信息安全技术信息系统安全等级保护实施指南 - szcertorg.doc

 目 次 前言 III 引言 IV 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 等级保护实施概述 1 4.1 基本原则 1 4.2 角色和职责 1 4.3 实施的基本流程 2 5 信息系统定级 4 5.1 信息系统定级阶段的工作流程 4 5.2 信息系统分析 4 5.2.1 系统识别和描述 4 5.2.2 信息系统划分 5 5.3 安全保护等级确定 6 5.3.1 定级、审核和批准 6 5.3.2 形成定级报告 6 6 总体安全规划 7 6.1 总体安全规划阶段的工作流程 7 6.2 安全需求分析 8 6.2.1 基本安全需求的确定 8 6.2.2 额外/特殊安全需求的确定 9 6.2.3 形成安全需求分析报告 9 6.3 总体安全设计 10 6.3.1 总体安全策略设计 10 6.3.2 安全技术体系结构设计 10 6.3.3 整体安全管理体系结构设计 11 6.3.4 设计结果文档化 12 6.4 安全建设项目规划 12 6.4.1 安全建设目标确定 13 6.4.2 安全建设内容规划 13 6.4.3 形成安全建设项目计划 14 7 安全设计与实施 15 7.1 安全设计与实施阶段的工作流程 15 7.2 安全方案详细设计 16 7.2.1 技术措施实现内容设计 16 7.2.2 管理措施实现内容设计 16 7.2.3 设计结果文档化 17 7.3 管理措施实现 17 7.3.1 管理机构和人员的设置 17 7.3.2 管理制度的建设和修订 17 7.3.3 人员安全技能培训 18 7.3.4 安全实施过程管理 18 7.4 技术措施实现 19 7.4.1 信息安全产品采购 19 7.4.2 安全控制开发 20 7.4.3 安全控制集成 20 7.4.4 系统验收 21 8 安全运行与维护 22 8.1 安全运行与维护阶段的工作流程 22 8.2 运行管理和控制 23 8.2.1 运行管理职责确定 23 8.2.2 运行管理过程控制 24 8.3 变更管理和控制 24 8.3.1 变更需求和影响分析 24 8.3.2 变更过程控制 25 8.4 安全状态监控 25 8.4.1 监控对象确定 25 8.4.2 监控对象状态信息收集 26 8.4.3 监控状态分析和报告 26 8.5 安全事件处置和应急预案 27 8.5.1 安全事件分级 27 8.5.2 应急预案制定 27 8.5.3 安全事件处置 27 8.6 安全检查和持续改进 28 8.6.1 安全状态检查 28 8.6.2 改进方案制定 29 8.6.3 安全改进实施 29 8.7 等级测评 29 8.8 系统备案 30 8.9 监督检查 30 9 信息系统终止 30 9.1 信息系统终止阶段的工作流程 30 9.2 信息转移、暂存和清除 31 9.3 设备迁移或废弃 31 9.4 存储介质的清除或销毁 32 附录A（规范性附录）主要过程及其活动输出 33 前 言 本标准的附录A是规范性附录。 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位：公安部信息安全等级保护评估中心。 本标准主要起草人：毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。  引 言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T AAAA-AAAA 信息安全技术 信息系统安全等级保护定级指南； ——GB/T BBBB-BBBB 信息安全技术 信息系统安全等级保护基本要求。 在对信息系统实施信息安全等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关信息安全等级保护的标准开展工作。 在信息系统定级阶段，应按照GB/T AAAA-AAAA介绍的方法，确定信息系统安全保护等级。 在信息系统总体安全规划，安全设计与实施，安全运行与维护和信息系统终止等阶段，应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。 G