信息安全技术信息系统安全等级保护实施指南(DOC 32页)
信息安全技术信息系统安全等级保护实施指南(DOC 32页)内容简介
1范围
1)信息系统描述;
1)安全基础设施建设;
1)管理状况评估表格;
1)相对独立信息系统列表;
1)系统概述;
2规范性引用文件
2)安全管理状况;
2)网络安全建设;
2)网络状况评估表格;
2)系统边界描述;
2)每个定级对象的概述;
3术语和定义
3)安全技术状况;
3)系统平台和应用平台安全建设;
3)网络设备(含安全设备)评估表格;
3)每个定级对象的边界;
3)网络拓扑;
4等级保护实施概述
4)主机设备评估表格;
4)存在的不足和可能的风险;
4)数据系统安全建设;
4)每个定级对象的设备部署;
4)设备部署;
4.1基本原则
4.2角色和职责
4.3实施的基本流程
5信息系统定级
5)主要设备安全测试方案;
5)安全标准体系建设;
5)安全需求描述。
5)每个定级对象支撑的业务应用及其处理的信息资产类型;
5)支撑的业务应用的种类和特性;
5.1信息系定级阶段的工作流程
5.2信息系统分析
5.2.1 系统识别和描述
5.2.2 信息系统划分
5.3安全保护等级确定
5.3.1 定级、审核和批准
5.3.2 形成定级报告
6总体安全规划
6)人才培养体系建设;
6)重要操作的作业指导书。
6)每个定级对象的服务范围和用户类型;
6)处理的信息资产;
6.1总体安全规划阶段的工作流程
6.2安全需求分析
6.2.1 基本安全需求的确定
6.2.2 额外特殊安全需求的确定
6.2.3 形成安全需求分析报告
6.3总体安全设计
6.3.1 总体安全策略设计
6.3.2 安全技术体系结构设计
6.3.3 整体安全管理体系结构设计
6.3.4 设计结果文档化
6.4安全建设项目规划
6.4.1 安全建设目标确定
6.4.2 安全建设内容规划
6.4.3 形成安全建设项目计划
7安全设计与实施
7)安全管理体系建设。
7)其他内容。
7)用户的范围和用户类型;
7.1安全设计与实施阶段的工作流程
7.2安全方案详细设计
7.2.1 技术措施实现内容设计
7.2.2 管理措施实现内容设计
7.2.3 设计结果文档化
7.3管理措施实现
7.3.1 管理机构和人员的设置
7.3.2 管理制度的建设和修订
7.3.3 人员安全技能培训
7.3.4 安全实施过程管理
7.4技术措施实现
7.4.1 信息安全产品采购
7.4.2 安全控制开发
7.4.3 安全控制集成
7.4.4 系统验收
8安全运行与维护
8)信息系统的管理框架。
8.1安全运行与维护阶段的工作流程
8.2运行管理和控制
8.2.1 运行管理职责确定
8.2.2 运行管理过程控制
8.3变更管理和控制
8.3.1 变更需求和影响分析
8.3.2 变更过程控制
8.4安全状态监控
8.4.1 监控对象确定
8.4.2 监控对象状态信息收集
8.4.3 监控状态分析和报告
8.5安全事件处置和应急预案
8.5.1 安全事件分级
8.5.2 应急预案制定
8.5.3 安全事件处置
8.6安全检查和持续改进
8.6.1 安全状态检查
8.6.2 改进方案制定
8.6.3 安全改进实施
8.7等级测评
8.8系统备案
8.9监督检查
9信息系统终止
9.1信息系统终止阶段的工作流程
9.2信息转移、暂存和清除
9.3设备迁移或废弃
9.4存储介质的清除或销毁
a)备案材料整理
a)安全方案实施控制
a)信息化建设中长期发展规划和安全需求调查
a)信息系统安全保护等级初步确定
a)信息系统概述;
a)划分方法的选择
a)制定产品采购说明书
a)单位信息化现状概述;
a)国家管理部门
a)安全措施需求分析
a)安全组织确定
a)完成安全需求分析报告
a)应用范围明确
a)本期建设目标和建设内容;
a)确定安全方针
a)确定检查对象和检查方法
a)确定系统范围和分析对象
a)系统验收准备
a)结构框架设计
a)自主保护原则
a)规划建设的依据和原则;
a)规定信息安全的组织管理体系和对各信息系统的安全管理职责
a)规定骨干网/城域网的安全保护技术措施
a)识别信息系统的基本信息
a)识别要清除或销毁的介质
a)识别要转移、暂存和清除的信息资产
a)质量管理
a)软硬件设备识别
a)选择监控工具
a)重要资产的分析
a)集成实施方案制定
a)划分运行管理角色
a)变更内容审核和审批
a)变更需求分析
a)安全事件上报
a)安全事件调查和分析
a)安全关键点分析
a)安全改进的立项
a)建立操作规程
a)状态分析
a)确定应急预案对象
a)确定主要安全建设内容
b)备案材料提交
b)安全措施测试与验收
b)产品选择
b)人员职责定义
b)信息系统主管部门
b)信息系统划分
b)信息资产转移、暂存和清除
b)制定安全策略
b)制定检查计划和检查方案
b)制定硬件设备处理方案
b)功能要求设计
b)定级结果审核和批准
b)形成评价指标和评估方案
b)总体安全策略;
b)技术实现框架;
b)提出信息系统安全建设分阶段目标
b)概要设计
b)状态信息收集
b)确定存储介质处理方法和流程
b)管理模式;
b)组织系统验收
b)规划建设的目标和范围;
b)规定各等级信息系统的人员安全管理策略
b)规定子系统之间互联的安全技术措施
b)角色说明
b)识别信息系统的管理框架
b)重点保护原则
b)重要资产安全弱点评估
b)集成准备
b)风险管理
b)制定安全改进方案
b)变更影响分析
b)安全事件处置
b)安全事件等级划分
b)建立变更过程日志
b)形成监控对象列表
b)影响分析
b)授予管理权限
b)操作过程记录
b)确定和认可各项职责
b)确定主要安全建设项目
c)配套技术文件和管理制度的修订
c)信息安全产品或组件功能及性能;
c)信息系统列表;
c)信息系统安全技术体系结构;
c)信息系统安全现状;
c)信息系统详细描述
c)信息系统运营、使用单位
c)变更管理
c)同步建设原则
c)处理方案审批
c)处理过程记录
c)安全检查实施
c)性能要求设计
c)现状与评价指标对比
c)行为规范规定
c)规定不同级别子系统的边界保护技术措施
c)规定各等级信息系统机房及办公区等物理环境的安全管理策略
c)识别信息系统的网络及设备部署
c)详细设计
c)重要资产面临威胁评估
c)集成实施
c)验收报告
c)制定应急预案程序及其执行条件
c)安全事件总结和报告
c)定义人员职责
c)形成变更结果报告
c)形成安全状态分析报告
c)明确变更的类别
d)信息化的中长期发展规划;
d)信息安全产品或组件部署;
d)信息安全服务机构
d)信息系统安全管理体系结构。
d)动态调整原则
d)培训
d)存储介质处理和记录
d)安全检查结果和报告
d)每个信息系统的概述;
d)系统交付
d)综合风险分析
d)编码实现
d)规定不同级别子系统内部系统平台和业务应用的安全保护技术措施
d)规定各等级信息系统介质、设备等的安全管理策略
d)设备处理和记录
d)评估与完善
d)识别信息系统的业务种类和特性
d)进度管理
d)部署方案设计
d)制定变更方案
e)信息安全等级测评机构
e)信息系统安全建设的总体框架;
e)制定安全策略实现计划
e)安全策略和配置;
e)形成安全控制集成报告
e)文档管理
e)每个信息系统的边界;
e)测试
e)规定不同级别信息系统机房的安全保护技术措施
e)规定各等级信息系统运行安全管理策略
e)识别业务系统处理的信息资产
f)信息安全产品供应商
f)安全技术体系建设规划;
f)安全控制开发过程文档化
f)形成信息系统安全技术体系结构
f)每个信息系统的设备部署;
f)规定各等级信息系统安全事件处置和应急管理策略
f)识别用户范围和用户类型
f)配套的安全管理建设内容;
g)信息系统描述
g)安全管理与安全保障体系建设规划;
g)工程实施计划;
g)形成信息系统安全管理策略框架
g)每个信息系统支撑的业务应用
..............................
1)信息系统描述;
1)安全基础设施建设;
1)管理状况评估表格;
1)相对独立信息系统列表;
1)系统概述;
2规范性引用文件
2)安全管理状况;
2)网络安全建设;
2)网络状况评估表格;
2)系统边界描述;
2)每个定级对象的概述;
3术语和定义
3)安全技术状况;
3)系统平台和应用平台安全建设;
3)网络设备(含安全设备)评估表格;
3)每个定级对象的边界;
3)网络拓扑;
4等级保护实施概述
4)主机设备评估表格;
4)存在的不足和可能的风险;
4)数据系统安全建设;
4)每个定级对象的设备部署;
4)设备部署;
4.1基本原则
4.2角色和职责
4.3实施的基本流程
5信息系统定级
5)主要设备安全测试方案;
5)安全标准体系建设;
5)安全需求描述。
5)每个定级对象支撑的业务应用及其处理的信息资产类型;
5)支撑的业务应用的种类和特性;
5.1信息系定级阶段的工作流程
5.2信息系统分析
5.2.1 系统识别和描述
5.2.2 信息系统划分
5.3安全保护等级确定
5.3.1 定级、审核和批准
5.3.2 形成定级报告
6总体安全规划
6)人才培养体系建设;
6)重要操作的作业指导书。
6)每个定级对象的服务范围和用户类型;
6)处理的信息资产;
6.1总体安全规划阶段的工作流程
6.2安全需求分析
6.2.1 基本安全需求的确定
6.2.2 额外特殊安全需求的确定
6.2.3 形成安全需求分析报告
6.3总体安全设计
6.3.1 总体安全策略设计
6.3.2 安全技术体系结构设计
6.3.3 整体安全管理体系结构设计
6.3.4 设计结果文档化
6.4安全建设项目规划
6.4.1 安全建设目标确定
6.4.2 安全建设内容规划
6.4.3 形成安全建设项目计划
7安全设计与实施
7)安全管理体系建设。
7)其他内容。
7)用户的范围和用户类型;
7.1安全设计与实施阶段的工作流程
7.2安全方案详细设计
7.2.1 技术措施实现内容设计
7.2.2 管理措施实现内容设计
7.2.3 设计结果文档化
7.3管理措施实现
7.3.1 管理机构和人员的设置
7.3.2 管理制度的建设和修订
7.3.3 人员安全技能培训
7.3.4 安全实施过程管理
7.4技术措施实现
7.4.1 信息安全产品采购
7.4.2 安全控制开发
7.4.3 安全控制集成
7.4.4 系统验收
8安全运行与维护
8)信息系统的管理框架。
8.1安全运行与维护阶段的工作流程
8.2运行管理和控制
8.2.1 运行管理职责确定
8.2.2 运行管理过程控制
8.3变更管理和控制
8.3.1 变更需求和影响分析
8.3.2 变更过程控制
8.4安全状态监控
8.4.1 监控对象确定
8.4.2 监控对象状态信息收集
8.4.3 监控状态分析和报告
8.5安全事件处置和应急预案
8.5.1 安全事件分级
8.5.2 应急预案制定
8.5.3 安全事件处置
8.6安全检查和持续改进
8.6.1 安全状态检查
8.6.2 改进方案制定
8.6.3 安全改进实施
8.7等级测评
8.8系统备案
8.9监督检查
9信息系统终止
9.1信息系统终止阶段的工作流程
9.2信息转移、暂存和清除
9.3设备迁移或废弃
9.4存储介质的清除或销毁
a)备案材料整理
a)安全方案实施控制
a)信息化建设中长期发展规划和安全需求调查
a)信息系统安全保护等级初步确定
a)信息系统概述;
a)划分方法的选择
a)制定产品采购说明书
a)单位信息化现状概述;
a)国家管理部门
a)安全措施需求分析
a)安全组织确定
a)完成安全需求分析报告
a)应用范围明确
a)本期建设目标和建设内容;
a)确定安全方针
a)确定检查对象和检查方法
a)确定系统范围和分析对象
a)系统验收准备
a)结构框架设计
a)自主保护原则
a)规划建设的依据和原则;
a)规定信息安全的组织管理体系和对各信息系统的安全管理职责
a)规定骨干网/城域网的安全保护技术措施
a)识别信息系统的基本信息
a)识别要清除或销毁的介质
a)识别要转移、暂存和清除的信息资产
a)质量管理
a)软硬件设备识别
a)选择监控工具
a)重要资产的分析
a)集成实施方案制定
a)划分运行管理角色
a)变更内容审核和审批
a)变更需求分析
a)安全事件上报
a)安全事件调查和分析
a)安全关键点分析
a)安全改进的立项
a)建立操作规程
a)状态分析
a)确定应急预案对象
a)确定主要安全建设内容
b)备案材料提交
b)安全措施测试与验收
b)产品选择
b)人员职责定义
b)信息系统主管部门
b)信息系统划分
b)信息资产转移、暂存和清除
b)制定安全策略
b)制定检查计划和检查方案
b)制定硬件设备处理方案
b)功能要求设计
b)定级结果审核和批准
b)形成评价指标和评估方案
b)总体安全策略;
b)技术实现框架;
b)提出信息系统安全建设分阶段目标
b)概要设计
b)状态信息收集
b)确定存储介质处理方法和流程
b)管理模式;
b)组织系统验收
b)规划建设的目标和范围;
b)规定各等级信息系统的人员安全管理策略
b)规定子系统之间互联的安全技术措施
b)角色说明
b)识别信息系统的管理框架
b)重点保护原则
b)重要资产安全弱点评估
b)集成准备
b)风险管理
b)制定安全改进方案
b)变更影响分析
b)安全事件处置
b)安全事件等级划分
b)建立变更过程日志
b)形成监控对象列表
b)影响分析
b)授予管理权限
b)操作过程记录
b)确定和认可各项职责
b)确定主要安全建设项目
c)配套技术文件和管理制度的修订
c)信息安全产品或组件功能及性能;
c)信息系统列表;
c)信息系统安全技术体系结构;
c)信息系统安全现状;
c)信息系统详细描述
c)信息系统运营、使用单位
c)变更管理
c)同步建设原则
c)处理方案审批
c)处理过程记录
c)安全检查实施
c)性能要求设计
c)现状与评价指标对比
c)行为规范规定
c)规定不同级别子系统的边界保护技术措施
c)规定各等级信息系统机房及办公区等物理环境的安全管理策略
c)识别信息系统的网络及设备部署
c)详细设计
c)重要资产面临威胁评估
c)集成实施
c)验收报告
c)制定应急预案程序及其执行条件
c)安全事件总结和报告
c)定义人员职责
c)形成变更结果报告
c)形成安全状态分析报告
c)明确变更的类别
d)信息化的中长期发展规划;
d)信息安全产品或组件部署;
d)信息安全服务机构
d)信息系统安全管理体系结构。
d)动态调整原则
d)培训
d)存储介质处理和记录
d)安全检查结果和报告
d)每个信息系统的概述;
d)系统交付
d)综合风险分析
d)编码实现
d)规定不同级别子系统内部系统平台和业务应用的安全保护技术措施
d)规定各等级信息系统介质、设备等的安全管理策略
d)设备处理和记录
d)评估与完善
d)识别信息系统的业务种类和特性
d)进度管理
d)部署方案设计
d)制定变更方案
e)信息安全等级测评机构
e)信息系统安全建设的总体框架;
e)制定安全策略实现计划
e)安全策略和配置;
e)形成安全控制集成报告
e)文档管理
e)每个信息系统的边界;
e)测试
e)规定不同级别信息系统机房的安全保护技术措施
e)规定各等级信息系统运行安全管理策略
e)识别业务系统处理的信息资产
f)信息安全产品供应商
f)安全技术体系建设规划;
f)安全控制开发过程文档化
f)形成信息系统安全技术体系结构
f)每个信息系统的设备部署;
f)规定各等级信息系统安全事件处置和应急管理策略
f)识别用户范围和用户类型
f)配套的安全管理建设内容;
g)信息系统描述
g)安全管理与安全保障体系建设规划;
g)工程实施计划;
g)形成信息系统安全管理策略框架
g)每个信息系统支撑的业务应用
..............................