信息系统安全等级保护实施的过程.docxVIP

信息系统安全等级保护实施的过程 信息系统等级保护实施过程分为五个阶段：系统定级阶段、安全规划设计阶段、 安全实掩阶段、 安全运行维护阶段以及系统终止阶段。 （一）系统定级阶段 定级是等级保护实施的基础性 T 作，是进行相应等级安全建设的依据。系统定级阶段通过对信息系统的调查和功能分析后进行科学的划分，确定系统内子系统的个数、子系统之间的独立性和关联性、各个子系统所要完成的功能等， 以合适的信息系统安全等级定级方法科学地确定整个信息系统的安全等级。 用户完成定级工作之后， 更主要的是依据等级保护基本要求，进行等级化安全体系的设计与建设，使信息系统最终符合国家等级保护的基本要求。 另外，设计者还必须在深入理解定级的根本要求、 充分调查评估信息资产价值和安全风险的基础上才能完成准确定级， 形成整改初步方案， 最终顺利通过等家评审。可以说， 定级是一项专业性较强的基础性工作，系统定级阶段的顺利进行与否关系到整个信息系统的后续建设。 （二）安全规划设计阶段 系统安全规划设计阶段是信息系统开发的第二阶段，是根据定级阶段系统调查与分析的结果， 在已获准通过的系统说明书的基础上进行新系统的设计。 这个阶段的系统设计主要是根据信息系统的安全保护现状与国家等级保护基本要求之间的差异去确定系统安全需求，根据系统等级的划分情况、 系统妄全等级定级情况、 系统功能的实现 前景和安全需求提出合理的、 切实可行的、 满足系统等级保护要求的总体安全方案，为后续阶段的系统实施提供明确的指导思想。 （三）安全实施阶段 安全实施阶段的工作是通过规划设计阶段的安全方案，从软硬 件设备的准备、安全产品的采购、安全控制的开发和集成、安全人员 的培训和配置、 安全管理制度的建设和落实等环节上去实行， 以安全 等级实施标准为指导， 将安全规划设计阶段的安全方针和策略具体落 实到信息系统中去， 并最终制定出满意的符合安全需求的信息系统以 及配套的安全管理体系。 安全管理体系的建设应该贯穿整个信息系统 开发的生命周期，涉及等级保护实施过程的各个阶段。 （四）安全运行维护阶段 安全运行维护阶段主要是运行管理和控制、变更管理和控制、 对安全状态进行监控、 对发生的安全事件及时响应、 对系统灾难性恢 复、数据备份和容错调节等工作，以确保信息系统的正常运行。当信 息系统在运行过程中出现不满足安全等级保护要求的重大错误时， 要 根据安全定级标准来变更系统相应位置的管理和控制权限， 不断跟踪 系统的安全状态并及时反馈到控制部门， 以便针对信息系统中包含的 不稳定性、系统漏洞或错误作出局部调整。 安全运行维护阶段可以说 是信息系统安全状态监控、 安全事件处置和应急预案设立和使用的过 程。 （五）系统终止阶段 系统终止阶段是整个安全等级保护实施过程的最后部分，包括 对具有安全隐患的信息系统或无用的、 报废的子系统进行处理、 系统 中废旧无效的数据信息的筛选、存储介质或设备的废弃处理等环节。 系统终止阶段的工作核心是防止敏感信息的泄漏， 因此在处理系统废 弃设备、系统老旧组件、系统无效或错误数据的时候要特别小心，最 好多人次反复检查，以免造成机密泄漏事件。