解和较好地使用,实施指南并不以某个特定单位的活动为主线进行描述,而是以信息系统等级保护建设所要从事的活动为主线进行描述,有些活动可能是这个单位执行的,另一些活动可能是另一个单位执行的。《实施指南》的读者根据自己的角色和从事的活动选择相应的内容作为指导。
2) 定义信息系统等级保护实施的基本流程
对信息系统实施等级保护涉及的活动有很多,根据安全的动态性和安全工程的循环理论,很多活动需要重复执行,从而保证安全保护的有效性,虽然安全保护是一个不断循环和不断提高的过程,但是实施信息系统等级保护的一次完整周期流程是可以区分清楚的,比如从系统定级到最终的系统安全运行维护,为了便于清晰划分信息系统等级保护的一次实施过程,有必要定义信息系统等级保护实施的一个基本流程。
《实施指南》根据信息系统等级保护实施的特点,结合风险管理和安全工程方法提出信息系统等级保护实施的基本流程,将等级保护实施过程划分为几个不同的阶段,然后分章节介绍和描述不同阶段的安全活动,,指导系统建设者和系统运营者在系统建设和运营期间更好地同步进行等级保护建设。
通过对信息系统等级保护实施基本流程的提出,更好地描述信息系统等级保护实施的不断循环过程;级别变更可能触发另一个等级保护实施流程的执行;风险评估和安全测评可能导致等级保护实施流程中局部活动的重复执行等。
3)介绍和描述每个阶段主要的实施过程和主要活动
为了便于用户使用《实施指南》,《实施指南》根据基本实施流程的阶段划分,分为不同的章节,每个阶段对应一章。每一章介绍和描述本阶段所要进行的过程和主要安全活动,如果过程具有顺序性,将用流程图的形式表述过程的执行过程,如果没有顺序性,则用框图分别表述每一个过程活动。《实施指南》将每个过程作为章下的节,每一节详细描述过程的内容,包括过程可能的实施主体,主要的活动内容和工作方法,过程的输入和输出内容。
1.3 使用对象
《实施指南》以信息系统的生命周期为主线,描述信息系统安全等级保护实施的基本过
6
程,而信息系统安全等级保护实施过程本身是一个多方参与的工作,将会涉及到各类组织,所以《实施指南》的使用对象包括信息系统安全等级保护实施过程中的参与各方。具体包括:国家管理部门、信息系统主管部门、信息系统运营使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等。
1) 国家管理部门
公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
2) 信息系统主管部门
负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
3) 信息系统运营、使用单位
负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。
4) 信息安全服务机构
负责依据信息系统运营、使用单位的委托,按照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。
7
5) 信息安全等级测评机构
负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。
6) 信息安全产品供应商
负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。
1.4 基本结构
《实施指南》包括9章,1个附录。
第1、2、3章为标准的固定格式要求,说明《实施指南》标准的使用范围、引用的其他标准、使用到的术语和定义。
第4章总体描述信息系统等级保护的实施过程,包括实施过程中涉及到的各种角色和职责、实施的基本原则、实施的基本流程。
第5、6、7、8、9章分别根据等级保护实施流程划分的阶段,说明每个阶段的主要实施过程。每章以阶段名称作为一级标题,以主要过程作为二级标题,主要活动要素作为三级标题,说明信息系统安全等级保护的实施活动。
附录A为主要过程的输出列表。
2 基本实施过程
2.1 一些主要概念
1、信息系统安全保护等级
信息系统重要程度的表征。重要程度以信息系统受到破坏后,对国家安全、社会秩序、经济建设和公共利益造成的损害程度来衡量。
8
2、信息系统安全等级保护 对信息系统分等级实施安全保护。 3、信息系统生命周期
信息系统从存在到消失的整个时间周期。通常观点认为信息系统生命周期包括五个阶段,即启动准备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。
4、阶段和阶段目标
信息系统生命周期中,具有代表性的时段划分,称为阶段。通常以经历一系列相关的过程,完成一系列相关的活动,产生一个标志性结果为划分依据。在信息系统安全等级保护实施中,划分为信息系统定级、总体安全规划、安全设计与实施、安全运行与维护和信息系统废弃几个阶段。
每个阶段内期望达到的结果的描述,称为阶段目标。 5、主要活动和活动目标
《实施指南》中,按照阶段、过程、活动、子活动的分解方式进行描述,每个阶段的每个过程中,具有代表性的活动,称为主要活动。通常以为达到阶段目标而必须完成的活动为表述依据。例如在信息系统安全等级保护实施中,信息系统定级阶段的主要过程分为信息系统分析和安全等级确定,其中信息系统分析过程的主要活动划分为系统识别和描述、信息系统分解等几个主要活动。
每个主要活动期望达到的结果的描述,称为活动目标。 7、参与角色
每个活动或活动过程的参与人员,称为参与角色。在《实施指南》中,参与角色的最小度量为“单位”,参与角色分为国家管理部门、信息系统主管部门、信息系统运营使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等。
8、子活动和工作内容
主要活动进一步分解后的活动,称为子活动。子活动中需要完成的工作的描述称为工作内容。在《实施指南》中,大部分的主要活动均分解为若干个子活动,并对子活动内容进行详细描述,子活动通常由主要活动的参与角色完成。
9
9、活动输入和活动输出
为完成主要活动或子活动,需要的文件资料称为活动输入;主要活动或子活动完成后,产生的文件资料称为活动输出。在《实施指南》中,对各类主要活动描述了活动输入和活动输出的文档资料名称。
10、相互之间的关系
《实施指南》中,各个主要概念之间的关系如下图所示:
信息系统 生命周期 阶段 阶段 主要过程 活动 阶段目标 过程目标 子活动 活动流程 参与角色 工作内容 输入与输出
图1-2 基本概念之间的关系
2.2 基本实施流程
对一个信息系统实施等级保护的过程本质上是对信息系统进行安全保护的过程,应遵循对信息系统进行安全保护的方法论,但是作为国家等级保护制度实施的对信息系统的安全等级保护工作本身有其自己的特点,整个实施过程应体现出“信息系统分等级”、“按标准进行建设”、“实施监督和管理”等思想。
安全保护过程是一个不断循环和不断提高的过程,但是实施等级保护的一次完整过程是可以区分清楚的,比如从信息系统定级、系统运行维护,最终到信息系统终止,为了便于清晰划分等级保护的一次实施过程,有必要根据信息系统的一个生命周期确定等级保护实施的
10