全國(guó)網(wǎng)信系統(tǒng)網(wǎng)絡(luò)安全協(xié)調(diào)指揮技術(shù)系統(tǒng)建設(shè)指南-2

全國(guó)網(wǎng)信系統(tǒng)網(wǎng)絡(luò)安全協(xié)調(diào)指揮技術(shù)系統(tǒng)建設(shè)指南1范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的過(guò)程，適用于指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施。2規(guī)范性引用文件下列文件中的條款通過(guò)在本標(biāo)準(zhǔn)中的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T5271.8信息技術(shù)詞匯第8部分：安全GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/TAAAA-AAAA信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南3術(shù)語(yǔ)和定義GB/T5271.8和GB17859-1999確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。3.1等級(jí)測(cè)評(píng)classifiedsecuritytestingandevaluation確定信息系統(tǒng)安全保護(hù)能力是否達(dá)到相應(yīng)等級(jí)基本要求的過(guò)程。4等級(jí)保護(hù)實(shí)施概述4.1基本原則信息系統(tǒng)安全等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過(guò)程中應(yīng)遵循以下基本原則：a)自主保護(hù)原則信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門(mén)按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，自行組織實(shí)施安全保護(hù)。b)重點(diǎn)保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。c)同步建設(shè)原則信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。d)動(dòng)態(tài)調(diào)整原則要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級(jí)，根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。4.2角色和職責(zé)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過(guò)程中涉及的各類角色和職責(zé)如下：a)國(guó)家管理部門(mén)公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)；國(guó)家保密工作部門(mén)負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)；國(guó)家密碼管理部門(mén)負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)；涉及其他職能部門(mén)管轄范圍的事項(xiàng)，由有關(guān)職能部門(mén)依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理；國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門(mén)間協(xié)調(diào)。b)信息系統(tǒng)主管部門(mén)負(fù)責(zé)依照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，督促、檢查和指導(dǎo)本行業(yè)、本部門(mén)或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作。c)信息系統(tǒng)運(yùn)營(yíng)、使用單位負(fù)責(zé)依照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息系統(tǒng)的安全保護(hù)等級(jí)，有主管部門(mén)的，應(yīng)當(dāng)報(bào)其主管部門(mén)審核批準(zhǔn)；根據(jù)已經(jīng)確定的安全保護(hù)等級(jí)，到公安機(jī)關(guān)辦理備案手續(xù)；按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進(jìn)行信息系統(tǒng)安全保護(hù)的規(guī)劃設(shè)計(jì)；使用符合國(guó)家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品和信息安全產(chǎn)品，開(kāi)展信息系統(tǒng)安全建設(shè)或者改建工作；制定、落實(shí)各項(xiàng)安全管理制度，定期對(duì)信息系統(tǒng)的安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查，選擇符合國(guó)家相關(guān)規(guī)定的等級(jí)測(cè)評(píng)機(jī)構(gòu)，定期進(jìn)行等級(jí)測(cè)評(píng)；制定不同等級(jí)信息安全事件的響應(yīng)、處置預(yù)案，對(duì)信息系統(tǒng)的信息安全事件分等級(jí)進(jìn)行應(yīng)急處置。d)信息安全服務(wù)機(jī)構(gòu)負(fù)責(zé)根據(jù)信息系統(tǒng)運(yùn)營(yíng)、使用單位的委托，依照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位完成等級(jí)保護(hù)的相關(guān)工作，包括確定其信息系統(tǒng)的安全保護(hù)等級(jí)、進(jìn)行安全需求分析、安全總體規(guī)劃、實(shí)施安全建設(shè)和安全改造等。e)信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)負(fù)責(zé)根據(jù)信息系統(tǒng)運(yùn)營(yíng)、使用單位的委托或根據(jù)國(guó)家管理部門(mén)的授權(quán)，協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位或國(guó)家管理部門(mén)，按照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)；對(duì)信息安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行安全測(cè)評(píng)。f)信息安全產(chǎn)品供應(yīng)商負(fù)責(zé)按照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開(kāi)發(fā)符合等級(jí)保護(hù)相關(guān)要求的信息安全產(chǎn)品，接受安全測(cè)評(píng)；按照等級(jí)保護(hù)相關(guān)要求銷(xiāo)售信息安全產(chǎn)品并提供相關(guān)服務(wù)。4.3實(shí)施的基本流程在安全運(yùn)行與維護(hù)階段，信息系統(tǒng)因需求變化等原因?qū)е戮植空{(diào)整，而系統(tǒng)的安全保護(hù)等級(jí)并未改變，應(yīng)從安全運(yùn)行與維護(hù)階段進(jìn)入安全設(shè)計(jì)與實(shí)施階段，重新設(shè)計(jì)、調(diào)整和實(shí)施安全措施，確保滿足等級(jí)保護(hù)的要求；但信息系統(tǒng)發(fā)生重大變更導(dǎo)致系統(tǒng)安全保護(hù)等級(jí)變化時(shí)，應(yīng)從安全運(yùn)行與維護(hù)階段進(jìn)入信息系統(tǒng)定級(jí)階段，重新開(kāi)始一輪信息安全等級(jí)保護(hù)的實(shí)施過(guò)程。5信息系統(tǒng)定級(jí)5.1信息系定級(jí)階段的工作流程信息系統(tǒng)定級(jí)階段的目標(biāo)是信息系統(tǒng)運(yùn)營(yíng)、使用單位按照國(guó)家有關(guān)管理規(guī)范和GB/TAAAA-AAAA，確定信息系統(tǒng)的安全保護(hù)等級(jí)，信息系統(tǒng)運(yùn)營(yíng)、使用單位有主管部門(mén)的，應(yīng)當(dāng)經(jīng)主管部門(mén)審核批準(zhǔn)。5.2信息系統(tǒng)分析5.2.1系統(tǒng)識(shí)別和描述活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是通過(guò)從信息系統(tǒng)運(yùn)營(yíng)、使用單位相關(guān)人員處收集有關(guān)信息系統(tǒng)的信息，并對(duì)信息進(jìn)行綜合分析和整理，依據(jù)分析和整理的內(nèi)容形成組織機(jī)構(gòu)內(nèi)信息系統(tǒng)的總體描述性文檔。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)的立項(xiàng)、建設(shè)和管理文檔?；顒?dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a)識(shí)別信息系統(tǒng)的基本信息調(diào)查了解信息系統(tǒng)的行業(yè)特征、主管機(jī)構(gòu)、業(yè)務(wù)范圍、地理位置以及信息系統(tǒng)基本情況，獲得信息系統(tǒng)的背景信息和聯(lián)絡(luò)方式。b)識(shí)別信息系統(tǒng)的管理框架了解信息系統(tǒng)的組織管理結(jié)構(gòu)、管理策略、部門(mén)設(shè)置和部門(mén)在業(yè)務(wù)運(yùn)行中的作用、崗位職責(zé)，獲得支持信息系統(tǒng)業(yè)務(wù)運(yùn)營(yíng)的管理特征和管理框架方面的信息，從而明確信息系統(tǒng)的安全責(zé)任主體。c)識(shí)別信息系統(tǒng)的網(wǎng)絡(luò)及設(shè)備部署了解信息系統(tǒng)的物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和硬件設(shè)備的部署情況，在此基礎(chǔ)上明確信息系統(tǒng)的邊界，即確定定級(jí)對(duì)象及其范圍。d)識(shí)別信息系統(tǒng)的業(yè)務(wù)種類和特性了解機(jī)構(gòu)內(nèi)主要依靠信息系統(tǒng)處理的業(yè)務(wù)種類和數(shù)量，這些業(yè)務(wù)各自的社會(huì)屬性、業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程等，從中明確支持機(jī)構(gòu)業(yè)務(wù)運(yùn)營(yíng)的信息系統(tǒng)的業(yè)務(wù)特性，將承載比較單一的業(yè)務(wù)應(yīng)用或者承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用的信息系統(tǒng)作為單獨(dú)的定級(jí)對(duì)象。e)識(shí)別業(yè)務(wù)系統(tǒng)處理的信息資產(chǎn)了解業(yè)務(wù)系統(tǒng)處理的信息資產(chǎn)的類型，這些信息資產(chǎn)在保密性、完整性和可用性等方面的重要性程度。f)識(shí)別用戶范圍和用戶類型根據(jù)用戶或用戶群的分布范圍了解業(yè)務(wù)系統(tǒng)的服務(wù)范圍、作用以及業(yè)務(wù)連續(xù)性方面的要求等。g)信息系統(tǒng)描述對(duì)收集的信息進(jìn)行整理、分析，形成對(duì)信息系統(tǒng)的總體描述文件。一個(gè)典型的信息系統(tǒng)的總體描述文件應(yīng)包含以下內(nèi)容：1)系統(tǒng)概述；2)系統(tǒng)邊界描述；3)網(wǎng)絡(luò)拓?fù)洌?)設(shè)備部署；5)支撐的業(yè)務(wù)應(yīng)用的種類和特性；6)處理的信息資產(chǎn)；7)用戶的范圍和用戶類型；8)信息系統(tǒng)的管理框架?；顒?dòng)輸出：信息系統(tǒng)總體描述文件。5.2.2信息系統(tǒng)劃分活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是依據(jù)信息系統(tǒng)的總體描述文件，在綜合分析的基礎(chǔ)上將組織機(jī)構(gòu)內(nèi)運(yùn)行的信息系統(tǒng)進(jìn)行合理分解，確定所包含可以作為定級(jí)對(duì)象的信息系統(tǒng)的個(gè)數(shù)。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)總體描述文件。活動(dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a)劃分方法的選擇一個(gè)組織機(jī)構(gòu)可能運(yùn)行一個(gè)大型信息系統(tǒng)，為了突出重點(diǎn)保護(hù)的等級(jí)保護(hù)原則，應(yīng)對(duì)大型信息系統(tǒng)進(jìn)行劃分，進(jìn)行信息系統(tǒng)劃分的方法可以有多種，可以考慮管理機(jī)構(gòu)、業(yè)務(wù)類型、物理位置等因素，信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)該根據(jù)本單位的具體情況確定一個(gè)系統(tǒng)的分解原則。b)信息系統(tǒng)劃分依據(jù)選擇的系統(tǒng)劃分原則，將一個(gè)組織機(jī)構(gòu)內(nèi)擁有的大型信息系統(tǒng)進(jìn)行劃分，劃分出相對(duì)獨(dú)立的信息系統(tǒng)并作為定級(jí)對(duì)象，應(yīng)保證每個(gè)相對(duì)獨(dú)立的信息系統(tǒng)具備定級(jí)對(duì)象的基本特征。在信息系統(tǒng)劃分的過(guò)程中，應(yīng)該首先考慮組織管理的要素，然后考慮業(yè)務(wù)類型、物理區(qū)域等要素。c)信息系統(tǒng)詳細(xì)描述在對(duì)信息系統(tǒng)進(jìn)行劃分并確定定級(jí)對(duì)象后，應(yīng)在信息系統(tǒng)總體描述文件的基礎(chǔ)上，進(jìn)一步增加信息系統(tǒng)劃分信息的描述，準(zhǔn)確描述一個(gè)大型信息系統(tǒng)中包括的定級(jí)對(duì)象的個(gè)數(shù)。進(jìn)一步的信息系統(tǒng)詳細(xì)描述文件應(yīng)包含以下內(nèi)容：1)相對(duì)獨(dú)立信息系統(tǒng)列表；2）每個(gè)定級(jí)對(duì)象的概述；3)每個(gè)定級(jí)對(duì)象的邊界；4)每個(gè)定級(jí)對(duì)象的設(shè)備部署；5)每個(gè)定級(jí)對(duì)象支撐的業(yè)務(wù)應(yīng)用及其處理的信息資產(chǎn)類型；6)每個(gè)定級(jí)對(duì)象的服務(wù)范圍和用戶類型；7)其他內(nèi)容?；顒?dòng)輸出：信息系統(tǒng)詳細(xì)描述文件。5.3安全保護(hù)等級(jí)確定5.3.1定級(jí)、審核和批準(zhǔn)活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是按照國(guó)家有關(guān)管理規(guī)范和GB/TAAAA-AAAA，確定信息系統(tǒng)的安全保護(hù)等級(jí)，并對(duì)定級(jí)結(jié)果進(jìn)行審核和批準(zhǔn)，保證定級(jí)結(jié)果的準(zhǔn)確性。參與角色：信息系統(tǒng)主管部門(mén)，信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)總體描述文件，信息系統(tǒng)詳細(xì)描述文件?；顒?dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a)信息系統(tǒng)安全保護(hù)等級(jí)初步確定根據(jù)國(guó)家有關(guān)管理規(guī)范和GB/TAAAA-AAAA確定的定級(jí)方法，信息系統(tǒng)運(yùn)營(yíng)、使用單位對(duì)每個(gè)定級(jí)對(duì)象確定初步的安全保護(hù)等級(jí)。b)定級(jí)結(jié)果審核和批準(zhǔn)信息系統(tǒng)運(yùn)營(yíng)、使用單位初步確定了安全保護(hù)等級(jí)后，有主管部門(mén)的，應(yīng)當(dāng)經(jīng)主管部門(mén)審核批準(zhǔn)。跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)使用單位或者主管部門(mén)應(yīng)當(dāng)邀請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。活動(dòng)輸出：信息系統(tǒng)定級(jí)評(píng)審意見(jiàn)。5.3.2形成定級(jí)報(bào)告活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是對(duì)定級(jí)過(guò)程中產(chǎn)生的文檔進(jìn)行整理，形成信息系統(tǒng)定級(jí)結(jié)果報(bào)告。參與角色：信息系統(tǒng)主管部門(mén)，信息系統(tǒng)運(yùn)營(yíng)、使用單位?；顒?dòng)輸入：信息系統(tǒng)總體描述文件，信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)定級(jí)結(jié)果?；顒?dòng)描述：對(duì)信息系統(tǒng)的總體描述文檔、信息系統(tǒng)的詳細(xì)描述文件、信息系統(tǒng)安全保護(hù)等級(jí)確定結(jié)果等內(nèi)容進(jìn)行整理，形成文件化的信息系統(tǒng)定級(jí)結(jié)果報(bào)告。信息系統(tǒng)定級(jí)結(jié)果報(bào)告可以包含以下內(nèi)容：a)單位信息化現(xiàn)狀概述；b)管理模式；c)信息系統(tǒng)列表；d)每個(gè)信息系統(tǒng)的概述；e)每個(gè)信息系統(tǒng)的邊界；f)每個(gè)信息系統(tǒng)的設(shè)備部署；g)每個(gè)信息系統(tǒng)支撐的業(yè)務(wù)應(yīng)用；h)信息系統(tǒng)列表、安全保護(hù)等級(jí)以及保護(hù)要求組合；i)其他內(nèi)容?；顒?dòng)輸出：信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告。6總體安全規(guī)劃6.1總體安全規(guī)劃階段的工作流程總體安全規(guī)劃階段的目標(biāo)是根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級(jí)情況、信息系統(tǒng)承載業(yè)務(wù)情況，通過(guò)分析明確信息系統(tǒng)安全需求，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施計(jì)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。對(duì)于已運(yùn)營(yíng)（運(yùn)行）的信息系統(tǒng)，需求分析應(yīng)當(dāng)首先分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與等級(jí)保護(hù)要求之間的差距。6.2安全需求分析6.2.1基本安全需求的確定活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是根據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)，判斷信息系統(tǒng)現(xiàn)有的安全保護(hù)水平與國(guó)家等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)之間的差距，提出信息系統(tǒng)的基本安全保護(hù)需求。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)，信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，信息系統(tǒng)相關(guān)的其它文檔，信息系統(tǒng)安全等級(jí)保護(hù)基本要求。活動(dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a)確定系統(tǒng)范圍和分析對(duì)象明確不同等級(jí)信息系統(tǒng)的范圍和邊界，通過(guò)調(diào)查或查閱資料的方式，了解信息系統(tǒng)的構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息、安全措施狀況等。初步確定每個(gè)等級(jí)信息系統(tǒng)的分析對(duì)象，包括整體對(duì)象，如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等，也包括具體對(duì)象，如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等。b)形成評(píng)價(jià)指標(biāo)和評(píng)估方案根據(jù)各個(gè)信息系統(tǒng)的安全保護(hù)等級(jí)從信息系統(tǒng)安全等級(jí)保護(hù)基本要求中選擇相應(yīng)等級(jí)的指標(biāo)，形成評(píng)價(jià)指標(biāo)。根據(jù)評(píng)價(jià)指標(biāo)，結(jié)合確定的具體對(duì)象制定可以操作的評(píng)估方案，評(píng)估方案可以包含以下內(nèi)容：1)管理狀況評(píng)估表格；2)網(wǎng)絡(luò)狀況評(píng)估表格；3)網(wǎng)絡(luò)設(shè)備（含安全設(shè)備）評(píng)估表格；4)主機(jī)設(shè)備評(píng)估表格；5)主要設(shè)備安全測(cè)試方案；6)重要操作的作業(yè)指導(dǎo)書(shū)。c)現(xiàn)狀與評(píng)價(jià)指標(biāo)對(duì)比通過(guò)觀察現(xiàn)場(chǎng)、詢問(wèn)人員、查詢資料、檢查記錄、檢查配置、技術(shù)測(cè)試、滲透攻擊等方式進(jìn)行安全技術(shù)和安全管理方面的評(píng)估，判斷安全技術(shù)和安全管理的各個(gè)方面與評(píng)價(jià)指標(biāo)的符合程度，給出判斷結(jié)論。整理和分析不符合的評(píng)價(jià)指標(biāo)，確定信息系統(tǒng)安全保護(hù)的基本需求。活動(dòng)輸出：基本安全需求。6.2.2額外特殊安全需求的確定活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是通過(guò)對(duì)信息系統(tǒng)重要資產(chǎn)特殊保護(hù)要求的分析，確定超出相應(yīng)等級(jí)保護(hù)基本要求的部分或具有特殊安全保護(hù)要求的部分，采用需求分析/風(fēng)險(xiǎn)分析的方法，確定可能的安全風(fēng)險(xiǎn)，判斷對(duì)超出等級(jí)保護(hù)基本要求部分實(shí)施特殊安全措施的必要性，提出信息系統(tǒng)的特殊安全保護(hù)需求。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，信息系統(tǒng)相關(guān)的其它文檔?；顒?dòng)描述：確定特殊安全需求可以采用目前成熟或流行的需求分析/風(fēng)險(xiǎn)分析方法，或者采用下面介紹的活動(dòng)：a)重要資產(chǎn)的分析明確信息系統(tǒng)中的重要部件，如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、核心網(wǎng)絡(luò)設(shè)備、重要服務(wù)器設(shè)備、重要應(yīng)用系統(tǒng)等。b)重要資產(chǎn)安全弱點(diǎn)評(píng)估檢查或判斷上述重要部件可能存在的弱點(diǎn)，包括技術(shù)上和管理上的；分析安全弱點(diǎn)被利用的可能性。c)重要資產(chǎn)面臨威脅評(píng)估分析和判斷上述重要部件可能面臨的威脅，包括外部的威脅和內(nèi)部的威脅，威脅發(fā)生的可能性或概率。d)綜合風(fēng)險(xiǎn)分析分析威脅利用弱點(diǎn)可能產(chǎn)生的結(jié)果，結(jié)果產(chǎn)生的可能性或概率，結(jié)果造成的損害或影響的大小，以及避免上述結(jié)果產(chǎn)生的可能性、必要性和經(jīng)濟(jì)性。按照重要資產(chǎn)的排序和風(fēng)險(xiǎn)的排序確定安全保護(hù)的要求?；顒?dòng)輸出：重要資產(chǎn)的特殊保護(hù)要求。6.2.3形成安全需求分析報(bào)告活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是總結(jié)基本安全需求和特殊安全需求，形成安全需求分析報(bào)告。參與角色：信息系統(tǒng)運(yùn)營(yíng)，使用單位，信息安全服務(wù)機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，基本安全需求，重要資產(chǎn)的特殊保護(hù)要求?；顒?dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a)完成安全需求分析報(bào)告根據(jù)基本安全需求和特殊的安全保護(hù)需求等形成安全需求分析報(bào)告。安全需求分析報(bào)告可以包含以下內(nèi)容：1)信息系統(tǒng)描述；2)安全管理狀況；3)安全技術(shù)狀況；4)存在的不足和可能的風(fēng)險(xiǎn)；5)安全需求描述。活動(dòng)輸出：安全需求分析報(bào)告。6.3總體安全設(shè)計(jì)6.3.1總體安全策略設(shè)計(jì)活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是形成機(jī)構(gòu)綱領(lǐng)性的安全策略文件，包括確定安全方針，制定安全策略，以便結(jié)合等級(jí)保護(hù)基本要求和安全保護(hù)特殊要求，構(gòu)建機(jī)構(gòu)信息系統(tǒng)的安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)。活動(dòng)輸入：信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，安全需求分析報(bào)告?；顒?dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a)確定安全方針形成機(jī)構(gòu)最高層次的安全方針文件，闡明安全工作的使命和意愿，定義信息安全的總體目標(biāo)，規(guī)定信息安全責(zé)任機(jī)構(gòu)和職責(zé)，建立安全工作運(yùn)行模式等。b)制定安全策略形成機(jī)構(gòu)高層次的安全策略文件，說(shuō)明安全工作的主要策略，包括安全組織機(jī)構(gòu)劃分策略、業(yè)務(wù)系統(tǒng)分級(jí)策略、數(shù)據(jù)信息分級(jí)策略、子系統(tǒng)互連策略、信息流控制策略等?；顒?dòng)輸出：總體安全策略文件。6.3.2安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求、安全需求分析報(bào)告、機(jī)構(gòu)總體安全策略文件等，提出系統(tǒng)需要實(shí)現(xiàn)的安全技術(shù)措施，形成機(jī)構(gòu)特定的系統(tǒng)安全技術(shù)體系結(jié)構(gòu)，用以指導(dǎo)信息系統(tǒng)分等級(jí)保護(hù)的具體實(shí)現(xiàn)。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，安全需求分析報(bào)告，信息系統(tǒng)安全等級(jí)保護(hù)基本要求。活動(dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a)規(guī)定骨干網(wǎng)/城域網(wǎng)的安全保護(hù)技術(shù)措施根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求和安全需求，提出骨干網(wǎng)/城域網(wǎng)的安全保護(hù)策略和安全技術(shù)措施。骨干網(wǎng)/城域網(wǎng)的安全保護(hù)策略和安全技術(shù)措施提出時(shí)應(yīng)考慮網(wǎng)絡(luò)線路和網(wǎng)絡(luò)設(shè)備共享的情況，如果不同級(jí)別的子系統(tǒng)通過(guò)骨干網(wǎng)/城域網(wǎng)的同一線路和設(shè)備傳輸數(shù)據(jù)，線路和設(shè)備的安全保護(hù)策略和安全技術(shù)措施應(yīng)滿足最高級(jí)別子系統(tǒng)的等級(jí)保護(hù)基本要求。b)規(guī)定子系統(tǒng)之間互聯(lián)的安全技術(shù)措施根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求和安全需求，提出跨局域網(wǎng)互聯(lián)的子系統(tǒng)之間的信息傳輸保護(hù)策略要求和具體的安全技術(shù)措施，包括同級(jí)互聯(lián)的策略、不同級(jí)別互聯(lián)的策略等；提出局域網(wǎng)內(nèi)部互聯(lián)的子系統(tǒng)之間的信息傳輸保護(hù)策略要求和具體的安全技術(shù)措施，包括同級(jí)互聯(lián)的策略、不同級(jí)別互聯(lián)的策略等。c)規(guī)定不同級(jí)別子系統(tǒng)的邊界保護(hù)技術(shù)措施根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求和安全需求，提出不同級(jí)別子系統(tǒng)邊界的安全保護(hù)策略和安全技術(shù)措施。子系統(tǒng)邊界安全保護(hù)策略和安全技術(shù)措施提出時(shí)應(yīng)考慮邊界設(shè)備共享的情況，如果不同級(jí)別的子系統(tǒng)通過(guò)同一設(shè)備進(jìn)行邊界保護(hù)，這個(gè)邊界設(shè)備的安全保護(hù)策略和安全技術(shù)措施應(yīng)滿足最高級(jí)別子系統(tǒng)的等級(jí)保護(hù)基本要求。d)規(guī)定不同級(jí)別子系統(tǒng)內(nèi)部系統(tǒng)平臺(tái)和業(yè)務(wù)應(yīng)用的安全保護(hù)技術(shù)措施根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求和安全需求，提出不同級(jí)別子系統(tǒng)內(nèi)部網(wǎng)絡(luò)平臺(tái)、系統(tǒng)平臺(tái)和業(yè)務(wù)應(yīng)用的安全保護(hù)策略和安全技術(shù)措施。e)規(guī)定不同級(jí)別信息系統(tǒng)機(jī)房的安全保護(hù)技術(shù)措施根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求和安全需求，提出不同級(jí)別信息系統(tǒng)機(jī)房的安全保護(hù)策略和安全技術(shù)措施。信息系統(tǒng)機(jī)房安全保護(hù)策略和安全技術(shù)措施提出時(shí)應(yīng)考慮不同級(jí)別的信息系統(tǒng)共享機(jī)房的情況