信息安全技术_信息系统安全等级保护实施的指南.doc

《信息安全技术_信息系统安全等级保护实施的指南.doc》由会员分享，可在线阅读，更多相关《信息安全技术_信息系统安全等级保护实施的指南.doc（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、. .信息平安技术信息系统平安等级保护实施指南前言本标准的附录A是规性附录。本标准由公安部和全国信息平安标准化技术委员会提出。本标准由全国信息平安标准化技术委员会归口。本标准起草单位：公安部信息平安等级保护评估中心。本标准主要起草人：毕马宁、马力、雪秀、明、建平、任卫红、朝海、曲洁、袁静、升、静、罗峥。引言依据?中华人民国计算机信息系统平安保护条例?国务院147号令、?信息化领导小组关于加强信息平安保障工作的意见?中办发200327号、?关于信息平安等级保护工作的实施意见?公通字200466号和?信息平安等级保护管理方法?公通字200743号，制定本标准。本标准是信息平安等级保护相关系列标准之

2、一。与本标准相关的系列标准包括：GB/T AAAA-AAAA 信息平安技术信息系统平安等级保护定级指南；GB/T BBBB-BBBB 信息平安技术信息系统平安等级保护根本要求。在对信息系统实施信息平安等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关信息平安等级保护的标准开展工作。在信息系统定级阶段，应按照GB/T AAAA-AAAA介绍的法，确定信息系统平安保护等级。在信息系统总体平安规划，平安设计与实施，平安运行与维护和信息系统终止等阶段，应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T2027

3、1-2006等技术标准，设计、建立符合信息平安等级保护要求的信息系统，开展信息系统的运行维护管理工作。GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统平安等级保护的系列相关配套标准，其中GB17859-1999是根底性标准，GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展，GB/T BBBB-BBBB是以GB17859-1999为根底，根据现有技术开展水平提出的对不同平安保护等级信息系统的最

4、根本平安要求，是其他标准的一个底线子集。对信息系统的平安等级保护应从GB/T BBBB-BBBB出发，在保证信息系统满足根本平安要求的根底上，逐步提高对信息系统的保护水平，最终满足GB17859-1999、 GB/T20269-2006、GB/T20270-2006和 GB/T20271-2006等标准的要求。除本标准和上述提到的标准外，在信息系统平安等级保护实施过程中，还可参照和使用GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。信息系统平安等级保护实施指南1围本标准规定了信息系统平安等级保护实施的过程，适用于指导信息系统平安等级保护的实施。2规性引用文

5、件以下文件中的条款通过在本标准中的引用而成为本标准的条款。但凡注日期的引用文件，其随后所有的修改单不包括订正的容或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各研究是否使用这些文件的最新版本。但凡不注明日期的引用文件，其最新版本适用于本标准。GB/T 5271.8信息技术词汇第8局部：平安GB17859-1999计算机信息系统平安保护等级划分准那么GB/T AAAA-AAAA 信息平安技术信息系统平安等级保护定级指南3术语和定义GB/T 5271.8和GB 17859-1999确立的以及以下术语和定义适用于本标准。3.1等级测评 classified security testing

6、 and evaluation确定信息系统平安保护能力是否到达相应等级根本要求的过程。4等级保护实施概述4.1根本原那么信息系统平安等级保护的核心是对信息系统分等级、按标准进展建立、管理和监视。信息系统平安等级保护实施过程中应遵循以下根本原那么：a) 自主保护原那么信息系统运营、使用单位及其主管部门按照相关法规和标准，自主确定信息系统的平安保护等级，自行组织实施平安保护。b) 重点保护原那么根据信息系统的重要程度、业务特点，通过划分不同平安保护等级的信息系统，实现不同强度的平安保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。c) 同步建立原那么信息系统在新建、改建、扩建时应当同步规

7、划和设计平安案，投入一定比例的资金建立信息平安设施，保障信息平安与信息化建立相适应。d) 动态调整原那么要跟踪信息系统的变化情况，调整平安保护措施。由于信息系统的应用类型、围等条件的变化及其他原因，平安保护等级需要变更的，应当根据等级保护的管理规和技术标准的要求，重新确定信息系统的平安保护等级，根据信息系统平安保护等级的调整情况，重新实施平安保护。4.2角色和职责信息系统平安等级保护实施过程中涉及的各类角色和职责如下：a) 管理部门公安机关负责信息平安等级保护工作的监视、检查、指导；XX工作部门负责等级保护工作中有关XX工作的监视、检查、指导；密码管理部门负责等级保护工作中有关密码工作的监视、

8、检查、指导；涉及其他职能部门管辖围的事项，由有关职能部门依照法律法规的规定进展管理；国务院信息化工作办公室及地信息化领导小组办事机构负责等级保护工作的部门间协调。b) 信息系统主管部门负责依照信息平安等级保护的管理规和技术标准，催促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息平安等级保护工作。c) 信息系统运营、使用单位负责依照信息平安等级保护的管理规和技术标准，确定其信息系统的平安保护等级，有主管部门的，应当报其主管部门审核批准；根据已经确定的平安保护等级，到公安机关办理备案手续；按照信息平安等级保护管理规和技术标准，进展信息系统平安保护的规划设计；使用符合有关规定，满足

9、信息系统平安保护等级需求的信息技术产品和信息平安产品，开展信息系统平安建立或者改建工作；制定、落实各项平安管理制度，定期对信息系统的平安状况、平安保护制度及措施的落实情况进展自查，选择符合相关规定的等级测评机构，定期进展等级测评；制定不同等级信息平安事件的响应、处置预案，对信息系统的信息平安事件分等级进展应急处置。d) 信息平安效劳机构负责根据信息系统运营、使用单位的委托，依照信息平安等级保护的管理规和技术标准，协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的平安保护等级、进展平安需求分析、平安总体规划、实施平安建立和平安改造等。e) 信息平安等级测评机构负责根据信息系统

10、运营、使用单位的委托或根据管理部门的授权，协助信息系统运营、使用单位或管理部门，按照信息平安等级保护的管理规和技术标准，对已经完成等级保护建立的信息系统进展等级测评；对信息平安产品供应商提供的信息平安产品进展平安测评。f) 信息平安产品供应商负责按照信息平安等级保护的管理规和技术标准，开发符合等级保护相关要求的信息平安产品，承受平安测评；按照等级保护相关要求销售信息平安产品并提供相关效劳。4.3实施的根本流程在平安运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的平安保护等级并未改变，应从平安运行与维护阶段进入平安设计与实施阶段，重新设计、调整和实施平安措施，确保满足等级保护的要求

11、；但信息系统发生重大变更导致系统平安保护等级变化时，应从平安运行与维护阶段进入信息系统定级阶段，重新开场一轮信息平安等级保护的实施过程。5信息系统定级5.1信息系定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照有关管理规和GB/TAAAA-AAAA，确定信息系统的平安保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。5.2信息系统分析5.2.1系统识别和描述活动目标：本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息进展综合分析和整理，依据分析和整理的容形成组织机构信息系统的总体描述性文档。参与角色：信息系统运营、使用单

12、位，信息平安效劳机构。活动输入：信息系统的立项、建立和管理文档。活动描述：本活动主要包括以下子活动容：a) 识别信息系统的根本信息调查了解信息系统的行业特征、主管机构、业务围、地理位置以及信息系统根本情况，获得信息系统的背景信息和联络式。b) 识别信息系统的管理框架了解信息系统的组织管理构造、管理策略、部门设置和部门在业务运行中的作用、岗位职责，获得支持信息系统业务运营的管理特征和管理框架面的信息，从而明确信息系统的平安责任主体。c) 识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑构造和硬件设备的部署情况，在此根底上明确信息系统的边界，即确定定级对象及其围。d) 识别信息系统的业

13、务种类和特性了解机构主要依靠信息系统处理的业务种类和数量，这些业务各自的社会属性、业务容和业务流程等，从中明确支持机构业务运营的信息系统的业务特性，将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。e) 识别业务系统处理的信息资产了解业务系统处理的信息资产的类型，这些信息资产在XX性、完整性和可用性等面的重要性程度。f) 识别用户围和用户类型根据用户或用户群的分布围了解业务系统的效劳围、作用以及业务连续性面的要求等。g) 信息系统描述对收集的信息进展整理、分析，形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应包含以下容：1)系统概述；2)系统边界描

14、述；3)网络拓扑；4)设备部署；5)支撑的业务应用的种类和特性；6)处理的信息资产；7)用户的围和用户类型；8)信息系统的管理框架。活动输出：信息系统总体描述文件。5.2.2信息系统划分活动目标：本活动的目标是依据信息系统的总体描述文件，在综合分析的根底上将组织机构运行的信息系统进展合理分解，确定所包含可以作为定级对象的信息系统的个数。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统总体描述文件。活动描述：本活动主要包括以下子活动容：a) 划分法的选择一个组织机构可能运行一个大型信息系统，为了突出重点保护的等级保护原那么，应对大型信息系统进展划分，进展信息系统划分的法可以

15、有多种，可以考虑管理机构、业务类型、物理位置等因素，信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原那么。b) 信息系统划分依据选择的系统划分原那么，将一个组织机构拥有的大型信息系统进展划分，划分出相对独立的信息系统并作为定级对象，应保证每个相对独立的信息系统具备定级对象的根本特征。在信息系统划分的过程中，应该首先考虑组织管理的要素，然后考虑业务类型、物理区域等要素。c) 信息系统详细描述在对信息系统进展划分并确定定级对象后，应在信息系统总体描述文件的根底上，进一步增加信息系统划分信息的描述，准确描述一个大型信息系统中包括的定级对象的个数。进一步的信息系统详细描述文件应包含

16、以下容：1)相对独立信息系统列表；2每个定级对象的概述；3) 每个定级对象的边界；4) 每个定级对象的设备部署；5) 每个定级对象支撑的业务应用及其处理的信息资产类型；6) 每个定级对象的效劳围和用户类型；7) 其他容。活动输出：信息系统详细描述文件。5.3平安保护等级确定5.3.1定级、审核和批准活动目标：本活动的目标是按照有关管理规和GB/TAAAA-AAAA，确定信息系统的平安保护等级，并对定级结果进展审核和批准，保证定级结果的准确性。参与角色：信息系统主管部门，信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统总体描述文件，信息系统详细描述文件。活动描述：本活动主要包括以下子

17、活动容：a) 信息系统平安保护等级初步确定根据有关管理规和GB/TAAAA-AAAA确定的定级法，信息系统运营、使用单位对每个定级对象确定初步的平安保护等级。b) 定级结果审核和批准信息系统运营、使用单位初步确定了平安保护等级后，有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定平安保护等级。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当邀请信息平安保护等级专家评审委员会评审。活动输出：信息系统定级评审意见。5.3.2形成定级报告活动目标：本活动的目标是对定级过程中产生的文档进展整理，形成信息系统定级结果报告。参与角色：信息系统主管部门

18、，信息系统运营、使用单位。活动输入：信息系统总体描述文件，信息系统详细描述文件，信息系统定级结果。活动描述：对信息系统的总体描述文档、信息系统的详细描述文件、信息系统平安保护等级确定结果等容进展整理，形成文件化的信息系统定级结果报告。信息系统定级结果报告可以包含以下容：a) 单位信息化现状概述；b) 管理模式；c) 信息系统列表；d) 每个信息系统的概述；e) 每个信息系统的边界；f) 每个信息系统的设备部署；g) 每个信息系统支撑的业务应用；h) 信息系统列表、平安保护等级以及保护要求组合；i) 其他容。活动输出：信息系统平安保护等级定级报告。6总体平安规划6.1总体平安规划阶段的工作流程总

19、体平安规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统平安需求，设计合理的、满足等级保护要求的总体平安案，并制定出平安实施方案，以指导后续的信息系统平安建立工程实施。对于已运营运行的信息系统，需求分析应当首先分析判断信息系统的平安保护现状与等级保护要求之间的差距。6.2平安需求分析6.2.1根本平安需求确实定活动目标：本活动的目标是根据信息系统的平安保护等级，判断信息系统现有的平安保护水平与等级保护管理规和技术标准之间的差距，提出信息系统的根本平安保护需求。参与角色：信息系统运营、使用单位，信息平安效劳机构，信息平安等级测评机构。活动输入：

20、信息系统详细描述文件，信息系统平安保护等级定级报告，信息系统相关的其它文档，信息系统平安等级保护根本要求。活动描述：本活动主要包括以下子活动容：a) 确定系统围和分析对象明确不同等级信息系统的围和边界，通过调查或查阅资料的式，了解信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、平安措施状况等。初步确定每个等级信息系统的分析对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、效劳器设备、工作站、应用系统等。b) 形成评价指标和评估案根据各个信息系统的平安保护等级从信息系统平安等级保护根本要求中选择相应等级的指标，形成评价指标。根据评价指标，结合确定的具

21、体对象制定可以操作的评估案，评估案可以包含以下容：1) 管理状况评估表格；2) 网络状况评估表格；3) 网络设备含平安设备评估表格；4) 主机设备评估表格；5) 主要设备平安测试案；6) 重要操作的作业指导书。c) 现状与评价指标比照通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等式进展平安技术和平安管理面的评估，判断平安技术和平安管理的各个面与评价指标的符合程度，给出判断结论。整理和分析不符合的评价指标，确定信息系统平安保护的根本需求。活动输出：根本平安需求。6.2.2额外特殊平安需求确实定活动目标：本活动的目标是通过对信息系统重要资产特殊保护要求的分析，确定超出相

22、应等级保护根本要求的局部或具有特殊平安保护要求的局部，采用需求分析/风险分析的法，确定可能的平安风险，判断对超出等级保护根本要求局部实施特殊平安措施的必要性，提出信息系统的特殊平安保护需求。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统详细描述文件，信息系统平安保护等级定级报告，信息系统相关的其它文档。活动描述：确定特殊平安需求可以采用目前成熟或流行的需求分析/风险分析法，或者采用下面介绍的活动：a) 重要资产的分析明确信息系统中的重要部件，如边界设备、网关设备、核心网络设备、重要效劳器设备、重要应用系统等。b) 重要资产平安弱点评估检查或判断上述重要部件可能存在的弱点

23、，包括技术上和管理上的；分析平安弱点被利用的可能性。c) 重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁，包括外部的威胁和部的威胁，威胁发生的可能性或概率。d) 综合风险分析分析威胁利用弱点可能产生的结果，结果产生的可能性或概率，结果造成的损害或影响的大小，以及防止上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定平安保护的要求。活动输出：重要资产的特殊保护要求。6.2.3形成平安需求分析报告活动目标：本活动的目标是总结根本平安需求和特殊平安需求，形成平安需求分析报告。参与角色：信息系统运营，使用单位，信息平安效劳机构。活动输入：信息系统详细描述文件，信息系统平

24、安保护等级定级报告，根本平安需求，重要资产的特殊保护要求。活动描述：本活动主要包括以下子活动容：a) 完成平安需求分析报告根据根本平安需求和特殊的平安保护需求等形成平安需求分析报告。平安需求分析报告可以包含以下容：1) 信息系统描述；2) 平安管理状况；3) 平安技术状况；4) 存在的缺乏和可能的风险；5) 平安需求描述。活动输出：平安需求分析报告。6.3总体平安设计6.3.1总体平安策略设计活动目标：本活动的目标是形成机构纲领性的平安策略文件，包括确定平安针，制定平安策略，以便结合等级保护根本要求和平安保护特殊要求，构建机构信息系统的平安技术体系构造和平安管理体系构造。参与角色：信息系统运营

25、、使用单位，信息平安效劳机构。活动输入：信息系统详细描述文件，信息系统平安保护等级定级报告，平安需求分析报告。活动描述：本活动主要包括以下子活动容：a) 确定平安针形成机构最高层次的平安针文件，说明平安工作的使命和意愿，定义信息平安的总体目标，规定信息平安责任机构和职责，建立平安工作运行模式等。b) 制定平安策略形成机构高层次的平安策略文件，说明平安工作的主要策略，包括平安组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等。活动输出：总体平安策略文件。6.3.2平安技术体系构造设计活动目标：本活动的目标是根据信息系统平安等级保护根本要求、平安需求分析报告、机

26、构总体平安策略文件等，提出系统需要实现的平安技术措施，形成机构特定的系统平安技术体系构造，用以指导信息系统分等级保护的具体实现。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统详细描述文件，信息系统平安保护等级定级报告，平安需求分析报告，信息系统平安等级保护根本要求。活动描述：本活动主要包括以下子活动容：a) 规定骨干网/城域网的平安保护技术措施根据机构总体平安策略文件、等级保护根本要求和平安需求，提出骨干网/城域网的平安保护策略和平安技术措施。骨干网/城域网的平安保护策略和平安技术措施提出时应考虑网络线路和网络设备共享的情况，如果不同级别的子系统通过骨干网/城域网的同一

27、线路和设备传输数据，线路和设备的平安保护策略和平安技术措施应满足最高级别子系统的等级保护根本要求。b) 规定子系统之间互联的平安技术措施根据机构总体平安策略文件、等级保护根本要求和平安需求，提出跨局域网互联的子系统之间的信息传输保护策略要求和具体的平安技术措施，包括同级互联的策略、不同级别互联的策略等；提出局域网部互联的子系统之间的信息传输保护策略要求和具体的平安技术措施，包括同级互联的策略、不同级别互联的策略等。c) 规定不同级别子系统的边界保护技术措施根据机构总体平安策略文件、等级保护根本要求和平安需求，提出不同级别子系统边界的平安保护策略和平安技术措施。子系统边界平安保护策略和平安技术措

28、施提出时应考虑边界设备共享的情况，如果不同级别的子系统通过同一设备进展边界保护，这个边界设备的平安保护策略和平安技术措施应满足最高级别子系统的等级保护根本要求。d) 规定不同级别子系统部系统平台和业务应用的平安保护技术措施根据机构总体平安策略文件、等级保护根本要求和平安需求，提出不同级别子系统部网络平台、系统平台和业务应用的平安保护策略和平安技术措施。e) 规定不同级别信息系统机房的平安保护技术措施根据机构总体平安策略文件、等级保护根本要求和平安需求，提出不同级别信息系统机房的平安保护策略和平安技术措施。信息系统机房平安保护策略和平安技术措施提出时应考虑不同级别的信息系统共享机房的情况，如果不

29、同级别的信息系统共享同一机房，机房的平安保护策略和平安技术措施应满足最高级别信息系统的等级保护根本要求。f) 形成信息系统平安技术体系构造将骨干网/城域网、通过骨干网/城域网的子系统互联、局域网部的子系统互联、子系统的边界、子系统部各类平台、机房以及其他面的平安保护策略和平安技术措施进展整理、汇总，形成信息系统的平安技术体系构造。活动输出：信息系统平安技术体系构造。6.3.3整体平安管理体系构造设计活动目标：本活动的目标是根据等级保护根本要求、平安需求分析报告、机构总体平安策略文件等，调整原有管理模式和管理策略，既从全局高度考虑为每个等级信息系统制定统一的平安管理策略，又从每个信息系统的实际需

30、求出发，选择和调整具体的平安管理措施，最后形成统一的整体平安管理体系构造。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统详细描述文件，信息系统平安保护等级定级报告，平安需求分析报告，信息系统平安等级保护根本要求。活动描述：本活动主要包括以下子活动容：a) 规定信息平安的组织管理体系和对各信息系统的平安管理职责根据机构总体平安策略文件、等级保护根本要求和平安需求，提出机构的平安组织管理机构框架，分配各个级别信息系统的平安管理职责，规定各个级别信息系统的平安管理策略等。b) 规定各等级信息系统的人员平安管理策略根据机构总体平安策略文件、等级保护根本要求和平安需求，提出各个不

31、同级别信息系统的管理人员框架，分配各个级别信息系统的管理人员职责，规定各个级别信息系统的人员平安管理策略等。c) 规定各等级信息系统机房及办公区等物理环境的平安管理策略根据机构总体平安策略文件、等级保护根本要求和平安需求，提出各个不同级别信息系统的机房和办公环境的平安策略。d) 规定各等级信息系统介质、设备等的平安管理策略根据机构总体平安策略文件、等级保护根本要求和平安需求，提出各个不同级别信息系统的介质、设备等的平安策略。e) 规定各等级信息系统运行平安管理策略根据机构总体平安策略文件、等级保护根本要求和平安需求，提出各个不同级别信息系统的平安运行与维护框架和运维平安策略等。f) 规定各等级

32、信息系统平安事件处置和应急管理策略根据机构总体平安策略文件、等级保护根本要求和平安需求，提出各个不同级别信息系统的平安事件处置和应急管理策略等。g) 形成信息系统平安管理策略框架将上述各个面的平安管理策略进展整理、汇总，形成信息系统的整体平安管理体系构造。活动输出：信息系统平安管理体系构造。6.3.4设计结果文档化活动目标：本活动的目标是将总体平安设计工作的结果文档化，最后形成一套指导机构信息平安工作的指导性文件。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：平安需求分析报告，信息系统平安技术体系构造，信息系统平安管理体系构造。活动描述：对平安需求分析报告、信息系统平安技术体系

33、构造和平安管理体系构造等文档进展整理，形成信息系统总体平安案。信息系统总体平安案包含以下容：a) 信息系统概述；b) 总体平安策略；c) 信息系统平安技术体系构造；d) 信息系统平安管理体系构造。活动输出：信息系统平安总体案。6.4平安建立工程规划6.4.1平安建立目标确定活动目标：本活动的目标是依据信息系统平安总体案一个或多个文件构成、机构或单位信息化建立的中长期开展规划和机构的平安建立资金状况确定各个时期的平安建立目标。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统平安总体案、机构或单位信息化建立的中长期开展规划。活动描述：本活动主要包括以下子活动容：a) 信息化建

34、立中长期开展规划和平安需求调查了解和调查单位信息化建立的现况、中长期信息化建立的目标、主管部门对信息化的投入，比照信息化建立过程中阶段状态与平安策略规划之间的差距，分析急迫和关键的平安问题，考虑可以同步进展的平安建立容等。b) 提出信息系统平安建立分阶段目标制定系统在规划期一般平安规划期为3年所要实现的总体平安目标；制定系统短期1年以要实现的平安目标，主要解决目前急迫和关键的问题，争取在短期平安状况有大幅度提高。活动输出：信息系统分阶段平安建立目标。6.4.2平安建立容规划活动目标：本活动的目标是根据平安建立目标和信息系统平安总体案的要求，设计分期分批的主要建立容，并将建立容组合成不同的工程，

35、说明工程之间的依赖或促进关系等。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统平安总体案，信息系统分阶段平安建立目标。活动描述：本活动主要包括以下子活动容：a确定主要平安建立容根据信息系统平安总体案明确主要的平安建立容，并将其适当的分解。主要建立容可能分解但不限于以下容：1) 平安根底设施建立；2) 网络平安建立；3) 系统平台和应用平台平安建立；4) 数据系统平安建立；5) 平安标准体系建立；6) 人才培养体系建立；7) 平安管理体系建立。b确定主要平安建立工程组合平安建立容为不同的平安建立工程，描述工程所解决的主要平安问题及所要到达的平安目标，对工程进展支持或依赖等

36、相关性分析，对工程进展紧迫性分析，对工程进展实施难易程度分析，对工程进展预期效果分析，描述工程的具体工作容、建立案，形成平安建立工程列表。活动输出：平安建立工程列表含平安建立容。6.4.3形成平安建立工程方案活动目标：本活动的目标是根据建立目标和建立容，在时间和经费上对平安建立工程列表进展总体考虑，分到不同的时期和阶段，设计建立顺序，进展投资估算，形成平安建立工程方案。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统平安总体案，信息系统分阶段平安建立目标，平安建立容等。活动描述：对信息系统分阶段平安建立目标、平安总体案和平安建立容等文档进展整理，形成信息系统平安建立工程方

37、案。平安建立工程方案可包含以下容：a) 规划建立的依据和原那么；b) 规划建立的目标和围；c) 信息系统平安现状；d) 信息化的中长期开展规划；e) 信息系统平安建立的总体框架；f) 平安技术体系建立规划；g) 平安管理与平安保障体系建立规划；h) 平安建立投资估算；i) 信息系统平安建立的实施保障等容。活动输出：信息系统平安建立工程方案。7平安设计与实施7.1平安设计与实施阶段的工作流程平安设计与实施阶段的目标是按照信息系统平安总体案的要求，结合信息系统平安建立工程方案，分期分步落实平安措施。7.2平安案详细设计7.2.1技术措施实现容设计活动目标：本活动的目标是根据建立目标和建立容将信息系

38、统平安总体案中要现的平安策略、平安技术体系构造、平安措施和要求落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规，并将产品功能特征整理成文档。使得在信息平安产品采购和平安控制开发阶段具有依据。参与角色：信息系统运营、使用单位，信息平安效劳机构，信息平安产品供应商。活动输入：信息系统平安总体案，信息系统平安建立工程方案，各类信息技术产品和信息平安产品技术白皮书。活动描述：本活动主要包括以下子活动容：a) 构造框架设计依据本次实施工程的建立容和信息系统的实际情况，给出与总体平安规划阶段的平安体系构造一致的平安实现技术框架，容可能包括平安防护的层次、信息平安产品的使用、网络子系统划分、I

39、P地址规划其他容。b) 功能要求设计对平安实现技术框架中使用到的相关信息平安产品，如防火墙、VPN、网闸、认证网关、代理效劳器、网络防病毒、PKI等提出功能指标要求。对需要开发的平安控制组件，提出功能指标要求。c) 性能要求设计对平安实现技术框架中使用到的相关信息平安产品，如防火墙、VPN、网闸、认证网关、代理效劳器、网络防病毒、PKI等提出性能指标要求。对需要开发的平安控制组件，提出性能指标要求。d) 部署案设计结合目前信息系统网络拓扑，以图示的式给出平安技术实现框架的实现式，包括信息平安产品或平安组件的部署位置、连线式、IP地址分配等。对于需对原有网络进展调整的，给出网络调整的图示案等。e

40、) 制定平安策略实现方案依据信息系统平安总体案中提出的平安策略的要求，制定设计和设置信息平安产品或平安组件的平安策略实现方案。活动输出：技术措施落实案。7.2.2管理措施实现容设计活动目标：本活动的目标是根据机构当前平安管理需要和平安技术保障需要提出与信息系统平安总体案中管理局部相适应的本期平安实施容，以保证平安技术建立的同时，平安管理的同步建立。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统平安总体案，信息系统平安建立工程方案。活动描述：结合系统实际平安管理需要和本次技术建立容，确定本次平安管理建立的围和容，同时注意与信息系统平安总体案的一致性。平安管理设计的容主要考

41、虑：平安管理机构和人员的配套、平安管理制度的配套、人员平安管理技能的配套等。活动输出：管理措施落实案。7.2.3设计结果文档化活动目标：本活动的目标是将技术措施落实案、管理措施落实案汇总，同时考虑工时和费用，最后形成指导平安实施的指导性文件。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：技术措施落实案，管理措施落实案。活动描述：对技术措施落实案术实施容和管理措施落实案中管理实施容等文档进展整理，形成信息系统平安建立详细设计案。平安详细设计案包含以下容：a) 本期建立目标和建立容；b) 技术实现框架；c) 信息平安产品或组件功能及性能；d) 信息平安产品或组件部署；e) 平安策略

42、和配置；f) 配套的平安管理建立容；g) 工程实施方案；h) 工程投资概算。活动输出：平安详细设计案。7.3管理措施实现7.3.1管理机构和人员的设置活动目标：本活动的目标是建立配套的平安管理职能部门，通过管理机构的岗位设置、人员的分工以及各种资源的配备，为信息系统的平安管理提供组织上的保障。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：机构现有相关管理制度和政策，平安详细设计案。活动描述：本活动主要包括以下子活动容：a) 平安组织确定识别与信息平安管理有关的组织成员及其角色，例如：操作人员、文档管理员、系统管理员、平安管理员等，形成平安组织构造表。b) 角色说明以书面的形式详

43、细描述每个角色与职责，确保有人对所有的风险负责。活动输出：机构、角色与职责说明书。7.3.2管理制度的建立和修订活动目标：本活动的目标是建立或修订与信息系统平安管理相配套的、包括所有信息系统的建立、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规和操作规程。参与角色：信息系统主管部门，信息系统运营、使用单位，信息平安效劳机构。活动输入：平安组织构造表，平安成员及角色说明书，平安详细设计案。活动描述：本活动主要包括以下子活动容：a) 应用围明确管理制度建立首先要明确制度的应用围，如机房管理、XX管理、远程访问管理、特殊权限管理、设备管理、变更管理等面的容。b) 人员职责定义管理制度的建立

44、要明确相关岗位人员的责任和权利围，并要征求相关人员的意见，要保证责任明确。c) 行为规规定管理制度是通过制度化、规化的流程和行为，来保证各项管理工作的一致性。d) 评估与完善制度在发布、执行过程中，要定期对其进展评估，根据实际环境和情况的变化，对制度进展修改和完善，必要时考虑管理制度的重新制定。活动输出：各项管理制度和操作规。7.3.3人员平安技能培训活动目标：本活动的目标是对人员的职责、素质、技能等面进展培训，保证人员具有与其岗位职责相适应的技术能力和管理能力，以减少人为因素给系统带来的平安风险。参与角色：信息系统主管部门，信息系统运营、使用单位，信息平安效劳机构。活动输入：系统/产品使用说

45、明书，各项管理制度和操作规。活动描述：针对普通员工、管理员、开发人员、主管人员以及平安人员的特定技能培训和平安意识培训，培训后进展考核，合格者发给上岗XX书等。活动输出：培训记录及上岗XX书等。7.3.4平安实施过程管理活动目标：本活动的目标是在系统定级、规划设计、实施过程中，对工程的质量、进度、文档和变更等面的工作进展监视控制和科学管理。参与角色：信息系统运营、使用单位，信息平安效劳机构，信息平安产品供应商。活动输入：平安设计与实施阶段参与各相关进度控制和质量监视要求文档。活动描述：本活动主要包括以下子活动容：a) 质量管理质量管理首先要控制系统建立的质量，保证系统建立始终处于等级保护制度所要求的框架进展。同时，还要保证用于创立系统的过程的质量。在系统建立的过程中，要建立一个不断测试和改进质量的过程。在整个系统的生命期中，通过测量、分析和修正活动，保证所完成目标和过程的质量。b) 风险管理为了识别、评估和减低风险，以保证系统工程活动和全部技术工作工程都成功实施。在整个系统建立过程中，风险管理要贯穿始终。