27.信息系统安全等级保护实施指南.docx

A1.息系统安全等霰保护卖IMI1.1.前言本标准的附录A是规范性冏录。本标准由公安部和全国信息安全标准化技术委员会提出.本标准由全国信恩安全标准化技术委员会归11.本标准起草单位；公安部信息安全等皱保护评估中心.本标准主要起草人：毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥.引古依据£中华人民共和国计算机信息系统安全保护条例3国务院147号令）、£国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号、关于信息安全等侬保护工作的实施意见3（公通字2004）66号）和信息安全等级保护管理办法（公通字2007143号）,制定本标准.本标准是信恩安全等级保护相关系列标准之一.与木标准相关的系列标准包括：-GBTTAAAA-AAAA信息安全技术信息系统安全等级保护定级指南：一GB-1TBBBB-BBBB信息安全技术信息系统安全等级保护基本要求.在对信息系统实施信息安全等欲保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关信息安全等级保护的标准开展工作.在信息系统定级阶段，应按照GB，TAAAA-AAAA介绍的方法,确定信息系统安全保护等级。在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段，应按照GB17859-1999.GBTBBBBBBBB.GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行雉护管理工作。GB17859-1999.GB,BBBB-BBBB.GBT20269-2006、GBT202702006和GB,T20271-2006等技术标准是信息系统安全等级保护的系列相关欧套标准.其中GB17859-1999是基础性标准.GB1T202692006.GB420270-2006和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展，GB,TBBBB-BBBB是以GB17859-1999为塞础，根据现疔技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求，是其他标准的一个底线子集，对信息系统的安全等级保护应从GB/TBBBBBBBB出发.在保证信息系统满足基本安全要求的基础上，逐步提高电信息系统的保妒水平,最终满足GB17859-1999、GBT202692006.GBXT20270-2006和GB120271-2006等标准的要求。除本标准和上述提到的标准外，在信息系统安全等级保护实施过程中，还可参照和使用GB.T20272-2006和GB.T20273-2006等其它等级保护相关技术标准.信息系统安全等级保妒实施指附1范困本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施.2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款.凡是注H期的引用文件,其随后所有的修改堆（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本，凡是不注明”期的引用文件，其以新版本适用于本标准。GB.'T5271.8倍息技术词汇笫8部分：安全GB17859-1999计算扒信息系统安全保护等级划分准则GBzTAAAA-AAAA信息安全技术佰恩系统安全等徼保护定级指南3术语和定义GB.'T5271.8和GB17859-1999确立的以及卜列术语和定义透用于本标准，3.1等级测评c1.assifiedsecuritytestingandeva1.uation确定信息系统安全保护能力是否达到相应等级整本要求的过理，4等级保护实能柢述4.1基本原则信息系统安全等级保妒的核心是对估恩系统分等级、按标准进行建设、管埋和监侪.伯思系统安全等级保护实施过程中应遵循以下班本原则：a）自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法现和标准,自主确定信息系统的安全保护等级.自行组织实脩安全保护.b）Hi点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等姒的信息系统，实现不同强度的安全保护,集中资源优先保护涉及核心业务或关隧信息资产的信息系统.0同步建设厚则信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。d）动态调整原则要堪踪信息系统的变化情况，啊整安全保护措施,由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理现范和技术标准的要求，至新确定信息系统的安全保护等级，根据信恩系统安全保护等级的遍整情况，重新实勘安全保护。4.2 角色和职责信息系统安全等级保妒实施过程中涉及的各类角色和职员如下：a）国家笆理部门公安机关负资信息安全等级保护工作的监督、检查、指导：国家保密工作部门负责等娘保护工作中有关保密工作的监督、检查、指导：国家密码管理部门负责等级保护工作中仃关*：科I：作的监督、脸查、指导：涉及其他职能部门管咕范用的事项，由有关职能部门依照国家法律法规的规定进行管理：国分院信息化工作办公室及地方信息化领导小祖办干机构负贡等级保护工作的部门间协调。b）信息系统主管部门负我依照国家信息安全等级保护的管理烷范和技术标准,督促、检查和拒寻本行业、本部门或者本地区信息系统运营、使用单位的信息安全等欲保护工作.c）信息系统运营、使用单位负货依照国家信息安全等侬保护的管理规范和技术标准，确定其信息系统的安全保护等级，有主管部门的,应当报其主管部门审核批准：根据已经确定的安全保护等级.到公安机关办理符案手续：按照国家信息安全等级保护管理规范和技术标准，进行信息系统安全保护的规划设计：使用符合国家有关现定，满足信息系统安全保护等级需求的信息技术产品和信息安全产品，开展信息系统安全建i殳或者改建工作；制定、落实各项安全管理制度，定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构.定期进行等级测评：制定不同等级信息安全期件的响应、处置预案，对信息系统的恰恩安全事件分等欲进行应急处置.d）信息安全服务机构负成根据信息系统运营、使用单位的委托，依照国家信刖安全等娘保护的管理规范和技术标准，协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全备求分析、安全总体现划、实施安全建设和安全改造等.e）信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,仍助信息系统运营、使用单位或国家管理部门.按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级刈评：财伯恩安全产丛供应商提供的信息安全产品诳行安全测评.I）信息安全产品供应商负或按照国家信息安全等缎保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品,接受安全测评：按照等级保护相关要求俏售信息安全产品并提供相关服务.4.3 实施的基本诋程在安全运行与维护阶段,信息系统因需求变化等原因导致局部谓整,而系统的安全保护等级并未改变.应从安全运行与维护阶段进入安全设计与实脩阶段，曳新设计、诩整和实施安全措施,确保满足等级保护的要求：但信息系统发生正大变更导致系统安全保护等级变化时，应从安全运行与维护阶段迸入信息系统定圾阶段，重新开始一轮信息安全等级保护的实施过程。5信息系统定级5.1 信息系定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家行关管理规范和GBrrAAAA-AAAA.确定信息系统的安全保护等级,信史系统运营、使用单位有主管部门的，应当经主管部门审核批准.5.2 信息系统分析5.2.1 系统浜别和描述活动目标：木活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息迸行媒合分析和整理，依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。参与角色,信息系统运营'使用单位信息安全服务机构.活动输入：信息系统的立项、建设和管理文档.活动描述；本活动主要包括以下子活动内容：a）识别信息系统的基本信息网杏了解信恩系统的行业特征、主管机内、业务范围、地理位at以及信息系统基本情况，扶解信息系统的背景信息和联络方式。b）识别信息系统的管理框架/解信息系统的组织管理结构、管理策略、部门设置和部门在业务场行中的作用、岗位职费.获得支持信息系统业务运营的管埋特征和管理框架方面的佑息，从而明确信息系统的安全贡任主体.c）识别信息系统的网络及设备部署r解信息系统的物理坏境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界.即确定定级对软及其范围.d）识别信息系统的业务种类和特性了解机构内主要依他信息系统处理的业务种类和数量，这”业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,符承敬比较单一的业务应用或者承就相对独立的业务应用的伯息系统作为垠独的定级对象.e）识别业务系统处理的信息资产了解业务系统处理的信息资产的类鞭，这"信息资产在保密性、完整性和UJFH性等方面的重要性程度，f）识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范困、作用以及业务连续性方面的要求等.g）信息系统描述对收集的信总进行整理'分析,形成对信息系统的总体描述文件。一个典鞭的信息系统的总体描述文件应包含以下内容：1）系统概述：2）系统边界描述；3）网络拓扑；4）设备部署:5）支摔的业务应用的种类和特性：6）处理的信息资产：7）用户的范附和用户类型：8）信息系统的管理框架.活动输出：信总系统总体描述文件.5.2.2 信息系统划分活动目标：本活动的目标是依捌信息系统的总体描述文件,在琮合分析的基础上将组织机构内运行的信息系统进行合理分解，确定所包含可以作为定级对象的信息系统的个数.参与角色：信息系统运营、使用单位，信息安全服务机构，活动输入：信息系统总体描述文件。活动描述：本活动主要包括以下子活动内容：a）划分方法的选择一个组织机构Ur能运行一个大型信息系统，为了突出重点保护的等媛保护原则，应对大型信刖系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本埴位的具体情况确定一个系统的分解原则.6信息系统划分依据选择的系统划分原则，将一个组织机构内拥有的大型信息系统进行划分.划分出相对独立的信息系统并作为定级对象.应保证每个相对独立的信息系统具否定级对我的基本特征.在信息系统划分的过程1«,应该首先考虑组织管埋的要素.然后考虑业分类型、物理区域等要素.c）信息系统详细描述在对信息系统进行划分并确定定级对象后，应在信息系统总体描述文件的基础上，进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数.进一步的信息系统详细描述文件应包含以下内容：1）相对独立信息系统列表；2）短个定级对象的概述：3）极个定级对故的边界：4）每个定徼对望的设备部潜：5）每个定例对象支撑的业务应用及其处理的信息资产类型：6）每个定级对象的眼务葩曲和用户类型：7）其他内容.活动输出：信忠系统详细描述文件.5.3 安全保护等级确定5.3.1 定级、审核和批准活动目标：本活动的目标是按照国家有关管理规范和G&TAAAA-AAAA,确定佶.&系统的安全保护