信息系统安全等级保护实施指南介绍.ppt

《信息系统安全等级保护实施指南介绍.ppt》由会员分享，可在线阅读，更多相关《信息系统安全等级保护实施指南介绍.ppt（108页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 信息系统安全等级保护信息系统安全等级保护实施指南介绍实施指南介绍 11/22/202211/22/20221 1目录概述概述等级保护的实施过程等级保护的实施过程系统定级阶段系统定级阶段安全规划设计阶段安全规划设计阶段安全实施安全实施/实现阶段实现阶段安全运行管理阶段安全运行管理阶段系统中止阶段系统中止阶段11/22/202211/22/20222 2概述背景背景实施指南的作用实施指南的作用实施指南的使用对象实施指南的使用对象与风险管理之间的关系与风险管理之间的关系11/22/202211/22/20223 3概述-背景背景19941994年，年，年，年，中华人民共和国计算机信息系统安全保护条

2、中华人民共和国计算机信息系统安全保护条中华人民共和国计算机信息系统安全保护条中华人民共和国计算机信息系统安全保护条例例例例的发布的发布的发布的发布19991999年，年，年，年，计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 GB17859-1999GB17859-1999发布发布发布发布 20032003年，中央办公厅、国务院办公厅转发年，中央办公厅、国务院办公厅转发年，中央办公厅、国务院办公厅转发年，中央办公厅、国务院办公厅转发国家信息化国家信息化国家信息化国家信息化领导小组关于加强信息安全保障工作的

3、意见领导小组关于加强信息安全保障工作的意见领导小组关于加强信息安全保障工作的意见领导小组关于加强信息安全保障工作的意见(27(27号文号文号文号文)2004 2004年，四部委联合签发了年，四部委联合签发了年，四部委联合签发了年，四部委联合签发了关于信息安全等级保护工关于信息安全等级保护工关于信息安全等级保护工关于信息安全等级保护工作的实施意见作的实施意见作的实施意见作的实施意见 (66(66号文号文号文号文)11/22/202211/22/20224 4概述-背景（续）背景（续）在在在在“6666号文号文号文号文”的职责分工和工作要求中指出：的职责分工和工作要求中指出：的职责分工和工作要求中

4、指出：的职责分工和工作要求中指出：信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护的管理规范管理规范管理规范管理规范和技术标准和技术标准和技术标准和技术标准，确定其信息和信息系统的安全保护等级，确定其信息和信息系统的安全保护等级，确定其信息和信息系统的安全保护等级，确定其信息和信息系统的安全保护等级信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护

5、的管理规范管理规范管理规范管理规范和技术标准和技术标准和技术标准和技术标准对新建、改建、扩建的信息系统进行信息系统的对新建、改建、扩建的信息系统进行信息系统的对新建、改建、扩建的信息系统进行信息系统的对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工安全规划设计、安全建设施工安全规划设计、安全建设施工安全规划设计、安全建设施工信息和信息系统的运营、使用单位及其主管部门按照与信息信息和信息系统的运营、使用单位及其主管部门按照与信息信息和信息系统的运营、使用单位及其主管部门按照与信息信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对应的系统安全保护等级相对应

6、的系统安全保护等级相对应的系统安全保护等级相对应的管理规范和技术标准管理规范和技术标准管理规范和技术标准管理规范和技术标准的要求，定的要求，定的要求，定的要求，定期进行安全状况检测评估期进行安全状况检测评估期进行安全状况检测评估期进行安全状况检测评估国家指定信息安全监管职能部门按照等级保护的国家指定信息安全监管职能部门按照等级保护的国家指定信息安全监管职能部门按照等级保护的国家指定信息安全监管职能部门按照等级保护的管理规范和管理规范和管理规范和管理规范和技术标准技术标准技术标准技术标准的要求，对信息和信息系统的安全等级保护状况进的要求，对信息和信息系统的安全等级保护状况进的要求，对信息和信息系

7、统的安全等级保护状况进的要求，对信息和信息系统的安全等级保护状况进行监督检查行监督检查行监督检查行监督检查11/22/202211/22/20225 5概述-背景背景（续）（续）管理规范和技术标准的作用管理规范和技术标准的作用主管部门主管部门监督检查监督检查信息安全监信息安全监管职能部门管职能部门系统定级系统定级安全保护安全保护检测评估检测评估运营运营使用单位使用单位安全服务商安全服务商安全评估机构安全评估机构技术标准技术标准管理规范管理规范11/22/202211/22/20226 6概述-背景背景（续）（续）主要的管理规范和技术标准主要的管理规范和技术标准管理规范管理规范管理规范管理规范信

8、息安全等级保护管理办法信息安全等级保护管理办法信息安全等级保护管理办法信息安全等级保护管理办法 技术标准技术标准技术标准技术标准信息系统安全等级保护实施指南信息系统安全等级保护实施指南信息系统安全等级保护实施指南信息系统安全等级保护实施指南信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护监督

9、检查指南信息系统安全等级保护监督检查指南信息系统安全等级保护监督检查指南信息系统安全等级保护监督检查指南 11/22/202211/22/20227 7概述-实施指南的作用实施指南的作用是信息系统实施等级保护的指南性文件。是信息系统实施等级保护的指南性文件。作为等级保护标准体系的指引文档。作为等级保护标准体系的指引文档。贯穿整个等级保护工作的所有阶段，规贯穿整个等级保护工作的所有阶段，规范和指导所有的安全活动。范和指导所有的安全活动。介绍信息系统实施等级保护的方法，不介绍信息系统实施等级保护的方法，不同的角色在不同阶段的作用。同的角色在不同阶段的作用。11/22/202211/22/20228

10、 8概述-实施指南的使用对象实施指南的使用对象本指南的使用对象是：本指南的使用对象是：信息系统的主管单位；信息系统的主管单位；信息系统的主管单位；信息系统的主管单位；信息系统运营、使用单位；信息系统运营、使用单位；信息系统运营、使用单位；信息系统运营、使用单位；信息系统安全服务商；信息系统安全服务商；信息系统安全服务商；信息系统安全服务商；信息安全监管机构；信息安全监管机构；信息安全监管机构；信息安全监管机构；安全测评机构；安全测评机构；安全测评机构；安全测评机构；安全产品供应商安全产品供应商安全产品供应商安全产品供应商 。11/22/202211/22/20229 9概述-与风险管理之间的关

11、系与风险管理之间的关系相同点相同点相同点相同点都是对活动过程的管理；都是对活动过程的管理；都是对活动过程的管理；都是对活动过程的管理；都阐明了对信息系统整个生命周期的管理。都阐明了对信息系统整个生命周期的管理。都阐明了对信息系统整个生命周期的管理。都阐明了对信息系统整个生命周期的管理。不同点不同点不同点不同点风险管理方法以风险管理方法以风险管理方法以风险管理方法以“风险风险风险风险”控制为核心，描述了风控制为核心，描述了风控制为核心，描述了风控制为核心，描述了风险管理的主要活动过程；险管理的主要活动过程；险管理的主要活动过程；险管理的主要活动过程；信息系统实施等级保护的思路是首先根据信息系信息

12、系统实施等级保护的思路是首先根据信息系信息系统实施等级保护的思路是首先根据信息系信息系统实施等级保护的思路是首先根据信息系统定级方法对信息系统进行定级，根据安全级别统定级方法对信息系统进行定级，根据安全级别统定级方法对信息系统进行定级，根据安全级别统定级方法对信息系统进行定级，根据安全级别确定基本安全保护措施，通过风险分析补充其它确定基本安全保护措施，通过风险分析补充其它确定基本安全保护措施，通过风险分析补充其它确定基本安全保护措施，通过风险分析补充其它需要的安全措施，构成等级保护安全设计方案，需要的安全措施，构成等级保护安全设计方案，需要的安全措施，构成等级保护安全设计方案，需要的安全措施，

13、构成等级保护安全设计方案，并依据方案进行安全工程实施。并依据方案进行安全工程实施。并依据方案进行安全工程实施。并依据方案进行安全工程实施。11/22/202211/22/20221010概述-与风险管理之间的关系（续）与风险管理之间的关系（续）二者之间关系二者之间关系二者之间关系二者之间关系 在对信息系统实施等级保护的过程中，风险在对信息系统实施等级保护的过程中，风险在对信息系统实施等级保护的过程中，风险在对信息系统实施等级保护的过程中，风险管理是一种辅助手段。等级保护的相关标准对不同级别管理是一种辅助手段。等级保护的相关标准对不同级别管理是一种辅助手段。等级保护的相关标准对不同级别管理是一种

14、辅助手段。等级保护的相关标准对不同级别的信息系统提出了基本保护要求，基本保护要求是系统的信息系统提出了基本保护要求，基本保护要求是系统的信息系统提出了基本保护要求，基本保护要求是系统的信息系统提出了基本保护要求，基本保护要求是系统安全建设的基础，但是不同的信息系统由于其本身的特安全建设的基础，但是不同的信息系统由于其本身的特安全建设的基础，但是不同的信息系统由于其本身的特安全建设的基础，但是不同的信息系统由于其本身的特性，除基本保护要求外，可以通过风险管理中风险分析性，除基本保护要求外，可以通过风险管理中风险分析性，除基本保护要求外，可以通过风险管理中风险分析性，除基本保护要求外，可以通过风险

15、管理中风险分析的方法选择需要补充的安全措施，从而使得系统的等级的方法选择需要补充的安全措施，从而使得系统的等级的方法选择需要补充的安全措施，从而使得系统的等级的方法选择需要补充的安全措施，从而使得系统的等级保护更加个性化。保护更加个性化。保护更加个性化。保护更加个性化。11/22/202211/22/20221111等级保护的基本实施过程等级保护的基本实施过程基本实施过程基本实施过程与信息系统生命周期之间的关系与信息系统生命周期之间的关系重要概念重要概念11/22/202211/22/20221212等级保护的基本实施过程重大变更重大变更局部调整局部调整系统定级系统定级安全规划设计安全规划设计

16、安全实施安全实施/实现实现安全运行管理安全运行管理系统终止系统终止11/22/202211/22/20221313与信息系统生命周期之间的关系新建信息系统新建信息系统新建信息系统等级保护实施过程新建信息系统等级保护实施过程信息系统生命周期信息系统生命周期安全运行管理安全运行管理（变更管理（变更管理/定期安全测定期安全测评评/监督检查）监督检查）系统系统定级定级安全规安全规划设计划设计安全安全实施实施系统系统终止终止设计开设计开发阶段发阶段运行维护阶段运行维护阶段启动启动阶段阶段实施实施阶段阶段中止中止阶段阶段11/22/202211/22/20221414与信息系统生命周期之间的关系已建信息系

17、统已建信息系统已经存在的信息系统，通常处于系统运行维护阶段已经存在的信息系统，通常处于系统运行维护阶段已经存在的信息系统，通常处于系统运行维护阶段已经存在的信息系统，通常处于系统运行维护阶段;安全等级保护实施过程中的系统定级阶段、安全规划安全等级保护实施过程中的系统定级阶段、安全规划安全等级保护实施过程中的系统定级阶段、安全规划安全等级保护实施过程中的系统定级阶段、安全规划设计阶段、安全实施设计阶段、安全实施设计阶段、安全实施设计阶段、安全实施/实现阶段和系统终止等的主要实现阶段和系统终止等的主要实现阶段和系统终止等的主要实现阶段和系统终止等的主要活动都将在信息系统生命周期的系统运行维护阶段完

18、活动都将在信息系统生命周期的系统运行维护阶段完活动都将在信息系统生命周期的系统运行维护阶段完活动都将在信息系统生命周期的系统运行维护阶段完成。成。成。成。11/22/202211/22/20221515主要阶段和主要活动重要概念重要概念重要概念重要概念阶段主要活动阶段主要活动主要活动过程主要活动过程阶段阶段工作内容工作内容过程目标过程目标输入输入输出输出活动目标活动目标阶段目标阶段目标参与角色参与角色主要工主要工作内容作内容主要活动过程主要活动过程实施流程实施流程/主要活动主要活动主要参考标准主要参考标准11/22/202211/22/20221616实施等级保护的主要阶段第一阶段：系统定级第

19、一阶段：系统定级第二阶段：安全规划设计第二阶段：安全规划设计第三阶段：安全实施第三阶段：安全实施/实现实现第四阶段：安全运行管理第四阶段：安全运行管理第五阶段：系统终止第五阶段：系统终止11/22/202211/22/20221717第一阶段:系统定级定级方法定级方法参与角色和职责参与角色和职责实施流程实施流程阶段主要活动阶段主要活动11/22/202211/22/20221818系统定级阶段-定级方法定级方法第一种方法：根据经验直接定级第一种方法：根据经验直接定级第二种方法：按照标准定级第二种方法：按照标准定级第三种方法：制定方法自行定级第三种方法：制定方法自行定级 如采用第二种定级方法则可

20、以参考如采用第二种定级方法则可以参考如采用第二种定级方法则可以参考如采用第二种定级方法则可以参考实施指南实施指南实施指南实施指南系统定级阶段相关活动内容。系统定级阶段相关活动内容。系统定级阶段相关活动内容。系统定级阶段相关活动内容。11/22/202211/22/20221919系统定级阶段-参与角色和职责参与角色和职责信息系统运营、使用单位：负责选择定信息系统运营、使用单位：负责选择定级方法级方法确定其信息系统的安全等级，并报确定其信息系统的安全等级，并报确定其信息系统的安全等级，并报确定其信息系统的安全等级，并报其主管部门审批同意；对安全等级在三级其主管部门审批同意；对安全等级在三级其主管

21、部门审批同意；对安全等级在三级其主管部门审批同意；对安全等级在三级以上的信息系统，报送本地区地市级公安以上的信息系统，报送本地区地市级公安以上的信息系统，报送本地区地市级公安以上的信息系统，报送本地区地市级公安机关备案。机关备案。机关备案。机关备案。信息系统主管部门：信息系统主管部门：对下属单位确定的信对下属单位确定的信对下属单位确定的信对下属单位确定的信息系统安全等级进行审批。息系统安全等级进行审批。息系统安全等级进行审批。息系统安全等级进行审批。信息系统安全服务商：信息系统安全服务商：协助信息系统运营、协助信息系统运营、协助信息系统运营、协助信息系统运营、使用单位完成与信息系统定级相关的工

22、作。使用单位完成与信息系统定级相关的工作。使用单位完成与信息系统定级相关的工作。使用单位完成与信息系统定级相关的工作。11/22/202211/22/20222020系统定级阶段-实施流程实施流程主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动子系统识别和描述子系统识别和描述系统立项文档系统立项文档系统建设文档系统建设文档系统管理文档系统管理文档系统详细描述文件系统详细描述文件系统识别与划分系统识别与划分系统总体描述文件系统总体描述文件系统总体描述文件系统总体描述文件安全等级确定安全等级确定系统总体描述文件系统总体描述文件系统详细描述文件系统详细描述文件系统安全保护等级系统安全保护等级

23、定级建议书定级建议书11/22/202211/22/20222121系统定级阶段-系统识别和划分系统识别和划分过程目标过程目标收集有关信息系统的信息；收集有关信息系统的信息；收集有关信息系统的信息；收集有关信息系统的信息；在对信息进行综合分析的基础上将组织在对信息进行综合分析的基础上将组织在对信息进行综合分析的基础上将组织在对信息进行综合分析的基础上将组织机构内运行的信息系统合理地分解成若机构内运行的信息系统合理地分解成若机构内运行的信息系统合理地分解成若机构内运行的信息系统合理地分解成若干个信息系统；干个信息系统；干个信息系统；干个信息系统；针对目标信息系统，形成信息系统的总针对目标信息系统

24、，形成信息系统的总针对目标信息系统，形成信息系统的总针对目标信息系统，形成信息系统的总体描述性文档。体描述性文档。体描述性文档。体描述性文档。输入输入信息系统的立项、建设、管理文档信息系统的立项、建设、管理文档信息系统的立项、建设、管理文档信息系统的立项、建设、管理文档11/22/202211/22/20222222系统定级阶段-系统识别和划分系统识别和划分(续续)输出输出信息系统总体描述文件信息系统总体描述文件信息系统总体描述文件信息系统总体描述文件主要工作内容主要工作内容识别单位的基本信息识别单位的基本信息识别单位的基本信息识别单位的基本信息识别信息系统的管理框架识别信息系统的管理框架识别

25、信息系统的管理框架识别信息系统的管理框架识别信息系统的网络边界及设备部署识别信息系统的网络边界及设备部署识别信息系统的网络边界及设备部署识别信息系统的网络边界及设备部署识别信息系统的业务种类和特性识别信息系统的业务种类和特性识别信息系统的业务种类和特性识别信息系统的业务种类和特性识别用户范围和用户类型识别用户范围和用户类型识别用户范围和用户类型识别用户范围和用户类型划分方法的选择划分方法的选择划分方法的选择划分方法的选择形成信息系统总体描述文档形成信息系统总体描述文档形成信息系统总体描述文档形成信息系统总体描述文档11/22/202211/22/20222323系统定级阶段-系统识别和划分系统

26、识别和划分(续续)信息系统划分方法信息系统划分方法从组织管理角度划分从组织管理角度划分从组织管理角度划分从组织管理角度划分从业务类型角度划分从业务类型角度划分从业务类型角度划分从业务类型角度划分从物理区域或运行环境角度划分从物理区域或运行环境角度划分从物理区域或运行环境角度划分从物理区域或运行环境角度划分11/22/202211/22/20222424系统定级阶段-业务子系统识别和描述业务子系统识别和描述过程目标过程目标如果某一个信息系统中包含多个业务子系统，识别如果某一个信息系统中包含多个业务子系统，识别如果某一个信息系统中包含多个业务子系统，识别如果某一个信息系统中包含多个业务子系统，识别

27、出主要的业务子系统；出主要的业务子系统；出主要的业务子系统；出主要的业务子系统；对主要业务子系统的安全属性进行识别和描述。对主要业务子系统的安全属性进行识别和描述。对主要业务子系统的安全属性进行识别和描述。对主要业务子系统的安全属性进行识别和描述。输入输入信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件 11/22/202211/22/20222525系统定级阶段-业务子系统识别和描述业务子系统识别和描述输出输出信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件主要工作内容主要工作内容识别各业务子系统处理的信息类型识别各业务子系统处

28、理的信息类型识别各业务子系统处理的信息类型识别各业务子系统处理的信息类型识别各业务子系统的服务范围识别各业务子系统的服务范围识别各业务子系统的服务范围识别各业务子系统的服务范围识别各项业务对系统的依赖程度识别各项业务对系统的依赖程度识别各项业务对系统的依赖程度识别各项业务对系统的依赖程度形成信息系统和业务子系统的详细描述文形成信息系统和业务子系统的详细描述文形成信息系统和业务子系统的详细描述文形成信息系统和业务子系统的详细描述文档档档档11/22/202211/22/20222626系统定级阶段-安全等级确定安全等级确定过程目标过程目标过程目标过程目标依依依依据据据据信信信信息息息息系系系系统

29、统统统安安安安全全全全保保保保护护护护等等等等级级级级定定定定级级级级指指指指南南南南确确确确定定定定每每每每个业务子系统的安全保护等级；个业务子系统的安全保护等级；个业务子系统的安全保护等级；个业务子系统的安全保护等级；由由由由所所所所包包包包括括括括的的的的各各各各业业业业务务务务子子子子系系系系统统统统的的的的最最最最高高高高等等等等级级级级决决决决定定定定信信信信息息息息系系系系统的安全保护等级；统的安全保护等级；统的安全保护等级；统的安全保护等级；对对对对定定定定级级级级过过过过程程程程文文文文档档档档进进进进行行行行整整整整理理理理，形形形形成成成成文文文文件件件件化化化化的的的的

30、信信信信息息息息系系系系统定级建议书。统定级建议书。统定级建议书。统定级建议书。输入输入输入输入信息系统总体描述文件信息系统总体描述文件信息系统总体描述文件信息系统总体描述文件信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件11/22/202211/22/20222727系统定级阶段-安全等级确定安全等级确定输出输出信息系统安全保护等级定级建议书信息系统安全保护等级定级建议书信息系统安全保护等级定级建议书信息系统安全保护等级定级建议书主要工作内容主要工作内容各业务子系统安全保护等级确定各业务子系统安全保护等级确定各业务子系统安全保护等级确定各业务子系统安全保护等

31、级确定信息系统安全保护等级确定信息系统安全保护等级确定信息系统安全保护等级确定信息系统安全保护等级确定安全保护等级的调整安全保护等级的调整安全保护等级的调整安全保护等级的调整定级结果文档化定级结果文档化定级结果文档化定级结果文档化11/22/202211/22/20222828第二阶段：安全规划设计阶段阶段目标阶段目标参与角色和职责参与角色和职责实施流程实施流程阶段主要活动阶段主要活动11/22/202211/22/20222929安全规划设计-阶段目标阶段目标通过安全评估和需求分析判断信息系统的安全保护通过安全评估和需求分析判断信息系统的安全保护通过安全评估和需求分析判断信息系统的安全保护通

32、过安全评估和需求分析判断信息系统的安全保护现状与等级保护基本要求之间的差距，确定安全需求，现状与等级保护基本要求之间的差距，确定安全需求，现状与等级保护基本要求之间的差距，确定安全需求，现状与等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统的定级情况、然后根据信息系统的划分情况、信息系统的定级情况、然后根据信息系统的划分情况、信息系统的定级情况、然后根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况和安全需求等，设计合理的、满信息系统承载业务情况和安全需求等，设计合理的、满信息系统承载业务情况和安全需求等，设计合理的、满信息系统承载业务情况和安全需求

33、等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计足等级保护要求的总体安全方案，并制定出安全实施计足等级保护要求的总体安全方案，并制定出安全实施计足等级保护要求的总体安全方案，并制定出安全实施计划等，以指导后续的信息系统安全建设工程实施。划等，以指导后续的信息系统安全建设工程实施。划等，以指导后续的信息系统安全建设工程实施。划等，以指导后续的信息系统安全建设工程实施。11/22/202211/22/20223030安全规划设计-参与角色和职责参与角色和职责信息系统运营、使用单位：根据已经确定的安全等级，信息系统运营、使用单位：根据已经确定的安全等级，信息系统运营、使用单位：根据

34、已经确定的安全等级，信息系统运营、使用单位：根据已经确定的安全等级，按照等级保护的管理规范和技术标准，进行信息系统按照等级保护的管理规范和技术标准，进行信息系统按照等级保护的管理规范和技术标准，进行信息系统按照等级保护的管理规范和技术标准，进行信息系统的安全规划设计。的安全规划设计。的安全规划设计。的安全规划设计。信息系统安全服务商：根据信息系统运营、使用单位信息系统安全服务商：根据信息系统运营、使用单位信息系统安全服务商：根据信息系统运营、使用单位信息系统安全服务商：根据信息系统运营、使用单位的委托，按照等级保护的管理规范和技术标准，协助的委托，按照等级保护的管理规范和技术标准，协助的委托，

35、按照等级保护的管理规范和技术标准，协助的委托，按照等级保护的管理规范和技术标准，协助信息系统运营、使用单位完成信息系统安全规划设计信息系统运营、使用单位完成信息系统安全规划设计信息系统运营、使用单位完成信息系统安全规划设计信息系统运营、使用单位完成信息系统安全规划设计工作。工作。工作。工作。11/22/202211/22/20223131安全规划设计-实施流程实施流程主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动安全评估和需求分析安全评估和需求分析系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书等级保护基本要求等级保护基本要求安全评估报告安全评估报告安全需求分析报告安全需

36、求分析报告安全总体设计安全总体设计 安全总体方案书安全总体方案书技术防护框架技术防护框架管理策略框架管理策略框架安全建设规划安全建设规划 总体安全策略总体安全策略/框架框架单位信息化的中长单位信息化的中长期规划期规划信息系统安全建设信息系统安全建设方案方案安全评估报告安全评估报告安全需求分析报告安全需求分析报告等级保护基本要求等级保护基本要求11/22/202211/22/20223232阶段主要活动-1.1.安全评估和需求分析安全评估和需求分析活动目标活动目标活动目标活动目标通过系统调查和安全评估了解系统目前的安全现通过系统调查和安全评估了解系统目前的安全现通过系统调查和安全评估了解系统目前

37、的安全现通过系统调查和安全评估了解系统目前的安全现状；状；状；状；评估系统已经采用的或将要采用的保护措施和等评估系统已经采用的或将要采用的保护措施和等评估系统已经采用的或将要采用的保护措施和等评估系统已经采用的或将要采用的保护措施和等级保护安全要求之间的差距，这种差距作为系统级保护安全要求之间的差距，这种差距作为系统级保护安全要求之间的差距，这种差距作为系统级保护安全要求之间的差距，这种差距作为系统的一种安全需求；的一种安全需求；的一种安全需求；的一种安全需求；了解系统额外的安全需求；了解系统额外的安全需求；了解系统额外的安全需求；了解系统额外的安全需求；明确系统的完整安全需求。明确系统的完整

38、安全需求。明确系统的完整安全需求。明确系统的完整安全需求。主要参考标准主要参考标准主要参考标准主要参考标准 信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护测评准则GB/T xxxxx-2006 GB/T xxxxx-2006 信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求信息安全风险评估指南信息安全风险评估指南信息安全风险评估指南信息安全风险评估指南11/22/202211/2

39、2/20223333阶段主要活动-1.1.安全评估和需求分析安全评估和需求分析主要活动过程主要活动过程评估对象和评估方法的明确；评估对象和评估方法的明确；评估对象和评估方法的明确；评估对象和评估方法的明确；评估指标体系的选择和确定；评估指标体系的选择和确定；评估指标体系的选择和确定；评估指标体系的选择和确定；系统现状与评估指标的对比；系统现状与评估指标的对比；系统现状与评估指标的对比；系统现状与评估指标的对比；特殊安全要求的确定。特殊安全要求的确定。特殊安全要求的确定。特殊安全要求的确定。11/22/202211/22/20223434阶段主要活动-1.1.安全评估和需求分析安全评估和需求分析

40、评估对象和评估方法的明确评估对象和评估方法的明确确定评估范围确定评估范围 获得信息系统的信息获得信息系统的信息 确定具体的评估对象确定具体的评估对象 确定评估工作的方法确定评估工作的方法 制定评估工作计划制定评估工作计划 系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书用户文档用户文档输入输入输出输出过程的工作内容过程的工作内容评估工作方案评估工作方案11/22/202211/22/20223535阶段主要活动-1.1.安全评估和需求分析安全评估和需求分析评估指标体系的选择和确定评估指标体系的选择和确定选择基本评估指标选择基本评估指标 评估对象威胁分析评估对象威胁分析系统详细描述文

41、件系统详细描述文件系统定级建议书系统定级建议书等级保护基本要求等级保护基本要求评估工作方案评估工作方案输入输入输出输出过程的工作内容过程的工作内容安全评估方案安全评估方案落实评估对象的评估指标落实评估对象的评估指标制定评估方案制定评估方案11/22/202211/22/20223636阶段主要活动-1.1.安全评估和需求分析安全评估和需求分析安全现状与评估指标对比安全现状与评估指标对比管理指标符合性评估管理指标符合性评估 技术技术指标符合性测评指标符合性测评系统详细描述文件系统详细描述文件评估工作方案评估工作方案安全评估方案安全评估方案输入输入输出输出过程的工作内容过程的工作内容符合性评估结果

42、符合性评估结果11/22/202211/22/20223737重要资产特殊安全要求的确定重要资产特殊安全要求的确定重要资产分析重要资产分析 重要资产弱点评估重要资产弱点评估系统详细描述文件系统详细描述文件评估结果记录评估结果记录用户需求文档用户需求文档输入输入输出输出过程的工作内容过程的工作内容风险评估结果风险评估结果特殊安全要求特殊安全要求重要资产威胁评估重要资产威胁评估重要资产风险评估重要资产风险评估阶段主要活动-1.1.安全评估和需求分析安全评估和需求分析11/22/202211/22/20223838阶段主要活动-2.2.安全总体设计安全总体设计活动目标活动目标活动目标活动目标根据等级

43、保护基本安全要求和系统的特殊要求，从被评估根据等级保护基本安全要求和系统的特殊要求，从被评估根据等级保护基本安全要求和系统的特殊要求，从被评估根据等级保护基本安全要求和系统的特殊要求，从被评估单位全局考虑设计系统的整体安全框架；单位全局考虑设计系统的整体安全框架；单位全局考虑设计系统的整体安全框架；单位全局考虑设计系统的整体安全框架；提出各信息系统在总体方面的策略要求、应实现的安全技提出各信息系统在总体方面的策略要求、应实现的安全技提出各信息系统在总体方面的策略要求、应实现的安全技提出各信息系统在总体方面的策略要求、应实现的安全技术措施和安全管理措施等；术措施和安全管理措施等；术措施和安全管理

44、措施等；术措施和安全管理措施等；形成用于指导系统进行安全建设的安全总体方案。形成用于指导系统进行安全建设的安全总体方案。形成用于指导系统进行安全建设的安全总体方案。形成用于指导系统进行安全建设的安全总体方案。主要参考标准主要参考标准主要参考标准主要参考标准信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T xxxxx-2006 GB/T xxxxx-2006 信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求GB/T xxxxx-2006 GB/T xxxxx-2006 操作系统

45、安全技术要求操作系统安全技术要求操作系统安全技术要求操作系统安全技术要求GB/T xxxxx-2006 GB/T xxxxx-2006 数据库管理系统安全技术要求数据库管理系统安全技术要求数据库管理系统安全技术要求数据库管理系统安全技术要求GB/T 19716-2005 GB/T 19716-2005 信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则IATF3.0 IATF3.0 信息保障技术框架信息保障技术框架信息保障技术框架信息保障技术框架11/22/202211/22/20223939阶段主要活动-2.2.安全总体设计安全总体设计主要活动过程主要活动过程系

46、统等级化模型处理系统等级化模型处理系统等级化模型处理系统等级化模型处理总体安全策略设计总体安全策略设计总体安全策略设计总体安全策略设计 各级系统安全技术措施设计各级系统安全技术措施设计各级系统安全技术措施设计各级系统安全技术措施设计单位整体安全管理策略设计单位整体安全管理策略设计单位整体安全管理策略设计单位整体安全管理策略设计设计结果文档化设计结果文档化设计结果文档化设计结果文档化11/22/202211/22/20224040阶段主要活动-2.2.安全总体设计安全总体设计系统等级化模型处理系统等级化模型处理信息系统构成抽象处理信息系统构成抽象处理骨干网抽象处理骨干网抽象处理系统详细描述文件系

47、统详细描述文件符合性评估结果符合性评估结果风险评估结果风险评估结果特殊安全要求特殊安全要求输入输入输出输出过程的工作内容过程的工作内容信息系统等级信息系统等级化抽象模型化抽象模型安全域抽象处理安全域抽象处理局域网局域网/边界抽象处理边界抽象处理形成信息系统抽象模型形成信息系统抽象模型11/22/202211/22/20224141阶段主要活动-2.2.安全总体设计安全总体设计总体安全策略设计总体安全策略设计制定安全方针制定安全方针规定安全策略规定安全策略系统详细描述文件系统详细描述文件安全需求分析报告安全需求分析报告信息系统等级化抽信息系统等级化抽象模型象模型输入输入输出输出过程的工作内容过程

48、的工作内容总体安全策略总体安全策略等级保护模型等级保护模型建立等级化保护模型建立等级化保护模型11/22/202211/22/20224242阶段主要活动-2.2.安全总体设计安全总体设计各级系统安全技术措施设计各级系统安全技术措施设计骨干网等级保护措施骨干网等级保护措施安全域等级保护措施安全域等级保护措施安全需求分析报告安全需求分析报告信息系统等级保护信息系统等级保护模型模型等级保护基本要求等级保护基本要求特殊安全要求特殊安全要求输入输入输出输出过程的工作内容过程的工作内容信息系统技术信息系统技术防护框架防护框架等级系统边界防护策略等级系统边界防护策略主机系统主机系统/应用等级保护措施应用等

49、级保护措施机房等物理安全保护措施机房等物理安全保护措施11/22/202211/22/20224343阶段主要活动-2.2.安全总体设计安全总体设计单位整体安全管理策略设计单位整体安全管理策略设计规定安全管理职责规定安全管理职责规定安全管理策略规定安全管理策略安全需求分析报告安全需求分析报告信息系统等级保护信息系统等级保护模型模型等级保护基本要求等级保护基本要求特殊安全要求特殊安全要求输入输入输出输出过程的工作内容过程的工作内容信息系统安全信息系统安全管理策略框架管理策略框架给定介质给定介质/设备管理策略设备管理策略规定运行安全管理策略规定运行安全管理策略规定安全事件处置和应急管理策略规定安全

50、事件处置和应急管理策略11/22/202211/22/20224444阶段主要活动-2.2.安全总体设计安全总体设计设计结果文档化设计结果文档化编制安全总体方案书编制安全总体方案书安全需求分析报告安全需求分析报告等级保护模型等级保护模型技术防护框架技术防护框架管理策略框架管理策略框架输入输入输出输出过程的工作内容过程的工作内容安全总体方案安全总体方案书书11/22/202211/22/20224545安全规划设计-3.3.安全建设规划安全建设规划活动目标活动目标活动目标活动目标将将将将信信信信息息息息系系系系统统统统安安安安全全全全总总总总体体体体方方方方案案案案书书书书规规规规定定定定的的的