等级保护 实施流程

1、等级保护实施流程一、总体流程对信息系统实施等级保护的基本流程见图1。信息系统定级总体安全规划安全设计与实施施安全运行与维护等级变更局部调整信息系统终止图1 信息系统安全等级保护实施的基本流程二、每个工作部分流程1、信息系统定级阶段的工作流程见图2。主要过程输出输入信息系统总体描述文件信息系统详细描述文件信息系统立项文档信息系统建设文档信息系统管理文档信息系统分析安全保护等级确定信息系统安全保护等级定级报告信息系统总体描述文件信息系统详细描述文件图2 信息系统定级阶段工作流程 2、总体安全规划阶段的工作流程见图3。主要过程输出输入安全需求分析报告安全需求分析信息系统详细描述文件信息系统安全保护等

2、级定级报告信息系统相关的其它文档信息系统安全等级保护基本要求总体安全设计信息系统详细描述文件信息系统安全保护等级定级报告信息系统安全等级保护基本要求安全需求分析报告信息系统安全总体方案安全建设项目规划信息系统安全总体方案机构或单位信息化建设的中长期发展规划信息系统安全建设项目计划图3 总体安全规划工作流程3、实施阶段的工作流程见图4。输入输出主要过程安全组织结构表各项管理制度和操作规范系统技术建设过程文档系统验收报告管理措施实现安全详细设计方案信息系统安全总体方案信息系统安全建设项目计划各类信息技术产品技术白皮书各类信息安全产品技术白皮书安全详细设计方案安全方案详细设计技术措施实现安全详细设计

3、方案信息安全产品采购清单安全控制集成报告系统验收报告图4 安全设计与实施流程图4、安全运行与维护阶段的工作流程见图5。输入主要过程输出运行管理和控制运行管理人员角色和职责表各类运行管理操作规程安全详细设计方案安全组织机构表变更管理和控制变更方案变更过程记录文件变更结果报告变更需求安全状态监控监控对象列表安全状态信息安全状态分析报告 安全事件分级标准安全详细设计方案系统验收报告等安全事件处置和应急预案安全事件报告程序各类应急预案安全事件处置报告各类安全事件列表安全状态分析报告安全检查报告安全改进方案测试或验收报告信息系统详细描述文件变更结果报告安全状态分析报告安全检查和持续改进安全等级测评报告信

4、息系统详细描述文件信息系统安全保护等级定级报告系统验收报告等级测评信息系统安全保护等级定级报告信息系统安全总体方案安全详细设计方案安全等级测评报告备案材料系统备案监督检查结果报告监督检查备案材料图5 安全运行与维护阶段的主要过程5、信息系统终止阶段的工作流程见图6。输出主要过程输入信息转移、暂存和清除信息转移、暂存、清除处理记录文档信息系统信息资产清单设备迁移或废弃设备迁移、废弃处理记录文档信息系统硬件设备清单存储介质的清除或销毁信息系统存储介质清单存储介质清除、销毁处理记录文档图6 信息系统终止阶段的工作流程三、主要过程及其活动输出主要过程及其活动输出主要阶段主要过程活动活动输入活动输出信息

5、系统定级信息系统分析系统识别和描述信息系统的立项、建设、管理文档信息系统总体描述文件信息系统划分信息系统总体描述文件* 信息系统详细描述文件安全保护等级确定定级、审核和批准信息系统总体描述文件信息系统详细描述文件定级结果形成定级报告信息系统总体描述文件信息系统详细描述文件定级结果* 信息系统安全保护等级定级报告总体安全规划安全需求分析基本安全需求确定信息系统详细描述文件信息系统安全保护等级定级报告信息系统安全等级保护基本要求信息系统相关的其它文档基本安全需求额外/特殊安全需求的确定信息系统详细描述文件信息系统安全保护等级定级报告信息系统相关的其它文档重要资产的特殊保护要求形成安全需求分析报告信

6、息系统详细描述文件信息系统安全保护等级定级报告信息系统安全等级保护基本要求基本安全需求重要资产的特殊保护要求* 安全需求分析报告安全总体设计总体安全策略设计信息系统详细描述文件信息系统安全保护等级定级报告安全需求分析报告总体安全策略文件各级系统安全技术措施设计总体安全策略文件安全需求分析报告信息系统安全等级保护基本要求信息系统安全技术体系结构系统整体安全管理策略设计总体安全策略文件安全需求分析报告信息系统安全等级保护基本要求信息系统安全管理体系结构设计结果文档化安全需求分析报告信息系统安全技术体系结构信息系统安全管理体系结构* 信息系统安全总体方案安全建设项目规划安全建设目标确定信息系统安全总

7、体方案单位信息化建设的中长期发展规划信息系统分阶段安全建设目标安全建设内容规划信息系统安全总体方案信息系统分阶段安全建设目标安全建设内容安全建设项目计划设计信息系统安全总体方案信息系统分阶段安全建设目标安全建设内容* 信息系统安全建设项目计划安全设计与实施安全方案详细设计技术措施实现内容设计信息系统安全总体方案信息系统安全建设项目计划各类信息技术产品技术白皮书各类信息安全产品技术白皮书技术措施实现方案管理措施实现内容设计信息系统安全总体方案信息系统安全建设项目计划管理措施实现方案设计结果文档化技术措施落实方案管理措施落实方案* 安全详细设计方案管理措施落实管理机构和人员的设置机构现有相关管理制

8、度和政策安全详细设计方案* 角色与职责说明书管理制度的建设和修订安全组织结构表角色与职责说明书安全详细设计方案* 各项管理制度和操作规范人员安全技能培训系统/产品使用说明书各项管理制度和操作规范培训记录及上岗资格证等安全实施过程管理安全技术建设各阶段相关文档各阶段管理过程文档技术措施落实信息安全产品采购安全详细设计方案、相关产品信息已采购信息安全产品清单安全控制开发安全详细设计方案安全控制开发过程相关文档安全控制集成安全详细设计方案安全控制集成报告系统验收安全详细设计方案安全控制集成报告* 系统验收报告安全运行与维护运行管理和控制运维管理职责确定安全详细设计方案安全组织机构表* 运行管理人员角

9、色和职责表运维管理过程控制运行管理需求运行管理人员角色和职责表* 各类运行管理操作规程变更管理和控制变更需求和影响分析变更需求变更方案变更过程控制变更方案* 变更结果报告安全状态监控监控对象确定安全详细设计方案系统验收报告等监控对象列表监控对象状态信息收集监控对象列表安全状态信息监控状态分析和报告安全状态信息* 安全状态分析报告安全事件处置和应急预案安全事件分级各类安全事件列表* 安全事件报告程序应急预案制定安全事件报告程序* 各类应急预案安全事件处置安全状态分析报告安全事件报告程序各类应急预案* 安全事件处置报告安全检查和持续改进安全状态检查信息系统详细描述文件变更结果报告安全状态分析报告* 安全检查报告改进方案制定安全检查报告* 安全改进方案安全改进实施安全改进方案* 测试或验收报告等级测评信息系统安全保护等级定级报告系统验收报告测试或验收报告* 安全等级测评报告系统备案信息系统安全保护等级定级报告信息系统安全总体方案安全详细设计方案安全等级测评报告* 备