信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的指南

1、信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的指南-X-.刖百本標(biāo)準(zhǔn)的附錄A是規(guī)范性附錄。本標(biāo)準(zhǔn)由公安部與全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本標(biāo)準(zhǔn)起草單位：公安部信息安全等級(jí)保護(hù)評(píng)估中心。本標(biāo)準(zhǔn)要緊起草人：畢馬守、馬力、陳雪秀、李明、朱建平、任衛(wèi)紅、謝朝海、曲潔、袁靜、李升、 劉靜、羅崢。引言根據(jù)《中華人民共與國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）、《國(guó)家信息化領(lǐng)導(dǎo)小 組關(guān)于加強(qiáng)信息安全保障

2、工作的意見》（中辦發(fā)[2003]27號(hào)）、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》 （公通字[2004]66號(hào)）與《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)），制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)有關(guān)系列標(biāo)準(zhǔn)之一。與本標(biāo)準(zhǔn)有關(guān)的系列標(biāo)準(zhǔn)包含：—GB/T AAAA-AAAA信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南；——GB/T BBBB-BBBB信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求。在對(duì)信息系統(tǒng)實(shí)施信息安全等級(jí)保護(hù)的過(guò)程中，

3、除使用本標(biāo)準(zhǔn)外，在不一致的階段，還應(yīng)參照其他有 關(guān)信息安全等級(jí)保護(hù)的標(biāo)準(zhǔn)開展工作。在信息系統(tǒng)定級(jí)階段，應(yīng)按照GB/TAAAA-AAAA介紹的方法，確定信息系統(tǒng)安全保護(hù)等級(jí)。在信息系統(tǒng)總體安全規(guī)劃，安全設(shè)計(jì)與實(shí)施，安全運(yùn)行與保護(hù)與信息系統(tǒng)終止等階段，應(yīng)按照 GB17859-1999. GB/T BBBB-BBBB. GB/T20269-2006. GB/T20270-2006 與 GB/T20271-2006 等技術(shù) 標(biāo)準(zhǔn)，設(shè)計(jì)、建設(shè)符合

4、信息安全等級(jí)保護(hù)要求的信息系統(tǒng)，開展信息系統(tǒng)的運(yùn)行保護(hù)管理工作。GB17859-1999> GB/T BBBB-BBBB, GB/T20269-2006. GB/T20270-2006 與 GB/T20271-2006 等 技術(shù)標(biāo)準(zhǔn)是信息系統(tǒng)安全等級(jí)保護(hù)的系列有關(guān)配套標(biāo)準(zhǔn)，其中GB17859-1999是基礎(chǔ)性標(biāo)準(zhǔn)， GB/T20269-2006, GB/T20270-2006 與 GB/T20271-2006 等是對(duì) GB1785

5、9-1999 的進(jìn)一步細(xì)化與擴(kuò)展， GB/T BBBB-BBBB是以GB17859-1999為基礎(chǔ)，根據(jù)現(xiàn)有技術(shù)進(jìn)展水平提出的對(duì)不一致安全保護(hù)等級(jí)信 息系統(tǒng)的最基本安全要求，是其他標(biāo)準(zhǔn)的一個(gè)底線子集。對(duì)信息系統(tǒng)的安全等級(jí)保護(hù)應(yīng)從GB/T BBBB-BBBB出發(fā)，在保證信息系統(tǒng)滿足基本安全要求的基礎(chǔ) 上，逐步提高對(duì)信息系統(tǒng)的保護(hù)水平，最終滿足GB17859-1999、GB/T20269-2006. GB/T20270-2006 與GB/T

6、20271-2006等標(biāo)準(zhǔn)的要求。除本標(biāo)準(zhǔn)與上述提到的標(biāo)準(zhǔn)外，在信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過(guò)程中，還可參照與使用 GB/T20272-2006與GB/T20273-2006等共它等級(jí)保護(hù)有關(guān)技術(shù)標(biāo)準(zhǔn)。信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南1范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的過(guò)程，適用于指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施。時(shí)期與階段，設(shè)計(jì)建設(shè)順序，進(jìn)行投資估算，形成安全建設(shè)項(xiàng)目計(jì)劃。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)“活動(dòng)輸入：信

7、息系統(tǒng)安全總體方案，信息系統(tǒng)分階段安全建設(shè)目標(biāo)，安全建設(shè)內(nèi)容等?；顒?dòng)描述：對(duì)信息系統(tǒng)分階段安全建設(shè)目標(biāo)、安全總體方案與安全建設(shè)內(nèi)容等文檔進(jìn)行整理，形成信息系統(tǒng)安全 建設(shè)項(xiàng)目計(jì)劃。安全建設(shè)項(xiàng)目計(jì)劃可包含下列內(nèi)容：a）規(guī)劃建設(shè)的根據(jù)與原則；b）規(guī)劃建設(shè)的目標(biāo)與范圍；c）信息系統(tǒng)安全現(xiàn)狀；d）信息化的中長(zhǎng)期進(jìn)展規(guī)劃：e）信息系統(tǒng)安全建設(shè)的總體框架；f）安全技術(shù)體系建設(shè)規(guī)劃；g）安全管理與安全保障體系建設(shè)規(guī)劃；h）安全建設(shè)投資估算：i）信息系統(tǒng)

8、安全建設(shè)的實(shí)施保障等內(nèi)容?；顒?dòng)輸出：信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃。7安全設(shè)計(jì)與實(shí)施7.1 安全設(shè)計(jì)與實(shí)施階段的工作流程安全設(shè)計(jì)與實(shí)施階段的目標(biāo)是按照信息系統(tǒng)安全總體方案的要求，結(jié)合信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃, 分期分步落實(shí)安全措施。7.2 安全方案全面設(shè)計(jì)7.2.1 技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是根據(jù)建設(shè)目標(biāo)建設(shè)內(nèi)容將信息系統(tǒng)安全總體方案中要求實(shí)現(xiàn)的安全策略、安全技術(shù) 體系結(jié)構(gòu)、安全措施與要求落實(shí)到產(chǎn)品功能或者物理形態(tài)上，提出

9、能夠?qū)崿F(xiàn)的產(chǎn)品或者組件及其具體規(guī)范， 并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購(gòu)與安全操縱開發(fā)階段具有根據(jù)。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)，信息安全產(chǎn)品供應(yīng)商?；顒?dòng)輸入：信息系統(tǒng)安全總體方案，信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃，各類信息技術(shù)產(chǎn)品與信息安全產(chǎn)品 技術(shù)白皮書?；顒?dòng)描述：本活動(dòng)要緊包含下列子活動(dòng)內(nèi)容：a）結(jié)構(gòu)框架設(shè)計(jì)根據(jù)本次實(shí)施項(xiàng)目的建設(shè)內(nèi)容與信息系統(tǒng)的實(shí)際情況，給出與總體安全規(guī)劃階段的安全體系結(jié)構(gòu)一致 的安