【正文】 使用單位。活動輸入：安全事件報(bào)告程序。活動描述：本活動主要包括以下子活動內(nèi)容：a) 確定應(yīng)急預(yù)案對象針對安全事件等級，考慮其可能性和對系統(tǒng)和業(yè)務(wù)產(chǎn)生的影響，確定需制定應(yīng)急預(yù)案的安全事件對象。b) 確定和認(rèn)可各項(xiàng)職責(zé)在統(tǒng)一的應(yīng)急預(yù)案框架下，明確和認(rèn)可應(yīng)急預(yù)案中各部門的職責(zé)，并協(xié)調(diào)各部門間的合作和分工。c) 制定應(yīng)急預(yù)案程序及其執(zhí)行條件針對不同等級、不同優(yōu)先級的安全事件制定相應(yīng)的應(yīng)急預(yù)案程序，確定不同等級事件的響應(yīng)和處置范圍、程度以及適用的管理制度，說明應(yīng)急預(yù)案啟動的條件，發(fā)生安全事件后要采取的流程和措施，并按照預(yù)案定期開展演練?；顒虞敵觯焊黝悜?yīng)急預(yù)案?！?安全事件處置活動目標(biāo)：本活動的目標(biāo)是對監(jiān)控到的安全事件采取適當(dāng)?shù)姆椒ㄟM(jìn)行處置，對安全事件的影響程度和等級進(jìn)行分析，確定是否啟動應(yīng)急響應(yīng)。參與角色：信息系統(tǒng)運(yùn)營、使用單位?；顒虞斎耄喊踩珷顟B(tài)分析報(bào)告，安全事件報(bào)告程序，各類應(yīng)急預(yù)案?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾?nèi)容：a) 安全事件上報(bào)根據(jù)安全狀態(tài)分析報(bào)告分析可能的安全事件，對接報(bào)的安全事件進(jìn)行分析，明確安全事件等級、影響程度以及優(yōu)先級等，按照安全事件報(bào)告程序上報(bào)安全事件，確定是否應(yīng)對安全事件啟動應(yīng)急預(yù)案。 b) 安全事件處置對于應(yīng)該啟動應(yīng)急預(yù)案的安全事件按照應(yīng)急預(yù)案響應(yīng)機(jī)制進(jìn)行安全事件處置。對未知安全事件的處置，應(yīng)根據(jù)安全事件的等級，制定安全事件處置方案，包括安全事件處置方法以及應(yīng)采取的措施等；并按照安全事件處置流程和方案對安全事件進(jìn)行處置。c) 安全事件總結(jié)和報(bào)告一旦安全事件得到解決，對于未知的安全事件進(jìn)行事件記錄，分析記錄信息并補(bǔ)充所需信息，使安全事件成為已知事件，并文檔化；對安全事件處置過程進(jìn)行總結(jié)，制定安全事件處置報(bào)告，并保存?；顒虞敵觯喊踩录幹脠?bào)告。 安全檢查和持續(xù)改進(jìn)　 安全狀態(tài)檢查活動目標(biāo)：本活動的主要目標(biāo)是通過對信息系統(tǒng)的安全狀態(tài)進(jìn)行檢查，為信息系統(tǒng)的持續(xù)改進(jìn)過程提供依據(jù)和建議，確保信息系統(tǒng)的安全保護(hù)能力滿足相應(yīng)等級安全要求。，本節(jié)描述自我檢查過程。參與角色：信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、使用單位。活動輸入：信息系統(tǒng)詳細(xì)描述文件，變更結(jié)果報(bào)告，安全狀態(tài)分析報(bào)告?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾?nèi)容：a) 確定檢查對象和檢查方法確定檢查的目標(biāo)和意義，確定本次安全檢查活動是自己組織的檢查還是其他方組織的安全檢查，如果是其他方組織的安全檢查，則需要與其他方實(shí)施檢查的單位進(jìn)行溝通、洽談和配合。b) 制定檢查計(jì)劃和檢查方案確定檢查工作的角色和職責(zé)，確定檢查工作的方法，成立安全檢查工作組。制定安全檢查工作計(jì)劃和安全檢查方案，說明安全檢查的范圍、對象、工作方法等，準(zhǔn)備安全檢查需要的各類表單和工具。c) 安全檢查實(shí)施根據(jù)安全檢查計(jì)劃，通過詢問、檢查和測試等多種手段，進(jìn)行安全狀況檢查，記錄各種檢查活動的結(jié)果數(shù)據(jù)，分析安全措施的有效性、安全事件產(chǎn)生的可能性和信息系統(tǒng)的實(shí)際改進(jìn)需求等。d) 安全檢查結(jié)果和報(bào)告總結(jié)安全檢查的結(jié)果，提出改進(jìn)的的建議，并產(chǎn)生安全檢查報(bào)告。將安全檢查過程的各類文檔、資料歸檔保存。活動輸出：安全檢查報(bào)告?！?改進(jìn)方案制定活動目標(biāo)：本活動的主要目標(biāo)是依據(jù)安全檢查的結(jié)果，調(diào)整信息系統(tǒng)的安全狀態(tài)，保證信息系統(tǒng)安全防護(hù)的有效性。參與角色：信息系統(tǒng)運(yùn)營、使用單位?；顒虞斎耄喊踩珯z查報(bào)告?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾?nèi)容：a) 安全改進(jìn)的立項(xiàng)根據(jù)安全檢查結(jié)果確定安全改進(jìn)的策略，如果涉及安全保護(hù)等級的變化，則應(yīng)進(jìn)入安全保護(hù)等級保護(hù)實(shí)施的一個(gè)新的循環(huán)過程；如果安全保護(hù)等級不變，但是調(diào)整內(nèi)容較多、涉及范圍較大，則應(yīng)對安全改進(jìn)項(xiàng)目進(jìn)行立項(xiàng)，重新開始安全實(shí)施/實(shí)現(xiàn)過程，參見第7章；如果調(diào)整內(nèi)容較小，則可以直接進(jìn)行安全改進(jìn)實(shí)施。b) 制定安全改進(jìn)方案確定安全改進(jìn)的工作方法、工作內(nèi)容、人員分工、時(shí)間計(jì)劃等，制定安全改進(jìn)方案。安全改進(jìn)方案只適用于小范圍內(nèi)的安全改進(jìn)，如安全加固、配置加強(qiáng)、系統(tǒng)補(bǔ)丁等。活動輸出：安全改進(jìn)方案。　 安全改進(jìn)實(shí)施活動目標(biāo)：本活動的目標(biāo)是保證按照安全改進(jìn)方案實(shí)現(xiàn)各項(xiàng)補(bǔ)充安全措施，并確保原有的技術(shù)措施和管理措施與各項(xiàng)補(bǔ)充的安全措施一致有效地工作。參與角色：信息系統(tǒng)運(yùn)營、使用單位。活動輸入：安全改進(jìn)方案。活動描述：本活動主要包括以下子活動內(nèi)容：a) 安全方案實(shí)施控制。b) 安全措施測試與驗(yàn)收。c) 配套技術(shù)文件和管理制度的修訂按照安全改進(jìn)方案實(shí)施和落實(shí)各項(xiàng)補(bǔ)充的安全措施后，要調(diào)整和修訂各類相關(guān)的技術(shù)文件和管理制度，保證原有體系完整性和一致性。活動輸出：測試或驗(yàn)收報(bào)告。 等級測評活動目標(biāo)：本活動的目標(biāo)是通過信息安全等級測評機(jī)構(gòu)對已經(jīng)完成等級保護(hù)建設(shè)的信息系統(tǒng)定期進(jìn)行等級測評，確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級的安全要求。參與角色：信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、使用單位，信息安全等級測評機(jī)構(gòu)?；顒虞斎耄盒畔⑾到y(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級定級報(bào)告，系統(tǒng)驗(yàn)收報(bào)告?；顒用枋觯簠⒁娪嘘P(guān)信息系統(tǒng)安全保護(hù)等級測評的規(guī)范或標(biāo)準(zhǔn)。活動輸出：安全等級測評報(bào)告。 系統(tǒng)備案活動目標(biāo)：本活動的目標(biāo)是根據(jù)國家管理部門對備案的要求，整理相關(guān)備案材料，并向受理備案的單位提交備案材料。參與角色：信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、使用單位，國家管理部門?；顒虞斎耄盒畔⑾到y(tǒng)安全保護(hù)等級定級報(bào)告，信息系統(tǒng)安全總體方案，安全詳細(xì)設(shè)計(jì)方案，安全等級測評報(bào)告?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾?nèi)容：a) 備案材料整理信息系統(tǒng)運(yùn)營、使用單位針對備案材料的要求，整理、填寫備案材料， b) 備案材料提交信息系統(tǒng)運(yùn)營、使用單位根據(jù)國家管理部門的要求辦理定級備案手續(xù)，提交備案材料；國家管理部門接收備案材料。活動輸出：備案材料。 監(jiān)督檢查活動目標(biāo)：本活動的目標(biāo)是通過國家管理部門對信息系統(tǒng)定級、規(guī)劃設(shè)計(jì)、建設(shè)實(shí)施和運(yùn)行管理等過程進(jìn)行監(jiān)督檢查，確保其符合信息系統(tǒng)安全保護(hù)相應(yīng)等級的要求。參與角色：信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、使用單位，國家管理部門?；顒虞斎耄簜浒覆牧?。活動描述：參見信息安全等級保護(hù)監(jiān)督檢查的規(guī)范或標(biāo)準(zhǔn)?；顒虞敵觯罕O(jiān)督檢查結(jié)果報(bào)告。9 信息系統(tǒng)終止 信息系統(tǒng)終止階段的工作流程信息系統(tǒng)終止階段是等級保護(hù)實(shí)施過程中的最后環(huán)節(jié)。當(dāng)信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時(shí)，正確處理系統(tǒng)內(nèi)的敏感信息對于確保機(jī)構(gòu)信息資產(chǎn)的安全是至關(guān)重要的。在信息系統(tǒng)生命周期中，有些系統(tǒng)并不是真正意義上的廢棄，而是改進(jìn)技術(shù)或轉(zhuǎn)變業(yè)務(wù)到新的信息系統(tǒng)，對于這些信息系統(tǒng)在終止處理過程中應(yīng)確保信息轉(zhuǎn)移、設(shè)備遷移和介質(zhì)銷毀等方面的安全。 本標(biāo)準(zhǔn)在信息系統(tǒng)終止階段關(guān)注信息轉(zhuǎn)移、暫存和清除，設(shè)備遷移或廢棄，存儲介質(zhì)的清除或銷毀等活動。信息系統(tǒng)終止階段的工作流程見圖6。輸出主要過程輸入信息轉(zhuǎn)移、暫存和清除信息轉(zhuǎn)移、暫存、清除處理記錄文檔信息系統(tǒng)信息資產(chǎn)清單設(shè)備遷移或廢棄設(shè)備遷移、廢棄處理記錄文檔信息系統(tǒng)硬件設(shè)備清單存儲介質(zhì)的清除或銷毀信息系統(tǒng)存儲介質(zhì)清單存儲介質(zhì)清除、銷毀處理記錄文檔圖6 信息系統(tǒng)終止階段的工作流程 信息轉(zhuǎn)移、暫存和清除活動目標(biāo)：本活動的目標(biāo)是在信息系統(tǒng)終止處理過程中，對于可能會在另外的信息系統(tǒng)中使用的信息采取適當(dāng)?shù)姆椒▽⑵浒踩剞D(zhuǎn)移或暫存到可以恢復(fù)的介質(zhì)中，確保將來可以繼續(xù)使用，同時(shí)采用安全的方法清除要終止的信息系統(tǒng)中的信息。參與角色：信息系統(tǒng)運(yùn)營、使用單位。 活動輸入：信息系統(tǒng)信息資產(chǎn)清單?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾?nèi)容：a) 識別要轉(zhuǎn)移、暫存和清除的信息資產(chǎn)根據(jù)要終止的信息系統(tǒng)的信息資產(chǎn)清單，識別重要信息資產(chǎn)、所處的位置以及當(dāng)前狀態(tài)等，列出需轉(zhuǎn)移、暫存和清除的信息資產(chǎn)的清單。b) 信息資產(chǎn)轉(zhuǎn)移、暫存和清除根據(jù)信息資產(chǎn)的重要程度制定信息資產(chǎn)的轉(zhuǎn)移、暫存、清除的方法和過程。如果是涉密信息，應(yīng)該按照國家相關(guān)部門的規(guī)定進(jìn)行轉(zhuǎn)移、暫存和清除。c) 處理過程記錄記錄信息轉(zhuǎn)移、暫存和清除的過程，包括參與的人員，轉(zhuǎn)移、暫存和清除的方式以及目前信息所處的位置等。活動輸出：信息轉(zhuǎn)移、暫存、清除處理記錄文檔。 設(shè)備遷移或廢棄活動目標(biāo)：本活動的目標(biāo)是確保信息系統(tǒng)終止后，遷移或廢棄的設(shè)備內(nèi)不包括敏感信息，對設(shè)備的處理方式應(yīng)符合國家相關(guān)部門的要求。參與角色：信息系統(tǒng)運(yùn)營、使用單位?；顒虞斎耄涸O(shè)備遷移或廢棄清單等。活動描述：本活動主要包括以下子活動內(nèi)容：a) 軟硬件設(shè)備識別根據(jù)要終止的信息系統(tǒng)的設(shè)備清單，識別要被遷移或廢棄的硬件設(shè)備、所處的位置以及當(dāng)前狀態(tài)等，列出需遷移、廢棄的設(shè)備的清單。b) 制定硬件設(shè)備處理方案根據(jù)規(guī)定和實(shí)際情況制定設(shè)備處理方案，包括重用設(shè)備、廢棄設(shè)備、敏感信息的清除方法等。c) 處理方案審批包括重用設(shè)備、廢棄設(shè)備、敏感信息的清除方法等的設(shè)備處理方案應(yīng)該經(jīng)過主管領(lǐng)導(dǎo)審查和批準(zhǔn)。d) 設(shè)備處理和記錄根據(jù)設(shè)備處理方案對設(shè)備進(jìn)行處理，如果是涉密信息的設(shè)備，其處理過程應(yīng)符合國家相關(guān)部門的規(guī)定；記錄設(shè)備處理過程，包括參與的人員、處理的方式、是否有殘余信息的檢查結(jié)果等。活動輸出：設(shè)備遷移、廢棄處理報(bào)告。 存儲介質(zhì)的清除或銷毀活動目標(biāo)：本活動的目標(biāo)是通過采用合理的方式對計(jì)算機(jī)介質(zhì)（包括磁帶、磁盤、打印結(jié)果和文檔）進(jìn)行信息清除或銷毀處理，防止介質(zhì)內(nèi)的敏感信息泄露。參與角色：信息系統(tǒng)運(yùn)營、使用單位?；顒虞斎耄捍鎯橘|(zhì)清單等?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾?nèi)容：a) 識別要清除或銷毀的介質(zhì)根據(jù)要終止的信息系統(tǒng)的存儲介質(zhì)清單，識別載有重要信息的存儲介質(zhì)、所處的位置以及當(dāng)前狀態(tài)等，列出需清除或銷毀的存儲介質(zhì)清單。b) 確定存儲介質(zhì)處理方法和流程根據(jù)存儲介質(zhì)所承載信息的敏感程度確定對存儲介質(zhì)的處理方式和處理流程。存儲介質(zhì)的處理包括數(shù)據(jù)清除和存儲介質(zhì)銷毀等。對于存儲涉密信息的介質(zhì)應(yīng)按照國家相關(guān)部門的規(guī)定進(jìn)行處理。c) 處理方案審批包括存儲介質(zhì)的處理方式和處理流程等的處理方案應(yīng)該經(jīng)過主管領(lǐng)導(dǎo)審查和批準(zhǔn)。d) 存儲介質(zhì)處理和記錄根據(jù)存儲介質(zhì)處理方案對存儲介質(zhì)進(jìn)行處理，記錄處理過程，包括參與的人員、處理的方式、是否有殘余信息的檢查結(jié)果等?；顒虞敵觯捍鎯橘|(zhì)的清除或銷毀記錄文檔。附　錄　A（規(guī)范性附錄）主要過程及其活動輸出主要階段主要過程活動活動輸入活動輸出信息系統(tǒng)定級信息系統(tǒng)分析系統(tǒng)識別和描述信息系統(tǒng)的立項(xiàng)、建設(shè)、管理文檔信息系統(tǒng)總體描述文件信息系統(tǒng)劃分信息系統(tǒng)總體描述文件* 信息系統(tǒng)詳細(xì)描述文件安全保護(hù)等級確定定級、審核和批準(zhǔn)信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件定級結(jié)果形成定級報(bào)告信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件定級結(jié)果* 信息系統(tǒng)安全保護(hù)等級定級報(bào)告總體安全規(guī)劃安全需求分析基本安全需求確定信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報(bào)告信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)相關(guān)的其它文檔基本安全需求額外/特殊安全需求的確定信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報(bào)告信息系統(tǒng)相關(guān)的其它文檔重要資產(chǎn)的特殊保護(hù)要求形成安全需求分析報(bào)告信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報(bào)告信息系統(tǒng)安全等級保護(hù)基本要求基本安全需求重要資產(chǎn)的特殊保護(hù)要求* 安全需求分析報(bào)告安全總體設(shè)計(jì)總體安全策略設(shè)計(jì)信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報(bào)告安全需求分析報(bào)告總體安全策略文件各級系統(tǒng)安全技術(shù)措施設(shè)計(jì)總體安全策略文件安全需求分析報(bào)告信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)系統(tǒng)整體安全管理策略設(shè)計(jì)總體安全策略文件安全需求分析報(bào)告信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)安全管理體系結(jié)構(gòu)設(shè)計(jì)結(jié)果文檔化安全需求分析報(bào)告信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)信息系統(tǒng)安全管理體系結(jié)構(gòu)* 信息系統(tǒng)安全總體方案安全建設(shè)項(xiàng)目規(guī)劃安全建設(shè)目標(biāo)確定信息系統(tǒng)安全總體方案單位信息化建設(shè)的中長期發(fā)展規(guī)劃信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容規(guī)劃信息系統(tǒng)安全總體方案信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容安全建設(shè)項(xiàng)目計(jì)劃設(shè)計(jì)信息系統(tǒng)安全總體方案信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容* 信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃安全設(shè)計(jì)與實(shí)施安全方案詳細(xì)設(shè)計(jì)技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃各類信息技術(shù)產(chǎn)品技術(shù)白皮書各類信息安全產(chǎn)品技術(shù)白皮書技術(shù)措施實(shí)現(xiàn)方案管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃管理措施實(shí)現(xiàn)方案設(shè)計(jì)結(jié)果文檔化技術(shù)措施落實(shí)方案管理措施落實(shí)方案* 安全詳細(xì)設(shè)計(jì)方案管理措施落實(shí)管理機(jī)構(gòu)和人員的設(shè)置機(jī)構(gòu)現(xiàn)有相關(guān)管理制度和政策安全詳細(xì)設(shè)計(jì)方案* 角色與職責(zé)說明書管理制度的建設(shè)和修訂安全組織結(jié)構(gòu)表角色與職責(zé)說明書安全詳細(xì)設(shè)計(jì)方案* 各項(xiàng)管理制度和操作規(guī)范人員安全技能培訓(xùn)系統(tǒng)/產(chǎn)品使用說明書各項(xiàng)管理制度和操作規(guī)范培訓(xùn)記錄及上崗資格證等安全實(shí)施過程管理安全技術(shù)建設(shè)各階段相關(guān)文檔各階段管理過程文檔技術(shù)措施落實(shí)信息安全產(chǎn)品采購安全詳細(xì)設(shè)計(jì)方案、相關(guān)產(chǎn)品信息已采購信息安全產(chǎn)品清單安全控制開發(fā)