信息安全管理体系——规范与使用指南(doc_33)

ISO标准——IEC 27001:2005信息安全管理体系——规范与使用指南Reference numberISO/IEC 27001:2005(E)0简介0.1总则本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。

采用ISMS应是一个组织的战略决定。

组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。

上述因素和他们的支持系统预计会随事件而变化。

希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。

本国际标准可以用于内部、外部评估其符合性。

0.2过程方法本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。

一个组织必须识别和管理许多活动使其有效地运行。

通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。

通常，一个过程的输出直接形成了下一个过程的输入。

组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。

在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性：a)了解组织信息安全需求和建立信息安全策略和目标的需求；b)在组织的整体业务风险框架下，通过实施及运作控制措施管理组织的信息安全风险；c)监控和评审ISMS的执行和有效性；d)基于客观测量的持续改进。

本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。

图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。

采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction0.1 GeneralThis International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution.This International Standard can be used in order to assess conformance by interested internal and external parties.0.2 Process approachThis International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS.An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process.The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”.The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security;b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks;c) monitoring and reviewing the performance and effectiveness of the ISMS; andd) continual improvement based on objective measurement.This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8.The adoption of the PDCA model will also reflect the principles as set out in the本国际标准提供一个健壮的模型去实施指南中的控制风险评估、安全设计和实施、安全管理和再评估的原则。

ISO标准——IEC 27001:2005信息安全管理体系——规范与使用指南Reference numberISO/IEC 27001:2005(E)0简介0.1总则本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。

采用ISMS应是一个组织的战略决定。

组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。

上述因素和他们的支持系统预计会随事件而变化。

希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。

本国际标准可以用于内部、外部评估其符合性。

0.2过程方法本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。

一个组织必须识别和管理许多活动使其有效地运行。

通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。

通常，一个过程的输出直接形成了下一个过程的输入。

组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。

在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性：a)了解组织信息安全需求和建立信息安全策略和目标的需求；b)在组织的整体业务风险框架下，通过实施及运作控制措施管理组织的信息安全风险；c)监控和评审ISMS的执行和有效性；d)基于客观测量的持续改进。

本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。

图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。

采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction0.1 GeneralThis International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution.This International Standard can be used in order to assess conformance by interested internal and external parties.0.2 Process approachThis International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS.An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process.The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”.The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security;b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks;c) monitoring and reviewing the performance and effectiveness of the ISMS; andd) continual improvement based on objective measurement.This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8.The adoption of the PDCA model will also reflect the principles as set out in the本国际标准提供一个健壮的模型去实施指南中的控制风险评估、安全设计和实施、安全管理和再评估的原则。

信息安全中心管理规定1. 目的为了加强我国信息安全，保障国家安全、公共利益以及企业、个人的合法权益，根据《中华人民共和国网络安全法》等相关法律法规，制定本规定。

2. 适用范围本规定适用于我国境内所有从事信息安全相关的企业、机构、组织和个人。

3. 信息安全责任3.1 信息系统的所有者应对信息系统安全负总责。

3.2 信息系统运营者应按照法律法规和相关规定，采取必要的安全措施，保障信息系统安全。

3.3 信息系统使用者和管理者应按照法律法规和相关规定，履行信息系统安全保护义务。

4. 信息安全保护措施4.1 信息系统建设和运行应符合国家信息安全等级保护的要求。

4.2 信息系统运营者应建立健全信息安全管理制度，包括信息安全管理、信息安全技术、信息安全应急等。

4.3 信息系统运营者应对信息系统进行定期安全检查和风险评估，及时整改安全隐患。

4.4 信息系统运营者应采取有效措施，防止非法侵入、非法访问、非法篡改等信息安全事件的发生。

4.5 信息系统运营者应按照国家相关规定，对涉及国家安全、公共利益的重要信息系统进行安全保护。

5. 信息安全违规处理5.1 对违反本规定的，由相关部门依法予以查处。

5.2 对违反本规定，导致信息系统安全事故的，依法承担相应责任。

5.3 对违反本规定，构成犯罪的，依法追究刑事责任。

6. 附则6.1 本规定自发布之日起施行。

6.2 本规定的解释权归中华人民共和国工业和信息化部。

6.3 本规定如有未尽事宜，由国家相关部门补充规定。

---本规定旨在加强我国信息安全保护，推动信息安全产业健康发展，保障国家安全、公共利益以及企业、个人的合法权益。

希望所有从事信息安全相关的企业、机构、组织和个人严格遵守本规定，共同维护我国信息安全。

英国标准——BS7799-2:2002信息安全管理体系——规范与使用指南目录前言0 介绍0．1总则0．2过程方法0．0．3其他管理体系的兼容性1 范围1．1概要1．2应用2标准参考3名词与定义4信息安全管理体系要求4．1总则4．2建立和管理信息安全管理体系4．2．1建立信息安全管理体系4．2．2实施和运营(对照中文ISO9001确认)？信息安全管理体系4．2．3监控和评审信息安全管理体系4．2．4维护和改进信息安全管理体系4．3文件化要求4．3．1总则4．3．2文件控制4．3．3记录控制5管理职责5．1管理承诺？（对照中文ISO9001确认）5．2资源管理5．2．1资源提供5．2．2培训、意识和能力6信息安全管理体系管理评审6．1总则6．2评审输入？（对照中文ISO9001确认）6．3评审输出？（对照中文IS9001确认）7信息安全管理体系改进7．1持续改进7．2纠正措施7．3预防措施附件A（有关标准的）控制目标和控制措施A．1介绍A．2最佳实践指南A．3安全方针A．4组织安全A．5资产分级和控制A．6人事安全A．7实体和环境安全A．8通信与运营安全A．9访问控制A．10系统开发和维护A．11业务连续性管理A．12符合附件B（情报性的）本标准使用指南B1概况B.1.1PDCA模型B.1.2计划与实施B.1.3检查与改进B.1.4控制措施小结B2计划阶段B.2.1介绍B.2.2信息安全方针B.2.3信息安全管理体系范围B.2.4风险识别与评估B2.5风险处理计划B3实施阶段B.3.1介绍B.3.2资源、培训和意识B.3.3风险处理B4实施阶段B.4.1介绍B.4.2常规检查B.4.3自我监督程序B.4.4从其它事件中学习B.4.5审核B.4.6管理评审B.4.7趋势分析B5改进阶段B.5.1介绍B.5.2不符合项B.5.3纠正和预防措施B.5.4OECD原则和BS7799-2附件C(情报)ISO9001:2000、ISO14001与BS7799-2：2002条款对照0 介绍0．1 总则本标准的目的是为管理者和他们的员工们提供建立和管理一个有效的信息安全管理体系（信息安全管理体系）有模型。

信息安全管理手册目录1、目的和适用范围 (5)1.1. 目的 (5)1.2.适用范围 (5)2、引用标准 (5)2.1. BS7799-2：2002 《信息安全管理体系--规范及使用指南》 (5)2.2. ISO/IEC 17799：2000 《信息技术——信息安全管理实施细则》 (5)3、定义和术语 (5)3.1. 术语 (5)3.2.缩写 (5)4、信息安全管理体系 (5)4.1.总要求 (5)4.2. 建立和管理ISMS (6)4.2.1. 建立ISMS (6)4.2.1.1.本公司ISMS的范围包括 (6)4.2.1.2. 本公司ISMS方针的制定考虑了以下方面的要求 (6)4.2.1.3. 信息安全管理体系方针 (6)4.2.1.4.风险评估的系统方法 (7)4.2.1.5.风险识别 (7)4.2.1.6.评估风险 (7)4.2.1.7.风险处理方法的识别与评价 (8)4.2.1.8. 选择控制目标与控制措施 (8)4.2.1.9.适用性声明SoA (8)4.2.2. ISMS实施及运作 (8)4.2.3. ISMS的监督检查与评审 (9)4.3. 文件要求 (10)4.3.1.总则 (10)4.3.2.文件控制 (10)4.3.3.记录控制 (10)5、管理职责 (11)5.1. 管理承诺 (11)5.2.资源管理 (11)5.2.1. 提供资源 (11)5.2.2. 能力、意识和培训 (11)6、ISMS管理评审 (11)6.1. 总则 (11)6.2.管理评审的输入 (12)6.3.管理评审的输出 (12)6.4.内部审核 (12)6.4.1. 内部审核程序 (12)6.4.2.内部审核需保留以下记录 (13)6.4.3.以上程序详细内容见 (13)7、ISMS改善 (13)7.1. 持续改善 (13)7.2. 纠正措施 (13)7.3. 预防措施 (13)1. 目的和适用范围1.1.目的为了建立、健全本公司信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进ISMS的有效性，特制定本手册。

信息安全管理体系标准信息安全管理体系标准是指为了保护信息系统和信息资产而建立的一套完整的管理体系。

随着信息技术的飞速发展，信息安全问题日益突出，各种网络攻击、数据泄露事件层出不穷，因此建立和实施信息安全管理体系标准显得尤为重要。

首先，信息安全管理体系标准应当建立在国家法律法规和政策的基础上，充分考虑国家和行业的特点，确保信息安全管理体系的合规性和有效性。

其次，信息安全管理体系标准应当包括信息安全政策、组织结构、人员安全、物理安全、通讯安全、应用系统安全、数据安全、供应商管理、风险管理、应急响应等内容，全面覆盖信息系统和信息资产的安全保护。

在信息安全管理体系标准中，信息安全政策是首要的一环。

信息安全政策应当由高层管理者制定，明确规定信息安全的目标、原则、责任和义务，为信息安全管理体系的建立和实施提供指导和保障。

组织结构和人员安全是信息安全管理体系的重要组成部分，应当明确组织的信息安全管理机构和人员的安全责任，确保信息安全管理体系的有效运行。

物理安全和通讯安全是信息安全管理体系的重点内容，包括机房、设备、网络等的安全保护，防止未经授权的人员和设备进入和访问信息系统，保障信息系统和信息资产的完整性和可靠性。

应用系统安全和数据安全是信息安全管理体系的核心内容，包括应用系统的安全设计、开发、测试和运行，以及数据的安全存储、传输和处理，确保信息系统和信息资产不受恶意攻击和非法访问。

供应商管理、风险管理和应急响应是信息安全管理体系的补充内容，包括供应商的信息安全要求、风险的识别、评估和控制，以及信息安全事件的应急预案和演练，确保信息系统和信息资产在面临各种内外部威胁和风险时能够及时有效地做出应对和处置。

综上所述，信息安全管理体系标准是企业和组织保护信息系统和信息资产的重要手段，建立和实施信息安全管理体系标准能够有效预防和应对各种信息安全威胁和风险，保障信息系统和信息资产的安全可靠运行，提升企业和组织的竞争力和可持续发展能力。

信息系统安全等级保护实施指南On March 12, 2022, study standards and apply standards.目次前言.................................................................................... 引言....................................................................................1 范围.................................................................................2 规范性引用文件.......................................................................3 术语和定义...........................................................................4 等级保护实施概述.....................................................................基本原则..............................................................................角色和职责............................................................................实施的基本流程........................................................................5 信息系统定级.........................................................................信息系统定级阶段的工作流程............................................................信息系统分析..........................................................................系统识别和描述........................................................................信息系统划分..........................................................................安全保护等级确定......................................................................定级、审核和批准......................................................................形成定级报告..........................................................................6 总体安全规划.........................................................................总体安全规划阶段的工作流程............................................................安全需求分析..........................................................................基本安全需求的确定....................................................................额外/特殊安全需求的确定...............................................................形成安全需求分析报告..................................................................总体安全设计..........................................................................总体安全策略设计......................................................................安全技术体系结构设计..................................................................整体安全管理体系结构设计..............................................................设计结果文档化........................................................................安全建设项目规划......................................................................安全建设目标确定......................................................................安全建设内容规划......................................................................形成安全建设项目计划..................................................................7 安全设计与实施.......................................................................安全设计与实施阶段的工作流程..........................................................安全方案详细设计......................................................................技术措施实现内容设计..................................................................管理措施实现内容设计..................................................................设计结果文档化........................................................................管理措施实现..........................................................................管理机构和人员的设置..................................................................管理制度的建设和修订..................................................................人员安全技能培训......................................................................安全实施过程管理......................................................................技术措施实现..........................................................................信息安全产品采购......................................................................安全控制开发..........................................................................安全控制集成..........................................................................系统验收..............................................................................8 安全运行与维护.......................................................................安全运行与维护阶段的工作流程..........................................................运行管理和控制........................................................................运行管理职责确定......................................................................运行管理过程控制......................................................................变更管理和控制........................................................................变更需求和影响分析....................................................................变更过程控制..........................................................................安全状态监控..........................................................................监控对象确定..........................................................................监控对象状态信息收集..................................................................监控状态分析和报告....................................................................安全事件处置和应急预案................................................................安全事件分级..........................................................................应急预案制定..........................................................................安全事件处置..........................................................................安全检查和持续改进....................................................................安全状态检查..........................................................................改进方案制定..........................................................................安全改进实施..........................................................................等级测评..............................................................................系统备案..............................................................................监督检查..............................................................................9 信息系统终止.........................................................................信息系统终止阶段的工作流程............................................................信息转移、暂存和清除..................................................................设备迁移或废弃........................................................................存储介质的清除或销毁.................................................................. 附录A规范性附录主要过程及其活动输出....................................................前言本标准的附录A是规范性附录;本标准由公安部和全国信息安全标准化技术委员会提出;本标准由全国信息安全标准化技术委员会归口;本标准起草单位：公安部信息安全等级保护评估中心;本标准主要起草人：毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥;引言依据中华人民共和国计算机信息系统安全保护条例国务院147号令、国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号、关于信息安全等级保护工作的实施意见公通字200466号和信息安全等级保护管理办法,制定本标准;本标准是信息安全等级保护相关系列标准之一;与本标准相关的系列标准包括：——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南；——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求;在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作;在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级;在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作;GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集;对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和 GB/T20271-2006等标准的要求;除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准;信息系统安全等级保护实施指南1 范围本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施;2 规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款;凡是注日期的引用文件,其随后所有的修改单不包括勘误的内容或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本;凡是不注明日期的引用文件,其最新版本适用于本标准;GB/T 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南3 术语和定义GB/T 和GB 17859-1999确立的以及下列术语和定义适用于本标准;等级测评 classified security testing and evaluation确定信息系统安全保护能力是否达到相应等级基本要求的过程;4 等级保护实施概述4.1 基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督;信息系统安全等级保护实施过程中应遵循以下基本原则：a)自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护;b)重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统;c)同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应;d)动态调整原则要跟踪信息系统的变化情况,调整安全保护措施;由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护;4.2 角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下：a)国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调;b)信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作;c)信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准；根据已经确定的安全保护等级,到公安机关办理备案手续；按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计；使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评；制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置;d)信息安全服务机构负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确e),协助信技术标准,f)4.3对信息系统实施等级保护的基本流程见图1;图1 信息系统安全等级保护实施的基本流程在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程;5 信息系统定级5.1 信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准;信息系统定级阶段的工作流程见图2;活动目标：本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统的立项、建设和管理文档;活动描述：本活动主要包括以下子活动内容：a) 识别信息系统的基本信息调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式;b) 识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体;c) 识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围;d) 识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,输入 输出 主要过程将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象;e)识别业务系统处理的信息资产了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度;f)识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等;g)信息系统描述对收集的信息进行整理、分析,形成对信息系统的总体描述文件;一个典型的信息系统的总体描述文件应包含以下内容：1 系统概述；2 系统边界描述；3 网络拓扑；4 设备部署；5 支撑的业务应用的种类和特性；6 处理的信息资产；7 用户的范围和用户类型；8 信息系统的管理框架;活动输出：信息系统总体描述文件;5.2.2 信息系统划分活动目标：本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统总体描述文件;活动描述：本活动主要包括以下子活动内容：a)划分方法的选择一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则;b)信息系统划分依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征;在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素;c)信息系统详细描述在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数;进一步的信息系统详细描述文件应包含以下内容：1 相对独立信息系统列表；2 每个定级对象的概述；3 每个定级对象的边界；4 每个定级对象的设备部署；5 每个定级对象支撑的业务应用及其处理的信息资产类型；6 每个定级对象的服务范围和用户类型；7 其他内容;活动输出：信息系统详细描述文件;5.3 安全保护等级确定5.3.1 定级、审核和批准活动目标：本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性;参与角色：信息系统主管部门,信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统总体描述文件,信息系统详细描述文件;活动描述：本活动主要包括以下子活动内容：a)信息系统安全保护等级初步确定根据国家有关管理规范和GB/T AAAA-AAAA确定的定级方法,信息系统运营、使用单位对每个定级对象确定初步的安全保护等级;b)定级结果审核和批准信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准;跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级;对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审;活动输出：信息系统定级评审意见;5.3.2 形成定级报告活动目标：本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报告;参与角色：信息系统主管部门,信息系统运营、使用单位;活动输入：信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果;活动描述：对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告;信息系统定级结果报告可以包含以下内容：a)单位信息化现状概述；b)管理模式；c)信息系统列表；d)每个信息系统的概述；e)每个信息系统的边界；f)每个信息系统的设备部署；g)每个信息系统支撑的业务应用；h)信息系统列表、安全保护等级以及保护要求组合；i)其他内容;活动输出：信息系统安全保护等级定级报告;6 总体安全规划6.1 总体安全规划阶段的工作流程总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施;对于已运营运行的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距;总体安全规划阶段的工作流程见图3;活动目标：本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求;参与角色： 信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构;活动输入： 信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求;活动描述：本活动主要包括以下子活动内容：a) 确定系统范围和分析对象明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等;初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等;b) 形成评价指标和评估方案根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标,形成评价指标;根据评价指标,结合确定的具体对象制定可以操作的评估方案,评估方案可以包含以下内容：1) 管理状况评估表格；2) 网络状况评估表格；3) 网络设备含安全设备评估表格；4) 主机设备评估表格；5) 主要设备安全测试方案；6) 重要操作的作业指导书;c) 现状与评价指标对比通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论;整理和分析不符合的评价指标,确定信输入 输出 主要过程息系统安全保护的基本需求;活动输出：基本安全需求;6.2.2 额外/特殊安全需求的确定活动目标：本活动的目标是通过对信息系统重要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分,采用需求分析/风险分析的方法,确定可能的安全风险,判断对超出等级保护基本要求部分实施特殊安全措施的必要性,提出信息系统的特殊安全保护需求;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档;活动描述：确定特殊安全需求可以采用目前成熟或流行的需求分析/风险分析方法,或者采用下面介绍的活动：a)重要资产的分析明确信息系统中的重要部件,如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等;b)重要资产安全弱点评估检查或判断上述重要部件可能存在的弱点,包括技术上和管理上的；分析安全弱点被利用的可能性;c)重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁,包括外部的威胁和内部的威胁,威胁发生的可能性或概率;d)综合风险分析分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性;按照重要资产的排序和风险的排序确定安全保护的要求;活动输出：重要资产的特殊保护要求;6.2.3 形成安全需求分析报告活动目标：本活动的目标是总结基本安全需求和特殊安全需求,形成安全需求分析报告;参与角色：信息系统运营,使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,基本安全需求,重要资产的特殊保护要求;活动描述：本活动主要包括以下子活动内容：a)完成安全需求分析报告根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告;安全需求分析报告可以包含以下内容：1)信息系统描述；2)安全管理状况；3)安全技术状况；4)存在的不足和可能的风险；5)安全需求描述;活动输出：安全需求分析报告;6.3 总体安全设计6.3.1 总体安全策略设计活动目标：本活动的目标是形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告;活动描述：本活动主要包括以下子活动内容：a)确定安全方针形成机构最高层次的安全方针文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等;b)制定安全策略形成机构高层次的安全策略文件,说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等;活动输出：总体安全策略文件;6.3.2 安全技术体系结构设计活动目标：本活动的目标是根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,提出系统需要实现的安全技术措施,形成机构特定的系统安全技术体系结构,用以指导信息系统分等级保护的具体实现;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求;活动描述：本活动主要包括以下子活动内容：a)规定骨干网/城域网的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出骨干网/城域网的安全保护策略和安全技术措施;骨干网/城域网的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况,如果不同级别的子系统通过骨干网/城域网的同一线路和设备传输数据,线路和设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求;b)规定子系统之间互联的安全技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出跨局域网互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等；提出局域网内部互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等;c)规定不同级别子系统的边界保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统边界的安全保护策略和安全技术措施;子系统边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况,如果不同级别的子系统通过同一设备进行边界保护,这个边界设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求;d)规定不同级别子系统内部系统平台和业务应用的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施;e)规定不同级别信息系统机房的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别信息系统机房的安全保护策略和安全技术措施;信息系统机房安全保护策略和安全技术措施提出时应考虑不同级别的信息系统共享机房的情况,如果不同级别的信息系统共享同一机房,机房的安全保护策略和安全技术措施应满足最高级别信息系统的等级保护基本要求;f)形成信息系统安全技术体系结构将骨干网/城域网、通过骨干网/城域网的子系统互联、局域网内部的子系统互联、子系统的边界、子系统内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成信息系统的安全技术体系结构;活动输出：信息系统安全技术体系结构;6.3.3 整体安全管理体系结构设计活动目标：本活动的目标是根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,调整原有管理模式和管理策略,既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的安全管理措施,最后形成统一的整体安全管理体系结构;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求;活动描述：本活动主要包括以下子活动内容：a)规定信息安全的组织管理体系和对各信息系统的安全管理职责。

涉密服务管理体系要求及使用指南文档下载说明Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document 涉密服务管理体系要求及使用指南can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to knowdifferent data formats and writing methods, please pay attention!涉密服务管理体系是指针对涉密信息的管理和保护而建立的一套规范和流程体系，旨在确保涉密信息的安全性、完整性和可用性。

这种体系的建立需要综合考虑信息安全的各个方面，包括技术、管理、人员和物理环境等因素。

以下是涉密服务管理体系的要求及使用指南。

涉密服务管理体系的要求。

1. 法律法规遵从。

涉密服务管理体系必须符合国家、地区以及行业相关的法律法规和标准，包括但不限于《中华人民共和国保密法》、《信息安全技术个人信息安全规范》等。

信息系统安全管理信息安全：保护信息的保密性、完整性、可用性，另外也包括其他属性，如真实性、可核查性、不可抵赖性、可靠性。

信息安全管理内容：信息安全方针与策略；组织信息安全；资产管理；人力资源安全；物理和环境安全；通信和操作安全；访问控制；信息获取、开发和保持；信息安全事件管理；业务持续性管理；符合性；信息系统：指由计算机及其相关和配套的设备、设施构成的、按照一定的应用目标和规则对信息进行存储、传输、处理的系统或网络。

信息系统安全：指信息系统及其所存储、传输、处理的信息的保密性、完整性、可用性的表征，一般包括保障计算机及其相关和配套的设备、设施的安全，运行环境安全、保障信息的安全。

信息安全管理是对一个组织机构中信息系统的生命周期全过程实施符合安全等级责任要求的管理。

管理体系：配备安全管理人员；建立安全职能部门；成立安全领导小组；主要负责人出任领导；建立信息安全保密管理部门；信息系统安全保护等级信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级，五级定义见GB/T AAAA-AAAA。

不同等级的安全保护能力不同等级的信息系统应具备的基本安全保护能力如下：第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。

第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。

第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。