2019年信息系统安全等级保护实施指南.doc

目 次 TOC \o 1-5 前言 PAGEREF _Toc168288467 \h III 引言 PAGEREF _Toc168288468 \h IV 1 范围 PAGEREF _Toc168288469 \h 1 2 规范性引用文件 PAGEREF _Toc168288470 \h 1 3 术语和定义 PAGEREF _Toc168288471 \h 1 4 等级保护实施概述 PAGEREF _Toc168288472 \h 1 4.1 基本原则 PAGEREF _Toc168288473 \h 1 4.2 角色和职责 PAGEREF _Toc168288474 \h 1 4.3 实施的基本流程 PAGEREF _Toc168288475 \h 2 5 信息系统定级 PAGEREF _Toc168288476 \h 4 5.1 信息系统定级阶段的工作流程 PAGEREF _Toc168288477 \h 4 5.2 信息系统分析 PAGEREF _Toc168288478 \h 4 5.2.1 系统识别和描述 PAGEREF _Toc168288479 \h 4 5.2.2 信息系统划分 PAGEREF _Toc168288480 \h 5 5.3 安全保护等级确定 PAGEREF _Toc168288481 \h 6 5.3.1 定级、审核和批准 PAGEREF _Toc168288482 \h 6 5.3.2 形成定级报告 PAGEREF _Toc168288483 \h 6 6 总体安全规划 PAGEREF _Toc168288484 \h 7 6.1 总体安全规划阶段的工作流程 PAGEREF _Toc168288485 \h 7 6.2 安全需求分析 PAGEREF _Toc168288486 \h 8 6.2.1 基本安全需求的确定 PAGEREF _Toc168288487 \h 8 6.2.2 额外/特殊安全需求的确定 PAGEREF _Toc168288488 \h 9 6.2.3 形成安全需求分析报告 PAGEREF _Toc168288489 \h 9 6.3 总体安全设计 PAGEREF _Toc168288490 \h 10 6.3.1 总体安全策略设计 PAGEREF _Toc168288491 \h 10 6.3.2 安全技术体系结构设计 PAGEREF _Toc168288492 \h 10 6.3.3 整体安全管理体系结构设计 PAGEREF _Toc168288493 \h 11 6.3.4 设计结果文档化 PAGEREF _Toc168288494 \h 12 6.4 安全建设项目规划 PAGEREF _Toc168288495 \h 12 6.4.1 安全建设目标确定 PAGEREF _Toc168288496 \h 13 6.4.2 安全建设内容规划 PAGEREF _Toc168288497 \h 13 6.4.3 形成安全建设项目计划 PAGEREF _Toc168288498 \h 14 7 安全设计与实施 PAGEREF _Toc168288499 \h 15 7.1 安全设计与实施阶段的工作流程 PAGEREF _Toc168288500 \h 15 7.2 安全方案详细设计 PAGEREF _Toc168288501 \h 16 7.2.1 技术措施实现内容设计 PAGEREF _Toc168288502 \h 16 7.2.2 管理措施实现内容设计 PAGEREF _Toc168288503 \h 16 7.2.3 设计结果文档化 PAGEREF _Toc168288504 \h 17 7.3 管理措施实现 PAGEREF _Toc168288505 \h 17 7.3.1 管理机构和人员的设置 PAGEREF _Toc168288506 \h 17 7.3.2 管理制度的建设和修订 PAGEREF _Toc168288507 \h 17 7.3.3 人员安全技能培训 PAGEREF _Toc168288508 \h 18 7.3.4 安全实施过程管理 PAGEREF _Toc168288509 \h 18 7.4 技术措施实现 PAGEREF _Toc168288510 \h 19 7.4.1 信息安全产品采购 PAGEREF _Toc168288511 \h 19 7.4.2 安全控制开发 PAGEREF _Toc168288512 \h 20 7.4.3 安全控制集成 PAG