——杰弗遜44、人類受制于法律，法律受制于情理?！小じ焕?5、法律的制定是為了保證每一個人自由發(fā)揮自己的才能，而不是為了束縛他的才能?！_伯斯庇爾信息系統(tǒng)安全等級保護實施指南介紹信息系統(tǒng)安全等級保護實施指南介紹41、實際上，我們想要的不是針對犯罪的法律，而是針對瘋狂的法律?！R克·吐溫42、法律的力量應當跟隨著公民，就像影子跟隨著身體一樣?！惪ɡ麃?3、法律和制度必須跟上人類思想進步?！芨ミd44、人類受制于法律，法律受制于情理。——托·富勒45、法律的制定是為了保證每一個人自由發(fā)揮自己的才能，而不是為了束縛他的才能。——羅伯斯庇爾信息系統(tǒng)安全等級保護實施指南介紹3/11/20212目錄概述等級保護的實施過程系統(tǒng)定級階段安全規(guī)劃設計階段安全實施/實現(xiàn)階段安全運行管理階段系統(tǒng)中止階段3/11/20213信息系統(tǒng)安全等級保護實施指南介紹41、實際上，我們想要的不是信息系統(tǒng)安全等級保護實施指南介紹課件信息系統(tǒng)安全等級保護實施指南介紹課件信息系統(tǒng)安全等級保護實施指南介紹課件信息系統(tǒng)安全等級保護實施指南介紹課件概述-背景（續(xù)）在“66號文”的職責分工和工作要求中指出：信息和信息系統(tǒng)的運營、使用單位按照等級保護的管理規(guī)范和技術標準，確定其信息和信息系統(tǒng)的安全保護等級信息和信息系統(tǒng)的運營、使用單位按照等級保護的管理規(guī)范和技術標準對新建、改建、擴建的信息系統(tǒng)進行信息系統(tǒng)的安全規(guī)劃設計、安全建設施工信息和信息系統(tǒng)的運營、使用單位及其主管部門按照與信息系統(tǒng)安全保護等級相對應的管理規(guī)范和技術標準的要求，定期進行安全狀況檢測評估國家指定信息安全監(jiān)管職能部門按照等級保護的管理規(guī)范和技術標準的要求，對信息和信息系統(tǒng)的安全等級保護狀況進行監(jiān)督檢查12/10/20226概述-背景（續(xù)）在“66號文”的職責分工和工作要求中指出：1概述-背景（續(xù)）管理規(guī)范和技術標準的作用主管部門監(jiān)督檢查信息安全監(jiān)管職能部門系統(tǒng)定級安全保護檢測評估運營\使用單位安全服務商安全評估機構技術標準管理規(guī)范12/10/20227概述-背景（續(xù)）管理規(guī)范和技術標準的作用主管部門監(jiān)督檢查信息概述-背景（續(xù)）主要的管理規(guī)范和技術標準管理規(guī)范《信息安全等級保護管理辦法》技術標準《信息系統(tǒng)安全等級保護實施指南》《信息系統(tǒng)安全保護等級定級指南》《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護測評準則》《信息系統(tǒng)安全等級保護監(jiān)督檢查指南》12/10/20228概述-背景（續(xù)）主要的管理規(guī)范和技術標準12/10/2022概述-實施指南的作用是信息系統(tǒng)實施等級保護的指南性文件。作為等級保護標準體系的指引文檔。貫穿整個等級保護工作的所有階段，規(guī)范和指導所有的安全活動。介紹信息系統(tǒng)實施等級保護的方法，不同的角色在不同階段的作用。12/10/20229概述-實施指南的作用是信息系統(tǒng)實施等級保護的指南性文件。12概述-實施指南的使用對象本指南的使用對象是：信息系統(tǒng)的主管單位；信息系統(tǒng)運營、使用單位；信息系統(tǒng)安全服務商；信息安全監(jiān)管機構；安全測評機構；安全產(chǎn)品供應商。12/10/202210概述-實施指南的使用對象本指南的使用對象是：12/10/20概述-與風險管理之間的關系相同點都是對活動過程的管理；都闡明了對信息系統(tǒng)整個生命周期的管理。不同點風險管理方法以“風險”控制為核心，描述了風險管理的主要活動過程；信息系統(tǒng)實施等級保護的思路是首先根據(jù)信息系統(tǒng)定級方法對信息系統(tǒng)進行定級，根據(jù)安全級別確定基本安全保護措施，通過風險分析補充其它需要的安全措施，構成等級保護安全設計方案，并依據(jù)方案進行安全工程實施。12/10/202211概述-與風險管理之間的關系相同點12/10/202211概述-與風險管理之間的關系（續(xù)）二者之間關系 在對信息系統(tǒng)實施等級保護的過程中，風險管理是一種輔助手段。等級保護的相關標準對不同級別的信息系統(tǒng)提出了基本保護要求，基本保護要求是系統(tǒng)安全建設的基礎，但是不同的信息系統(tǒng)由于其本身的特性，除基本保護要求外，可以通過風險管理中風險分析的方法選擇需要補充的安全措施，從而使得系統(tǒng)的等級保護更加個性化。12/10/202212概述-與風險管理之間的關系（續(xù)）二者之間關系12/10/20等級保護的基本實施過程基本實施過程與信息系統(tǒng)生命周期之間的關系重要概念12/10/202213等級保護的基本實施過程基本實施過程12/10/202213等級保護的基本實施過程重大變更局部調(diào)整系統(tǒng)定級安全規(guī)劃設計安全實施/實現(xiàn)安全運行管理系統(tǒng)終止12/10/202214等級保護的基本實施過程重大變更局部調(diào)整系統(tǒng)定級安全規(guī)劃設計安與信息系統(tǒng)生命周期之間的關系新建信息系統(tǒng)新建信息系統(tǒng)等級保護實施過程信息系統(tǒng)生命周期安全運行管理（變更管理/定期安全測評/監(jiān)督檢查）系統(tǒng)定級安全規(guī)劃設計安全實施系統(tǒng)終止設計開發(fā)階段運行維護階段啟動階段實施階段中止階段12/10/202215與信息系統(tǒng)生命周期之間的關系新建信息系統(tǒng)新建信息系統(tǒng)等級保護與信息系統(tǒng)生命周期之間的關系已建信息系統(tǒng)已經(jīng)存在的信息系統(tǒng)，通常處于系統(tǒng)運行維護階段;安全等級保護實施過程中的系統(tǒng)定級階段、安全規(guī)劃設計階段、安全實施/實現(xiàn)階段和系統(tǒng)終止等的主要活動都將在信息系統(tǒng)生命周期的系統(tǒng)運行維護階段完成。12/10/202216與信息系統(tǒng)生命周期之間的關系已建信息系統(tǒng)12/10/2022主要階段和主要活動重要概念階段主要活動主要活動過程階段工作內(nèi)容過程目標輸入輸出活動目標階段目標參與角色主要工作內(nèi)容主要活動過程實施流程/主要活動主要參考標準12/10/202217主要階段和主要活動重要概念階段主要活動主要活動過程階段工作內(nèi)實施等級保護的主要階段第一階段：系統(tǒng)定級第二階段：安全規(guī)劃設計第三階段：安全實施/實現(xiàn)第四階段：安全運行管理第五階段：系統(tǒng)終止12/10/202218實施等級保護的主要階段第一階段：系統(tǒng)定級12/10/2022第一階段:系統(tǒng)定級定級方法參與角色和職責實施流程階段主要活動12/10/202219第一階段:系統(tǒng)定級定級方法12/10/202219系統(tǒng)定級階段-定級方法第一種方法：根據(jù)經(jīng)驗直接定級第二種方法：按照標準定級第三種方法：制定方法自行定級

如采用第二種定級方法則可以參考《實施指南》系統(tǒng)定級階段相關活動內(nèi)容。12/10/202220系統(tǒng)定級階段-定級方法第一種方法：根據(jù)經(jīng)驗直接定級12/10系統(tǒng)定級階段-參與角色和職責信息系統(tǒng)運營、使用單位：負責選擇定級方法確定其信息系統(tǒng)的安全等級，并報其主管部門審批同意；對安全等級在三級以上的信息系統(tǒng)，報送本地區(qū)地市級公安機關備案。

信息系統(tǒng)主管部門：對下屬單位確定的信息系統(tǒng)安全等級進行審批。

信息系統(tǒng)安全服務商：協(xié)助信息系統(tǒng)運營、使用單位完成與信息系統(tǒng)定級相關的工作。

12/10/202221系統(tǒng)定級階段-參與角色和職責信息系統(tǒng)運營、使用單位：負責選擇系統(tǒng)定級階段-實施流程主要輸入主要輸出階段主要活動子系統(tǒng)識別和描述系統(tǒng)立項文檔系統(tǒng)建設文檔系統(tǒng)管理文檔系統(tǒng)詳細描述文件系統(tǒng)識別與劃分系統(tǒng)總體描述文件系統(tǒng)總體描述文件安全等級確定系統(tǒng)總體描述文件系統(tǒng)詳細描述文件系統(tǒng)安全保護等級定級建議書12/10/202222系統(tǒng)定級階段-實施流程主要輸入主要輸出階段主要活動子系統(tǒng)識別系統(tǒng)定級階段-系統(tǒng)識別和劃分過程目標收集有關信息系統(tǒng)的信息；在對信息進行綜合分析的基礎上將組織機構內(nèi)運行的信息系統(tǒng)合理地分解成若干個信息系統(tǒng)；針對目標信息系統(tǒng)，形成信息系統(tǒng)的總體描述性文檔。輸入信息系統(tǒng)的立項、建設、管理文檔12/10/202223系統(tǒng)定級階段-系統(tǒng)識別和劃分過程目標12/10/202223系統(tǒng)定級階段-系統(tǒng)識別和劃分(續(xù))輸出信息系統(tǒng)總體描述文件主要工作內(nèi)容識別單位的基本信息識別信息系統(tǒng)的管理框架識別信息系統(tǒng)的網(wǎng)絡邊界及設備部署識別信息系統(tǒng)的業(yè)務種類和特性識別用戶范圍和用戶類型劃分方法的選擇形成信息系統(tǒng)總體描述文檔12/10/202224系統(tǒng)定級階段-系統(tǒng)識別和劃分(續(xù))輸出12/10/20222系統(tǒng)定級階段-系統(tǒng)識別和劃分(續(xù))信息系統(tǒng)劃分方法從組織管理角度劃分從業(yè)務類型角度劃分從物理區(qū)域或運行環(huán)境角度劃分12/10/202225系統(tǒng)定級階段-系統(tǒng)識別和劃分(續(xù))信息系統(tǒng)劃分方法12/10系統(tǒng)定級階段-業(yè)務子系統(tǒng)識別和描述過程目標如果某一個信息系統(tǒng)中包含多個業(yè)務子系統(tǒng)，識別出主要的業(yè)務子系統(tǒng)；對主要業(yè)務子系統(tǒng)的安全屬性進行識別和描述。輸入信息系統(tǒng)詳細描述文件

12/10/202226系統(tǒng)定級階段-業(yè)務子系統(tǒng)識別和描述過程目標12/10/202系統(tǒng)定級階段-業(yè)務子系統(tǒng)識別和描述輸出信息系統(tǒng)詳細描述文件主要工作內(nèi)容識別各業(yè)務子系統(tǒng)處理的信息類型識別各業(yè)務子系統(tǒng)的服務范圍識別各項業(yè)務對系統(tǒng)的依賴程度形成信息系統(tǒng)和業(yè)務子系統(tǒng)的詳細描述文檔12/10/202227系統(tǒng)定級階段-業(yè)務子系統(tǒng)識別和描述輸出12/10/20222系統(tǒng)定級階段-安全等級確定過程目標依據(jù)《信息系統(tǒng)安全保護等級定級指南》確定每個業(yè)務子系統(tǒng)的安全保護等級；由所包括的各業(yè)務子系統(tǒng)的最高等級決定信息系統(tǒng)的安全保護等級；對定級過程文檔進行整理，形成文件化的信息系統(tǒng)定級建議書。輸入信息系統(tǒng)總體描述文件信息系統(tǒng)詳細描述文件12/10/202228系統(tǒng)定級階段-安全等級確定過程目標12/10/202228系統(tǒng)定級階段-安全等級確定輸出信息系統(tǒng)安全保護等級定級建議書主要工作內(nèi)容各業(yè)務子系統(tǒng)安全保護等級確定信息系統(tǒng)安全保護等級確定安全保護等級的調(diào)整定級結(jié)果文檔化12/10/202229系統(tǒng)定級階段-安全等級確定輸出12/10/202229第二階段：安全規(guī)劃設計階段階段目標參與角色和職責實施流程階段主要活動12/10/202230第二階段：安全規(guī)劃設計階段階段目標12/10/202230安全規(guī)劃設計-階段目標 通過安全評估和需求分析判斷信息系統(tǒng)的安全保護現(xiàn)狀與等級保護基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級情況、信息系統(tǒng)承載業(yè)務情況和安全需求等，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施計劃等，以指導后續(xù)的信息系統(tǒng)安全建設工程實施。12/10/202231安全規(guī)劃設計-階段目標 通過安全評估和需求分析判斷信息系統(tǒng)的安全規(guī)劃設計-參與角色和職責信息系統(tǒng)運營、使用單位：根據(jù)已經(jīng)確定的安全等級，按照等級保護的管理規(guī)范和技術標準，進行信息系統(tǒng)的安全規(guī)劃設計。

信息系統(tǒng)安全服務商：根據(jù)信息系統(tǒng)運營、使用單位的委托，按照等級保護的管理規(guī)范和技術標準，協(xié)助信息系統(tǒng)運營、使用單位完成信息系統(tǒng)安全規(guī)劃設計工作。

12/10/202232安全規(guī)劃設計-參與角色和職責信息系統(tǒng)運營、使用單位：根據(jù)已經(jīng)安全規(guī)劃設計-實施流程主要輸入主要輸出階段主要活動安全評估和需求分析系統(tǒng)詳細描述文件系統(tǒng)定級建議書等級保護基本要求安全評估報告安全需求分析報告安全總體設計安全總體方案書技術防護框架管理策略框架安全建設規(guī)劃總體安全策略/框架單位信息化的中長期規(guī)劃信息系統(tǒng)安全建設方案安全評估報告安全需求分析報告等級保護基本要求12/10/202233安全規(guī)劃設計-實施流程主要輸入主要輸出階段主要活動安全評估和階段主要活動-1.安全評估和需求分析活動目標通過系統(tǒng)調(diào)查和安全評估了解系統(tǒng)目前的安全現(xiàn)狀；評估系統(tǒng)已經(jīng)采用的或?qū)⒁捎玫谋Ｗo措施和等級保護安全要求之間的差距，這種差距作為系統(tǒng)的一種安全需求；了解系統(tǒng)額外的安全需求；明確系統(tǒng)的完整安全需求。主要參考標準《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護測評準則》GB/Txxxxx-2006信息系統(tǒng)安全通用技術要求《信息安全風險評估指南》12/10/202234階段主要活動-1.安全評估和需求分析活動目標12/10/2階段主要活動-1.安全評估和需求分析主要活動過程評估對象和評估方法的明確；評估指標體系的選擇和確定；系統(tǒng)現(xiàn)狀與評估指標的對比；特殊安全要求的確定。12/10/202235階段主要活動-1.安全評估和需求分析主要活動過程12/10階段主要活動-1.安全評估和需求分析評估對象和評估方法的明確確定評估范圍獲得信息系統(tǒng)的信息確定具體的評估對象確定評估工作的方法

制定評估工作計劃

系統(tǒng)詳細描述文件系統(tǒng)定級建議書用戶文檔輸入輸出過程的工作內(nèi)容評估工作方案12/10/202236階段主要活動-1.安全評估和需求分析評估對象和評估方法的明階段主要活動-1.安全評估和需求分析評估指標體系的選擇和確定選擇基本評估指標評估對象威脅分析系統(tǒng)詳細描述文件系統(tǒng)定級建議書等級保護基本要求評估工作方案輸入輸出過程的工作內(nèi)容安全評估方案落實評估對象的評估指標制定評估方案12/10/202237階段主要活動-1.安全評估和需求分析評估指標體系的選擇和確階段主要活動-1.安全評估和需求分析安全現(xiàn)狀與評估指標對比管理指標符合性評估技術指標符合性測評系統(tǒng)詳細描述文件評估工作方案安全評估方案輸入輸出過程的工作內(nèi)容符合性評估結(jié)果12/10/202238階段主要活動-1.安全評估和需求分析安全現(xiàn)狀與評估指標對比重要資產(chǎn)特殊安全要求的確定重要資產(chǎn)分析重要資產(chǎn)弱點評估系統(tǒng)詳細描述文件評估結(jié)果記錄用戶需求文檔輸入輸出過程的工作內(nèi)容風險評估結(jié)果特殊安全要求重要資產(chǎn)威脅評估重要資產(chǎn)風險評估階段主要活動-1.安全評估和需求分析12/10/202239重要資產(chǎn)特殊安全要求的確定重要資產(chǎn)分析重要資產(chǎn)弱點評估系統(tǒng)階段主要活動-2.安全總體設計活動目標根據(jù)等級保護基本安全要求和系統(tǒng)的特殊要求，從被評估單位全局考慮設計系統(tǒng)的整體安全框架；提出各信息系統(tǒng)在總體方面的策略要求、應實現(xiàn)的安全技術措施和安全管理措施等；形成用于指導系統(tǒng)進行安全建設的安全總體方案。主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2006信息系統(tǒng)安全通用技術要求GB/Txxxxx-2006操作系統(tǒng)安全技術要求GB/Txxxxx-2006數(shù)據(jù)庫管理系統(tǒng)安全技術要求GB/T19716-2005信息安全管理實用規(guī)則IATF3.0信息保障技術框架12/10/202240階段主要活動-2.安全總體設計活動目標12/10/2022階段主要活動-2.安全總體設計主要活動過程系統(tǒng)等級化模型處理總體安全策略設計各級系統(tǒng)安全技術措施設計單位整體安全管理策略設計設計結(jié)果文檔化12/10/202241階段主要活動-2.安全總體設計主要活動過程12/10/20階段主要活動-2.安全總體設計系統(tǒng)等級化模型處理信息系統(tǒng)構成抽象處理骨干網(wǎng)抽象處理系統(tǒng)詳細描述文件符合性評估結(jié)果風險評估結(jié)果特殊安全要求輸入輸出過程的工作內(nèi)容信息系統(tǒng)等級化抽象模型安全域抽象處理局域網(wǎng)/邊界抽象處理形成信息系統(tǒng)抽象模型12/10/202242階段主要活動-2.安全總體設計系統(tǒng)等級化模型處理信息系統(tǒng)構階段主要活動-2.安全總體設計總體安全策略設計制定安全方針規(guī)定安全策略系統(tǒng)詳細描述文件安全需求分析報告信息系統(tǒng)等級化抽象模型輸入輸出過程的工作內(nèi)容總體安全策略等級保護模型建立等級化保護模型12/10/202243階段主要活動-2.安全總體設計總體安全策略設計制定安全方針階段主要活動-2.安全總體設計各級系統(tǒng)安全技術措施設計骨干網(wǎng)等級保護措施安全域等級保護措施安全需求分析報告信息系統(tǒng)等級保護模型等級保護基本要求特殊安全要求輸入輸出過程的工作內(nèi)容信息系統(tǒng)技術防護框架等級系統(tǒng)邊界防護策略主機系統(tǒng)/應用等級保護措施機房等物理安全保護措施12/10/202244階段主要活動-2.安全總體設計各級系統(tǒng)安全技術措施設計骨干階段主要活動-2.安全總體設計單位整體安全管理策略設計規(guī)定安全管理職責規(guī)定安全管理策略安全需求分析報告信息系統(tǒng)等級保護模型等級保護基本要求特殊安全要求輸入輸出過程的工作內(nèi)容信息系統(tǒng)安全管理策略框架給定介質(zhì)/設備管理策略規(guī)定運行安全管理策略規(guī)定安全事件處置和應急管理策略12/10/202245階段主要活動-2.安全總體設計單位整體安全管理策略設計規(guī)定階段主要活動-2.安全總體設計設計結(jié)果文檔化編制安全總體方案書安全需求分析報告等級保護模型技術防護框架管理策略框架輸入輸出過程的工作內(nèi)容安全總體方案書12/10/202246階段主要活動-2.安全總體設計設計結(jié)果文檔化編制安全總體方安全規(guī)劃設計-3.安全建設規(guī)劃活動目標將信息系統(tǒng)安全總體方案書規(guī)定的內(nèi)容落實到安全建設項目中；通過對安全項目的相關性、緊迫性、難易程度和預期效果等因素進行分析，確定實施的先后順序。主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2006等級保護系列安全產(chǎn)品技術要求GB/Txxxxx-2006操作系統(tǒng)安全技術要求GB/Txxxxx-2006數(shù)據(jù)庫管理系統(tǒng)安全技術要求12/10/202247安全規(guī)劃設計-3.安全建設規(guī)劃活動目標12/10/2022安全規(guī)劃設計-3.安全建設規(guī)劃主要活動過程安全建設目標確定安全建設內(nèi)容規(guī)劃安全建設方案設計12/10/202248安全規(guī)劃設計-3.安全建設規(guī)劃主要活動過程12/10/20階段主要活動-

3.安全建設規(guī)劃安全建設目標確定收集規(guī)劃文檔調(diào)研相關安全需求安全總體方案書單位信息化建設中長期發(fā)展規(guī)劃輸入輸出過程的工作內(nèi)容分階段建設目標調(diào)研建設資金準備狀況12/10/202249階段主要活動-3.安全建設規(guī)劃安全建設目標確定收集規(guī)劃文檔階段主要活動-

3.安全建設規(guī)劃安全建設內(nèi)容規(guī)劃確定主要建設內(nèi)容分類形成建設項目安全總體方案書分階段安全建設目標輸入輸出過程的工作內(nèi)容具體安全建設內(nèi)容12/10/202250階段主要活動-3.安全建設規(guī)劃安全建設內(nèi)容規(guī)劃確定主要建設階段主要活動-

3.安全建設規(guī)劃安全建設方案設計設計建設順序安全總體方案書分階段安全建設目標安全建設內(nèi)容輸入輸出過程的工作內(nèi)容系統(tǒng)安全建設方案估算各項目投資編制文檔12/10/202251階段主要活動-3.安全建設規(guī)劃安全建設方案設計設計建設順序第三階段：安全實施/實現(xiàn)階段階段目標參與角色和職責實施流程階段主要活動12/10/202252第三階段：安全實施/實現(xiàn)階段階段目標12/10/202252安全實施/實現(xiàn)-階段目標安全實施/實現(xiàn)的目標是按照信息系統(tǒng)安全總體方案書的總體要求，結(jié)合信息系統(tǒng)安全建設方案，分期分步落實安全措施。

12/10/202253安全實施/實現(xiàn)-階段目標安全實施/實現(xiàn)的目標是按照信息系統(tǒng)安安全實施/實現(xiàn)-參與角色和職責主管部門：審批下屬單位制定的文件運營、使用單位：按照等級保護的管理規(guī)范和技術標準，進行信息系統(tǒng)的安全建設。

安全服務商：根據(jù)信息系統(tǒng)運營、使用單位的委托，協(xié)助信息系統(tǒng)運營、使用單位完成信息系統(tǒng)安全建設施工。

安全產(chǎn)品供應商：按照等級保護的管理規(guī)范和技術標準，開發(fā)符合安全等級保護要求的安全產(chǎn)品

安全測評機構：按照等級保護的管理規(guī)范和技術標準，對已經(jīng)完成安全等級保護建設的信息系統(tǒng)進行檢查評估；對安全產(chǎn)品供應商提供的安全產(chǎn)品進行檢查評估。

12/10/202254安全實施/實現(xiàn)-參與角色和職責主管部門：審批下屬單位制定的文安全實施/實現(xiàn)階段-實施流程主要輸入主要輸出階段主要活動安全詳細方案設計安全總體方案書系統(tǒng)安全建設方案安全產(chǎn)品技術白皮書安全詳細設計方案安全技術實施安全測評報告等級化安全測評安全詳細設計方案系統(tǒng)定級建議書系統(tǒng)驗收報告系統(tǒng)驗收報告安全管理實施安全詳細設計方案角色與職責說明書管理制度/操作規(guī)范12/10/202255安全實施/實現(xiàn)階段-實施流程主要輸入主要輸出階段主要活動安全階段主要活動-

1.安全詳細方案設計活動目標依據(jù)信息系統(tǒng)安全建設方案，提出本期實施項目的具體實施方案，包括安全技術實施內(nèi)容、安全管理實施內(nèi)容、項目實施計劃以及項目經(jīng)費投入等，以便進行本次項目的實施。12/10/202256階段主要活動-1.安全詳細方案設計活動目標12/10/20階段主要活動-

1.安全詳細方案設計主要參考標準GB17859-1999

計算機信息系統(tǒng)安全保護等級劃分準則《信息系統(tǒng)安全等級保護基本要求》GB/T19716-2005信息安全管理實用規(guī)則GB/Txxxxx-2006信息系統(tǒng)安全通用技術要求GB/Txxxxx-2006等級保護系列安全產(chǎn)品技術要求GB/Txxxxx-2006操作系統(tǒng)安全技術要求GB/Txxxxx-2006數(shù)據(jù)庫管理系統(tǒng)安全技術要求12/10/202257階段主要活動-1.安全詳細方案設計主要參考標準12/10/階段主要活動-1.安全詳細方案設計主要活動過程安全技術實施內(nèi)容設計安全管理實施內(nèi)容設計設計結(jié)果文檔化12/10/202258階段主要活動-1.安全詳細方案設計主要活動過程12/10/階段主要活動-

1.安全詳細方案設計安全技術實施內(nèi)容設計設計結(jié)構框架設計功能要求安全總體方案書安全建設方案安全產(chǎn)品技術白皮書輸入輸出過程的工作內(nèi)容安全技術實施方案設計性能指標設計部署方案制定安全策略實現(xiàn)計劃12/10/202259階段主要活動-1.安全詳細方案設計安全技術實施內(nèi)容設計設計階段主要活動-

1.安全詳細方案設計安全管理實施內(nèi)容設計設置安全管理機構配備安全管理人員安全總體方案書安全建設方案輸入輸出過程的工作內(nèi)容安全管理實施方案制定安全管理制度培訓安全管理技能12/10/202260階段主要活動-1.安全詳細方案設計安全管理實施內(nèi)容設計設置階段主要活動-

1.安全詳細方案設計安全技術實施內(nèi)容設計設置安全管理機構配備安全管理人員安全總體方案書安全建設方案輸入輸出過程的工作內(nèi)容安全管理實施方案制定安全管理制度培訓安全管理技能12/10/202261階段主要活動-1.安全詳細方案設計安全技術實施內(nèi)容設計設置階段主要活動-

1.安全詳細方案設計設計結(jié)果文檔化實施內(nèi)容匯總編制文檔安全技術實施方案安全管理實施方案輸入輸出過程的工作內(nèi)容安全詳細設計方案12/10/202262階段主要活動-1.安全詳細方案設計設計結(jié)果文檔化實施內(nèi)容匯階段主要活動-

2.安全管理實施活動目標建立與信息系統(tǒng)安全技術和安全運行相適應的安全管理機制；在本期安全詳細設計方案的指導下，建立配套的安全管理機構和人員；建立配套的安全管理制度和操作規(guī)程，進行人員的安全技能培訓等；保證本期安全實施完成后，安全運行管理有配套的機制。主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/T19715.2-2005IT安全管理指南GB/T19716-2005信息安全管理實用規(guī)則12/10/202263階段主要活動-2.安全管理實施活動目標12/10/202階段主要活動-

2.安全管理實施主要活動內(nèi)容管理機構和人員的設置管理制度的建設和修訂人員安全技能培訓安全實施過程管理12/10/202264階段主要活動-2.安全管理實施主要活動內(nèi)容12/10/2階段主要活動-

2.安全管理實施管理機構和人員設置識別安全管理組織成員識別安全管理角色現(xiàn)有管理制度和政策文件安全詳細設計方案輸入輸出過程的工作內(nèi)容機構/角色職責說明文件規(guī)定各機構和角色職責12/10/202265階段主要活動-2.安全管理實施管理機構和人員設置識別安全階段主要活動-

2.安全管理實施管理制度的建設和修訂確定制度的應用范圍確定部門、人員職責現(xiàn)有管理制度和政策文件安全組織結(jié)構表機構/角色職責說明文件輸入輸出過程的工作內(nèi)容各項管理制度和操作規(guī)范評估并完善現(xiàn)有制度12/10/202266階段主要活動-2.安全管理實施管理制度的建設和修訂確定制階段主要活動-

2.安全管理實施人員安全技能培訓培訓特定崗位技能培訓安全意識崗位職責說明

系統(tǒng)/產(chǎn)品使用手冊各項管理制度和操作規(guī)程輸入輸出過程的工作內(nèi)容培訓記錄上崗資格證書考核頒發(fā)上崗資格證書12/10/202267階段主要活動-2.安全管理實施人員安全技能培訓培訓特定崗階段主要活動-

2.安全管理實施安全實施過程管理質(zhì)量管理進度管理信息系統(tǒng)等級保護建設的各階段文檔輸入輸出過程的工作內(nèi)容各階段過程管理控制記錄文檔管理/版本控制變更管理風險管理12/10/202268階段主要活動-2.安全管理實施安全實施過程管理質(zhì)量管理進階段主要活動-3.安全技術實施活動目標保證按照安全詳細設計方案實現(xiàn)各項安全技術措施，并確保安全技術措施的有效性。主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/T19715.2-2005IT安全管理指南GB/T19716-2005信息安全管理實用規(guī)則GB/Txxxxx-2006信息系統(tǒng)安全通用技術要求GB/Txxxxx-2006操作系統(tǒng)安全技術要求GB/Txxxxx-2006數(shù)據(jù)庫管理系統(tǒng)安全技術要求GB/Txxxxx-2006網(wǎng)絡技術要求GB/Txxxxx-2006網(wǎng)絡脆弱性掃描產(chǎn)品技術要求12/10/202269階段主要活動-3.安全技術實施活動目標12/10/202階段主要活動-3.安全技術實施主要活動過程安全產(chǎn)品采購安全控制開發(fā)安全控制集成測試與驗收12/10/202270階段主要活動-3.安全技術實施主要活動過程12/10/20階段主要活動-3.安全技術實施安全產(chǎn)品采購制定產(chǎn)品采購說明書選擇入圍產(chǎn)品安全設計詳細方案相關產(chǎn)品信息輸入輸出過程的工作內(nèi)容已采購安全產(chǎn)品清單產(chǎn)品招標12/10/202271階段主要活動-3.安全技術實施安全產(chǎn)品采購制定產(chǎn)品采購說明階段主要活動-3.安全技術實施安全控制開發(fā)安全措施需求分析概要設計安全設計詳細方案輸入輸出過程的工作內(nèi)容安全控制開發(fā)過程相關文檔詳細設計編碼實現(xiàn)測試12/10/202272階段主要活動-3.安全技術實施安全控制開發(fā)安全措施需求分析階段主要活動-3.安全技術實施安全控制集成制定集成實施方案實施集成安全設計詳細方案輸入輸出過程的工作內(nèi)容安全控制集成報告階段集成測試產(chǎn)品和維護培訓12/10/202273階段主要活動-3.安全技術實施安全控制集成制定集成實施方案階段主要活動-3.安全技術實施測試與驗收測試系統(tǒng)功能和性能測試運行可靠性安全設計詳細方案安全控制集成報告輸入輸出過程的工作內(nèi)容系統(tǒng)測試報告系統(tǒng)驗收報告測評安全管理實施系統(tǒng)驗收系統(tǒng)交付12/10/202274階段主要活動-3.安全技術實施測試與驗收測試系統(tǒng)功能和性能階段主要活動-3.安全技術實施等級化安全測評測試系統(tǒng)功能和性能測試運行可靠性安全設計詳細方案安全控制集成報告輸入輸出過程的工作內(nèi)容系統(tǒng)測試報告系統(tǒng)驗收報告測評安全管理實施系統(tǒng)驗收系統(tǒng)交付12/10/202275階段主要活動-3.安全技術實施等級化安全測評測試系統(tǒng)功能和階段主要活動-4.等級化安全測評過程目標通過安全測評機構對已經(jīng)完成安全等級保護建設的信息系統(tǒng)進行測評，確保信息系統(tǒng)的安全保護措施符合相應等級的安全要求。主要參考標準《信息安全等級保護測評準則》《信息安全等級保護基本要求》12/10/202276階段主要活動-4.等級化安全測評過程目標12/10/202階段主要活動-4.等級化安全測評輸入信息系統(tǒng)安全保護等級定級報告系統(tǒng)驗收報告輸出安全等級保護測評報告主要工作內(nèi)容參見《信息系統(tǒng)安全等級保護測評準則》12/10/202277階段主要活動-4.等級化安全測評輸入12/10/20227第四階段：安全運行管理階段階段目標參與角色和職責實施流程階段主要活動12/10/202278第四階段：安全運行管理階段階段目標12/10/202278安全運行管理-階段目標通過在安全運行管理階段實施操作管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應急預案、安全評估和持續(xù)改進以及監(jiān)督檢查等活動，在安全管理基本要求的基礎上，指導系統(tǒng)運行的動態(tài)管理。

12/10/202279安全運行管理-階段目標通過在安全運行管理階段實施操作管理和安全運行管理-參與角色和職責運營、使用單位：對已經(jīng)完成安全等級保護建設的信息系統(tǒng)進行維護管理，發(fā)現(xiàn)問題及時整改；定期進行安全狀況檢測評估，及時消除安全隱患和漏洞；制定不同等級信息安全事件的響應、處置預案，加強信息系統(tǒng)的安全管理。

信息安全監(jiān)管機構：按照等級保護的管理規(guī)范和技術標準的要求，重點對第三、第四級信息系統(tǒng)的安全等級保護狀況進行監(jiān)督檢查；發(fā)現(xiàn)存在安全隱患或未達到等級保護的管理規(guī)范和技術標準要求的，限期整改，使信息系統(tǒng)的安全保護措施更加完善

。

12/10/202280安全運行管理-參與角色和職責運營、使用單位：對已經(jīng)完成安全等安全運行管理-實施流程主要輸入主要輸出階段主要活動操作管理和控制安全詳細設計方案安全組織機構表操作人員角色/職責表各類操作規(guī)程變更管理和控制變更需求變更結(jié)果報告安全狀態(tài)監(jiān)控安全詳細設計方案系統(tǒng)驗收報告等安全狀態(tài)分析報告安全事件處置和應急預案安全詳細設計方案安全組織機構表安全事件報告程序各類應急預案安全事件處置報告12/10/202281安全運行管理-實施流程主要輸入主要輸出階段主要活動操作管理和安全運行管理-實施流程（續(xù)）主要輸入主要輸出階段主要活動安全評估和持續(xù)改進安全評估報告安全改進方案等級化安全測評安全詳細設計方案系統(tǒng)驗收報告等安全等級保護測評報告監(jiān)督檢查安全詳細設計方案系統(tǒng)驗收報告等監(jiān)督檢查結(jié)果報告變更需求12/10/202282安全運行管理-實施流程（續(xù)）主要輸入主要輸出階段主要活動安全階段主要活動-1.操作管理和控制活動目標確保操作人員對信息系統(tǒng)實行正確、安全操作；控制系統(tǒng)不斷變化和種類繁多的操作活動。主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2006信息系統(tǒng)安全通用技術要求GB/T19716-2005信息安全管理實用規(guī)則GB/T19715-2005IT安全管理指南主要活動過程操作職責確定操作過程控制12/10/202283階段主要活動-1.操作管理和控制活動目標12/10/202階段主要活動-1.操作管理和控制操作職責確定劃分操作角色授予管理權限安全設計詳細方案安全組織機構表輸入輸出過程的工作內(nèi)容操作人員角色和職責表定義人員職責12/10/202284階段主要活動-1.操作管理和控制操作職責確定劃分操作角色授階段主要活動-1.操作管理和控制操作過程控制確定操作目的和內(nèi)容確定操作時間和地點操作需求操作人員角色和職責表輸入輸出過程的工作內(nèi)容各類操作規(guī)程操作記錄選擇操作方法建立操作規(guī)程記錄操作過程和結(jié)果12/10/202285階段主要活動-1.操作管理和控制操作過程控制確定操作目的和階段主要活動-2.變更管理和控制活動目標確保在發(fā)生安全配置、安全設施、系統(tǒng)結(jié)構和業(yè)務應用等變化的時候，使用標準的方法和步驟，盡快的實施變更；確保變更所導致的信息資產(chǎn)安全性降低、業(yè)務中斷或業(yè)務影響減小到最低。主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2006信息系統(tǒng)安全通用技術要求GB/T19716-2005信息安全管理實用規(guī)則GB/T19715-2005IT安全管理指南主要活動過程變更需求和影響分析變更過程控制12/10/202286階段主要活動-2.變更管理和控制活動目標12/10/202階段主要活動-2.變更管理和控制變更需求和影響分析變更需求分析識別變更種類變更需求輸入輸出過程的工作內(nèi)容變更方案變更影響分析制定變更方案12/10/202287階段主要活動-2.變更管理和控制變更需求和影響分析變更需求階段主要活動-2.變更管理和控制變更過程控制變更內(nèi)容審核與審批建立變更過程日志變更方案輸入輸出過程的工作內(nèi)容變更結(jié)果報告形成變更結(jié)果報告12/10/202288階段主要活動-2.變更管理和控制變更過程控制變更內(nèi)容審核與階段主要活動-3.安全狀態(tài)監(jiān)控活動目標對信息系統(tǒng)的安全運行狀態(tài)進行監(jiān)控，確保信息系統(tǒng)運行安全。主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2006信息系統(tǒng)安全通用技術要求GB/T19716-2005信息安全管理實用規(guī)則GB/T19715-2005IT安全管理指南主要活動過程監(jiān)控對象確定監(jiān)控對象狀態(tài)信息收集監(jiān)控狀態(tài)分析和報告12/10/202289階段主要活動-3.安全狀態(tài)監(jiān)控活動目標12/10/2022階段主要活動-3.安全狀態(tài)監(jiān)控監(jiān)控對象確定業(yè)務關鍵要素分析安全關鍵點分析安全詳細設計方案系統(tǒng)驗收報告輸入輸出過程的工作內(nèi)容監(jiān)控對象列表形成監(jiān)控對象列表12/10/202290階段主要活動-3.安全狀態(tài)監(jiān)控監(jiān)控對象確定業(yè)務關鍵要素分析階段主要活動-3.安全狀態(tài)監(jiān)控監(jiān)控對象狀態(tài)信息收集選擇監(jiān)控工具識別和記錄入侵行為監(jiān)控對象列表輸入輸出過程的工作內(nèi)容監(jiān)控對象安全狀態(tài)信息監(jiān)控對象信息收集12/10/202291階段主要活動-3.安全狀態(tài)監(jiān)控監(jiān)控對象狀態(tài)信息收集選擇監(jiān)控階段主要活動-3.安全狀態(tài)監(jiān)控監(jiān)控狀態(tài)分析和報告狀態(tài)分析影響程度和范圍分析監(jiān)控對象安全狀態(tài)信息輸入輸出過程的工作內(nèi)容安全狀態(tài)分析報告變更需求變更需求分析12/10/202292階段主要活動-3.安全狀態(tài)監(jiān)控監(jiān)控狀態(tài)分析和報告狀態(tài)分析影階段主要活動-

4.安全事件處置和應急預案活動目標根據(jù)安全事件相關標準中規(guī)定的安全事件分級原則和劃分結(jié)果，結(jié)合自身具體的情況酌情劃分本單位安全事件級別；建立合適的應急響應機制。主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2006信息系統(tǒng)安全通用技術要求GB/T19716-2005信息安全管理實用規(guī)則GB/T19715-2005IT安全管理指南主要活動過程安全事件分級應急預案制定安全事件處置報告12/10/202293階段主要活動-4.安全事件處置和應急預案活動目標12/10階段主要活動-

4.安全事件處置和應急預案安全事件分級安全事件調(diào)查和分析安全事件等級劃分各類安全事件列表輸入輸出過程的工作內(nèi)容安全事件報告程序建立分級的事件報告流程12/10/202294階段主要活動-4.安全事件處置和應急預案安全事件分級安全事階段主要活動-

4.安全事件處置和應急預案應急預案制定確定應急預案對象確定和認可各項職責安全事件報告程序輸入輸出過程的工作內(nèi)容各類應急預案制定程序和執(zhí)行條件制定各類事件應急恢復措施12/10/202295階段主要活動-4.安全事件處置和應急預案應急預案制定確定應階段主要活動-

4.安全事件處置和應急預案安全事件處置安全事件上報安全事件處置安全狀態(tài)分析報告安全事件報告程序各類應急預案輸入輸出過程的工作內(nèi)容安全事件處置報告安全事件影響分析安全事件總結(jié)和處置報告12/10/202296階段主要活動-4.安全事件處置和應急預案安全事件處置安全事階段主要活動-5.安全評估和持續(xù)改進活動目標確保在發(fā)生信息系統(tǒng)變更、安全狀態(tài)改變等情況后定期對信息系統(tǒng)進行安全評估；確保信息系統(tǒng)滿足相應等級安全需求和自身特殊安全需求。主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/T19716-2005信息安全管理實用規(guī)則GB/T19715-2005IT安全管理指南《信息安全風險評估指南》主要活動過程安全評估改進方案制定安全改進實施12/10/202297階段主要活動-5.安全評估和持續(xù)改進活動目標12/10/2階段主要活動-

5.安全評估和持續(xù)改進安全評估確定評估對象和方法制定評估計劃和方案系統(tǒng)詳細描述文件安全狀態(tài)分析報告變更結(jié)果報告輸入輸出過程的工作內(nèi)容安全評估報告實施安全評估匯總分析評估結(jié)果匯總分析評估結(jié)果提出改進建議12/10/202298階段主要活動-5.安全評估和持續(xù)改進安全評估確定評估對象和階段主要活動-

5.安全評估和持續(xù)改進改進方案制定安全調(diào)整和改進立項制定安全改進方案安全評估報告輸入輸出過程的工作內(nèi)容安全改進方案12/10/202299階段主要活動-5.安全評估和持續(xù)改進改進方案制定安全調(diào)整和階段主要活動-

5.安全評估和持續(xù)改進實施安全改進實施過程控制補充安全功能測試安全改進方案輸入輸出過程的工作內(nèi)容安全測試/驗收報告相關技術文件修訂相關管理制度修訂12/10/2022100階段主要活動-5.安全評估和持續(xù)改進實施安全改進實施過程控階段主要活動-

6.監(jiān)督檢查國家信息安全監(jiān)督管理職能部門按照等級保護的管理規(guī)范和技術標準的要求，重點對第三、第四級信息和信息系統(tǒng)安全保護制度和措施的落實情況，以及安全現(xiàn)狀的達標情況進行監(jiān)督檢查。安全監(jiān)督管理職能部門對信息系統(tǒng)安全保護等級監(jiān)督檢查遵循“公平、公正、權威、有效”原則，采用例行檢查和專項檢查相結(jié)合的方法。具體參見《信息安全等級保護監(jiān)督檢查管理辦法》12/10/2022101階段主要活動-6.監(jiān)督檢查國家信息安全監(jiān)督第五階段：系統(tǒng)終止階段階段目標參與角色和職責實施流程主要活動過程12/10/2022102第五階段：系統(tǒng)終止階段階段目標12/10/2022102系統(tǒng)終止階段-目標和角色階段目標確保信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時，正確處理系統(tǒng)內(nèi)的敏感信息；確保組織信息資產(chǎn)的安全。

參與角色和職責信息系統(tǒng)運營、使用單位信息系統(tǒng)主管部門

12/10/2022103系統(tǒng)終止階段-目標和角色階段目標12/10/2022103系統(tǒng)終止階段-主要參考標準主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/T19716-2005信息安全管理實用規(guī)則GB/T19715-2005IT安全管理指南12/10/2022104系統(tǒng)終止階段-主要參考標準主要參考標準12/10/20221系統(tǒng)終止階段-實施流程主要輸入主要輸出主要活動信息轉(zhuǎn)移/暫存和清除信息資產(chǎn)清單信息轉(zhuǎn)移、暫存、清除處理記錄文檔設備遷移或廢棄設備遷移、廢棄處理記錄文檔介質(zhì)清除或銷毀信息系統(tǒng)介質(zhì)清單介質(zhì)清除、銷毀處理記錄文檔硬件設備清單12/10/2022105系統(tǒng)終止階段-實施流程主要輸入主要輸出主要活動信息轉(zhuǎn)移/暫存系統(tǒng)終止-信息轉(zhuǎn)移、暫存和清除識別要轉(zhuǎn)移、暫存和清除的信息資產(chǎn)信息資產(chǎn)轉(zhuǎn)移、暫存和清除資產(chǎn)清單輸入輸出過程的工作內(nèi)容信息轉(zhuǎn)移、暫存、清除處理記錄文檔處理過程記錄12/10/2022106系統(tǒng)終止-信息轉(zhuǎn)移、暫存和清除識別要轉(zhuǎn)移、暫存和清除的信息資系統(tǒng)終止-設備遷移或廢棄軟硬件設備識別信息資產(chǎn)轉(zhuǎn)移、暫存和清除設備遷移或廢棄清單輸入輸出過程的工作內(nèi)容設備遷移、廢棄處理報告設備處理和記錄處理方案審批12/10/2022107系統(tǒng)終止-設備遷移或廢棄軟硬件設備識別信息資產(chǎn)轉(zhuǎn)移、暫存和清系統(tǒng)終止-介質(zhì)清除或銷毀識別要清除或銷毀的介質(zhì)確定介質(zhì)處理方法和流程存檔介質(zhì)清單輸入輸出過程的工作內(nèi)容介質(zhì)清除或銷毀記錄文檔介質(zhì)處理和記錄處理方案審批12/10/2022108系統(tǒng)終止-介質(zhì)清除或銷毀識別要清除或銷毀的介質(zhì)確定介質(zhì)處理方Q&A12/10/2022109Q&A12/10/202210931、只有永遠躺在泥坑里的人，才不會再掉進坑里。——黑格爾

32、希望的燈一旦熄滅，生活剎那間變成了一片黑暗。——普列姆昌德

33、希望是人生的乳母?！撇卟?/p>

34、形成天才的決定因素應該是勤奮?！?/p>

35、學到很多東西的訣竅，就是一下子不要學很多?！蹇?1、只有永遠躺在泥坑里的人，才不會再掉進坑里信息系統(tǒng)安全等級保護實施指南介紹41、實際上，我們想要的不是針對犯罪的法律，而是針對瘋狂的法律?！R克·吐溫42、法律的力量應當跟隨著公民，就像影子跟隨著身體一樣?！惪ɡ麃?3、法律和制度必須跟上人類思想進步?！芨ミd44、人類受制于法律，法律受制于情理。——托·富勒45、法律的制定是為了保證每一個人自由發(fā)揮自己的才能，而不是為了束縛他的才能?！_伯斯庇爾信息系統(tǒng)安全等級保護實施指南介紹信息系統(tǒng)安全等級保護實施指南介紹41、實際上，我們想要的不是針對犯罪的法律，而是針對瘋狂的法律?！R克·吐溫42、法律的力量應當跟隨著公民，就像影子跟隨著身體一樣?！惪ɡ麃?3、法律和制度必須跟上人類思想進步?！芨ミd44、人類受制于法律，法律受制于情理?！小じ焕?5、法律的制定是為了保證每一個人自由發(fā)揮自己的才能，而不是為了束縛他的才能?！_伯斯庇爾信息系統(tǒng)安全等級保護實施指南介紹3/11/20212目錄概述等級保護的實施過程系統(tǒng)定級階段安全規(guī)劃設計階段安全實施/實現(xiàn)階段安全運行管理階段系統(tǒng)中止階段3/11/20213信息系統(tǒng)安全等級保護實施指南介紹41、實際上，我們想要的不是信息系統(tǒng)安全等級保護實施指南介紹課件信息系統(tǒng)安全等級保護實施指南介紹課件信息系統(tǒng)安全等級保護實施指南介紹課件信息系統(tǒng)安全等級保護實施指南介紹課件概述-背景（續(xù)）在“66號文”的職責分工和工作要求中指出：信息和信息系統(tǒng)的運營、使用單位按照等級保護的管理規(guī)范和技術標準，確定其信息和信息系統(tǒng)的安全保護等級信息和信息系統(tǒng)的運營、使用單位按照等級保護的管理規(guī)范和技術標準對新建、改建、擴建的信息系統(tǒng)進行信息系統(tǒng)的安全規(guī)劃設計、安全建設施工信息和信息系統(tǒng)的運營、使用單位及其主管部門按照與信息系統(tǒng)安全保護等級相對應的管理規(guī)范和技術標準的要求，定期進行安全狀況檢測評估國家指定信息安全監(jiān)管職能部門按照等級保護的管理規(guī)范和技術標準的要求，對信息和信息系統(tǒng)的安全等級保護狀況進行監(jiān)督檢查12/10/2022116概述-背景（續(xù)）在“66號文”的職責分工和工作要求中指出：1概述-背景（續(xù)）管理規(guī)范和技術標準的作用主管部門監(jiān)督檢查信息安全監(jiān)管職能部門系統(tǒng)定級安全保護檢測評估運營\使用單位安全服務商安全評估機構技術標準管理規(guī)范12/10/2022117概述-背景（續(xù)）管理規(guī)范和技術標準的作用主管部門監(jiān)督檢查信息概述-背景（續(xù)）主要的管理規(guī)范和技術標準管理規(guī)范《信息安全等級保護管理辦法》技術標準《信息系統(tǒng)安全等級保護實施指南》《信息系統(tǒng)安全保護等級定級指南》《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護測評準則》《信息系統(tǒng)安全等級保護監(jiān)督檢查指南》12/10/2022118概述-背景（續(xù)）主要的管理規(guī)范和技術標準12/10/2022概述-實施指南的作用是信息系統(tǒng)實施等級保護的指南性文件。作為等級保護標準體系的指引文檔。貫穿整個等級保護工作的所有階段，規(guī)范和指導所有的安全活動。介紹信息系統(tǒng)實施等級保護的方法，不同的角色在不同階段的作用。12/10/2022119概述-實施指南的作用是信息系統(tǒng)實施等級保護的指南性文件。12概述-實施指南的使用對象本指南的使用對象是：信息系統(tǒng)的主管單位；信息系統(tǒng)運營、使用單位；信息系統(tǒng)安全服務商；信息安全監(jiān)管機構；安全測評機構；安全產(chǎn)品供應商。12/10/2022120概述-實施指南的使用對象本指南的使用對象是：12/10/20概述-與風險管理之間的關系相同點都是對活動過程的管理；都闡明了對信息系統(tǒng)整個生命周期的管理。不同點風險管理方法以“風險”控制為核心，描述了風險管理的主要活動過程；信息系統(tǒng)實施等級保護的思路是首先根據(jù)信息系統(tǒng)定級方法對信息系統(tǒng)進行定級，根據(jù)安全級別確定基本安全保護措施，通過風險分析補充其它需要的安全措施，構成等級保護安全設計方案，并依據(jù)方案進行安全工程實施。12/10/2022121概述-與風險管理之間的關系相同點12/10/202211概述-與風險管理之間的關系（續(xù)）二者之間關系 在對信息系統(tǒng)實施等級保護的過程中，風險管理是一種輔助手段。等級保護的相關標準對不同級別的信息系統(tǒng)提出了基本保護要求，基本保護要求是系統(tǒng)安全建設的基礎，但是不同的信息系統(tǒng)由于其本身的特性，除基本保護要求外，可以通過風險管理中風險分析的方法選擇需要補充的安全措施，從而使得系統(tǒng)的等級保護更加個性化。12/10/2022122概述-與風險管理之間的關系（續(xù)）二者之間關系12/10/20等級保護的基本實施過程基本實施過程與信息系統(tǒng)生命周期之間的關系重要概念12/10/2022123等級保護的基本實施過程基本實施過程12/10/202213等級保護的基本實施過程重大變更局部調(diào)整系統(tǒng)定級安全規(guī)劃設計安全實施/實現(xiàn)安全運行管理系統(tǒng)終止12/10/2022124等級保護的基本實施過程重大變更局部調(diào)整系統(tǒng)定級安全規(guī)劃設計安與信息系統(tǒng)生命周期之間的關系新建信息系統(tǒng)新建信息系統(tǒng)等級保護實施過程信息系統(tǒng)生命周期安全運行管理（變更管理/定期安全測評/監(jiān)督檢查）系統(tǒng)定級安全規(guī)劃設計安全實施系統(tǒng)終止設計開發(fā)階段運行維護階段啟動階段實施階段中止階段12/10/2022125與信息系統(tǒng)生命周期之間的關系新建信息系統(tǒng)新建信息系統(tǒng)等級保護與信息系統(tǒng)生命周期之間的關系已建信息系統(tǒng)已經(jīng)存在的信息系統(tǒng)，通常處于系統(tǒng)運行維護階段;安全等級保護實施過程中的系統(tǒng)定級階段、安全規(guī)劃設計階段、安全實施/實現(xiàn)階段和系統(tǒng)終止等的主要活動都將在信息系統(tǒng)生命周期的系統(tǒng)運行維護階段完成。12/10/2022126與信息系統(tǒng)生命周期之間的關系已建信息系統(tǒng)12/10/2022主要階段和主要活動重要概念階段主要活動主要活動過程階段工作內(nèi)容過程目標輸入輸出活動目標階段目標參與角色主要工作內(nèi)容主要活動過程實施流程/主要活動主要參考標準12/10/2022127主要階段和主要活動重要概念階段主要活動主要活動過程階段工作內(nèi)實施等級保護的主要階段第一階段：系統(tǒng)定級第二階段：安全規(guī)劃設計第三階段：安全實施/實現(xiàn)第四階段：安全運行管理第五階段：系統(tǒng)終止12/10/2022128實施等級保護的主要階段第一階段：系統(tǒng)定級12/10/2022第一階段:系統(tǒng)定級定級方法參與角色和職責實施流程階段主要活動12/10/2022129第一階段:系統(tǒng)定級定級方法12/10/202219系統(tǒng)定級階段-定級方法第一種方法：根據(jù)經(jīng)驗直接定級第二種方法：按照標準定級第三種方法：制定方法自行定級

如采用第二種定級方法則可以參考《實施指南》系統(tǒng)定級階段相關活動內(nèi)容。12/10/2022130系統(tǒng)定級階段-定級方法第一種方法：根據(jù)經(jīng)驗直接定級12/10系統(tǒng)定級階段-參與角色和職責信息系統(tǒng)運營、使用單位：負責選擇定級方法確定其信息系統(tǒng)的安全等級，并報其主管部門審批同意；對安全等級在三級以上的信息系統(tǒng)，報送本地區(qū)地市級公安機關備案。

信息系統(tǒng)主管部門：對下屬單位確定的信息系統(tǒng)安全等級進行審批。

信息系統(tǒng)安全服務商：協(xié)助信息系統(tǒng)運營、使用單位完成與信息系統(tǒng)定級相關的工作。

12/10/2022131系統(tǒng)定級階段-參與角色和職責信息系統(tǒng)運營、使用單位：負責選擇系統(tǒng)定級階段-實施流程主要輸入主要輸出階段主要活動子系統(tǒng)識別和描述系統(tǒng)立項文檔系統(tǒng)建設文檔系統(tǒng)管理文檔系統(tǒng)詳細描述文件系統(tǒng)識別與劃分系統(tǒng)總體描述文件系統(tǒng)總體描述文件安全等級確定系統(tǒng)總體描述文件系統(tǒng)詳細描述文件系統(tǒng)安全保護等級定級建議書12/10/2022132系統(tǒng)定級階段-實施流程主要輸入主要輸出階段主要活動子系統(tǒng)識別系統(tǒng)定級階段-系統(tǒng)識別和劃分過程目標收集有關信息系統(tǒng)的信息；在對信息進行綜合分析的基礎上將組織機構內(nèi)運行的信息系統(tǒng)合理地分解成若干個信息系統(tǒng)；針對目標信息系統(tǒng)，形成信息系統(tǒng)的總體描述性文檔。輸入信息系統(tǒng)的立項、建設、管理文檔12/10/2022133系統(tǒng)定級階段-系統(tǒng)識別和劃分過程目標12/10/202223系統(tǒng)定級階段-系統(tǒng)識別和劃分(續(xù))輸出信息系統(tǒng)總體描述文件主要工作內(nèi)容識別單位的基本信息識別信息系統(tǒng)的管理框架識別信息系統(tǒng)的網(wǎng)絡邊界及設備部署識別信息系統(tǒng)的業(yè)務種類和特性識別用戶范圍和用戶類型劃分方法的選擇形成信息系統(tǒng)總體描述文檔12/10/2022134系統(tǒng)定級階段-系統(tǒng)識別和劃分(續(xù))輸出12/10/20222系統(tǒng)定級階段-系統(tǒng)識別和劃分(續(xù))信息系統(tǒng)劃分方法從組織管理角度劃分從業(yè)務類型角度劃分從物理區(qū)域或運行環(huán)境角度劃分12/10/2022135系統(tǒng)定級階段-系統(tǒng)識別和劃分(續(xù))信息系統(tǒng)劃分方法12/10系統(tǒng)定級階段-業(yè)務子系統(tǒng)識別和描述過程目標如果某一個信息系統(tǒng)中包含多個業(yè)務子系統(tǒng)，識別出主要的業(yè)務子系統(tǒng)；對主要業(yè)務子系統(tǒng)的安全屬性進行識別和描述。輸入信息系統(tǒng)詳細描述文件

12/10/2022136系統(tǒng)定級階段-業(yè)務子系統(tǒng)識別和描述過程目標12/10/202系統(tǒng)定級階段-業(yè)務子系統(tǒng)識別和描述輸出信息系統(tǒng)詳細描述文件主要工作內(nèi)容識別各業(yè)務子系統(tǒng)處理的信息類型識別各業(yè)務子系統(tǒng)的服務范圍識別各項業(yè)務對系統(tǒng)的依賴程度形成信息系統(tǒng)和業(yè)務子系統(tǒng)的詳細描述文檔12/10/2022137系統(tǒng)定級階段-業(yè)務子系統(tǒng)識別和描述輸出12/10/20222系統(tǒng)定級階段-安全等級確定過程目標依據(jù)《信息系統(tǒng)安全保護等級定級指南》確定每個業(yè)務子系統(tǒng)的安全保護等級；由所包括的各業(yè)務子系統(tǒng)的最高等級決定信息系統(tǒng)的安全保護等級；對定級過程文檔進行整理，形成文件化的信息系統(tǒng)定級建議書。輸入信息系統(tǒng)總體描述文件信息系統(tǒng)詳細描述文件12/10/2022138系統(tǒng)定級階段-安全等級確定過程目標12/10/202228系統(tǒng)定級階段-安全等級確定輸出信息系統(tǒng)安全保護等級定級建議書主要工作內(nèi)容各業(yè)務子系統(tǒng)安全保護等級確定信息系統(tǒng)安全保護等級確定安全保護等級的調(diào)整定級結(jié)果文檔化12/10/2022139系統(tǒng)定級階段-安全等級確定輸出12/10/202229第二階段：安全規(guī)劃設計階段階段目標參與角色和職責實施流程階段主要活動12/10/2022140第二階段：安全規(guī)劃設計階段階段目標12/10/202230安全規(guī)劃設計-階段目標 通過安全評估和需求分析判斷信息系統(tǒng)的安全保護現(xiàn)狀與等級保護基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級情況、信息系統(tǒng)承載業(yè)務情況和安全需求等，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施計劃等，以指導后續(xù)的信息系統(tǒng)安全建設工程實施。12/10/2022141安全規(guī)劃設計-階段目標 通過安全評估和需求分析判斷信息系統(tǒng)的安全規(guī)劃設計-參與角色和職責信息系統(tǒng)運營、使用單位：根據(jù)已經(jīng)確定的安全等級，按照等級保護的管理規(guī)范和技術標準，進行信息系統(tǒng)的安全規(guī)劃設計。

信息系統(tǒng)安全服務商：根據(jù)信息系統(tǒng)運營、使用單位的委托，按照等級保護的管理規(guī)范和技術標準，協(xié)助信息系統(tǒng)運營、使用單位完成信息系統(tǒng)安全規(guī)劃設計工作。

12/10/2022142安全規(guī)劃設計-參與角色和職責信息系統(tǒng)運營、使用單位：根據(jù)已經(jīng)安全規(guī)劃設計-實施流程主要輸入主要輸出階段主要活動安全評估和需求分析系統(tǒng)詳細描述文件系統(tǒng)定級建議書等級保護基本要求安全評估報告安全需求分析報告安全總體設計安全總體方案書技術防護框架管理策略框架安全建設規(guī)劃總體安全策略/框架單位信息化的中長期規(guī)劃信息系統(tǒng)安全建設方案安全評估報告安全需求分析報告等級保護基本要求12/10/2022143安全規(guī)劃設計-實施流程主要輸入主要輸出階段主要活動安全評估和階段主要活動-1.安全評估和需求分析活動目標通過系統(tǒng)調(diào)查和安全評估了解系統(tǒng)目前的安全現(xiàn)狀；評估系統(tǒng)已經(jīng)采用的或?qū)⒁捎玫谋Ｗo措施和等級保護安全要求之間的差距，這種差距作為系統(tǒng)的一種安全需求；了解系統(tǒng)額外的安全需求；明確系統(tǒng)的完整安全需求。主要參考標準《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護測評準則》GB/Txxxxx-2006信息系統(tǒng)安全通用技術要求《信息安全風險評估指南》12/10/2022144階段主要活動-1.安全評估和需求分析活動目標12/10/2階段主要活動-1.安全評估和需求分析主要活動過程評估對象和評估方法的明確；評估指標體系的選擇和確定；系統(tǒng)現(xiàn)狀與評估指標的對比；特殊安全要求的確定。12/10/2022145階段主要活動-1.安全評估和需求分析主要活動過程12/10階段主要活動-1.安全評估和需求分析評估對象和評估方法的明確確定評估范圍獲得信息系統(tǒng)的信息確定具體的評估對象確定評估工作的方法

制定評估工作計劃

系統(tǒng)詳細描述文件系統(tǒng)定級建議書用戶文檔輸入輸出過程的工作內(nèi)容評估工作方案12/10/2022146階段主要活動-1.安全評估和需求分析評估對象和評估方法的明階段主要活動-1.安全評估和需求分析評估指標體系的選擇和確定選擇基本評估指標評估對象威脅分析系統(tǒng)詳細描述文件系統(tǒng)定級建議書等級保護基本要求評估工作方案輸入輸出過程的工作內(nèi)容安全評估方案落實評估對象的評估指標制定評估方案12/10/2022147階段主要活動-1.安全評估和需求分析評估指標體系的選擇和確階段主要活動-1.安全評估和需求分析安全現(xiàn)狀與評估指標對比管理指標符合性評估技術指標符合性測評系統(tǒng)詳細描述文件評估工作方案安全評估方案輸入輸出過程的工作內(nèi)容符合性評估結(jié)果12/10/2022148階段主要活動-1.安全評估和需求分析安全現(xiàn)狀與評估指標對比重要資產(chǎn)特殊安全要求的確定重要資產(chǎn)分析重要資產(chǎn)弱點評估系統(tǒng)詳細描述文件評估結(jié)果記錄用戶需求文檔輸入輸出過程的工作內(nèi)容風險評估結(jié)果特殊安全要求重要資產(chǎn)威脅評估重要資產(chǎn)風險評估階段主要活動-1.安全評估和需求分析12/10/2022149重要資產(chǎn)特殊安全要求的確定重要資產(chǎn)分析重要資產(chǎn)弱點評估系統(tǒng)階段主要活動-2.安全總體設計活動目標根據(jù)等級保護基本安全要求和系統(tǒng)的特殊要求，從被評估單位全局考慮設計系統(tǒng)的整體安全框架；提出各信息系統(tǒng)在總體方面的策略要求、應實現(xiàn)的安全技術措施和安全管理措施等；形成用于指導系統(tǒng)進行安全建設的安全總體方案。主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2006信息系統(tǒng)安全通用技術要求GB/Txxxxx-2006操作系統(tǒng)安全技術要求GB/Txxxxx-2006數(shù)據(jù)庫管理系統(tǒng)安全技術要求GB/T19716-2005信息安全管理實用規(guī)則IATF3.0信息保障技術框架12/10/2022150階段主要活動-2.安全總體設計活動目標12/10/2022階段主要活動-2.安全總體設計主要活動過程系統(tǒng)等級化模型處理總體安全策略設計各級系統(tǒng)安全技術措施設計單位整體安全管理策略設計設計結(jié)果文檔化12/10/2022151階段主要活動-2.安全總體設計主要活動過程12/10/20階段主要活動-2.安全總體設計系統(tǒng)等級化模型處理信息系統(tǒng)構成抽象處理骨干網(wǎng)抽象處理系統(tǒng)詳細描述文件符合性評估結(jié)果風險評估結(jié)果特殊安全要求輸入輸出過程的工作內(nèi)容信息系統(tǒng)等級化抽象模型安全域抽象處理局域網(wǎng)/邊界抽象處理形成信息系統(tǒng)抽象模型12/10/2022152階段主要活動-2.安全總體設計系統(tǒng)等級化模型處理信息系統(tǒng)構階段主要活動-2.安全總體設計總體安全策略設計制定安全方針規(guī)定安全策略系統(tǒng)詳細描述文件安全需求分析報告信息系統(tǒng)等級化抽象模型輸入輸出過程的工作內(nèi)容總體安全策略等級保護模型建立等級化保護模型12/10/2022153階段主要活動-2.安全總體設計總體安全策略設計制定安全方針階段主要活動-2.安全總體設計各級系統(tǒng)安全技術措施設計骨干網(wǎng)等級保護措施安全域等級保護措施安全需求分析報告信息系統(tǒng)等級保護模型等級保護基本要求特殊安全要求輸入輸出過程的工作內(nèi)容信息系統(tǒng)技術防護框架等級系統(tǒng)邊界防護策略主機系統(tǒng)/應用等級保護措施機房等物理安全保護措施12/10/2022154階段主要活動-2.安全總體設計各級系統(tǒng)安全技術措施設計骨干階段主要活動-2.安全總體設計單位整體安全管理策略設計規(guī)定安全管理職責規(guī)定安全管理策略安全需求分析報告信息系統(tǒng)等級保護模型等級保護基本要求特殊安全要求輸入輸出過程的工作內(nèi)容信息系統(tǒng)安全管理策略框架給定介質(zhì)/設備管理策略規(guī)定運行安全管理策略規(guī)定安全事件處置和應急管理策略12/10/2022155階段主要活動-2.安全總體設計單位整體安全管理策略設計規(guī)定階段主要活動-2.安全總體設計設計結(jié)果文檔化編制安全總體方案書安全需求分析報告等級保護模型技術防護框架管理策略框架輸入輸出過程的工作內(nèi)容安全總體方案書12/10/2022156階段主要活動-2.安全總體設計設計結(jié)果文檔化編制安全總體方安全規(guī)劃設計-3.安全建設規(guī)劃活動目標將信息系統(tǒng)安全總體方案書規(guī)定的內(nèi)容落實到安全建設項目中；通過對安全項目的相關性、緊迫性、難易程度和預期效果等因素進行分析，確定實施的先后順序。主要參考標準《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2006等級保護系列安全產(chǎn)品技術要求GB/Txxxxx-2006操作系統(tǒng)安全技術要求GB/Txxxxx-2006數(shù)據(jù)庫管理系統(tǒng)安全技術要求12/10/2022157安全規(guī)劃設計-3.安全建設規(guī)劃活動目標12/10/2022安全規(guī)劃設計-3.安全建設規(guī)劃主要活動過程安全建設目標確定安全建設內(nèi)容規(guī)劃安全建設方案設計12/10/2022158安全規(guī)劃設計-3.安全建設規(guī)劃主要活動過程12/10/20階段主要活動-

3.安全建設規(guī)劃安全建設目標確定收集規(guī)劃文檔調(diào)研相關安全需求安全總體方案書單位信息化建設中長期發(fā)展規(guī)劃輸入輸出過程的工作內(nèi)容分階段建設目標調(diào)研建設資金準備狀況12/10/2022159階段主要活動-3.安全建設規(guī)劃安全建設目標確定收集規(guī)劃文檔階段主要活動-

3.安全建設規(guī)劃安全建設內(nèi)容規(guī)劃確定主要建設內(nèi)容分類形成建設項目安全總體方案書分階段安全建設目標輸入輸出過程的工作內(nèi)容具體安全建設內(nèi)容12/10/2022160階段主要活動-3.安全建設規(guī)劃安全建設內(nèi)容規(guī)劃確定主要建設階段主要活動-

3.安全建設規(guī)劃安全建設方案設計設計建設順序安全總體方案書分階段安全建設目標安全建設內(nèi)容輸入輸出過程的工作內(nèi)容系統(tǒng)安全建設方案估算各項目投資編制文檔12/10/2022161階段主要活動-3.安全建設規(guī)劃安全建設方案設計設計建設順序第三階段：安全實施/實現(xiàn)階段階段目標參與角色和職責實施流程階段主要活動12/10/2022162第三階段：安全實施/實現(xiàn)階段階段目標12/10/202252安全實施/實現(xiàn)-階段目標安全實施/實現(xiàn)的目標是按照信息系統(tǒng)安全總體方案書的總體要求，結(jié)合信息系統(tǒng)安全建設方案，分期分步落實安全措施。

12/10/2022163安全實施/實現(xiàn)-階段目標安全實施/實現(xiàn)的目標是按照信息系統(tǒng)安安全實施/實現(xiàn)-參與角色和職責主管部門：審批下屬單位制定的文件運營、使用單位：按照等級保護的管理規(guī)范和技術標準，進行信息系統(tǒng)的安全建設。

安全服務商：根據(jù)信息系統(tǒng)運營、使用單位的委托，協(xié)助信息系統(tǒng)運營、使用單位完成信息系統(tǒng)安全建設施工。

安全產(chǎn)品供應商：按照等級保護的管理規(guī)范和技術標準，開發(fā)符合安全等級保護要求的安全產(chǎn)品

安全測評機構：按照等級保護的管理規(guī)范和技術標準，對已經(jīng)完成安全等級保護建設的信息系統(tǒng)進行檢查評估；對安全產(chǎn)品供應商提供的安全產(chǎn)品進行檢查評估。

12/10/2022164安全實施/實現(xiàn)-參與角色和職責主管部門：審批下屬單位制定的文安全實施/實現(xiàn)階段-實施流程主要輸入主要輸出階段主要活動安全詳細方案設計安全總體方案書系統(tǒng)安全建設方案安全產(chǎn)品技術白皮書安全詳細設計方案安全技術實施安全測評報告等級化安全測評安全詳細設計方案系統(tǒng)定級建議書系統(tǒng)驗收報告系統(tǒng)驗收報告安全管理實施安全詳細設計方案角色與職責說明書管理制度/操作規(guī)范12/10/2022165安全實施/實現(xiàn)階段-實施流程主要輸入主要輸出階段主要活動安全階段主要活動-

1.安全詳細方案設計活動目標依據(jù)信息系統(tǒng)安全建設方案，提出