等级保护实施课件.pptx

1、信息系统安全等级保护实施指南程晓峰课程要点 等级保护实施指南目标 等级保护实施的主要阶段 各阶段主要过程和输入输出介绍实施实施指南编指南编制的主要思路制的主要思路以信息系统等级保护建设为主要线索 定义信息系统等级保护实施的生命周期 对每个阶段介绍和描述主要的实施活动 对每个活动说明实施主体、主要内容和输入输出 等级保护实施基本原则自主保护原则重点保护原则同步建设原则动态调整原则等级保护实施过程中的角色和职责等级保护信息系统国家管理部门信息系统主管部门信息系统运营、使用单位信息安全服务机构信息安全等级测评机构信息安全产品供应商监督督促实施协助测评提供等级保护实施阶段等级保护实施阶段等级变更局部调

2、整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止废弃运维实施设计启动信息系统全生命周期系统系统定级定级规划规划设计设计安全安全实施实施安全运维（变更管理安全运维（变更管理/定期安定期安全测评全测评/监督检查）监督检查）系统系统终止终止启动阶段启动阶段设计设计/开发阶段开发阶段实施阶段实施阶段运行维护阶段运行维护阶段废弃废弃阶段阶段系统定级系统定级安全实施安全实施安全运维（变更管理安全运维（变更管理/定期安全测评定期安全测评/监督检查）监督检查）系统系统终止终止已建信息系统等级保护实施过程已建信息系统等级保护实施过程新建信息系统等级保护实施过程实程新建信息系统等级保护实施过程实程

3、信息系统生命周期信息系统生命周期规划设计规划设计实施指南描述特点实施指南描述特点阶段过程活动子活动信息系统定级信息系统分析系统识别和描绘识别信息系统的基本信息识别信息系统的管理框架实施指南概念信息系统生命周期阶段阶段主要过程活动阶段目标过程目标子活动活动流程参与角色工作内容输入与输出主要阶段和主要过程系统定级 信息系统分析 安全保护等级确定总体规划 安全需求分析 安全总体设计 安全建设规划设计实施 安全方案详细设计 等级保护管理实施 等级保护技术实施安全运维 运行管理和控制 变更管理和控制 安全状态监控 安全事件处置与应急预案 安全检查和持续改进 等级保护安全测评 信息系统备案 等级保护监督检

4、查系统终止 信息转移、暂存或清除 设备迁移或废弃 存储戒指的清除或销毁信息系统定级信息系统定级信息系统分析系统识别与描述信息系统划分安全保护等级确定定级、审核和批准形成定级报告总体安全规划总体安全规划安全需求分析基本安全需求确定特殊安全需求确定形成安全需求分析报告总体安全设计总体安全策略设计安全技术体系设计整体安全管理体系设计设计结果文档化安全建设项目规划安全建设目标确定安全建设内容规划形成安全建设项目计划安全设计与实施安全设计与实施安全方案详细设计技术措施内容设计管理措施内容设计设计结果文档化管理措施实施管理机构和人员设置管理制度的建设和修订人员安全技能培训安全实施过程管理技术措施实施信息安

5、全产品采购安全控制开发安全控制集成系统验收安全运行与维护（一）安全运行与维护（一）运行管理和控制运行管理职责确定运行管理过程控制变更管理和控制变更需求和影响分析变更过程控制安全状态监控监控对象确定监控对象状态信息收集监控状态分析报告安全运行与维护（二）安全运行与维护（二）安全事件处置和应急预案安全事件分级应急预案制定安全事件处置安全检查和持续改进安全状态检查改进方案制定安全改进实施等级测评安全运行与维护（三）信息系统终止重要输出文件信息系统详细描述文件信息系统安全保护等级定级报告（定级）安全需求分析报告信息系统安全总体方案（规划）信息系统安全建设项目计划安全详细设计方案（实施）角色与职责说明书各项管理制度和操作规范系统验收报告（实施）运行管理人员角色和职责表各类运行管理操作规程变更结果报告安全状态分析报告安全事件报告程序各类应急预案安全时间处置报告安全检查报告安全改进方案测试或验收报告（运维）安全等级测评报告（运维）备案材料（运维）监督检查结果报告广东省等级保护实施流程重点回顾 实施指南目标P4 等级保护实施基本原则P7 实施过程中的角色和职责P8 实施五大阶段P9 重要输出文件（六份）P30