GB/T XXXX – XXXX
8.5.1 安全事件分级
活动目标:
本活动的目标是结合信息系统的实际情况,分析事件对信息系统的破坏程度,所造成后果严重程度,将安全事件依次进行分级。
参与角色:信息系统运营、使用单位。 活动输入:各类安全事件列表。 活动描述:
本活动主要包括以下子活动内容: a) 安全事件调查和分析
针对各类安全事件列表,调查本系统内安全事件的类型、安全事件对业务的影响范围和程度以及安全事件的敏感程度等信息,分析对安全事件进行响应恢复所需要的时间。
b) 安全事件等级划分
根据以上调查和分析结果,根据信息安全事件造成的损失程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,确定事件等级,制定安全事件的报告程序。
活动输出:安全事件报告程序。 8.5.2 应急预案制定
活动目标:
本活动的目标是通过对安全事件的等级分析,在统一的应急预案框架下制定不同安全事件的应急预案。
参与角色:信息系统运营、使用单位。 活动输入:安全事件报告程序。 活动描述:
本活动主要包括以下子活动内容: a) 确定应急预案对象
针对安全事件等级,考虑其可能性和对系统和业务产生的影响,确定需制定应急预案的安全事件对象。
b) 确定和认可各项职责
在统一的应急预案框架下,明确和认可应急预案中各部门的职责,并协调各部门间的合作和分工。 c) 制定应急预案程序及其执行条件
针对不同等级、不同优先级的安全事件制定相应的应急预案程序,确定不同等级事件的响应和处置范围、程度以及适用的管理制度,说明应急预案启动的条件,发生安全事件后要采取的流程和措施,并按照预案定期开展演练。
活动输出:各类应急预案。 8.5.3 安全事件处置
活动目标:
本活动的目标是对监控到的安全事件采取适当的方法进行处置,对安全事件的影响程度和等级进行分析,确定是否启动应急响应。
27
GB/T XXXX – XXXX
参与角色:信息系统运营、使用单位。
活动输入:安全状态分析报告,安全事件报告程序,各类应急预案。 活动描述:
本活动主要包括以下子活动内容: a) 安全事件上报
根据安全状态分析报告分析可能的安全事件,对接报的安全事件进行分析,明确安全事件等级、影响程度以及优先级等,按照安全事件报告程序上报安全事件,确定是否应对安全事件启动应急预案。
b) 安全事件处置
对于应该启动应急预案的安全事件按照应急预案响应机制进行安全事件处置。对未知安全事件的处置,应根据安全事件的等级,制定安全事件处置方案,包括安全事件处置方法以及应采取的措施等;并按照安全事件处置流程和方案对安全事件进行处置。
c) 安全事件总结和报告
一旦安全事件得到解决,对于未知的安全事件进行事件记录,分析记录信息并补充所需信息,使安全事件成为已知事件,并文档化;对安全事件处置过程进行总结,制定安全事件处置报告,并保存。
活动输出:安全事件处置报告。 8.6 安全检查和持续改进 8.6.1 安全状态检查
活动目标:
本活动的主要目标是通过对信息系统的安全状态进行检查,为信息系统的持续改进过程提供依据和建议,确保信息系统的安全保护能力满足相应等级安全要求。
关于等级测评见8.7节,关于监督检查见8.9节,本节描述自我检查过程。 参与角色:信息系统主管部门,信息系统运营、使用单位。
活动输入:信息系统详细描述文件,变更结果报告,安全状态分析报告。 活动描述:
本活动主要包括以下子活动内容: a) 确定检查对象和检查方法
确定检查的目标和意义,确定本次安全检查活动是自己组织的检查还是其他方组织的安全检查,如果是其他方组织的安全检查,则需要与其他方实施检查的单位进行沟通、洽谈和配合。
b) 制定检查计划和检查方案
确定检查工作的角色和职责,确定检查工作的方法,成立安全检查工作组。制定安全检查工作计划和安全检查方案,说明安全检查的范围、对象、工作方法等,准备安全检查需要的各类表单和工具。
c) 安全检查实施
根据安全检查计划,通过询问、检查和测试等多种手段,进行安全状况检查,记录各种检查活动的结果数据,分析安全措施的有效性、安全事件产生的可能性和信息系统的实际改进需求等。
d) 安全检查结果和报告
总结安全检查的结果,提出改进的的建议,并产生安全检查报告。将安全检查过程的各类文档、资料归档保存。
活动输出:安全检查报告。
28
GB/T XXXX – XXXX
8.6.2 改进方案制定
活动目标:
本活动的主要目标是依据安全检查的结果,调整信息系统的安全状态,保证信息系统安全防护的有效性。
参与角色:信息系统运营、使用单位。 活动输入:安全检查报告。 活动描述:
本活动主要包括以下子活动内容: a) 安全改进的立项
根据安全检查结果确定安全改进的策略,如果涉及安全保护等级的变化,则应进入安全保护等级保护实施的一个新的循环过程;如果安全保护等级不变,但是调整内容较多、涉及范围较大,则应对安全改进项目进行立项,重新开始安全实施/实现过程,参见第7章;如果调整内容较小,则可以直接进行安全改进实施。
b) 制定安全改进方案
确定安全改进的工作方法、工作内容、人员分工、时间计划等,制定安全改进方案。安全改进方案只适用于小范围内的安全改进,如安全加固、配置加强、系统补丁等。
活动输出:安全改进方案。 8.6.3 安全改进实施
活动目标:
本活动的目标是保证按照安全改进方案实现各项补充安全措施,并确保原有的技术措施和管理措施与各项补充的安全措施一致有效地工作。
参与角色:信息系统运营、使用单位。 活动输入:安全改进方案。 活动描述:
本活动主要包括以下子活动内容: a) 安全方案实施控制 见7.3.4节。
b) 安全措施测试与验收 见7.4.4节。
c) 配套技术文件和管理制度的修订
按照安全改进方案实施和落实各项补充的安全措施后,要调整和修订各类相关的技术文件和管理制度,保证原有体系完整性和一致性。
活动输出:测试或验收报告。 8.7 等级测评
活动目标:
本活动的目标是通过信息安全等级测评机构对已经完成等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。
参与角色:信息系统主管部门,信息系统运营、使用单位,信息安全等级测评机构。
29
GB/T XXXX – XXXX
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,系统验收报告。
活动描述:
参见有关信息系统安全保护等级测评的规范或标准。 活动输出:安全等级测评报告。 8.8 系统备案
活动目标:
本活动的目标是根据国家管理部门对备案的要求,整理相关备案材料,并向受理备案的单位提交备案材料。
参与角色:信息系统主管部门,信息系统运营、使用单位,国家管理部门。
活动输入:信息系统安全保护等级定级报告,信息系统安全总体方案,安全详细设计方案,安全等级测评报告。
活动描述:
本活动主要包括以下子活动内容: a) 备案材料整理
信息系统运营、使用单位针对备案材料的要求,整理、填写备案材料, b) 备案材料提交
信息系统运营、使用单位根据国家管理部门的要求办理定级备案手续,提交备案材料;国家管理部门接收备案材料。
活动输出:备案材料。 8.9 监督检查
活动目标:
本活动的目标是通过国家管理部门对信息系统定级、规划设计、建设实施和运行管理等过程进行监督检查,确保其符合信息系统安全保护相应等级的要求。
参与角色:信息系统主管部门,信息系统运营、使用单位,国家管理部门。 活动输入:备案材料。 活动描述:
参见信息安全等级保护监督检查的规范或标准。 活动输出:监督检查结果报告。 9 信息系统终止
9.1 信息系统终止阶段的工作流程
信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时,正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上的废弃,而是改进技术或转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。
本标准在信息系统终止阶段关注信息转移、暂存和清除,设备迁移或废弃,存储介质的清除或销毁等活动。
信息系统终止阶段的工作流程见图6。
30
GB/T XXXX – XXXX
图6 信息系统终止阶段的工作流程
信息系统存储介质清单 存储介质的清除或销毁 输入
主要过程
输出
信息转移、暂存、清除处理 记录文档 信息系统信息资产清单 信息转移、暂存和清除 信息系统硬件设备清单 设备迁移或废弃 设备迁移、废弃处理记录文档 存储介质清除、销毁处理记录文档
9.2 信息转移、暂存和清除
活动目标:
本活动的目标是在信息系统终止处理过程中,对于可能会在另外的信息系统中使用的信息采取适当的方法将其安全地转移或暂存到可以恢复的介质中,确保将来可以继续使用,同时采用安全的方法清除要终止的信息系统中的信息。
参与角色:信息系统运营、使用单位。 活动输入:信息系统信息资产清单。 活动描述:
本活动主要包括以下子活动内容: a) 识别要转移、暂存和清除的信息资产
根据要终止的信息系统的信息资产清单,识别重要信息资产、所处的位置以及当前状态等,列出需转移、暂存和清除的信息资产的清单。
b) 信息资产转移、暂存和清除
根据信息资产的重要程度制定信息资产的转移、暂存、清除的方法和过程。如果是涉密信息,应该按照国家相关部门的规定进行转移、暂存和清除。
c) 处理过程记录
记录信息转移、暂存和清除的过程,包括参与的人员,转移、暂存和清除的方式以及目前信息所处的位置等。
活动输出:信息转移、暂存、清除处理记录文档。 9.3 设备迁移或废弃
活动目标:
本活动的目标是确保信息系统终止后,迁移或废弃的设备内不包括敏感信息,对设备的处理方式应符合国家相关部门的要求。
31