【正文】 目 次前言 III引言 IV1 范圍 12 規(guī)范性引用文件 13 術(shù)語和定義 14 等級保護(hù)實(shí)施概述 1 基本原則 1 角色和職責(zé) 1 實(shí)施的基本流程 25 信息系統(tǒng)定級 4 信息系統(tǒng)定級階段的工作流程 4 信息系統(tǒng)分析 4 系統(tǒng)識別和描述 4 信息系統(tǒng)劃分 5 安全保護(hù)等級確定 6 定級、審核和批準(zhǔn) 6 形成定級報(bào)告 66 總體安全規(guī)劃 7 總體安全規(guī)劃階段的工作流程 7 安全需求分析 8 基本安全需求的確定 8 額外/特殊安全需求的確定 9 形成安全需求分析報(bào)告 9 總體安全設(shè)計(jì) 10 總體安全策略設(shè)計(jì) 10 安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì) 10 整體安全管理體系結(jié)構(gòu)設(shè)計(jì) 11 設(shè)計(jì)結(jié)果文檔化 12 安全建設(shè)項(xiàng)目規(guī)劃 12 安全建設(shè)目標(biāo)確定 13 安全建設(shè)內(nèi)容規(guī)劃 13 形成安全建設(shè)項(xiàng)目計(jì)劃 147 安全設(shè)計(jì)與實(shí)施 15 安全設(shè)計(jì)與實(shí)施階段的工作流程 15 安全方案詳細(xì)設(shè)計(jì) 16 技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì) 16 管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì) 16 設(shè)計(jì)結(jié)果文檔化 17 管理措施實(shí)現(xiàn) 17 管理機(jī)構(gòu)和人員的設(shè)置 17 管理制度的建設(shè)和修訂 17 人員安全技能培訓(xùn) 18 安全實(shí)施過程管理 18 技術(shù)措施實(shí)現(xiàn) 19 信息安全產(chǎn)品采購 19 安全控制開發(fā) 20 安全控制集成 20 系統(tǒng)驗(yàn)收 218 安全運(yùn)行與維護(hù) 22 安全運(yùn)行與維護(hù)階段的工作流程 22 運(yùn)行管理和控制 23 運(yùn)行管理職責(zé)確定 23 運(yùn)行管理過程控制 24 變更管理和控制 24 變更需求和影響分析 24 變更過程控制 25 安全狀態(tài)監(jiān)控 25 監(jiān)控對象確定 25 監(jiān)控對象狀態(tài)信息收集 26 監(jiān)控狀態(tài)分析和報(bào)告 26 安全事件處置和應(yīng)急預(yù)案 27 安全事件分級 27 應(yīng)急預(yù)案制定 27 安全事件處置 27 安全檢查和持續(xù)改進(jìn) 28 安全狀態(tài)檢查 28 改進(jìn)方案制定 29 安全改進(jìn)實(shí)施 29 等級測評 29 系統(tǒng)備案 30 監(jiān)督檢查 309 信息系統(tǒng)終止 30 信息系統(tǒng)終止階段的工作流程 30 信息轉(zhuǎn)移、暫存和清除 31 設(shè)備遷移或廢棄 31 存儲介質(zhì)的清除或銷毀 32附錄A（規(guī)范性附錄）主要過程及其活動(dòng)輸出 33前 言本標(biāo)準(zhǔn)的附錄A是規(guī)范性附錄。本標(biāo)準(zhǔn)由公安部和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本標(biāo)準(zhǔn)起草單位：公安部信息安全等級保護(hù)評估中心。本標(biāo)準(zhǔn)主要起草人：畢馬寧、馬力、陳雪秀、李明、朱建平、任衛(wèi)紅、謝朝海、曲潔、袁靜、李升、劉靜、羅崢。引 言依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）、《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號）和《信息安全等級保護(hù)管理辦法》，制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括：——GB/T AAAAAAAA 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南；——GB/T BBBBBBBB 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求。在對信息系統(tǒng)實(shí)施信息安全等級保護(hù)的過程中，除使用本標(biāo)準(zhǔn)外，在不同的階段，還應(yīng)參照其他有關(guān)信息安全等級保護(hù)的標(biāo)準(zhǔn)開展工作。在信息系統(tǒng)定級階段，應(yīng)按照GB/T AAAAAAAA介紹的方法，確定信息系統(tǒng)安全保護(hù)等級。在信息系統(tǒng)總體安全規(guī)劃，安全設(shè)計(jì)與實(shí)施，安全運(yùn)行與維護(hù)和信息系統(tǒng)終止等階段，應(yīng)按照GB17859199GB/T BBBBBBBB、GB/T20269200GB/T202702006和GB/T202712006等技術(shù)標(biāo)準(zhǔn)，設(shè)計(jì)、建設(shè)符合信息安全等級保護(hù)要求的信息系統(tǒng)，開展信息系統(tǒng)的運(yùn)行維護(hù)管理工作。GB17859199GB/T BBBBBBBB、GB/T20269200GB/T202702006和GB/T202712006等技術(shù)標(biāo)準(zhǔn)是信息系統(tǒng)安全等級保護(hù)的系列相關(guān)配套標(biāo)準(zhǔn)，其中GB178591999是基礎(chǔ)性標(biāo)準(zhǔn)，GB/T20269200GB/T202702006 和GB/T202712006等是對GB178591999的進(jìn)一步細(xì)化和擴(kuò)展，GB/T BBBBBBBB是以GB178591999為基礎(chǔ)，根據(jù)現(xiàn)有技術(shù)發(fā)展水平提出的對不同安全保護(hù)等級信息系統(tǒng)的最基本安全要求，是其他標(biāo)準(zhǔn)的一個(gè)底線子集。對信息系統(tǒng)的安全等級保護(hù)應(yīng)從GB/T BBBBBBBB出發(fā)，在保證信息系統(tǒng)滿足基本安全要求的基礎(chǔ)上，逐步提高對信息系統(tǒng)的保護(hù)水平，最終滿足GB17859199GB/T20269200GB/T202702006和 GB/T202712006等標(biāo)準(zhǔn)的要求。除本標(biāo)準(zhǔn)和上述提到的標(biāo)準(zhǔn)外，在信息系統(tǒng)安全等級保護(hù)實(shí)施過程中，還可參照和使用GB/T202722006和GB/T202732006等其它等級保護(hù)相關(guān)技術(shù)標(biāo)準(zhǔn)。37 / 42信息系統(tǒng)安全等級保護(hù)實(shí)施指南1 范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級保護(hù)實(shí)施的過程，適用于指導(dǎo)信息系統(tǒng)安全等級保護(hù)的實(shí)施。 2 規(guī)范性引用文件下列文件中的條款通過在本標(biāo)準(zhǔn)中的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T 信息技術(shù) 詞匯 第8部分：安全GB178591999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T AAAAAAAA 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南3 術(shù)語和定義GB/T 178591999確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。等級測評 classified security testing and evaluation確定信息系統(tǒng)安全保護(hù)能力是否達(dá)到相應(yīng)等級基本要求的過程。4 等級保護(hù)實(shí)施概述 基本原則信息系統(tǒng)安全等級保護(hù)的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。信息系統(tǒng)安全等級保護(hù)實(shí)施過程中應(yīng)遵循以下基本原則：a) 自主保護(hù)原則信息系統(tǒng)運(yùn)營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級，自行組織實(shí)施安全保護(hù)。b) 重點(diǎn)保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。c) 同步建設(shè)原則信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。d) 動(dòng)態(tài)調(diào)整原則要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級，根據(jù)信息系統(tǒng)安全保護(hù)等級的調(diào)整情況，重新實(shí)施安全保護(hù)。 角色和職責(zé)信息系統(tǒng)安全等級保護(hù)實(shí)施過程中涉及的各類角色和職責(zé)如下：a) 國家管理部門公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)；國家保密工作部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)；國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)；涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理；國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級保護(hù)工作的部門間協(xié)調(diào)。b) 信息系統(tǒng)主管部門負(fù)責(zé)依照國家信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，督促、檢查和指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息安全等級保護(hù)工作。c) 信息系統(tǒng)運(yùn)營、使用單位負(fù)責(zé)依照國家信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息系統(tǒng)的安全保護(hù)等級，有主管部門的，應(yīng)當(dāng)報(bào)其主管部門審核批準(zhǔn)；根據(jù)已經(jīng)確定的安全保護(hù)等級，到公安機(jī)關(guān)辦理備案手續(xù)；按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進(jìn)行信息系統(tǒng)安全保護(hù)的規(guī)劃設(shè)計(jì)；使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品和信息安全產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作；制定、落實(shí)各項(xiàng)安全管理制度，定期對信息系統(tǒng)的安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查，選擇符合國家相關(guān)規(guī)定的等級測評機(jī)構(gòu)，定期進(jìn)行等級測評；制定不同等級信息安全事件的響應(yīng)、處置預(yù)案，對信息系統(tǒng)的信息安全事件分等級進(jìn)行應(yīng)急處置。d) 信息安全服務(wù)機(jī)構(gòu)負(fù)責(zé)根據(jù)信息系統(tǒng)運(yùn)營、使用單位的委托，依照國家信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，協(xié)助信息系統(tǒng)運(yùn)營、使用單位完成等級保護(hù)的相關(guān)工作，包括確定其信息系統(tǒng)的安全保護(hù)等級、進(jìn)行安全需求分析、安全總體規(guī)劃、實(shí)施安全建設(shè)和安全改造等。e) 信息安全等級測評機(jī)構(gòu)負(fù)責(zé)根據(jù)信息系統(tǒng)運(yùn)營、使用單位的委托或根據(jù)國家管理部門的授權(quán)，協(xié)助信息系統(tǒng)運(yùn)營、使用單位或國家管理部門，按照國家信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對已經(jīng)完成等級保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行等級測評；對信息安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行安全測評。f) 信息安全產(chǎn)品供應(yīng)商負(fù)責(zé)按照國家信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開發(fā)符合等級保護(hù)相關(guān)要求的信息安全產(chǎn)品，接受安全測評；按照等級保護(hù)相關(guān)要求銷售信息安全產(chǎn)品并提供相關(guān)服務(wù)。 實(shí)施的基本流程對信息系統(tǒng)實(shí)施等級保護(hù)的基本流程見圖1。 信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施施安全運(yùn)行與維護(hù)等級變更局部調(diào)整信息系統(tǒng)終止圖1 信息系統(tǒng)安全等級保護(hù)實(shí)施的基本流程在安全運(yùn)行與維護(hù)階段，信息系統(tǒng)因需求變化等原因?qū)е戮植空{(diào)整，而系統(tǒng)的安全保護(hù)等級并未改變，應(yīng)從安全運(yùn)行與維護(hù)階段進(jìn)入安全設(shè)計(jì)與實(shí)施階段，重新設(shè)計(jì)、調(diào)整和實(shí)施安全措施，確保滿足等級保護(hù)的要求；但信息系統(tǒng)發(fā)生重大變更導(dǎo)致系統(tǒng)安全保護(hù)等級變化時(shí)，應(yīng)從安全運(yùn)行與維護(hù)階段進(jìn)入信息系統(tǒng)定級階段，重新開始一輪信息安全等級保護(hù)的實(shí)施過程。5 信息系統(tǒng)定級 信息系統(tǒng)定級階段的工作流程信息系統(tǒng)定級階段的目標(biāo)是信息系統(tǒng)運(yùn)營、使用單位按照國家有關(guān)管理規(guī)范和GB/T AAAAAAAA，確定信息系統(tǒng)的安全保護(hù)等級，信息系統(tǒng)運(yùn)營、使用單位有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。信息系統(tǒng)定級階段的工作流程見圖2。主要過程輸出輸入信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)立項(xiàng)文檔信息系統(tǒng)建設(shè)文檔信息系統(tǒng)管理文檔信息系統(tǒng)分析安全保護(hù)等級確定信息系統(tǒng)安全保護(hù)等級定級報(bào)告信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件圖2 信息系統(tǒng)定級階段工作流程 信息系統(tǒng)分析　 系統(tǒng)識別和描述活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是通過從信息系統(tǒng)運(yùn)營、使用單位相關(guān)人員處收集有關(guān)信息系統(tǒng)的信息，并對信息進(jìn)行綜合分析和整理，依據(jù)分析和整理的內(nèi)容形成組織機(jī)構(gòu)內(nèi)信息系統(tǒng)的總體描述性文檔。參與角色：信息系統(tǒng)運(yùn)營、使用單位，信息安全服務(wù)機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)的立項(xiàng)、建設(shè)和管理文檔。活動(dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 識別信息系統(tǒng)的基本信息調(diào)查了解信息系統(tǒng)的行業(yè)特征、主管機(jī)構(gòu)、業(yè)務(wù)范圍、地理位置以及信息系統(tǒng)基本情況，獲得信息系統(tǒng)的背景信息和聯(lián)絡(luò)方式。b) 識別信息系統(tǒng)的管理框架了解信息系統(tǒng)的組織管理結(jié)構(gòu)、管理策略、部門設(shè)置和部門在業(yè)務(wù)運(yùn)行中的作用、崗位職責(zé)，獲得支持信息系統(tǒng)業(yè)務(wù)運(yùn)營的管理特征和管理框架方面的信息，從而明確信息系統(tǒng)的安全責(zé)任主體。c) 識別信息系統(tǒng)的網(wǎng)絡(luò)及設(shè)備部署了解信息系統(tǒng)的物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和硬件設(shè)備的部署情況，在此基礎(chǔ)上明確信息系統(tǒng)的邊界，即確定定級對象及其范圍。d) 識別信息系統(tǒng)的業(yè)務(wù)種類和特性了解機(jī)構(gòu)內(nèi)主要依靠信息系統(tǒng)處理的業(yè)務(wù)種類和數(shù)量，這些業(yè)務(wù)各自的社會(huì)屬性、業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程等，從中明確支持機(jī)構(gòu)業(yè)務(wù)運(yùn)營的信息系統(tǒng)的業(yè)務(wù)特性，將承載比較單一的業(yè)務(wù)應(yīng)用或者承載相對獨(dú)立的業(yè)務(wù)應(yīng)用的信息系統(tǒng)作為單獨(dú)的定級對象。e) 識別業(yè)務(wù)系統(tǒng)處理的信息資產(chǎn)了解業(yè)務(wù)系統(tǒng)處理的信息資產(chǎn)的類型，這些信息資產(chǎn)在保密性、完整性和可用性等方面的重要性程度。f) 識別用戶范圍和用戶類型根據(jù)用戶或用戶群的分布范圍了解業(yè)務(wù)系統(tǒng)的服務(wù)范圍、作用以及業(yè)務(wù)連續(xù)性方面的要求等。g) 信息系統(tǒng)描述對收集的信息進(jìn)行整理、分析，形成對信息系統(tǒng)的總體描述文件。一個(gè)典型的信息系統(tǒng)的總體描述文件應(yīng)包含以下內(nèi)容：1) 系統(tǒng)概述；2) 系統(tǒng)邊界描述；3) 網(wǎng)絡(luò)拓?fù)洌?) 設(shè)備部署；5) 支撐的業(yè)務(wù)應(yīng)用的種類和特性；6) 處理的信息資產(chǎn)；7) 用戶的范圍和用戶類型；8) 信息系統(tǒng)的管理框架。 活動(dòng)輸出： 信息系統(tǒng)總體描述文件?！?信息系統(tǒng)劃分活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是依據(jù)信息系統(tǒng)的總體描述文件，在綜合分析的基礎(chǔ)上將組織機(jī)構(gòu)內(nèi)運(yùn)行的信息系統(tǒng)進(jìn)行合理分解，確定所包含