等级保护实施指南PPT资料.pptx
- 文档编号:13082966
- 上传时间:2022-10-04
- 格式:PPTX
- 页数:97
- 大小:1.23MB
等级保护实施指南PPT资料.pptx
《等级保护实施指南PPT资料.pptx》由会员分享,可在线阅读,更多相关《等级保护实施指南PPT资料.pptx(97页珍藏版)》请在冰豆网上搜索。
附录A为主要过程的输出列表。
实施指南的基本结构,信息系统定级阶段总体安全规划阶段安全设计与实施阶段安全运行与维护阶段信息系统终止阶段,等级保护的主要实施阶段,等级保护实施概述,基本原则角色和职责实施的基本流程,自主保护原则重点保护原则同步建设原则动态调整原则,4.1基本原则,国家管理部门信息系统主管部门信息系统运营、使用单位信息安全服务机构信息安全等级测评机构信息安全产品供应商,4.2角色和职责,4.3实施的基本流程,信息系统定级,工作流程信息系统分析安全保护等级确定,5.1信息系统定级阶段的工作流程,系统识别和描述信息系统划分,5.2信息系统分析,定级、审核和批准形成定级报告,5.3安全保护等级确定,总体安全规划,工作流程安全需求分析总体安全设计安全建设项目规划,6.1总体规划阶段工作流程,基本安全需求分析额外/特殊安全需求的确定形成安全需求分析报告,6.2安全需求分析,活动目标根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。
活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求。
基本安全需求确定,活动描述确定系统范围和分析对象形成评价指标和评估方案现状与评价指标对比活动输出基本安全需求,基本安全需求确定,活动目标通过对信息系统重要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分,采用需求分析/风险分析的方法,确定可能的安全风险,判断对超出等级保护基本要求部分实施特殊安全措施的必要性,提出信息系统的特殊安全保护需求。
活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档。
额外/特殊安全需求,活动描述重要资产的分析重要资产安全弱点评估重要资产面临威胁评估综合风险分析活动输出重要资产的特殊保护要求,额外/特殊安全需求,活动目标总结基本安全需求和特殊安全需求,形成安全需求分析报告。
活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,基本安全需求,重要资产的特殊保护要求。
形成安全需求分析报告,活动描述完成安全需求分析报告信息系统描述安全管理状况安全技术状况存在的不足和可能的风险安全需求描述活动输出安全需求分析报告,形成安全需求分析报告,总体安全策略设计安全技术体系结构设计整体安全管理体系结构设计设计结果文档化,6.3总体安全设计,活动目标形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构。
活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告。
总体安全策略设计,活动描述确定安全方针制定安全策略活动输出总体安全策略文件,总体安全策略设计,活动目标根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,提出系统需要实现的安全技术措施,形成机构特定的系统安全技术体系结构,用以指导信息系统分等级保护的具体实现。
活动输入信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求。
安全技术体系结构设计,活动描述规定骨干网/城域网的安全保护技术措施规定子系统之间互联的安全技术措施规定不同级别子系统的边界保护技术措施规定不同级别子系统内部系统平台和业务应用的,安全保护技术措施规定不同级别信息系统机房的安全保护技术措施形成信息系统安全技术体系结构,活动输出信息系统安全技术体系结构。
安全技术体系结构设计,活动目标根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,调整原有管理模式和管理策略,既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的安全管理措施,最后形成统一的整体安全管理体系结构。
整体安全管理体系结构设计,活动描述规定信息安全的组织管理体系和对各信息系统的,安全管理职责规定各等级信息系统的人员安全管理策略,规定各等级信息系统机房及办公区等物理环境的,安全管理策略规定各等级信息系统介质、设备的安全管理策略规定各等级信息系统运行安全管理策略,规定各等级信息系统安全事件处置和应急管理策略形成信息系统安全管理策略框架活动输出信息系统安全管理体系结构。
整体安全管理体系结构设计,活动目标将总体安全设计工作的结果文档化,最后形成一套指导机构信息安全工作的指导性文件。
活动输入安全需求分析报告,信息系统安全技术体系结构,信息系统安全管理体系结构。
设计结果文档化,活动描述对安全需求分析报告、信息系统安全技术体系结构和安全管理体系结构等文档进行整理,形成信息系统总体安全方案。
总体方案包含如下内容:
信息系统概述;
总体安全策略;
信息系统安全技术体系结构;
信息系统安全管理体系结构。
活动输出信息系统安全总体方案,设计结果文档化,安全建设目标确定安全建设内容规划安全建设项目计划,6.4安全建设项目规划,活动目标依据信息系统安全总体方案(一个或多个文件构成)、机构或单位信息化建设的中长期发展规划和机构的安全建设资金状况确定各个时期的安全建设目标。
活动输入信息系统安全总体方案、机构或单位信息化建设的中长期发展规划。
安全建设目标确定,活动描述信息化建设中长期发展规划和安全需求调查提出信息系统安全建设分阶段目标活动输出信息系统分阶段安全建设目标,安全建设目标确定,活动目标根据安全建设目标和信息系统安全总体方案的要求,设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。
活动输入信息系统安全总体方案,信息系统分阶段安全建设目标。
安全建设内容规划,活动描述确定主要安全建设内容确定主要安全建设项目活动输出安全建设项目列表(含安全建设内容),安全建设内容规划,活动目标根据建设目标和建设内容,在时间和经费上对安全建设项目列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划。
活动输入信息系统安全总体方案,信息系统分阶段安全建设目标,安全建设内容等。
形成安全建设项目计划,活动描述规划建设的依据和原则规划建设的目标和范围信息系统安全现状信息化的中长期发展规划信息系统安全建设的总体框架安全技术体系建设规划安全管理与安全保障体系建设规划安全建设投资估算信息系统安全建设的实施保障等内容活动输出信息系统安全建设项目计划,形成安全建设项目计划,安全设计与实施,工作流程安全方案详细设计管理措施实现技术措施实现,7.1安全设计与实施阶段工作流程,技术措施实现内容设计管理措施实现内容设计设计结果文档化,7.2安全方案详细设计,活动目标根据建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。
使得在信息安全产品采购和安全控制开发阶段具有依据。
活动输入信息系统安全总体方案,信息系统安全建设项目计划,各类信息技术产品和信息安全产品技术白皮书。
技术措施实现内容设计,活动描述结构框架设计功能要求设计性能要求设计部署方案设计制定安全策略实现计划活动输出技术措施落实方案,技术措施实现内容设计,活动目标:
根据机构当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设。
活动输入信息系统安全总体方案,信息系统安全建设项目计划。
管理措施实现内容设计,活动描述:
结合系统实际安全管理需要和本次技术建设内容,确定本次安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。
安全管理设计的内容主要考虑:
安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。
活动输出管理措施落实方案。
管理措施实现内容设计,活动目标:
将技术措施落实方案、管理措施落实方案汇总,同时考虑工时和费用,最后形成指导安全实施的指导性文件。
活动输入技术措施落实方案,管理措施落实方案。
设计结果文档化,活动描述:
本期建设目标和建设内容技术实现框架信息安全产品或组件功能及性能信息安全产品或组件部署安全策略和配置配套的安全管理建设内容工程实施计划项目投资概算活动输出安全详细设计方案。
设计结果文档化,管理机构和人员设置管理制度建设和修订人员安全技能培训安全实施过程管理,7.3管理措施实现,活动目标本活动的目标是建立配套的安全管理职能部门,通过管理机构的岗位设置、人员的分工以及各种资源的配备,为信息系统的安全管理提供组织上的保障。
活动输入机构现有相关管理制度和政策,安全详细设计方案。
管理机构和人员的设置,活动描述安全组织确定角色说明活动输出机构、角色与职责说明书,管理机构和人员的设置,活动目标本活动的目标是建设或修订与信息系统安全管理相配套的、包括所有信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范和操作规程。
活动输入安全组织结构表,安全成员及角色说明书,安全详细设计方案。
管理制度的建设和修订,活动描述应用范围明确人员职责定义行为规范规定评估与完善活动输出各项管理制度和操作规范,管理制度的建设和修订,活动目标对人员的职责、素质、技能等方面进行培训,保证人员具有与其岗位职责相适应的技术能力和管理能力,以减少人为因素给系统带来的安全风险活动输入系统/产品使用说明书,各项管理制度和操作规范活动描述针对普通员工、管理员、开发人员、主管人员以及安全人员的特定技能培训和安全意识培训,培训后进行考核,合格者发给上岗资格证书等。
活动输出培训记录及上岗资格证书等。
人员安全技能培训,活动目标本活动的目标是在系统定级、规划设计、实施过程中,对工程的质量、进度、文档和变更等方面的工作进行监督控制和科学管理。
活动输入安全设计与实施阶段参与各方相关进度控制和质量监督要求文档。
安全实施过程管理,活动描述质量管理风险管理变更管理进度管理文档管理活动输出各阶段管理过程文档,安全实施过程管理,信息安全产品采购安全控制开发安全控制集成系统验收,7.4技术措施实现,活动目标本活动的目标是按照安全详细设计方案中对于产品的具体指标要求进行产品采购,根据产品或产品组合实现的功能满足安全设计要求的情况来选购所需的信息安全产品。
活动输入安全详细设计方案,相关产品信息。
信息安全产品采购,活动描述制定产品采购说明书产品选择活动输出需采购信息安全产品清单。
信息安全产品采购,活动目标本活动的目标是对于一些不能通过采购现有信
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 实施 指南