【正文】 全保護(hù)等級定級報(bào)告信息系統(tǒng)安全等級保護(hù)基本要求安全需求分析報(bào)告信息系統(tǒng)安全總體方案安全建設(shè)項(xiàng)目規(guī)劃信息系統(tǒng)安全總體方案機(jī)構(gòu)或單位信息化建設(shè)的中長期發(fā)展規(guī)劃信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃圖3 總體安全規(guī)劃工作流程 安全需求分析　 基本安全需求的確定活動目標(biāo)：本活動的目標(biāo)是根據(jù)信息系統(tǒng)的安全保護(hù)等級，判斷信息系統(tǒng)現(xiàn)有的安全保護(hù)水平與國家等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)之間的差距，提出信息系統(tǒng)的基本安全保護(hù)需求。對于已運(yùn)營（運(yùn)行）的信息系統(tǒng)，需求分析應(yīng)當(dāng)首先分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與等級保護(hù)要求之間的差距?；顒虞敵觯盒畔⑾到y(tǒng)安全保護(hù)等級定級報(bào)告。活動描述：對信息系統(tǒng)的總體描述文檔、信息系統(tǒng)的詳細(xì)描述文件、信息系統(tǒng)安全保護(hù)等級確定結(jié)果等內(nèi)容進(jìn)行整理，形成文件化的信息系統(tǒng)定級結(jié)果報(bào)告。參與角色：信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、使用單位。活動輸出：信息系統(tǒng)定級評審意見?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾?nèi)容：a) 信息系統(tǒng)安全保護(hù)等級初步確定根據(jù)國家有關(guān)管理規(guī)范和GB/T AAAAAAAA確定的定級方法，信息系統(tǒng)運(yùn)營、使用單位對每個(gè)定級對象確定初步的安全保護(hù)等級。參與角色：信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、使用單位，信息安全服務(wù)機(jī)構(gòu)。 活動輸出： 信息系統(tǒng)詳細(xì)描述文件。c) 信息系統(tǒng)詳細(xì)描述在對信息系統(tǒng)進(jìn)行劃分并確定定級對象后，應(yīng)在信息系統(tǒng)總體描述文件的基礎(chǔ)上，進(jìn)一步增加信息系統(tǒng)劃分信息的描述，準(zhǔn)確描述一個(gè)大型信息系統(tǒng)中包括的定級對象的個(gè)數(shù)。b) 信息系統(tǒng)劃分依據(jù)選擇的系統(tǒng)劃分原則，將一個(gè)組織機(jī)構(gòu)內(nèi)擁有的大型信息系統(tǒng)進(jìn)行劃分，劃分出相對獨(dú)立的信息系統(tǒng)并作為定級對象，應(yīng)保證每個(gè)相對獨(dú)立的信息系統(tǒng)具備定級對象的基本特征?；顒虞斎耄盒畔⑾到y(tǒng)總體描述文件。　 信息系統(tǒng)劃分活動目標(biāo)：本活動的目標(biāo)是依據(jù)信息系統(tǒng)的總體描述文件，在綜合分析的基礎(chǔ)上將組織機(jī)構(gòu)內(nèi)運(yùn)行的信息系統(tǒng)進(jìn)行合理分解，確定所包含可以作為定級對象的信息系統(tǒng)的個(gè)數(shù)。一個(gè)典型的信息系統(tǒng)的總體描述文件應(yīng)包含以下內(nèi)容：1) 系統(tǒng)概述；2) 系統(tǒng)邊界描述；3) 網(wǎng)絡(luò)拓?fù)洌?) 設(shè)備部署；5) 支撐的業(yè)務(wù)應(yīng)用的種類和特性；6) 處理的信息資產(chǎn)；7) 用戶的范圍和用戶類型；8) 信息系統(tǒng)的管理框架。f) 識別用戶范圍和用戶類型根據(jù)用戶或用戶群的分布范圍了解業(yè)務(wù)系統(tǒng)的服務(wù)范圍、作用以及業(yè)務(wù)連續(xù)性方面的要求等。d) 識別信息系統(tǒng)的業(yè)務(wù)種類和特性了解機(jī)構(gòu)內(nèi)主要依靠信息系統(tǒng)處理的業(yè)務(wù)種類和數(shù)量，這些業(yè)務(wù)各自的社會屬性、業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程等，從中明確支持機(jī)構(gòu)業(yè)務(wù)運(yùn)營的信息系統(tǒng)的業(yè)務(wù)特性，將承載比較單一的業(yè)務(wù)應(yīng)用或者承載相對獨(dú)立的業(yè)務(wù)應(yīng)用的信息系統(tǒng)作為單獨(dú)的定級對象。b) 識別信息系統(tǒng)的管理框架了解信息系統(tǒng)的組織管理結(jié)構(gòu)、管理策略、部門設(shè)置和部門在業(yè)務(wù)運(yùn)行中的作用、崗位職責(zé)，獲得支持信息系統(tǒng)業(yè)務(wù)運(yùn)營的管理特征和管理框架方面的信息，從而明確信息系統(tǒng)的安全責(zé)任主體?；顒虞斎耄盒畔⑾到y(tǒng)的立項(xiàng)、建設(shè)和管理文檔。主要過程輸出輸入信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)立項(xiàng)文檔信息系統(tǒng)建設(shè)文檔信息系統(tǒng)管理文檔信息系統(tǒng)分析安全保護(hù)等級確定信息系統(tǒng)安全保護(hù)等級定級報(bào)告信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件圖2 信息系統(tǒng)定級階段工作流程 信息系統(tǒng)分析　 系統(tǒng)識別和描述活動目標(biāo)：本活動的目標(biāo)是通過從信息系統(tǒng)運(yùn)營、使用單位相關(guān)人員處收集有關(guān)信息系統(tǒng)的信息，并對信息進(jìn)行綜合分析和整理，依據(jù)分析和整理的內(nèi)容形成組織機(jī)構(gòu)內(nèi)信息系統(tǒng)的總體描述性文檔。5 信息系統(tǒng)定級 信息系統(tǒng)定級階段的工作流程信息系統(tǒng)定級階段的目標(biāo)是信息系統(tǒng)運(yùn)營、使用單位按照國家有關(guān)管理規(guī)范和GB/T AAAAAAAA，確定信息系統(tǒng)的安全保護(hù)等級，信息系統(tǒng)運(yùn)營、使用單位有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。 實(shí)施的基本流程對信息系統(tǒng)實(shí)施等級保護(hù)的基本流程見圖1。e) 信息安全等級測評機(jī)構(gòu)負(fù)責(zé)根據(jù)信息系統(tǒng)運(yùn)營、使用單位的委托或根據(jù)國家管理部門的授權(quán)，協(xié)助信息系統(tǒng)運(yùn)營、使用單位或國家管理部門，按照國家信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對已經(jīng)完成等級保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行等級測評；對信息安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行安全測評。c) 信息系統(tǒng)運(yùn)營、使用單位負(fù)責(zé)依照國家信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息系統(tǒng)的安全保護(hù)等級，有主管部門的，應(yīng)當(dāng)報(bào)其主管部門審核批準(zhǔn)；根據(jù)已經(jīng)確定的安全保護(hù)等級，到公安機(jī)關(guān)辦理備案手續(xù)；按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進(jìn)行信息系統(tǒng)安全保護(hù)的規(guī)劃設(shè)計(jì)；使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品和信息安全產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作；制定、落實(shí)各項(xiàng)安全管理制度，定期對信息系統(tǒng)的安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查，選擇符合國家相關(guān)規(guī)定的等級測評機(jī)構(gòu)，定期進(jìn)行等級測評；制定不同等級信息安全事件的響應(yīng)、處置預(yù)案，對信息系統(tǒng)的信息安全事件分等級進(jìn)行應(yīng)急處置。 角色和職責(zé)信息系統(tǒng)安全等級保護(hù)實(shí)施過程中涉及的各類角色和職責(zé)如下：a) 國家管理部門公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)；國家保密工作部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)；國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)；涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理；國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級保護(hù)工作的部門間協(xié)調(diào)。d) 動態(tài)調(diào)整原則要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。b) 重點(diǎn)保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。4 等級保護(hù)實(shí)施概述 基本原則信息系統(tǒng)安全等級保護(hù)的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。GB/T 信息技術(shù) 詞匯 第8部分：安全GB178591999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T AAAAAAAA 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南3 術(shù)語和定義GB/T 178591999確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否使用這些文件的最新版本。37 / 42信息系統(tǒng)安全等級保護(hù)實(shí)施指南1 范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級保護(hù)實(shí)施的過程，適用于指導(dǎo)信息系統(tǒng)安全等級保護(hù)的實(shí)施。對信息系統(tǒng)的安全等級保護(hù)應(yīng)從GB/T BBBBBBBB出發(fā)，在保證信息系統(tǒng)滿足基本安全要求的基礎(chǔ)上，逐步提高對信息系統(tǒng)的保護(hù)水平，最終滿足GB17859199GB/T20269200GB/T202702006和 GB/T202712006等標(biāo)準(zhǔn)的要求。在信息系統(tǒng)總體安全規(guī)劃，安全設(shè)計(jì)與實(shí)施，安全運(yùn)行與維護(hù)和信息系統(tǒng)終止等階段，應(yīng)按照GB17859199GB/T BBBBBBBB、GB/T20269200GB/T202702006和GB/T202712006等技術(shù)標(biāo)準(zhǔn)，設(shè)計(jì)、建設(shè)符合信息安全等級保護(hù)要求的信息系統(tǒng)，開展信息系統(tǒng)的運(yùn)行維護(hù)管理工作。在對信息系統(tǒng)實(shí)施信息安全等級保護(hù)的過程中，除使用本標(biāo)準(zhǔn)外，在不同的階段，還應(yīng)參照其他有關(guān)信息安全等級保護(hù)的標(biāo)準(zhǔn)開展工作。本標(biāo)準(zhǔn)是信息安全等級保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。本標(biāo)準(zhǔn)主要起草人：畢馬寧、馬力、陳雪秀、李明、朱建平、任衛(wèi)紅、謝朝海、曲潔、袁靜、李升、劉靜、羅崢。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口。目 次前言 III引言 IV1 范圍 12 規(guī)范性引用文件 13 術(shù)語和定義 14 等級保護(hù)實(shí)施概述 1 基本原則 1 角色和職責(zé) 1 實(shí)施的基本流程 25 信息系統(tǒng)定級 4 信息系統(tǒng)定級階段的工作流程 4 信息系統(tǒng)分析 4 系統(tǒng)識別和描述 4 信息系統(tǒng)劃分 5 安全保護(hù)等級確定 6 定級、審核和批準(zhǔn) 6 形成定級報(bào)告 66 總體安全規(guī)劃 7 總體安全規(guī)劃階段的工作流程 7 安全需求分析 8 基本安全需求的確定 8 額外/特殊安全需求的確定 9 形成安全需求分析報(bào)告 9 總體安全設(shè)計(jì) 10 總體安全策略設(shè)計(jì) 10 安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì) 10 整體安全管理體系結(jié)構(gòu)設(shè)計(jì) 11 設(shè)計(jì)結(jié)果文檔化 12 安全建設(shè)項(xiàng)目規(guī)劃 12 安全建設(shè)目標(biāo)確定 13 安全建設(shè)內(nèi)容規(guī)劃 13 形成安全建設(shè)項(xiàng)目計(jì)劃 147 安全設(shè)計(jì)與實(shí)施 15 安全設(shè)計(jì)與實(shí)施階段的工作流程 15 安全方案詳細(xì)設(shè)計(jì) 16 技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì) 16 管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì) 16 設(shè)計(jì)結(jié)果文檔化 17 管理措施實(shí)現(xiàn) 17 管理機(jī)構(gòu)和人員的設(shè)置 17 管理制度的建設(shè)和修訂 17 人員安全技能培訓(xùn) 18 安全實(shí)施過程管理 18 技術(shù)措施實(shí)現(xiàn) 19 信息安全產(chǎn)品采購 19 安全控制開發(fā) 20 安全控制集成 20 系統(tǒng)驗(yàn)收 218 安全運(yùn)行與維護(hù) 22 安全運(yùn)行與維護(hù)階段的工作流程 22 運(yùn)行管理和控制 23 運(yùn)行管理職責(zé)確定 23 運(yùn)行管理過程控制 24 變更管理和控制 24 變更需求和影響分析 24 變更過程控制 25 安全狀態(tài)監(jiān)控 25 監(jiān)控對象確定 25 監(jiān)控對象狀態(tài)信息收集 26 監(jiān)控狀態(tài)分析和報(bào)告 26 安全事件處置和應(yīng)急預(yù)案 27 安全事件分級 27 應(yīng)急預(yù)案制定 27 安全事件處置 27 安全檢查和持續(xù)改進(jìn) 28 安全狀態(tài)檢查 28 改進(jìn)方案制定 29 安全改進(jìn)實(shí)施 29 等級測評 29 系統(tǒng)備案 30 監(jiān)督檢查 309 信息系統(tǒng)終止 30 信息系統(tǒng)終止階段的工作流程 30 信息轉(zhuǎn)移、暫存和清除 31 設(shè)備遷移或廢棄 31 存儲介質(zhì)的清除或銷毀 32附錄A（規(guī)范性附錄）主要過程及其活動輸出 33前 言本標(biāo)準(zhǔn)的附錄A是規(guī)范性附錄。本標(biāo)準(zhǔn)由公安部和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出。本標(biāo)準(zhǔn)起草單位：公安部信息安全等級保護(hù)評估中心。引 言依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）、《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號）和《信息安全等級保護(hù)管理辦法》，制定本標(biāo)準(zhǔn)。與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括：——GB/T AAAAAAAA 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南；——GB/T BBBBBBBB 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求。在信息系統(tǒng)定級階段，應(yīng)按照GB/T AAAAAAAA介紹的方法，確定信息系統(tǒng)安全保護(hù)等級。GB17859199GB/T BBBBBBBB、GB/T20269200GB/T202702006和GB/T202712006等技術(shù)標(biāo)準(zhǔn)是信息系統(tǒng)安全等級保護(hù)的系列相關(guān)配套標(biāo)準(zhǔn)，其中GB178591999是基礎(chǔ)性標(biāo)準(zhǔn)，GB/T20269200GB/T202702006 和GB/T202712006等是對GB178591999的進(jìn)一步細(xì)化和擴(kuò)展，GB/T BBBBBBBB是以GB178591999為基礎(chǔ)，根據(jù)現(xiàn)有技術(shù)發(fā)展水平提出的對不同安全保護(hù)等級信息系統(tǒng)的最基本安全要求，是其他標(biāo)準(zhǔn)的一個(gè)底線子集。除本標(biāo)準(zhǔn)和上述提到的標(biāo)準(zhǔn)外，在信息系統(tǒng)安全等級保護(hù)實(shí)施過程中，還可參照和使用GB/T202722006和GB/T202732006等其它等級保護(hù)相關(guān)技術(shù)標(biāo)準(zhǔn)。 2 規(guī)范性引用文件下列文件中的條款通過在本標(biāo)準(zhǔn)中的引用而成為本標(biāo)準(zhǔn)的條款。凡是不注明日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。等級測評 classified security testing and evaluation確定信息系統(tǒng)安全保護(hù)能力是否達(dá)到相應(yīng)等級基本要求的過程。信息系統(tǒng)安全等級保護(hù)實(shí)施過程中應(yīng)遵循以下基本原則：a) 自主保護(hù)原則信息系統(tǒng)運(yùn)營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級，自行組織實(shí)施安全保護(hù)。c) 同步建設(shè)原則信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級，根據(jù)信息系統(tǒng)安全保護(hù)等級的調(diào)整情況，重新實(shí)施安全保護(hù)。b) 信息系統(tǒng)主管部門負(fù)責(zé)依照國家信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，督促、檢查和指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息安全等級保護(hù)工作。d)