信息系统安全等级保护实施指南(6)

GB/T XXXX – XXXX

安全控制开发、集成完成后，要根据安全设计方案中需要达到的安全目标，准备系统验收方案。系统验收方案应当立足于合同条款、需求说明书和安全设计方案，充分体现用户的安全需求。

成立系统验收工作组对验收方案进行审核，组织制定验收计划、定义验收的方法和严格程度。 b) 组织系统验收

由系统验收工作组按照验收计划负责组织实施，组织测试人员根据已通过评审的系统验收方案对系统进行测试。

c) 验收报告

在测试完成后形成验收报告，验收报告需要用户与建设方进行确认。验收报告将明确给出验收的结论，安全服务提供商应当根据验收意见尽快修正有关问题，重新进行验收或者转入合同争议处理程序。

d) 系统交付

在系统验收通过以后，要进行系统的交付，需要安全服务提供商提交系统建设过程中的文档、指导用户进行系统运行维护的文档、服务承诺书等。

活动输出：系统验收报告。 8 安全运行与维护

8.1 安全运行与维护阶段的工作流程

安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述，希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南。

本标准关注安全运行与维护阶段的运行管理和控制、变更管理和控制、安全状态监控、安全事件处置和应急预案、安全检查和持续改进以及监督检查等过程，

22

GB/T XXXX – XXXX

安全运行与维护阶段的工作流程见图5。

8.2 运行管理和控制 8.2.1 运行管理职责确定

活动目标：

本活动的目标是通过对运行管理活动或任务的角色划分，并授予相应的管理权限，来确定安全运行

23

信息系统详细描述文件 信息系统安全保护等级定级报告 系统验收报告 输入

主要过程

输出

安全详细设计方案 安全组织机构表 运行管理和控制 运行管理人员角色和职责表 各类运行管理操作规程 变更方案 变更过程记录文件 变更结果报告 变更需求 变更管理和控制 安全事件分级标准 安全详细设计方案 系统验收报告等 安全状态监控 监控对象列表 安全状态信息 安全状态分析报告 各类安全事件列表 安全状态分析报告 安全事件处置和应急预案 安全事件报告程序 各类应急预案 安全事件处置报告 信息系统详细描述文件 变更结果报告 安全状态分析报告 安全检查和持续改进 安全检查报告 安全改进方案 测试或验收报告 等级测评 安全等级测评报告 信息系统安全保护等级定级报告 信息系统安全总体方案 安全详细设计方案 安全等级测评报告 系统备案 备案材料 备案材料 监督检查 监督检查结果报告 图5 安全运行与维护阶段的主要过程

GB/T XXXX – XXXX 管理的具体人员和职责。

参与角色：信息系统运营、使用单位。

活动输入：安全详细设计方案，安全组织机构表。 活动描述：

本活动主要包括以下子活动内容： a) 划分运行管理角色

根据管理制度和实际运行管理需求，划分运行管理需要的角色。越高安全保护等级的运行管理角色划分越细。

b) 授予管理权限

根据管理制度和实际运行管理需要，授予每一个运行管理角色不同的管理权限。安全保护等级越高的系统管理权限的划分也越细。

c) 定义人员职责

根据不同的安全保护等级要求的控制粒度，分析所需要运行管理控制的内容，并以此定义不同运行管理角色的职责。

活动输出：运行管理人员角色和职责表。 8.2.2 运行管理过程控制

活动目标：

本活动的主要目标是通过制定运行管理操作规程，确定运行管理人员的操作目的、操作内容、操作时间和地点、操作方法和流程等，并进行操作过程记录，确保对操作过程进行控制。

参与角色：信息系统运营、使用单位。

活动输入：运行管理需求，运行管理人员角色和职责表。 活动描述：

本活动主要包括以下子活动内容： a) 建立操作规程

将操作过程或流程规范化，并形成指导运行管理人员工作的操作规程，操作规程作为正式文件处理。 b) 操作过程记录

对运行管理人员按照操作规程执行的操作过程形成相关的记录文件，可能是日志文件，记录操作的时间和人员、正常或异常等信息。

活动输出：各类运行管理操作规程。 8.3 变更管理和控制 8.3.1 变更需求和影响分析

活动目标：

本活动的主要目标是通过对变更需求和变更影响的分析，来确定变更的类别，计划后续的活动内容。 参与角色：信息系统运营、使用单位。 活动输入：变更需求。 活动描述：

本活动主要包括以下子活动内容： a) 变更需求分析

24

GB/T XXXX – XXXX

对变更需求进行分析，确定变更的内容、变更资源需求和变更范围等，判断变更的必要性和可行性。 b) 变更影响分析

对变更可能引起的后果进行判断和分析，确定可能产生的影响大小，进行变更的先决条件和后续活动等。

c) 明确变更的类别

确定信息系统是局部调整还是重大变更。如果是由信息系统类型发生变化、承载的信息资产类型发生变化、信息系统服务范围发生变化和业务处理自动化程度发生变化等原因引起信息系统安全保护等级发生变化的重大变更，则需要重新确定信息系统安全保护等级，返回到等级保护实施过程的信息系统定级阶段。如果是局部调整，则需要确定配套进行的其它工作内容。

d) 制定变更方案

根据a）、b）、c）的结果制定变更方案。 活动输出：变更方案。 8.3.2 变更过程控制

活动目标：

本活动的目标是确保变更实施过程受到控制，各项变化内容进行记录，保证变更对业务的影响最小。 参与角色：信息系统运营、使用单位。 活动输入：变更方案。 活动描述：

本活动主要包括以下子活动内容： a) 变更内容审核和审批

对变更目的、内容、影响、时间和地点以及人员权限进行审核，以确保变更合理、科学的实施。按照机构建立的审批流程对变更方案进行审批。

b) 建立变更过程日志

按照批准的变更方案实施变更，对变更过程各类系统状态、各种操作活动等建立操作记录或日志。 c) 形成变更结果报告

收集变更过程的各类相关文档，整理、分析和总结各类数据，形成变更结果报告，并归档保存。 活动输出：变更结果报告。 8.4 安全状态监控 8.4.1 监控对象确定

活动目标：

本活动的目标是确定可能会对信息系统安全造成影响的因素，即确定安全状态监控的对象。 参与角色：信息系统运营、使用单位。

活动输入：安全详细设计方案、系统验收报告等。 活动描述：

本活动主要包括以下子活动内容： a) 安全关键点分析

对影响系统、业务安全性的关键要素进行分析，确定安全状态监控的对象，这些对象可能包括防火墙、入侵检测、防病毒、核心路由器、核心交换机、主要通信线路、关键服务器或客户端等系统范围内

25

GB/T XXXX – XXXX

的对象；也可能包括安全标准和法律法规等外部对象。

b) 形成监控对象列表

根据确定的监控对象，分析监控的必要性和可行性、监控的开销和成本等因素，形成监控对象列表。 活动输出：监控对象列表。 8.4.2 监控对象状态信息收集

活动目标：

本活动的目标是选择状态监控工具，收集安全状态监控的信息，识别和记录入侵行为，对信息系统的安全状态进行监控。

参与角色：信息系统运营、使用单位。 活动输入：监控对象列表。 活动描述：

本活动主要包括以下子活动内容： a) 选择监控工具

根据监控对象的特点、监控管理的具体要求、监控工具的功能和性能特点等，选择合适的监控工具。监控工具也可能不是自动化的工具，而只是由各类人员构成的，遵循一定规则进行操作的组织，或者是两者的综合。

b) 状态信息收集

收集来自监控对象的各类状态信息，可能包括网络流量、日志信息、安全报警和性能状况等；或者是来自外部环境的安全标准和法律法规的变更信息。

活动输出：安全状态信息。 8.4.3 监控状态分析和报告

活动目标：

本活动的目标通过是对安全状态信息进行分析，及时发现安全事件或安全变更需求，并对其影响程度和范围进行分析，形成安全状态结果分析报告。

参与角色：信息系统运营、使用单位。 活动输入：安全状态信息。 活动描述：

本活动主要包括以下子活动内容： a) 状态分析

对安全状态信息进行分析，及时发现险情、隐患或安全事件，并记录这些安全事件，分析其发展趋势。

b) 影响分析

根据对安全状况变化的分析，分析这些变化对安全的影响，通过判断他们的影响决定是否有必要作出响应。

c) 形成安全状态分析报告

根据安全状态分析和影响分析的结果，形成安全状态分析报告，上报安全事件或提出变更需求。 活动输出：安全状态分析报告。 8.5 安全事件处置和应急预案

26

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库信息系统安全等级保护实施指南(6)在线全文阅读。