等級(jí)保護(hù)實(shí)施指南.ppt

1、等級(jí)保護(hù)實(shí)施指南,廣州市計(jì)算機(jī)信息網(wǎng)絡(luò)安全協(xié)會(huì) 馬建斌 CISSP/CISA/ISO27001 LA 2010/05,大綱,作為系統(tǒng)等級(jí)保護(hù)實(shí)施的指南性文件 指導(dǎo)對(duì)一個(gè)信息系統(tǒng)實(shí)施安全等級(jí)保護(hù)的參與各方，如何在等級(jí)保護(hù)實(shí)施過程的各個(gè)階段開展相應(yīng)的活動(dòng)，給出階段活動(dòng)的內(nèi)容、控制方法和輸出結(jié)果。 作為等級(jí)保護(hù)標(biāo)準(zhǔn)體系的指引性文件 介紹實(shí)施信息系統(tǒng)等級(jí)保護(hù)過程中，在不同階段和從事不同活動(dòng)中，如何使用等級(jí)保護(hù)標(biāo)準(zhǔn)體系中的其他等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)。,實(shí)施指南的主要作用,國(guó)家管理部門 信息系統(tǒng)主管部門 信息系統(tǒng)運(yùn)營(yíng)、使用單位 信息安全服務(wù)機(jī)構(gòu) 信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu) 信息安全產(chǎn)品供應(yīng)商,實(shí)施指南的使用對(duì)象,第1

2、、2、3章為標(biāo)準(zhǔn)的固定格式要求，說明實(shí)施指南標(biāo)準(zhǔn)的使用范圍、引用的其他標(biāo)準(zhǔn)、使用到的術(shù)語和定義。 第4章總體描述信息系統(tǒng)等級(jí)保護(hù)的實(shí)施過程，包括實(shí)施過程中涉及到的各種角色和職責(zé)、實(shí)施的基本原則、實(shí)施的基本流程。 第5、6、7、8、9章分別根據(jù)等級(jí)保護(hù)實(shí)施流程劃分的階段，說明每個(gè)階段的主要實(shí)施過程。每章以階段名稱作為一級(jí)標(biāo)題，以主要過程作為二級(jí)標(biāo)題，主要活動(dòng)要素作為三級(jí)標(biāo)題，說明信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施活動(dòng)。 附錄A為主要過程的輸出列表。,實(shí)施指南的基本結(jié)構(gòu),信息系統(tǒng)定級(jí)階段 總體安全規(guī)劃階段 安全設(shè)計(jì)與實(shí)施階段 安全運(yùn)行與維護(hù)階段 信息系統(tǒng)終止階段,等級(jí)保護(hù)的主要實(shí)施階段,等級(jí)保護(hù)實(shí)施概述,

3、4.1 基本原則 4.2 角色和職責(zé) 4.3 實(shí)施的基本流程,自主保護(hù)原則 重點(diǎn)保護(hù)原則 同步建設(shè)原則 動(dòng)態(tài)調(diào)整原則,4.1 基本原則,國(guó)家管理部門 信息系統(tǒng)主管部門 信息系統(tǒng)運(yùn)營(yíng)、使用單位 信息安全服務(wù)機(jī)構(gòu) 信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu) 信息安全產(chǎn)品供應(yīng)商,4.2 角色和職責(zé),4.3 實(shí)施的基本流程,信息系統(tǒng)定級(jí),5.1 工作流程 5.2 信息系統(tǒng)分析 5.3 安全保護(hù)等級(jí)確定,5.1 信息系統(tǒng)定級(jí)階段的工作流程,系統(tǒng)識(shí)別和描述 信息系統(tǒng)劃分,5.2 信息系統(tǒng)分析,定級(jí)、審核和批準(zhǔn) 形成定級(jí)報(bào)告,5.3 安全保護(hù)等級(jí)確定,總體安全規(guī)劃,6.1 工作流程 6.2 安全需求分析 6.3 總體安全設(shè)計(jì) 6

4、.4 安全建設(shè)項(xiàng)目規(guī)劃,6.1 總體規(guī)劃階段工作流程,基本安全需求分析 額外/特殊安全需求的確定 形成安全需求分析報(bào)告,6.2 安全需求分析,活動(dòng)目標(biāo) 根據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)，判斷信息系統(tǒng)現(xiàn)有的安全保護(hù)水平與國(guó)家等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)之間的差距，提出信息系統(tǒng)的基本安全保護(hù)需求。 活動(dòng)輸入 信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，信息系統(tǒng)相關(guān)的其它文檔，信息系統(tǒng)安全等級(jí)保護(hù)基本要求。,基本安全需求確定,活動(dòng)描述 確定系統(tǒng)范圍和分析對(duì)象 形成評(píng)價(jià)指標(biāo)和評(píng)估方案 現(xiàn)狀與評(píng)價(jià)指標(biāo)對(duì)比 活動(dòng)輸出 基本安全需求,基本安全需求確定,活動(dòng)目標(biāo) 通過對(duì)信息系統(tǒng)重要資產(chǎn)特殊保護(hù)要求的分析，確定

5、超出相應(yīng)等級(jí)保護(hù)基本要求的部分或具有特殊安全保護(hù)要求的部分，采用需求分析/風(fēng)險(xiǎn)分析的方法，確定可能的安全風(fēng)險(xiǎn)，判斷對(duì)超出等級(jí)保護(hù)基本要求部分實(shí)施特殊安全措施的必要性，提出信息系統(tǒng)的特殊安全保護(hù)需求。 活動(dòng)輸入 信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，信息系統(tǒng)相關(guān)的其它文檔。,額外/特殊安全需求,活動(dòng)描述 重要資產(chǎn)的分析 重要資產(chǎn)安全弱點(diǎn)評(píng)估 重要資產(chǎn)面臨威脅評(píng)估 綜合風(fēng)險(xiǎn)分析 活動(dòng)輸出 重要資產(chǎn)的特殊保護(hù)要求,額外/特殊安全需求,活動(dòng)目標(biāo) 總結(jié)基本安全需求和特殊安全需求，形成安全需求分析報(bào)告。 活動(dòng)輸入 信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，基本安全需求，重要資產(chǎn)的特

6、殊保護(hù)要求。,形成安全需求分析報(bào)告,活動(dòng)描述 完成安全需求分析報(bào)告 信息系統(tǒng)描述 安全管理狀況 安全技術(shù)狀況 存在的不足和可能的風(fēng)險(xiǎn) 安全需求描述 活動(dòng)輸出 安全需求分析報(bào)告,形成安全需求分析報(bào)告,總體安全策略設(shè)計(jì) 安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì) 整體安全管理體系結(jié)構(gòu)設(shè)計(jì) 設(shè)計(jì)結(jié)果文檔化,6.3 總體安全設(shè)計(jì),活動(dòng)目標(biāo) 形成機(jī)構(gòu)綱領(lǐng)性的安全策略文件，包括確定安全方針，制定安全策略，以便結(jié)合等級(jí)保護(hù)基本要求和安全保護(hù)特殊要求，構(gòu)建機(jī)構(gòu)信息系統(tǒng)的安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)。 活動(dòng)輸入 信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，安全需求分析報(bào)告。,總體安全策略設(shè)計(jì),活動(dòng)描述 確定安全方針 制

7、定安全策略 活動(dòng)輸出 總體安全策略文件,總體安全策略設(shè)計(jì),活動(dòng)目標(biāo) 根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求、安全需求分析報(bào)告、機(jī)構(gòu)總體安全策略文件等，提出系統(tǒng)需要實(shí)現(xiàn)的安全技術(shù)措施，形成機(jī)構(gòu)特定的系統(tǒng)安全技術(shù)體系結(jié)構(gòu)，用以指導(dǎo)信息系統(tǒng)分等級(jí)保護(hù)的具體實(shí)現(xiàn)。 活動(dòng)輸入 信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，安全需求分析報(bào)告，信息系統(tǒng)安全等級(jí)保護(hù)基本要求。,安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì),活動(dòng)描述 規(guī)定骨干網(wǎng)/城域網(wǎng)的安全保護(hù)技術(shù)措施 規(guī)定子系統(tǒng)之間互聯(lián)的安全技術(shù)措施 規(guī)定不同級(jí)別子系統(tǒng)的邊界保護(hù)技術(shù)措施 規(guī)定不同級(jí)別子系統(tǒng)內(nèi)部系統(tǒng)平臺(tái)和業(yè)務(wù)應(yīng)用的安全保護(hù)技術(shù)措施 規(guī)定不同級(jí)別信息系統(tǒng)機(jī)房的安全保護(hù)

8、技術(shù)措施 形成信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu) 活動(dòng)輸出 信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)。,安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì),活動(dòng)目標(biāo) 根據(jù)等級(jí)保護(hù)基本要求、安全需求分析報(bào)告、機(jī)構(gòu)總體安全策略文件等，調(diào)整原有管理模式和管理策略，既從全局高度考慮為每個(gè)等級(jí)信息系統(tǒng)制定統(tǒng)一的安全管理策略，又從每個(gè)信息系統(tǒng)的實(shí)際需求出發(fā)，選擇和調(diào)整具體的安全管理措施，最后形成統(tǒng)一的整體安全管理體系結(jié)構(gòu)。 活動(dòng)輸入 信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，安全需求分析報(bào)告，信息系統(tǒng)安全等級(jí)保護(hù)基本要求。,整體安全管理體系結(jié)構(gòu)設(shè)計(jì),活動(dòng)描述 規(guī)定信息安全的組織管理體系和對(duì)各信息系統(tǒng)的安全管理職責(zé) 規(guī)定各等級(jí)信息系統(tǒng)的人員安全管理策略

9、 規(guī)定各等級(jí)信息系統(tǒng)機(jī)房及辦公區(qū)等物理環(huán)境的安全管理策略 規(guī)定各等級(jí)信息系統(tǒng)介質(zhì)、設(shè)備的安全管理策略 規(guī)定各等級(jí)信息系統(tǒng)運(yùn)行安全管理策略 規(guī)定各等級(jí)信息系統(tǒng)安全事件處置和應(yīng)急管理策略 形成信息系統(tǒng)安全管理策略框架 活動(dòng)輸出 信息系統(tǒng)安全管理體系結(jié)構(gòu)。,整體安全管理體系結(jié)構(gòu)設(shè)計(jì),活動(dòng)目標(biāo) 將總體安全設(shè)計(jì)工作的結(jié)果文檔化，最后形成一套指導(dǎo)機(jī)構(gòu)信息安全工作的指導(dǎo)性文件。 活動(dòng)輸入 安全需求分析報(bào)告，信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)，信息系統(tǒng)安全管理體系結(jié)構(gòu)。,設(shè)計(jì)結(jié)果文檔化,活動(dòng)描述 對(duì)安全需求分析報(bào)告、信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)等文檔進(jìn)行整理，形成信息系統(tǒng)總體安全方案?？傮w方案包含如下內(nèi)容

10、： 信息系統(tǒng)概述； 總體安全策略； 信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)； 信息系統(tǒng)安全管理體系結(jié)構(gòu)。 活動(dòng)輸出 信息系統(tǒng)安全總體方案,設(shè)計(jì)結(jié)果文檔化,安全建設(shè)目標(biāo)確定 安全建設(shè)內(nèi)容規(guī)劃 安全建設(shè)項(xiàng)目計(jì)劃,6.4 安全建設(shè)項(xiàng)目規(guī)劃,活動(dòng)目標(biāo) 依據(jù)信息系統(tǒng)安全總體方案（一個(gè)或多個(gè)文件構(gòu)成）、機(jī)構(gòu)或單位信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃和機(jī)構(gòu)的安全建設(shè)資金狀況確定各個(gè)時(shí)期的安全建設(shè)目標(biāo)。 活動(dòng)輸入 信息系統(tǒng)安全總體方案、機(jī)構(gòu)或單位信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃。,安全建設(shè)目標(biāo)確定,活動(dòng)描述 信息化建設(shè)中長(zhǎng)期發(fā)展規(guī)劃和安全需求調(diào)查 提出信息系統(tǒng)安全建設(shè)分階段目標(biāo) 活動(dòng)輸出 信息系統(tǒng)分階段安全建設(shè)目標(biāo),安全建設(shè)目標(biāo)確定,活動(dòng)

11、目標(biāo) 根據(jù)安全建設(shè)目標(biāo)和信息系統(tǒng)安全總體方案的要求，設(shè)計(jì)分期分批的主要建設(shè)內(nèi)容，并將建設(shè)內(nèi)容組合成不同的項(xiàng)目，闡明項(xiàng)目之間的依賴或促進(jìn)關(guān)系等。 活動(dòng)輸入 信息系統(tǒng)安全總體方案，信息系統(tǒng)分階段安全建設(shè)目標(biāo)。,安全建設(shè)內(nèi)容規(guī)劃,活動(dòng)描述 確定主要安全建設(shè)內(nèi)容 確定主要安全建設(shè)項(xiàng)目 活動(dòng)輸出 安全建設(shè)項(xiàng)目列表（含安全建設(shè)內(nèi)容）,安全建設(shè)內(nèi)容規(guī)劃,活動(dòng)目標(biāo) 根據(jù)建設(shè)目標(biāo)和建設(shè)內(nèi)容，在時(shí)間和經(jīng)費(fèi)上對(duì)安全建設(shè)項(xiàng)目列表進(jìn)行總體考慮，分到不同的時(shí)期和階段，設(shè)計(jì)建設(shè)順序，進(jìn)行投資估算，形成安全建設(shè)項(xiàng)目計(jì)劃。 活動(dòng)輸入 信息系統(tǒng)安全總體方案，信息系統(tǒng)分階段安全建設(shè)目標(biāo)，安全建設(shè)內(nèi)容等。,形成安全建設(shè)項(xiàng)目計(jì)劃,活動(dòng)

12、描述 規(guī)劃建設(shè)的依據(jù)和原則 規(guī)劃建設(shè)的目標(biāo)和范圍 信息系統(tǒng)安全現(xiàn)狀 信息化的中長(zhǎng)期發(fā)展規(guī)劃 信息系統(tǒng)安全建設(shè)的總體框架 安全技術(shù)體系建設(shè)規(guī)劃 安全管理與安全保障體系建設(shè)規(guī)劃 安全建設(shè)投資估算 信息系統(tǒng)安全建設(shè)的實(shí)施保障等內(nèi)容 活動(dòng)輸出 信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃,形成安全建設(shè)項(xiàng)目計(jì)劃,安全設(shè)計(jì)與實(shí)施,7.1 工作流程 7.2 安全方案詳細(xì)設(shè)計(jì) 7.3 管理措施實(shí)現(xiàn) 7.4 技術(shù)措施實(shí)現(xiàn),7.1 安全設(shè)計(jì)與實(shí)施階段工作流程,技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì) 管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì) 設(shè)計(jì)結(jié)果文檔化,7.2 安全方案詳細(xì)設(shè)計(jì),活動(dòng)目標(biāo) 根據(jù)建設(shè)目標(biāo)和建設(shè)內(nèi)容將信息系統(tǒng)安全總體方案中要求實(shí)現(xiàn)的安全策略、安全技術(shù)體系結(jié)

13、構(gòu)、安全措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)。 活動(dòng)輸入 信息系統(tǒng)安全總體方案，信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃，各類信息技術(shù)產(chǎn)品和信息安全產(chǎn)品技術(shù)白皮書。,技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì),活動(dòng)描述 結(jié)構(gòu)框架設(shè)計(jì) 功能要求設(shè)計(jì) 性能要求設(shè)計(jì) 部署方案設(shè)計(jì) 制定安全策略實(shí)現(xiàn)計(jì)劃 活動(dòng)輸出 技術(shù)措施落實(shí)方案,技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì),活動(dòng)目標(biāo)： 根據(jù)機(jī)構(gòu)當(dāng)前安全管理需要和安全技術(shù)保障需要提出與信息系統(tǒng)安全總體方案中管理部分相適應(yīng)的本期安全實(shí)施內(nèi)容，以保證安全技術(shù)建設(shè)的同時(shí)，安全管理的同步建設(shè)。 活動(dòng)輸入

14、信息系統(tǒng)安全總體方案，信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃。,管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì),活動(dòng)描述： 結(jié)合系統(tǒng)實(shí)際安全管理需要和本次技術(shù)建設(shè)內(nèi)容，確定本次安全管理建設(shè)的范圍和內(nèi)容，同時(shí)注意與信息系統(tǒng)安全總體方案的一致性。安全管理設(shè)計(jì)的內(nèi)容主要考慮：安全管理機(jī)構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。 活動(dòng)輸出 管理措施落實(shí)方案。,管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì),活動(dòng)目標(biāo)： 將技術(shù)措施落實(shí)方案、管理措施落實(shí)方案匯總，同時(shí)考慮工時(shí)和費(fèi)用，最后形成指導(dǎo)安全實(shí)施的指導(dǎo)性文件。 活動(dòng)輸入 技術(shù)措施落實(shí)方案，管理措施落實(shí)方案。,設(shè)計(jì)結(jié)果文檔化,活動(dòng)描述： 本期建設(shè)目標(biāo)和建設(shè)內(nèi)容 技術(shù)實(shí)現(xiàn)框架 信息安全產(chǎn)品或組件功

15、能及性能 信息安全產(chǎn)品或組件部署 安全策略和配置 配套的安全管理建設(shè)內(nèi)容 工程實(shí)施計(jì)劃 項(xiàng)目投資概算 活動(dòng)輸出 安全詳細(xì)設(shè)計(jì)方案。,設(shè)計(jì)結(jié)果文檔化,管理機(jī)構(gòu)和人員設(shè)置 管理制度建設(shè)和修訂 人員安全技能培訓(xùn) 安全實(shí)施過程管理,7.3 管理措施實(shí)現(xiàn),活動(dòng)目標(biāo) 本活動(dòng)的目標(biāo)是建立配套的安全管理職能部門，通過管理機(jī)構(gòu)的崗位設(shè)置、人員的分工以及各種資源的配備，為信息系統(tǒng)的安全管理提供組織上的保障。 活動(dòng)輸入 機(jī)構(gòu)現(xiàn)有相關(guān)管理制度和政策，安全詳細(xì)設(shè)計(jì)方案。,管理機(jī)構(gòu)和人員的設(shè)置,活動(dòng)描述 安全組織確定 角色說明 活動(dòng)輸出 機(jī)構(gòu)、角色與職責(zé)說明書,管理機(jī)構(gòu)和人員的設(shè)置,活動(dòng)目標(biāo) 本活動(dòng)的目標(biāo)是建設(shè)或修訂與信

16、息系統(tǒng)安全管理相配套的、包括所有信息系統(tǒng)的建設(shè)、開發(fā)、運(yùn)維、升級(jí)和改造等各個(gè)階段和環(huán)節(jié)所應(yīng)當(dāng)遵循的行為規(guī)范和操作規(guī)程。 活動(dòng)輸入 安全組織結(jié)構(gòu)表，安全成員及角色說明書，安全詳細(xì)設(shè)計(jì)方案。,管理制度的建設(shè)和修訂,活動(dòng)描述 應(yīng)用范圍明確 人員職責(zé)定義 行為規(guī)范規(guī)定 評(píng)估與完善 活動(dòng)輸出 各項(xiàng)管理制度和操作規(guī)范,管理制度的建設(shè)和修訂,活動(dòng)目標(biāo) 對(duì)人員的職責(zé)、素質(zhì)、技能等方面進(jìn)行培訓(xùn)，保證人員具有與其崗位職責(zé)相適應(yīng)的技術(shù)能力和管理能力，以減少人為因素給系統(tǒng)帶來的安全風(fēng)險(xiǎn) 活動(dòng)輸入 系統(tǒng)/產(chǎn)品使用說明書，各項(xiàng)管理制度和操作規(guī)范 活動(dòng)描述 針對(duì)普通員工、管理員、開發(fā)人員、主管人員以及安全人員的特定技能培訓(xùn)

17、和安全意識(shí)培訓(xùn)，培訓(xùn)后進(jìn)行考核，合格者發(fā)給上崗資格證書等。 活動(dòng)輸出 培訓(xùn)記錄及上崗資格證書等。,人員安全技能培訓(xùn),活動(dòng)目標(biāo) 本活動(dòng)的目標(biāo)是在系統(tǒng)定級(jí)、規(guī)劃設(shè)計(jì)、實(shí)施過程中，對(duì)工程的質(zhì)量、進(jìn)度、文檔和變更等方面的工作進(jìn)行監(jiān)督控制和科學(xué)管理。 活動(dòng)輸入 安全設(shè)計(jì)與實(shí)施階段參與各方相關(guān)進(jìn)度控制和質(zhì)量監(jiān)督要求文檔。,安全實(shí)施過程管理,活動(dòng)描述 質(zhì)量管理 風(fēng)險(xiǎn)管理 變更管理 進(jìn)度管理 文檔管理 活動(dòng)輸出 各階段管理過程文檔,安全實(shí)施過程管理,信息安全產(chǎn)品采購 安全控制開發(fā) 安全控制集成 系統(tǒng)驗(yàn)收,7.4 技術(shù)措施實(shí)現(xiàn),活動(dòng)目標(biāo) 本活動(dòng)的目標(biāo)是按照安全詳細(xì)設(shè)計(jì)方案中對(duì)于產(chǎn)品的具體指標(biāo)要求進(jìn)行產(chǎn)品采購，根

18、據(jù)產(chǎn)品或產(chǎn)品組合實(shí)現(xiàn)的功能滿足安全設(shè)計(jì)要求的情況來選購所需的信息安全產(chǎn)品。 活動(dòng)輸入 安全詳細(xì)設(shè)計(jì)方案，相關(guān)產(chǎn)品信息。,信息安全產(chǎn)品采購,活動(dòng)描述 制定產(chǎn)品采購說明書 產(chǎn)品選擇 活動(dòng)輸出 需采購信息安全產(chǎn)品清單。,信息安全產(chǎn)品采購,活動(dòng)目標(biāo) 本活動(dòng)的目標(biāo)是對(duì)于一些不能通過采購現(xiàn)有信息安全產(chǎn)品來實(shí)現(xiàn)的安全措施和安全功能，通過專門進(jìn)行的設(shè)計(jì)、開發(fā)來實(shí)現(xiàn)。安全控制的開發(fā)應(yīng)當(dāng)與系統(tǒng)的應(yīng)用開發(fā)同步設(shè)計(jì)、同步實(shí)施，而應(yīng)用系統(tǒng)一旦開發(fā)完成后，再增加安全措施會(huì)造成很大的成本投入。因此，在應(yīng)用系統(tǒng)開發(fā)的同時(shí)，要依據(jù)安全詳細(xì)設(shè)計(jì)方案進(jìn)行安全控制的開發(fā)設(shè)計(jì)，保證系統(tǒng)應(yīng)用與安全控制同步建設(shè)。 活動(dòng)輸入 安全詳細(xì)設(shè)計(jì)方

19、案。,安全控制開發(fā),活動(dòng)描述 安全措施需求分析 概要設(shè)計(jì) 詳細(xì)設(shè)計(jì) 編碼實(shí)現(xiàn) 測(cè)試 安全控制開發(fā)過程文檔化 活動(dòng)輸出 安全控制開發(fā)過程相關(guān)文檔。,安全控制開發(fā),活動(dòng)目標(biāo) 將不同的軟硬件產(chǎn)品集成起來，依據(jù)安全詳細(xì)設(shè)計(jì)方案，將信息安全產(chǎn)品、系統(tǒng)軟件平臺(tái)和開發(fā)的安全控制模塊與各種應(yīng)用系統(tǒng)綜合、整合成為一個(gè)系統(tǒng)。安全控制集成的過程需要把安全實(shí)施、風(fēng)險(xiǎn)控制、質(zhì)量控制等有機(jī)結(jié)合起來，遵循運(yùn)營(yíng)使用單位與信息安全服務(wù)機(jī)構(gòu)共同參與相互配合的實(shí)施的原則。 活動(dòng)輸入 安全詳細(xì)設(shè)計(jì)方案。,安全控制集成,活動(dòng)描述 集成實(shí)施方案制定 集成準(zhǔn)備 集成實(shí)施 培訓(xùn) 形成安全控制集成報(bào)告 活動(dòng)輸出 安全控制集成報(bào)告。,安全控制集

20、成,活動(dòng)目標(biāo) 檢驗(yàn)系統(tǒng)是否嚴(yán)格按照安全詳細(xì)設(shè)計(jì)方案進(jìn)行建設(shè)，是否實(shí)現(xiàn)了設(shè)計(jì)的功能和性能。在安全控制集成工作完成后，系統(tǒng)測(cè)試及驗(yàn)收是從總體出發(fā)，對(duì)整個(gè)系統(tǒng)進(jìn)行集成性安全測(cè)試，包括對(duì)系統(tǒng)運(yùn)行效率和可靠性的測(cè)試，也包括對(duì)管理措施落實(shí)內(nèi)容的驗(yàn)收。 活動(dòng)輸入 安全詳細(xì)設(shè)計(jì)方案，安全控制集成報(bào)告。,系統(tǒng)驗(yàn)收,活動(dòng)描述 系統(tǒng)驗(yàn)收準(zhǔn)備 組織系統(tǒng)驗(yàn)收 驗(yàn)收?qǐng)?bào)告 系統(tǒng)交付 活動(dòng)輸出 系統(tǒng)驗(yàn)收?qǐng)?bào)告。,系統(tǒng)驗(yàn)收,安全運(yùn)行與維護(hù),8.1 工作流程 8.2 運(yùn)行管理和控制 8.3 變更管理和控制 8.4 安全狀態(tài)監(jiān)控 8.5 安全事件處置和應(yīng)急預(yù)案,8.6 安全檢查和持續(xù)改進(jìn) 8.7 等級(jí)測(cè)評(píng) 8.8 系統(tǒng)備案 8.9

21、監(jiān)督檢查,8.1 安全運(yùn)行與維護(hù)階段的工作流程,運(yùn)行管理職責(zé)確定 運(yùn)行管理過程控制,8.2 運(yùn)行管理和控制,活動(dòng)目標(biāo) 通過對(duì)運(yùn)行管理活動(dòng)或任務(wù)的角色劃分，并授予相應(yīng)的管理權(quán)限，來確定安全運(yùn)行管理的具體人員和職責(zé)。 活動(dòng)輸入 安全詳細(xì)設(shè)計(jì)方案，安全組織機(jī)構(gòu)表。 活動(dòng)描述 劃分運(yùn)行管理角色 授予管理權(quán)限 定義人員職責(zé) 活動(dòng)輸出 運(yùn)行管理人員角色和職責(zé)表。,運(yùn)行管理職責(zé)確定,活動(dòng)目標(biāo) 本活動(dòng)的主要目標(biāo)是通過制定運(yùn)行管理操作規(guī)程，確定運(yùn)行管理人員的操作目的、操作內(nèi)容、操作時(shí)間和地點(diǎn)、操作方法和流程等，并進(jìn)行操作過程記錄，確保對(duì)操作過程進(jìn)行控制。 活動(dòng)輸入 運(yùn)行管理需求，運(yùn)行管理人員角色和職責(zé)表。 活動(dòng)

22、描述 建立操作規(guī)程 操作過程記錄 活動(dòng)輸出 各類運(yùn)行管理操作規(guī)程。,運(yùn)行管理過程控制,變更需求和影響分析 變更過程控制,8.3 變更管理和控制,活動(dòng)目標(biāo) 是通過對(duì)變更需求和變更影響的分析，來確定變更的類別，計(jì)劃后續(xù)的活動(dòng)內(nèi)容。 活動(dòng)輸入 變更需求 活動(dòng)描述 變更需求分析 變更影響分析 明確變更的類別 制定變更方案 活動(dòng)輸出 變更方案,變更需求和影響分析,活動(dòng)目標(biāo) 確保變更實(shí)施過程受到控制，各項(xiàng)變化內(nèi)容進(jìn)行記錄，保證變更對(duì)業(yè)務(wù)的影響最小。 活動(dòng)輸入 變更方案 活動(dòng)描述 變更內(nèi)容審核和審批 建立變更過程日志 形成變更結(jié)果報(bào)告 活動(dòng)輸出 變更結(jié)果報(bào)告。,變更過程控制,監(jiān)控對(duì)象確定 監(jiān)控對(duì)象狀態(tài)信息收

23、集 監(jiān)控狀態(tài)分析和報(bào)告,8.4 安全狀態(tài)監(jiān)控,活動(dòng)目標(biāo) 確定可能會(huì)對(duì)信息系統(tǒng)安全造成影響的因素，即確定安全狀態(tài)監(jiān)控的對(duì)象。 活動(dòng)輸入 安全詳細(xì)設(shè)計(jì)方案、系統(tǒng)驗(yàn)收?qǐng)?bào)告等。 活動(dòng)描述 安全關(guān)鍵點(diǎn)分析 形成監(jiān)控對(duì)象列表 活動(dòng)輸出 監(jiān)控對(duì)象列表。,監(jiān)控對(duì)象確定,活動(dòng)目標(biāo) 選擇狀態(tài)監(jiān)控工具，收集安全狀態(tài)監(jiān)控的信息，識(shí)別和記錄入侵行為，對(duì)信息系統(tǒng)的安全狀態(tài)進(jìn)行監(jiān)控。 活動(dòng)輸入 監(jiān)控對(duì)象列表。 活動(dòng)描述 選擇監(jiān)控工具 狀態(tài)信息收集 活動(dòng)輸出 安全狀態(tài)信息。,監(jiān)控對(duì)象狀態(tài)信息收集,活動(dòng)目標(biāo) 通過是對(duì)安全狀態(tài)信息進(jìn)行分析，及時(shí)發(fā)現(xiàn)安全事件或安全變更需求，并對(duì)其影響程度和范圍進(jìn)行分析，形成安全狀態(tài)結(jié)果分析報(bào)告。

24、活動(dòng)輸入 安全狀態(tài)信息。 活動(dòng)描述 狀態(tài)分析 影響分析 形成安全狀態(tài)分析報(bào)告 活動(dòng)輸出 安全狀態(tài)分析報(bào)告。,監(jiān)控狀態(tài)分析和報(bào)告,安全事件分級(jí) 應(yīng)急預(yù)案制定 安全事件處置,8.5 安全事件處置和應(yīng)急預(yù)案,活動(dòng)目標(biāo) 結(jié)合信息系統(tǒng)的實(shí)際情況，分析事件對(duì)信息系統(tǒng)的破壞程度，所造成后果嚴(yán)重程度，將安全事件依次進(jìn)行分級(jí)。 活動(dòng)輸入 各類安全事件列表。 活動(dòng)描述 安全事件調(diào)查和分析 安全事件等級(jí)劃分 活動(dòng)輸出 安全事件報(bào)告程序。,安全事件分級(jí),活動(dòng)目標(biāo) 通過對(duì)安全事件的等級(jí)分析，在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同安全事件的應(yīng)急預(yù)案。 活動(dòng)輸入 安全事件報(bào)告程序 活動(dòng)描述： 確定應(yīng)急預(yù)案對(duì)象 確定和認(rèn)可各項(xiàng)職責(zé)

25、制定應(yīng)急預(yù)案程序及其執(zhí)行條件 活動(dòng)輸出 各類應(yīng)急預(yù)案。,應(yīng)急預(yù)案制定,活動(dòng)目標(biāo) 對(duì)監(jiān)控到的安全事件采取適當(dāng)?shù)姆椒ㄟM(jìn)行處置，對(duì)安全事件的影響程度和等級(jí)進(jìn)行分析，確定是否啟動(dòng)應(yīng)急響應(yīng)。 活動(dòng)輸入 安全狀態(tài)分析報(bào)告，安全事件報(bào)告程序，各類應(yīng)急預(yù)案。 活動(dòng)描述 安全事件上報(bào) 安全事件處置 安全事件總結(jié)和報(bào)告 活動(dòng)輸出 安全事件處置報(bào)告。,安全事件處置,安全狀態(tài)檢查 改進(jìn)方案制定 安全改進(jìn)實(shí)施,8.6 安全檢查和持續(xù)改進(jìn),活動(dòng)目標(biāo) 通過對(duì)信息系統(tǒng)的安全狀態(tài)進(jìn)行檢查，為信息系統(tǒng)的持續(xù)改進(jìn)過程提供依據(jù)和建議，確保信息系統(tǒng)的安全保護(hù)能力滿足相應(yīng)等級(jí)安全要求。 活動(dòng)輸入 信息系統(tǒng)詳細(xì)描述文件，變更結(jié)果報(bào)告，安全

26、狀態(tài)分析報(bào)告。 活動(dòng)描述 確定檢查對(duì)象和檢查方法，制定檢查計(jì)劃和檢查方案 安全檢查實(shí)施，結(jié)果和報(bào)告 活動(dòng)輸出 安全檢查報(bào)告。,安全狀態(tài)檢查,活動(dòng)目標(biāo) 依據(jù)安全檢查的結(jié)果，調(diào)整信息系統(tǒng)的安全狀態(tài)，保證信息系統(tǒng)安全防護(hù)的有效性。 活動(dòng)輸入 安全檢查報(bào)告。 活動(dòng)描述 安全改進(jìn)的立項(xiàng) 制定安全改進(jìn)方案 活動(dòng)輸出 安全改進(jìn)方案。,改進(jìn)方案制定,活動(dòng)目標(biāo) 保證按照安全改進(jìn)方案實(shí)現(xiàn)各項(xiàng)補(bǔ)充安全措施，并確保原有的技術(shù)措施和管理措施與各項(xiàng)補(bǔ)充的安全措施一致有效地工作。 活動(dòng)輸入 安全改進(jìn)方案。 活動(dòng)描述 安全方案實(shí)施控制 安全措施測(cè)試與驗(yàn)收 配套技術(shù)文件和管理制度的修訂 活動(dòng)輸出 測(cè)試或驗(yàn)收?qǐng)?bào)告。,安全改進(jìn)實(shí)施

27、,活動(dòng)目標(biāo) 通過信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)定期進(jìn)行等級(jí)測(cè)評(píng)，確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級(jí)的安全要求。 活動(dòng)輸入 信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告。 活動(dòng)描述 參見有關(guān)信息系統(tǒng)安全保護(hù)等級(jí)測(cè)評(píng)的規(guī)范或標(biāo)準(zhǔn)。 活動(dòng)輸出 安全等級(jí)測(cè)評(píng)報(bào)告。,8.7 等級(jí)測(cè)評(píng),活動(dòng)目標(biāo) 根據(jù)國(guó)家管理部門對(duì)備案的要求，整理相關(guān)備案材料，并向受理備案的單位提交備案材料。 活動(dòng)輸入 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，信息系統(tǒng)安全總體方案，安全詳細(xì)設(shè)計(jì)方案，安全等級(jí)測(cè)評(píng)報(bào)告。 活動(dòng)描述 備案材料整理 備案材料提交 活動(dòng)輸出 備案材料,8.8 系統(tǒng)備案,活動(dòng)目標(biāo) 通過國(guó)家管理部門對(duì)信息系統(tǒng)定級(jí)、規(guī)劃設(shè)計(jì)、建設(shè)實(shí)施和運(yùn)行管理等過程進(jìn)行監(jiān)督檢查，確保其符合信息系統(tǒng)安全保護(hù)相應(yīng)等級(jí)的要求。 活動(dòng)輸入 備案材料 活動(dòng)描述 參見信息安全等級(jí)保護(hù)監(jiān)督檢查的規(guī)范或標(biāo)準(zhǔn)。 活動(dòng)輸出 監(jiān)督檢查結(jié)果報(bào)告。,8.9 監(jiān)督檢查,信息系統(tǒng)終止,9.1 工作流程 9.2 信息轉(zhuǎn)移、暫存和清除