GB/T XXXX – XXXX
本活动主要包括以下子活动内容:
a) 规定信息安全的组织管理体系和对各信息系统的安全管理职责
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出机构的安全组织管理机构框架,分配各个级别信息系统的安全管理职责,规定各个级别信息系统的安全管理策略等。
b) 规定各等级信息系统的人员安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的管理人员框架,分配各个级别信息系统的管理人员职责,规定各个级别信息系统的人员安全管理策略等。
c) 规定各等级信息系统机房及办公区等物理环境的安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的机房和办公环境的安全策略。
d) 规定各等级信息系统介质、设备等的安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的介质、设备等的安全策略。
e) 规定各等级信息系统运行安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的安全运行与维护框架和运维安全策略等。
f) 规定各等级信息系统安全事件处置和应急管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级别信息系统的安全事件处置和应急管理策略等。
g) 形成信息系统安全管理策略框架
将上述各个方面的安全管理策略进行整理、汇总,形成信息系统的整体安全管理体系结构。 活动输出:信息系统安全管理体系结构。 6.3.4 设计结果文档化
活动目标:
本活动的目标是将总体安全设计工作的结果文档化,最后形成一套指导机构信息安全工作的指导性文件。
参与角色: 信息系统运营、使用单位,信息安全服务机构。
活动输入: 安全需求分析报告,信息系统安全技术体系结构,信息系统安全管理体系结构。 活动描述:
对安全需求分析报告、信息系统安全技术体系结构和安全管理体系结构等文档进行整理,形成信息系统总体安全方案。
信息系统总体安全方案包含以下内容: a) 信息系统概述; b) 总体安全策略;
c) 信息系统安全技术体系结构; d) 信息系统安全管理体系结构。 活动输出:信息系统安全总体方案。 6.4 安全建设项目规划
12
GB/T XXXX – XXXX
6.4.1 安全建设目标确定
活动目标:
本活动的目标是依据信息系统安全总体方案(一个或多个文件构成)、机构或单位信息化建设的中长期发展规划和机构的安全建设资金状况确定各个时期的安全建设目标。
参与角色: 信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统安全总体方案、机构或单位信息化建设的中长期发展规划。 活动描述:
本活动主要包括以下子活动内容:
a) 信息化建设中长期发展规划和安全需求调查
了解和调查单位信息化建设的现况、中长期信息化建设的目标、主管部门对信息化的投入,对比信息化建设过程中阶段状态与安全策略规划之间的差距,分析急迫和关键的安全问题,考虑可以同步进行的安全建设内容等。
b) 提出信息系统安全建设分阶段目标
制定系统在规划期内(一般安全规划期为3年)所要实现的总体安全目标;制定系统短期(1年以内)要实现的安全目标,主要解决目前急迫和关键的问题,争取在短期内安全状况有大幅度提高。
活动输出: 信息系统分阶段安全建设目标。 6.4.2 安全建设内容规划
活动目标:
本活动的目标是根据安全建设目标和信息系统安全总体方案的要求,设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。
参与角色: 信息系统运营、使用单位,信息安全服务机构。 活动输入:信息系统安全总体方案,信息系统分阶段安全建设目标。 活动描述:
本活动主要包括以下子活动内容: a) 确定主要安全建设内容
根据信息系统安全总体方案明确主要的安全建设内容,并将其适当的分解。主要建设内容可能分解但不限于以下内容:
1) 安全基础设施建设; 2) 网络安全建设;
3) 系统平台和应用平台安全建设; 4) 数据系统安全建设; 5) 安全标准体系建设; 6) 人才培养体系建设; 7) 安全管理体系建设。 b) 确定主要安全建设项目
组合安全建设内容为不同的安全建设项目,描述项目所解决的主要安全问题及所要达到的安全目标,对项目进行支持或依赖等相关性分析,对项目进行紧迫性分析,对项目进行实施难易程度分析,对项目进行预期效果分析,描述项目的具体工作内容、建设方案,形成安全建设项目列表。
13
GB/T XXXX – XXXX
活动输出: 安全建设项目列表(含安全建设内容)。 6.4.3 形成安全建设项目计划
活动目标:
本活动的目标是根据建设目标和建设内容,在时间和经费上对安全建设项目列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划。
参与角色: 信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统安全总体方案,信息系统分阶段安全建设目标,安全建设内容等。 活动描述:
对信息系统分阶段安全建设目标、安全总体方案和安全建设内容等文档进行整理,形成信息系统安全建设项目计划。
安全建设项目计划可包含以下内容: a) 规划建设的依据和原则; b) 规划建设的目标和范围; c) 信息系统安全现状; d) 信息化的中长期发展规划; e) 信息系统安全建设的总体框架; f) 安全技术体系建设规划;
g) 安全管理与安全保障体系建设规划; h) 安全建设投资估算;
i) 信息系统安全建设的实施保障等内容。 活动输出: 信息系统安全建设项目计划。
14
GB/T XXXX – XXXX
7 安全设计与实施
7.1 安全设计与实施阶段的工作流程
安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施。 安全设计与实施阶段的工作流程见图4。 输入
主要过程
输出
信息系统安全总体方案 信息系统安全建设项目计划 安全方案详细设计 安全详细设计方案 各类信息技术产品技术白皮书 各类信息安全产品技术白皮书 安全组织结构表 安全详细设计方案 技术措施实现 信息安全产品采购清单 安全控制集成报告 各项管理制度和操作规范 管理措施实现 系统技术建设过程文档 系统验收报告 安全详细设计方案 系统验收报告
图4 安全设计与实施流程图
15
GB/T XXXX – XXXX 7.2 安全方案详细设计 7.2.1 技术措施实现内容设计
活动目标:
本活动的目标是根据建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据。
参与角色:信息系统运营、使用单位,信息安全服务机构,信息安全产品供应商。
活动输入:信息系统安全总体方案,信息系统安全建设项目计划,各类信息技术产品和信息安全产品技术白皮书。
活动描述:
本活动主要包括以下子活动内容: a) 结构框架设计
依据本次实施项目的建设内容和信息系统的实际情况,给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架,内容可能包括安全防护的层次、信息安全产品的使用、网络子系统划分、IP地址规划其他内容。
b) 功能要求设计
对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等提出功能指标要求。对需要开发的安全控制组件,提出功能指标要求。
c) 性能要求设计
对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等提出性能指标要求。对需要开发的安全控制组件,提出性能指标要求。
d) 部署方案设计
结合目前信息系统网络拓扑,以图示的方式给出安全技术实现框架的实现方式,包括信息安全产品或安全组件的部署位置、连线方式、IP地址分配等。对于需对原有网络进行调整的,给出网络调整的图示方案等。
e) 制定安全策略实现计划
依据信息系统安全总体方案中提出的安全策略的要求,制定设计和设置信息安全产品或安全组件的安全策略实现计划。
活动输出:技术措施落实方案。 7.2.2 管理措施实现内容设计
活动目标:
本活动的目标是根据机构当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设。
参与角色:信息系统运营、使用单位,信息安全服务机构。 活动输入:信息系统安全总体方案,信息系统安全建设项目计划。 活动描述:
结合系统实际安全管理需要和本次技术建设内容,确定本次安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管
16