【正文】 信息安全服務(wù)機(jī)構(gòu)負(fù)責(zé)根據(jù)信息系統(tǒng)運(yùn)營(yíng)、使用單位的委托，依照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位完成等級(jí)保護(hù)的相關(guān)工作，包括確定其信息系統(tǒng)的安全保護(hù)等級(jí)、進(jìn)行安全需求分析、安全總體規(guī)劃、實(shí)施安全建設(shè)和安全改造等。f) 信息安全產(chǎn)品供應(yīng)商負(fù)責(zé)按照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開發(fā)符合等級(jí)保護(hù)相關(guān)要求的信息安全產(chǎn)品，接受安全測(cè)評(píng)；按照等級(jí)保護(hù)相關(guān)要求銷售信息安全產(chǎn)品并提供相關(guān)服務(wù)。 信息系統(tǒng)定級(jí)總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施施安全運(yùn)行與維護(hù)等級(jí)變更局部調(diào)整信息系統(tǒng)終止圖1 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本流程在安全運(yùn)行與維護(hù)階段，信息系統(tǒng)因需求變化等原因?qū)е戮植空{(diào)整，而系統(tǒng)的安全保護(hù)等級(jí)并未改變，應(yīng)從安全運(yùn)行與維護(hù)階段進(jìn)入安全設(shè)計(jì)與實(shí)施階段，重新設(shè)計(jì)、調(diào)整和實(shí)施安全措施，確保滿足等級(jí)保護(hù)的要求；但信息系統(tǒng)發(fā)生重大變更導(dǎo)致系統(tǒng)安全保護(hù)等級(jí)變化時(shí)，應(yīng)從安全運(yùn)行與維護(hù)階段進(jìn)入信息系統(tǒng)定級(jí)階段，重新開始一輪信息安全等級(jí)保護(hù)的實(shí)施過程。信息系統(tǒng)定級(jí)階段的工作流程見圖2。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)?；顒?dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 識(shí)別信息系統(tǒng)的基本信息調(diào)查了解信息系統(tǒng)的行業(yè)特征、主管機(jī)構(gòu)、業(yè)務(wù)范圍、地理位置以及信息系統(tǒng)基本情況，獲得信息系統(tǒng)的背景信息和聯(lián)絡(luò)方式。c) 識(shí)別信息系統(tǒng)的網(wǎng)絡(luò)及設(shè)備部署了解信息系統(tǒng)的物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和硬件設(shè)備的部署情況，在此基礎(chǔ)上明確信息系統(tǒng)的邊界，即確定定級(jí)對(duì)象及其范圍。e) 識(shí)別業(yè)務(wù)系統(tǒng)處理的信息資產(chǎn)了解業(yè)務(wù)系統(tǒng)處理的信息資產(chǎn)的類型，這些信息資產(chǎn)在保密性、完整性和可用性等方面的重要性程度。g) 信息系統(tǒng)描述對(duì)收集的信息進(jìn)行整理、分析，形成對(duì)信息系統(tǒng)的總體描述文件。 活動(dòng)輸出： 信息系統(tǒng)總體描述文件。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)。活動(dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 劃分方法的選擇一個(gè)組織機(jī)構(gòu)可能運(yùn)行一個(gè)大型信息系統(tǒng)，為了突出重點(diǎn)保護(hù)的等級(jí)保護(hù)原則，應(yīng)對(duì)大型信息系統(tǒng)進(jìn)行劃分，進(jìn)行信息系統(tǒng)劃分的方法可以有多種，可以考慮管理機(jī)構(gòu)、業(yè)務(wù)類型、物理位置等因素，信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)該根據(jù)本單位的具體情況確定一個(gè)系統(tǒng)的分解原則。在信息系統(tǒng)劃分的過程中，應(yīng)該首先考慮組織管理的要素，然后考慮業(yè)務(wù)類型、物理區(qū)域等要素。進(jìn)一步的信息系統(tǒng)詳細(xì)描述文件應(yīng)包含以下內(nèi)容：1) 相對(duì)獨(dú)立信息系統(tǒng)列表；2） 每個(gè)定級(jí)對(duì)象的概述；3) 每個(gè)定級(jí)對(duì)象的邊界；4) 每個(gè)定級(jí)對(duì)象的設(shè)備部署；5) 每個(gè)定級(jí)對(duì)象支撐的業(yè)務(wù)應(yīng)用及其處理的信息資產(chǎn)類型；6) 每個(gè)定級(jí)對(duì)象的服務(wù)范圍和用戶類型；7) 其他內(nèi)容。 安全保護(hù)等級(jí)確定　 定級(jí)、審核和批準(zhǔn)活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是按照國(guó)家有關(guān)管理規(guī)范和GB/T AAAAAAAA，確定信息系統(tǒng)的安全保護(hù)等級(jí)，并對(duì)定級(jí)結(jié)果進(jìn)行審核和批準(zhǔn)，保證定級(jí)結(jié)果的準(zhǔn)確性。活動(dòng)輸入：信息系統(tǒng)總體描述文件，信息系統(tǒng)詳細(xì)描述文件。b) 定級(jí)結(jié)果審核和批準(zhǔn)信息系統(tǒng)運(yùn)營(yíng)、使用單位初步確定了安全保護(hù)等級(jí)后，有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)使用單位或者主管部門應(yīng)當(dāng)邀請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審?！?形成定級(jí)報(bào)告活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是對(duì)定級(jí)過程中產(chǎn)生的文檔進(jìn)行整理，形成信息系統(tǒng)定級(jí)結(jié)果報(bào)告?；顒?dòng)輸入：信息系統(tǒng)總體描述文件，信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)定級(jí)結(jié)果。信息系統(tǒng)定級(jí)結(jié)果報(bào)告可以包含以下內(nèi)容：a) 單位信息化現(xiàn)狀概述；b) 管理模式；c) 信息系統(tǒng)列表；d) 每個(gè)信息系統(tǒng)的概述；e) 每個(gè)信息系統(tǒng)的邊界；f) 每個(gè)信息系統(tǒng)的設(shè)備部署；g) 每個(gè)信息系統(tǒng)支撐的業(yè)務(wù)應(yīng)用；h) 信息系統(tǒng)列表、安全保護(hù)等級(jí)以及保護(hù)要求組合；i) 其他內(nèi)容。6 總體安全規(guī)劃 總體安全規(guī)劃階段的工作流程總體安全規(guī)劃階段的目標(biāo)是根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級(jí)情況、信息系統(tǒng)承載業(yè)務(wù)情況，通過分析明確信息系統(tǒng)安全需求，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施計(jì)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。總體安全規(guī)劃階段的工作流程見圖3。參與角色： 信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)，信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)。活動(dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 確定系統(tǒng)范圍和分析對(duì)象明確不同等級(jí)信息系統(tǒng)的范圍和邊界，通過調(diào)查或查閱資料的方式，了解信息系統(tǒng)的構(gòu)成，包括網(wǎng)絡(luò)拓?fù)洹I(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息、安全措施狀況等。b) 形成評(píng)價(jià)指標(biāo)和評(píng)估方案根據(jù)各個(gè)信息系統(tǒng)的安全保護(hù)等級(jí)從信息系統(tǒng)安全等級(jí)保護(hù)基本要求中選擇相應(yīng)等級(jí)的指標(biāo)，形成評(píng)價(jià)指標(biāo)。c) 現(xiàn)狀與評(píng)價(jià)指標(biāo)對(duì)比通過觀察現(xiàn)場(chǎng)、詢問人員、查詢資料、檢查記錄、檢查配置、技術(shù)測(cè)試、滲透攻擊等方式進(jìn)行安全技術(shù)和安全管理方面的評(píng)估，判斷安全技術(shù)和安全管理的各個(gè)方面與評(píng)價(jià)指標(biāo)的符合程度，給出判斷結(jié)論。活動(dòng)輸出： 基本安全需求。參與角色： 信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)。活動(dòng)描述： 確定特殊安全需求可以采用目前成熟或流行的需求分析/風(fēng)險(xiǎn)分析方法，或者采用下面介紹的活動(dòng)：a) 重要資產(chǎn)的分析明確信息系統(tǒng)中的重要部件，如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、核心網(wǎng)絡(luò)設(shè)備、重要服務(wù)器設(shè)備、重要應(yīng)用系統(tǒng)等。c) 重要資產(chǎn)面臨威脅評(píng)估分析和判斷上述重要部件可能面臨的威脅，包括外部的威脅和內(nèi)部的威脅，威脅發(fā)生的可能性或概率。按照重要資產(chǎn)的排序和風(fēng)險(xiǎn)的排序確定安全保護(hù)的要求。　 形成安全需求分析報(bào)告活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是總結(jié)基本安全需求和特殊安全需求，形成安全需求分析報(bào)告。活動(dòng)輸入：信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，基本安全需求，重要資產(chǎn)的特殊保護(hù)要求。安全需求分析報(bào)告可以包含以下內(nèi)容：1) 信息系統(tǒng)描述；2) 安全管理狀況；3) 安全技術(shù)狀況；4) 存在的不足和可能的風(fēng)險(xiǎn)；5) 安全需求描述。 總體安全設(shè)計(jì)　 總體安全策略設(shè)計(jì)活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是形成機(jī)構(gòu)綱領(lǐng)性的安全策略文件，包括確定安全方針，制定安全策略，以便結(jié)合等級(jí)保護(hù)基本要求和安全保護(hù)特殊要求，構(gòu)建機(jī)構(gòu)信息系統(tǒng)的安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)。活動(dòng)輸入： 信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，安全需求分析報(bào)告。b) 制定安全策略形成機(jī)構(gòu)高層次的安全策略文件，說明安全工作的主要策略，包括安全組織機(jī)構(gòu)劃分策略、業(yè)務(wù)系統(tǒng)分級(jí)策略、數(shù)據(jù)信息分級(jí)策略、子系統(tǒng)互連策略、信息流控制策略等?！?安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求、安全需求分析報(bào)告、機(jī)構(gòu)總體安全策略文件等，提出系統(tǒng)需要實(shí)現(xiàn)的安全技術(shù)措施，形成機(jī)構(gòu)特定的系統(tǒng)安全技術(shù)體系結(jié)構(gòu)，用以指導(dǎo)信息系統(tǒng)分等級(jí)保護(hù)的具體實(shí)現(xiàn)?；顒?dòng)輸入：信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，安全需求分析報(bào)告，信息系統(tǒng)安全等級(jí)保護(hù)基本要求。骨干網(wǎng)/城域網(wǎng)的安全保護(hù)策略和安全技術(shù)措施提出時(shí)應(yīng)考慮網(wǎng)絡(luò)線路和網(wǎng)絡(luò)設(shè)備共享的情況，如果不同級(jí)別的子系統(tǒng)通過骨干網(wǎng)/城域網(wǎng)的同一線路和設(shè)備傳輸數(shù)據(jù)，線路和設(shè)備的安全保護(hù)策略和安全技術(shù)措施應(yīng)滿足最高級(jí)別子系統(tǒng)的等級(jí)保護(hù)基本要求。c) 規(guī)定不同級(jí)別子系統(tǒng)的邊界保護(hù)技術(shù)措施根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求和安全需求，提出不同級(jí)別子系統(tǒng)邊界的安全保護(hù)策略和安全技術(shù)措施。d) 規(guī)定不同級(jí)別子系統(tǒng)內(nèi)部系統(tǒng)平臺(tái)和業(yè)務(wù)應(yīng)用的安全保護(hù)技術(shù)措施根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求和安全需求，提出不同級(jí)別子系統(tǒng)內(nèi)部網(wǎng)絡(luò)平臺(tái)、系統(tǒng)平臺(tái)和業(yè)務(wù)應(yīng)用的安全保護(hù)策略和安全技術(shù)措施。信息系統(tǒng)機(jī)房安全保護(hù)策略和安全技術(shù)措施提出時(shí)應(yīng)考慮不同級(jí)別的信息系統(tǒng)共享機(jī)房的情況，如果不同級(jí)別的信息系統(tǒng)共享同一機(jī)房，機(jī)房的安全保護(hù)策略和安全技術(shù)措施應(yīng)滿足最高級(jí)別信息系統(tǒng)的等級(jí)保護(hù)基本要求?；顒?dòng)輸出： 信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)。 參與角色： 信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)?；顒?dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 規(guī)定信息安全的組織管理體系和對(duì)各信息系統(tǒng)的安全管理職責(zé)根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求和安全需求，提出機(jī)構(gòu)的安全組織管理機(jī)構(gòu)框架，分配各個(gè)級(jí)別信息系統(tǒng)的安全管理職責(zé)，規(guī)定各個(gè)級(jí)別信息系統(tǒng)的安全管理策略等。c) 規(guī)定各等級(jí)信息系統(tǒng)機(jī)房及辦公區(qū)等物理環(huán)境的安全管理策略根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求和安全需求，提出各個(gè)不同級(jí)別信息系統(tǒng)的機(jī)房和辦公環(huán)境的安全策略。e) 規(guī)定各等級(jí)信息系統(tǒng)運(yùn)行安全管理策略根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求和安全需求，提出各個(gè)不同級(jí)別信息系統(tǒng)的安全運(yùn)行與維護(hù)框架和運(yùn)維安全策略等。g) 形成信息系統(tǒng)安全管理策略框架將上述各個(gè)方面的安全管理策略進(jìn)行整理、匯總，形成信息系統(tǒng)的整體安全管理體系結(jié)構(gòu)。　 設(shè)計(jì)結(jié)果文檔化活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是將總體安全設(shè)計(jì)工作的結(jié)果文檔化，最后形成一套指導(dǎo)機(jī)構(gòu)信息安全工作的指導(dǎo)性文件?；顒?dòng)輸入： 安全需求分析報(bào)告，信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)，信息系統(tǒng)安全管理體系結(jié)構(gòu)。信息系統(tǒng)總體安全方案包含以下內(nèi)容：a) 信息系統(tǒng)概述；b) 總體安全策略；c) 信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)；d) 信息系統(tǒng)安全管理體系結(jié)構(gòu)。 安全建設(shè)項(xiàng)目規(guī)劃　 安全建設(shè)目標(biāo)確定活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是依據(jù)信息系統(tǒng)安全總體方案（一個(gè)或多個(gè)文件構(gòu)成）、機(jī)構(gòu)或單位信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃和機(jī)構(gòu)的安全建設(shè)資金狀況確定各個(gè)時(shí)期的安全建設(shè)目標(biāo)?；顒?dòng)輸入：信息系統(tǒng)安全總體方案、機(jī)構(gòu)或單位信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃。b) 提出信息系統(tǒng)安全建設(shè)分階段目標(biāo)制定系統(tǒng)在規(guī)劃期內(nèi)（一般安全規(guī)劃期為3年）所要實(shí)現(xiàn)的總體安全目標(biāo)；制定系統(tǒng)短期（1年以內(nèi)）要實(shí)現(xiàn)的安全目標(biāo)，主要解決目前急迫和關(guān)鍵的問題，爭(zhēng)取在短期內(nèi)安全狀況有大幅度提高?！?安全建設(shè)內(nèi)容規(guī)劃活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是根據(jù)安全建設(shè)目標(biāo)和信息系統(tǒng)安全總體方案的要求，設(shè)計(jì)分期分批的主要建設(shè)內(nèi)容，并將建設(shè)內(nèi)容組合成不同的項(xiàng)目，闡明項(xiàng)目之間的依賴或促進(jìn)關(guān)系等?；顒?dòng)輸入：信息系統(tǒng)安全總體方案，信息系統(tǒng)分階段安全建設(shè)目標(biāo)。主要建設(shè)內(nèi)容可能分解但不限于以下內(nèi)容：1) 安全基礎(chǔ)設(shè)施建設(shè)；2) 網(wǎng)絡(luò)安全建設(shè)；3) 系統(tǒng)平臺(tái)和應(yīng)用平臺(tái)安全建設(shè)；4) 數(shù)據(jù)系統(tǒng)安全建設(shè)；5) 安全標(biāo)準(zhǔn)體系建設(shè)；6) 人才培養(yǎng)體系建設(shè)；7) 安全管理體系建設(shè)?；顒?dòng)輸出： 安全建設(shè)項(xiàng)目列表（含安全建設(shè)內(nèi)容）。 參與角色： 信息系統(tǒng)運(yùn)營(yíng)、使用單位，信息安全服務(wù)機(jī)構(gòu)?；顒?dòng)描述：對(duì)信息系統(tǒng)分階段安全建設(shè)目標(biāo)、安全總體方案和安全建設(shè)內(nèi)容等文檔進(jìn)行整理，形成信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃?；顒?dòng)輸出： 信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃。安全設(shè)計(jì)與實(shí)施階段的工作流程見圖4。使得在信息安全產(chǎn)品采購(gòu)和安全控制開發(fā)階段具有依據(jù)?；顒?dòng)輸入：信息系統(tǒng)安全總體方案，信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃，各類信息技術(shù)產(chǎn)品和信息安全產(chǎn)品技術(shù)白皮書。b) 功能要求設(shè)計(jì)對(duì)安全實(shí)現(xiàn)技術(shù)框架中使用到的相關(guān)信息安全產(chǎn)品，如防火墻、VPN、網(wǎng)閘、認(rèn)證網(wǎng)關(guān)、代理服務(wù)器、網(wǎng)絡(luò)防病毒、PKI等提出功能指標(biāo)要求。c) 性能要求設(shè)計(jì)對(duì)安全實(shí)現(xiàn)技術(shù)框架中使用到的相關(guān)信息安全產(chǎn)品，如防火墻、VPN、網(wǎng)閘、認(rèn)證網(wǎng)關(guān)、代理服務(wù)器、網(wǎng)絡(luò)防病毒、PKI等提出性能指標(biāo)要求。d) 部署方案設(shè)計(jì)結(jié)合目前信息系統(tǒng)網(wǎng)絡(luò)拓?fù)?，以圖示的方式給出安全技術(shù)實(shí)現(xiàn)框架的實(shí)現(xiàn)方式，包括信息安全產(chǎn)品或安全組件的部署位置、連線方式、IP地址分配等。e) 制定安全策略實(shí)現(xiàn)計(jì)劃依據(jù)信息系統(tǒng)安全總體方案中提出的安全策略的要求，制定設(shè)計(jì)和設(shè)置信息安全產(chǎn)品或安全組件的安全策略實(shí)現(xiàn)計(jì)劃。　 管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是根據(jù)機(jī)構(gòu)當(dāng)前安全管理需要和安全技術(shù)保障需要提出與信息系統(tǒng)安全總體方案中管理部分相適應(yīng)的本期安全實(shí)施內(nèi)容，以保證安全技術(shù)建設(shè)的同時(shí)，安全管理的同步建設(shè)?；顒?dòng)輸入：信息系統(tǒng)安全總體方案，信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃。安全管理設(shè)計(jì)的內(nèi)容主要考慮：安全管理機(jī)構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等?！?設(shè)計(jì)結(jié)果文檔化活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是將技術(shù)措施落實(shí)方案、管理措施落實(shí)方案匯總，同時(shí)考慮工時(shí)和費(fèi)用，最后形成指導(dǎo)安全實(shí)施的指導(dǎo)性文件。活動(dòng)輸入：技術(shù)措施落實(shí)方案，管理措施落實(shí)方案。安全詳細(xì)設(shè)計(jì)方案包含以下內(nèi)容：a) 本期建設(shè)目標(biāo)和建設(shè)內(nèi)容；b) 技術(shù)實(shí)現(xiàn)框架；c) 信息安全產(chǎn)品或組件功能及性能；d) 信息安全產(chǎn)品或組件部署；e) 安全策略和配置；f) 配套的安全管理建設(shè)內(nèi)容；g) 工程實(shí)施計(jì)劃；h) 項(xiàng)目投資概算。 管理措施實(shí)現(xiàn)　 管理機(jī)構(gòu)和人員的設(shè)置活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是建立配套的安全管理職能部門，通過管理機(jī)構(gòu)的崗位設(shè)置、人員的分工以及各種資源的配備，為信息系統(tǒng)的安全管理提供組織上的保障?；顒?dòng)輸入：機(jī)構(gòu)現(xiàn)有相關(guān)管理制度和政策，安全詳細(xì)設(shè)計(jì)方案。b) 角色說明以書面的形式詳細(xì)描述每個(gè)角色與職責(zé)，確保有人對(duì)所有的風(fēng)險(xiǎn)負(fù)責(zé)?！?管理制度的建設(shè)和修訂活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是建設(shè)或修訂與信息系統(tǒng)安全管理相配套的、包括所有信息系統(tǒng)的建設(shè)、開發(fā)、運(yùn)維、升級(jí)和改造等各個(gè)階段和環(huán)節(jié)所應(yīng)當(dāng)遵循的行為規(guī)范和操作規(guī)程?；顒?dòng)輸入：安全組織結(jié)構(gòu)表，安全成員及角色說明書，安全詳細(xì)設(shè)計(jì)方案。b) 人員職責(zé)定義管