信息安全等级保护项目建设流程--需求分析.docx

《信息安全等级保护项目建设流程--需求分析.docx》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、信息安全等级保护项目建设流程需求统计一、项目启动Ø项目启动前准备工作：1)《项目启动报告》2)《项目实施计划表》二、资产调研阶段资产收集，产出：1)《资产调研统计表》三、定级备案Ø确定定级对象定级对象的三个条件：a)具有唯一确定的安全责任单位b)具有信息系统的基本要素c)承载相对独立的业务应用Ø确定系统定级a)识别单位基本信息b)识别管理框架c)识别业务种类、流程和服务d)识别信息e)识别网络结构和边界f)识别主要的软硬件设备g)识别用户类型和分布h)形成定级结果Ø系统定级汇总向测评中心提交报表：

2、1)《测评申请书》2)《定级报告》向备案部门提交报表：3)《等保备案表》一、安全风险分析阶段Ø风险扫描Ø机房物理安全分析Ø网络安全风险分析Ø主机风险分析Ø应用风险分析Ø数据安全风险分析Ø信息安全管理体系分析产出相应的报告1)《漏洞扫描报告》2)《风险评估报告》3)《差异分析报告》二、整改设计经安全风险分析后，产出安全整改建设方案1)《整改方案》三、等保设施²建设目标和建设内容；²技术实现框架；²信息安全产品或组件功能及性能；²信息安全产品或组件部署；²安全策略和配置；²配套的安全管理建设内容；²工

3、程实施计划；²项目投资概算。主要涉及两大块内容建设，根据整改方案，需要产出以下方案：1)《实施方案》2)《技术加固》，包括《主机/网络设备/应用服务器技术加固》，包括如下；²《网络设备加固说明》²《主机操作系统加固说明》²《数据库系统加固说明》²《应用安全加固说明》²《资产评估加固说明》3)《体系建制》，包括信息安全体系建制，主要涉及以下文档；²《XXX信息安全管理方针》²《XXX信息安全管理体系结构表》²《文档及记录管理规范》²《内部审核管理规范》²《供应商管理规范》²《变更管理规范》²《人事管

4、理规定》²《教育培训管理规定》²《资产管理规定》²《机房安全管理规定》²《物理安全和安全区域管理规定》²《主要信息安全岗位管理规定》²《IT设备管理规定》²《移动介质管理规定》²《第三方人员安全管理规定》²《网络安全管理规定》²《系统安全管理规定》²《系统数据备份管理规定》²《系统用户和密码管理规定》²《防恶意代码管理规定》²《外包软件开发管理规定》²《信息化项目建设管理流程》²《信息安全事件管理规定》²《网络与信息安全应急预案管理规定》一、自检阶段按照以上等保定级要求，结合《GBT22239-2

5、008信息安全技术信息系统安全等级保护基本要求》进行对以上等保安全整改后的安全现状进行内部检测，针对不符合项进行整改，自我测评通过后，向测评中心发起现场测评邀请函（电话、邮件等）；二、现场测评阶段测评中心接到现场测评邀请函（电话、邮件等）后，会向被测单位提供以下报告：1)《现场测评实施计划》2)《现场测评方案》测评中心相应的工作人员按照测评的计划、方案进行，测评结束后会统计所有的测评项：符合/基本符合/不符合/不适用，按照相应的比例打分，判定是否通过，通过会给出最终的测评报告，未通过会提出相应的报

6、告：3)一次性通过测评，测评中心向被测单位提交最终《测评报告》/纸质；4)未通过测评，测评中心向被测单位提交《整改建议》；三、整改阶段测评未通过，被测单位则按照测评中心提交的整改建议进行整改，整改完成后进行再次进行自检阶段，再次向测评中心提交现场测评邀请函，测评通过并产出以下报告：1)《测评报告》/纸质；一、运行监控阶段测评通过后，对所测的系统运维应实时由人工/技术手段/安全设备等的监控，其中信息安全体系中规定要输出的流程报表应保证，最后按照等保要求申请测评中心对被测系统复查。