ISO27001簡介培訓課件

第二章信息安全管理體系第

2

頁目錄Contents

Page01

信息安全管理體系概述02

BS

7799信息安全管理體系03

ISO

27000信息安全管理體系04

基于等級保護的信息安全管理體系05

信息安全管理體系的建立與認證本章主要內(nèi)容包括以下內(nèi)容。1.

信息安全管理體系

(Information

Security

Management

SystemISMS)

是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標，以及完成這

些目標所用的方法和手段所構(gòu)成的體系。信息安全管理體系的建立同樣需要采

用過程的方法，因此開發(fā)、實施和改進一個組織的ISMS

的有效性同樣可參照

PDCA

模型。2.BS

7799與ISO

27000系列標準，作為信息安全管理領(lǐng)域的權(quán)威標準，是

全球業(yè)界一致公認的輔助信息安全治理的手段。其基本內(nèi)容包括信息安全政

策、信息安全組織、信息資產(chǎn)分類與管理、人員信息安全、物理和環(huán)境安全、通信和運營管理、訪問控制、信息系統(tǒng)的開發(fā)與維護、業(yè)務(wù)持續(xù)性管理、信息安全事件管理和符合性管理11個方面。3.

信息安全等級保護，是指根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟安全、社會穩(wěn)定和保護公共利益等方面的重要程度，結(jié)合系統(tǒng)面臨的風險、應(yīng)對風險的安全保護要求和成本開銷等因素，將其劃分成不同的安全保護等級，采取相應(yīng)的安全

保護措施，以保障信息和信息系統(tǒng)的安全。可以按照信息安全等級保護的思想

建立信息安全管理體系。4.

信息安全管理體系建立與認證，不同的組織在建立與完善信息安全管理體系時，可根據(jù)自己的特點和具體情況采取不同的步驟和方法；信息安全管理體系第三方認證為信息安全體系提供客觀公正的評價，具有更大的可信性，并且

能夠使用證書向利益相關(guān)的組織提供保證。本章重點：信息安全管理體系的內(nèi)涵和實施模型、典型信息安全管理體系、

信息安全管理體系的建立與認證。本章難點：

信息安全管理體系的內(nèi)涵、信息安全管理體系的建立與認證。2.1

信息安全管理體系概述2.1.1

信息安全管理體系的內(nèi)涵信息安全管理體系是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標，

以及完成這些目標所用的方法和手段所構(gòu)成的體系。信息安全管理體系是信息

安全管理活動的直接結(jié)果，表示為方針、原則、目標、方法、計劃、活動、程

序、過程和資源的集合。1.ISMS

的范圍ISMS的范圍可以根據(jù)整個組織或者組織的一部分進行定義，包括相關(guān)資

產(chǎn)、系統(tǒng)、

應(yīng)用、服務(wù)、網(wǎng)絡(luò)和應(yīng)用過程中的技術(shù)、存儲以及通信的信息等，

ISMS

的范圍可以包括如下內(nèi)容?！?/p>

組織所有的信息系統(tǒng)如下內(nèi)容?！?/p>

組織的部分信息系統(tǒng)如下內(nèi)容?！?/p>

特定的信息系統(tǒng)。2.ISMS

的特點信息安全管理管理體系是一個系統(tǒng)化、程序化和文件化的管理體系，應(yīng)具

有以下特點?！?/p>

體系的建立基于系統(tǒng)、全面、科學的安全風險評估，體現(xiàn)以預防控制為主的

思想?！?/p>

強調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其他合同方要求?！?/p>

強調(diào)全過程和動態(tài)控制，本著控制費用與風險平衡的原則合理選擇安全控制

方式。●

強調(diào)保護組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的

機密性、完整性和可用性，保持組織的競爭優(yōu)勢和業(yè)務(wù)運作的持續(xù)性。3.

建立ISMS的步驟不同的組織在建立與完善信息安全管理體系時，可根據(jù)自己的特點和具體

的情況，采取不同的步驟和方法。但總體來說，建立信息安全管理體系一般要

經(jīng)過下列五個基本步驟。◆

信息安全管理體系的策劃與準備。◆

信息安全管理體系文件的編制。◆

建立信息安全管理框架?！?/p>

信息安全管理體系的運行。信息安全管理體系的審核與評審。4

.

ISMS的作用組織建立、實施與保持信息安全管理體系將會產(chǎn)生如下作用。強化員工的信息安全意識，規(guī)范組織信息安全行為。促使管理層貫徹信息安全保障體系。對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢。在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度。使組織的生意伙伴和客戶對組織充滿信心。如果通過體系認證，表明體系符合標準，證明組織有能力保障重要信

息，可以提高組織的知名度與信任度。2.1.2

PDCA循環(huán)1.PDCA

循環(huán)簡介PDCA

循環(huán)的概念最早是由美國質(zhì)量管理專家戴明提出來的，所以又稱為“戴明環(huán)”,在

質(zhì)量管理中應(yīng)用廣泛。

PDCA

的含義如下?！?/p>

P(Plan)—

計劃，確定方針和目標，確定活動計劃。◆

D(Do)

一實施，采取實際措施，實現(xiàn)計劃中的內(nèi)容?！?/p>

C(Check)

一檢查，檢查并總結(jié)執(zhí)行計劃的結(jié)果，評價效果，找出問題?！?/p>

A(Action)

一行動，對檢查總結(jié)的結(jié)果進行處理，成功的經(jīng)驗加以肯定并適當推廣、標

準化；失敗的教訓加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個PDCA

循環(huán)。PDCA

循環(huán)的四個階段的具體任務(wù)和內(nèi)容如下。(1

)計劃階段：制定具體工作計劃，提出總的目標。具體來講又分為以下4個步驟?！?/p>

分析目前現(xiàn)狀，找出存在的問題?！?/p>

分析產(chǎn)生問題的各種原因以及影響因素。●

分析并找出管理中的主要問題?！?/p>

制定管理計劃，確定管理要點。(2)實施階段：按照制定的方案去執(zhí)行。(3)檢查階段：檢查實施計劃的結(jié)果。(4)行動階段：根據(jù)調(diào)查效果進行處理。2.

信息安全管理體系的PDCA

過

程PDCA

循環(huán)實際上是有效進行任何一項工作的合乎邏輯的工作程序。在質(zhì)

量管理中，

PDCA

循環(huán)得到了廣泛的應(yīng)用，并取得了很好的效果，因此有人稱

PDCA

循環(huán)是質(zhì)量管理的基本方法。實際上建立和實施信息安全管理體系ISMS

和其他管理體系一樣(如質(zhì)量

管理體系),需要采用過程的方法開發(fā)、實施和改進信息安全管理體系的有效

性。

ISMS

的PDCA

過程如圖2.1所示。A

PC

DPD圖2.1

持續(xù)改進的PDCA過程AC四、行動階段主要任務(wù)是對信息安全管理體系進行

評價，并以檢查階段采集的不符合項

信息為基礎(chǔ)，經(jīng)常對信息安全管理體

系進行調(diào)整與改進。一、計劃階段主要任務(wù)是根據(jù)風險評估、法律法規(guī)

要求、組織業(yè)務(wù)運營自身要求來確定

控制目標與控制方式。二、實施階段主要任務(wù)是實施組織所選擇的控制目

標與控制措施。主要包括保證資源、提供培訓、提高安全意識和風險治理。三、

檢查階段主要任務(wù)是進行有關(guān)方針、程序、標

準與法律法規(guī)的符合性檢查，對存在

的問題采取措施，予以改進。3.PDCA

過程的持續(xù)性信息安全管理體系的實施、維護是一個持續(xù)改進的過程。

由圖2.1可以發(fā)

現(xiàn)

，PDCA

循環(huán)可以形象地說明系統(tǒng)的改進活動是周而復始的不斷循環(huán)的過程。

之所以將其稱之為PDCA

循環(huán)，是因為這四個過程不是運行一次就完結(jié)，而是

要周而復始地進行。

PDCA

循環(huán)是螺旋式上升和發(fā)展的，每循環(huán)一次要求提高一步。每一次循環(huán)都包括計劃

(Plan)、

實

施(Do)、

檢查(Check)

和行

動

(Action)

四個階段。每完成一個循環(huán)，ISMS

的有效性就上一個臺階。組織通過持續(xù)地進行PDCA

過程，能夠使自身的信息安全水平得到不斷的提高。2.2

BS

7799信息安全管理體系2.2.1

BS7799的目的與模式1.BS

7799的目的BS

7799的目的是"為信息安全管理提供建議，供那些在其機構(gòu)中負有

安全責任的人使用，它旨在為一個機構(gòu)提供用來制定安全標準、實施有效安

全管理的通用要素，并使跨機構(gòu)的交易得到互信”。作為一個通用的信息安

全管理指南，BS7799

的目的并不涉及有關(guān)“怎么做”的細節(jié)，它所闡述的

主題是安全方針策略和優(yōu)秀的、具有普遍意義的安全操作。該標準特別聲明，它是“制訂一個機構(gòu)自己的標準時的出發(fā)點”。信息安全管理體系標準BS

7799可有效保護信息資源，保護信息化進程

健康、有序、可持續(xù)發(fā)展。

BS

7799是信息安全領(lǐng)域的管理體系標準，類似

于質(zhì)量管理體系認證的ISO

9000標準。當組織通過了BS

7799的認證，就相

當于通過ISO9000

的質(zhì)量認證一般，表示組織信息安全管理已建立了一套科

學有效的管理體系作為保障。2.

實施BS

7799的程序與模式BS7799

標準由英國貿(mào)易工業(yè)部制訂出版，是國際上具有代表性的信息安

全管理體系。

BS7799

標準具體分為兩個部分：

BS7

799-

1:

《信息安全管理實

施規(guī)則》和BS7799-2:

《信息安全管理體系規(guī)范》。BS7799-1:提供了一套綜合的、由信息

安全最佳慣例組成的實施規(guī)則，

可以作為大型、中型及小型組織

確定信息安全所需的控制范圍的

參考基準BS7799-2:詳細說明了建立、實施和維

護信息安全管理體系的要求，是

組織全面或部分信息安全管理系

統(tǒng)評估的基礎(chǔ)在BS7799

中ISMS

可能涉及以下內(nèi)容?！?/p>

組織的整個信息系統(tǒng)?！?/p>

信息系統(tǒng)的某些部分?！?/p>

一個特定的信息系統(tǒng)。組織在實施BS7799

時，可以根據(jù)需求和實際情況，采用以下四種模式。按照BS

7799標準的要求，自我建立和實施組織的安全管理體系，以達到保

證信息安全的目的。按照BS

7799標準的要求，自我建立和實施組織的安全管理體系，以達到保

證信息安全的目的，并且通過BS

7799體系認證。◆

通過安全咨詢顧問，來建立和實施組織的安全管理體系，以達到保證信息安

全的目的?！?/p>

通過安全咨詢顧問，來建立和實施組織的安全管理體系，以達到保證信息安

全的目的，并且通過BS

7799體系認證。2.2.2

BS

7799標準規(guī)范的內(nèi)容實施信息安全管理體系標準的目的是保證組織的信息安全，即信息資料

的機密性、完整性和可用性等，并保證業(yè)務(wù)的正常運營。依據(jù)BS

7799,建立和實施信息安全管理體系的方法是通過風險評估、風險管理引導切入企業(yè)

的信息安全要求。當然，在BS7799

標準中已規(guī)范了信息安全政策、信息安全組織、信息資產(chǎn)分類與管理、人員信息安全、物理和環(huán)境安全、通信和運營管理、訪問控制、信息系統(tǒng)的開發(fā)與維護、業(yè)務(wù)持續(xù)性管理、信息安全事件

管理和符合性等11個方面的安全管理內(nèi)容，具體包括134種安全控制指南供

組織選擇和使用。BS7799

標準具體又分為兩個部分，

BS

7799-1:

《信息安全管理實施規(guī)則》和BS7799-2:

《信息安全管理體系規(guī)范》。第一部分主要是給負責開發(fā)的人員作為參考文檔使用，從而在他們的機構(gòu)內(nèi)部實施和維護信息安全；第二部分詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施組織需要通過風險評估來鑒定最適宜

的控制對象，并根據(jù)自己的需求采取適當?shù)陌踩刂啤?1)BS

7799-1:《信息安全管理實施規(guī)則》BS

7799-1:《信息安全管理實施規(guī)則》作為國際信息安全指導標準

ISO/IEC17799

基礎(chǔ)的指導性文件，包括11大管理要項，134種控制方法。1.安全方針/策略(Security

Policy)2.安全組織(Security

Organization)3.資產(chǎn)分類與控制(Asset

Classification

and

Control)4.人員安全(Personnel

Security)5.物理與環(huán)境安全(Physicaland

Environmental

Security)6

.

通

信

與

運

營

管

理(

Comuiations

a

ndOperations

Management)8.系統(tǒng)開發(fā)與維護(Systems

Development

and

Maintenance7.訪問控制(Access

Control)9.信息安全事件管理(Information

Security

Incident

Management)10.業(yè)務(wù)持續(xù)性管理(Business

Continuity

Management)11.法律法規(guī)符合性(Compliance)標準目

的內(nèi)

容安全方針為信息安全提供管理方向和支持建立安全方針文檔安全組織建立組織內(nèi)的安全管理體系框架，以便

進行安全管理組織內(nèi)部信息安全責任；信息采集設(shè)施安全；可被第三方利用的信息資產(chǎn)的安全；外

部信息安全評審；外包合同安全資產(chǎn)分類與控制建立維護組織資產(chǎn)安全的保護系統(tǒng)的基

礎(chǔ)利用資產(chǎn)清單、分類處理、信息標簽等對信息資產(chǎn)進行保護人員安全減少人為造成的風險減少錯誤、偷竊、欺騙或資源誤用等人為風險；保密協(xié)議；安全教育培訓；安全事故與教訓總結(jié)；懲罰措施物理與環(huán)境安全防止對T服務(wù)的未經(jīng)許可的介入，防止

損害和干擾服務(wù)阻止對工作區(qū)與物理設(shè)備的非法進入；防止業(yè)務(wù)機密和信息非法的訪問、損壞、干擾;阻止資產(chǎn)的丟失、損壞或遭受危險；通過桌面與屏幕管理阻止信息的泄漏通信與運營安全保證通信和設(shè)備的正確操作及安全維護確保信息處理設(shè)備的正確和安全的操作；降低系統(tǒng)失效的風險；保護軟件和信息的完整性；維護信息處理和通信的完整性和可用性；確保針對網(wǎng)絡(luò)信息的安全措施和支持基礎(chǔ)結(jié)構(gòu)的保護；防止資產(chǎn)被損壞和業(yè)務(wù)活動被干擾中斷；防止組織間的交易信息遭受損壞、修改或誤用訪問控制控制對業(yè)務(wù)信息的訪問控制訪問信息；阻止非法訪問信息系統(tǒng)；確保網(wǎng)絡(luò)服務(wù)得到保護；阻止非法訪問計算

機；檢測非法行為；保證在使用移動計算機和遠程網(wǎng)絡(luò)設(shè)備時信息的安全系統(tǒng)開發(fā)與維護保證系統(tǒng)開發(fā)與維護的安全確保信息安全保護深入到操作系統(tǒng)中；阻止應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)的丟失、修改或誤用；確保信息的機密性、可靠性和完整性；確保T項目工程及其支持活動在安全的方

式下進行；維護應(yīng)用程序軟件和數(shù)據(jù)的安全信息安全事故管理保證信息安全事故的及時報告和處理確保與信息系統(tǒng)有關(guān)的信息安全事故和弱點能夠以某種方式傳達，以便及時采取糾正措施；確保采用一致和有效的方法對信息安全事故進行管理業(yè)務(wù)持續(xù)性管理防止業(yè)務(wù)活動中斷和滅難事故的影響防止業(yè)務(wù)活動的中斷；保護關(guān)鍵業(yè)務(wù)過程免受重大失誤或災難的影響符合性避免任何違反法律、法規(guī)、合同約定及其他安全要求的行為避免違背刑法、民法、條例；遵守契約責任以及各種安全要求；確保系統(tǒng)符合安全方針和標準；使系統(tǒng)審查過程的績效最大化，并將干擾因素降到最小(2)BS

7799-2:《信息安全管理體系規(guī)范》BS

7799-2:

《信息安全管理體系規(guī)范》詳細說明了建立、實施和維護信

息安全管理體系

(ISMS)

的要求，指出實施組織需要通過風險評估來鑒定最

適宜的控制對象，并根據(jù)自己的需求采取適當?shù)陌踩刂啤?.3

ISO

27000信息安全管理體系2.3.1

ISO

27000信息安全管理體系概述為了更好的指導、規(guī)范信息安全管理體系建設(shè)，國際標準化組織

(ISO)專門為信息安全管理體系標準預留了ISO/IEC

27000系列編號。到目前為止，正式發(fā)布的ISO/IEC27000

信息安全管理體系標準有10個，其中部分已經(jīng)轉(zhuǎn)化成我國的國家標準。全部標準基本可以分為以下四部分：第一部分：要求和支持性指南，包括ISO/IEC

27000到ISO/IEC

27005,

是信息安全管理體系的基礎(chǔ)和基本要求。第二部分：有關(guān)認證認可和審核的指南，包括ISO/IEC

27006到ISO/IEC

27008,面向認證機構(gòu)和審核人員?！舻谌糠郑好嫦?qū)ｉT行業(yè)的信息安全管理要求，如金融業(yè)、電信業(yè)，或者專門應(yīng)用于某個具體的

安全域，如數(shù)字證據(jù)、業(yè)務(wù)連續(xù)性方面?！舻谒牟糠郑河蒊SO技術(shù)委員會TC215

單獨制定的，應(yīng)用于醫(yī)療信息安全管理的標準ISO

27799,以及一些處于研究階段的成果。2.3.2

ISO

27000信息安全管理體系的主要標準及內(nèi)容(1)ISO/IEC

27001

《信息安全管理體系要求》于2005年發(fā)布第一版，2013年發(fā)布第二版，2008年等同轉(zhuǎn)化為中國國

家標準GB/T

22080-2008/ISO/IEC

27001:2005。是ISMS

的規(guī)范性標準，

來源于BS7799-2,

各類組織可以按照ISO

27001的要求建立自己的信息安

全管理體系，并通過認證。

ISO/IEC

27001也是ISO/IEC

27000

系列最核心

的兩個標準之一，著眼于組織的整體業(yè)務(wù)風險，通過對業(yè)務(wù)進行風險評估來

建立、實施、運行、監(jiān)視、評審、保持和改進其信息安全管理體系，確保其

信息資產(chǎn)的保密性、可用性和完整性，適用于所有類型的組織。(

2)ISO/IEC

27002

《信息安全管理實用規(guī)則》于2005年發(fā)布第一版，2013年發(fā)布第二版，2008年等同轉(zhuǎn)化為中國國家標

準GB/T

22081-2008/ISO/IEC

27002:2005

。ISO/IEC

27002

也是ISO/IEC27000系列最核心的兩個標準之一。來源于BS7799-1,2013

版從14個方面提出

35個控制目標和113個控制措施，這些控制目標和措施是信息安全管理的最佳實

踐。(

3)ISO/IEC

27003

《信息安全管理體系實施指南》于2010年發(fā)布，該標準適用于所有類型、所有規(guī)模和所有業(yè)務(wù)形式的組織，

為建立、實施、運行、監(jiān)視、評審、保持和改進符合ISO/IEC

27001的信息安

全管理體系提供實施指南。它給出了ISMS

實施的關(guān)鍵成功因素，按照PDCA的模型，明確了計劃、實施、檢查、糾正每個階段的活動內(nèi)容和詳細指南。2.4

基于等級保護的信息安全管理體系2.4.1

等級保護概述1.

等級保護的含義信息安全等級保護是指根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟安全、社會穩(wěn)定

和保護公共利益等方面的重要程度，結(jié)合系統(tǒng)面臨的風險、應(yīng)對風險的安全

保護要求和成本開銷等因素，將其劃分成不同的安全保護等級，采取相應(yīng)的安全保護措施，以保障信息和信息系統(tǒng)的安全。2.

等級保護的基本原則(1)信息安全等級保護基本原則一、重點保護原則重點保護關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，集中資源首先確保重點系

統(tǒng)安全。三、

分區(qū)域保護原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點和不同發(fā)展水平，通過劃分不同安全保護等級的區(qū)域，實現(xiàn)不同強度的安全保護。二、

誰主管誰負責、誰運營誰負責由各主管部門和運營單位依照國

家相關(guān)法規(guī)和標準，自主確定信息系統(tǒng)的安全等級并按照相關(guān)要求組織實施安全防護。四、

同步建設(shè)、動態(tài)調(diào)整原則信息系統(tǒng)在新建、改建時應(yīng)當同

步建設(shè)信息安全設(shè)施；當應(yīng)用類型、范圍變化引起保護等級變更

時，應(yīng)重新確立新的保護等級。3.

安全等級劃分遵到爆操信離召復安全

全

鹽

生

重

史

的

壹

程息系統(tǒng)必須要達到的基本的安全保護水平等因素，信息和信息系統(tǒng)的安全保護等級共分為以下五級。(1)第一級：自主保護級(2)第二級：指導保護級(3)第三級：監(jiān)督保護級(4)第四級：強制保護級(5)第五級：?？乇Ｗo級的合法權(quán)益的危害程度；針對信息的保密性、完整性和可用性等要求及信4.

技術(shù)要求和管理要求實現(xiàn)信息系統(tǒng)的安全等級保護將通過選用合適的安全措施或安全控制來

保證，依據(jù)實現(xiàn)方式的不同，信息系統(tǒng)等級保護的安全基本要求分為技術(shù)要

求和管理要求兩大類。技術(shù)類安全要求通常與信息系統(tǒng)提供的技術(shù)安全機制有關(guān)，主要是通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)，主要包括物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等幾個層面的安全要求；管理類安全要求通常與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要是通過控

制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面作出規(guī)定來

實現(xiàn)，主要包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管

理和系統(tǒng)運維管理幾個方面的安全要求。技術(shù)要求與管理要求是確保信息系統(tǒng)安全不可分割的兩個部分，兩者之

間既互相獨立，又互相關(guān)聯(lián)。在一些情況下，技術(shù)和管理能夠發(fā)揮它們各自

的作用；在另一些情況下，需要同時使用技術(shù)和管理兩種手段，實現(xiàn)安全控

制或更強的安全控制。大多數(shù)情況下，技術(shù)和管理要求互相提供支撐以確保

各自功能的正確實現(xiàn)。2.4.2

等級保護實施方法與過程1.

等級保護實施方法實行信息安全等級保護時“要重視信息安全風險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)

絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風險等因素，進行相應(yīng)

等級的安全建設(shè)和管理”。信息安全等級保護的實施方法如圖2.2所示。5級4級對應(yīng)3級2級1

級基本安全要求風險調(diào)整定制成本實施系統(tǒng)保護措施圖2.2

信息安全等級保護的實施方法5

級4

級3級2級1

級安全等級基本要求安全等級定級規(guī)則系統(tǒng)特定安全要求系統(tǒng)安全級信息

系統(tǒng)定級依據(jù)信息安全等級保護的實施方法中主要涉及以下內(nèi)容：●

安全定級：對系統(tǒng)進行安全等級的確定；●

基本安全要求分析：對應(yīng)安全等級劃分標準，分析、檢查系統(tǒng)的基本安全要求；●

系統(tǒng)特定安全要求分析：根據(jù)系統(tǒng)的重要性、涉密程度及具體應(yīng)用情況，分析系統(tǒng)特定安

全要求；●

風險評估：分析和評估系統(tǒng)所面臨的安全風險；●

改進和選擇安全措施：根據(jù)系統(tǒng)安全級別的保護要求和風險分析的結(jié)果，改進現(xiàn)有安全保

護措施，選擇新的安全保護措施；●

實施：實施安全保護。2.

等級保護實施過程信息安全等級保護的實施過程包括以下三個階段：◆

定級階段。◆規(guī)劃與設(shè)計階段?！魧嵤⒌燃壴u估與改進階段。等級保護的基本流程如圖2.3所示。圖2.3

等級保護的基本流程符合等級

保護要求?是運行監(jiān)控與改造否?等飯要求是合護符保系統(tǒng)識別與捕述等圾確定系統(tǒng)分城保護柢果建立選擇和調(diào)整安全措施安全規(guī)劃與方案設(shè)計實施、評審與改進安全措施實施規(guī)劃與設(shè)計第二階段評審驗收第一階段第三階段否定級(1)第一階段：定級定級階段主要包括兩個步驟。①

系統(tǒng)識別與描述②

等級確定(2)第二階段：規(guī)劃與設(shè)計規(guī)劃與設(shè)計階段主要包括三個步驟，分別為：①

系統(tǒng)分域保護框架建立②

選擇和調(diào)整安全措施③

安全規(guī)劃和方案設(shè)計(3)第三階段：實施、等級評估與改進①

安全措施的實施②

評估