信息安全技术-信息系统安全等级保护实施指南48397.docx

《信息安全技术-信息系统安全等级保护实施指南48397.docx》由会员分享，可在线阅读，更多相关《信息安全技术-信息系统安全等级保护实施指南48397.docx（71页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全技术 信息系统安全等级保护实施指南前言本标准的附录AA是规范性附附录。本标准由公安部部和全国信息息安全标准化化技术委员会会提出。本标准由全国信信息安全标准准化技术委员员会归口。本标准起草单位位：公安部信信息安全等级级保护评估中中心。本标准主要起草草人：毕马宁宁、马力、陈陈雪秀、李明明、朱建平、任任卫红、谢朝朝海、曲洁、袁袁静、李升、刘刘静、罗峥。引言依据中华人民民共和国计算算机信息系统统安全 保护条例（国国务院1477号令）、国国家信息化领领导小组关于于加强信息安安全保障工作作的意见（中中办发20003277号）、关关于信息安全全等级保护工工作的实 施意见（公公通字20004666号）

2、和信信息安全等级级保护管理办办法（公通通字2000743号号），制定本本标准。本标准是信息安安全等级保护护相关系列标标准之一。与本标准相关的的系列标准包包括：GB/T AAAA-AAAA 信息安全技技术 信息系统安安全等级保护护定级指南；GB/T BBBB-BBBB 信息安全技技术 信息系统安安全等级保护护基本要求。在对信息系统实实施信息安全全等级保护的的过程中，除除使用本标准准外，在不同同的阶段，还还应参照其他他有关信息安安全等级保护护的标准开展展工作。在信息系统定级级阶段，应按按照GB/TT AAAAA-AAAAA介绍的方法法，确定信息息系统安全保保护等级。在信息系统总体体安全规划，安安全

3、设计与实实施，安全运运行与维护和和信息系统终终止等阶段，应应按照GB117859-1999、GB/T BBBB-BBBB、GB/T220269-2006、GB/T220270-2006和和GB/T220271-2006等等技术标准，设设计、建设符符合信息安全全等级保护要要求的信息系系统，开展信信息系统的运运行维护管理理工作。GB178599-19999、GB/T BBBB-BBBB、GB/T220269-2006、GB/T220270-2006和和GB/T220271-2006等等技术标准是是信息系统安安全等级保护护的系 列相关配套套标准，其中中GB178859-19999是基础础性标准，GG

4、B/T200269-22006、GB/T220270-2006 和GB/T220271-2006等等是对GB117859-1999的的进一步细化化和扩展，GGB/T BBBBB-BBBBB是以以GB178859-19999为基础础，根据现有有技术发展水水平提出的对对不同安全保保护等级信息息系统的最基基本安全要求求，是其他标标准的一个底底线 子集。对信息系统的安安全等级保护护应从GB/T BBBBB-BBBBB出发，在在保证信息系系统满足基本本安全要求的的基础上，逐逐步提高对信信息系统的保保护水平，最最终满足GBB178599-19999、 GB/TT202699-20066、GB/T22027

5、0-2006和和 GB/TT202711-20066等标准的要要求。除本标准和上述述提到的标准准外，在信息息系统安全等等级保护实施施过程中，还还可参照和使使用GB/TT202722-20066和GB/T220273-2006等等其它等级保保护相关技术术标准。信息系统安全等等级保护实施施指南1范围本标准规定了信信息系统安全全等级保护实实施的过程，适适用于指导信信息系统安全全等级保护的的实施。2规范性引引用文件下 列文件中的的条款通过在在本标准中的的引用而成为为本标准的条条款。凡是注注日期的引用用文件，其随随后所有的修修改单（不包包括勘误的内内容）或修订订版均不适用用于本标准，然然 而，鼓励根根据

6、本标准达达成协议的各各方研究是否否使用这些文文件的最新版版本。凡是不不注明日期的的引用文件，其其最新版本适适用于本标准准。GB/T 52271.8信息技术词词汇第8部分：安全全GB178599-19999计算机信信息系统安全全保护等级划划分准则GB/T AAAAA-AAAAA 信息息安全技术信信息系统安全全等级保护定定级指南3术语和定定义GB/T 52271.8和和GB 177859-11999确立立的以及下列列术语和定义义适用于本标标准。3.1等级测评 cllassiffied ssecuriity teestingg and evaluuationn确定信息系统安安全保护能力力是否达到相相

7、应等级基本本要求的过程程。4等级保护护实施概述4.1基本本原则信息系统安全等等级保护的核核心是对信息息系统分等级级、按标准进进行建设、管管理和监督。信信息系统安全全等级保护实实施过程中应应遵循以下基基本原则：a) 自主主保护原则信息系统运营、使使用单位及其其主管部门按按照国家相关关法规和标准准，自主确定定信息系统的的安全保护等等级，自行组组织实施安全全保护。b) 重点点保护原则根据信息系统的的重要程度、业业务特点，通通过划分不同同安全保护等等级的信息系系统，实现不不同强度的安安全保护，集集中资源优先先保护涉及核核心业务或关关键信息资产产的信息系统统。c) 同步步建设原则信息系统在新建建、改建、

8、扩扩建时应当同同步规划和设设计安全方案案，投入一定定比例的资金金建设信息安安全设施，保保障信息安全全与信息化建建设相适应。d) 动态态调整原则要跟踪信息系统统的变化情况况，调整安全全保护措施。由由于信息系统统的应用类型型、范围等条条件的变化及及其他原因，安安全保护等级级需要变更的的，应当根据据等级保护的的管理规范和和技术标准的的要求，重新新确定信息系系统的安全保保护等级，根根据信息系统统安全保护等等级的调整情情况，重新实实施安全保护护。4.2角色色和职责信息系统安全等等级保护实施施过程中涉及及的各类角色色和职责如下下：a) 国家家管理部门公安机关负责信信息安全等级级保护工作的的监督、检查查、指

9、导；国国家保密工作作部门负责等等级保护工 作中有关保保密工作的监监督、检查、指指导；国家密密码管理部门门负责等级保保护工作中有有关密码工作作的监督、检检查、指导；涉及其他职职能部门管辖辖范围的事项项，由有关职职能 部门依照国国家法律法规规的规定进行行管理；国务务院信息化工工作办公室及及地方信息化化领导小组办办事机构负责责等级保护工工作的部门间间协调。b) 信息息系统主管部部门负责依照国家信信息安全等级级保护的管理理规范和技术术标准，督促促、检查和指指导本行业、本本部门或者本本地区信息系系统运营、使使用单位的信信息安全等级级保护工作。c) 信息息系统运营、使使用单位负责依照国家信信息安全等级级保

10、护的管理理规范和技术术标准，确定定其信息系统统的安全保护护等级，有 主管部门的的，应当报其其主管部门审审核批准；根根据已经确定定的安全保护护等级，到公公安机关办理理备案手续；按照国家信信息安全等级级保护管理规规范和技术标标准，进行信信息系 统安全保护护的规划设计计；使用符合合国家有关规规定，满足信信息系统安全全保护等级需需求的信息技技术产品和信信息安全产品品，开展信息息系统安全建建设或者改建建工作；制定定、落 实各项安全全管理制度，定定期对信息系系统的安全状状况、安全保保护制度及措措施的落实情情况进行自查查，选择符合合国家相关规规定的等级测测评机构，定定期进行等级级测评；制定定不 同等级信息息

11、安全事件的的响应、处置置预案，对信信息系统的信信息安全事件件分等级进行行应急处置。d) 信息息安全服务机机构负责根据信息系系统运营、使使用单位的委委托，依照国国家信息安全全等级保护的的管理规范和和技术标准，协协助信息系统统运营、使用用单位完成等等级保护的相相关工作，包包括确定其信信息系统的安安全保护等级级、进行安全全需求分析、安安全总体规划划、实施安全全建设和安全全改造等。e) 信息息安全等级测测评机构负责根据信息系系统运营、使使用单位的委委托或根据国国家管理部门门的授权，协协助信息系统统运营、使用用单位或国家家管理部门，按按照国家信息息安全等级保保护的管理规规范和技术标标准，对已经经完成等级

12、保保护建设的信信息系统进行行等级测评；对信息安全全产品供应商商提供的信息息安全产品进进行安全测评评。f) 信息息安全产品供供应商负责按照国家信信息安全等级级保护的管理理规范和技术术标准，开发发符合等级保保护相关要求求的信息安全全产品，接受受安全测评；按照等级保保护相关要求求销售信息安安全产品并提提供相关服务务。4.3实施施的基本流程程在安全运行与维维护阶段，信信息系统因需需求变化等原原因导致局部部调整，而系系统的安全保保护等级并未未改变，应从从安全运行与与维护阶段进进入安全设计计与实施阶段段，重新设 计、调整和和实施安全措措施，确保满满足等级保护护的要求；但但信息系统发发生重大变更更导致系统安

13、安全保护等级级变化时，应应从安全运行行与维护阶段段进入信息系系统定级阶段段，重 新开始一轮轮信息安全等等级保护的实实施过程。5信息系统统定级5.1信息息系定级阶段段的工作流程程信息系统定级阶阶段的目标是是信息系统运运营、使用单单位按照国家家有关管理规规范和GB/TAAAAA-AAAAA，确定信信息系统的安安全保护等级级，信息系统统运营、使用用单位有主管管部门的，应应当经主管部部门审核批准准。5.2信息息系统分析5.2.1 系统识别和和描述活动目标：本活动的目标是是通过从信息息系统运营、使使用单位相关关人员处收集集有关信息系系统的信息，并并对信息进行行综合分析和和整理，依据据分析和整理理的内容形

14、成成组织机构内内信息系统的的总体描述性性文档。参与角色：信息息系统运营、使使用单位，信信息安全服务务机构。活动输入：信息息系统的立项项、建设和管管理文档。活动描述：本活动主要包括括以下子活动动内容：a) 识别别信息系统的的基本信息调查了解信息系系统的行业特特征、主管机机构、业务范范围、地理位位置以及信息息系统基本情情况，获得信信息系统的背背景信息和联联络方式。b) 识别别信息系统的的管理框架了解信息系统的的组织管理结结构、管理策策略、部门设设置和部门在在业务运行中中的作用、岗岗位职责，获获得支持信息息系统业务运运营的管理特特征和管理框框架方面的信信息，从而明明确信息系统统的安全责任任主体。c)

15、 识别别信息系统的的网络及设备备部署了解信息系统的的物理环境、网网络拓扑结构构和硬件设备备的部署情况况，在此基础础上明确信息息系统的边界界，即确定定定级对象及其其范围。d) 识别别信息系统的的业务种类和和特性了解机构内主要要依靠信息系系统处理的业业务种类和数数量，这些业业务各自的社社会属性、业业务内容和业业务流程等，从从中明确支持持机构业务运运营的信息系系统的业务特特性，将承载载比较单一的的业务应用或或者承载相对对独立的业务务应用的信息息系统作为单单独的定级对对象。e) 识别别业务系统处处理的信息资资产了解业务系统处处理的信息资资产的类型，这这些信息资产产在保密性、完完整性和可用用性等方面的的

16、重要性程度度。f) 识别别用户范围和和用户类型根据用户或用户户群的分布范范围了解业务务系统的服务务范围、作用用以及业务连连续性方面的的要求等。g) 信息息系统描述对收集的信息进进行整理、分分析，形成对对信息系统的的总体描述文文件。一个典典型的信息系系统的总体描描述文件应包包含以下内容容：1)系统概述述；2)系统边界界描述；3)网络拓扑扑；4)设备部署署；5)支撑的业业务应用的种种类和特性；6)处理的信信息资产；7)用户的范范围和用户类类型；8)信息系统统的管理框架架。活动输出： 信信息系统总体体描述文件。5.2.2 信息系统划划分活动目标：本活动的目标是是依据信息系系统的总体描描述文件，在在综

17、合分析的的基础上将组组织机构内运运行的信息系系统进行合理理分解，确定定所包含可以以作为定级对对象的信息系系统的个数。参与角色：信息息系统运营、使使用单位，信信息安全服务务机构。活动输入：信息息系统总体描描述文件。活动描述：本活动主要包括括以下子活动动内容：a) 划分分方法的选择择一个组织机构可可能运行一个个大型信息系系统，为了突突出重点保护护的等级保护护原则，应对对大型信息系系统进行划分分，进行信息息系统划分的的方法可以有有多种，可以以考虑管理机机构、业务类类型、物理位位置等因素，信信息系统的运运营、使用单单位应该根据据本单位的具具体情况确定定一个系统的的分解原则。b) 信息息系统划分依据选择

18、的系统统划分原则，将将一个组织机机构内拥有的的大型信息系系统进行划分分，划分出相相对独立的信信息系统并作作为定级对象象，应保证每每个相对独立立的信息系统统具备定级对对象的基本特特征。在信息息系统划分的的过程中，应应该首先考虑虑组织管理的的要素，然后后考虑业务类类型、物理区区域等要素。c) 信息息系统详细描描述在对信息系统进进行划分并确确定定级对象象后，应在信信息系统总体体描述文件的的基础上，进进一步增加信信息系统划分分信息的描述述，准确描述述一个大型信信息系统中包包括的定级对对象的个数。进一步的信息系系统详细描述述文件应包含含以下内容：1)相对独立立信息系统列列表；2） 每个定级级对象的概述述

19、；3) 每个定定级对象的边边界；4) 每个定定级对象的设设备部署；5) 每个定定级对象支撑撑的业务应用用及其处理的的信息资产类类型；6) 每个定定级对象的服服务范围和用用户类型；7) 其他内内容。活动输出： 信信息系统详细细描述文件。5.3安全全保护等级确确定5.3.1 定级、审核核和批准活动目标：本活动的目标是是按照国家有有关管理规范范和GB/TTAAAAA-AAAAA，确定信息息系统的安全全保护等级，并并对定级结果果进行审核和和批准，保证证定级结果的的准确性。参与角色：信息息系统主管部部门，信息系系统运营、使使用单位，信信息安全服务务机构。活动输入：信息息系统总体描描述文件，信信息系统详细

20、细描述文件。活动描述：本活动主要包括括以下子活动动内容：a) 信息息系统安全保保护等级初步步确定根据国家有关管管理规范和GGB/TAAAAA-AAAAA确定定的定级方法法，信息系统统运营、使用用单位对每个个定级对象确确定初步的安安全保护等级级。b) 定级级结果审核和和批准信息系统运营、使使用单位初步步确定了安全全保护等级后后，有主管部部门的，应当当经主管部门门审核批 准。跨省或或者全国统一一联网运行的的信息系统可可以由主管部部门统一确定定安全保护等等级。对拟确确定为第四级级以上信息系系统的，运营营使用单位或或者主管部门门应当邀请国国家信 息安全保护护等级专家评评审委员会评评审。活动输出：信息息

21、系统定级评评审意见。5.3.2 形成定级报报告活动目标：本活动的目标是是对定级过程程中产生的文文档进行整理理，形成信息息系统定级结结果报告。参与角色：信息息系统主管部部门，信息系系统运营、使使用单位。活动输入：信息息系统总体描描述文件，信信息系统详细细描述文件，信信息系统定级级结果。活动描述：对信息系统的总总体描述文档档、信息系统统的详细描述述文件、信息息系统安全保保护等级确定定结果等内容容进行整理，形形成文件化的的信息系统定定级结果报告告。信息系统定级结结果报告可以以包含以下内内容：a) 单位位信息化现状状概述；b) 管理理模式；c) 信息息系统列表；d) 每个个信息系统的的概述；e) 每个

22、个信息系统的的边界；f) 每个个信息系统的的设备部署；g) 每个个信息系统支支撑的业务应应用；h) 信息息系统列表、安安全保护等级级以及保护要要求组合；i) 其他他内容。活动输出：信息息系统安全保保护等级定级级报告。6总体安全全规划6.1总体体安全规划阶阶段的工作流流程总体安全规划阶阶段的目标是是根据信息系系统的划分情情况、信息系系统的定级情情况、信息系系统承载业 务情况，通通过分析明确确信息系统安安全需求，设设计合理的、满满足等级保护护要求的总体体安全方案，并并制定出安全全实施计划，以以指导后续的的信息系统安安全建设工程程实施。对 于已运营（运运行）的信息息系统，需求求分析应当首首先分析判断

23、断信息系统的的安全保护现现状与等级保保护要求之间间的差距。6.2安全全需求分析6.2.1 基本安全需需求的确定活动目标：本活动的目标是是根据信息系系统的安全保保护等级，判判断信息系统统现有的安全全保护水平与与国家等级保保护管理规范范和技术标准准之间的差距距，提出信息息系统的基本本安全保护需需求。参与角色： 信信息系统运营营、使用单位位，信息安全全服务机构，信信息安全等级级测评机构。活动输入： 信信息系统详细细描述文件，信信息系统安全全保护等级定定级报告，信信息系统相关关的其它文档档，信息系统统安全等级保保护基本要求求。活动描述：本活动主要包括括以下子活动动内容：a) 确定定系统范围和和分析对象

24、明确不同等级信信息系统的范范围和 边界，通过过调查或查阅阅资料的方式式，了解信息息系统的构成成，包括网络络拓扑、业务务应用、业务务流程、设备备信息、安全全措施状况等等。初步确定定每个等级信信息系统的分分析对 象，包括整整体对象，如如机房、办公公环境、网络络等，也包括括具体对象，如如边界设备、网网关设备、服服务器设备、工工作站、应用用系统等。b) 形成成评价指标和和评估方案根据各个信息系系统的安全保保护等级从信信息系统安全全等级保护基基本要求中选选择相应等级级的指标，形形成评价指标标。根据评价价指标，结合合确定的具体体对象制定可可以操作的评评估方案，评评估方案可以以包含以下内内容：1) 管理理状

25、况评估表表格；2) 网络络状况评估表表格；3) 网络络设备（含安安全设备）评评估表格；4) 主机机设备评估表表格；5) 主要要设备安全测测试方案；6) 重要要操作的作业业指导书。c) 现状状与评价指标标对比通过观察现场、询询问人员、查查询资料、检检查记录、检检查配置、技技术测试、渗渗透攻击等方方式进行安全全技术和安全全管理方面的的评估，判断断安全技术和和安全管理的的各个方面与与评价指标的的符合程度，给给出判断结论论。整理和分分析不符合的的评价指标，确确定信息系统统安全保护的的基本需求。活动输出： 基基本安全需求求。6.2.2 额外特殊安安全需求的确确定活动目标：本活动的目标是是通过对信息息系统

26、重要资资产特殊保护护要求的分析析，确定超出出相应等级保保护基本要 求的部分或或具有特殊安安全保护要求求的部分，采采用需求分析析/风险分析的的方法，确定定可能的安全全风险，判断断对超出等级级保护基本要要求部分实施施特殊安全措措施的必要性性， 提出信息系系统的特殊安安全保护需求求。参与角色： 信信息系统运营营、使用单位位，信息安全全服务机构。活动输入：信息息系统详细描描述文件，信信息系统安全全保护等级定定级报告，信信息系统相关关的其它文档档。活动描述：确定特殊安全需需求可以采用用目前成熟或或流行的需求求分析/风险分析方方法，或者采采用下面介绍绍的活动：a) 重要要资产的分析析明确信息系统中中的重要

27、部件件，如边界设设备、网关设设备、核心网网络设备、重重要服务器设设备、重要应应用系统等。b) 重要要资产安全弱弱点评估检查或判断上述述重要部件可可能存在的弱弱点，包括技技术上和管理理上的；分析析安全弱点被被利用的可能能性。c) 重要要资产面临威威胁评估分析和判断上述述重要部件可可能面临的威威胁，包括外外部的威胁和和内部的威胁胁，威胁发生生的可能性或或概率。d) 综合合风险分析分析威胁利用弱弱点可能产生生的结果，结结果产生的可可能性或概率率，结果造成成的损害或影影响的大小，以以及避免上述述结果产生的的可能性、必必要性和经济济性。按照重重要资产的排排序和风险的的排序确定安安全保护的要要求。活动输出

28、： 重重要资产的特特殊保护要求求。6.2.3 形成安全需需求分析报告告活动目标：本活动的目标是是总结基本安安全需求和特特殊安全需求求，形成安全全需求分析报报告。参与角色： 信信息系统运营营，使用单位位，信息安全全服务机构。活动输入：信息息系统详细描描述文件，信信息系统安全全保护等级定定级报告，基基本安全需求求，重要资产产的特殊保护护要求。活动描述：本活动主要包括括以下子活动动内容：a) 完成成安全需求分分析报告根据基本安全需需求和特殊的的安全保护需需求等形成安安全需求分析析报告。安全需求分析报报告可以包含含以下内容：1) 信息息系统描述；2) 安全全管理状况；3) 安全全技术状况；4) 存在在

29、的不足和可可能的风险；5) 安全全需求描述。活动输出： 安安全需求分析析报告。6.3总体体安全设计6.3.1 总体安全策策略设计活动目标：本活动的目标是是形成机构纲纲领性的安全全策略文件，包包括确定安全全方针，制定定安全策略，以以便结合等级级保护基本要要求和安全保保护特殊要求求，构建机构构信息系统的的安全技术体体系结构和安安全管理体系系结构。参与角色： 信信息系统运营营、使用单位位，信息安全全服务机构。活动输入： 信信息系统详细细描述文件，信信息系统安全全保护等级定定级报告，安安全需求分析析报告。活动描述：本活动主要包括括以下子活动动内容：a) 确定定安全方针形成机构最高层层次的安全方方针文件

30、，阐阐明安全工作作的使命和意意愿，定义信信息安全的总总体目标，规规定信息安全全责任机构和和职责，建立立安全工作运运行模式等。b) 制定定安全策略形成机构高层次次的安全策略略文件，说明明安全工作的的主要策略，包包括安全组织织机构划分策策略、业务系系统分级策略略、数据信息息分级策略、子子系统互连策策略、信息流流控制策略等等。活动输出： 总总体安全策略略文件。6.3.2 安全技术体体系结构设计计活动目标：本活动的目标是是根据信息系系统安全等级级保护基本要要求、安全需需求分析报告告、机构总体体安全策略文文件等，提出出系统需要实实现的安全技技术措施，形形成机构特定定的系统安全全技术体系结结构，用以指指导

31、信息系统统分等级保护护的具体实现现。参与角色： 信信息系统运营营、使用单位位，信息安全全服务机构。活动输入：信息息系统详细描描述文件，信信息系统安全全保护等级定定级报告，安安全需求分析析报告，信息息系统安全等等级保护基本本要求。活动描述：本活动主要包括括以下子活动动内容：a) 规定定骨干网/城域网的安安全保护技术术措施根据机构总体安安全策略文件件、等级保护护基本要求和和安全需求，提提出骨干网/城域网的安安全保护 策略和安全全技术措施。骨骨干网/城域网的安安全保护策略略和安全技术术措施提出时时应考虑网络络线路和网络络设备共享的的情况，如果果不同级别的的子系统通过过骨干网/城域网的 同一线路和和设

32、备传输数数据，线路和和设备的安全全保护策略和和安全技术措措施应满足最最高级别子系系统的等级保保护基本要求求。b) 规定定子系统之间间互联的安全全技术措施根据机构总体安安全策略文件件、等级保护护基本要求和和安全需求，提提出跨局域网网互联的子系系统之间 的信息传输输保护策略要要求和具体的的安全技术措措施，包括同同级互联的策策略、不同级级别互联的策策略等；提出出局域网内部部互联的子系系统之间的信信息传输保护护策略要求和和具体 的安全技术术措施，包括括同级互联的的策略、不同同级别互联的的策略等。c) 规定定不同级别子子系统的边界界保护技术措措施根据机构总体安安全策略文件件、等级保护护基本要求和和安全需

33、求，提提出不同级别别子系统边界界的安全 保护策略和和安全技术措措施。子系统统边界安全保保护策略和安安全技术措施施提出时应考考虑边界设备备共享的情况况，如果不同同级别的子系系统通过同一一设备进行边边界保护，这这个边 界设备的安安全保护策略略和安全技术术措施应满足足最高级别子子系统的等级级保护基本要要求。d) 规定定不同级别子子系统内部系系统平台和业业务应用的安安全保护技术术措施根据机构总体安安全策略文件件、等级保护护基本要求和和安全需求，提提出不同级别别子系统内部部网络平台、系系统平台和业业务应用的安安全保护策略略和安全技术术措施。e) 规定定不同级别信信息系统机房房的安全保护护技术措施根据机构

34、总体安安全策略文件件、等级保护护基本要求和和安全需求，提提出不同级别别信息系统机机房的安 全保护策略略和安全技术术措施。信息息系统机房安安全保护策略略和安全技术术措施提出时时应考虑不同同级别的信息息系统共享机机房的情况，如如果不同级别别的信息系统统共享同一机机 房，机房的的安全保护策策略和安全技技术措施应满满足最高级别别信息系统的的等级保护基基本要求。f) 形成成信息系统安安全技术体系系结构将骨干网/城域域网、通过骨骨干网/城域网的子子系统互联、局局域网内部的的子系统互联联、子系统的的边界、子系系统内部各类类平台、机房房以及其他方方面的安全保保护策略和安安全技术措施施进行整理、汇汇总，形成信信

35、息系统的安安全技术体系系结构。活动输出： 信信息系统安全全技术体系结结构。6.3.3 整体安全管管理体系结构构设计活动目标：本活动的目标是是根据等级保保护基本要求求、安全需求求分析报告、机机构总体安全全策略文件等等，调整 原有管理模模式和管理策策略，既从全全局高度考虑虑为每个等级级信息系统制制定统一的安安全管理策略略，又从每个个信息系统的的实际需求出出发，选择和和调整具体的的安全管理措措施， 最后形成统统一的整体安安全管理体系系结构。参与角色： 信信息系统运营营、使用单位位，信息安全全服务机构。活动输入：信息息系统详细描描述文件，信信息系统安全全保护等级定定级报告，安安全需求分析析报告，信息息

36、系统安全等等级保护基本本要求。活动描述：本活动主要包括括以下子活动动内容：a) 规定定信息安全的的组织管理体体系和对各信信息系统的安安全管理职责责根据机构总体安安全策略文件件、等级保护护基本要求和和安全需求，提提出机构的安安全组织管理理机构框架，分分配各个级别别信息系统的的安全管理职职责，规定各各个级别信息息系统的安全全管理策略等等。b) 规定定各等级信息息系统的人员员安全管理策策略根据机构总体安安全策略文件件、等级保护护基本要求和和安全需求，提提出各个不同同级别信息系系统的管理人人员框架，分分配各个级别别信息系统的的管理人员职职责，规定各各个级别信息息系统的人员员安全管理策策略等。c) 规定

37、定各等级信息息系统机房及及办公区等物物理环境的安安全管理策略略根据机构总体安安全策略文件件、等级保护护基本要求和和安全需求，提提出各个不同同级别信息系系统的机房和和办公环境的的安全策略。d) 规定定各等级信息息系统介质、设设备等的安全全管理策略根据机构总体安安全策略文件件、等级保护护基本要求和和安全需求，提提出各个不同同级别信息系系统的介质、设设备等的安全全策略。e) 规定定各等级信息息系统运行安安全管理策略略根据机构总体安安全策略文件件、等级保护护基本要求和和安全需求，提提出各个不同同级别信息系系统的安全运运行与维护框框架和运维安安全策略等。f) 规定定各等级信息息系统安全事事件处置和应应急

38、管理策略略根据机构总体安安全策略文件件、等级保护护基本要求和和安全需求，提提出各个不同同级别信息系系统的安全事事件处置和应应急管理策略略等。g) 形成成信息系统安安全管理策略略框架将上述各个方面面的安全管理理策略进行整整理、汇总，形形成信息系统统的整体安全全管理体系结结构。活动输出：信息息系统安全管管理体系结构构。6.3.4 设计结果文文档化活动目标：本活动的目标是是将总体安全全设计工作的的结果文档化化，最后形成成一套指导机机构信息安全全工作的指导导性文件。参与角色： 信信息系统运营营、使用单位位，信息安全全服务机构。活动输入： 安安全需求分析析报告，信息息系统安全技技术体系结构构，信息系统统

39、安全管理体体系结构。活动描述：对安全需求分析析报告、信息息系统安全技技术体系结构构和安全管理理体系结构等等文档进行整整理，形成信信息系统总体体安全方案。信息系统总体安安全方案包含含以下内容：a) 信息息系统概述；b) 总体体安全策略；c) 信息息系统安全技技术体系结构构；d) 信息息系统安全管管理体系结构构。活动输出：信息息系统安全总总体方案。6.4安全全建设项目规规划6.4.1 安全建设目目标确定活动目标：本活动的目标是是依据信息系系统安全总体体方案（一个个或多个文件件构成）、机机构或单位信信息化建设的的中长期发展展规划和机构构的安全建设设资金状况确确定各个时期期的安全建设设目标。参与角色：

40、 信信息系统运营营、使用单位位，信息安全全服务机构。活动输入：信息息系统安全总总体方案、机机构或单位信信息化建设的的中长期发展展规划。活动描述：本活动主要包括括以下子活动动内容：a) 信息息化建设中长长期发展规划划和安全需求求调查了解和调查单位位信息化建设设的现况、中中长期信息化化建设的目标标、主管部门门对信息化的的投入，对比比信息化建设设过程中阶段段状态与安全全策略规划之之间的差距，分分析急迫和关关键的安全问问题，考虑可可以同步进行行的安全建设设内容等。b) 提出出信息系统安安全建设分阶阶段目标制定系统在规划划期内（一般般安全规划期期为3年）所要实实现的总体安安全目标；制制定系统短期期（1年

41、以内）要要实现的安全全目标，主要要解决目前急急迫和关键的的问题，争取取在短期内安安全状况有大大幅度提高。活动输出： 信信息系统分阶阶段安全建设设目标。6.4.2 安全建设内内容规划活动目标：本活动的目标是是根据安全建建设目标和信信息系统安全全总体方案的的要求，设计计分期分批的的主要建设内内容，并将建建设内容组合合成不同的项项目，阐明项项目之间的依依赖或促进关关系等。参与角色： 信信息系统运营营、使用单位位，信息安全全服务机构。活动输入：信息息系统安全总总体方案，信信息系统分阶阶段安全建设设目标。活动描述：本活动主要包括括以下子活动动内容：a）确定主要要安全建设内内容根据信息系统安安全总体方案案

42、明确主要的的安全建设内内容，并将其其适当的分解解。主要建设设内容可能分分解但不限于于以下内容：1) 安全全基础设施建建设；2) 网络络安全建设；3) 系统统平台和应用用平台安全建建设；4) 数据据系统安全建建设；5) 安全全标准体系建建设；6) 人才才培养体系建建设；7) 安全全管理体系建建设。b）确定主要要安全建设项项目组合安全建设内内容为不同的的安全建设项项目，描述项项目所解决的的主要安全问问题及所要达达到的安全目目标，对项目目进行支持或或依赖等相关关性分析，对对项目进行紧紧迫性分析，对对项目进行实实施难易程度度分析，对项项目进行预期期效果分析，描描述项目的具具体工作内容容、建设方案案，形

43、成安全全建设项目列列表。活动输出： 安安全建设项目目列表（含安安全建设内容容）。6.4.3 形成安全建建设项目计划划活动目标：本活动的目标是是根据建设目目标和建设内内容，在时间间和经费上对对安全建设项项目列表进行行总体考虑，分分到不同的时时期和阶段，设设计建设顺序序，进行投资资估算，形成成安全建设项项目计划。参与角色： 信信息系统运营营、使用单位位，信息安全全服务机构。活动输入：信息息系统安全总总体方案，信信息系统分阶阶段安全建设设目标，安全全建设内容等等。活动描述：对信息系统分阶阶段安全建设设目标、安全全总体方案和和安全建设内内容等文档进进行整理，形形成信息系统统安全建设项项目计划。安全建设

44、项目计计划可包含以以下内容：a) 规划划建设的依据据和原则；b) 规划划建设的目标标和范围；c) 信息息系统安全现现状；d) 信息息化的中长期期发展规划；e) 信息息系统安全建建设的总体框框架；f) 安全全技术体系建建设规划；g) 安全全管理与安全全保障体系建建设规划；h) 安全全建设投资估估算；i) 信息息系统安全建建设的实施保保障等内容。活动输出：信息息系统安全建建设项目计划划。7安全设计计与实施7.1安全全设计与实施施阶段的工作作流程安全设计与实施施阶段的目标标是按照信息息系统安全总总体方案的要要求，结合信信息系统安全全建设项目计计划，分期分分步落实安全全措施。7.2安全全方案详细设设计

45、7.2.1 技术措施实实现内容设计计活动目标：本活动的目标是是根据建设目目标和建设内内容将信息系系统安全总体体方案中要求求实现的安全全策略、安全全技术体系结结构、安全措措施和要求落落实到产品功功能或物理形形态上，提出出能够实现的的产品或组件件及其具体规规范，并将产产品功能特征征整理成文档档。使得在信信息安全产品品采购和安全全控制开发阶阶段具有依据据。参与角色：信息息系统运营、使使用单位，信信息安全服务务机构，信息息安全产品供供应商。活动输入：信息息系统安全总总体方案，信信息系统安全全建设项目计计划，各类信信息技术产品品和信息安全全产品技术白白皮书。活动描述：本活动主要包括括以下子活动动内容：a

46、) 结构构框架设计依据本次实施项项目的建设内内容和信息系系统的实际情情况，给出与与总体安全规规划阶段的安安全体系结构构一致的安全全实现技术框框架，内容可可能包括安全全防护的层次次、信息安全全产品的使用用、网络子系系统划分、IIP地址规划划其他内容。b) 功能能要求设计对安全实现技术术框架中使用用到的相关信信息安全产品品，如防火墙墙、VPN、网闸闸、认证网关关、代理服务务器、网络防防病毒、PKKI等提出功功能指标要求求。对需要开开发的安全控控制组件，提提出功能指标标要求。c) 性能能要求设计对安全实现技术术框架中使用用到的相关信信息安全产品品，如防火墙墙、VPN、网闸闸、认证网关关、代理服务务器、网络防防病毒、PKKI等提出性性能指标要求求。对需要开开发的安全控控制组件，提提出性能指标标要求。d) 部署署方案设计结合目前信息系系统网络拓扑扑，以图示的的方式给出安安全技术实现现框架的实现现方式，包括括信息安全产产品或安全组组件的部署