信息安全技術(shù)信息系統(tǒng)安全等級保護實施的指南

1、信息安全技術(shù)信息系統(tǒng)安全等級保護實施的指南-X-.刖百本標準的附錄A是規(guī)范性附錄。本標準由公安部與全國信息安全標準化技術(shù)委員會提出。本標準由全國信息安全標準化技術(shù)委員會歸口。本標準起草單位：公安部信息安全等級保護評估中心。本標準要緊起草人：畢馬守、馬力、陳雪秀、李明、朱建平、任衛(wèi)紅、謝朝海、曲潔、袁靜、李升、 劉靜、羅崢。引言根據(jù)《中華人民共與國計算機信息系統(tǒng)安全保護條例》（國務(wù)院147號令）、《國家信息化領(lǐng)導(dǎo)小 組關(guān)于加強信息安全保障

2、工作的意見》（中辦發(fā)[2003]27號）、《關(guān)于信息安全等級保護工作的實施意見》 （公通字[2004]66號）與《信息安全等級保護管理辦法》（公通字[2007]43號），制定本標準。本標準是信息安全等級保護有關(guān)系列標準之一。與本標準有關(guān)的系列標準包含：—GB/T AAAA-AAAA信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南；——GB/T BBBB-BBBB信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求。在對信息系統(tǒng)實施信息安全等級保護的過程中，

3、除使用本標準外，在不一致的階段，還應(yīng)參照其他有 關(guān)信息安全等級保護的標準開展工作。在信息系統(tǒng)定級階段，應(yīng)按照GB/TAAAA-AAAA介紹的方法，確定信息系統(tǒng)安全保護等級。在信息系統(tǒng)總體安全規(guī)劃，安全設(shè)計與實施，安全運行與保護與信息系統(tǒng)終止等階段，應(yīng)按照 GB17859-1999. GB/T BBBB-BBBB. GB/T20269-2006. GB/T20270-2006 與 GB/T20271-2006 等技術(shù) 標準，設(shè)計、建設(shè)符合

4、信息安全等級保護要求的信息系統(tǒng)，開展信息系統(tǒng)的運行保護管理工作。GB17859-1999> GB/T BBBB-BBBB, GB/T20269-2006. GB/T20270-2006 與 GB/T20271-2006 等 技術(shù)標準是信息系統(tǒng)安全等級保護的系列有關(guān)配套標準，其中GB17859-1999是基礎(chǔ)性標準， GB/T20269-2006, GB/T20270-2006 與 GB/T20271-2006 等是對 GB1785

5、9-1999 的進一步細化與擴展， GB/T BBBB-BBBB是以GB17859-1999為基礎(chǔ)，根據(jù)現(xiàn)有技術(shù)進展水平提出的對不一致安全保護等級信 息系統(tǒng)的最基本安全要求，是其他標準的一個底線子集。對信息系統(tǒng)的安全等級保護應(yīng)從GB/T BBBB-BBBB出發(fā)，在保證信息系統(tǒng)滿足基本安全要求的基礎(chǔ) 上，逐步提高對信息系統(tǒng)的保護水平，最終滿足GB17859-1999、GB/T20269-2006. GB/T20270-2006 與GB/T

6、20271-2006等標準的要求。除本標準與上述提到的標準外，在信息系統(tǒng)安全等級保護實施過程中，還可參照與使用 GB/T20272-2006與GB/T20273-2006等共它等級保護有關(guān)技術(shù)標準。信息系統(tǒng)安全等級保護實施指南1范圍本標準規(guī)定了信息系統(tǒng)安全等級保護實施的過程，適用于指導(dǎo)信息系統(tǒng)安全等級保護的實施。時期與階段，設(shè)計建設(shè)順序，進行投資估算，形成安全建設(shè)項目計劃。參與角色：信息系統(tǒng)運營、使用單位，信息安全服務(wù)機構(gòu)“活動輸入：信

7、息系統(tǒng)安全總體方案，信息系統(tǒng)分階段安全建設(shè)目標，安全建設(shè)內(nèi)容等?；顒用枋觯簩π畔⑾到y(tǒng)分階段安全建設(shè)目標、安全總體方案與安全建設(shè)內(nèi)容等文檔進行整理，形成信息系統(tǒng)安全 建設(shè)項目計劃。安全建設(shè)項目計劃可包含下列內(nèi)容：a）規(guī)劃建設(shè)的根據(jù)與原則；b）規(guī)劃建設(shè)的目標與范圍；c）信息系統(tǒng)安全現(xiàn)狀；d）信息化的中長期進展規(guī)劃：e）信息系統(tǒng)安全建設(shè)的總體框架；f）安全技術(shù)體系建設(shè)規(guī)劃；g）安全管理與安全保障體系建設(shè)規(guī)劃；h）安全建設(shè)投資估算：i）信息系統(tǒng)

8、安全建設(shè)的實施保障等內(nèi)容?；顒虞敵觯盒畔⑾到y(tǒng)安全建設(shè)項目計劃。7安全設(shè)計與實施7.1 安全設(shè)計與實施階段的工作流程安全設(shè)計與實施階段的目標是按照信息系統(tǒng)安全總體方案的要求，結(jié)合信息系統(tǒng)安全建設(shè)項目計劃, 分期分步落實安全措施。7.2 安全方案全面設(shè)計7.2.1 技術(shù)措施實現(xiàn)內(nèi)容設(shè)計活動目標：本活動的目標是根據(jù)建設(shè)目標建設(shè)內(nèi)容將信息系統(tǒng)安全總體方案中要求實現(xiàn)的安全策略、安全技術(shù) 體系結(jié)構(gòu)、安全措施與要求落實到產(chǎn)品功能或者物理形態(tài)上，提出

9、能夠?qū)崿F(xiàn)的產(chǎn)品或者組件及其具體規(guī)范， 并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購與安全操縱開發(fā)階段具有根據(jù)。參與角色：信息系統(tǒng)運營、使用單位，信息安全服務(wù)機構(gòu)，信息安全產(chǎn)品供應(yīng)商。活動輸入：信息系統(tǒng)安全總體方案，信息系統(tǒng)安全建設(shè)項目計劃，各類信息技術(shù)產(chǎn)品與信息安全產(chǎn)品 技術(shù)白皮書?；顒用枋觯罕净顒右o包含下列子活動內(nèi)容：a）結(jié)構(gòu)框架設(shè)計根據(jù)本次實施項目的建設(shè)內(nèi)容與信息系統(tǒng)的實際情況，給出與總體安全規(guī)劃階段的安全體系結(jié)構(gòu)一致 的安