明确主管领导、落实责任部门 落实安全岗位和人员 信息系统安全管理现状分析 确定安全管理策略、制定安全管理制度 落实安全管理措施 人员安全管理 系统运维管理 系统建设管理 环境和资产管理事件处置和应急响应 设备和介质管理 灾难备份 日常运行维护 安全监测 集中安全管理 安全自查和调整 图4:信息系统安全管理建设整改工作流程 2.1落实信息安全责任制 明确领导机构和责仼部门,设立或明确信息安全领导机构,明确主管领导, 落实责任部门。建立岗位和人员管理制度,根据职责分工,分别设置安全管理机 构和岗位,明确每个岗位的职责与任务,落实安全管理责任制。建立安全教育和 培训制度,对信息系统运维人员、管理人员、使用人员等定期进行培训和考核, 提高相关人员的安全意识和操作水平。具体依据《基本要求》中的“安全管理机 构”内容,同时可以参照《信息系统安全管理要求》等。 2.2信息系统安全管理现状分析 在开展信息系统安全管理建设整改之前,通过开展信息系统安全管理现状分
图 4:信息系统安全管理建设整改工作流程 2.1 落实信息安全责任制 明确领导机构和责任部门,设立或明确信息安全领导机构,明确主管领导, 落实责任部门。建立岗位和人员管理制度,根据职责分工,分别设置安全管理机 构和岗位,明确每个岗位的职责与任务,落实安全管理责任制。建立安全教育和 培训制度,对信息系统运维人员、管理人员、使用人员等定期进行培训和考核, 提高相关人员的安全意识和操作水平。具体依据《基本要求》中的“安全管理机 构”内容,同时可以参照《信息系统安全管理要求》等。 2.2 信息系统安全管理现状分析 在开展信息系统安全管理建设整改之前,通过开展信息系统安全管理现状分 明确主管领导、落实责任部门 落实安全岗位和人员 信息系统安全管理现状分析 挂项目实施方案详细设计 确定安全管理策略、制定安全管理制度 安全自查和调整 系统建设管理 落实安全管理措施 人员安全管理 环境和资产管理 设备和介质管理 日常运行维护 集中安全管理 事件处置和应急响应 灾难备份 安全监测 …… 系统运维管理
析,査找信息系统安全管理建设整改需要解决的问题,明确信息系统安全管理建 设整改的需求 可以依据《基本要求》等标准,采取对照检査、风险评估、等级测评等方法, 分析判断目前所采取的安全管理措施与等级保护标准要求之间的差距,分析系统 已发生的事件或事故,分析安全管理方面存在的问题,形成安全管理建设整改的 需求并论证。 2.3确定安全管理策略,制定安全管理制度 根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管 理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期 检査制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系。 具体依据《基本要求》中的“安全管理制度”内容,同时可以参照《信息系统安 全管理要求》等。 2.4落实安全管理措施 2.4.1人员安全管理 人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员 录用、离岗、过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗 位技能培训和相关安全技术培训,对关键岗位的人员进行全面、严格的安全审查 和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。具体 依据《基本要求》中的“人员安全管理”内容,同时可以参照《信息系统安全管 理要求》等。 2.4.2系统运维管理 2.4.2.1环境和资产安全管理 明确环境(包括主机房、辅杋房、办公环境等)安全管理的责仼部门或责仼 人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全 等方面作出规定。对重要区域设置门禁控制手段,或使用视频监控等措施。明确 资产(包括介质、设备、设施、数据和信息等)安全管理的责任部门或责任人, 对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单 具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统安 全管理要求》等
析,查找信息系统安全管理建设整改需要解决的问题,明确信息系统安全管理建 设整改的需求。 可以依据《基本要求》等标准,采取对照检查、风险评估、等级测评等方法, 分析判断目前所采取的安全管理措施与等级保护标准要求之间的差距,分析系统 已发生的事件或事故,分析安全管理方面存在的问题,形成安全管理建设整改的 需求并论证。 2.3 确定安全管理策略,制定安全管理制度 根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管 理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期 检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系。 具体依据《基本要求》中的“安全管理制度”内容,同时可以参照《信息系统安 全管理要求》等。 2.4 落实安全管理措施 2.4.1 人员安全管理 人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员 录用、离岗、过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗 位技能培训和相关安全技术培训,对关键岗位的人员进行全面、严格的安全审查 和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。具体 依据《基本要求》中的“人员安全管理”内容,同时可以参照《信息系统安全管 理要求》等。 2.4.2 系统运维管理 2.4.2.1 环境和资产安全管理 明确环境(包括主机房、辅机房、办公环境等)安全管理的责任部门或责任 人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全 等方面作出规定。对重要区域设置门禁控制手段,或使用视频监控等措施。明确 资产(包括介质、设备、设施、数据和信息等)安全管理的责任部门或责任人, 对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。 具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统安 全管理要求》等
2.4.2.2设备和介质安全管理 明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的 各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、 使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监 督控制。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信 息系统安全管理要求》等。 2.4.2.3日常运行维护 明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操 作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管 理,制订相应的管理制度和操作规程并落实执行。具体依据《基本要求》中的“系 统运维管理”内容,同时可以参照《信息系统安全管理要求》等 2.4.2.4集中安全管理 第三级(含)以上信息系统应按照统一的安全策略、安全管理要求,统一管 理信息系统的安全运行,进行安全机制的配置与管理,对设备安全配置、恶意代 码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对 安全机制进行集中管理。具体依据《基本要求》中的“系统运维管理”内容,同 时可以参照《信息系统等级保护安全设计技术要求》和《信息系统安全管理要求》 等 2.4.2.5事件处置与应急响应 按照国家有关标准规定,确定信息安全事件的等级。结合信息系统安全保护 等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥 部门、执行部门和技术支撑部门,建立应急协调机制。落实安全事件报告制度, 第三级(含)以上信息系统发生较大、重大、特别重大安全事件时,运营使用单 位按照相应预案开展应急处置,并及时向受理备案的公安机关报告。组织应急技 术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。具体依据《基本 要求》中的“系统运维管理”内容,同时可以参照《信息安全事件分类分级指南》 和《信息安全事件管理指南》等。 2.4.2.6灾难备份 要对第三级(含)以上信息系统采取灾难备份措施,防止重大事故、事件发
2.4.2.2 设备和介质安全管理 明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的 各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、 使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监 督控制。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信 息系统安全管理要求》等。 2.4.2.3 日常运行维护 明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操 作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管 理,制订相应的管理制度和操作规程并落实执行。具体依据《基本要求》中的“系 统运维管理”内容,同时可以参照《信息系统安全管理要求》等。 2.4.2.4 集中安全管理 第三级(含)以上信息系统应按照统一的安全策略、安全管理要求,统一管 理信息系统的安全运行,进行安全机制的配置与管理,对设备安全配置、恶意代 码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对 安全机制进行集中管理。具体依据《基本要求》中的“系统运维管理”内容,同 时可以参照《信息系统等级保护安全设计技术要求》和《信息系统安全管理要求》 等。 2.4.2.5 事件处置与应急响应 按照国家有关标准规定,确定信息安全事件的等级。结合信息系统安全保护 等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥 部门、执行部门和技术支撑部门,建立应急协调机制。落实安全事件报告制度, 第三级(含)以上信息系统发生较大、重大、特别重大安全事件时,运营使用单 位按照相应预案开展应急处置,并及时向受理备案的公安机关报告。组织应急技 术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。具体依据《基本 要求》中的“系统运维管理”内容,同时可以参照《信息安全事件分类分级指南》 和《信息安全事件管理指南》等。 2.4.2.6 灾难备份 要对第三级(含)以上信息系统采取灾难备份措施,防止重大事故、事件发
生。识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备 份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。具体依据《基本 要求》中的“系统运维管理”内容和《信息系统灾难恢复规范》。 2.4.2.7安全监测 开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备 用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、 误用和误操作等安全事件,以便及时对安全事件进行响应与处置。具体依据《基 本要求》中的“系统运维管理”。 2.4.2.8其他安全管理 对系统运行维护过程中的其它活动,如系统变更、密码使用等进行控制和管 理。按国家密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级 管理。 2.5系统建设管理 制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使 用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部 门、具体管理内容和控制方法,并按照管理制度落实各项管理措施。具体依据《基 本要求》中的“系统建设管理”内容。 2.6安全自查与调整 制定安全检査制度,明确检査的内容、方式、要求等,检査各项制度、措施 的落实情况,并不断完善。定期对信息系统安全状况进行自查,第三级信息系统 每年自查一次,第四级信息系统每半年自査一次。经自査,信息系统安全状况未 达到安全保护等级要求的,应当进一步开展整改。具体依据《基本要求》中的“安 全管理机构”内容,同时可以参照《信息系统安全管理要求》等。信息系统安全 管理建设整改工作完成后,安全管理方面的等级测评与安全技术方面的测评工作 并进行。 3安全技术措施建设 按照国家有关规定,依据《基本要求》,参照《信息系统通用安全技术要求》 《信息系统等级保护安全设计技术要求》等标准规范要求,开展信息系统安全技 术建设整改工作。工作流程见图5
生。识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备 份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。具体依据《基本 要求》中的“系统运维管理”内容和《信息系统灾难恢复规范》。 2.4.2.7 安全监测 开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备、 用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、 误用和误操作等安全事件,以便及时对安全事件进行响应与处置。具体依据《基 本要求》中的“系统运维管理”。 2.4.2.8 其他安全管理 对系统运行维护过程中的其它活动,如系统变更、密码使用等进行控制和管 理。按国家密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级 管理。 2.5 系统建设管理 制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使 用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部 门、具体管理内容和控制方法,并按照管理制度落实各项管理措施。具体依据《基 本要求》中的“系统建设管理”内容。 2.6 安全自查与调整 制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施 的落实情况,并不断完善。定期对信息系统安全状况进行自查,第三级信息系统 每年自查一次,第四级信息系统每半年自查一次。经自查,信息系统安全状况未 达到安全保护等级要求的,应当进一步开展整改。具体依据《基本要求》中的“安 全管理机构”内容,同时可以参照《信息系统安全管理要求》等。信息系统安全 管理建设整改工作完成后,安全管理方面的等级测评与安全技术方面的测评工作 一并进行。 3 安全技术措施建设 按照国家有关规定,依据《基本要求》,参照《信息系统通用安全技术要求》、 《信息系统等级保护安全设计技术要求》等标准规范要求,开展信息系统安全技 术建设整改工作。工作流程见图 5
信息系统安全保护技术现状分析 确定安全策略,开展建设整改技术方案总体设计 开展建设整改技术方案详细设计 开展建设整改技术方案论证和评审 建设并落实安全技术措施 物理安全 通信网络安全 域边界安 主机系统安全 用系统安全 备份和恢复 工程实施及验收 不符合标准要求 等级测评 图5:信息系统安全技术建设整改工作流程 3.1信息系统安全保护技术现状分析 了解掌握信息系统现状,分析信息系统的安全保护状况,明确信息系统安全 技术建设整改需求,为安全建设整改技术方案设计提供依据 1信息系统现状分析 了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业 务应用情况,分析信息系统的边界、构成和相互关联情况,分析网络结构、内部 区域、区域边界以及软、硬件资源等。具体可参照《信息系统安全等级保护实施 指南》中“信息系统分析”的内容
图 5:信息系统安全技术建设整改工作流程 3.1 信息系统安全保护技术现状分析 了解掌握信息系统现状,分析信息系统的安全保护状况,明确信息系统安全 技术建设整改需求,为安全建设整改技术方案设计提供依据。 3.1.1 信息系统现状分析 了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业 务应用情况,分析信息系统的边界、构成和相互关联情况,分析网络结构、内部 区域、区域边界以及软、硬件资源等。具体可参照《信息系统安全等级保护实施 指南》中“信息系统分析”的内容。 信息系统安全保护技术现状分析 开展建设整改技术方案详细设计 工程实施及验收 项目实施方案详细设计 等级测评 不符合标准要求 开展建设整改技术方案论证和评审 确定安全策略,开展建设整改技术方案总体设计 通 信 网 络 安 全 物 理 安 全 。。。。 项 目 实 施 方 案 详 细 设 计 应 用 系 统 安 全 区 域 边 界 安 全 主 机 系 统 安 全 备 份 和 恢 复 建设并落实安全技术措施