等保工作流程方案.docx

1、等保工作流程方案等级化保护实施流程目 次信息系统安全等级保护三级实施流程实施的基本流程对信息系统实施等级保护的基本流程见图1。 在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。11 信息系统定级信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA，确定信

2、息系统的安全保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。信息系统定级阶段的工作流程见图2。 信息系统分析系统识别和描述活动目标：本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息进行综合分析和整理，依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。参与角色：信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统的立项、建设和管理文档。活动描述：本活动主要包括以下子活动内容：a)识别信息系统的基本信息调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况，获得信息系统的背景信息和联络方式。b)识别信

3、息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责，获得支持信息系统业务运营的管理特征和管理框架方面的信息，从而明确信息系统的安全责任主体。c)识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况，在此基础上明确信息系统的边界，即确定定级对象及其范围。d)识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量，这些业务各自的社会属性、业务内容和业务流程等，从中明确支持机构业务运营的信息系统的业务特性，将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。e)识别业务系统处

4、理的信息资产了解业务系统处理的信息资产的类型，这些信息资产在保密性、完整性和可用性等方面的重要性程度。f)识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。g)信息系统描述对收集的信息进行整理、分析，形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应包含以下内容：1) 系统概述；2) 系统边界描述；3) 网络拓扑；4) 设备部署；5) 支撑的业务应用的种类和特性；6) 处理的信息资产；7) 用户的范围和用户类型；8) 信息系统的管理框架。 活动输出： 信息系统总体描述文件。信息系统划分活动目标：本活动的目标是依据信息系统的总体

5、描述文件，在综合分析的基础上将组织机构内运行的信息系统进行合理分解，确定所包含可以作为定级对象的信息系统的个数。参与角色：信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统总体描述文件。活动描述：本活动主要包括以下子活动内容：a)划分方法的选择一个组织机构可能运行一个大型信息系统，为了突出重点保护的等级保护原则，应对大型信息系统进行划分，进行信息系统划分的方法可以有多种，可以考虑管理机构、业务类型、物理位置等因素，信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。b)信息系统划分依据选择的系统划分原则，将一个组织机构内拥有的大型信息系统进行划分，划分出相对独立的

6、信息系统并作为定级对象，应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中，应该首先考虑组织管理的要素，然后考虑业务类型、物理区域等要素。c)信息系统详细描述在对信息系统进行划分并确定定级对象后，应在信息系统总体描述文件的基础上，进一步增加信息系统划分信息的描述，准确描述一个大型信息系统中包括的定级对象的个数。进一步的信息系统详细描述文件应包含以下内容：1) 相对独立信息系统列表；2） 每个定级对象的概述；3) 每个定级对象的边界；4) 每个定级对象的设备部署；5) 每个定级对象支撑的业务应用及其处理的信息资产类型；6) 每个定级对象的服务范围和用户类型；7) 其他内容

7、。 活动输出： 信息系统详细描述文件。 安全保护等级确定定级、审核和批准活动目标：本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA，确定信息系统的安全保护等级，并对定级结果进行审核和批准，保证定级结果的准确性。参与角色：信息系统主管部门，信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统总体描述文件，信息系统详细描述文件。活动描述：本活动主要包括以下子活动内容：a)信息系统安全保护等级初步确定根据国家有关管理规范和GB/T AAAA-AAAA确定的定级方法，信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。b)定级结果审核和批准信息系统运营、使用单位初步确定

8、了安全保护等级后，有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。活动输出：信息系统定级评审意见。形成定级报告活动目标：本活动的目标是对定级过程中产生的文档进行整理，形成信息系统定级结果报告。参与角色：信息系统主管部门，信息系统运营、使用单位。活动输入：信息系统总体描述文件，信息系统详细描述文件，信息系统定级结果。活动描述：对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理，形成文件化的信息

9、系统定级结果报告。信息系统定级结果报告可以包含以下内容：a)单位信息化现状概述；b)管理模式；c)信息系统列表；d)每个信息系统的概述；e)每个信息系统的边界；f)每个信息系统的设备部署；g)每个信息系统支撑的业务应用；h)信息系统列表、安全保护等级以及保护要求组合；i)其他内容。活动输出：信息系统安全保护等级定级报告。12 总体安全规划总体安全规划阶段的工作流程总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运营

10、（运行）的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。总体安全规划阶段的工作流程见图3。安全需求分析基本安全需求的确定活动目标：本活动的目标是根据信息系统的安全保护等级，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出信息系统的基本安全保护需求。参与角色： 信息系统运营、使用单位，信息安全服务机构，信息安全等级测评机构。活动输入： 信息系统详细描述文件，信息系统安全保护等级定级报告，信息系统相关的其它文档，信息系统安全等级保护基本要求。活动描述：本活动主要包括以下子活动内容：a)确定系统范围和分析对象明确不同等级信息系统的范围

11、和边界，通过调查或查阅资料的方式，了解信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定每个等级信息系统的分析对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。b)形成评价指标和评估方案根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标，形成评价指标。根据评价指标，结合确定的具体对象制定可以操作的评估方案，评估方案可以包含以下内容：1)管理状况评估表格；2)网络状况评估表格；3)网络设备（含安全设备）评估表格；4)主机设备评估表格；5)主要设备安全测试方案；6)重要

12、操作的作业指导书。c)现状与评价指标对比通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估，判断安全技术和安全管理的各个方面与评价指标的符合程度，给出判断结论。整理和分析不符合的评价指标，确定信息系统安全保护的基本需求。活动输出： 基本安全需求。额外/特殊安全需求的确定活动目标：本活动的目标是通过对信息系统重要资产特殊保护要求的分析，确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分，采用需求分析/风险分析的方法，确定可能的安全风险，判断对超出等级保护基本要求部分实施特殊安全措施的必要性，提出信息系统的特殊安全保护需求。参

13、与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统详细描述文件，信息系统安全保护等级定级报告，信息系统相关的其它文档。活动描述： 确定特殊安全需求可以采用目前成熟或流行的需求分析/风险分析方法，或者采用下面介绍的活动：a)重要资产的分析明确信息系统中的重要部件，如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等。b)重要资产安全弱点评估检查或判断上述重要部件可能存在的弱点，包括技术上和管理上的；分析安全弱点被利用的可能性。c)重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁，包括外部的威胁和内部的威胁，威胁发生的可能性或概率。d)综合风险分析分析威胁

14、利用弱点可能产生的结果，结果产生的可能性或概率，结果造成的损害或影响的大小，以及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的要求。活动输出： 重要资产的特殊保护要求。形成安全需求分析报告活动目标：本活动的目标是总结基本安全需求和特殊安全需求，形成安全需求分析报告。参与角色： 信息系统运营，使用单位，信息安全服务机构。活动输入：信息系统详细描述文件，信息系统安全保护等级定级报告，基本安全需求，重要资产的特殊保护要求。活动描述： 本活动主要包括以下子活动内容：a)完成安全需求分析报告根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告。安全需求分析报

15、告可以包含以下内容：1)信息系统描述；2)安全管理状况；3)安全技术状况；4)存在的不足和可能的风险；5)安全需求描述。活动输出： 安全需求分析报告。总体安全设计总体安全策略设计活动目标：本活动的目标是形成机构纲领性的安全策略文件，包括确定安全方针，制定安全策略，以便结合等级保护基本要求和安全保护特殊要求，构建机构信息系统的安全技术体系结构和安全管理体系结构。参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入： 信息系统详细描述文件，信息系统安全保护等级定级报告，安全需求分析报告。活动描述： 本活动主要包括以下子活动内容：a)确定安全方针形成机构最高层次的安全方针文件，阐明安全工作

16、的使命和意愿，定义信息安全的总体目标，规定信息安全责任机构和职责，建立安全工作运行模式等。b)制定安全策略形成机构高层次的安全策略文件，说明安全工作的主要策略，包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等。活动输出： 总体安全策略文件。安全技术体系结构设计活动目标：本活动的目标是根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等，提出系统需要实现的安全技术措施，形成机构特定的系统安全技术体系结构，用以指导信息系统分等级保护的具体实现。参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统详细描述文件，信

17、息系统安全保护等级定级报告，安全需求分析报告，信息系统安全等级保护基本要求。活动描述： 本活动主要包括以下子活动内容：a)规定骨干网/城域网的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出骨干网/城域网的安全保护策略和安全技术措施。骨干网/城域网的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况，如果不同级别的子系统通过骨干网/城域网的同一线路和设备传输数据，线路和设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求。b)规定子系统之间互联的安全技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出跨局域网互联的子系统

18、之间的信息传输保护策略要求和具体的安全技术措施，包括同级互联的策略、不同级别互联的策略等；提出局域网内部互联的子系统之间的信息传输保护策略要求和具体的安全技术措施，包括同级互联的策略、不同级别互联的策略等。c)规定不同级别子系统的边界保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出不同级别子系统边界的安全保护策略和安全技术措施。子系统边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况，如果不同级别的子系统通过同一设备进行边界保护，这个边界设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求。d)规定不同级别子系统内部系统平台和业务应用的安全保护

19、技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出不同级别子系统内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。e)规定不同级别信息系统机房的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出不同级别信息系统机房的安全保护策略和安全技术措施。信息系统机房安全保护策略和安全技术措施提出时应考虑不同级别的信息系统共享机房的情况，如果不同级别的信息系统共享同一机房，机房的安全保护策略和安全技术措施应满足最高级别信息系统的等级保护基本要求。f)形成信息系统安全技术体系结构将骨干网/城域网、通过骨干网/城域网的子系统互联、局域网内部的子系统互联、子系

20、统的边界、子系统内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总，形成信息系统的安全技术体系结构。活动输出： 信息系统安全技术体系结构。整体安全管理体系结构设计活动目标：本活动的目标是根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等，调整原有管理模式和管理策略，既从全局高度考虑为每个等级信息系统制定统一的安全管理策略，又从每个信息系统的实际需求出发，选择和调整具体的安全管理措施，最后形成统一的整体安全管理体系结构。 参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统详细描述文件，信息系统安全保护等级定级报告，安全需求分析报告，信息系统

21、安全等级保护基本要求。活动描述：本活动主要包括以下子活动内容：a)规定信息安全的组织管理体系和对各信息系统的安全管理职责根据机构总体安全策略文件、等级保护基本要求和安全需求，提出机构的安全组织管理机构框架，分配各个级别信息系统的安全管理职责，规定各个级别信息系统的安全管理策略等。b)规定各等级信息系统的人员安全管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求，提出各个不同级别信息系统的管理人员框架，分配各个级别信息系统的管理人员职责，规定各个级别信息系统的人员安全管理策略等。c)规定各等级信息系统机房及办公区等物理环境的安全管理策略根据机构总体安全策略文件、等级保护基本要求和安全需

22、求，提出各个不同级别信息系统的机房和办公环境的安全策略。d)规定各等级信息系统介质、设备等的安全管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求，提出各个不同级别信息系统的介质、设备等的安全策略。e)规定各等级信息系统运行安全管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求，提出各个不同级别信息系统的安全运行与维护框架和运维安全策略等。f)规定各等级信息系统安全事件处置和应急管理策略根据机构总体安全策略文件、等级保护基本要求和安全需求，提出各个不同级别信息系统的安全事件处置和应急管理策略等。g)形成信息系统安全管理策略框架将上述各个方面的安全管理策略进行整理、汇总，形成

23、信息系统的整体安全管理体系结构。活动输出：信息系统安全管理体系结构。设计结果文档化活动目标：本活动的目标是将总体安全设计工作的结果文档化，最后形成一套指导机构信息安全工作的指导性文件。 参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入： 安全需求分析报告，信息系统安全技术体系结构，信息系统安全管理体系结构。活动描述： 对安全需求分析报告、信息系统安全技术体系结构和安全管理体系结构等文档进行整理，形成信息系统总体安全方案。信息系统总体安全方案包含以下内容：a)信息系统概述；b)总体安全策略；c)信息系统安全技术体系结构；d)信息系统安全管理体系结构。活动输出：信息系统安全总体方案。

24、安全建设项目规划安全建设目标确定活动目标：本活动的目标是依据信息系统安全总体方案（一个或多个文件构成）、机构或单位信息化建设的中长期发展规划和机构的安全建设资金状况确定各个时期的安全建设目标。参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统安全总体方案、机构或单位信息化建设的中长期发展规划。活动描述： 本活动主要包括以下子活动内容：a)信息化建设中长期发展规划和安全需求调查了解和调查单位信息化建设的现况、中长期信息化建设的目标、主管部门对信息化的投入，对比信息化建设过程中阶段状态与安全策略规划之间的差距，分析急迫和关键的安全问题，考虑可以同步进行的安全建设内容等。b)提

25、出信息系统安全建设分阶段目标制定系统在规划期内（一般安全规划期为3年）所要实现的总体安全目标；制定系统短期（1年以内）要实现的安全目标，主要解决目前急迫和关键的问题，争取在短期内安全状况有大幅度提高。活动输出： 信息系统分阶段安全建设目标。安全建设内容规划活动目标：本活动的目标是根据安全建设目标和信息系统安全总体方案的要求，设计分期分批的主要建设内容，并将建设内容组合成不同的项目，阐明项目之间的依赖或促进关系等。参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统安全总体方案，信息系统分阶段安全建设目标。活动描述：本活动主要包括以下子活动内容：a）确定主要安全建设内容根据信

26、息系统安全总体方案明确主要的安全建设内容，并将其适当的分解。主要建设内容可能分解但不限于以下内容：1)安全基础设施建设；2)网络安全建设；3)系统平台和应用平台安全建设；4)数据系统安全建设；5)安全标准体系建设；6)人才培养体系建设；7)安全管理体系建设。b）确定主要安全建设项目组合安全建设内容为不同的安全建设项目，描述项目所解决的主要安全问题及所要达到的安全目标，对项目进行支持或依赖等相关性分析，对项目进行紧迫性分析，对项目进行实施难易程度分析，对项目进行预期效果分析，描述项目的具体工作内容、建设方案，形成安全建设项目列表。活动输出： 安全建设项目列表（含安全建设内容）。形成安全建设项目计

27、划活动目标：本活动的目标是根据建设目标和建设内容，在时间和经费上对安全建设项目列表进行总体考虑，分到不同的时期和阶段，设计建设顺序，进行投资估算，形成安全建设项目计划。 参与角色： 信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统安全总体方案，信息系统分阶段安全建设目标，安全建设内容等。活动描述：对信息系统分阶段安全建设目标、安全总体方案和安全建设内容等文档进行整理，形成信息系统安全建设项目计划。安全建设项目计划可包含以下内容：a)规划建设的依据和原则；b)规划建设的目标和范围；c)信息系统安全现状；d)信息化的中长期发展规划；e)信息系统安全建设的总体框架；f)安全技术体系建设规

28、划；g)安全管理与安全保障体系建设规划；h)安全建设投资估算；i)信息系统安全建设的实施保障等内容。活动输出： 信息系统安全建设项目计划。13 安全设计与实施安全设计与实施阶段的工作流程安全设计与实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分步落实安全措施。安全设计与实施阶段的工作流程见图4。安全方案详细设计技术措施实现内容设计活动目标：本活动的目标是根据建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档。使得在信息安全产

29、品采购和安全控制开发阶段具有依据。参与角色：信息系统运营、使用单位，信息安全服务机构，信息安全产品供应商。活动输入：信息系统安全总体方案，信息系统安全建设项目计划，各类信息技术产品和信息安全产品技术白皮书。活动描述：本活动主要包括以下子活动内容：a)结构框架设计依据本次实施项目的建设内容和信息系统的实际情况，给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架，内容可能包括安全防护的层次、信息安全产品的使用、网络子系统划分、IP地址规划其他内容。b)功能要求设计对安全实现技术框架中使用到的相关信息安全产品，如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等提出功能指标要求

30、。对需要开发的安全控制组件，提出功能指标要求。c)性能要求设计对安全实现技术框架中使用到的相关信息安全产品，如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等提出性能指标要求。对需要开发的安全控制组件，提出性能指标要求。d)部署方案设计结合目前信息系统网络拓扑，以图示的方式给出安全技术实现框架的实现方式，包括信息安全产品或安全组件的部署位置、连线方式、IP地址分配等。对于需对原有网络进行调整的，给出网络调整的图示方案等。e)制定安全策略实现计划依据信息系统安全总体方案中提出的安全策略的要求，制定设计和设置信息安全产品或安全组件的安全策略实现计划。活动输出：技术措施落实方案。管理

31、措施实现内容设计活动目标：本活动的目标是根据机构当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本期安全实施内容，以保证安全技术建设的同时，安全管理的同步建设。参与角色：信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统安全总体方案，信息系统安全建设项目计划。活动描述：结合系统实际安全管理需要和本次技术建设内容，确定本次安全管理建设的范围和内容，同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑：安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。活动输出：管理措施落实方案。设计结果文档化活动目标：本活动的目标是将技术措施落实方案、管理措施落实方案汇总，同时考虑工时和费用，最后形成指导安全实施的指导性