天海威等保实施4（更新）.pptVIP

目录 1、总体框架 2、实施指南的作用1 实施指南的作用2 作为系统等级保护实施的指南性文件 指导对一个信息系统实施安全等级保护的参与各方，如何在等级保护实施过程的各个阶段开展相应的活动，给出阶段活动的内容、控制方法和输出结果。 作为等级保护标准体系的指引性文件 介绍实施信息系统等级保护过程中，在不同阶段和从事不同活动中，如何使用等级保护标准体系中的其他等级保护相关标准。 3、文本机构 4、使用对象 《实施指南》以信息系统的生命周期为主线，描述信息系统安全等级保护实施的基本过程，而信息系统安全等级保护实施过程本身是一个多方参与的工作，将会涉及到各类组织，所以《实施指南》的使用对象包括信息系统安全等级保护实施过程中的参与各方。具体包括：国家管理部门、信息系统主管部门、信息系统运营使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等 5、实施指南的思路 5.1 风险评估与等级保护 在对信息系统实施等级保护的过程中，风险分析可以作为一种辅助手段。等级保护的相关标准对不同级别的信息系统提出了基本保护要求，基本保护要求是系统安全建设的基础，但是不同的信息系统由于其本身的特性，除基本保护要求外，还有其特殊的安全需求，可以通过风险分析的方法选择需要补充的安全措施，从而在等级保护的基础上，体现各系统防护措施的特殊性。 5.2 工程的思维 对信息系统实施等级保护的过程也是一个工程过程，其主要思路可以借鉴安全工程的思路，但是由于对信息系统实施等级保护的过程是以信息系统的合理定级活动开始的，与安全工程相比，考虑问题的思路和方法都将有所不同，具体活动也会有所区别。 5.3 等保思维 与风险管理和安全工程不同，实施信息系统等级保护的第一个步骤是确定保护对象，即信息系统的安全等级，然后根据确定的安全等级对信息系统进行符合相应等级保护要求的安全建设和安全管理。对信息系统实施等级保护涉及很多活动，包括系统定级、参照等级保护基本要求的安全措施选择、安全方案的设计、安全工程的实施、系统安全运行管理等等，上述活动均在《实施指南》中有所描述 对信息系统实施等级保护过程中所涉及的活动分散在信息系统生命周期的不同阶段进行，有些活动之间具有一定的继承性，也就是说必须在一个活动完成后才能进行下一个活动，比如必须进行安全方案设计，完成后才能进行安全工程实施，有些活动没有明显的继承性，比如系统的安全状态监控和系统的变更管理控制。为了保证《实施指南》对活动描述的全面性，《实施指南》应覆盖信息系统生命周期所有阶段的安全活动 5.4 实施指南的思路 1、以信息系统等级保护建设为主要线索 为了保证《实施指南》的描述有一个清晰的思路，各类使用人员都能够理解和较好地使用，实施指南并不以某个特定单位的活动为主线进行描述，而是以信息系统等级保护建设所要从事的活动为主线进行描述，有些活动可能是这个单位执行的，另一些活动可能是另一个单位执行的。《实施指南》的读者根据自己的角色和从事的活动选择相应的内容作为指导 2、定义信息系统等级保护实施的基本流程 《实施指南》根据信息系统等级保护实施的特点，结合风险管理和安全工程方法提出信息系统等级保护实施的基本流程，将等级保护实施过程划分为几个不同的阶段，然后分章节介绍和描述不同阶段的安全活动，，指导系统建设者和系统运营者在系统建设和运营期间更好地同步进行等级保护建设。 通过对信息系统等级保护实施基本流程的提出，更好地描述信息系统等级保护实施的不断循环过程；级别变更可能触发另一个等级保护实施流程的执行；风险评估和安全测评可能导致等级保护实施流程中局部活动的重复执行等 3、介绍和描述每个阶段主要的实施过程和主要活动 为了便于用户使用《实施指南》，《实施指南》根据基本实施流程的阶段划分，分为不同的章节，每个阶段对应一章。每一章介绍和描述本阶段所要进行的过程和主要安全活动，如果过程具有顺序性，将用流程图的形式表述过程的执行过程，如果没有顺序性，则用框图分别表述每一个过程活动。《实施指南》将每个过程作为章下的节，每一节详细描述过程的内容，包括过程可能的实施主体，主要的活动内容和工作方法，过程的输入和输出内容。 目录 1、概念 1、信息系统安全保护等级 信息系统重要程度的表征。重要程度以信息系统受到破坏后，对国家安全、社会秩序、经济建设和公共利益造成的损害程度来衡量。 2、信息系统安全等级保护 对信息系统分等级实施安全保护。 3、信息系统生命周期 信息系统从存在到消失的整个时间周期。通常观点认为信息系统生命周期包括五个阶段，即启动准备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。 4、阶段和阶段目标 信息系统生命周期中，具有代表性的时段划分，称为阶段。通常以经历一系列相关的过程，完成一系列相关的活动，产生一个标