GB/T XXXX – XXXX
行整理,形成文件化的信息系统定级结果报告。
信息系统定级结果报告可以包含以下内容: a) 单位信息化现状概述; b) 管理模式; c) 信息系统列表; d) 每个信息系统的概述; e) 每个信息系统的边界; f) 每个信息系统的设备部署; g) 每个信息系统支撑的业务应用;
h) 信息系统列表、安全保护等级以及保护要求组合; i) 其他内容。
活动输出:信息系统安全保护等级定级报告。 6 总体安全规划
6.1 总体安全规划阶段的工作流程
总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
7
GB/T XXXX – XXXX
总体安全规划阶段的工作流程见图3。
6.2 安全需求分析 6.2.1 基本安全需求的确定
活动目标:
本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。
参与角色: 信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构。
活动输入: 信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求。
活动描述:
本活动主要包括以下子活动内容: a) 确定系统范围和分析对象
明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
b) 形成评价指标和评估方案
根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标,形成
8
信息系统安全总体方案 机构或单位信息化建设的 中长期发展规划 安全建设项目规划 信息系统详细描述文件 信息系统安全保护等级定级报告 信息系统安全等级保护基本要求 安全需求分析报告 总体安全设计 输入
主要过程
输出
信息系统详细描述文件 信息系统安全保护等级定级报告 信息系统相关的其它文档 信息系统安全等级保护基本要求 安全需求分析 安全需求分析报告 信息系统安全总体方案 信息系统安全建设项目计划 图3 总体安全规划工作流程
GB/T XXXX – XXXX
评价指标。根据评价指标,结合确定的具体对象制定可以操作的评估方案,评估方案可以包含以下内容:
1) 管理状况评估表格; 2) 网络状况评估表格;
3) 网络设备(含安全设备)评估表格; 4) 主机设备评估表格; 5) 主要设备安全测试方案; 6) 重要操作的作业指导书。 c) 现状与评价指标对比
通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论。整理和分析不符合的评价指标,确定信息系统安全保护的基本需求。
活动输出: 基本安全需求。 6.2.2 额外/特殊安全需求的确定
活动目标:
本活动的目标是通过对信息系统重要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分,采用需求分析/风险分析的方法,确定可能的安全风险,判断对超出等级保护基本要求部分实施特殊安全措施的必要性,提出信息系统的特殊安全保护需求。
参与角色: 信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档。 活动描述:
确定特殊安全需求可以采用目前成熟或流行的需求分析/风险分析方法,或者采用下面介绍的活动: a) 重要资产的分析
明确信息系统中的重要部件,如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等。
b) 重要资产安全弱点评估
检查或判断上述重要部件可能存在的弱点,包括技术上和管理上的;分析安全弱点被利用的可能性。 c) 重要资产面临威胁评估
分析和判断上述重要部件可能面临的威胁,包括外部的威胁和内部的威胁,威胁发生的可能性或概率。
d) 综合风险分析
分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的要求。
活动输出: 重要资产的特殊保护要求。 6.2.3 形成安全需求分析报告
活动目标:
本活动的目标是总结基本安全需求和特殊安全需求,形成安全需求分析报告。 参与角色: 信息系统运营,使用单位,信息安全服务机构。
9
GB/T XXXX – XXXX
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,基本安全需求,重要资产的特殊保护要求。
活动描述:
本活动主要包括以下子活动内容: a) 完成安全需求分析报告
根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告。 安全需求分析报告可以包含以下内容:
1) 信息系统描述; 2) 安全管理状况; 3) 安全技术状况;
4) 存在的不足和可能的风险; 5) 安全需求描述。 活动输出: 安全需求分析报告。 6.3 总体安全设计 6.3.1 总体安全策略设计
活动目标:
本活动的目标是形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构。
参与角色: 信息系统运营、使用单位,信息安全服务机构。
活动输入: 信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告。 活动描述:
本活动主要包括以下子活动内容: a) 确定安全方针
形成机构最高层次的安全方针文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等。
b) 制定安全策略
形成机构高层次的安全策略文件,说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等。
活动输出: 总体安全策略文件。 6.3.2 安全技术体系结构设计
活动目标:
本活动的目标是根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,提出系统需要实现的安全技术措施,形成机构特定的系统安全技术体系结构,用以指导信息系统分等级保护的具体实现。
参与角色: 信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求。
活动描述:
10
GB/T XXXX – XXXX
本活动主要包括以下子活动内容:
a) 规定骨干网/城域网的安全保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出骨干网/城域网的安全保护策略和安全技术措施。骨干网/城域网的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况,如果不同级别的子系统通过骨干网/城域网的同一线路和设备传输数据,线路和设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求。
b) 规定子系统之间互联的安全技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出跨局域网互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等;提出局域网内部互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等。
c) 规定不同级别子系统的边界保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统边界的安全保护策略和安全技术措施。子系统边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况,如果不同级别的子系统通过同一设备进行边界保护,这个边界设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求。
d) 规定不同级别子系统内部系统平台和业务应用的安全保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。
e) 规定不同级别信息系统机房的安全保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别信息系统机房的安全保护策略和安全技术措施。信息系统机房安全保护策略和安全技术措施提出时应考虑不同级别的信息系统共享机房的情况,如果不同级别的信息系统共享同一机房,机房的安全保护策略和安全技术措施应满足最高级别信息系统的等级保护基本要求。
f) 形成信息系统安全技术体系结构
将骨干网/城域网、通过骨干网/城域网的子系统互联、局域网内部的子系统互联、子系统的边界、子系统内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成信息系统的安全技术体系结构。
活动输出: 信息系统安全技术体系结构。 6.3.3 整体安全管理体系结构设计
活动目标:
本活动的目标是根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,调整原有管理模式和管理策略,既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的安全管理措施,最后形成统一的整体安全管理体系结构。
参与角色: 信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求。
活动描述:
11