信息系统安全等级保护实施指南介绍

1、,信息系统安全等级保护 实施指南介绍,目录,概述 等级保护的实施过程 系统定级阶段 安全规划设计阶段 安全实施/实现阶段 安全运行管理阶段 系统中止阶段,概述,背景 实施指南的作用 实施指南的使用对象 与风险管理之间的关系,概述-背景,1994年， 中华人民共和国计算机信息系统安全保护条例的发布 1999年，计算机信息系统安全保护等级划分准则 GB17859-1999发布 2003年，中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见(27号文) 2004年，四部委联合签发了关于信息安全等级保护工作的实施意见 (66号文),概述-背景（续）,在“66号文”的职责分工和

2、工作要求中指出： 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准，确定其信息和信息系统的安全保护等级 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工 信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对应的管理规范和技术标准的要求，定期进行安全状况检测评估 国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求，对信息和信息系统的安全等级保护状况进行监督检查,概述-背景（续）,管理规范和技术标准的作用,主管部门,监督检查,信息安全监 管职能部门,系统定级,安全保护

3、,检测评估,运营使用单位,安全服务商 安全评估机构,技术标准,管理规范,概述-背景（续）,主要的管理规范和技术标准 管理规范 信息安全等级保护管理办法 技术标准 信息系统安全等级保护实施指南 信息系统安全保护等级定级指南 信息系统安全等级保护基本要求 信息系统安全等级保护测评准则 信息系统安全等级保护监督检查指南,概述-实施指南的作用,是信息系统实施等级保护的指南性文件。 作为等级保护标准体系的指引文档。 贯穿整个等级保护工作的所有阶段，规范和指导所有的安全活动。 介绍信息系统实施等级保护的方法，不同的角色在不同阶段的作用。,概述-实施指南的使用对象,本指南的使用对象是： 信息系统的主管单位；

4、 信息系统运营、使用单位； 信息系统安全服务商； 信息安全监管机构； 安全测评机构； 安全产品供应商 。,概述-与风险管理之间的关系,相同点 都是对活动过程的管理； 都阐明了对信息系统整个生命周期的管理。 不同点 风险管理方法以“风险”控制为核心，描述了风险管理的主要活动过程； 信息系统实施等级保护的思路是首先根据信息系统定级方法对信息系统进行定级，根据安全级别确定基本安全保护措施，通过风险分析补充其它需要的安全措施，构成等级保护安全设计方案，并依据方案进行安全工程实施。,概述-与风险管理之间的关系（续）,二者之间关系 在对信息系统实施等级保护的过程中，风险管理是一种辅助手段。等级保护的相关标

5、准对不同级别的信息系统提出了基本保护要求，基本保护要求是系统安全建设的基础，但是不同的信息系统由于其本身的特性，除基本保护要求外，可以通过风险管理中风险分析的方法选择需要补充的安全措施，从而使得系统的等级保护更加个性化。,等级保护的基本实施过程,基本实施过程 与信息系统生命周期之间的关系 重要概念,等级保护的基本实施过程,重大变更,局部调整,系统定级,安全规划设计,安全实施/实现,安全运行管理,系统终止,与信息系统生命周期之间的关系,新建信息系统,新建信息系统等级保护实施过程,信息系统生命周期,与信息系统生命周期之间的关系,已建信息系统 已经存在的信息系统，通常处于系统运行维护阶段; 安全等级

6、保护实施过程中的系统定级阶段、安全规划设计阶段、安全实施/实现阶段和系统终止等的主要活动都将在信息系统生命周期的系统运行维护阶段完成。,主要阶段和主要活动,重要概念,阶段主要活动,主要活动过程,阶段,工作内容,过程目标,输入,输出,活动目标,阶段目标,参与角色,主要工作内容,主要活动过程,实施流程/主要活动,主要参考标准,实施等级保护的主要阶段,第一阶段：系统定级 第二阶段：安全规划设计 第三阶段：安全实施/实现 第四阶段：安全运行管理 第五阶段：系统终止,第一阶段:系统定级,定级方法 参与角色和职责 实施流程 阶段主要活动,系统定级阶段-定级方法,第一种方法：根据经验直接定级 第二种方法：按

7、照标准定级 第三种方法：制定方法自行定级 如采用第二种定级方法则可以参考实施指南系统定级阶段相关活动内容。,系统定级阶段-参与角色和职责,信息系统运营、使用单位：负责选择定级方法确定其信息系统的安全等级，并报其主管部门审批同意；对安全等级在三级以上的信息系统，报送本地区地市级公安机关备案。 信息系统主管部门：对下属单位确定的信息系统安全等级进行审批。 信息系统安全服务商：协助信息系统运营、使用单位完成与信息系统定级相关的工作。,系统定级阶段-实施流程,主要输入,主要输出,阶段主要活动,子系统识别和描述,系统立项文档 系统建设文档 系统管理文档,系统详细描述文件,系统识别与划分,系统总体描述文件

8、,系统总体描述文件,安全等级确定,系统总体描述文件 系统详细描述文件,系统安全保护等级定级建议书,系统定级阶段-系统识别和划分,过程目标 收集有关信息系统的信息； 在对信息进行综合分析的基础上将组织机构内运行的信息系统合理地分解成若干个信息系统； 针对目标信息系统，形成信息系统的总体描述性文档。 输入 信息系统的立项、建设、管理文档,系统定级阶段-系统识别和划分(续),输出 信息系统总体描述文件 主要工作内容 识别单位的基本信息 识别信息系统的管理框架 识别信息系统的网络边界及设备部署 识别信息系统的业务种类和特性 识别用户范围和用户类型 划分方法的选择 形成信息系统总体描述文档,系统定级阶段

9、-系统识别和划分(续),信息系统划分方法 从组织管理角度划分 从业务类型角度划分 从物理区域或运行环境角度划分,系统定级阶段-业务子系统识别和描述,过程目标 如果某一个信息系统中包含多个业务子系统，识别出主要的业务子系统； 对主要业务子系统的安全属性进行识别和描述。 输入 信息系统详细描述文件,系统定级阶段-业务子系统识别和描述,输出 信息系统详细描述文件 主要工作内容 识别各业务子系统处理的信息类型 识别各业务子系统的服务范围 识别各项业务对系统的依赖程度 形成信息系统和业务子系统的详细描述文档,系统定级阶段-安全等级确定,过程目标 依据信息系统安全保护等级定级指南确定每个业务子系统的安全保

10、护等级； 由所包括的各业务子系统的最高等级决定信息系统的安全保护等级； 对定级过程文档进行整理，形成文件化的信息系统定级建议书。 输入 信息系统总体描述文件 信息系统详细描述文件,系统定级阶段-安全等级确定,输出 信息系统安全保护等级定级建议书 主要工作内容 各业务子系统安全保护等级确定 信息系统安全保护等级确定 安全保护等级的调整 定级结果文档化,第二阶段：安全规划设计阶段,阶段目标 参与角色和职责 实施流程 阶段主要活动,安全规划设计-阶段目标,通过安全评估和需求分析判断信息系统的安全保护现状与等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统的定级情况、信息系

11、统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划等，以指导后续的信息系统安全建设工程实施。,安全规划设计-参与角色和职责,信息系统运营、使用单位：根据已经确定的安全等级，按照等级保护的管理规范和技术标准，进行信息系统的安全规划设计。 信息系统安全服务商：根据信息系统运营、使用单位的委托，按照等级保护的管理规范和技术标准，协助信息系统运营、使用单位完成信息系统安全规划设计工作。,安全规划设计-实施流程,主要输入,主要输出,阶段主要活动,安全评估和需求分析,系统详细描述文件 系统定级建议书 等级保护基本要求,安全评估报告 安全需求分析报告,安全总体设计,

12、安全总体方案书 技术防护框架 管理策略框架,安全建设规划,总体安全策略/框架 单位信息化的中长期规划,信息系统安全建设 方案,安全评估报告 安全需求分析报告 等级保护基本要求,阶段主要活动- 1.安全评估和需求分析,活动目标 通过系统调查和安全评估了解系统目前的安全现状； 评估系统已经采用的或将要采用的保护措施和等级保护安全要求之间的差距，这种差距作为系统的一种安全需求； 了解系统额外的安全需求； 明确系统的完整安全需求。 主要参考标准 信息系统安全等级保护基本要求 信息系统安全等级保护测评准则 GB/T xxxxx-2006 信息系统安全通用技术要求 信息安全风险评估指南,阶段主要活动- 1

13、.安全评估和需求分析,主要活动过程 评估对象和评估方法的明确； 评估指标体系的选择和确定； 系统现状与评估指标的对比； 特殊安全要求的确定。,阶段主要活动- 1.安全评估和需求分析,评估对象和评估方法的明确,确定评估范围,获得信息系统的信息,确定具体的评估对象,确定评估工作的方法,制定评估工作计划,系统详细描述文件 系统定级建议书 用户文档,输入,输出,过程的工作内容,评估工作方案,阶段主要活动- 1.安全评估和需求分析,评估指标体系的选择和确定,选择基本评估指标,评估对象威胁分析,系统详细描述文件 系统定级建议书 等级保护基本要求 评估工作方案,输入,输出,过程的工作内容,安全评估方案,落实

14、评估对象的评估指标,制定评估方案,阶段主要活动- 1.安全评估和需求分析,安全现状与评估指标对比,管理指标符合性评估,技术指标符合性测评,系统详细描述文件 评估工作方案 安全评估方案,输入,输出,过程的工作内容,符合性评估结果,重要资产特殊安全要求的确定,重要资产分析,重要资产弱点评估,系统详细描述文件 评估结果记录 用户需求文档,输入,输出,过程的工作内容,风险评估结果 特殊安全要求,重要资产威胁评估,重要资产风险评估,阶段主要活动- 1.安全评估和需求分析,阶段主要活动- 2.安全总体设计,活动目标 根据等级保护基本安全要求和系统的特殊要求，从被评估单位全局考虑设计系统的整体安全框架； 提

15、出各信息系统在总体方面的策略要求、应实现的安全技术措施和安全管理措施等； 形成用于指导系统进行安全建设的安全总体方案。 主要参考标准 信息系统安全等级保护基本要求 GB/T xxxxx-2006 信息系统安全通用技术要求 GB/T xxxxx-2006 操作系统安全技术要求 GB/T xxxxx-2006 数据库管理系统安全技术要求 GB/T 19716-2005 信息安全管理实用规则 IATF3.0 信息保障技术框架,阶段主要活动- 2.安全总体设计,主要活动过程 系统等级化模型处理 总体安全策略设计 各级系统安全技术措施设计 单位整体安全管理策略设计 设计结果文档化,阶段主要活动- 2.安

16、全总体设计,系统等级化模型处理,信息系统构成抽象处理,骨干网抽象处理,系统详细描述文件 符合性评估结果 风险评估结果 特殊安全要求,输入,输出,过程的工作内容,信息系统等级化抽象模型,安全域抽象处理,局域网/边界抽象处理,形成信息系统抽象模型,阶段主要活动- 2.安全总体设计,总体安全策略设计,制定安全方针,规定安全策略,系统详细描述文件 安全需求分析报告 信息系统等级化抽象模型,输入,输出,过程的工作内容,总体安全策略 等级保护模型,建立等级化保护模型,阶段主要活动- 2.安全总体设计,各级系统安全技术措施设计,骨干网等级保护措施,安全域等级保护措施,安全需求分析报告 信息系统等级保护模型

17、等级保护基本要求 特殊安全要求,输入,输出,过程的工作内容,信息系统技术防护框架,等级系统边界防护策略,主机系统/应用等级保护措施,机房等物理安全保护措施,阶段主要活动- 2.安全总体设计,单位整体安全管理策略设计,规定安全管理职责,规定安全管理策略,安全需求分析报告 信息系统等级保护模型 等级保护基本要求 特殊安全要求,输入,输出,过程的工作内容,信息系统安全管理策略框架,给定介质/设备管理策略,规定运行安全管理策略,规定安全事件处置和应急管理策略,阶段主要活动- 2.安全总体设计,设计结果文档化,编制安全总体方案书,安全需求分析报告 等级保护模型 技术防护框架 管理策略框架,输入,输出,过

18、程的工作内容,安全总体方案书,安全规划设计- 3.安全建设规划,活动目标 将信息系统安全总体方案书规定的内容落实到安全建设项目中； 通过对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析，确定实施的先后顺序。 主要参考标准 信息系统安全等级保护基本要求 GB/T xxxxx-2006 等级保护系列安全产品技术要求 GB/T xxxxx-2006 操作系统安全技术要求 GB/T xxxxx-2006 数据库管理系统安全技术要求,安全规划设计- 3.安全建设规划,主要活动过程 安全建设目标确定 安全建设内容规划 安全建设方案设计,阶段主要活动- 3.安全建设规划,安全建设目标确定,收集规

19、划文档,调研相关安全需求,安全总体方案书 单位信息化建设中长期发展规划,输入,输出,过程的工作内容,分阶段建设目标,调研建设资金准备状况,阶段主要活动- 3.安全建设规划,安全建设内容规划,确定主要建设内容,分类形成建设项目,安全总体方案书 分阶段安全建设目标,输入,输出,过程的工作内容,具体安全建设内容,阶段主要活动- 3.安全建设规划,安全建设方案设计,设计建设顺序,安全总体方案书 分阶段安全建设目标 安全建设内容,输入,输出,过程的工作内容,系统安全建设方案,估算各项目投资,编制文档,第三阶段：安全实施/实现阶段,阶段目标 参与角色和职责 实施流程 阶段主要活动,安全实施/实现-阶段目标

20、,安全实施/实现的目标是按照信息系统安全总体方案书的总体要求，结合信息系统安全建设方案，分期分步落实安全措施。,安全实施/实现-参与角色和职责,主管部门：审批下属单位制定的文件 运营、使用单位：按照等级保护的管理规范和技术标准，进行信息系统的安全建设。 安全服务商：根据信息系统运营、使用单位的委托，协助信息系统运营、使用单位完成信息系统安全建设施工。 安全产品供应商：按照等级保护的管理规范和技术标准，开发符合安全等级保护要求的安全产品 安全测评机构：按照等级保护的管理规范和技术标准，对已经完成安全等级保护建设的信息系统进行检查评估；对安全产品供应商提供的安全产品进行检查评估。,安全实施/实现阶

21、段-实施流程,主要输入,主要输出,阶段主要活动,安全详细方案设计,安全总体方案书 系统安全建设方案 安全产品技术白皮书,安全详细设计方案,安全技术实施,安全测评报告,等级化安全测评,安全详细设计方案,系统定级建议书 系统验收报告,系统验收报告,安全管理实施,安全详细设计方案,角色与职责说明书 管理制度/操作规范,阶段主要活动- 1.安全详细方案设计,活动目标 依据信息系统安全建设方案，提出本期实施项目的具体实施方案，包括安全技术实施内容、安全管理实施内容、项目实施计划以及项目经费投入等，以便进行本次项目的实施。,阶段主要活动- 1.安全详细方案设计,主要参考标准 GB 17859-1999 计

22、算机信息系统安全保护等级划分准则 信息系统安全等级保护基本要求 GB/T 19716-2005 信息安全管理实用规则 GB/T xxxxx-2006 信息系统安全通用技术要求 GB/T xxxxx-2006 等级保护系列安全产品技术要求 GB/T xxxxx-2006 操作系统安全技术要求 GB/T xxxxx-2006 数据库管理系统安全技术要求,阶段主要活动- 1.安全详细方案设计,主要活动过程 安全技术实施内容设计 安全管理实施内容设计 设计结果文档化,阶段主要活动- 1.安全详细方案设计,安全技术实施内容设计,设计结构框架,设计功能要求,安全总体方案书 安全建设方案 安全产品技术白皮书

23、,输入,输出,过程的工作内容,安全技术实施方案,设计性能指标,设计部署方案,制定安全策略实现计划,阶段主要活动- 1.安全详细方案设计,安全管理实施内容设计,设置安全管理机构,配备安全管理人员,安全总体方案书 安全建设方案,输入,输出,过程的工作内容,安全管理实施方案,制定安全管理制度,培训安全管理技能,阶段主要活动- 1.安全详细方案设计,安全技术实施内容设计,设置安全管理机构,配备安全管理人员,安全总体方案书 安全建设方案,输入,输出,过程的工作内容,安全管理实施方案,制定安全管理制度,培训安全管理技能,阶段主要活动- 1.安全详细方案设计,设计结果文档化,实施内容汇总,编制文档,安全技术

24、实施方案 安全管理实施方案,输入,输出,过程的工作内容,安全详细设计方案,阶段主要活动- 2. 安全管理实施,活动目标 建立与信息系统安全技术和安全运行相适应的安全管理机制； 在本期安全详细设计方案的指导下，建立配套的安全管理机构和人员； 建立配套的安全管理制度和操作规程，进行人员的安全技能培训等； 保证本期安全实施完成后，安全运行管理有配套的机制。 主要参考标准 信息系统安全等级保护基本要求 GB/T 19715.2-2005 IT安全管理指南 GB/T 19716-2005 信息安全管理实用规则,阶段主要活动- 2. 安全管理实施,主要活动内容 管理机构和人员的设置 管理制度的建设和修订

25、人员安全技能培训 安全实施过程管理,阶段主要活动- 2. 安全管理实施,管理机构和人员设置,识别安全管理组织成员,识别安全管理角色,现有管理制度和政策文件 安全详细设计方案,输入,输出,过程的工作内容,机构/角色职责说明文件,规定各机构和角色职责,阶段主要活动- 2. 安全管理实施,管理制度的建设和修订,确定制度的应用范围,确定部门、人员职责,现有管理制度和政策文件 安全组织结构表 机构/角色职责说明文件,输入,输出,过程的工作内容,各项管理制度和操作规范,评估并完善现有制度,阶段主要活动- 2. 安全管理实施,人员安全技能培训,培训特定岗位技能,培训安全意识,岗位职责说明系统/产品使用手册

26、各项管理制度和操作规程,输入,输出,过程的工作内容,培训记录 上岗资格证书,考核,颁发上岗资格证书,阶段主要活动- 2. 安全管理实施,安全实施过程管理,质量管理,进度管理,信息系统等级保护建设的各阶段文档,输入,输出,过程的工作内容,各阶段过程管理控制记录,文档管理/版本控制,变更管理,风险管理,阶段主要活动- 3. 安全技术实施,活动目标 保证按照安全详细设计方案实现各项安全技术措施，并确保安全技术措施的有效性。 主要参考标准 信息系统安全等级保护基本要求 GB/T 19715.2-2005 IT安全管理指南 GB/T 19716-2005 信息安全管理实用规则 GB/T xxxxx-20

27、06 信息系统安全通用技术要求 GB/T xxxxx-2006 操作系统安全技术要求 GB/T xxxxx-2006 数据库管理系统安全技术要求 GB/T xxxxx-2006 网络技术要求 GB/T xxxxx-2006 网络脆弱性扫描产品技术要求,阶段主要活动- 3.安全技术实施,主要活动过程 安全产品采购 安全控制开发 安全控制集成 测试与验收,阶段主要活动- 3.安全技术实施,安全产品采购,制定产品采购说明书,选择入围产品,安全设计详细方案 相关产品信息,输入,输出,过程的工作内容,已采购安全产品清单,产品招标,阶段主要活动- 3.安全技术实施,安全控制开发,安全措施需求分析,概要设计

28、,安全设计详细方案,输入,输出,过程的工作内容,安全控制开发过程相关文档,详细设计,编码实现,测试,阶段主要活动- 3.安全技术实施,安全控制集成,制定集成实施方案,实施集成,安全设计详细方案,输入,输出,过程的工作内容,安全控制集成报告,阶段集成测试,产品和维护培训,阶段主要活动- 3.安全技术实施,测试与验收,测试系统功能和性能,测试运行可靠性,安全设计详细方案 安全控制集成报告,输入,输出,过程的工作内容,系统测试报告 系统验收报告,测评安全管理实施,系统验收,系统交付,阶段主要活动- 3.安全技术实施,等级化安全测评,测试系统功能和性能,测试运行可靠性,安全设计详细方案 安全控制集成报

29、告,输入,输出,过程的工作内容,系统测试报告 系统验收报告,测评安全管理实施,系统验收,系统交付,阶段主要活动- 4.等级化安全测评,过程目标 通过安全测评机构对已经完成安全等级保护建设的信息系统进行测评，确保信息系统的安全保护措施符合相应等级的安全要求。 主要参考标准 信息安全等级保护测评准则 信息安全等级保护基本要求,阶段主要活动- 4.等级化安全测评,输入 信息系统安全保护等级定级报告 系统验收报告 输出 安全等级保护测评报告 主要工作内容 参见信息系统安全等级保护测评准则,第四阶段：安全运行管理阶段,阶段目标 参与角色和职责 实施流程 阶段主要活动,安全运行管理- 阶段目标,通过在安全

30、运行管理阶段实施操作管理和控制、变更管理和控制、安全状态监控、安全事件处置和应急预案、安全评估和持续改进以及监督检查等活动，在安全管理基本要求的基础上，指导系统运行的动态管理。,安全运行管理-参与角色和职责,运营、使用单位：对已经完成安全等级保护建设的信息系统进行维护管理，发现问题及时整改；定期进行安全状况检测评估，及时消除安全隐患和漏洞；制定不同等级信息安全事件的响应、处置预案，加强信息系统的安全管理。 信息安全监管机构：按照等级保护的管理规范和技术标准的要求，重点对第三、第四级信息系统的安全等级保护状况进行监督检查；发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的，限期整改，使信

31、息系统的安全保护措施更加完善 。,安全运行管理-实施流程,主要输入,主要输出,阶段主要活动,操作管理和控制,安全详细设计方案 安全组织机构表,操作人员角色/职责表 各类操作规程,变更管理和控制,变更需求,变更结果报告,安全状态监控,安全详细设计方案 系统验收报告等,安全状态分析报告,安全事件处置和应急预案,安全详细设计方案 安全组织机构表,安全事件报告程序 各类应急预案 安全事件处置报告,安全运行管理-实施流程（续）,主要输入,主要输出,阶段主要活动,安全评估和持续改进,安全评估报告 安全改进方案,等级化安全测评,安全详细设计方案 系统验收报告等,安全等级保护测评报告,监督检查,安全详细设计方

32、案 系统验收报告等,监督检查结果报告,变更需求,阶段主要活动- 1.操作管理和控制,活动目标 确保操作人员对信息系统实行正确、安全操作； 控制系统不断变化和种类繁多的操作活动。 主要参考标准 信息系统安全等级保护基本要求 GB/T xxxxx-2006 信息系统安全通用技术要求 GB/T 19716-2005 信息安全管理实用规则 GB/T 19715-2005 IT安全管理指南 主要活动过程 操作职责确定 操作过程控制,阶段主要活动- 1.操作管理和控制,操作职责确定,划分操作角色,授予管理权限,安全设计详细方案 安全组织机构表,输入,输出,过程的工作内容,操作人员角色和职责表,定义人员职责

33、,阶段主要活动- 1.操作管理和控制,操作过程控制,确定操作目的和内容,确定操作时间和地点,操作需求 操作人员角色和职责表,输入,输出,过程的工作内容,各类操作规程 操作记录,选择操作方法,建立操作规程,记录操作过程和结果,阶段主要活动- 2.变更管理和控制,活动目标 确保在发生安全配置、安全设施、系统结构和业务应用等变化的时候，使用标准的方法和步骤，尽快的实施变更； 确保变更所导致的信息资产安全性降低、业务中断或业务影响减小到最低。 主要参考标准 信息系统安全等级保护基本要求 GB/T xxxxx-2006 信息系统安全通用技术要求 GB/T 19716-2005 信息安全管理实用规则 GB

34、/T 19715-2005 IT安全管理指南 主要活动过程 变更需求和影响分析 变更过程控制,阶段主要活动- 2.变更管理和控制,变更需求和影响分析,变更需求分析,识别变更种类,变更需求,输入,输出,过程的工作内容,变更方案,变更影响分析,制定变更方案,阶段主要活动- 2.变更管理和控制,变更过程控制,变更内容审核与审批,建立变更过程日志,变更方案,输入,输出,过程的工作内容,变更结果报告,形成变更结果报告,阶段主要活动- 3.安全状态监控,活动目标 对信息系统的安全运行状态进行监控，确保信息系统运行安全。 主要参考标准 信息系统安全等级保护基本要求 GB/T xxxxx-2006 信息系统安

35、全通用技术要求 GB/T 19716-2005 信息安全管理实用规则 GB/T 19715-2005 IT安全管理指南 主要活动过程 监控对象确定 监控对象状态信息收集 监控状态分析和报告,阶段主要活动- 3.安全状态监控,监控对象确定,业务关键要素分析,安全关键点分析,安全详细设计方案 系统验收报告,输入,输出,过程的工作内容,监控对象列表,形成监控对象列表,阶段主要活动- 3.安全状态监控,监控对象状态信息收集,选择监控工具,识别和记录入侵行为,监控对象列表,输入,输出,过程的工作内容,监控对象安全状态信息,监控对象信息收集,阶段主要活动- 3.安全状态监控,监控状态分析和报告,状态分析,

36、影响程度和范围分析,监控对象安全状态信息,输入,输出,过程的工作内容,安全状态分析报告 变更需求,变更需求分析,阶段主要活动- 4.安全事件处置和应急预案,活动目标 根据安全事件相关标准中规定的安全事件分级原则和划分结果，结合自身具体的情况酌情划分本单位安全事件级别； 建立合适的应急响应机制。 主要参考标准 信息系统安全等级保护基本要求 GB/T xxxxx-2006 信息系统安全通用技术要求 GB/T 19716-2005 信息安全管理实用规则 GB/T 19715-2005 IT安全管理指南 主要活动过程 安全事件分级 应急预案制定 安全事件处置报告,阶段主要活动- 4.安全事件处置和应急

37、预案,安全事件分级,安全事件调查和分析,安全事件等级划分,各类安全事件列表,输入,输出,过程的工作内容,安全事件报告程序,建立分级的事件报告流程,阶段主要活动- 4.安全事件处置和应急预案,应急预案制定,确定应急预案对象,确定和认可各项职责,安全事件报告程序,输入,输出,过程的工作内容,各类应急预案,制定程序和执行条件,制定各类事件应急恢复措施,阶段主要活动- 4.安全事件处置和应急预案,安全事件处置,安全事件上报,安全事件处置,安全状态分析报告 安全事件报告程序 各类应急预案,输入,输出,过程的工作内容,安全事件处置报告,安全事件影响分析,安全事件总结和处置报告,阶段主要活动- 5.安全评估和持续改进,活动目标 确保在发生信息系统变更、安