【正文】 可以作為定級對象的信息系統(tǒng)的個數(shù)。參與角色：信息系統(tǒng)運營、使用單位，信息安全服務機構。活動輸入：信息系統(tǒng)總體描述文件。活動描述：本活動主要包括以下子活動內(nèi)容：a) 劃分方法的選擇一個組織機構可能運行一個大型信息系統(tǒng)，為了突出重點保護的等級保護原則，應對大型信息系統(tǒng)進行劃分，進行信息系統(tǒng)劃分的方法可以有多種，可以考慮管理機構、業(yè)務類型、物理位置等因素，信息系統(tǒng)的運營、使用單位應該根據(jù)本單位的具體情況確定一個系統(tǒng)的分解原則。b) 信息系統(tǒng)劃分依據(jù)選擇的系統(tǒng)劃分原則，將一個組織機構內(nèi)擁有的大型信息系統(tǒng)進行劃分，劃分出相對獨立的信息系統(tǒng)并作為定級對象，應保證每個相對獨立的信息系統(tǒng)具備定級對象的基本特征。在信息系統(tǒng)劃分的過程中，應該首先考慮組織管理的要素，然后考慮業(yè)務類型、物理區(qū)域等要素。c) 信息系統(tǒng)詳細描述在對信息系統(tǒng)進行劃分并確定定級對象后，應在信息系統(tǒng)總體描述文件的基礎上，進一步增加信息系統(tǒng)劃分信息的描述，準確描述一個大型信息系統(tǒng)中包括的定級對象的個數(shù)。進一步的信息系統(tǒng)詳細描述文件應包含以下內(nèi)容：1) 相對獨立信息系統(tǒng)列表；2） 每個定級對象的概述；3) 每個定級對象的邊界；4) 每個定級對象的設備部署；5) 每個定級對象支撐的業(yè)務應用及其處理的信息資產(chǎn)類型；6) 每個定級對象的服務范圍和用戶類型；7) 其他內(nèi)容。 活動輸出： 信息系統(tǒng)詳細描述文件。 安全保護等級確定　 定級、審核和批準活動目標：本活動的目標是按照國家有關管理規(guī)范和GB/T AAAAAAAA，確定信息系統(tǒng)的安全保護等級，并對定級結果進行審核和批準，保證定級結果的準確性。參與角色：信息系統(tǒng)主管部門，信息系統(tǒng)運營、使用單位，信息安全服務機構?；顒虞斎耄盒畔⑾到y(tǒng)總體描述文件，信息系統(tǒng)詳細描述文件?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾?nèi)容：a) 信息系統(tǒng)安全保護等級初步確定根據(jù)國家有關管理規(guī)范和GB/T AAAAAAAA確定的定級方法，信息系統(tǒng)運營、使用單位對每個定級對象確定初步的安全保護等級。b) 定級結果審核和批準信息系統(tǒng)運營、使用單位初步確定了安全保護等級后，有主管部門的，應當經(jīng)主管部門審核批準。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或者主管部門應當邀請國家信息安全保護等級專家評審委員會評審。活動輸出：信息系統(tǒng)定級評審意見。　 形成定級報告活動目標：本活動的目標是對定級過程中產(chǎn)生的文檔進行整理，形成信息系統(tǒng)定級結果報告。參與角色：信息系統(tǒng)主管部門，信息系統(tǒng)運營、使用單位?；顒虞斎耄盒畔⑾到y(tǒng)總體描述文件，信息系統(tǒng)詳細描述文件，信息系統(tǒng)定級結果。活動描述：對信息系統(tǒng)的總體描述文檔、信息系統(tǒng)的詳細描述文件、信息系統(tǒng)安全保護等級確定結果等內(nèi)容進行整理，形成文件化的信息系統(tǒng)定級結果報告。信息系統(tǒng)定級結果報告可以包含以下內(nèi)容：a) 單位信息化現(xiàn)狀概述；b) 管理模式；c) 信息系統(tǒng)列表；d) 每個信息系統(tǒng)的概述；e) 每個信息系統(tǒng)的邊界；f) 每個信息系統(tǒng)的設備部署；g) 每個信息系統(tǒng)支撐的業(yè)務應用；h) 信息系統(tǒng)列表、安全保護等級以及保護要求組合；i) 其他內(nèi)容。活動輸出：信息系統(tǒng)安全保護等級定級報告。6 總體安全規(guī)劃 總體安全規(guī)劃階段的工作流程總體安全規(guī)劃階段的目標是根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級情況、信息系統(tǒng)承載業(yè)務情況，通過分析明確信息系統(tǒng)安全需求，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施計劃，以指導后續(xù)的信息系統(tǒng)安全建設工程實施。對于已運營（運行）的信息系統(tǒng)，需求分析應當首先分析判斷信息系統(tǒng)的安全保護現(xiàn)狀與等級保護要求之間的差距。總體安全規(guī)劃階段的工作流程見圖3。主要過程輸出輸入安全需求分析報告安全需求分析信息系統(tǒng)詳細描述文件信息系統(tǒng)安全保護等級定級報告信息系統(tǒng)相關的其它文檔信息系統(tǒng)安全等級保護基本要求總體安全設計信息系統(tǒng)詳細描述文件信息系統(tǒng)安全保護等級定級報告信息系統(tǒng)安全等級保護基本要求安全需求分析報告信息系統(tǒng)安全總體方案安全建設項目規(guī)劃信息系統(tǒng)安全總體方案機構或單位信息化建設的中長期發(fā)展規(guī)劃信息系統(tǒng)安全建設項目計劃圖3 總體安全規(guī)劃工作流程 安全需求分析　 基本安全需求的確定活動目標：本活動的目標是根據(jù)信息系統(tǒng)的安全保護等級，判斷信息系統(tǒng)現(xiàn)有的安全保護水平與國家等級保護管理規(guī)范和技術標準之間的差距，提出信息系統(tǒng)的基本安全保護需求。參與角色： 信息系統(tǒng)運營、使用單位，信息安全服務機構，信息安全等級測評機構。活動輸入： 信息系統(tǒng)詳細描述文件，信息系統(tǒng)安全保護等級定級報告，信息系統(tǒng)相關的其它文檔，信息系統(tǒng)安全等級保護基本要求?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾?nèi)容：a) 確定系統(tǒng)范圍和分析對象明確不同等級信息系統(tǒng)的范圍和邊界，通過調(diào)查或查閱資料的方式，了解信息系統(tǒng)的構成，包括網(wǎng)絡拓撲、業(yè)務應用、業(yè)務流程、設備信息、安全措施狀況等。初步確定每個等級信息系統(tǒng)的分析對象，包括整體對象，如機房、辦公環(huán)境、網(wǎng)絡等，也包括具體對象，如邊界設備、網(wǎng)關設備、服務器設備、工作站、應用系統(tǒng)等。b) 形成評價指標和評估方案根據(jù)各個信息系統(tǒng)的安全保護等級從信息系統(tǒng)安全等級保護基本要求中選擇相應等級的指標，形成評價指標。根據(jù)評價指標，結合確定的具體對象制定可以操作的評估方案，評估方案可以包含以下內(nèi)容：1) 管理狀況評估表格；2) 網(wǎng)絡狀況評估表格；3) 網(wǎng)絡設備（含安全設備）評估表格；4) 主機設備評估表格；5) 主要設備安全測試方案；6) 重要操作的作業(yè)指導書。c) 現(xiàn)狀與評價指標對比通過觀察現(xiàn)場、詢問人員、查詢資料、檢查記錄、檢查配置、技術測試、滲透攻擊等方式進行安全技術和安全管理方面的評估，判斷安全技術和安全管理的各個方面與評價指標的符合程度，給出判斷結論。整理和分析不符合的評價指標，確定信息系統(tǒng)安全保護的基本需求。活動輸出： 基本安全需求。　 額外/特殊安全需求的確定活動目標：本活動的目標是通過對信息系統(tǒng)重要資產(chǎn)特殊保護要求的分析，確定超出相應等級保護基本要求的部分或具有特殊安全保護要求的部分，采用需求分析/風險分析的方法，確定可能的安全風險，判斷對超出等級保護基本要求部分實施特殊安全措施的必要性，提出信息系統(tǒng)的特殊安全保護需求。參與角色： 信息系統(tǒng)運營、使用單位，信息安全服務機構。活動輸入：信息系統(tǒng)詳細描述文件，信息系統(tǒng)安全保護等級定級報告，信息系統(tǒng)相關的其它文檔?；顒用枋觯?確定特殊安全需求可以采用目前成熟或流行的需求分析/風險分析方法，或者采用下面介紹的活動：a) 重要資產(chǎn)的分析明確信息系統(tǒng)中的重要部件，如邊界設備、網(wǎng)關設備、核心網(wǎng)絡設備、重要服務器設備、重要應用系統(tǒng)等。b) 重要資產(chǎn)安全弱點評估檢查或判斷上述重要部件可能存在的弱點，包括技術上和管理上的；分析安全弱點被利用的可能性。c) 重要資產(chǎn)面臨威脅評估分析和判斷上述重要部件可能面臨的威脅，包括外部的威脅和內(nèi)部的威脅，威脅發(fā)生的可能性或概率。d) 綜合風險分析分析威脅利用弱點可能產(chǎn)生的結果，結果產(chǎn)生的可能性或概率，結果造成的損害或影響的大小，以及避免上述結果產(chǎn)生的可能性、必要性和經(jīng)濟性。按照重要資產(chǎn)的排序和風險的排序確定安全保護的要求?；顒虞敵觯?重要資產(chǎn)的特殊保護要求?！?形成安全需求分析報告活動目標：本活動的目標是總結基本安全需求和特殊安全需求，形成安全需求分析報告。參與角色： 信息系統(tǒng)運營，使用單位，信息安全服務機構?；顒虞斎耄盒畔⑾到y(tǒng)詳細描述文件，信息系統(tǒng)安全保護等級定級報告，基本安全需求，重要資產(chǎn)的特殊保護要求?；顒用枋觯?本活動主要包括以下子活動內(nèi)容：a) 完成安全需求分析報告根據(jù)基本安全需求和特殊的安全保護需求等形成安全需求分析報告。安全需求分析報告可以包含以下內(nèi)容：1) 信息系統(tǒng)描述；2) 安全管理狀況；3) 安全技術狀況；4) 存在的不足和可能的風險；5) 安全需求描述?；顒虞敵觯?安全需求分析報告。 總體安全設計　 總體安全策略設計活動目標：本活動的目標是形成機構綱領性的安全策略文件，包括確定安全方針，制定安全策略，以便結合等級保護基本要求和安全保護特殊要求，構建機構信息系統(tǒng)的安全技術體系結構和安全管理體系結構。參與角色： 信息系統(tǒng)運營、使用單位，信息安全服務機構?；顒虞斎耄?信息系統(tǒng)詳細描述文件，信息系統(tǒng)安全保護等級定級報告，安全需求分析報告?；顒用枋觯?本活動主要包括以下子活動內(nèi)容：a) 確定安全方針形成機構最高層次的安全方針文件，闡明安全工作的使命和意愿，定義信息安全的總體目標，規(guī)定信息安全責任機構和職責，建立安全工作運行模式等。b) 制定安全策略形成機構高層次的安全策略文件，說明安全工作的主要策略，包括安全組織機構劃分策略、業(yè)務系統(tǒng)分級策略、數(shù)據(jù)信息分級策略、子系統(tǒng)互連策略、信息流控制策略等?；顒虞敵觯?總體安全策略文件?！?安全技術體系結構設計活動目標：本活動的目標是根據(jù)信息系統(tǒng)安全等級保護基本要求、安全需求分析報告、機構總體安全策略文件等，提出系統(tǒng)需要實現(xiàn)的安全技術措施，形成機構特定的系統(tǒng)安全技術體系結構，用以指導信息系統(tǒng)分等級保護的具體實現(xiàn)。參與角色： 信息系統(tǒng)運營、使用單位，信息安全服務機構?；顒虞斎耄盒畔⑾到y(tǒng)詳細描述文件，信息系統(tǒng)安全保護等級定級報告，安全需求分析報告，信息系統(tǒng)安全等級保護基本要求?；顒用枋觯?本活動主要包括以下子活動內(nèi)容：a) 規(guī)定骨干網(wǎng)/城域網(wǎng)的安全保護技術措施根據(jù)機構總體安全策略文件、等級保護基本要求和安全需求，提出骨干網(wǎng)/城域網(wǎng)的安全保護策略和安全技術措施。骨干網(wǎng)/城域網(wǎng)的安全保護策略和安全技術措施提出時應考慮網(wǎng)絡線路和網(wǎng)絡設備共享的情況，如果不同級別的子系統(tǒng)通過骨干網(wǎng)/城域網(wǎng)的同一線路和設備傳輸數(shù)據(jù)，線路和設備的安全保護策略和安全技術措施應滿足最高級別子系統(tǒng)的等級保護基本要求。b) 規(guī)定子系統(tǒng)之間互聯(lián)的安全技術措施根據(jù)機構總體安全策略文件、等級保護基本要求和安全需求，提出跨局域網(wǎng)互聯(lián)的子系統(tǒng)之間的信息傳輸保護策略要求和具體的安全技術措施，包括同級互聯(lián)的策略、不同級別互聯(lián)的策略等；提出局域網(wǎng)內(nèi)部互聯(lián)的子系統(tǒng)之間的信息傳輸保護策略要求和具體的安全技術措施，包括同級互聯(lián)的策略、不同級別互聯(lián)的策略等。c) 規(guī)定不同級別子系統(tǒng)的邊界保護技術措施根據(jù)機構總體安全策略文件、等級保護基本要求和安全需求，提出不同級別子系統(tǒng)邊界的安全保護策略和安全技術措施。子系統(tǒng)邊界安全保護策略和安全技術措施提出時應考慮邊界設備共享的情況，如果不同級別的子系統(tǒng)通過同一設備進行邊界保護，這個邊界設備的安全保護策略和安全技術措施應滿足最高級別子系統(tǒng)的等級保護基本要求。d) 規(guī)定不同級別子系統(tǒng)內(nèi)部系統(tǒng)平臺和業(yè)務應用的安全保護技術措施根據(jù)機構總體安全策略文件、等級保護基本要求和安全需求，提出不同級別子系統(tǒng)內(nèi)部網(wǎng)絡平臺、系統(tǒng)平臺和業(yè)務應用的安全保護策略和安全技術措施。e) 規(guī)定不同級別信息系統(tǒng)機房的安全保護技術措施根據(jù)機構總體安全策略文件、等級保護基本要求和安全需求，提出不同級別信息系統(tǒng)機房的安全保護策略和安全技術措施。信息系統(tǒng)機房安全保護策略和安全技術措施提出時應考慮不同級別的信息系統(tǒng)共享機房的情況，如果不同級別的信息系統(tǒng)共享同一機房，機房的安全保護策略和安全技術措施應滿足最高級別信息系統(tǒng)的等級保護基本要求。f) 形成信息系統(tǒng)安全技術體系結構將骨干網(wǎng)/城域網(wǎng)、通過骨干網(wǎng)/城域網(wǎng)的子系統(tǒng)互聯(lián)、局域網(wǎng)內(nèi)部的子系統(tǒng)互聯(lián)、子系統(tǒng)的邊界、子系統(tǒng)內(nèi)部各類平臺、機房以及其他方面的安全保護策略和安全技術措施進行整理、匯總，形成信息系統(tǒng)的安全技術體系結構。活動輸出： 信息系統(tǒng)安全技術體系結構。　 整體安全管理體系結構設計活動目標：本活動的目標是根據(jù)等級保護基本要求、安全需求分析報告、機構總體安全策略文件等，調(diào)整原有管理模式和管理策略，既從全局高度考慮為每個等級信息系統(tǒng)制定統(tǒng)一的安全管理策略，又從每個信息系統(tǒng)的實際需求出發(fā)，選擇和調(diào)整具體的安全管理措施，最后形成統(tǒng)一的整體安全管理體系結構。 參與角色： 信息系統(tǒng)運營、使用單位，信息安全服務機構。活動輸入：信息系統(tǒng)詳細描述文件，信息系統(tǒng)安全保護等級定級報告，安全需求分析報告，信息系統(tǒng)安全等級保護基本要求?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾?nèi)容：a) 規(guī)定信息安全的組織管理體系和對各信息系統(tǒng)的安全管理職責根據(jù)機構總體安全策略文件、等級保護基本要求和安全需求，提出機構的安全組織管理機構框架，分配各個級別信息系統(tǒng)的安全管理職責，規(guī)定各個級別信息系統(tǒng)的安全管理策略等。b) 規(guī)定各等級信息系統(tǒng)的人員安全管理策略根據(jù)機構總體安全策略文件、等級保護基本要求和安全需求，提出各個不同級別信息系統(tǒng)的管理人員框架，分配各個級別信息系統(tǒng)的管理人員職責，規(guī)定各個級別信息系統(tǒng)的人員安全管理策略等。c) 規(guī)定各等級信息系統(tǒng)機房及辦公區(qū)等物理環(huán)境的安全管理策略根據(jù)機構總體安全策略文件、等級保護基本要求和安全需求，提出各個不同級別信息系統(tǒng)的機房和辦公環(huán)境的安全策略。d) 規(guī)定各等級信息系統(tǒng)介質(zhì)、設備等的安全管理策略根據(jù)機構總體安全策略文件、等級保護基本要求和安全需求，提出各個不同級別信息系統(tǒng)的介質(zhì)、設備等的安全策略。e) 規(guī)定各等級信息系統(tǒng)運行安全管理策略根據(jù)機構總體