信息系统安全等级保护实施指南(5)

GB/T XXXX – XXXX

理制度的配套、人员安全管理技能的配套等。

活动输出：管理措施落实方案。 7.2.3 设计结果文档化

活动目标：

本活动的目标是将技术措施落实方案、管理措施落实方案汇总，同时考虑工时和费用，最后形成指导安全实施的指导性文件。

参与角色：信息系统运营、使用单位，信息安全服务机构。 活动输入：技术措施落实方案，管理措施落实方案。 活动描述：

对技术措施落实方案中技术实施内容和管理措施落实方案中管理实施内容等文档进行整理，形成信息系统安全建设详细设计方案。

安全详细设计方案包含以下内容： a) 本期建设目标和建设内容； b) 技术实现框架；

c) 信息安全产品或组件功能及性能； d) 信息安全产品或组件部署； e) 安全策略和配置； f) 配套的安全管理建设内容； g) 工程实施计划； h) 项目投资概算。

活动输出：安全详细设计方案。 7.3 管理措施实现

7.3.1 管理机构和人员的设置

活动目标：

本活动的目标是建立配套的安全管理职能部门，通过管理机构的岗位设置、人员的分工以及各种资源的配备，为信息系统的安全管理提供组织上的保障。

参与角色： 信息系统运营、使用单位，信息安全服务机构。 活动输入：机构现有相关管理制度和政策，安全详细设计方案。 活动描述：

本活动主要包括以下子活动内容： a) 安全组织确定

识别与信息安全管理有关的组织成员及其角色，例如：操作人员、文档管理员、系统管理员、安全管理员等，形成安全组织结构表。

b) 角色说明

以书面的形式详细描述每个角色与职责，确保有人对所有的风险负责。 活动输出：机构、角色与职责说明书。 7.3.2 管理制度的建设和修订

活动目标：

17

GB/T XXXX – XXXX

本活动的目标是建设或修订与信息系统安全管理相配套的、包括所有信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范和操作规程。

参与角色： 信息系统主管部门，信息系统运营、使用单位，信息安全服务机构。 活动输入：安全组织结构表，安全成员及角色说明书，安全详细设计方案。 活动描述：

本活动主要包括以下子活动内容： a) 应用范围明确

管理制度建立首先要明确制度的应用范围，如机房管理、帐户管理、远程访问管理、特殊权限管理、设备管理、变更管理等方面的内容。

b) 人员职责定义

管理制度的建立要明确相关岗位人员的责任和权利范围，并要征求相关人员的意见，要保证责任明确。

c) 行为规范规定

管理制度是通过制度化、规范化的流程和行为，来保证各项管理工作的一致性。 d) 评估与完善

制度在发布、执行过程中，要定期对其进行评估，根据实际环境和情况的变化，对制度进行修改和完善，必要时考虑管理制度的重新制定。

活动输出： 各项管理制度和操作规范。 7.3.3 人员安全技能培训

活动目标：

本活动的目标是对人员的职责、素质、技能等方面进行培训，保证人员具有与其岗位职责相适应的技术能力和管理能力，以减少人为因素给系统带来的安全风险。

参与角色： 信息系统主管部门，信息系统运营、使用单位，信息安全服务机构。 活动输入：系统/产品使用说明书，各项管理制度和操作规范。 活动描述：

针对普通员工、管理员、开发人员、主管人员以及安全人员的特定技能培训和安全意识培训，培训后进行考核，合格者发给上岗资格证书等。

活动输出：培训记录及上岗资格证书等。 7.3.4 安全实施过程管理

活动目标：

本活动的目标是在系统定级、规划设计、实施过程中，对工程的质量、进度、文档和变更等方面的工作进行监督控制和科学管理。

参与角色：信息系统运营、使用单位，信息安全服务机构，信息安全产品供应商。 活动输入：安全设计与实施阶段参与各方相关进度控制和质量监督要求文档。 活动描述：

本活动主要包括以下子活动内容： a) 质量管理

质量管理首先要控制系统建设的质量，保证系统建设始终处于等级保护制度所要求的框架内进行。

18

GB/T XXXX – XXXX

同时，还要保证用于创建系统的过程的质量。在系统建设的过程中，要建立一个不断测试和改进质量的过程。在整个系统的生命周期中，通过测量、分析和修正活动，保证所完成目标和过程的质量。

b) 风险管理

为了识别、评估和减低风险，以保证系统工程活动和全部技术工作项目都成功实施。在整个系统建设过程中，风险管理要贯穿始终。

c) 变更管理

在系统建设的过程中，由于各种条件的变化，会导致变更的出现，变更发生在工程的范围、进度、质量、费用、人力资源、沟通、合同等多方面。每一次的变更处理，必须遵循同样的程序，即相同的文字报告、相同的管理办法、相同的监控过程。必须确定每一次变更对系统成本、进度、风险和技术要求的影响。一旦批准变更，必须设定一个程序来执行变更。

d) 进度管理

系统建设的实施必须要有一组明确的可交付成果，同时也要求有结束的日期。因此在建设系统的过程中，必须制订项目进度计划，绘制网络图，将系统分解为不同的子任务，并进行时间控制确保项目的如期完成。

e) 文档管理

文档是记录项目整个过程的书面资料，在系统建设的过程中，针对每个环节都有大量的文档输出，文档管理涉及系统建设的各个环节，主要包括：系统定级、规划设计、方案设计、安全实施、系统验收、人员培训等方面。

活动输出：各阶段管理过程文档。 7.4 技术措施实现 7.4.1 信息安全产品采购

活动目标：

本活动的目标是按照安全详细设计方案中对于产品的具体指标要求进行产品采购，根据产品或产品组合实现的功能满足安全设计要求的情况来选购所需的信息安全产品。

参与角色：信息安全产品供应商，信息系统运营、使用单位。 活动输入：安全详细设计方案，相关产品信息。 活动描述：

本活动主要包括以下子活动内容： a) 制定产品采购说明书

信息安全产品选型过程首先依据安全详细设计方案的设计要求，制定产品采购说明书，对产品的采购原则、采购范围、指标要求、采购方式、采购流程等方面进行说明，然后依据产品采购说明书对现有产品进行比对和筛选。对于产品的功能和性能指标，可以依据国家认可的测试机构所出具的产品测试报告，也可以依据用户自行组织的信息安全产品功能和性能选型测试所出具的报告。

b) 产品选择

在依据产品采购说明书对现有产品进行选择时，不仅要考虑产品的使用环境、安全功能、成本（包括采购和维护成本）、易用性、可扩展性、与其他产品的互动和兼容性等因素，还要考虑产品质量和可信性。产品可信性是保证系统安全的基础，用户在选择信息安全产品时应确保符合国家关于信息安全产品使用的有关规定。对于密码产品的使用，应当按照国家密码管理的相关规定进行选择和使用。

19

GB/T XXXX – XXXX

活动输出：需采购信息安全产品清单。 7.4.2 安全控制开发

活动目标：

本活动的目标是对于一些不能通过采购现有信息安全产品来实现的安全措施和安全功能，通过专门进行的设计、开发来实现。安全控制的开发应当与系统的应用开发同步设计、同步实施，而应用系统一旦开发完成后，再增加安全措施会造成很大的成本投入。因此，在应用系统开发的同时，要依据安全详细设计方案进行安全控制的开发设计，保证系统应用与安全控制同步建设。

参与角色：信息系统运营、使用单位，信息安全服务机构。 活动输入：安全详细设计方案。 活动描述：

本活动主要包括以下子活动内容： a) 安全措施需求分析

以规范的形式准确表达安全方案设计中的指标要求，确定软件设计的约束和软件同其他系统相关的接口细节。

b) 概要设计

概要设计要考虑安全方案中关于身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖等方面的指标要求，设计安全措施模块的体系结构，定义开发安全措施的模块组成，定义每个模块的主要功能和模块之间的接口。

c) 详细设计

依据概要设计说明书，将安全控制开发进一步细化，对每个安全功能模块的接口，函数要求，各接口之间的关系，各部分的内在实现机理都要进行详细的分析和细化设计。

按照功能的需求和模块划分进行各个部分的详细设计，包含接口设计和管理方式设计等。详细设计是设计人员根据概要设计书进行模块设计，将总体设计所获得的模块按照单元、程序、过程的顺序逐步细化，详细定义各个单元的数据结构、程序的实现算法以及程序、单元、模块之间的接口等，作为以后编码工作的依据。

d) 编码实现

按照设计进行硬件调试和软件的编码，在编码和开发过程中，要关注硬件组合的安全性和编码的安全性，并通过论证和测试。

e) 测试

开发基本完成后要进行测试，保证功能的实现和安全性的实现。测试分为单元测试、集成测试、系统测试和以用户试用为主的用户测试四个步骤。

f) 安全控制开发过程文档化

安全控制开发过程需要将概要设计说明书、详细设计说明书、开发测试报告以及开发说明书等整理归档。

活动输出：安全控制开发过程相关文档。 7.4.3 安全控制集成

活动目标：

本活动的目标是将不同的软硬件产品集成起来，依据安全详细设计方案，将信息安全产品、系统软

20

GB/T XXXX – XXXX

件平台和开发的安全控制模块与各种应用系统综合、整合成为一个系统。安全控制集成的过程需要把安全实施、风险控制、质量控制等有机结合起来，遵循运营使用单位与信息安全服务机构共同参与相互配合的实施的原则。

参与角色：信息系统运营、使用单位，信息安全服务机构。 活动输入：安全详细设计方案。 活动描述：

本活动主要包括以下子活动内容： a) 集成实施方案制定

主要工作内容是制定集成实施方案，集成实施方案的目标是具体指导工程的建设内容、方法和规范等，实施方案有别于安全设计方案的一个显著特征之处就是它的可操作性很强，要具体落实到产品的安装、部署和配置中，实施方案是工程建设的具体指导文件。

b) 集成准备

主要工作内容是对实施环境进行准备，包括硬件设备准备、软件系统准备、环境准备。为了保证系统实施的质量，信息安全服务机构应该依据系统设计方案，制定一套可行的系统质量控制方案，以便有效地指导系统实施过程。该质量控制方案应该确定系统实施各个阶段的质量控制目标、控制措施、工程质量问题的处理流程、系统实施人员的职责要求等，并提供详细的安全控制集成进度表。

c) 集成实施

主要工作内容是将配置好策略的信息安全产品和开发控制模块部署到实际的应用环境中，并调整相关策略。集成实施应严格按照集成进度安排进行，出现问题各方应及时沟通。系统实施的各个环节应该遵照质量控制方案的要求，分别进行系统测试，逐步实现质量控制目标。例如：综合布线系统施工过程中，应该及时利用网络测试仪测定线路质量，及早发现并解决质量问题。

d) 培训

信息系统建设完成后，安全服务提供商应当向运营和使用单位提供信息系统使用说明书及建设过程文档，同时需要对系统维护人员进行必要培训，培训效果的好坏将直接影响到今后系统能否安全运行。

e) 形成安全控制集成报告

应将安全控制集成过程相关内容文档化，并形成安全控制集成报告，其包含集成实施方案、质量控制方案、集成实施报告以及培训考核记录等内容。

活动输出： 安全控制集成报告。 7.4.4 系统验收

活动目标：

本活动的目标是检验系统是否严格按照安全详细设计方案进行建设，是否实现了设计的功能和性能。在安全控制集成工作完成后，系统测试及验收是从总体出发，对整个系统进行集成性安全测试，包括对系统运行效率和可靠性的测试，也包括对管理措施落实内容的验收。

参与角色：信息系统主管部门，信息系统运营、使用单位，信息安全服务机构。 活动输入：安全详细设计方案，安全控制集成报告。 活动描述：

本活动主要包括以下子活动内容： a) 系统验收准备

21

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库信息系统安全等级保护实施指南(5)在线全文阅读。