信息安全体系实施指南.ppt

概述概述安全规划设计阶段安全规划设计阶段安全实施安全实施/ /实现阶段实现阶段安全运行管理阶段安全运行管理阶段系统终止阶段系统终止阶段信息安全标准实施指南信息安全标准实施指南概述概述 是信息系统实施等级保护的指南性文件。 作为等级保护标准体系的指引文档。 贯穿整个等级保护工作的所有阶段，规范和指导所有的安全活动。 介绍信息系统实施等级保护的方法，不同的角色在不同阶段的作用。v 实施指南的作用实施指南的作用 信息系统的主管单位； 信息系统运营、使用单位； 信息系统安全服务商； 信息安全监管机构； 安全测评机构； 安全产品供应商。v 实施指南的使用对象实施指南的使用对象概述概述v 等级保护的基本实施过程等级保护的基本实施过程重大变更重大变更局部调整局部调整系统定级系统定级安全规划设计安全规划设计安全实施安全实施/ /实现实现安全运行管理安全运行管理系统终止系统终止概述概述概述概述安全规划设计阶段安全规划设计阶段安全实施安全实施/ /实现阶段实现阶段安全运行管理阶段安全运行管理阶段系统终止阶段系统终止阶段内容简介内容简介第二阶段：安全规划设计阶段第二阶段：安全规划设计阶段v 阶段目标阶段目标v 参与角色和职责参与角色和职责v 实施流程实施流程v 阶段主要活动阶段主要活动安全规划设计安全规划设计- -阶段目标阶段目标通过安全评估和需求分析判断信息系统的安通过安全评估和需求分析判断信息系统的安全保护现状与等级保护基本要求之间的差距，确全保护现状与等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信定安全需求，然后根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况和安息系统的定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划等，以指导体安全方案，并制定出安全实施计划等，以指导后续的信息系统安全建设工程实施。后续的信息系统安全建设工程实施。安全规划设计安全规划设计- -参与角色和职责参与角色和职责v 信息系统运营、使用单位：根据已经确定的安全信息系统运营、使用单位：根据已经确定的安全等级，按照等级保护的管理规范和技术标准，进等级，按照等级保护的管理规范和技术标准，进行信息系统的安全规划设计。行信息系统的安全规划设计。 v 信息系统安全服务商：根据信息系统运营、使用信息系统安全服务商：根据信息系统运营、使用单位的委托，按照等级保护的管理规范和技术标单位的委托，按照等级保护的管理规范和技术标准，协助信息系统运营、使用单位完成信息系统准，协助信息系统运营、使用单位完成信息系统安全规划设计工作。安全规划设计工作。 安全规划设计安全规划设计- -实施流程实施流程主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动安全评估和需求分析安全评估和需求分析系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书等级保护基本要求等级保护基本要求安全评估报告安全评估报告安全需求分析报安全需求分析报告告安全总体设计安全总体设计 安全总体方案书安全总体方案书技术防护框架技术防护框架管理策略框架管理策略框架安全建设规划安全建设规划 总体安全策略总体安全策略/框框架架单位信息化的中长单位信息化的中长期规划期规划信息系统安全建信息系统安全建设方案设方案安全评估报告安全评估报告安全需求分析报告安全需求分析报告等级保护基本要求等级保护基本要求阶段主要活动阶段主要活动- 1.- 1.安全评估和需求分析安全评估和需求分析v 活动目标活动目标 通过系统调查和安全评估了解系统目前的安全现状； 评估系统已经采用的或将要采用的保护措施和等级保护安全要求之间的差距，这种差距作为系统的一种安全需求； 了解系统额外的安全需求； 明确系统的完整安全需求。v 主要参考标准主要参考标准 信息系统安全等级保护基本要求 信息系统安全等级保护测评准则 信息系统安全通用技术要求 信息安全风险评估指南阶段主要活动阶段主要活动- 1.- 1.安全评估和需求分析安全评估和需求分析v 主要活动过程主要活动过程 评估对象和评估方法的明确； 评估指标体系的选择和确定； 系统现状与评估指标的对比； 特殊安全要求的确定。阶段主要活动阶段主要活动- 1.- 1.安全评估和需求分析安全评估和需求分析v 评估对象和评估方法的明确评估对象和评估方法的明确确定评估范围确定评估范围 获得信息系统的信息获得信息系统的信息 确定具体的评估对象确定具体的评估对象 确定评估工作的方法确定评估工作的方法 制定评估工作计划制定评估工作计划 系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书用户文档用户文档输入输入输出输出过程的工作内容过程的工作内容评估工作方案评估工作方案阶段主要活动阶段主要活动- 1.- 1.安全评估和需求分析安全评估和需求分析v 评估指标体系的选择和确定评估指标体系的选择和确定选择基本评估指标选择基本评估指标 评估对象威胁分析评估对象威胁分析系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书等级保护基本要求等级保护基本要求评估工作方案评估工作方案输入输入输出输出过程的工作内容过程的工作内容安全评估方案安全评估方案落实评估对象的评估指标落实评估对象的评估指标制定评估方案制定评估方案阶段主要活动阶段主要活动- 1.- 1.安全评估和需求分析安全评估和需求分析v 安全现状与评估指标对比安全现状与评估指标对比管理指标符合性评估管理指标符合性评估 技术指标符合性测评技术指标符合性测评系统详细描述文件系统详细描述文件评估工作方案评估工作方案安全评估方案安全评估方案输入输入输出输出过程的工作内容过程的工作内容符合性评估结果符合性评估结果v 重要资产特殊安全要求的确定重要资产特殊安全要求的确定重要资产分析重要资产分析 重要资产弱点评估重要资产弱点评估系统详细描述文件系统详细描述文件评估结果记录评估结果记录用户需求文档用户需求文档输入输入输出输出过程的工作内容过程的工作内容风险评估结果风险评估结果特殊安全要求特殊安全要求重要资产威胁评估重要资产威胁评估重要资产风险评估重要资产风险评估阶段主要活动阶段主要活动- 1.- 1.安全评估和需求分析安全评估和需求分析阶段主要活动阶段主要活动- 2.- 2.安全总体设计安全总体设计v 活动目标活动目标 根据等级保护基本安全要求和系统的特殊要求，从被评估单位全局考虑设计系统的整体安全框架； 提出各信息系统在总体方面的策略要求、应实现的安全技术措施和安全管理措施等； 形成用于指导系统进行安全建设的安全总体方案。v 主要参考标准主要参考标准 信息系统安全等级保护基本要求 信息系统安全通用技术要求 操作系统安全技术要求 数据库管理系统安全技术要求 信息系统等级保护安全设计技术要求阶段主要活动阶段主要活动- 2.- 2.安全总体设计安全总体设计v 主要活动过程主要活动过程 系统等级化模型处理 总体安全策略设计 各级系统安全技术措施设计 单位整体安全管理策略设计 设计结果文档化阶段主要活动阶段主要活动- 2.- 2.安全总体设计安全总体设计v 系统等级化模型处理系统等级化模型处理信息系统构成抽象处理信息系统构成抽象处理骨干网抽象处理骨干网抽象处理系统详细描述文件系统详细描述文件符合性评估结果符合性评估结果风险评估结果风险评估结果特殊安全要求特殊安全要求输入输入输出输出过程的工作内容过程的工作内容信息系统等级信息系统等级化抽象模型化抽象模型安全域抽象处理安全域抽象处理局域网局域网/边界抽象处理边界抽象处理形成信息系统抽象模型形成信息系统抽象模型阶段主要活动阶段主要活动- 2.- 2.安全总体设计安全总体设计v 总体安全策略设计总体安全策略设计制定安全方针制定安全方针规定安全策略规定安全策略系统详细描述文件系统详细描述文件安全需求分析报告安全需求分析报告信息系统等级化抽信息系统等级化抽象模型象模型输入输入输出输出过程的工作内容过程的工作内容总体安全策略总体安全策略等级保护模型等级保护模型建立等级化保护模型建立等级化保护模型阶段主要活动阶段主要活动- 2.- 2.安全总体设计安全总体设计v 各级系统安全技术措施设计各级系统安全技术措施设计骨干网等级保护措施骨干网等级保护措施安全域等级保护措施安全域等级保护措施安全需求分析报告安全需求分析报告信息系统等级保护信息系统等级保护模型模型等级保护基本要求等级保护基本要求特殊安全要求特殊安全要求输入输入输出输出过程的工作内容过程的工作内容信息系统技术信息系统技术防护框架防护框架等级系统边界防护策略等级系统边界防护策略主机系统主机系统/应用等级保护措施应用等级保护措施机房等物理安全保护措施机房等物理安全保护措施阶段主要活动阶段主要活动- 2.- 2.安全总体设计安全总体设计v 单位整体安全管理策略设计单位整体安全管理策略设计规定安全管理职责规定安全管理职责规定安全管理策略规定安全管理策略安全需求分析报告安全需求分析报告信息系统等级保护信息系统等级保护模型模型等级保护基本要求等级保护基本要求特殊安全要求特殊安全要求输入输入输出输出过程的工作内容过程的工作内容信息系统安全信息系统安全管理策略框架管理策略框架给定介质给定介质/设备管理策略设备管理策略规定运行安全管理策略规定运行安全管理策略规定安全事件处置和应急管理策略规定安全事件处置和应急管理策略阶段主要活动阶段主要活动- 2.- 2.安全总体设计安全总体设计v 设计结果文档化设计结果文档化编制安全总体方案书编制安全总体方案书安全需求分析报告安全需求分析报告等级保护模型等级保护模型技术防护框架技术防护框架管理策略框架管理策略框架输入输入输出输出过程的工作内容过程的工作内容安全总体方案安全总体方案书书安全规划设计安全规划设计- 3.- 3.安全建设规划安全建设规划v 活动目标活动目标 将信息系统安全总体方案书规定的内容落实到安全建设项目中； 通过对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析，确定实施的先后顺序。v 主要参考标准主要参考标准 信息系统安全等级保护基本要求 信息系统安全通用技术要求 操作系统安全技术要求 数据库管理系统安全技术要求 信息系统等级保护安全设计技术要求安全规划设计安全规划设计- 3.- 3.安全建设规划安全建设规划v 主要活动过程主要活动过程 确定安全建设目标 规划安全建设内容 设计安全建设方案阶段主要活动阶段主要活动- 3.- 3.安全建设规划安全建设规划v 确定安全建设目标确定安全建设目标收集规划文档收集规划文档调研相关安全需求调研相关安全需求安全总体方案书安全总体方案书单位信息化建设单位信息化建设中长期发展规划中长期发展规划输入输入输出输出过程的工作内容过程的工作内容分阶段建设目分阶段建设目标标调研建设资金准备状况调研建设资金准备状况阶段主要活动阶段主要活动- 3.- 3.安全建设规划安全建设规划v 规划安全建设内容规划安全建设内容确定主要建设内容确定主要建设内容分类形成建设项目分类形成建设项目安全总体方案书安全总体方案书分阶段安全建设分阶段安全建设目标目标输入输入输出输出过程的工作内容过程的工作内容具体安全建设具体安全建设内容内容阶段主要活动阶段主要活动- 3.- 3.安全建设规划安全建设规划v 设计安全建设方案设计安全建设方案设计建设顺序设计建设顺序安全总体方案书安全总体方案书分阶段安全建设分阶段安全建设目标目标安全建设内容安全建设内容输入输入输出输出过程的工作内容过程的工作内容系统安全建设系统安全建设方案方案估算各项目投资估算各项目投资编制文档编制文档概述概述安全规划设计阶段安全规划设计阶段安全实施安全实施/ /实现阶段实现阶段安全运行管理阶段安全运行管理阶段系统终止阶段系统终止阶段内容简介内容简介第三阶段：安全实施第三阶段：安全实施/ /实现阶段实现阶段v 阶段目标阶段目标v 参与角色和职责参与角色和职责v 实施流程实施流程v 阶段主要活动阶段主要活动安全实施安全实施/ /实现实现- -阶段目标阶段目标安全实施安