信息安全技術信息係統安全等級保護實施指南(DOC 32頁)
信息安全技術信息係統安全等級保護實施指南(DOC 32頁)內容簡介
1範圍
1)信息係統描述;
1)安全基礎設施建設;
1)管理狀況評估表格;
1)相對獨立信息係統列表;
1)係統概述;
2規範性引用文件
2)安全管理狀況;
2)網絡安全建設;
2)網絡狀況評估表格;
2)係統邊界描述;
2)每個定級對象的概述;
3術語和定義
3)安全技術狀況;
3)係統平台和應用平台安全建設;
3)網絡設備(含安全設備)評估表格;
3)每個定級對象的邊界;
3)網絡拓撲;
4等級保護實施概述
4)主機設備評估表格;
4)存在的不足和可能的風險;
4)數據係統安全建設;
4)每個定級對象的設備部署;
4)設備部署;
4.1基本原則
4.2角色和職責
4.3實施的基本流程
5信息係統定級
5)主要設備安全測試方案;
5)安全標準體係建設;
5)安全需求描述。
5)每個定級對象支撐的業務應用及其處理的信息資產類型;
5)支撐的業務應用的種類和特性;
5.1信息係定級階段的工作流程
5.2信息係統分析
5.2.1 係統識別和描述
5.2.2 信息係統劃分
5.3安全保護等級確定
5.3.1 定級、審核和批準
5.3.2 形成定級報告
6總體安全規劃
6)人才培養體係建設;
6)重要操作的作業指導書。
6)每個定級對象的服務範圍和用戶類型;
6)處理的信息資產;
6.1總體安全規劃階段的工作流程
6.2安全需求分析
6.2.1 基本安全需求的確定
6.2.2 額外特殊安全需求的確定
6.2.3 形成安全需求分析報告
6.3總體安全設計
6.3.1 總體安全策略設計
6.3.2 安全技術體係結構設計
6.3.3 整體安全管理體係結構設計
6.3.4 設計結果文檔化
6.4安全建設項目規劃
6.4.1 安全建設目標確定
6.4.2 安全建設內容規劃
6.4.3 形成安全建設項目計劃
7安全設計與實施
7)安全管理體係建設。
7)其他內容。
7)用戶的範圍和用戶類型;
7.1安全設計與實施階段的工作流程
7.2安全方案詳細設計
7.2.1 技術措施實現內容設計
7.2.2 管理措施實現內容設計
7.2.3 設計結果文檔化
7.3管理措施實現
7.3.1 管理機構和人員的設置
7.3.2 管理製度的建設和修訂
7.3.3 人員安全技能培訓
7.3.4 安全實施過程管理
7.4技術措施實現
7.4.1 信息安全產品采購
7.4.2 安全控製開發
7.4.3 安全控製集成
7.4.4 係統驗收
8安全運行與維護
8)信息係統的管理框架。
8.1安全運行與維護階段的工作流程
8.2運行管理和控製
8.2.1 運行管理職責確定
8.2.2 運行管理過程控製
8.3變更管理和控製
8.3.1 變更需求和影響分析
8.3.2 變更過程控製
8.4安全狀態監控
8.4.1 監控對象確定
8.4.2 監控對象狀態信息收集
8.4.3 監控狀態分析和報告
8.5安全事件處置和應急預案
8.5.1 安全事件分級
8.5.2 應急預案製定
8.5.3 安全事件處置
8.6安全檢查和持續改進
8.6.1 安全狀態檢查
8.6.2 改進方案製定
8.6.3 安全改進實施
8.7等級測評
8.8係統備案
8.9監督檢查
9信息係統終止
9.1信息係統終止階段的工作流程
9.2信息轉移、暫存和清除
9.3設備遷移或廢棄
9.4存儲介質的清除或銷毀
a)備案材料整理
a)安全方案實施控製
a)信息化建設中長期發展規劃和安全需求調查
a)信息係統安全保護等級初步確定
a)信息係統概述;
a)劃分方法的選擇
a)製定產品采購說明書
a)單位信息化現狀概述;
a)國家管理部門
a)安全措施需求分析
a)安全組織確定
a)完成安全需求分析報告
a)應用範圍明確
a)本期建設目標和建設內容;
a)確定安全方針
a)確定檢查對象和檢查方法
a)確定係統範圍和分析對象
a)係統驗收準備
a)結構框架設計
a)自主保護原則
a)規劃建設的依據和原則;
a)規定信息安全的組織管理體係和對各信息係統的安全管理職責
a)規定骨幹網/城域網的安全保護技術措施
a)識別信息係統的基本信息
a)識別要清除或銷毀的介質
a)識別要轉移、暫存和清除的信息資產
a)質量管理
a)軟硬件設備識別
a)選擇監控工具
a)重要資產的分析
a)集成實施方案製定
a)劃分運行管理角色
a)變更內容審核和審批
a)變更需求分析
a)安全事件上報
a)安全事件調查和分析
a)安全關鍵點分析
a)安全改進的立項
a)建立操作規程
a)狀態分析
a)確定應急預案對象
a)確定主要安全建設內容
b)備案材料提交
b)安全措施測試與驗收
b)產品選擇
b)人員職責定義
b)信息係統主管部門
b)信息係統劃分
b)信息資產轉移、暫存和清除
b)製定安全策略
b)製定檢查計劃和檢查方案
b)製定硬件設備處理方案
b)功能要求設計
b)定級結果審核和批準
b)形成評價指標和評估方案
b)總體安全策略;
b)技術實現框架;
b)提出信息係統安全建設分階段目標
b)概要設計
b)狀態信息收集
b)確定存儲介質處理方法和流程
b)管理模式;
b)組織係統驗收
b)規劃建設的目標和範圍;
b)規定各等級信息係統的人員安全管理策略
b)規定子係統之間互聯的安全技術措施
b)角色說明
b)識別信息係統的管理框架
b)重點保護原則
b)重要資產安全弱點評估
b)集成準備
b)風險管理
b)製定安全改進方案
b)變更影響分析
b)安全事件處置
b)安全事件等級劃分
b)建立變更過程日誌
b)形成監控對象列表
b)影響分析
b)授予管理權限
b)操作過程記錄
b)確定和認可各項職責
b)確定主要安全建設項目
c)配套技術文件和管理製度的修訂
c)信息安全產品或組件功能及性能;
c)信息係統列表;
c)信息係統安全技術體係結構;
c)信息係統安全現狀;
c)信息係統詳細描述
c)信息係統運營、使用單位
c)變更管理
c)同步建設原則
c)處理方案審批
c)處理過程記錄
c)安全檢查實施
c)性能要求設計
c)現狀與評價指標對比
c)行為規範規定
c)規定不同級別子係統的邊界保護技術措施
c)規定各等級信息係統機房及辦公區等物理環境的安全管理策略
c)識別信息係統的網絡及設備部署
c)詳細設計
c)重要資產麵臨威脅評估
c)集成實施
c)驗收報告
c)製定應急預案程序及其執行條件
c)安全事件總結和報告
c)定義人員職責
c)形成變更結果報告
c)形成安全狀態分析報告
c)明確變更的類別
d)信息化的中長期發展規劃;
d)信息安全產品或組件部署;
d)信息安全服務機構
d)信息係統安全管理體係結構。
d)動態調整原則
d)培訓
d)存儲介質處理和記錄
d)安全檢查結果和報告
d)每個信息係統的概述;
d)係統交付
d)綜合風險分析
d)編碼實現
d)規定不同級別子係統內部係統平台和業務應用的安全保護技術措施
d)規定各等級信息係統介質、設備等的安全管理策略
d)設備處理和記錄
d)評估與完善
d)識別信息係統的業務種類和特性
d)進度管理
d)部署方案設計
d)製定變更方案
e)信息安全等級測評機構
e)信息係統安全建設的總體框架;
e)製定安全策略實現計劃
e)安全策略和配置;
e)形成安全控製集成報告
e)文檔管理
e)每個信息係統的邊界;
e)測試
e)規定不同級別信息係統機房的安全保護技術措施
e)規定各等級信息係統運行安全管理策略
e)識別業務係統處理的信息資產
f)信息安全產品供應商
f)安全技術體係建設規劃;
f)安全控製開發過程文檔化
f)形成信息係統安全技術體係結構
f)每個信息係統的設備部署;
f)規定各等級信息係統安全事件處置和應急管理策略
f)識別用戶範圍和用戶類型
f)配套的安全管理建設內容;
g)信息係統描述
g)安全管理與安全保障體係建設規劃;
g)工程實施計劃;
g)形成信息係統安全管理策略框架
g)每個信息係統支撐的業務應用
..............................
1)信息係統描述;
1)安全基礎設施建設;
1)管理狀況評估表格;
1)相對獨立信息係統列表;
1)係統概述;
2規範性引用文件
2)安全管理狀況;
2)網絡安全建設;
2)網絡狀況評估表格;
2)係統邊界描述;
2)每個定級對象的概述;
3術語和定義
3)安全技術狀況;
3)係統平台和應用平台安全建設;
3)網絡設備(含安全設備)評估表格;
3)每個定級對象的邊界;
3)網絡拓撲;
4等級保護實施概述
4)主機設備評估表格;
4)存在的不足和可能的風險;
4)數據係統安全建設;
4)每個定級對象的設備部署;
4)設備部署;
4.1基本原則
4.2角色和職責
4.3實施的基本流程
5信息係統定級
5)主要設備安全測試方案;
5)安全標準體係建設;
5)安全需求描述。
5)每個定級對象支撐的業務應用及其處理的信息資產類型;
5)支撐的業務應用的種類和特性;
5.1信息係定級階段的工作流程
5.2信息係統分析
5.2.1 係統識別和描述
5.2.2 信息係統劃分
5.3安全保護等級確定
5.3.1 定級、審核和批準
5.3.2 形成定級報告
6總體安全規劃
6)人才培養體係建設;
6)重要操作的作業指導書。
6)每個定級對象的服務範圍和用戶類型;
6)處理的信息資產;
6.1總體安全規劃階段的工作流程
6.2安全需求分析
6.2.1 基本安全需求的確定
6.2.2 額外特殊安全需求的確定
6.2.3 形成安全需求分析報告
6.3總體安全設計
6.3.1 總體安全策略設計
6.3.2 安全技術體係結構設計
6.3.3 整體安全管理體係結構設計
6.3.4 設計結果文檔化
6.4安全建設項目規劃
6.4.1 安全建設目標確定
6.4.2 安全建設內容規劃
6.4.3 形成安全建設項目計劃
7安全設計與實施
7)安全管理體係建設。
7)其他內容。
7)用戶的範圍和用戶類型;
7.1安全設計與實施階段的工作流程
7.2安全方案詳細設計
7.2.1 技術措施實現內容設計
7.2.2 管理措施實現內容設計
7.2.3 設計結果文檔化
7.3管理措施實現
7.3.1 管理機構和人員的設置
7.3.2 管理製度的建設和修訂
7.3.3 人員安全技能培訓
7.3.4 安全實施過程管理
7.4技術措施實現
7.4.1 信息安全產品采購
7.4.2 安全控製開發
7.4.3 安全控製集成
7.4.4 係統驗收
8安全運行與維護
8)信息係統的管理框架。
8.1安全運行與維護階段的工作流程
8.2運行管理和控製
8.2.1 運行管理職責確定
8.2.2 運行管理過程控製
8.3變更管理和控製
8.3.1 變更需求和影響分析
8.3.2 變更過程控製
8.4安全狀態監控
8.4.1 監控對象確定
8.4.2 監控對象狀態信息收集
8.4.3 監控狀態分析和報告
8.5安全事件處置和應急預案
8.5.1 安全事件分級
8.5.2 應急預案製定
8.5.3 安全事件處置
8.6安全檢查和持續改進
8.6.1 安全狀態檢查
8.6.2 改進方案製定
8.6.3 安全改進實施
8.7等級測評
8.8係統備案
8.9監督檢查
9信息係統終止
9.1信息係統終止階段的工作流程
9.2信息轉移、暫存和清除
9.3設備遷移或廢棄
9.4存儲介質的清除或銷毀
a)備案材料整理
a)安全方案實施控製
a)信息化建設中長期發展規劃和安全需求調查
a)信息係統安全保護等級初步確定
a)信息係統概述;
a)劃分方法的選擇
a)製定產品采購說明書
a)單位信息化現狀概述;
a)國家管理部門
a)安全措施需求分析
a)安全組織確定
a)完成安全需求分析報告
a)應用範圍明確
a)本期建設目標和建設內容;
a)確定安全方針
a)確定檢查對象和檢查方法
a)確定係統範圍和分析對象
a)係統驗收準備
a)結構框架設計
a)自主保護原則
a)規劃建設的依據和原則;
a)規定信息安全的組織管理體係和對各信息係統的安全管理職責
a)規定骨幹網/城域網的安全保護技術措施
a)識別信息係統的基本信息
a)識別要清除或銷毀的介質
a)識別要轉移、暫存和清除的信息資產
a)質量管理
a)軟硬件設備識別
a)選擇監控工具
a)重要資產的分析
a)集成實施方案製定
a)劃分運行管理角色
a)變更內容審核和審批
a)變更需求分析
a)安全事件上報
a)安全事件調查和分析
a)安全關鍵點分析
a)安全改進的立項
a)建立操作規程
a)狀態分析
a)確定應急預案對象
a)確定主要安全建設內容
b)備案材料提交
b)安全措施測試與驗收
b)產品選擇
b)人員職責定義
b)信息係統主管部門
b)信息係統劃分
b)信息資產轉移、暫存和清除
b)製定安全策略
b)製定檢查計劃和檢查方案
b)製定硬件設備處理方案
b)功能要求設計
b)定級結果審核和批準
b)形成評價指標和評估方案
b)總體安全策略;
b)技術實現框架;
b)提出信息係統安全建設分階段目標
b)概要設計
b)狀態信息收集
b)確定存儲介質處理方法和流程
b)管理模式;
b)組織係統驗收
b)規劃建設的目標和範圍;
b)規定各等級信息係統的人員安全管理策略
b)規定子係統之間互聯的安全技術措施
b)角色說明
b)識別信息係統的管理框架
b)重點保護原則
b)重要資產安全弱點評估
b)集成準備
b)風險管理
b)製定安全改進方案
b)變更影響分析
b)安全事件處置
b)安全事件等級劃分
b)建立變更過程日誌
b)形成監控對象列表
b)影響分析
b)授予管理權限
b)操作過程記錄
b)確定和認可各項職責
b)確定主要安全建設項目
c)配套技術文件和管理製度的修訂
c)信息安全產品或組件功能及性能;
c)信息係統列表;
c)信息係統安全技術體係結構;
c)信息係統安全現狀;
c)信息係統詳細描述
c)信息係統運營、使用單位
c)變更管理
c)同步建設原則
c)處理方案審批
c)處理過程記錄
c)安全檢查實施
c)性能要求設計
c)現狀與評價指標對比
c)行為規範規定
c)規定不同級別子係統的邊界保護技術措施
c)規定各等級信息係統機房及辦公區等物理環境的安全管理策略
c)識別信息係統的網絡及設備部署
c)詳細設計
c)重要資產麵臨威脅評估
c)集成實施
c)驗收報告
c)製定應急預案程序及其執行條件
c)安全事件總結和報告
c)定義人員職責
c)形成變更結果報告
c)形成安全狀態分析報告
c)明確變更的類別
d)信息化的中長期發展規劃;
d)信息安全產品或組件部署;
d)信息安全服務機構
d)信息係統安全管理體係結構。
d)動態調整原則
d)培訓
d)存儲介質處理和記錄
d)安全檢查結果和報告
d)每個信息係統的概述;
d)係統交付
d)綜合風險分析
d)編碼實現
d)規定不同級別子係統內部係統平台和業務應用的安全保護技術措施
d)規定各等級信息係統介質、設備等的安全管理策略
d)設備處理和記錄
d)評估與完善
d)識別信息係統的業務種類和特性
d)進度管理
d)部署方案設計
d)製定變更方案
e)信息安全等級測評機構
e)信息係統安全建設的總體框架;
e)製定安全策略實現計劃
e)安全策略和配置;
e)形成安全控製集成報告
e)文檔管理
e)每個信息係統的邊界;
e)測試
e)規定不同級別信息係統機房的安全保護技術措施
e)規定各等級信息係統運行安全管理策略
e)識別業務係統處理的信息資產
f)信息安全產品供應商
f)安全技術體係建設規劃;
f)安全控製開發過程文檔化
f)形成信息係統安全技術體係結構
f)每個信息係統的設備部署;
f)規定各等級信息係統安全事件處置和應急管理策略
f)識別用戶範圍和用戶類型
f)配套的安全管理建設內容;
g)信息係統描述
g)安全管理與安全保障體係建設規劃;
g)工程實施計劃;
g)形成信息係統安全管理策略框架
g)每個信息係統支撐的業務應用
..............................
