等级保护实施指南PPT资料.pptx
《等级保护实施指南PPT资料.pptx》由会员分享,可在线阅读,更多相关《等级保护实施指南PPT资料.pptx(97页珍藏版)》请在冰点文库上搜索。
活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,基本安全需求,重要资产的特殊保护要求。
形成安全需求分析报告,活动描述完成安全需求分析报告信息系统描述安全管理状况安全技术状况存在的不足和可能的风险安全需求描述活动输出安全需求分析报告,形成安全需求分析报告,总体安全策略设计安全技术体系结构设计整体安全管理体系结构设计设计结果文档化,6.3总体安全设计,活动目标形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构。
活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告。
总体安全策略设计,活动描述确定安全方针制定安全策略活动输出总体安全策略文件,总体安全策略设计,活动目标根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,提出系统需要实现的安全技术措施,形成机构特定的系统安全技术体系结构,用以指导信息系统分等级保护的具体实现。
活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求。
安全技术体系结构设计,活动描述规定骨干网/城域网的安全保护技术措施规定子系统之间互联的安全技术措施规定不同级别子系统的边界保护技术措施规定不同级别子系统内部系统平台和业务应用的,安全保护技术措施规定不同级别信息系统机房的安全保护技术措施形成信息系统安全技术体系结构,活动输出信息系统安全技术体系结构。
安全技术体系结构设计,活动目标根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,调整原有管理模式和管理策略,既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的安全管理措施,最后形成统一的整体安全管理体系结构。
整体安全管理体系结构设计,活动描述规定信息安全的组织管理体系和对各信息系统的,安全管理职责规定各等级信息系统的人员安全管理策略,规定各等级信息系统机房及办公区等物理环境的,安全管理策略规定各等级信息系统介质、设备的安全管理策略规定各等级信息系统运行安全管理策略,规定各等级信息系统安全事件处置和应急管理策略形成信息系统安全管理策略框架活动输出信息系统安全管理体系结构。
整体安全管理体系结构设计,活动目标将总体安全设计工作的结果文档化,最后形成一套指导机构信息安全工作的指导性文件。
活动输入安全需求分析报告,信息系统安全技术体系结构,信息系统安全管理体系结构。
设计结果文档化,活动描述对安全需求分析报告、信息系统安全技术体系结构和安全管理体系结构等文档进行整理,形成信息系统总体安全方案。
总体方案包含如下内容:
信息系统概述;
总体安全策略;
信息系统安全技术体系结构;
信息系统安全管理体系结构。
活动输出信息系统安全总体方案,设计结果文档化,安全建设目标确定安全建设内容规划安全建设项目计划,6.4安全建设项目规划,活动目标依据信息系统安全总体方案(一个或多个文件构成)、机构或单位信息化建设的中长期发展规划和机构的安全建设资金状况确定各个时期的安全建设目标。
活动输入信息系统安全总体方案、机构或单位信息化建设的中长期发展规划。
安全建设目标确定,活动描述信息化建设中长期发展规划和安全需求调查提出信息系统安全建设分阶段目标活动输出信息系统分阶段安全建设目标,安全建设目标确定,活动目标根据安全建设目标和信息系统安全总体方案的要求,设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。
活动输入信息系统安全总体方案,信息系统分阶段安全建设目标。
安全建设内容规划,活动描述确定主要安全建设内容确定主要安全建设项目活动输出安全建设项目列表(含安全建设内容),安全建设内容规划,活动目标根据建设目标和建设内容,在时间和经费上对安全建设项目列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划。
活动输入信息系统安全总体方案,信息系统分阶段安全建设目标,安全建设内容等。
形成安全建设项目计划,活动描述规划建设的依据和原则规划建设的目标和范围信息系统安全现状信息化的中长期发展规划信息系统安全建设的总体框架安全技术体系建设规划安全管理与安全保障体系建设规划安全建设投资估算信息系统安全建设的实施保障等内容活动输出信息系统安全建设项目计划,形成安全建设项目计划,安全设计与实施,工作流程安全方案详细设计管理措施实现技术措施实现,7.1安全设计与实施阶段工作流程,技术措施实现内容设计管理措施实现内容设计设计结果文档化,7.2安全方案详细设计,活动目标根据建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。
使得在信息安全产品采购和安全控制开发阶段具有依据。
活动输入信息系统安全总体方案,信息系统安全建设项目计划,各类信息技术产品和信息安全产品技术白皮书。
技术措施实现内容设计,活动描述结构框架设计功能要求设计性能要求设计部署方案设计制定安全策略实现计划活动输出技术措施落实方案,技术措施实现内容设计,活动目标:
根据机构当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设。
活动输入信息系统安全总体方案,信息系统安全建设项目计划。
管理措施实现内容设计,活动描述:
结合系统实际安全管理需要和本次技术建设内容,确定本次安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。
安全管理设计的内容主要考虑:
安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。
活动输出管理措施落实方案。
管理措施实现内容设计,活动目标:
将技术措施落实方案、管理措施落实方案汇总,同时考虑工时和费用,最后形成指导安全实施的指导性文件。
活动输入技术措施落实方案,管理措施落实方案。
设计结果文档化,活动描述:
本期建设目标和建设内容技术实现框架信息安全产品或组件功能及性能信息安全产品或组件部署安全策略和配置配套的安全管理建设内容工程实施计划项目投资概算活动输出安全详细设计方案。
设计结果文档化,管理机构和人员设置管理制度建设和修订人员安全技能培训安全实施过程管理,7.3管理措施实现,活动目标本活动的目标是建立配套的安全管理职能部门,通过管理机构的岗位设置、人员的分工以及各种资源的配备,为信息系统的安全管理提供组织上的保障。
活动输入机构现有相关管理制度和政策,安全详细设计方案。
管理机构和人员的设置,活动描述安全组织确定角色说明活动输出机构、角色与职责说明书,管理机构和人员的设置,活动目标本活动的目标是建设或修订与信息系统安全管理相配套的、包括所有信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范和操作规程。
活动输入安全组织结构表,安全成员及角色说明书,安全详细设计方案。
管理制度的建设和修订,活动描述应用范围明确人员职责定义行为规范规定评估与完善活动输出各项管理制度和操作规范,管理制度的建设和修订,活动目标对人员的职责、素质、技能等方面进行培训,保证人员具有与其岗位职责相适应的技术能力和管理能力,以减少人为因素给系统带来的安全风险活动输入系统/产品使用说明书,各项管理制度和操作规范活动描述针对普通员工、管理员、开发人员、主管人员以及安全人员的特定技能培训和安全意识培训,培训后进行考核,合格者发给上岗资格证书等。
活动输出培训记录及上岗资格证书等。
人员安全技能培训,活动目标本活动的目标是在系统定级、规划设计、实施过程中,对工程的质量、进度、文档和变更等方面的工作进行监督控制和科学管理。
活动输入安全设计与实施阶段参与各方相关进度控制和质量监督要求文档。
安全实施过程管理,活动描述质量管理风险管理变更管理进度管理文档管理活动输出各阶段管理过程文档,安全实施过程管理,信息安全产品采购安全控制开发安全控制集成系统验收,7.4技术措施实现,活动目标本活动的目标是按照安全详细设计方案中对于产品的具体指标要求进行产品采购,根据产品或产品组合实现的功能满足安全设计要求的情况来选购所需的信息安全产品。
活动输入安全详细设计方案,相关产品信息。
信息安全产品采购,活动描述制定产品采购说明书产品选择活动输出需采购信息安全产品清单。
信息安全产品采购,活动目标本活动的目标是对于一些不能通过采购现有信息安全产品来实现的安全措施和安全功能,通过专门进行的设计、开发来实现。
安全控制的开发应当与系统的应用开发同步设计、同步实施,而应用系统一旦开发完成后,再增加安全措施会造成很大的成本投入。
因此,在应用系统开发的同时,要依据安全详细设计方案进行安全控制的开发设计,保证系统应用与安全控制同步建设。
活动输入安全详细设计方案。
安全控制开发,活动描述安全措施需求分析概要设计详细设计编码实现测试安全控制开发过程文档化活动输出安全控制开发过程相关文档。
安全控制开发,活动目标将不同的软硬件产品集成起来,依据安全详细设计方案,将信息安全产品、系统软件平台和开发的安全控制模块与各种应用系统综合、整合成为一个系统。
安全控制集成的过程需要把安全实施、风险控制、质量控制等有机结合起来,遵循运营使用单位与信息安全服务机构共同参与相互配合的实施的原则。
安全控制集成,活动描述集成实施方案制定集成准备集成实施培训形成安全控制集成报告活动输出安全控制集成报告。
安全控制集成,活动目标检验系统是否严格按照安全详细设计方案进行建设,是否实现了设计的功能和性能。
在安全控制集成工作完成后,系统测试及验收是从总体出发,对整个系统进行集成性安全测试,包括对系统运行效率和可靠性的测试,也包括对管理措施落实内容的验收。
活动输入安全详细设计方案,安全控制集成报告。
系统验收,活动描述系统验收准备组织系统验收验收报告系统交付活动输出系统验收报告。
系统验收,安全运行与维护,工作流程运行管理和控制变更管理和控制安全状态监控安全事件处置和应急预案,安全检查和持续改进等级测评系统备案监督检查,8.1安全运行与维护阶段的工作流程,运行管理职责确定运行管理过程控制,8.2运行管理和控制,活动目标通过对运行管理活动或任务的角色划分,并授予相应的管理权限,来确定安全运行管理的具体人员和职责。
活动输入安全详细设计方案,安全组织机构表。
活动描述划分运行管理角色授予管理权限定义人员职责活动输出运行管理人员角色和职责表。
运行管理职责确定,活动目标本活动的主要目标是通过制定运行管理操作规程,确定运行管理人员的操作目的、操作内容、操作时间和地点、操作方法和流程等,并进行操作过程记录,确保对操作过程进行控制。
活动输入运行管理需求,运行管理人员角色和职责表。
活动描述建立操作规程操作过程记录活动输出各类运行管理操作规程。
运行管理过程控制,变更需求和影响分析变更过程控制,8.3变更管理和控制,活动目标,是通过对变更需求和变更影响的分析,来确定变,更的类别,计划后续的活动内容。
活动输入变更需求活动描述变更需求分析变更影响分析明确变更的类别制定变更方案活动输出变更方案,变更需求和影响分析,活动目标,确保变更实施过程受到控制,各项变化内容进行,记录,保证变更对业务的影响最小。
活动输入变更方案活动描述变更内容审核和审批建立变更过程日志形成变更结果报告活动输出变更结果报告。
变更过程控制,监控对象确定监控对象状态信息收集监控状态分析和报告,8.4安全状态监控,活动目标,确定可能会对信息系统安全造成影响的因素,即,确定安全状态监控的对象。
活动输入安全详细设计方案、系统验收报告等。
活动描述安全关键点分析形成监控对象列表活动输出监控对象列表。
监控对象确定,活动目标选择状态监控工具,收集安全状态监控的信息,识别和记录入侵行为,对信息系统的安全状态进行监控。
活动输入监控对象列表。
活动描述选择监控工具状态信息收集活动输出安全状态信息。
监控对象状态信息收集,活动目标通过是对安全状态信息进行分析,及时发现安全事件或安全变更需求,并对其影响程度和范围进行分析,形成安全状态结果分析报告。
活动输入安全状态信息。
活动描述状态分析影响分析形成安全状态分析报告活动输出安全状态分析报告。
监控状态分析和报告,安全事件分级应急预案制定安全事件处置,8.5安全事件处置和应急预案,活动目标结合信息系统的实际情况,分析事件对信息系统的破坏程度,所造成后果严重程度,将安全事件依次进行分级。
活动输入各类安全事件列表。
活动描述安全事件调查和分析安全事件等级划分活动输出安全事件报告程序。
安全事件分级,活动目标,通过对安全事件的等级分析,在统一的应急预案,框架下制定不同安全事件的应急预案。
活动输入安全事件报告程序活动描述:
确定应急预案对象确定和认可各项职责制定应急预案程序及其执行条件活动输出各类应急预案。
应急预案制定,活动目标对监控到的安全事件采取适当的方法进行处置,对安全事件的影响程度和等级进行分析,确定是否启动应急响应。
活动输入,安全状态分析报告,安全事件报告程序,各类应,急预案。
活动描述安全事件上报安全事件处置安全事件总结和报告活动输出安全事件处置报告。
安全事件处置,安全状态检查改进方案制定安全改进实施,8.6安全检查和持续改进,活动目标通过对信息系统的安全状态进行检查,为信息系统的持续改进过程提供依据和建议,确保信息系统的安全保护能力满足相应等级安全要求。
活动输入,信息系统详细描述文件,变更结果报告,安全状,态分析报告。
活动描述,确定检查对象和检查方法,制定检查计划和检查方案安全检查实施,结果和报告活动输出安全检查报告。
安全状态检查,活动目标,依据安全检查的结果,调整信息系统的安全状态,,保证信息系统安全防护的有效性。
活动输入安全检查报告。
活动描述安全改进的立项制定安全改进方案活动输出安全改进方案。
改进方案制定,活动目标保证按照安全改进方案实现各项补充安全措施,并确保原有的技术措施和管理措施与各项补充的安全措施一致有效地工作。
活动输入安全改进方案。
活动描述安全方案实施控制安全措施测试与验收配套技术文件和管理制度的修订活动输出测试或验收报告。
安全改进实施,活动目标通过信息安全等级测评机构对已经完成等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。
活动输入,信息系统详细描述文件,信息系统安全保护等级,定级报告,系统验收报告。
活动描述,参见有关信息系统安全保护等级测评的规范或标,准。
活动输出安全等级测评报告。
8.7等级测评,活动目标,根据国家管理部门对备案的要求,整理相关备案,材料,并向受理备案的单位提交备案材料。
活动输入,信息系统安全保护等级定级报告,信息系统安全总体方案,安全详细设计方案,安全等级测评报告。
活动描述备案材料整理备案材料提交活动输出备案材料,8.8系统备案,活动目标通过国家管理部门对信息系统定级、规划设计、建设实施和运行管理等过程进行监督检查,确保其符合信息系统安全保护相应等级的要求。
活动输入备案材料活动描述参见信息安全等级保护监督检查的规范或标准。
活动输出监督检查结果报告。
8.9监督检查,信息系统终止,工作流程信息转移、暂存和清除设备迁移或废除存储介质的清除或销毁,9.1信息系统终止阶段的工作流程,活动目标在信息系统终止处理过程中,对于可能会在另外的信息系统中使用的信息采取适当的方法将其安全地转移或暂存到可以恢复的介质中,确保将来可以继续使用,同时采用安全的方法清除要终止的信息系统中的信息。
活动输入信息系统信息资产清单活动描述识别要转移、暂存和清除的信息资产信息资产转移、暂存和清除处理过程记录活动输出,9.2信息转移、暂存和清除,活动目标确保信息系统终止后,迁移或废弃的设备内不包括敏感信息,对设备的处理方式应符合国家相关部门的要求。
活动输入设备迁移或废弃清单等。
活动描述软硬件设备识别制定硬件设备处理方案处理方案审批设备处理和记录活动输出设备迁移、废弃处理报告,9.3设备迁移和废弃,活动目标通过采用合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息清除或销毁处理,防止介质内的敏感信息泄露。
活动输入存储介质清单等活动描述识别要清除或销毁的介质确定存储介质处理方法和流程处理方案审批存储介质处理和记录活动输出存储介质的清除或销毁记录文档,9.4存储介质的清除或销毁,归纳,等级保护安全规划,安全建设模型,设计,规划,运维,测评,实施交付二级管理三级管理四级管理等保,三级技术,四级技术,二级技术识别改进,对抗能力,恢复能力,2010绿盟科技,
升级会员 