信息系統(tǒng)安全等級保護實施指南介紹

信息系統(tǒng)安全等級保護實施指南介紹11/22/20231目錄概述等級保護的實施過程系統(tǒng)定級階段安全規(guī)劃設(shè)計階段安全實施/實現(xiàn)階段安全運行管理階段系統(tǒng)中止階段11/22/20232概述背景實施指南的作用實施指南的使用對象與風(fēng)險管理之間的關(guān)系11/22/20233概述-背景1994年，

《中華人民共和國計算機信息系統(tǒng)安全保護條例》的發(fā)布2019年，《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》GB17859-2019發(fā)布

2019年，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(27號文)2019年，四部委聯(lián)合簽發(fā)了《關(guān)于信息安全等級保護工作的實施意見》(66號文)11/22/20234概述-背景（續(xù)）在“66號文”的職責(zé)分工和工作要求中指出：信息和信息系統(tǒng)的運營、使用單位按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息和信息系統(tǒng)的安全保護等級信息和信息系統(tǒng)的運營、使用單位按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對新建、改建、擴建的信息系統(tǒng)進行信息系統(tǒng)的安全規(guī)劃設(shè)計、安全建設(shè)施工信息和信息系統(tǒng)的運營、使用單位及其主管部門按照與信息系統(tǒng)安全保護等級相對應(yīng)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，定期進行安全狀況檢測評估國家指定信息安全監(jiān)管職能部門按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，對信息和信息系統(tǒng)的安全等級保護狀況進行監(jiān)督檢查11/22/20235概述-背景（續(xù)）管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的作用主管部門監(jiān)督檢查信息安全監(jiān)管職能部門系統(tǒng)定級安全保護檢測評估運營\使用單位安全服務(wù)商安全評估機構(gòu)技術(shù)標(biāo)準(zhǔn)管理規(guī)范11/22/20236概述-背景（續(xù)）主要的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)管理規(guī)范《信息安全等級保護管理辦法》

技術(shù)標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護實施指南》《信息系統(tǒng)安全保護等級定級指南》《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護測評準(zhǔn)則》《信息系統(tǒng)安全等級保護監(jiān)督檢查指南》11/22/20237概述-實施指南的作用是信息系統(tǒng)實施等級保護的指南性文件。作為等級保護標(biāo)準(zhǔn)體系的指引文檔。貫穿整個等級保護工作的所有階段，規(guī)范和指導(dǎo)所有的安全活動。介紹信息系統(tǒng)實施等級保護的方法，不同的角色在不同階段的作用。11/22/20238概述-實施指南的使用對象本指南的使用對象是：信息系統(tǒng)的主管單位；信息系統(tǒng)運營、使用單位；信息系統(tǒng)安全服務(wù)商；信息安全監(jiān)管機構(gòu)；安全測評機構(gòu)；安全產(chǎn)品供應(yīng)商。11/22/20239概述-與風(fēng)險管理之間的關(guān)系相同點都是對活動過程的管理；都闡明了對信息系統(tǒng)整個生命周期的管理。不同點風(fēng)險管理方法以“風(fēng)險”控制為核心，描述了風(fēng)險管理的主要活動過程；信息系統(tǒng)實施等級保護的思路是首先根據(jù)信息系統(tǒng)定級方法對信息系統(tǒng)進行定級，根據(jù)安全級別確定基本安全保護措施，通過風(fēng)險分析補充其它需要的安全措施，構(gòu)成等級保護安全設(shè)計方案，并依據(jù)方案進行安全工程實施。11/22/202310概述-與風(fēng)險管理之間的關(guān)系（續(xù)）二者之間關(guān)系 在對信息系統(tǒng)實施等級保護的過程中，風(fēng)險管理是一種輔助手段。等級保護的相關(guān)標(biāo)準(zhǔn)對不同級別的信息系統(tǒng)提出了基本保護要求，基本保護要求是系統(tǒng)安全建設(shè)的基礎(chǔ)，但是不同的信息系統(tǒng)由于其本身的特性，除基本保護要求外，可以通過風(fēng)險管理中風(fēng)險分析的方法選擇需要補充的安全措施，從而使得系統(tǒng)的等級保護更加個性化。11/22/202311等級保護的基本實施過程基本實施過程與信息系統(tǒng)生命周期之間的關(guān)系重要概念11/22/202312等級保護的基本實施過程重大變更局部調(diào)整系統(tǒng)定級安全規(guī)劃設(shè)計安全實施/實現(xiàn)安全運行管理系統(tǒng)終止11/22/202313與信息系統(tǒng)生命周期之間的關(guān)系新建信息系統(tǒng)新建信息系統(tǒng)等級保護實施過程信息系統(tǒng)生命周期安全運行管理（變更管理/定期安全測評/監(jiān)督檢查）系統(tǒng)定級安全規(guī)劃設(shè)計安全實施系統(tǒng)終止設(shè)計開發(fā)階段運行維護階段啟動階段實施階段中止階段11/22/202314與信息系統(tǒng)生命周期之間的關(guān)系已建信息系統(tǒng)已經(jīng)存在的信息系統(tǒng)，通常處于系統(tǒng)運行維護階段;安全等級保護實施過程中的系統(tǒng)定級階段、安全規(guī)劃設(shè)計階段、安全實施/實現(xiàn)階段和系統(tǒng)終止等的主要活動都將在信息系統(tǒng)生命周期的系統(tǒng)運行維護階段完成。11/22/202315主要階段和主要活動重要概念階段主要活動主要活動過程階段工作內(nèi)容過程目標(biāo)輸入輸出活動目標(biāo)階段目標(biāo)參與角色主要工作內(nèi)容主要活動過程實施流程/主要活動主要參考標(biāo)準(zhǔn)11/22/202316實施等級保護的主要階段第一階段：系統(tǒng)定級第二階段：安全規(guī)劃設(shè)計第三階段：安全實施/實現(xiàn)第四階段：安全運行管理第五階段：系統(tǒng)終止11/22/202317第一階段:系統(tǒng)定級定級方法參與角色和職責(zé)實施流程階段主要活動11/22/202318系統(tǒng)定級階段-定級方法第一種方法：根據(jù)經(jīng)驗直接定級第二種方法：按照標(biāo)準(zhǔn)定級第三種方法：制定方法自行定級

如采用第二種定級方法則可以參考《實施指南》系統(tǒng)定級階段相關(guān)活動內(nèi)容。11/22/202319系統(tǒng)定級階段-參與角色和職責(zé)信息系統(tǒng)運營、使用單位：負責(zé)選擇定級方法確定其信息系統(tǒng)的安全等級，并報其主管部門審批同意；對安全等級在三級以上的信息系統(tǒng)，報送本地區(qū)地市級公安機關(guān)備案。

信息系統(tǒng)主管部門：對下屬單位確定的信息系統(tǒng)安全等級進行審批。

信息系統(tǒng)安全服務(wù)商：協(xié)助信息系統(tǒng)運營、使用單位完成與信息系統(tǒng)定級相關(guān)的工作。

11/22/202320系統(tǒng)定級階段-實施流程主要輸入主要輸出階段主要活動子系統(tǒng)識別和描述系統(tǒng)立項文檔系統(tǒng)建設(shè)文檔系統(tǒng)管理文檔系統(tǒng)詳細描述文件系統(tǒng)識別與劃分系統(tǒng)總體描述文件系統(tǒng)總體描述文件安全等級確定系統(tǒng)總體描述文件系統(tǒng)詳細描述文件系統(tǒng)安全保護等級定級建議書11/22/202321系統(tǒng)定級階段-系統(tǒng)識別和劃分過程目標(biāo)收集有關(guān)信息系統(tǒng)的信息；在對信息進行綜合分析的基礎(chǔ)上將組織機構(gòu)內(nèi)運行的信息系統(tǒng)合理地分解成若干個信息系統(tǒng)；針對目標(biāo)信息系統(tǒng)，形成信息系統(tǒng)的總體描述性文檔。輸入信息系統(tǒng)的立項、建設(shè)、管理文檔11/22/202322系統(tǒng)定級階段-系統(tǒng)識別和劃分(續(xù))輸出信息系統(tǒng)總體描述文件主要工作內(nèi)容識別單位的基本信息識別信息系統(tǒng)的管理框架識別信息系統(tǒng)的網(wǎng)絡(luò)邊界及設(shè)備部署識別信息系統(tǒng)的業(yè)務(wù)種類和特性識別用戶范圍和用戶類型劃分方法的選擇形成信息系統(tǒng)總體描述文檔11/22/202323系統(tǒng)定級階段-系統(tǒng)識別和劃分(續(xù))信息系統(tǒng)劃分方法從組織管理角度劃分從業(yè)務(wù)類型角度劃分從物理區(qū)域或運行環(huán)境角度劃分11/22/202324系統(tǒng)定級階段-業(yè)務(wù)子系統(tǒng)識別和描述過程目標(biāo)如果某一個信息系統(tǒng)中包含多個業(yè)務(wù)子系統(tǒng)，識別出主要的業(yè)務(wù)子系統(tǒng)；對主要業(yè)務(wù)子系統(tǒng)的安全屬性進行識別和描述。輸入信息系統(tǒng)詳細描述文件

11/22/202325系統(tǒng)定級階段-業(yè)務(wù)子系統(tǒng)識別和描述輸出信息系統(tǒng)詳細描述文件主要工作內(nèi)容識別各業(yè)務(wù)子系統(tǒng)處理的信息類型識別各業(yè)務(wù)子系統(tǒng)的服務(wù)范圍識別各項業(yè)務(wù)對系統(tǒng)的依賴程度形成信息系統(tǒng)和業(yè)務(wù)子系統(tǒng)的詳細描述文檔11/22/202326系統(tǒng)定級階段-安全等級確定過程目標(biāo)依據(jù)《信息系統(tǒng)安全保護等級定級指南》確定每個業(yè)務(wù)子系統(tǒng)的安全保護等級；由所包括的各業(yè)務(wù)子系統(tǒng)的最高等級決定信息系統(tǒng)的安全保護等級；對定級過程文檔進行整理，形成文件化的信息系統(tǒng)定級建議書。輸入信息系統(tǒng)總體描述文件信息系統(tǒng)詳細描述文件11/22/202327系統(tǒng)定級階段-安全等級確定輸出信息系統(tǒng)安全保護等級定級建議書主要工作內(nèi)容各業(yè)務(wù)子系統(tǒng)安全保護等級確定信息系統(tǒng)安全保護等級確定安全保護等級的調(diào)整定級結(jié)果文檔化11/22/202328第二階段：安全規(guī)劃設(shè)計階段階段目標(biāo)參與角色和職責(zé)實施流程階段主要活動11/22/202329安全規(guī)劃設(shè)計-階段目標(biāo) 通過安全評估和需求分析判斷信息系統(tǒng)的安全保護現(xiàn)狀與等級保護基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級情況、信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施計劃等，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實施。11/22/202330安全規(guī)劃設(shè)計-參與角色和職責(zé)信息系統(tǒng)運營、使用單位：根據(jù)已經(jīng)確定的安全等級，按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進行信息系統(tǒng)的安全規(guī)劃設(shè)計。

信息系統(tǒng)安全服務(wù)商：根據(jù)信息系統(tǒng)運營、使用單位的委托，按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，協(xié)助信息系統(tǒng)運營、使用單位完成信息系統(tǒng)安全規(guī)劃設(shè)計工作。

11/22/202331安全規(guī)劃設(shè)計-實施流程主要輸入主要輸出階段主要活動安全評估和需求分析系統(tǒng)詳細描述文件系統(tǒng)定級建議書等級保護基本要求安全評估報告安全需求分析報告安全總體設(shè)計安全總體方案書技術(shù)防護框架管理策略框架安全建設(shè)規(guī)劃總體安全策略/框架單位信息化的中長期規(guī)劃信息系統(tǒng)安全建設(shè)方案安全評估報告安全需求分析報告等級保護基本要求11/22/202332階段主要活動-1.安全評估和需求分析活動目標(biāo)通過系統(tǒng)調(diào)查和安全評估了解系統(tǒng)目前的安全現(xiàn)狀；評估系統(tǒng)已經(jīng)采用的或?qū)⒁捎玫谋Ｗo措施和等級保護安全要求之間的差距，這種差距作為系統(tǒng)的一種安全需求；了解系統(tǒng)額外的安全需求；明確系統(tǒng)的完整安全需求。主要參考標(biāo)準(zhǔn)

《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護測評準(zhǔn)則》GB/Txxxxx-2019信息系統(tǒng)安全通用技術(shù)要求《信息安全風(fēng)險評估指南》11/22/202333階段主要活動-1.安全評估和需求分析主要活動過程評估對象和評估方法的明確；評估指標(biāo)體系的選擇和確定；系統(tǒng)現(xiàn)狀與評估指標(biāo)的對比；特殊安全要求的確定。11/22/202334階段主要活動-1.安全評估和需求分析評估對象和評估方法的明確確定評估范圍獲得信息系統(tǒng)的信息確定具體的評估對象確定評估工作的方法

制定評估工作計劃

系統(tǒng)詳細描述文件系統(tǒng)定級建議書用戶文檔輸入輸出過程的工作內(nèi)容評估工作方案11/22/202335階段主要活動-1.安全評估和需求分析評估指標(biāo)體系的選擇和確定選擇基本評估指標(biāo)評估對象威脅分析系統(tǒng)詳細描述文件系統(tǒng)定級建議書等級保護基本要求評估工作方案輸入輸出過程的工作內(nèi)容安全評估方案落實評估對象的評估指標(biāo)制定評估方案11/22/202336階段主要活動-1.安全評估和需求分析安全現(xiàn)狀與評估指標(biāo)對比管理指標(biāo)符合性評估技術(shù)指標(biāo)符合性測評系統(tǒng)詳細描述文件評估工作方案安全評估方案輸入輸出過程的工作內(nèi)容符合性評估結(jié)果11/22/202337重要資產(chǎn)特殊安全要求的確定重要資產(chǎn)分析重要資產(chǎn)弱點評估系統(tǒng)詳細描述文件評估結(jié)果記錄用戶需求文檔輸入輸出過程的工作內(nèi)容風(fēng)險評估結(jié)果特殊安全要求重要資產(chǎn)威脅評估重要資產(chǎn)風(fēng)險評估階段主要活動-1.安全評估和需求分析11/22/202338階段主要活動-2.安全總體設(shè)計活動目標(biāo)根據(jù)等級保護基本安全要求和系統(tǒng)的特殊要求，從被評估單位全局考慮設(shè)計系統(tǒng)的整體安全框架；提出各信息系統(tǒng)在總體方面的策略要求、應(yīng)實現(xiàn)的安全技術(shù)措施和安全管理措施等；形成用于指導(dǎo)系統(tǒng)進行安全建設(shè)的安全總體方案。主要參考標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2019信息系統(tǒng)安全通用技術(shù)要求GB/Txxxxx-2019操作系統(tǒng)安全技術(shù)要求GB/Txxxxx-2019數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T19716-2019信息安全管理實用規(guī)則IATF3.0信息保障技術(shù)框架11/22/202339階段主要活動-2.安全總體設(shè)計主要活動過程系統(tǒng)等級化模型處理總體安全策略設(shè)計各級系統(tǒng)安全技術(shù)措施設(shè)計單位整體安全管理策略設(shè)計設(shè)計結(jié)果文檔化11/22/202340階段主要活動-2.安全總體設(shè)計系統(tǒng)等級化模型處理信息系統(tǒng)構(gòu)成抽象處理骨干網(wǎng)抽象處理系統(tǒng)詳細描述文件符合性評估結(jié)果風(fēng)險評估結(jié)果特殊安全要求輸入輸出過程的工作內(nèi)容信息系統(tǒng)等級化抽象模型安全域抽象處理局域網(wǎng)/邊界抽象處理形成信息系統(tǒng)抽象模型11/22/202341階段主要活動-2.安全總體設(shè)計總體安全策略設(shè)計制定安全方針規(guī)定安全策略系統(tǒng)詳細描述文件安全需求分析報告信息系統(tǒng)等級化抽象模型輸入輸出過程的工作內(nèi)容總體安全策略等級保護模型建立等級化保護模型11/22/202342階段主要活動-2.安全總體設(shè)計各級系統(tǒng)安全技術(shù)措施設(shè)計骨干網(wǎng)等級保護措施安全域等級保護措施安全需求分析報告信息系統(tǒng)等級保護模型等級保護基本要求特殊安全要求輸入輸出過程的工作內(nèi)容信息系統(tǒng)技術(shù)防護框架等級系統(tǒng)邊界防護策略主機系統(tǒng)/應(yīng)用等級保護措施機房等物理安全保護措施11/22/202343階段主要活動-2.安全總體設(shè)計單位整體安全管理策略設(shè)計規(guī)定安全管理職責(zé)規(guī)定安全管理策略安全需求分析報告信息系統(tǒng)等級保護模型等級保護基本要求特殊安全要求輸入輸出過程的工作內(nèi)容信息系統(tǒng)安全管理策略框架給定介質(zhì)/設(shè)備管理策略規(guī)定運行安全管理策略規(guī)定安全事件處置和應(yīng)急管理策略11/22/202344階段主要活動-2.安全總體設(shè)計設(shè)計結(jié)果文檔化編制安全總體方案書安全需求分析報告等級保護模型技術(shù)防護框架管理策略框架輸入輸出過程的工作內(nèi)容安全總體方案書11/22/202345安全規(guī)劃設(shè)計-3.安全建設(shè)規(guī)劃活動目標(biāo)將信息系統(tǒng)安全總體方案書規(guī)定的內(nèi)容落實到安全建設(shè)項目中；通過對安全項目的相關(guān)性、緊迫性、難易程度和預(yù)期效果等因素進行分析，確定實施的先后順序。主要參考標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2019等級保護系列安全產(chǎn)品技術(shù)要求GB/Txxxxx-2019操作系統(tǒng)安全技術(shù)要求GB/Txxxxx-2019數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求11/22/202346安全規(guī)劃設(shè)計-3.安全建設(shè)規(guī)劃主要活動過程安全建設(shè)目標(biāo)確定安全建設(shè)內(nèi)容規(guī)劃安全建設(shè)方案設(shè)計11/22/202347階段主要活動-

3.安全建設(shè)規(guī)劃安全建設(shè)目標(biāo)確定收集規(guī)劃文檔調(diào)研相關(guān)安全需求安全總體方案書單位信息化建設(shè)中長期發(fā)展規(guī)劃輸入輸出過程的工作內(nèi)容分階段建設(shè)目標(biāo)調(diào)研建設(shè)資金準(zhǔn)備狀況11/22/202348階段主要活動-

3.安全建設(shè)規(guī)劃安全建設(shè)內(nèi)容規(guī)劃確定主要建設(shè)內(nèi)容分類形成建設(shè)項目安全總體方案書分階段安全建設(shè)目標(biāo)輸入輸出過程的工作內(nèi)容具體安全建設(shè)內(nèi)容11/22/202349階段主要活動-

3.安全建設(shè)規(guī)劃安全建設(shè)方案設(shè)計設(shè)計建設(shè)順序安全總體方案書分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容輸入輸出過程的工作內(nèi)容系統(tǒng)安全建設(shè)方案估算各項目投資編制文檔11/22/202350第三階段：安全實施/實現(xiàn)階段階段目標(biāo)參與角色和職責(zé)實施流程階段主要活動11/22/202351安全實施/實現(xiàn)-階段目標(biāo)安全實施/實現(xiàn)的目標(biāo)是按照信息系統(tǒng)安全總體方案書的總體要求，結(jié)合信息系統(tǒng)安全建設(shè)方案，分期分步落實安全措施。

11/22/202352安全實施/實現(xiàn)-參與角色和職責(zé)主管部門：審批下屬單位制定的文件運營、使用單位：按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進行信息系統(tǒng)的安全建設(shè)。

安全服務(wù)商：根據(jù)信息系統(tǒng)運營、使用單位的委托，協(xié)助信息系統(tǒng)運營、使用單位完成信息系統(tǒng)安全建設(shè)施工。

安全產(chǎn)品供應(yīng)商：按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開發(fā)符合安全等級保護要求的安全產(chǎn)品

安全測評機構(gòu)：按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對已經(jīng)完成安全等級保護建設(shè)的信息系統(tǒng)進行檢查評估；對安全產(chǎn)品供應(yīng)商提供的安全產(chǎn)品進行檢查評估。

11/22/202353安全實施/實現(xiàn)階段-實施流程主要輸入主要輸出階段主要活動安全詳細方案設(shè)計安全總體方案書系統(tǒng)安全建設(shè)方案安全產(chǎn)品技術(shù)白皮書安全詳細設(shè)計方案安全技術(shù)實施安全測評報告等級化安全測評安全詳細設(shè)計方案系統(tǒng)定級建議書系統(tǒng)驗收報告系統(tǒng)驗收報告安全管理實施安全詳細設(shè)計方案角色與職責(zé)說明書管理制度/操作規(guī)范11/22/202354階段主要活動-

1.安全詳細方案設(shè)計活動目標(biāo)依據(jù)信息系統(tǒng)安全建設(shè)方案，提出本期實施項目的具體實施方案，包括安全技術(shù)實施內(nèi)容、安全管理實施內(nèi)容、項目實施計劃以及項目經(jīng)費投入等，以便進行本次項目的實施。11/22/202355階段主要活動-

1.安全詳細方案設(shè)計主要參考標(biāo)準(zhǔn)GB17859-2019

計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則《信息系統(tǒng)安全等級保護基本要求》GB/T19716-2019信息安全管理實用規(guī)則GB/Txxxxx-2019信息系統(tǒng)安全通用技術(shù)要求GB/Txxxxx-2019等級保護系列安全產(chǎn)品技術(shù)要求GB/Txxxxx-2019操作系統(tǒng)安全技術(shù)要求GB/Txxxxx-2019數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求11/22/202356階段主要活動-1.安全詳細方案設(shè)計主要活動過程安全技術(shù)實施內(nèi)容設(shè)計安全管理實施內(nèi)容設(shè)計設(shè)計結(jié)果文檔化11/22/202357階段主要活動-

1.安全詳細方案設(shè)計安全技術(shù)實施內(nèi)容設(shè)計設(shè)計結(jié)構(gòu)框架設(shè)計功能要求安全總體方案書安全建設(shè)方案安全產(chǎn)品技術(shù)白皮書輸入輸出過程的工作內(nèi)容安全技術(shù)實施方案設(shè)計性能指標(biāo)設(shè)計部署方案制定安全策略實現(xiàn)計劃11/22/202358階段主要活動-

1.安全詳細方案設(shè)計安全管理實施內(nèi)容設(shè)計設(shè)置安全管理機構(gòu)配備安全管理人員安全總體方案書安全建設(shè)方案輸入輸出過程的工作內(nèi)容安全管理實施方案制定安全管理制度培訓(xùn)安全管理技能11/22/202359階段主要活動-

1.安全詳細方案設(shè)計安全技術(shù)實施內(nèi)容設(shè)計設(shè)置安全管理機構(gòu)配備安全管理人員安全總體方案書安全建設(shè)方案輸入輸出過程的工作內(nèi)容安全管理實施方案制定安全管理制度培訓(xùn)安全管理技能11/22/202360階段主要活動-

1.安全詳細方案設(shè)計設(shè)計結(jié)果文檔化實施內(nèi)容匯總編制文檔安全技術(shù)實施方案安全管理實施方案輸入輸出過程的工作內(nèi)容安全詳細設(shè)計方案11/22/202361階段主要活動-

2.安全管理實施活動目標(biāo)建立與信息系統(tǒng)安全技術(shù)和安全運行相適應(yīng)的安全管理機制；在本期安全詳細設(shè)計方案的指導(dǎo)下，建立配套的安全管理機構(gòu)和人員；建立配套的安全管理制度和操作規(guī)程，進行人員的安全技能培訓(xùn)等；保證本期安全實施完成后，安全運行管理有配套的機制。主要參考標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護基本要求》GB/T19715.2-2019IT安全管理指南GB/T19716-2019信息安全管理實用規(guī)則11/22/202362階段主要活動-

2.安全管理實施主要活動內(nèi)容管理機構(gòu)和人員的設(shè)置管理制度的建設(shè)和修訂人員安全技能培訓(xùn)安全實施過程管理11/22/202363階段主要活動-

2.安全管理實施管理機構(gòu)和人員設(shè)置識別安全管理組織成員識別安全管理角色現(xiàn)有管理制度和政策文件安全詳細設(shè)計方案輸入輸出過程的工作內(nèi)容機構(gòu)/角色職責(zé)說明文件規(guī)定各機構(gòu)和角色職責(zé)11/22/202364階段主要活動-

2.安全管理實施管理制度的建設(shè)和修訂確定制度的應(yīng)用范圍確定部門、人員職責(zé)現(xiàn)有管理制度和政策文件安全組織結(jié)構(gòu)表機構(gòu)/角色職責(zé)說明文件輸入輸出過程的工作內(nèi)容各項管理制度和操作規(guī)范評估并完善現(xiàn)有制度11/22/202365階段主要活動-

2.安全管理實施人員安全技能培訓(xùn)培訓(xùn)特定崗位技能培訓(xùn)安全意識崗位職責(zé)說明

系統(tǒng)/產(chǎn)品使用手冊各項管理制度和操作規(guī)程輸入輸出過程的工作內(nèi)容培訓(xùn)記錄上崗資格證書考核頒發(fā)上崗資格證書11/22/202366階段主要活動-

2.安全管理實施安全實施過程管理質(zhì)量管理進度管理信息系統(tǒng)等級保護建設(shè)的各階段文檔輸入輸出過程的工作內(nèi)容各階段過程管理控制記錄文檔管理/版本控制變更管理風(fēng)險管理11/22/202367階段主要活動-3.安全技術(shù)實施活動目標(biāo)保證按照安全詳細設(shè)計方案實現(xiàn)各項安全技術(shù)措施，并確保安全技術(shù)措施的有效性。主要參考標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護基本要求》GB/T19715.2-2019IT安全管理指南GB/T19716-2019信息安全管理實用規(guī)則GB/Txxxxx-2019信息系統(tǒng)安全通用技術(shù)要求GB/Txxxxx-2019操作系統(tǒng)安全技術(shù)要求GB/Txxxxx-2019數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/Txxxxx-2019網(wǎng)絡(luò)技術(shù)要求GB/Txxxxx-2019網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求11/22/202368階段主要活動-3.安全技術(shù)實施主要活動過程安全產(chǎn)品采購安全控制開發(fā)安全控制集成測試與驗收11/22/202369階段主要活動-3.安全技術(shù)實施安全產(chǎn)品采購制定產(chǎn)品采購說明書選擇入圍產(chǎn)品安全設(shè)計詳細方案相關(guān)產(chǎn)品信息輸入輸出過程的工作內(nèi)容已采購安全產(chǎn)品清單產(chǎn)品招標(biāo)11/22/202370階段主要活動-3.安全技術(shù)實施安全控制開發(fā)安全措施需求分析概要設(shè)計安全設(shè)計詳細方案輸入輸出過程的工作內(nèi)容安全控制開發(fā)過程相關(guān)文檔詳細設(shè)計編碼實現(xiàn)測試11/22/202371階段主要活動-3.安全技術(shù)實施安全控制集成制定集成實施方案實施集成安全設(shè)計詳細方案輸入輸出過程的工作內(nèi)容安全控制集成報告階段集成測試產(chǎn)品和維護培訓(xùn)11/22/202372階段主要活動-3.安全技術(shù)實施測試與驗收測試系統(tǒng)功能和性能測試運行可靠性安全設(shè)計詳細方案安全控制集成報告輸入輸出過程的工作內(nèi)容系統(tǒng)測試報告系統(tǒng)驗收報告測評安全管理實施系統(tǒng)驗收系統(tǒng)交付11/22/202373階段主要活動-3.安全技術(shù)實施等級化安全測評測試系統(tǒng)功能和性能測試運行可靠性安全設(shè)計詳細方案安全控制集成報告輸入輸出過程的工作內(nèi)容系統(tǒng)測試報告系統(tǒng)驗收報告測評安全管理實施系統(tǒng)驗收系統(tǒng)交付11/22/202374階段主要活動-4.等級化安全測評過程目標(biāo)通過安全測評機構(gòu)對已經(jīng)完成安全等級保護建設(shè)的信息系統(tǒng)進行測評，確保信息系統(tǒng)的安全保護措施符合相應(yīng)等級的安全要求。主要參考標(biāo)準(zhǔn)《信息安全等級保護測評準(zhǔn)則》《信息安全等級保護基本要求》11/22/202375階段主要活動-4.等級化安全測評輸入信息系統(tǒng)安全保護等級定級報告系統(tǒng)驗收報告輸出安全等級保護測評報告主要工作內(nèi)容參見《信息系統(tǒng)安全等級保護測評準(zhǔn)則》11/22/202376第四階段：安全運行管理階段階段目標(biāo)參與角色和職責(zé)實施流程階段主要活動11/22/202377安全運行管理-階段目標(biāo)通過在安全運行管理階段實施操作管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急預(yù)案、安全評估和持續(xù)改進以及監(jiān)督檢查等活動，在安全管理基本要求的基礎(chǔ)上，指導(dǎo)系統(tǒng)運行的動態(tài)管理。

11/22/202378安全運行管理-參與角色和職責(zé)運營、使用單位：對已經(jīng)完成安全等級保護建設(shè)的信息系統(tǒng)進行維護管理，發(fā)現(xiàn)問題及時整改；定期進行安全狀況檢測評估，及時消除安全隱患和漏洞；制定不同等級信息安全事件的響應(yīng)、處置預(yù)案，加強信息系統(tǒng)的安全管理。

信息安全監(jiān)管機構(gòu)：按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重點對第三、第四級信息系統(tǒng)的安全等級保護狀況進行監(jiān)督檢查；發(fā)現(xiàn)存在安全隱患或未達到等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求的，限期整改，使信息系統(tǒng)的安全保護措施更加完善

。

11/22/202379安全運行管理-實施流程主要輸入主要輸出階段主要活動操作管理和控制安全詳細設(shè)計方案安全組織機構(gòu)表操作人員角色/職責(zé)表各類操作規(guī)程變更管理和控制變更需求變更結(jié)果報告安全狀態(tài)監(jiān)控安全詳細設(shè)計方案系統(tǒng)驗收報告等安全狀態(tài)分析報告安全事件處置和應(yīng)急預(yù)案安全詳細設(shè)計方案安全組織機構(gòu)表安全事件報告程序各類應(yīng)急預(yù)案安全事件處置報告11/22/202380安全運行管理-實施流程（續(xù)）主要輸入主要輸出階段主要活動安全評估和持續(xù)改進安全評估報告安全改進方案等級化安全測評安全詳細設(shè)計方案系統(tǒng)驗收報告等安全等級保護測評報告監(jiān)督檢查安全詳細設(shè)計方案系統(tǒng)驗收報告等監(jiān)督檢查結(jié)果報告變更需求11/22/202381階段主要活動-1.操作管理和控制活動目標(biāo)確保操作人員對信息系統(tǒng)實行正確、安全操作；控制系統(tǒng)不斷變化和種類繁多的操作活動。主要參考標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2019信息系統(tǒng)安全通用技術(shù)要求GB/T19716-2019信息安全管理實用規(guī)則GB/T19715-2019IT安全管理指南主要活動過程操作職責(zé)確定操作過程控制11/22/202382階段主要活動-1.操作管理和控制操作職責(zé)確定劃分操作角色授予管理權(quán)限安全設(shè)計詳細方案安全組織機構(gòu)表輸入輸出過程的工作內(nèi)容操作人員角色和職責(zé)表定義人員職責(zé)11/22/202383階段主要活動-1.操作管理和控制操作過程控制確定操作目的和內(nèi)容確定操作時間和地點操作需求操作人員角色和職責(zé)表輸入輸出過程的工作內(nèi)容各類操作規(guī)程操作記錄選擇操作方法建立操作規(guī)程記錄操作過程和結(jié)果11/22/202384階段主要活動-2.變更管理和控制活動目標(biāo)確保在發(fā)生安全配置、安全設(shè)施、系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)應(yīng)用等變化的時候，使用標(biāo)準(zhǔn)的方法和步驟，盡快的實施變更；確保變更所導(dǎo)致的信息資產(chǎn)安全性降低、業(yè)務(wù)中斷或業(yè)務(wù)影響減小到最低。主要參考標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2019信息系統(tǒng)安全通用技術(shù)要求GB/T19716-2019信息安全管理實用規(guī)則GB/T19715-2019IT安全管理指南主要活動過程變更需求和影響分析變更過程控制11/22/202385階段主要活動-2.變更管理和控制變更需求和影響分析變更需求分析識別變更種類變更需求輸入輸出過程的工作內(nèi)容變更方案變更影響分析制定變更方案11/22/202386階段主要活動-2.變更管理和控制變更過程控制變更內(nèi)容審核與審批建立變更過程日志變更方案輸入輸出過程的工作內(nèi)容變更結(jié)果報告形成變更結(jié)果報告11/22/202387階段主要活動-3.安全狀態(tài)監(jiān)控活動目標(biāo)對信息系統(tǒng)的安全運行狀態(tài)進行監(jiān)控，確保信息系統(tǒng)運行安全。主要參考標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2019信息系統(tǒng)安全通用技術(shù)要求GB/T19716-2019信息安全管理實用規(guī)則GB/T19715-2019IT安全管理指南主要活動過程監(jiān)控對象確定監(jiān)控對象狀態(tài)信息收集監(jiān)控狀態(tài)分析和報告11/22/202388階段主要活動-3.安全狀態(tài)監(jiān)控監(jiān)控對象確定業(yè)務(wù)關(guān)鍵要素分析安全關(guān)鍵點分析安全詳細設(shè)計方案系統(tǒng)驗收報告輸入輸出過程的工作內(nèi)容監(jiān)控對象列表形成監(jiān)控對象列表11/22/202389階段主要活動-3.安全狀態(tài)監(jiān)控監(jiān)控對象狀態(tài)信息收集選擇監(jiān)控工具識別和記錄入侵行為監(jiān)控對象列表輸入輸出過程的工作內(nèi)容監(jiān)控對象安全狀態(tài)信息監(jiān)控對象信息收集11/22/202390階段主要活動-3.安全狀態(tài)監(jiān)控監(jiān)控狀態(tài)分析和報告狀態(tài)分析影響程度和范圍分析監(jiān)控對象安全狀態(tài)信息輸入輸出過程的工作內(nèi)容安全狀態(tài)分析報告變更需求變更需求分析11/22/202391階段主要活動-

4.安全事件處置和應(yīng)急預(yù)案活動目標(biāo)根據(jù)安全事件相關(guān)標(biāo)準(zhǔn)中規(guī)定的安全事件分級原則和劃分結(jié)果，結(jié)合自身具體的情況酌情劃分本單位安全事件級別；建立合適的應(yīng)急響應(yīng)機制。主要參考標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護基本要求》GB/Txxxxx-2019信息系統(tǒng)安全通用技術(shù)要求GB/T19716-2019信息安全管理實用規(guī)則GB/T19715-2019IT安全管理指南主要活動過程安全事件分級應(yīng)急預(yù)案制定安全事件處置報告11/22/202392階段主要活動-

4.安全事件處置和應(yīng)急預(yù)案安全事件分級安全事件調(diào)查和分析安全事件等級劃分各類安全事件列表輸入輸出過程的工作內(nèi)容安全事件報告程序建立分級的事件報告流程11/22/202393階段主要活動-

4.安全事件處置和應(yīng)急預(yù)案應(yīng)急預(yù)案制定確定應(yīng)急預(yù)案對象確定和認可各項職責(zé)安全事件報告程序輸入輸出過程的工作內(nèi)容各類應(yīng)急預(yù)案制定程序和執(zhí)行條件制定各類事件應(yīng)急恢復(fù)措施11/22/202394階段主要活動-

4.安全事件處置和應(yīng)急預(yù)案安全事件處置安全事件上報安全事件處置安全狀態(tài)分析報告安全事件報告程序各類應(yīng)急預(yù)案輸入輸出過程的工作內(nèi)容安全事件處置報告安全事件影響分析安全事件總結(jié)和處置報告11/22/202395階段主要活動-5.安全評估和持續(xù)改進活動目標(biāo)確保在發(fā)生信息系統(tǒng)變更、安全狀態(tài)改變等情況后定期對信息系統(tǒng)進行安全評估；確保信息系統(tǒng)滿足相應(yīng)等級安全需求