等保工作流程方案.doc

等级化保护实施流程

目次

TOC\o1-5等级化保护实施流程 1

1.1实施的根本流程 3

2信息系统定级 4

2.1信息系统定级阶段的工作流程 4

2.2信息系统分析 4

系统识别和描述 4

信息系统划分 5

2.3平安保护等级确定 6

定级、审核和批准 6

形成定级报告 6

3总体平安规划 7

3.1总体平安规划阶段的工作流程 7

3.2平安需求分析 8

根本平安需求确实定 8

额外/特殊平安需求确实定 9

形成平安需求分析报告 9

3.3总体平安设计 10

总体平安策略设计 10

平安技术体系结构设计 10

整体平安管理体系结构设计 11

设计结果文档化 12

3.4平安建设工程规划 12

平安建设目标确定 12

平安建设内容规划 13

形成平安建设工程方案 13

4平安设计与实施 15

4.1平安设计与实施阶段的工作流程 15

4.2平安方案详细设计 16

技术措施实现内容设计 16

管理措施实现内容设计 16

设计结果文档化 17

4.3管理措施实现 17

管理机构和人员的设置 17

管理制度的建设和修订 17

人员平安技能培训 18

平安实施过程管理 18

4.4技术措施实现 19

信息平安产品采购 19

平安控制开发 19

平安控制集成 20

系统验收 21

5平安运行与维护 22

5.1平安运行与维护阶段的工作流程 22

5.2运行管理和控制 23

运行管理职责确定 23

运行管理过程控制 24

5.3变更管理和控制 24

变更需求和影响分析 24

变更过程控制 25

5.4平安状态监控 25

监控对象确定 25

监控对象状态信息收集 26

监控状态分析和报告 26

5.5平安事件处置和应急预案 26

平安事件分级 26

应急预案制定 27

平安事件处置 27

5.6平安检查和持续改良 28

平安状态检查 28

改良方案制定 28

平安改良实施 29

5.7等级测评 29

5.8系统备案 29

5.9监督检查 30

6信息系统终止 30

6.1信息系统终止阶段的工作流程 30

6.2信息转移、暂存和去除 31

6.3设备迁移或废弃 31

6.4存储介质的去除或销毁 32

7等保过程配合人员需： 32

7.1配合协调联络人员1名 32

7.2配合访谈人员： 32

附录A主要过程及其活动输出 33

信息系统平安等级保护三级实施流程

实施的根本流程

对信息系统实施等级保护的根本流程见图1。

信息系统定级

信息系统定级

总体平安规划

平安设计与实施

施

平安运行与维护

等级变更

局部调整

信息系统终止

图1信息系统平安等级保护实施的根本流程

在平安运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的平安保护等级并未改变，应从平安运行与维护阶段进入平安设计与实施阶段，重新设计、调整和实施平安措施，确保满足等级保护的要求；但信息系统发生重大变更导致系统平安保护等级变化时，应从平安运行与维护阶段进入信息系统定级阶段，重新开始一轮信息平安等级保护的实施过程。

信息系统定级

信息系统定级阶段的工作流程

信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理标准和GB/TAAAA-AAAA，确定信息系统的平安保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。

信息系统定级阶段的工作流程见图2。

主要过程输出输入

主要过程

输出

输入

信息系统总体描述文件信息系统详细描述文件

信息系统总体描述文件

信息系统详细描述文件

信息系统立项文档

信息系统建设文档

信息系统管理文档

信息系统分析

信息系统分析

平安保护等级确定

平安保护等级确定

信息系统平安保护

信息系统平安保护等级

定级报告

信息系统总体描述文件

信息系统详细描述文件

图

图2信息系统定级阶段工作流程

信息系统分析

系统识别和描述

活动目标：

本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息进行综合分析和整理，依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。

参与角色：信息系统运营、使用单位，信息平安效劳机构。

活动输入：信息系统的立项、建设和管理文档。

活动描述：

本活动主要包括以下子活动内容：

识别信息系统的根本信息

调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统根本情况，获得信息系统的背景信息和联络方式。

识别信息系统的管理框架

了解信