前言
本标准是GB17859-1999的系列配套标准中的重要标准之一,其目的是为了指导和规范信息系统安全等级保护工作的实施.
本标准分为两部分:
第一部分:正文部分.介绍了信息系统的安全等级和保护要求等相关概念;说明了信息系统安全等级保护实施过程中涉及的角色;信息系统安全等级保护实施的基本原则;信息系统安全等级保护实施的基本过程;信息系统安全等级保护实施的主要阶段和主要活动以及与信息系统生命周期之间的关系;提出了信息系统安全等级保护在信息系统生命周期不同阶段的实施要点,实施流程,具体的活动内容以及活动的输入输出等,并对其进行了详细的描述.
第二部分:附录部分.列表说明了各个主要阶段的主要活动,以及各个活动的输入和输出产品,并对各阶段的主要输出产品进行了标注.
本标准是GB17859-1999的系列配套标准之一.
本标准由中华人民共和国全国信息安全标准化技术委员会提出.
本标准由全国信息安全标准化技术委员会归口.
本标准主要起草单位:公安部信息系统安全等级保护评估中心 .
本标准主要起草人: 马力,任卫红,李明,李升,陈雪秀. 感谢在本标准制定过程中给予指导的专家:沈昌祥,崔书昆,袁文恭,吉增瑞,贾颖禾,赵战生等.
引言
1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护.2003年中央办公厅,国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确指出:"要重点保护基础信息网络和关系国家安全,经济命脉,社会稳定等方面的重要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等级保护的管理办法和技术指南".2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)也指出:"信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全,社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度".
为配合我国信息系统安全等级保护制度的实施,以GB17859-1999《计算机信息系统安全保护等级划分准则》为首的相关配套系列标准正在陆续发布或正在开发之中,本标准是这些相关配套系列标准之一.
本标准以信息系统安全等级保护建设为主要线索,结合信息系统的生命周期定义了信息系统安全等级保护实施的主要阶段,介绍了每个阶段实施的主要活动,针对每个活动说明了实施的主体,活动目标,主要活动内容,主要输入和输出以及需要参考的主要标准等.
目 次
前言........................................................................ IV
引言......................................................................... V
1 范围..................................................................... 1
2 规范性引用文件........................................................... 1
3 术语和定义............................................................... 1
4 等级保护概述............................................................. 3
4.1. 等级保护目标......................................................... 3
4.2. 等级保护对象......................................................... 3
4.3. 系统安全等级......................................................... 3
4.4. 基本保护要求......................................................... 4
5 等级保护实施过程......................................................... 4
5.1. 基本原则............................................................. 4
5.2. 角色和职责........................................................... 5
5.3. 实施的基本过程....................................................... 6
5.4. 主要阶段和主要活动................................................... 7
5.5. 与信息系统生命周期的关系............................................ 10
6 系统定级................................................................ 12
6.1. 实施流程............................................................ 12
6.2. 系统识别和描述...................................................... 15
6.3. 信息系统划分........................................................ 16
6.4. 安全等级确定........................................................ 17
7 安全规划设计............................................................ 18
7.1. 实施流程............................................................ 18
7.2. 安全需求分析........................................................ 21
7.2.1. 评估对象和评估方法的明确........................................ 21
7.2.2. 评估指标选择和组合.............................................. 22
7.2.3. 现状与评估指标对比.............................................. 22
7.2.4. 额外/特殊安全需求的确定......................................... 23
7.2.5. 形成安全需求分析报告............................................ 24
7.3. 安全总体设计........................................................ 24
7.3.1. 系统等级化模型处理.............................................. 25
7.3.2. 总体安全策略设计................................................26
7.3.3. 各级系统安全技术措施设计........................................ 27
7.3.4. 系统整体安全管理策略设计........................................ 28
7.3.5. 设计结果文档化.................................................. 29
7.4. 安全建设规划........................................................ 29
7.4.1. 安全建设目标确定................................................30
7.4.2. 安全建设内容规划................................................30
7.4.3. 安全建设方案设计................................................31
8 安全实施/实现........................................................... 33
8.1. 实施流程............................................................ 33
8.2. 安全方案详细设计.................................................... 35
8.2.1. 等级保护技术实施内容设计........................................ 35
8.2.2. 等级保护管理实施内容设计........................................ 36
8.2.3. 设计结果文档化.................................................. 36
8.3. 等级保护管理实施.................................................... 36
8.3.1. 管理机构和人员的设置............................................ 39
8.3.2. 管理制度的建设和修订............................................ 39
8.3.3. 人员安全技能培训................................................39
8.3.4. 安全实施过程管理................................................40
8.4. 等级保护技术实施.................................................... 41
8.4.1. 安全产品采购.................................................... 43
8.4.2. 安全控制开发.................................................... 43
8.4.3. 安全控制集成.................................................... 44
8.4.4. 测试与验收...................................................... 45
8.5. 等级保护安全测评.................................................... 46
9 安全运维管理............................................................ 47
9.1. 实施的主要活动...................................................... 47
9.2. 运行管理和控制...................................................... 49
9.2.1. 运行管理职责确定................................................49
9.2.2. 运行管理过程控制................................................49
9.3. 变更管理和控制...................................................... 50
9.3.1. 变更需求和影响分析.............................................. 50
9.3.2. 变更过程控制.................................................... 51
9.4. 安全状态监控........................................................ 51
9.4.1. 监控对象确定.................................................... 52
9.4.2. 监控对象状态信息收集............................................ 52
9.4.3. 监控状态分析和报告.............................................. 52
9.5. 安全事件处置和应急预案.............................................. 53
9.5.1. 安全事件分级.................................................... 53
9.5.2. 应急预案制定.................................................... 54
9.5.3. 安全事件处置.................................................... 54
9.6. 安全风险评估和持续改进.............................................. 55
9.6.1. 安全风险评估.................................................... 55
9.6.2. 改进方案制定.................................................... 55
9.6.3. 安全改进实施.................................................... 56
9.7. 等级保护安全测评.................................................... 56
9.8. 等级保护监督检查.................................................... 57
10 系统终止.............................................................. 57
10.1. 实施的主要活动...................................................... 57
10.2. 信息转移,暂存和清除................................................ 59
10.3. 设备迁移或废弃...................................................... 59
10.4. 存储介质的清除或销毁................................................ 60
附录A 主要活动及其活动输出.................................................61
附录B 主要活动及其主要参考标准............................................. 67
参考文献.................................................................... 73
点击下载 《信息系统安全等级保护测评准则(送审稿)》