信息系统安全等级保护实施指南介绍.ppt课件.ppt

1、主管部门主管部门监督检查监督检查信息安全监信息安全监管职能部门管职能部门系统定级系统定级安全保护安全保护检测评估检测评估运营运营使用单位使用单位安全服务商安全服务商安全评估机构安全评估机构技术标准技术标准管理规范管理规范重大变更重大变更局部调整局部调整系统定级系统定级安全规划设计安全规划设计安全实施安全实施/实现实现安全运行管理安全运行管理系统终止系统终止新建信息系统等级保护实施过程新建信息系统等级保护实施过程信息系统生命周期信息系统生命周期安全运行管理安全运行管理（变更管理（变更管理/定期安全定期安全测评测评/监督检查）监督检查）系统系统定级定级安全规安全规划设计划设计安全安全实施实施系统系

2、统终止终止设计开设计开发阶段发阶段运行维护阶段运行维护阶段启动启动阶段阶段实施实施阶段阶段中止中止阶段阶段阶段主要活动阶段主要活动主要活动过程主要活动过程阶段阶段工作内容工作内容过程目标过程目标输入输入输出输出活动目标活动目标阶段目标阶段目标参与角色参与角色主要工作内容主要工作内容主要活动过程主要活动过程实施流程实施流程/主要活动主要活动主要参考标准主要参考标准主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动子系统识别和描述子系统识别和描述系统立项文档系统立项文档系统建设文档系统建设文档系统管理文档系统管理文档系统详细描述文件系统详细描述文件系统识别与划分系统识别与划分系统总体描述文件

3、系统总体描述文件系统总体描述文件系统总体描述文件安全等级确定安全等级确定系统总体描述文件系统总体描述文件系统详细描述文件系统详细描述文件系统安全保护等级系统安全保护等级定级建议书定级建议书主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动安全评估和需求分析安全评估和需求分析系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书等级保护基本要求等级保护基本要求安全评估报告安全评估报告安全需求分析报告安全需求分析报告安全总体设计安全总体设计 安全总体方案书安全总体方案书技术防护框架技术防护框架管理策略框架管理策略框架安全建设规划安全建设规划 总体安全策略总体安全策略/框架框架单位信息化

4、的中长单位信息化的中长期规划期规划信息系统安全建设信息系统安全建设方案方案安全评估报告安全评估报告安全需求分析报告安全需求分析报告等级保护基本要求等级保护基本要求确定评估范围确定评估范围 获得信息系统的信息获得信息系统的信息 确定具体的评估对象确定具体的评估对象 确定评估工作的方法确定评估工作的方法 制定评估工作计划制定评估工作计划 系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书用户文档用户文档输入输入输出输出过程的工作内容过程的工作内容评估工作方案评估工作方案选择基本评估指标选择基本评估指标 评估对象威胁分析评估对象威胁分析系统详细描述文件系统详细描述文件系统定级建议书系统定级

5、建议书等级保护基本要求等级保护基本要求评估工作方案评估工作方案输入输入输出输出过程的工作内容过程的工作内容安全评估方案安全评估方案落实评估对象的评估指标落实评估对象的评估指标制定评估方案制定评估方案管理指标符合性评估管理指标符合性评估 技术指标符合性测评技术指标符合性测评系统详细描述文件系统详细描述文件评估工作方案评估工作方案安全评估方案安全评估方案输入输入输出输出过程的工作内容过程的工作内容符合性评估结果符合性评估结果重要资产分析重要资产分析 重要资产弱点评估重要资产弱点评估系统详细描述文件系统详细描述文件评估结果记录评估结果记录用户需求文档用户需求文档输入输入输出输出过程的工作内容过程的工

6、作内容风险评估结果风险评估结果特殊安全要求特殊安全要求重要资产威胁评估重要资产威胁评估重要资产风险评估重要资产风险评估信息系统构成抽象处理信息系统构成抽象处理骨干网抽象处理骨干网抽象处理系统详细描述文件系统详细描述文件符合性评估结果符合性评估结果风险评估结果风险评估结果特殊安全要求特殊安全要求输入输入输出输出过程的工作内容过程的工作内容信息系统等级信息系统等级化抽象模型化抽象模型安全域抽象处理安全域抽象处理局域网局域网/边界抽象处理边界抽象处理形成信息系统抽象模型形成信息系统抽象模型制定安全方针制定安全方针规定安全策略规定安全策略系统详细描述文件系统详细描述文件安全需求分析报告安全需求分析报告

7、信息系统等级化抽信息系统等级化抽象模型象模型输入输入输出输出过程的工作内容过程的工作内容总体安全策略总体安全策略等级保护模型等级保护模型建立等级化保护模型建立等级化保护模型骨干网等级保护措施骨干网等级保护措施安全域等级保护措施安全域等级保护措施安全需求分析报告安全需求分析报告信息系统等级保护信息系统等级保护模型模型等级保护基本要求等级保护基本要求特殊安全要求特殊安全要求输入输入输出输出过程的工作内容过程的工作内容信息系统技术信息系统技术防护框架防护框架等级系统边界防护策略等级系统边界防护策略主机系统主机系统/应用等级保护措施应用等级保护措施机房等物理安全保护措施机房等物理安全保护措施规定安全管

8、理职责规定安全管理职责规定安全管理策略规定安全管理策略安全需求分析报告安全需求分析报告信息系统等级保护信息系统等级保护模型模型等级保护基本要求等级保护基本要求特殊安全要求特殊安全要求输入输入输出输出过程的工作内容过程的工作内容信息系统安全信息系统安全管理策略框架管理策略框架给定介质给定介质/设备管理策略设备管理策略规定运行安全管理策略规定运行安全管理策略规定安全事件处置和应急管理策略规定安全事件处置和应急管理策略编制安全总体方案书编制安全总体方案书安全需求分析报告安全需求分析报告等级保护模型等级保护模型技术防护框架技术防护框架管理策略框架管理策略框架输入输入输出输出过程的工作内容过程的工作内容

9、安全总体方案安全总体方案书书收集规划文档收集规划文档调研相关安全需求调研相关安全需求安全总体方案书安全总体方案书单位信息化建设中单位信息化建设中长期发展规划长期发展规划输入输入输出输出过程的工作内容过程的工作内容分阶段建设目分阶段建设目标标调研建设资金准备状况调研建设资金准备状况确定主要建设内容确定主要建设内容分类形成建设项目分类形成建设项目安全总体方案书安全总体方案书分阶段安全建设目分阶段安全建设目标标输入输入输出输出过程的工作内容过程的工作内容具体安全建设具体安全建设内容内容设计建设顺序设计建设顺序安全总体方案书安全总体方案书分阶段安全建设目分阶段安全建设目标标安全建设内容安全建设内容输入

10、输入输出输出过程的工作内容过程的工作内容系统安全建设系统安全建设方案方案估算各项目投资估算各项目投资编制文档编制文档主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动安全详细方案设计安全详细方案设计安全总体方案书安全总体方案书系统安全建设方案系统安全建设方案安全产品技术白皮书安全产品技术白皮书安全详细设计方案安全详细设计方案安全技术实施安全技术实施 安全测评报告安全测评报告等级化安全测评等级化安全测评安全详细设计方案安全详细设计方案系统定级建议书系统定级建议书系统验收报告系统验收报告系统验收报告系统验收报告安全管理实施安全管理实施 安全详细设计方案安全详细设计方案角色与职责说明书角色与职

11、责说明书 管理制度管理制度/操作规范操作规范设计结构框架设计结构框架设计功能要求设计功能要求安全总体方案书安全总体方案书安全建设方案安全建设方案安全产品技术白皮安全产品技术白皮书书输入输入输出输出过程的工作内容过程的工作内容安全技术实施安全技术实施方案方案设计性能指标设计性能指标设计部署方案设计部署方案制定安全策略实现计划制定安全策略实现计划设置安全管理机构设置安全管理机构配备安全管理人员配备安全管理人员安全总体方案书安全总体方案书安全建设方案安全建设方案输入输入输出输出过程的工作内容过程的工作内容安全管理实施安全管理实施方案方案制定安全管理制度制定安全管理制度培训安全管理技能培训安全管理技能

12、设置安全管理机构设置安全管理机构配备安全管理人员配备安全管理人员安全总体方案书安全总体方案书安全建设方案安全建设方案输入输入输出输出过程的工作内容过程的工作内容安全管理实施安全管理实施方案方案制定安全管理制度制定安全管理制度培训安全管理技能培训安全管理技能实施内容汇总实施内容汇总编制文档编制文档安全技术实施方案安全技术实施方案安全管理实施方案安全管理实施方案输入输入输出输出过程的工作内容过程的工作内容安全详细设计安全详细设计方案方案识别安全管理组织成员识别安全管理组织成员识别安全管理角色识别安全管理角色现有管理制度和政现有管理制度和政策文件策文件安全详细设计方案安全详细设计方案输入输入输出输出

13、过程的工作内容过程的工作内容机构机构/角色职责角色职责说明文件说明文件规定各机构和角色职责规定各机构和角色职责确定制度的应用范围确定制度的应用范围确定部门、人员职责确定部门、人员职责现有管理制度和政现有管理制度和政策文件策文件安全组织结构表安全组织结构表机构机构/角色职责说明角色职责说明文件文件输入输入输出输出过程的工作内容过程的工作内容各项管理制度各项管理制度和操作规范和操作规范评估并完善现有制度评估并完善现有制度培训特定岗位技能培训特定岗位技能培训安全意识培训安全意识岗位职责说明岗位职责说明系统系统/产品使用手册产品使用手册各项管理制度和操各项管理制度和操作规程作规程输入输入输出输出过程的

14、工作内容过程的工作内容培训记录培训记录上岗资格证书上岗资格证书考核考核颁发上岗资格证书颁发上岗资格证书质量管理质量管理进度管理进度管理信息系统等级保护信息系统等级保护建设的各阶段文档建设的各阶段文档输入输入输出输出过程的工作内容过程的工作内容各阶段过程管各阶段过程管理控制记录理控制记录文档管理文档管理/版本控制版本控制变更管理变更管理风险管理风险管理制定产品采购说明书制定产品采购说明书选择入围产品选择入围产品安全设计详细方案安全设计详细方案相关产品信息相关产品信息输入输入输出输出过程的工作内容过程的工作内容已采购安全产已采购安全产品清单品清单产品招标产品招标安全措施需求分析安全措施需求分析概要

15、设计概要设计安全设计详细方案安全设计详细方案输入输入输出输出过程的工作内容过程的工作内容安全控制开发安全控制开发过程相关文档过程相关文档详细设计详细设计编码实现编码实现测试测试制定集成实施方案制定集成实施方案实施集成实施集成安全设计详细方案安全设计详细方案输入输入输出输出过程的工作内容过程的工作内容安全控制集成安全控制集成报告报告阶段集成测试阶段集成测试产品和维护培训产品和维护培训测试系统功能和性能测试系统功能和性能测试运行可靠性测试运行可靠性安全设计详细方案安全设计详细方案安全控制集成报告安全控制集成报告输入输入输出输出过程的工作内容过程的工作内容系统测试报告系统测试报告系统验收报告系统验收

16、报告测评安全管理实施测评安全管理实施系统验收系统验收系统交付系统交付测试系统功能和性能测试系统功能和性能测试运行可靠性测试运行可靠性安全设计详细方案安全设计详细方案安全控制集成报告安全控制集成报告输入输入输出输出过程的工作内容过程的工作内容系统测试报告系统测试报告系统验收报告系统验收报告测评安全管理实施测评安全管理实施系统验收系统验收系统交付系统交付主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动操作管理和控制操作管理和控制安全详细设计方案安全详细设计方案安全组织机构表安全组织机构表操作人员角色操作人员角色/职责表职责表各类操作规程各类操作规程变更管理和控制变更管理和控制变更需求变更需

17、求变更结果报告变更结果报告 安全状态监控安全状态监控安全详细设计方案安全详细设计方案系统验收报告等系统验收报告等安全状态分析报告安全状态分析报告 安全事件处置和应安全事件处置和应急预案急预案 安全详细设计方案安全详细设计方案安全组织机构表安全组织机构表安全事件报告程序安全事件报告程序 各类应急预案各类应急预案安全事件处置报告安全事件处置报告主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动安全评估和持续改进安全评估和持续改进 安全评估报告安全评估报告安全改进方案安全改进方案等级化安全测评等级化安全测评 安全详细设计方案安全详细设计方案系统验收报告等系统验收报告等安全等级保护测评安全等级保

18、护测评报告报告 监督检查监督检查安全详细设计方案安全详细设计方案系统验收报告等系统验收报告等监督检查结果报告监督检查结果报告 变更需求变更需求划分操作角色划分操作角色授予管理权限授予管理权限安全设计详细方案安全设计详细方案安全组织机构表安全组织机构表输入输入输出输出过程的工作内容过程的工作内容操作人员角色操作人员角色和职责表和职责表定义人员职责定义人员职责确定操作目的和内容确定操作目的和内容确定操作时间和地点确定操作时间和地点操作需求操作需求操作人员角色和职操作人员角色和职责表责表输入输入输出输出过程的工作内容过程的工作内容各类操作规程各类操作规程操作记录操作记录选择操作方法选择操作方法建立操

19、作规程建立操作规程记录操作过程和结果记录操作过程和结果变更需求分析变更需求分析识别变更种类识别变更种类变更需求变更需求输入输入输出输出过程的工作内容过程的工作内容变更方案变更方案变更影响分析变更影响分析制定变更方案制定变更方案变更内容审核与审批变更内容审核与审批建立变更过程日志建立变更过程日志变更方案变更方案输入输入输出输出过程的工作内容过程的工作内容变更结果报告变更结果报告形成变更结果报告形成变更结果报告业务关键要素分析业务关键要素分析安全关键点分析安全关键点分析安全详细设计方案安全详细设计方案系统验收报告系统验收报告输入输入输出输出过程的工作内容过程的工作内容监控对象列表监控对象列表形成监

20、控对象列表形成监控对象列表选择监控工具选择监控工具识别和记录入侵行为识别和记录入侵行为监控对象列表监控对象列表输入输入输出输出过程的工作内容过程的工作内容监控对象安全监控对象安全状态信息状态信息监控对象信息收集监控对象信息收集状态分析状态分析影响程度和范围分析影响程度和范围分析监控对象安全状态监控对象安全状态信息信息输入输入输出输出过程的工作内容过程的工作内容安全状态分析安全状态分析报告报告变更需求变更需求变更需求分析变更需求分析安全事件调查和分析安全事件调查和分析安全事件等级划分安全事件等级划分各类安全事件列表各类安全事件列表输入输入输出输出过程的工作内容过程的工作内容安全事件报告安全事件报

21、告程序程序建立分级的事件报告流程建立分级的事件报告流程确定应急预案对象确定应急预案对象确定和认可各项职责确定和认可各项职责安全事件报告程序安全事件报告程序输入输入输出输出过程的工作内容过程的工作内容各类应急预案各类应急预案制定程序和执行条件制定程序和执行条件制定各类事件应急恢复措施制定各类事件应急恢复措施安全事件上报安全事件上报安全事件处置安全事件处置安全状态分析报告安全状态分析报告安全事件报告程序安全事件报告程序各类应急预案各类应急预案输入输入输出输出过程的工作内容过程的工作内容安全事件处置安全事件处置报告报告安全事件影响分析安全事件影响分析安全事件总结和处置报告安全事件总结和处置报告确定评

22、估对象和方法确定评估对象和方法制定评估计划和方案制定评估计划和方案系统详细描述文件系统详细描述文件安全状态分析报告安全状态分析报告变更结果报告变更结果报告输入输入输出输出过程的工作内容过程的工作内容安全评估报告安全评估报告实施安全评估实施安全评估汇总分析评估结果汇总分析评估结果汇总分析评估结果汇总分析评估结果提出改进建议提出改进建议安全调整和改进立项安全调整和改进立项制定安全改进方案制定安全改进方案安全评估报告安全评估报告输入输入输出输出过程的工作内容过程的工作内容安全改进方案安全改进方案实施过程控制实施过程控制补充安全功能测试补充安全功能测试安全改进方案安全改进方案输入输入输出输出过程的工作

23、内容过程的工作内容安全测试安全测试/验收验收报告报告相关技术文件修订相关技术文件修订相关管理制度修订相关管理制度修订主要输入主要输入主要输出主要输出主要活动主要活动信息转移信息转移/暂存和清除暂存和清除信息资产清单信息资产清单信息转移、暂存、信息转移、暂存、清除处理记录文档清除处理记录文档设备迁移或废弃设备迁移或废弃设备迁移、废弃处设备迁移、废弃处理记录文档理记录文档介质清除或销毁介质清除或销毁信息系统介质清单信息系统介质清单介质清除、销毁处介质清除、销毁处理记录文档理记录文档硬件设备清单硬件设备清单识别要转移、暂存和清识别要转移、暂存和清除的信息资产除的信息资产信息资产转移、暂存和信息资产转

24、移、暂存和清除清除资产清单资产清单输入输入输出输出过程的工作内容过程的工作内容信息转移、暂信息转移、暂存、清除处理存、清除处理记录文档记录文档处理过程记录处理过程记录设备迁移或废弃软硬件设备识别软硬件设备识别信息资产转移、暂存和信息资产转移、暂存和清除清除设备迁移或废弃设备迁移或废弃清单清单输入输入输出输出过程的工作内容过程的工作内容设备迁移、废设备迁移、废弃处理报告弃处理报告设备处理和记录设备处理和记录处理方案审批处理方案审批识别要清除或销毁的介识别要清除或销毁的介质质确定介质处理方法和流确定介质处理方法和流程程存档介质清单存档介质清单输入输入输出输出过程的工作内容过程的工作内容介质清除或销介质清除或销毁记录文档毁记录文档介质处理和记录介质处理和记录处理方案审批处理方案审批