等级保护实施及整改
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统分 析
系统识别 与描述 信息系统 划分
安全保护等 级确定
定级、审 核和批准 形成定级 报告
信息系统定级-信息系统分析
• 系统识别和描述
– a) 识别信息系统的基本信息 – b) 识别信息系统的管理框架 – c) 识别信息系统的网络及设备部署 – d) 识别信息系统的业务种类和特性 – e) 识别业务系统处理的信息资产 – f) 识别用户范围和用户类型 – g) 信息系统描述
总体安全规划-总体安全设计
• 安全技术体系结构设计
– – – – 规定骨干网/城域网的安全保护技术措施 规定子系统之间互联的安全技术措施 规定不同级别子系统的边界保护技术措施 规定不同级别子系统内部系统平台和业务应用的安全 保护技术措施 – 规定不同级别信息系统机房的安全保护技术措施 – 形成信息系统安全技术体系结构
技术措施内 容设计
管理措施 实施
管理机构和 人员设置
技术措施 实施
信息安全产 品采购
管理措施内 容设计
管理制度的 建设和修订
安全控制开 发
设计结果文 档化
人员安全技 能培训
安全控制集 成
安全实施过 程管理
系统验收
安全设计与实施-安全方案详细设计
• 技术措施实现内容设计
– 结构框架设计 – 功能要求设计 – 性能要求设计 – 部署方案设计 – 制定安全策略实现计划
• 参与角色:信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:安全控制开发过程相关文档。
• 参与角色:信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:安全详细设计方案。
安全设计与实施-管理措施实现
• 管理机构和人员的设置
– 安全组织确定 – 角色说明
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:机构、角色与职责说明书。
安全设计与实施-管理措施实现
• 参与角色: 信息系统主管部门,信息系统 运营、使用单位,信息安全服务机构。 • 活动输出:培训记录及上岗资格证书等。
安全设计与实施-管理措施实现
• 安全实施过程管理
– 质量管理 – 风险管理 – 变更管理 – 进度管理 – 文档管理
• 参与角色:信息系统运营、使用单位,信 息安全服务机构,信息安全产品供应商。 • 活动输出:各阶段管理过程文档。
实施指南编制的主要思路
以信息系统等级保护建设为主要线索
定义信息系统等级保护实施的生命周期
对每个阶段介绍和描述主要的实施活动
对每个活动说明实施主体、主要内容和 输入输出
实施指南目录结构
个章节1个附录构成 由9个章节 个附录构成 个章节 1.范围 范围 2.规范性引用文件 规范性引用文件 3术语和定义 术语和定义 4.等级保护实施概述 等级保护实施概述 5. 信息系统定级 6.总体安全规划 总体安全规划 7.安全设计与实施 安全设计与实施 8.安全运行与维护 安全运行与维护 9.信息系统终止 信息系统终止 附录A 附录 主要过程及其活动输出
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:信息系统安全总体方案。
总体安全规划-安全建设项目规划
• 安全建设目标确定
– 信息化建设中长期发展规划和安全需求调查 – 提出信息系统安全建设分阶段目标
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出: 信息系统分阶段安全建设目标 。
• 参与角色:信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:管理措施落实方案。
安全设计与实施-安全方案详细设计
• 设计结果文档化
• • • • • • • • 本期建设目标和建设内容; 技术实现框架; 信息安全产品或组件功能及性能; 信息安全产品或组件部署; 安全策略和配置; 配套的安全管理建设内容; 工程实施计划; 项目投资概算。
已建信息系统等级保护实施过程
系统 定级 规划 设计 安全 实施 安全运维(变更管理 定期安 安全运维(变更管理/定期安 全测评/监督检查) 全测评 监督检查) 监督检查 系统 终止
实施指南描述特点
信息系统 定级
阶段
过程
信息系统 分析
活动
系统识别 和描绘
识别信息系统 的基本信息
子活动
识别信息系统 的管理框架
安全运维
• 运行管理和 控制 • 变更管理和 控制 • 安全状态监 控 • 安全事件处 置与应急预 案 • 安全检查和 持续改进 • 等级保护安 全测评 • 信息系统备 案 • 等级保护监 督检查
系统终止
• 信息转移、 暂存或清除 • 设备迁移或 废弃 • 存储戒指的 清除或销毁
信息系统定级
信息系统定级
• 参与角色:信息系统主管部门,信息系统运营 、使用单位 • 活动输出:信息系统安全保护等级定级报 告
总体安全规划
总体安全规划
安全需求 分析
基本安全需 求确定
总体安全 设计
总体安全策 略设计
安全建设 项目规划
安全建设目 标确定
特殊安全需 求确定
安全技术体 系设计
安全建设内 容规划
形成安全需 求分析报告
• 参与角色:信息系统运营、使用单位,信 息安全服务机构,信息安全产品供应商。 • 活动输出:技术措施落实方案。
安全设计与实施-安全方案详细设计
• 管理措施实现内容设计
– 结合系统实际安全管理需要和本次技术建设内 容,确定本次安全管理建设的范围和内容,同 时注意与信息系统安全总体方案的一致性。安 全管理设计的内容主要考虑:安全管理机构和 人员的配套、安全管理制度的配套、人员安全 管理技能的配套等
总体安全规划-安全建设项目规划
• 安全建设内容规划
– 确定主要安全建设内容
• • • • • • • 安全基础设施建设; 网络安全建设; 系统平台和应用平台安全建设; 数据系统安全建设; 安全标准体系建设; 人才培养体系建设; 安全管理体系建设。
– 确定主要安全建设项目
• 参与角色: 信息系统运营、使用单位,信息安全 服务机构。 • 活动输出: 安全建设项目列表(含安全建设内容 )。
总体安全规划-安全建设项目规划
• 形成安全建设项目计划
– 对信息系统分阶段安全建设目标、安全总体方 案和安全建设内容等文档进行整理,形成信息 系统安全建设项目计划
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出: 信息系统安全建设项目计划
安全设计与实施
安全设计与实施
安全方案 详细设计
• • • • • 信息系统描述; 安全管理状况; 安全技术状况; 存在的不足和可能的风险; 安全需求描述。
• 参与角色: 信息系统运营,使用单位,信 息安全服务机构。 • 活动输出: 安全需求分析报告。
总体安全规划-总体安全设计
• 总体安全策略设计
– 确定安全方针 – 制定安全策略
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出: 总体安全策略文件
等级保护实施基本原则
自主保护原则
重点保护原则
同步建设原则
动态调整原则
等级保护实施过程中的角色和职责
信息系统 运营、使 用单位 信息系统 主管部门
信息安全 服务机构 信息安全 等级测评 机构
实施
协助
督促
国家管理 部门
测评
监督
等级保 护信息 系统
提供
信息安全 产品供应 商
等级保护实施阶段
启动
信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止 等级变更
• 参与角色:信息系统运营、使用单位、信 息安全服务机构 • 活动输出: 信息系统总体描述文件
信息系统定级-信息系统分析
• 信息系统划分
– 划分方法的选择 – 信息系统划分 – 信息系统详细描述
• 参与角色:信息系统运营、使用单位,信息安 全服务机构 • 活动输出: 信息系统详细描述文件
信息系统定级-安全保护等级确定
实施指南概念
信息系统
生命周期
阶段
阶段
主要过程
活动
阶段目标
过程目标
子活动
活动流程
参与角色
工作内容
输入与输出
主要阶段和主要过程
系统定级
• 信息系统分 析 • 安全保护等 级确定
总体规划
• 安全需求分 析 • 安全总体设 计 • 安全建设规 划
设计实施
• 安全方案详 细设计 • 等级保护管 理实施 • 等级保护技 术实施
设计
实施
运维
局部调整
废弃
信息系统全生命周期
信息系统生命周期
设计/开发阶段 启动阶段 设计 开发阶段
实施阶段
运行维护阶段
废弃 阶段
新建信息系统等级保护实施过程实程
系统定级 规划设计 安全实施 安全运维(变更管理 定期安全测评 监督检查) 定期安全测评/监督检查 安全运维(变更管理/定ቤተ መጻሕፍቲ ባይዱ安全测评 监督检查) 系统 终止
信息系统安全 等级保护实施及整改
程晓峰
广东计安信息网络培训中心
课程要点
• • • • • • 等级保护实施目标 等级保护实施主要阶段 实施各阶段过程和成果 等级保护整改目标 等级保护整改参照标准 等级保护技术整改涉及项目
实施指南目标
《实施指南》作为一个对信息系统实施等级保护的指 南性文件,其目标是介绍和描述实施信息系统等级保护过 程中应该涉及的阶段和从事的活动,包括: 活动的内容和控制方法; 活动的主要参与者; 活动中将要使用的等级保护相关标准; 活动的主要工作产品等 通过过程和活动的介绍,使读者了解和知晓对信息系 统实施等级保护的方法,不同的角色在不同阶段的作用等 等。
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出: 信息系统安全管理体系结构。
总体安全规划-总体安全设计
• 设计结果文档化
– 对安全需求分析报告、信息系统安全技术体系结构和 安全管理体系结构等文档进行整理,形成信息系统总 体安全方案,包括: • 信息系统概述; • 总体安全策略; • 信息系统安全技术体系结构; • 信息系统安全管理体系结构。
• 定级、审核和批准
– a) 信息系统安全保护等级初步确定 – b) 定级结果审核和批准
• 参与角色:信息系统主管部门,信息系统运营 、使用单位,信息安全服务机构 • 活动输出:信息系统定级评审意见
信息系统定级-安全保护等级确定
• 形成定级报告
– 对信息系统的总体描述文档、信息系统的详细 描述文件、信息系统安全保护等级确定结果等 内容进行整理,形成文件化的信息系统定级结果 报告。
安全设计与实施-技术措施实现
• 信息安全产品采购
– 制定产品采购说明书 – 产品选择 – 变更管理 – 进度管理 – 文档管理
• 参与角色:信息安全产品供应商,信息系 统运营、使用单位。 • 活动输出:需采购信息安全产品清单。
安全设计与实施-技术措施实现
• 安全控制开发
– 安全措施需求分析 – 概要设计 – 详细设计 – 编码实现 – 测试 – 安全控制开发过程文档化
整体安全管 理体系设计
形成安全建 设项目计划
设计结果文 档化
总体安全规划-安全需求分析
• 基本安全需求的确定
– 确定系统范围和分析对象 – 形成评价指标和评估方案 – 现状与评价指标对比
• 参与角色:信息系统运营、使用单位,信 息安全服务机构,信息安全等级测评机构 。 • 活动输出: 基本安全需求
总体安全规划-安全需求分析
• 特殊安全需求的确定
– 重要资产的分析 – 重要资产安全弱点评估 – 重要资产面临威胁评估 – 综合风险分析
• 参与角色:信息系统运营、使用单位,信 息安全服务机构 • 活动输出: 重要资产的特殊保护要求
总体安全规划-安全需求分析
• 形成安全需求分析报告
– 完成安全需求分析报告,报告包括:
• 管理制度的建设和修订
– 应用范围明确 – 人员职责定义 – 行为规范规定 – 评估与完善
• 参与角色: 信息系统主管部门,信息系统 运营、使用单位,信息安全服务机构。 • 活动输出: 各项管理制度和操作规范。
安全设计与实施-管理措施实现
• 人员安全技能培训
– 针对普通员工、管理员、开发人员、主管人员 以及安全人员的特定技能培训和安全意识培训 ,培训后进行考核,合格者发给上岗资格证书 等。
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出: 信息系统安全技术体系结构。
总体安全规划-总体安全设计
• 整体安全管理体系结构设计
– 规定信息安全的组织管理体系和对各信息系统的安全管理职 责 – 规定各等级信息系统的人员安全管理策略 – 规定各等级信息系统机房及办公区等物理环境的安全管理策 略 – 规定各等级信息系统介质、设备等的安全管理策略 – 规定各等级信息系统运行安全管理策略 – 规定各等级信息系统安全事件处置和应急管理策略 – 形成信息系统安全管理策略框架
系统识别 与描述 信息系统 划分
安全保护等 级确定
定级、审 核和批准 形成定级 报告
信息系统定级-信息系统分析
• 系统识别和描述
– a) 识别信息系统的基本信息 – b) 识别信息系统的管理框架 – c) 识别信息系统的网络及设备部署 – d) 识别信息系统的业务种类和特性 – e) 识别业务系统处理的信息资产 – f) 识别用户范围和用户类型 – g) 信息系统描述
总体安全规划-总体安全设计
• 安全技术体系结构设计
– – – – 规定骨干网/城域网的安全保护技术措施 规定子系统之间互联的安全技术措施 规定不同级别子系统的边界保护技术措施 规定不同级别子系统内部系统平台和业务应用的安全 保护技术措施 – 规定不同级别信息系统机房的安全保护技术措施 – 形成信息系统安全技术体系结构
技术措施内 容设计
管理措施 实施
管理机构和 人员设置
技术措施 实施
信息安全产 品采购
管理措施内 容设计
管理制度的 建设和修订
安全控制开 发
设计结果文 档化
人员安全技 能培训
安全控制集 成
安全实施过 程管理
系统验收
安全设计与实施-安全方案详细设计
• 技术措施实现内容设计
– 结构框架设计 – 功能要求设计 – 性能要求设计 – 部署方案设计 – 制定安全策略实现计划
• 参与角色:信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:安全控制开发过程相关文档。
• 参与角色:信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:安全详细设计方案。
安全设计与实施-管理措施实现
• 管理机构和人员的设置
– 安全组织确定 – 角色说明
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:机构、角色与职责说明书。
安全设计与实施-管理措施实现
• 参与角色: 信息系统主管部门,信息系统 运营、使用单位,信息安全服务机构。 • 活动输出:培训记录及上岗资格证书等。
安全设计与实施-管理措施实现
• 安全实施过程管理
– 质量管理 – 风险管理 – 变更管理 – 进度管理 – 文档管理
• 参与角色:信息系统运营、使用单位,信 息安全服务机构,信息安全产品供应商。 • 活动输出:各阶段管理过程文档。
实施指南编制的主要思路
以信息系统等级保护建设为主要线索
定义信息系统等级保护实施的生命周期
对每个阶段介绍和描述主要的实施活动
对每个活动说明实施主体、主要内容和 输入输出
实施指南目录结构
个章节1个附录构成 由9个章节 个附录构成 个章节 1.范围 范围 2.规范性引用文件 规范性引用文件 3术语和定义 术语和定义 4.等级保护实施概述 等级保护实施概述 5. 信息系统定级 6.总体安全规划 总体安全规划 7.安全设计与实施 安全设计与实施 8.安全运行与维护 安全运行与维护 9.信息系统终止 信息系统终止 附录A 附录 主要过程及其活动输出
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:信息系统安全总体方案。
总体安全规划-安全建设项目规划
• 安全建设目标确定
– 信息化建设中长期发展规划和安全需求调查 – 提出信息系统安全建设分阶段目标
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出: 信息系统分阶段安全建设目标 。
• 参与角色:信息系统运营、使用单位,信 息安全服务机构。 • 活动输出:管理措施落实方案。
安全设计与实施-安全方案详细设计
• 设计结果文档化
• • • • • • • • 本期建设目标和建设内容; 技术实现框架; 信息安全产品或组件功能及性能; 信息安全产品或组件部署; 安全策略和配置; 配套的安全管理建设内容; 工程实施计划; 项目投资概算。
已建信息系统等级保护实施过程
系统 定级 规划 设计 安全 实施 安全运维(变更管理 定期安 安全运维(变更管理/定期安 全测评/监督检查) 全测评 监督检查) 监督检查 系统 终止
实施指南描述特点
信息系统 定级
阶段
过程
信息系统 分析
活动
系统识别 和描绘
识别信息系统 的基本信息
子活动
识别信息系统 的管理框架
安全运维
• 运行管理和 控制 • 变更管理和 控制 • 安全状态监 控 • 安全事件处 置与应急预 案 • 安全检查和 持续改进 • 等级保护安 全测评 • 信息系统备 案 • 等级保护监 督检查
系统终止
• 信息转移、 暂存或清除 • 设备迁移或 废弃 • 存储戒指的 清除或销毁
信息系统定级
信息系统定级
• 参与角色:信息系统主管部门,信息系统运营 、使用单位 • 活动输出:信息系统安全保护等级定级报 告
总体安全规划
总体安全规划
安全需求 分析
基本安全需 求确定
总体安全 设计
总体安全策 略设计
安全建设 项目规划
安全建设目 标确定
特殊安全需 求确定
安全技术体 系设计
安全建设内 容规划
形成安全需 求分析报告
• 参与角色:信息系统运营、使用单位,信 息安全服务机构,信息安全产品供应商。 • 活动输出:技术措施落实方案。
安全设计与实施-安全方案详细设计
• 管理措施实现内容设计
– 结合系统实际安全管理需要和本次技术建设内 容,确定本次安全管理建设的范围和内容,同 时注意与信息系统安全总体方案的一致性。安 全管理设计的内容主要考虑:安全管理机构和 人员的配套、安全管理制度的配套、人员安全 管理技能的配套等
总体安全规划-安全建设项目规划
• 安全建设内容规划
– 确定主要安全建设内容
• • • • • • • 安全基础设施建设; 网络安全建设; 系统平台和应用平台安全建设; 数据系统安全建设; 安全标准体系建设; 人才培养体系建设; 安全管理体系建设。
– 确定主要安全建设项目
• 参与角色: 信息系统运营、使用单位,信息安全 服务机构。 • 活动输出: 安全建设项目列表(含安全建设内容 )。
总体安全规划-安全建设项目规划
• 形成安全建设项目计划
– 对信息系统分阶段安全建设目标、安全总体方 案和安全建设内容等文档进行整理,形成信息 系统安全建设项目计划
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出: 信息系统安全建设项目计划
安全设计与实施
安全设计与实施
安全方案 详细设计
• • • • • 信息系统描述; 安全管理状况; 安全技术状况; 存在的不足和可能的风险; 安全需求描述。
• 参与角色: 信息系统运营,使用单位,信 息安全服务机构。 • 活动输出: 安全需求分析报告。
总体安全规划-总体安全设计
• 总体安全策略设计
– 确定安全方针 – 制定安全策略
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出: 总体安全策略文件
等级保护实施基本原则
自主保护原则
重点保护原则
同步建设原则
动态调整原则
等级保护实施过程中的角色和职责
信息系统 运营、使 用单位 信息系统 主管部门
信息安全 服务机构 信息安全 等级测评 机构
实施
协助
督促
国家管理 部门
测评
监督
等级保 护信息 系统
提供
信息安全 产品供应 商
等级保护实施阶段
启动
信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止 等级变更
• 参与角色:信息系统运营、使用单位、信 息安全服务机构 • 活动输出: 信息系统总体描述文件
信息系统定级-信息系统分析
• 信息系统划分
– 划分方法的选择 – 信息系统划分 – 信息系统详细描述
• 参与角色:信息系统运营、使用单位,信息安 全服务机构 • 活动输出: 信息系统详细描述文件
信息系统定级-安全保护等级确定
实施指南概念
信息系统
生命周期
阶段
阶段
主要过程
活动
阶段目标
过程目标
子活动
活动流程
参与角色
工作内容
输入与输出
主要阶段和主要过程
系统定级
• 信息系统分 析 • 安全保护等 级确定
总体规划
• 安全需求分 析 • 安全总体设 计 • 安全建设规 划
设计实施
• 安全方案详 细设计 • 等级保护管 理实施 • 等级保护技 术实施
设计
实施
运维
局部调整
废弃
信息系统全生命周期
信息系统生命周期
设计/开发阶段 启动阶段 设计 开发阶段
实施阶段
运行维护阶段
废弃 阶段
新建信息系统等级保护实施过程实程
系统定级 规划设计 安全实施 安全运维(变更管理 定期安全测评 监督检查) 定期安全测评/监督检查 安全运维(变更管理/定ቤተ መጻሕፍቲ ባይዱ安全测评 监督检查) 系统 终止
信息系统安全 等级保护实施及整改
程晓峰
广东计安信息网络培训中心
课程要点
• • • • • • 等级保护实施目标 等级保护实施主要阶段 实施各阶段过程和成果 等级保护整改目标 等级保护整改参照标准 等级保护技术整改涉及项目
实施指南目标
《实施指南》作为一个对信息系统实施等级保护的指 南性文件,其目标是介绍和描述实施信息系统等级保护过 程中应该涉及的阶段和从事的活动,包括: 活动的内容和控制方法; 活动的主要参与者; 活动中将要使用的等级保护相关标准; 活动的主要工作产品等 通过过程和活动的介绍,使读者了解和知晓对信息系 统实施等级保护的方法,不同的角色在不同阶段的作用等 等。
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出: 信息系统安全管理体系结构。
总体安全规划-总体安全设计
• 设计结果文档化
– 对安全需求分析报告、信息系统安全技术体系结构和 安全管理体系结构等文档进行整理,形成信息系统总 体安全方案,包括: • 信息系统概述; • 总体安全策略; • 信息系统安全技术体系结构; • 信息系统安全管理体系结构。
• 定级、审核和批准
– a) 信息系统安全保护等级初步确定 – b) 定级结果审核和批准
• 参与角色:信息系统主管部门,信息系统运营 、使用单位,信息安全服务机构 • 活动输出:信息系统定级评审意见
信息系统定级-安全保护等级确定
• 形成定级报告
– 对信息系统的总体描述文档、信息系统的详细 描述文件、信息系统安全保护等级确定结果等 内容进行整理,形成文件化的信息系统定级结果 报告。
安全设计与实施-技术措施实现
• 信息安全产品采购
– 制定产品采购说明书 – 产品选择 – 变更管理 – 进度管理 – 文档管理
• 参与角色:信息安全产品供应商,信息系 统运营、使用单位。 • 活动输出:需采购信息安全产品清单。
安全设计与实施-技术措施实现
• 安全控制开发
– 安全措施需求分析 – 概要设计 – 详细设计 – 编码实现 – 测试 – 安全控制开发过程文档化
整体安全管 理体系设计
形成安全建 设项目计划
设计结果文 档化
总体安全规划-安全需求分析
• 基本安全需求的确定
– 确定系统范围和分析对象 – 形成评价指标和评估方案 – 现状与评价指标对比
• 参与角色:信息系统运营、使用单位,信 息安全服务机构,信息安全等级测评机构 。 • 活动输出: 基本安全需求
总体安全规划-安全需求分析
• 特殊安全需求的确定
– 重要资产的分析 – 重要资产安全弱点评估 – 重要资产面临威胁评估 – 综合风险分析
• 参与角色:信息系统运营、使用单位,信 息安全服务机构 • 活动输出: 重要资产的特殊保护要求
总体安全规划-安全需求分析
• 形成安全需求分析报告
– 完成安全需求分析报告,报告包括:
• 管理制度的建设和修订
– 应用范围明确 – 人员职责定义 – 行为规范规定 – 评估与完善
• 参与角色: 信息系统主管部门,信息系统 运营、使用单位,信息安全服务机构。 • 活动输出: 各项管理制度和操作规范。
安全设计与实施-管理措施实现
• 人员安全技能培训
– 针对普通员工、管理员、开发人员、主管人员 以及安全人员的特定技能培训和安全意识培训 ,培训后进行考核,合格者发给上岗资格证书 等。
• 参与角色: 信息系统运营、使用单位,信 息安全服务机构。 • 活动输出: 信息系统安全技术体系结构。
总体安全规划-总体安全设计
• 整体安全管理体系结构设计
– 规定信息安全的组织管理体系和对各信息系统的安全管理职 责 – 规定各等级信息系统的人员安全管理策略 – 规定各等级信息系统机房及办公区等物理环境的安全管理策 略 – 规定各等级信息系统介质、设备等的安全管理策略 – 规定各等级信息系统运行安全管理策略 – 规定各等级信息系统安全事件处置和应急管理策略 – 形成信息系统安全管理策略框架