等级保护实施指南.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 活动目标 通过采用合理的方式对计算机介质（包括磁带、磁盘、打印结果和文档）进行信息清除或销毁处理，防止介质内的敏感信息泄露。 活动输入 存储介质清单等 活动描述 识别要清除或销毁的介质 确定存储介质处理方法和流程 处理方案审批 存储介质处理和记录 活动输出 存储介质的清除或销毁记录文档 9.4 存储介质的清除或销毁 归纳 等级保护安全规划 交付 安全建设模型 实施 设计 规划 运维 测评 改进 识别 四级管理 三级管理 二级管理 等保 三级技术 四级技术 二级技术 对抗 能力 恢复 能力 * * * * * * * * * 局部调整 在安全运行与维护阶段，当系统局部调整时，如果不影响系统的安全等级，应从安全运行与维护阶段进入安全设计与实施阶段，重新调整和实施安全措施，确保满足等级保护的要求； 级别变更 在安全运行与维护阶段，当系统发生重大变更导致影响系统的安全等级时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一次等级保护的实施流程。 * * * * * * * 新建系统 在信息系统生命周期的启动/准备、设计/开发阶段同步实施系统定级和系统设计，根据信息系统承载的业务对信息系统合理分级之后，国家标准《信息系统安全等级保护基本要求》就是对各个级别系统的明确安全需求，系统的安全规划设计应以此为依据。 已建系统 对于一个已建系统，在对系统进行划分，并确定了不同系统的安全保护等级之后，关注的重点是不同安全保护等级的系统目前采取的安全保护措施与国家等级保护要求之间的差距有多大，这种差距就是未来需要对系统进行安全改造的目标，也就是安全改造设计方案的安全需求输入。 * * * * * * * * * * * 活动描述 安全措施需求分析 概要设计 详细设计 编码实现 测试 安全控制开发过程文档化 活动输出 安全控制开发过程相关文档。 安全控制开发 活动目标 将不同的软硬件产品集成起来，依据安全详细设计方案，将信息安全产品、系统软件平台和开发的安全控制模块与各种应用系统综合、整合成为一个系统。安全控制集成的过程需要把安全实施、风险控制、质量控制等有机结合起来，遵循运营使用单位与信息安全服务机构共同参与相互配合的实施的原则。 活动输入 安全详细设计方案。 安全控制集成 活动描述 集成实施方案制定 集成准备 集成实施 培训 形成安全控制集成报告 活动输出 安全控制集成报告。 安全控制集成 活动目标 检验系统是否严格按照安全详细设计方案进行建设，是否实现了设计的功能和性能。在安全控制集成工作完成后，系统测试及验收是从总体出发，对整个系统进行集成性安全测试，包括对系统运行效率和可靠性的测试，也包括对管理措施落实内容的验收。 活动输入 安全详细设计方案，安全控制集成报告。 系统验收 活动描述 系统验收准备 组织系统验收 验收报告 系统交付 活动输出 系统验收报告。 系统验收 安全运行与维护 8.1 工作流程 8.2 运行管理和控制 8.3 变更管理和控制 8.4 安全状态监控 8.5 安全事件处置和应急预案 8.6 安全检查和持续改进 8.7 等级测评 8.8 系统备案 8.9 监督检查 8.1 安全运行与维护阶段的工作流程 运行管理职责确定 运行管理过程控制 8.2 运行管理和控制 活动目标 通过对运行管理活动或任务的角色划分，并授予相应的管理权限，来确定安全运行管理的具体人员和职责。 活动输入 安全详细设计方案，安全组织机构表。 活动描述 划分运行管理角色 授予管理权限 定义人员职责 活动输出 运行管理人员角色和职责表。 运行管理职责确定 活动目标 本活动的主要目标是通过制定运行管理操作规程，确定运行管理人员的操作目的、操作内容、操作时间和地点、操作方法和流程等，并进行操作过程记录，确保对操作过程进行控制。 活动输入 运行管理需求，运行管理人员角色和职责表。 活动描述 建立操作规程 操作过程记录 活动输出 各类运行管理操作规程。 运行管理过程控制 变更需求和影响分析 变更过程控制 8.3 变更管理和控制 活动目标 是通过对变更需求和变更影响的分析，来确定变更的类别，计划后续的活动内容。 活动输入 变更需求 活动描述 变更需求分析 变更影响分析 明确变更的类别 制定变更方案 活动输出 变更方案 变更需求和影响分析 活动目标 确保变更实施过程受到控制，各项变化内容进行记录，保证变更对业务的影响最小。 活动输入 变更方案 活动描述 变更