1、ICS 35.040 L 80 道国和国国家标准11: ./、中华人民GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南Information security technology-Implementation guide for classified protection of information system 2010-09-02发布2011-02-01实施 数码防伪/中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T 25058-2010 目次前言. . . III 引言.N 1 范围2 规范性引用文件3 术语和定义4 等级保护实施概述
2、-4. 1 基本原则4. 2 角色和职责4. 3 实施的基本流程.2 5 信息系统定级35. 1 信息系统定级阶段的工作流程5.2 信息系统分析.5.3 安全保护等级确定.6 总体安全规划6. 1 总体安全规划阶段的工作流程.6.2 安全需求分析6.3 总体安全设计.86.4 安全建设项目规划107 安全设计与实施.127.1 安全设计与实施阶段的工作流程127.2 安全方案详细设计.12 7.3 管理措施实施137.4 技术措施实施.8 安全运行与维护.18 8. 1 安全运行与维护阶段的工作流程188.2 运行管理和控制8.3 变更管理和控制.8.4 安全状态监控.20 8.5 安全事件处
3、置和应急预案8.6 安全检查和持续改进.8. 7 等级测评.24 8. 8 系统备案248. 9 监督检查249 信息系统终止259. 1 信息系统终止阶段的工作流程.25 9.2 信息转移、暂存和清除259.3 设备迁移或废弃.26 9. 4 存储介质的清除或销毁m附录A(规范性附录)主要过程及其活动输出27I GB/T 25058-2010 目。吕本标准的附录A是规范性附录。本标准由公安部和全国信息安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位:公安部信息安全等级保护评估中心。本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁
4、静、李升、刘静、罗睁。阳皿GB/T 25058-2010 引依据中华人民共和国计算机信息系统安全保护条例)(国务院147号令)、国家信息化领导小组关于加强信息安全保障工作的意见)(中办发2003J27号)、关于信息安全等级保护工作的实施意见)(公通字2004J66号)和信息安全等级保护管理办法)(公通字2007J43号),制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括2一-GB/T22240-2008信息安全技术信息系统安全等级保护定级指南;一-GB/T22239一2008信息安全技术信息系统安全等级保护基本要求。在对信息系统实施信息安全等级保护的过程中,除使
5、用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。在信息系统定级阶段,应按照GB/T22210-2008介绍的方法,确定信息系统安全保护等级。在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB 17859-1999、GBjT22239-2008、GB/T20269-2006、GB/T20270-2006和GBjT20271-2006 等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行锥护管理工作。GB 17859-19g9、GBjT22239 2008、GB/T20269-2006、GB/T20270-2,0
6、06和GB/T20271 2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T 20269-20町、GB/T20270-2006和GBjT20271-20D6等是对GB17859 -1999的进一步细化和扩展,GB/T22239一2008是以GB17859 1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。对信息系统的安全等级保护应从GB/T22239-2008出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/
7、T20269-2006、GB/T 20270-2006和GB/T20271 2006等标准的要求。除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用GB/T 20272-2006和GBjT20273-2006等其他等级保护相关技术标准。N G/T 25058-2010 信息安全技术信息系统安全等级保护实施指南1 范围本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标
8、准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注目期的引用文件,其最新版本适用于本标准。GB/T 5271. 8信息技术词汇第8部分=安全GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南3 术语和定义GB/T 5271. 8和GB17859-1999确立的以及下列术语和定义适用于本标准。3. 1 等级测评c1assified security testing and evaluation 确定信息系统安全保护能力是否达到相应等级基本要求的过程。4 等级保护实施概述4. 1 基本原则信息系统安全等级保
9、护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则:a) 自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。b) 重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。c) 同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。d) 动态调整原则要眼踪信息系统的变化情况,调整安全保护
10、措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。4.2 角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下:1 G/T 25058-2010 a) 国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;
11、国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。b) 信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。c) 信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规施和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信
12、息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。d) 信息安全服务机构负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。e) 信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助
13、信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等银保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产丰品进行安全测评。f) 信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。4.3 实施的基本流程对信息系统实施等级保护的基本流程见图10信息系统定级总体安全规划等级变更安全设计与实施局部调整安全运行与维护信息系统终止固1信息系统安全等级保护实施的基本流程2 GB/T 25058-2010 在安全运行与维护阶段
14、,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。信息系统安全等级保护实施基本流程中各个阶段的主要过程、活动、输入和输出见附录A。5 信息系统定级5. 1 信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T22240-2008,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应
15、当经主管部门审核批准。信息系统定级阶段的工作流程见图20输入信息系统立项文档信息系统建设文档信息系统管理文档信息系统总体描述文件信息系统详细描述文件5.2 信息系统分析5.2. 1 系统识别和描述活动目标:主要过程信息系统分析图2信息系统定级阶段工作流程输出信息系统总体描述文件信息系统详细描述文件信息系统安全保护等级定级报告本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。参与角色:信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统的立项、建设和管理文档。活动描述:本活动
16、主要包括以下子活动内容:a) 识别信息系统的基本信息调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式。b) 识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。c) 识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边3 GB/T 25058-2010 界,即确定定级对象及其范围。d) 识别信息系统的业务种类和特性了解机构内主要依靠信息
17、系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。e) 识别业务系统处理的信息资产了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。f) 识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。g) 信息系统描述对收集的信息进行整理、分析,形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应包含以下内容:1) 系统概述;2) 系统边界描述;3) 网络
18、拓扑;的设备部署;5) 支撑的业务应用的种类和特性56) 处理的信息资产;7) 用户的范围和用户类型;8) 信息系统的管理框架。活动输出:信息系统总体描述文件。5.2.2 信息系统划分活动目标:本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数。参与角色:信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统总体描述文件。活动描述:本活动主要包括以下子活动内容:a) 划分方法的选择一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法
19、可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。b) 信息系统划分依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。c) 信息系统详细描述在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数。进一步的信息系统详细描述文件应包
20、含以下内容:1) 相对独立信息系统列表;4 GB/T 25058一20102) 每个定级对象的慨述;3) 每个定级对象的边界;的每个定级对象的设备部署;5) 每个定级对象支撑的业务应用及其处理的信息资产类型;6) 每个定级对象的服务范围和用户类型;7) 其他内容。活动输出:信息系统详细描述文件。5.3 安全保护等级确定5.3.1 定级、审核和批准活动目标:本活动的目标是按照国家有关管理规范和GB/T22240-2008,确定信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性。参与角色:信息系统主管部门,信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统总体描述文
21、件,信息系统详细描述文件。活动描述:本活动主要包括以下子活动内容:a) 信息系统安全保护等级初步确定根据国家有关管理规范和GB/T22240-2008确定的定级方法,信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。b) 定级结果审核和批准信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。活动输出:信息系统定级评审意见。5.3.2 形成定级报告活动目标:本活动的目标是对定级过程
22、中产生的文档进行整理,形成信息系统定级结果报告。参与角色:信息系统主管部门,信息系统运营、使用单位。活动输入:信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果。活动描述:对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告。信息系统定级结果报告可以包含以下内容:a) 单位信息化现状概述;b) 管理模式zc) 信息系统列表;d) 每个信息系统的概述Fd 每个信息系统的边界E。每个信息系统的设备部署;g) 每个信息系统支撑的业务应用;h) 信息系统列表、安全保护等级以及保护要求组合;i) 其他内容。活动输出:信息
23、系统安全保护等级定级报告。5 GB/T 25058-2010 6 总体安全规划6. 1 总体安全规划阶段的工作流程总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。总体安全规划阶段的工作流程见图30输入信息系统详细描述文件信息系统安全保护等级定级报告信息系统相关的其他文档信息系统安全等级保护基本要求信息系统详细描述文件信息
24、系统安全保护等级定级报告信息系统安全等级保护基本要求安全需求分析报告信息系统安全总体方案机构或单位信息化建设的中长期发展规划6.2 安全需求分析6.2. 1 基本安全需求的确定活动目标:主要过程图3总体安全规划工作流程输出安全需求分析报告信息系统安全总体方案信息系统安全建设项目计划本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。参与角色:信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构。活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其他文档,信息系统安
25、全等级保护基本要求。活动描述:本活动主要包括以下子活动内容:a) 确定系统范围和分析对象明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。GB/T 25058-2010 b) 形成评价指标和评估方案根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标,形成评价指标。根据评价指标,结合确定的具体对象制定可以操作的评估方案,评估方案可以包
26、含以下内容:1) 管理状况评估表格;2) 网络状况评估表格;3) 网络设备(含安全设备)评估表格;的主机设备评估表格;5) 主要设备安全测试方案;6) 重要操作的作业指导书。c) 现状与评价指标对比通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论。整理和分析不符合的评价指标,确定信息系统安全保护的基本需求。活动输出:基本安全需求。6.2.2 特殊安全需求的确定活动目标:本活动的目标是通过对信息系统重要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特
27、殊安全保护要求的部分,采用需求分析或风险分析的方法,确定可能的安全风险,判断对超出等级保护基本要求部分实施特殊安全措施的必要性,提出信息系统的特殊安全保护需求。参与角色:信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其他文档。活动描述:确定特殊安全需求可以采用目前成熟或流行的需求分析或风险分析方法,或者采用下面介绍的活动:a) 重要资产的分析明确信息系统中的重要部件,如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等。b) 重要资产安全弱点评估检查或判断上述重要部件可能存在的弱点,包括技术上和管理上的;分析
28、安全弱点被利用的可能性。c) 重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁,包括外部的威胁和内部的威胁,威胁发生的可能性或概率。d) 综合风险分析分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的要求。活动输出:重要资产的特殊保护要求。6.2.3 形成安全需求分析报告活动目标=本活动的目标是总结基本安全需求和特殊安全需求,形成安全需求分析报告。参与角色:信息系统运营、使用单位,信息安全服务机构。7 G/T 25058-2010 活动输入:信息系统详细描述文件,
29、信息系统安全保护等级定级报告,基本安全需求,重要资产的特殊保护要求。活动描述:本活动主要的子活动是完成安全需求分析报告。根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告。安全需求分析报告可以包含以下内容:1) 信息系统描述;2) 安全管理状况;3) 安全技术状况;4) 存在的不足和可能的风险;5) 安全需求描述。活动输出:安全需求分析报告。6.3 总体安全设计6.3. 1 总体安全策略设计活动目标:本活动的目标是形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构。参与角色:信息
30、系统运营、使用单位,信息安全服务机构。活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告。活动描述:本活动主要包括以下子活动内容:a) 确定安全方针形成机构最高层次的安全方针文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等。b) 制定安全策略形成机构高层次的安全策略文件,说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等。活动输出:总体安全策略文件。6.3.2 安全技术体系结构设计活动目标:本活动的目标是根据信息系统安全等级保护基本要求、安全
31、需求分析报告、机构总体安全策略文件等,提出系统需要实现的安全技术措施,形成机构特定的系统安全技术体系结构,用以指导信息系统分等级保护的具体实现。参与角色z信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求。活动描述:本活动主要包括以下子活动内容:a) 规定骨干网或城域网的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出骨干网或城域网的安全保护策略和安全技术措施。骨干网或城域网的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况,如果不同级别的子系统通过骨
32、干网或城域网的同一线路和设备传输数据,线路和设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求。GB/T 25058-2010 b) 规定子系统之间互联的安全技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出跨局域网互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等;提出局域网内部互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等。c) 规定不同级别子系统的边界保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统边界的安全保护策
33、略和安全技术措施。子系统边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况,如果不同级别的子系统通过同一设备进行边界保护,这个边界设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求。d) 规定不同级别子系统内部系统平台和业务应用的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。e) 规定不同级别信息系统机房的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别信息系统机房的安全保护策略和安全技术措施。信息系统机房安全保护策略和安全技术
34、措施提出时应考虑不同级别的信息系统共享机房的情况,如果不同级别的信息系统共享同一机房,机房的安全保护策略和安全技术措施应满足最高级别信息系统的等级保护基本要求。f) 形成信息系统安全技术体系结构将骨干网或城域网、通过骨干网或城域网的子系统互联、局域网内部的子系统互联、子系统的边界、子系统内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成信息系统的安全技术体系结构。活动输出:信息系统安全技术体系结构。6.3.3 整体安全管理体系结构设计活动目标:本活动的目标是根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,调整原有管理模式和管理策略,既从全局高度考虑为
35、每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的安全管理措施,最后形成统一的整体安全管理体系结构。参与角色:信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求。活动描述:本活动主要包括以下子活动内容:a) 规定信息安全的组织管理体系和对各信息系统的安全管理职责根据机构总体安全策略文件、等级保护基本要求和安全需求,提出机构的安全组织管理机构框架,分配各个级别信息系统的安全管理职责,规定各个级别信息系统的安全管理策略等。b) 规定各等级信息系统的人员安全管理策
36、略根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的管理人员框架,分配各个级别信息系统的管理人员职责,规定各个级别信息系统的人员安全管理策略等。c) 规定各等级信息系统机房及办公区等物理环境的安全管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的机房和办公环境的安全策略。d) 规定各等级信息系统介质、设备等的安全管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的介质、G/T 25058-2010 设备等的安全策略。e) 规定各等级信息系统运行安全管理策略根据机构总体安全策略文件、等级保护基
37、本要求和安全需求,提出各个不同级别信息系统的安全运行与维护框架和运维安全策略等。f) 规定各等级信息系统安全事件处置和应急管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的安全事件处置和应急管理策略等。g) 形成信息系统安全管理策略框架将上述各个方面的安全管理策略进行整理、汇总,形成信息系统的整体安全管理体系结构。活动输出:信息系统安全管理体系结构。6.3.4 设计结果文挡化活动目标:本活动的目标是将总体安全设计工作的结果文档化,最后形成一套指导机构信息安全工作的指导性文件。参与角色:信息系统运营、使用单位,信息安全服务机构。活动输入:安全需求分析报告,信
38、息系统安全技术体系结构,信息系统安全管理体系结构。活动描述:对安全需求分析报告、信息系统安全技术体系结构和安全管理体系结构等文档进行整理,形成信息系统总体安全方案。信息系统总体安全方案包含以下内容zu 信息系统概述;b) 总体安全策略;c) 信息系统安全技术体系结构;d) 信息系统安全管理体系结构。活动输出:信息系统安全总体方案。6.4 安全建设项目规划6.4.1 安全建设目标确定活动目标:本活动的目标是依据信息系统安全总体方案(一个或多个文件构成)、机梅或单位信息化建设的中长期发展规划和机构的安全建设资金状况确定各个时期的安全建设目标。参与角色=信息系统运营、使用单位,信息安全服务机构。活动
39、输入=信息系统安全总体方案当机构或单位信息化建设的中长期发展规划。活动描述:本活动主要包括以下子活动内容:a) 信息化建设中长期发展规划和安全需求调查了解和调查单位信息化建设的现况、中长期信息化建设的目标、主管部门对信息化的投入,对比信息化建设过程中阶段状态与安全策略规划之间的差距,分析急迫和关键的安全问题,考虑可以同步进行的安全建设内容等。b) 提出信息系统安全建设分阶段目标制定系统在规划期内(一般安全规划期为3年)所要实现的总体安全目标;制定系统短期(1年以内)要实现的安全目标,主要解决目前急迫和关键的问题,争取在短期内安全状况有大幅度提高。活动输出:信息系统分阶段安全建设目标。10 GB
40、/T 25058-2010 6.4.2 安全建设内容规划活动目标:本活动的目标是根据安全建设目标和信息系统安全总体方案的要求,设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。参与角色:信息系统运营、使用单位,信息安全服务机构。活动输入z信息系统安全总体方案,信息系统分阶段安全建设目标。活动描述:本活动主要包括以下子活动内容:a) 确定主要安全建设内容根据信息系统安全总体方案明确主要的安全建设内容,并将其适当的分解。主要建设内容可能分解但不限于以下内容:1) 安全基础设施建设52) 网络安全建设;3) 系统平台和应用平台安全建设;4) 数据系统安全建设;
41、5) 安全标准体系建设;6) 人才培养体系建设;7) 安全管理体系建设。b) 确定主要安全建设项目组合安全建设内容为不同的安全建设项目,描述项目所解决的主要安全问题及所要达到的安全目标,对项目进行支持或依赖等相关性分析,对项目进行紧迫性分析,对项目进行实施难易程度分析,对项目进行预期效果分析,描述项目的具体工作内容、建设方案,形成安全建设项目列表。活动输出:安全建设项目列表(含安全建设内容)。6.4.3 形成安全建设项目计划活动目标:本活动的目标是根据建设目标和建设内容,在时间和经费上对安全建设项目列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划。参与角
42、色:信息系统运营、使用单位,信息安全服务机构。活动输入:信息系统安全总体方案,信息系统分阶段安全建设目标,安全建设内容等。活动描述:对信息系统分阶段安全建设目标、安全总体方案和安全建设内容等文档进行整理,形成信息系统安全建设项目计划。安全建设项目计划可包含以下内容:a) 规划建设的依据和原则;b) 规划建设的目标和范围;c) 信息系统安全现状;d) 信息化的中长期发展规划;e) 信息系统安全建设的总体框架;f) 安全技术体系建设规划;g) 安全管理与安全保障体系建设规划;h) 安全建设投资估算;i) 信息系统安全建设的实施保障等内容。活动输出:信息系统安全建设项目计划。11 GB/T 2505
43、8-2010 7 安全设计与实施7. 1 安全设计与实施阶段的工作流程安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施。安全设计与实施阶段的工作流程见图4。输入信息系统安全总体方案信息系统安全建设项目计划各类信息技术产品技术说明资料各类信息安全产品技术说明资料信息安全产品采购清单安全控制集成报告系统验收报告主要过程图4安全设计与实施流程图7.2 安全方案详细设计7.2. 1 技术措施实现内容设计活动目标:输出安全详细设计方案安全组织结构表各项管理制度和操作规范系统技术建设过程文档系统验收报告本活动的目标是根据建设目标和建设内容将信息系
44、统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据。参与角色:信息系统运营、使用单位,信息安全服务机构,信息安全产品供应商。活动输入:信息系统安全总体方案,信息系统安全建设项目计划,各类信息技术产品和信息安全产品技术说明资料。活动描述:本活动主要包括以下子活动内容za) 结构框架设计依据本次实施项目的建设内容和信息系统的实际情况,给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架,内容可能包括安全防护的层次、信息安全产品的使用、
45、网络子系统划分、IP地址规划等内容。b) 功能要求设计对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闹、认证网关、代理服务器、网络防病毒、PKI等提出功能指标要求。对需要开发的安全控制组件,提出功能指标要求。c) 性能要求设计对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等提出性能指标要求。对需要开发的安全控制组件,提出性能指标要求。d) 部署方案设计结合目前信息系统网络拓扑,以图示的方式给出安全技术实现框架的实现方式,包括信息安全产品或安全组件的部署位置、连线方式、IP地址分配等。对于需对原有网络进行调整的,
46、给出网络调整的图示方案等。e) 制定安全策略实现计划依据信息系统安全总体方案中提出的安全策略的要求,制定设计和设置信息安全产品或安全组件12 的安全策略实现计划。活动输出:技术措施落实方案。7.2.2 管理措施实现内睿设计活动目标zGB/T 25058-2010 本活动的目标是根据机构当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本期安全实施内容,以保证在安全技术建设的同时,安全管理得以同步建设。参与角色z信息系统运营、使用单位,信息安全服务机构。活动输人:信息系统安全总体方案,信息系统安全建设项目计划。活动描述:结合系统实际安全管理需要和本次技术建设内容,确定本次安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑z安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。活动输出:管理措施落实方案。7.2.3 设计结果文档化活动目标:本活动的目标是将技术措施落实方案、管理措施落实方案汇总,同时考虑工时和费用,最后形成指导安全实施的指导性文件。参与角色:信息系统运营、使用单位,信息安全服务机构。活动输入:技术措