信息系统安全等级保护实施指南(2)

GB/T XXXX – XXXX

a) 国家管理部门

公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

b) 信息系统主管部门

负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

c) 信息系统运营、使用单位

负责依照国家信息安全等级保护的管理规范和技术标准，确定其信息系统的安全保护等级，有主管部门的，应当报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手续；按照国家信息安全等级保护管理规范和技术标准，进行信息系统安全保护的规划设计；使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品和信息安全产品，开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度，定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同等级信息安全事件的响应、处置预案，对信息系统的信息安全事件分等级进行应急处置。

d) 信息安全服务机构

负责根据信息系统运营、使用单位的委托，依照国家信息安全等级保护的管理规范和技术标准，协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。

e) 信息安全等级测评机构

负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权，协助信息系统运营、使用单位或国家管理部门，按照国家信息安全等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行等级测评；对信息安全产品供应商提供的信息安全产品进行安全测评。

f) 信息安全产品供应商

负责按照国家信息安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品，接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务。 4.3 实施的基本流程

对信息系统实施等级保护的基本流程见图1。

2

GB/T XXXX – XXXX

信息系统终止 局部调整 安全运行与维护 安全设计与实施 总体安全规划 等级变更 信息系统定级 图1 信息系统安全等级保护实施的基本流程

在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。

3

GB/T XXXX – XXXX

5 信息系统定级

5.1 信息系统定级阶段的工作流程

信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA，确定信息系统的安全保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。

信息系统定级阶段的工作流程见图2。

5.2 信息系统分析 5.2.1 系统识别和描述

活动目标：

本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息进行综合分析和整理，依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。

参与角色：信息系统运营、使用单位，信息安全服务机构。 活动输入：信息系统的立项、建设和管理文档。 活动描述：

本活动主要包括以下子活动内容： a) 识别信息系统的基本信息

调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况，获得信息系统的背景信息和联络方式。

b) 识别信息系统的管理框架

了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责，获得支持信息系统业务运营的管理特征和管理框架方面的信息，从而明确信息系统的安全责任主体。

4

信息系统总体描述文件 信息系统详细描述文件 安全保护等级确定 输入

主要过程

输出

信息系统立项文档 信息系统建设文档 信息系统管理文档 信息系统分析 信息系统总体描述文件 信息系统详细描述文件 信息系统安全保护等级 定级报告 图2 信息系统定级阶段工作流程

GB/T XXXX – XXXX

c) 识别信息系统的网络及设备部署

了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况，在此基础上明确信息系统的边界，即确定定级对象及其范围。

d) 识别信息系统的业务种类和特性

了解机构内主要依靠信息系统处理的业务种类和数量，这些业务各自的社会属性、业务内容和业务流程等，从中明确支持机构业务运营的信息系统的业务特性，将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。

e) 识别业务系统处理的信息资产

了解业务系统处理的信息资产的类型，这些信息资产在保密性、完整性和可用性等方面的重要性程度。

f) 识别用户范围和用户类型

根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。 g) 信息系统描述

对收集的信息进行整理、分析，形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应包含以下内容：

1) 系统概述； 2) 系统边界描述； 3) 网络拓扑； 4) 设备部署；

5) 支撑的业务应用的种类和特性； 6) 处理的信息资产； 7) 用户的范围和用户类型； 8) 信息系统的管理框架。

5.2.2 信息系统划分

活动目标：

本活动的目标是依据信息系统的总体描述文件，在综合分析的基础上将组织机构内运行的信息系统进行合理分解，确定所包含可以作为定级对象的信息系统的个数。

参与角色：信息系统运营、使用单位，信息安全服务机构。 活动输入：信息系统总体描述文件。 活动描述：

本活动主要包括以下子活动内容： a) 划分方法的选择

一个组织机构可能运行一个大型信息系统，为了突出重点保护的等级保护原则，应对大型信息系统进行划分，进行信息系统划分的方法可以有多种，可以考虑管理机构、业务类型、物理位置等因素，信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。

b) 信息系统划分

依据选择的系统划分原则，将一个组织机构内拥有的大型信息系统进行划分，划分出相对独立的信

5

活动输出： 信息系统总体描述文件。

GB/T XXXX – XXXX

息系统并作为定级对象，应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中，应该首先考虑组织管理的要素，然后考虑业务类型、物理区域等要素。

c) 信息系统详细描述

在对信息系统进行划分并确定定级对象后，应在信息系统总体描述文件的基础上，进一步增加信息系统划分信息的描述，准确描述一个大型信息系统中包括的定级对象的个数。

进一步的信息系统详细描述文件应包含以下内容：

1) 相对独立信息系统列表； 2） 每个定级对象的概述； 3) 每个定级对象的边界； 4) 每个定级对象的设备部署；

5) 每个定级对象支撑的业务应用及其处理的信息资产类型； 6) 每个定级对象的服务范围和用户类型； 7) 其他内容。

活动输出： 信息系统详细描述文件。 5.3 安全保护等级确定 5.3.1 定级、审核和批准

活动目标：

本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA，确定信息系统的安全保护等级，并对定级结果进行审核和批准，保证定级结果的准确性。

参与角色：信息系统主管部门，信息系统运营、使用单位，信息安全服务机构。 活动输入：信息系统总体描述文件，信息系统详细描述文件。 活动描述：

本活动主要包括以下子活动内容： a) 信息系统安全保护等级初步确定

根据国家有关管理规范和GB/T AAAA-AAAA确定的定级方法，信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。

b) 定级结果审核和批准

信息系统运营、使用单位初步确定了安全保护等级后，有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。

活动输出：信息系统定级评审意见。 5.3.2 形成定级报告

活动目标：

本活动的目标是对定级过程中产生的文档进行整理，形成信息系统定级结果报告。 参与角色：信息系统主管部门，信息系统运营、使用单位。

活动输入：信息系统总体描述文件，信息系统详细描述文件，信息系统定级结果。 活动描述：

对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进

6

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库信息系统安全等级保护实施指南(2)在线全文阅读。