第十三章 信息安全技术信息系统安全等级保护实施指南.PDFVIP

ICS 35.040 L80 中华人民共和国国家标准 GB/T ××××— ×××× 信息安全技术 信息系统安全等级保护实施指南 Information Security Technology- Implementation guide for classified protection of information system ××××- ××- ××发布 ××××- ××- ××实施 中华人民共和国国家质量监督检验检疫总局 发布 中 国 国 家 标 准 化 管 理 委 员 会 GB/T XXXX – XXXX 目 次 前言 III 引言 IV 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 等级保护实施概述 1 4.1 基本原则 1 4.2 角色和职责 1 4.3 实施的基本流程 2 5 信息系统定级 4 5.1 信息系统定级阶段的工作流程 4 5.2 信息系统分析 4 5.2.1 系统识别和描述 4 5.2.2 信息系统划分 5 5.3 安全保护等级确定 6 5.3.1 定级、审核和批准 6 5.3.2 形成定级报告 6 6 总体安全规划 7 6.1 总体安全规划阶段的工作流程 7 6.2 安全需求分析 8 6.2.1 基本安全需求的确定 8 6.2.2 额外/特殊安全需求的确定 9 6.2.3 形成安全需求分析报告 9 6.3 总体安全设计 10 6.3.1 总体安全策略设计 10 6.3.2 安全技术体系结构设计 10 6.3.3 整体安全管理体系结构设计 11 6.3.4 设计结果文档化 12 6.4 安全建设项目规划 12 6.4.1 安全建设目标确定 13 6.4.2 安全建设内容规划 13 6.4.3 形成安全建设项目计划 14 7 安全设计与实施 15 7.1 安全设计与实施阶段的工作流程 15 7.2 安全方案详细设计 16 7.2.1 技术措施实现内容设计 16 7.2.2 管理措施实现内容设计 16 7.2.3 设计结果文档化 17 7.3 管理措施实现 17 7.3.1 管理机构和人员的设置 17 7.3.2 管理制度的建设和修订 17 7.3.3 人员安全技能培训 18 I GB/T XXXX – XXXX 7.3.4 安全实施过程管理 18 7.4 技术措施实现 19 7.4.1 信息安全产品采购 19 7.4.2 安全控制开发 20 7.4.3 安全控制集成 20 7.4.4 系统验收 21 8 安全运行与维护 22 8.1 安全运行与维护阶段的工作流程 22 8.2 运行管理和控制 23 8.2.1 运行管理职责确定 23 8.2.2 运行管理过程控制 24 8.3 变更管理和控制 24 8.3.1 变更需求和影响分析 24 8.3.2 变更过程控制 25 8.4 安全状态监控 25 8.4.1 监控对象确定 25 8.4.2 监控对象状态信息收集 26 8.4.3 监控状态分析和报告 26 8.5 安全事件处置和应急预案 26 8.5.1 安全事件分级 27 8.5.2 应急预案制定 27 8.5.3 安全事件处置 27 8.6 安全检查和持续改进 28 8.6.