信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南

1、.：.；信息平安技術(shù) 信息系統(tǒng)平安等級(jí)維護(hù)實(shí)施指南前言本規(guī)范的附錄A是規(guī)范性附錄。本規(guī)范由公安部和全國信息平安規(guī)范化技術(shù)委員會(huì)提出。本規(guī)范由全國信息平安規(guī)范化技術(shù)委員會(huì)歸口。本規(guī)范起草單位：公安部信息平安等級(jí)維護(hù)評價(jià)中心。本規(guī)范主要起草人：畢馬寧、馬力、陳雪秀、李明、朱建平、任衛(wèi)紅、謝朝海、曲潔、袁靜、李升、劉靜、羅崢。引言根據(jù)國務(wù)院147號(hào)令、中辦發(fā)200327號(hào)、公通字200466號(hào)和公通字200743號(hào)，制定本規(guī)范。本規(guī)范是信息平安等級(jí)維護(hù)相關(guān)系列規(guī)范之一。與本規(guī)范相關(guān)的系列規(guī)范包括：GB/T AAAA-AAAA 信息平安技術(shù) 信息系統(tǒng)平安等級(jí)維護(hù)定級(jí)指南；GB/T BBBB-BBBB

2、信息平安技術(shù) 信息系統(tǒng)平安等級(jí)維護(hù)根本要求。在對信息系統(tǒng)實(shí)施信息平安等級(jí)維護(hù)的過程中，除運(yùn)用本規(guī)范外，在不同的階段，還應(yīng)參照其他有關(guān)信息平安等級(jí)維護(hù)的規(guī)范開展任務(wù)。在信息系統(tǒng)定級(jí)階段，應(yīng)按照GB/T AAAA-AAAA引見的方法，確定信息系統(tǒng)平安維護(hù)等級(jí)。在信息系統(tǒng)總體平安規(guī)劃，平安設(shè)計(jì)與實(shí)施，平安運(yùn)轉(zhuǎn)與維護(hù)和信息系統(tǒng)終止等階段，應(yīng)按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技術(shù)規(guī)范，設(shè)計(jì)、建立符合信息平安等級(jí)維護(hù)要求的信息系統(tǒng)，開展信息系統(tǒng)的運(yùn)轉(zhuǎn)維護(hù)管理任務(wù)。GB17859-1999、G

3、B/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技術(shù)規(guī)范是信息系統(tǒng)平安等級(jí)維護(hù)的系 列相關(guān)配套規(guī)范，其中GB17859-1999是根底性規(guī)范，GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是對GB17859-1999的進(jìn)一步細(xì)化和擴(kuò)展，GB/T BBBB-BBBB是以GB17859-1999為根底，根據(jù)現(xiàn)有技術(shù)開展程度提出的對不同平安維護(hù)等級(jí)信息系統(tǒng)的最根本平安要求，是其他規(guī)范的一個(gè)底線 子集。對信息系統(tǒng)的平安等級(jí)維護(hù)應(yīng)從GB/T BBBB-BBBB出發(fā)，在保證信息系統(tǒng)滿足根本平

4、安要求的根底上，逐漸提高對信息系統(tǒng)的維護(hù)程度，最終滿足GB17859-1999、 GB/T20269-2006、GB/T20270-2006和 GB/T20271-2006等規(guī)范的要求。除本規(guī)范和上述提到的規(guī)范外，在信息系統(tǒng)平安等級(jí)維護(hù)實(shí)施過程中，還可參照和運(yùn)用GB/T20272-2006和GB/T20273-2006等其它等級(jí)維護(hù)相關(guān)技術(shù)規(guī)范。信息系統(tǒng)平安等級(jí)維護(hù)實(shí)施指南1范圍本規(guī)范規(guī)定了信息系統(tǒng)平安等級(jí)維護(hù)實(shí)施的過程，適用于指點(diǎn)信息系統(tǒng)平安等級(jí)維護(hù)的實(shí)施。2規(guī)范性援用文件下 列文件中的條款經(jīng)過在本規(guī)范中的援用而成為本規(guī)范的條款。凡是注日期的援用文件，其隨后一切的修正單不包括訂正的內(nèi)容或修訂

5、版均不適用于本規(guī)范，然 而，鼓勵(lì)根據(jù)本規(guī)范達(dá)成協(xié)議的各方研討能否運(yùn)用這些文件的最新版本。凡是不注明日期的援用文件，其最新版本適用于本規(guī)范。GB/T 5271.8信息技術(shù)詞匯第8部分：平安GB17859-1999計(jì)算機(jī)信息系統(tǒng)平安維護(hù)等級(jí)劃分準(zhǔn)那么GB/T AAAA-AAAA 信息平安技術(shù)信息系統(tǒng)平安等級(jí)維護(hù)定級(jí)指南3術(shù)語和定義GB/T 5271.8和GB 17859-1999確立的以及以下術(shù)語和定義適用于本規(guī)范。3.1等級(jí)測評 classified security testing and evaluation確定信息系統(tǒng)平安維護(hù)才干能否到達(dá)相應(yīng)等級(jí)根本要求的過程。4等級(jí)維護(hù)實(shí)施概述4.1根本

6、原那么信息系統(tǒng)平安等級(jí)維護(hù)的中心是對信息系統(tǒng)分等級(jí)、按規(guī)范進(jìn)展建立、管理和監(jiān)視。信息系統(tǒng)平安等級(jí)維護(hù)實(shí)施過程中應(yīng)遵照以下根本原那么：a) 自主維護(hù)原那么信息系統(tǒng)運(yùn)營、運(yùn)用單位及其主管部門按照國家相關(guān)法規(guī)和規(guī)范，自主確定信息系統(tǒng)的平安維護(hù)等級(jí)，自行組織實(shí)施平安維護(hù)。b) 重點(diǎn)維護(hù)原那么根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，經(jīng)過劃分不同平安維護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的平安維護(hù)，集中資源優(yōu)先維護(hù)涉及中心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。c) 同步建立原那么信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)該當(dāng)同步規(guī)劃和設(shè)計(jì)平安方案，投入一定比例的資金建立信息平安設(shè)備，保證信息平安與信息化建立相順應(yīng)。d) 動(dòng)態(tài)調(diào)整原那么要跟

7、蹤信息系統(tǒng)的變化情況，調(diào)整平安維護(hù)措施。由于信息系統(tǒng)的運(yùn)用類型、范圍等條件的變化及其他緣由，平安維護(hù)等級(jí)需求變卦的，該當(dāng)根據(jù)等級(jí)維護(hù)的管理規(guī)范和技術(shù)規(guī)范的要求，重新確定信息系統(tǒng)的平安維護(hù)等級(jí)，根據(jù)信息系統(tǒng)平安維護(hù)等級(jí)的調(diào)整情況，重新實(shí)施平安維護(hù)。4.2角色和職責(zé)信息系統(tǒng)平安等級(jí)維護(hù)實(shí)施過程中涉及的各類角色和職責(zé)如下：a) 國家管理部門公安機(jī)關(guān)擔(dān)任信息平安等級(jí)維護(hù)任務(wù)的監(jiān)視、檢查、指點(diǎn)；國家嚴(yán)密任務(wù)部門擔(dān)任等級(jí)維護(hù)工 作中有關(guān)嚴(yán)密任務(wù)的監(jiān)視、檢查、指點(diǎn)；國家密碼管理部門擔(dān)任等級(jí)維護(hù)任務(wù)中有關(guān)密碼任務(wù)的監(jiān)視、檢查、指點(diǎn)；涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能 部門按照國家法律法規(guī)的規(guī)定進(jìn)展管理

8、；國務(wù)院信息化任務(wù)辦公室及地方信息化指點(diǎn)小組辦事機(jī)構(gòu)擔(dān)任等級(jí)維護(hù)任務(wù)的部門間協(xié)調(diào)。b) 信息系統(tǒng)主管部門擔(dān)任按照國家信息平安等級(jí)維護(hù)的管理規(guī)范和技術(shù)規(guī)范，督促、檢查和指點(diǎn)本行業(yè)、本部門或者本地域信息系統(tǒng)運(yùn)營、運(yùn)用單位的信息平安等級(jí)維護(hù)任務(wù)。c) 信息系統(tǒng)運(yùn)營、運(yùn)用單位擔(dān)任按照國家信息平安等級(jí)維護(hù)的管理規(guī)范和技術(shù)規(guī)范，確定其信息系統(tǒng)的平安維護(hù)等級(jí)，有 主管部門的，該當(dāng)報(bào)其主管部門審核同意；根據(jù)曾經(jīng)確定的平安維護(hù)等級(jí)，到公安機(jī)關(guān)辦理備案手續(xù)；按照國家信息平安等級(jí)維護(hù)管理規(guī)范和技術(shù)規(guī)范，進(jìn)展信息系 統(tǒng)平安維護(hù)的規(guī)劃設(shè)計(jì)；運(yùn)用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)平安維護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品和信息平安產(chǎn)品，

9、開展信息系統(tǒng)平安建立或者改建任務(wù)；制定、落 實(shí)各項(xiàng)平安管理制度，定期對信息系統(tǒng)的平安情況、平安維護(hù)制度及措施的落實(shí)情況進(jìn)展自查，選擇符合國家相關(guān)規(guī)定的等級(jí)測評機(jī)構(gòu)，定期進(jìn)展等級(jí)測評；制定不 同等級(jí)信息平安事件的呼應(yīng)、處置預(yù)案，對信息系統(tǒng)的信息平安事件分等級(jí)進(jìn)展應(yīng)急處置。d) 信息平安效力機(jī)構(gòu)擔(dān)任根據(jù)信息系統(tǒng)運(yùn)營、運(yùn)用單位的委托，按照國家信息平安等級(jí)維護(hù)的管理規(guī)范和技術(shù)規(guī)范，協(xié)助信息系統(tǒng)運(yùn)營、運(yùn)用單位完成等級(jí)維護(hù)的相關(guān)任務(wù)，包括確定其信息系統(tǒng)的平安維護(hù)等級(jí)、進(jìn)展平安需求分析、平安總體規(guī)劃、實(shí)施平安建立和平安改造等。e) 信息平安等級(jí)測評機(jī)構(gòu)擔(dān)任根據(jù)信息系統(tǒng)運(yùn)營、運(yùn)用單位的委托或根據(jù)國家管理部門的

10、授權(quán)，協(xié)助信息系統(tǒng)運(yùn)營、運(yùn)用單位或國家管理部門，按照國家信息平安等級(jí)維護(hù)的管理規(guī)范和技術(shù)規(guī)范，對曾經(jīng)完成等級(jí)維護(hù)建立的信息系統(tǒng)進(jìn)展等級(jí)測評；對信息平安產(chǎn)品供應(yīng)商提供的信息平安產(chǎn)品進(jìn)展平安測評。f) 信息平安產(chǎn)品供應(yīng)商擔(dān)任按照國家信息平安等級(jí)維護(hù)的管理規(guī)范和技術(shù)規(guī)范，開發(fā)符合等級(jí)維護(hù)相關(guān)要求的信息平安產(chǎn)品，接受平安測評；按照等級(jí)維護(hù)相關(guān)要求銷售信息平安產(chǎn)品并提供相關(guān)效力。4.3實(shí)施的根本流程在平安運(yùn)轉(zhuǎn)與維護(hù)階段，信息系統(tǒng)因需求變化等緣由導(dǎo)致部分調(diào)整，而系統(tǒng)的平安維護(hù)等級(jí)并未改動(dòng)，應(yīng)從平安運(yùn)轉(zhuǎn)與維護(hù)階段進(jìn)入平安設(shè)計(jì)與實(shí)施階段，重新設(shè) 計(jì)、調(diào)整和實(shí)施平安措施，確保滿足等級(jí)維護(hù)的要求；但信息系統(tǒng)發(fā)生艱

11、苦變卦導(dǎo)致系統(tǒng)平安維護(hù)等級(jí)變化時(shí)，應(yīng)從平安運(yùn)轉(zhuǎn)與維護(hù)階段進(jìn)入信息系統(tǒng)定級(jí)階段，重 新開場一輪信息平安等級(jí)維護(hù)的實(shí)施過程。5信息系統(tǒng)定級(jí)5.1信息系定級(jí)階段的任務(wù)流程信息系統(tǒng)定級(jí)階段的目的是信息系統(tǒng)運(yùn)營、運(yùn)用單位按照國家有關(guān)管理規(guī)范和GB/TAAAA-AAAA，確定信息系統(tǒng)的平安維護(hù)等級(jí)，信息系統(tǒng)運(yùn)營、運(yùn)用單位有主管部門的，該當(dāng)經(jīng)主管部門審核同意。5.2信息系統(tǒng)分析5.2.1 系統(tǒng)識(shí)別和描畫活動(dòng)目的：本活動(dòng)的目的是經(jīng)過從信息系統(tǒng)運(yùn)營、運(yùn)用單位相關(guān)人員處搜集有關(guān)信息系統(tǒng)的信息，并對信息進(jìn)展綜合分析和整理，根據(jù)分析和整理的內(nèi)容構(gòu)成組織機(jī)構(gòu)內(nèi)信息系統(tǒng)的總體描畫性文檔。參與角色：信息系統(tǒng)運(yùn)營、運(yùn)用單位，

12、信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)的立項(xiàng)、建立和管理文檔?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 識(shí)別信息系統(tǒng)的根本信息調(diào)查了解信息系統(tǒng)的行業(yè)特征、主管機(jī)構(gòu)、業(yè)務(wù)范圍、地理位置以及信息系統(tǒng)根本情況，獲得信息系統(tǒng)的背景信息和聯(lián)絡(luò)方式。b) 識(shí)別信息系統(tǒng)的管理框架了解信息系統(tǒng)的組織管理構(gòu)造、管理戰(zhàn)略、部門設(shè)置和部門在業(yè)務(wù)運(yùn)轉(zhuǎn)中的作用、崗位職責(zé)，獲得支持信息系統(tǒng)業(yè)務(wù)運(yùn)營的管理特征和管理框架方面的信息，從而明確信息系統(tǒng)的平安責(zé)任主體。c) 識(shí)別信息系統(tǒng)的網(wǎng)絡(luò)及設(shè)備部署了解信息系統(tǒng)的物理環(huán)境、網(wǎng)絡(luò)拓?fù)錁?gòu)造和硬件設(shè)備的部署情況，在此根底上明確信息系統(tǒng)的邊境，即確定定級(jí)對象及其范圍。d) 識(shí)別信息系

13、統(tǒng)的業(yè)務(wù)種類和特性了解機(jī)構(gòu)內(nèi)主要依托信息系統(tǒng)處置的業(yè)務(wù)種類和數(shù)量，這些業(yè)務(wù)各自的社會(huì)屬性、業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程等，從中明確支持機(jī)構(gòu)業(yè)務(wù)運(yùn)營的信息系統(tǒng)的業(yè)務(wù)特性，將承載比較單一的業(yè)務(wù)運(yùn)用或者承載相對獨(dú)立的業(yè)務(wù)運(yùn)用的信息系統(tǒng)作為單獨(dú)的定級(jí)對象。e) 識(shí)別業(yè)務(wù)系統(tǒng)處置的信息資產(chǎn)了解業(yè)務(wù)系統(tǒng)處置的信息資產(chǎn)的類型，這些信息資產(chǎn)在嚴(yán)密性、完好性和可用性等方面的重要性程度。f) 識(shí)別用戶范圍和用戶類型根據(jù)用戶或用戶群的分布范圍了解業(yè)務(wù)系統(tǒng)的效力范圍、作用以及業(yè)務(wù)延續(xù)性方面的要求等。g) 信息系統(tǒng)描畫對搜集的信息進(jìn)展整理、分析，構(gòu)成對信息系統(tǒng)的總體描畫文件。一個(gè)典型的信息系統(tǒng)的總體描畫文件應(yīng)包含以下內(nèi)容：1)系

14、統(tǒng)概述；2)系統(tǒng)邊境描畫；3)網(wǎng)絡(luò)拓?fù)洌?)設(shè)備部署；5)支撐的業(yè)務(wù)運(yùn)用的種類和特性；6)處置的信息資產(chǎn)；7)用戶的范圍和用戶類型；8)信息系統(tǒng)的管理框架?；顒?dòng)輸出： 信息系統(tǒng)總體描畫文件。5.2.2 信息系統(tǒng)劃分活動(dòng)目的：本活動(dòng)的目的是根據(jù)信息系統(tǒng)的總體描畫文件，在綜合分析的根底上將組織機(jī)構(gòu)內(nèi)運(yùn)轉(zhuǎn)的信息系統(tǒng)進(jìn)展合理分解，確定所包含可以作為定級(jí)對象的信息系統(tǒng)的個(gè)數(shù)。參與角色：信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)總體描畫文件?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 劃分方法的選擇一個(gè)組織機(jī)構(gòu)能夠運(yùn)轉(zhuǎn)一個(gè)大型信息系統(tǒng)，為了突出重點(diǎn)維護(hù)的等級(jí)維護(hù)原那么，應(yīng)對大型信息系統(tǒng)

15、進(jìn)展劃分，進(jìn)展信息系統(tǒng)劃分的方法可以有多種，可以思索管理機(jī)構(gòu)、業(yè)務(wù)類型、物理位置等要素，信息系統(tǒng)的運(yùn)營、運(yùn)用單位應(yīng)該根據(jù)本單位的詳細(xì)情況確定一個(gè)系統(tǒng)的分解原那么。b) 信息系統(tǒng)劃分根據(jù)選擇的系統(tǒng)劃分原那么，將一個(gè)組織機(jī)構(gòu)內(nèi)擁有的大型信息系統(tǒng)進(jìn)展劃分，劃分出相對獨(dú)立的信息系統(tǒng)并作為定級(jí)對象，應(yīng)保證每個(gè)相對獨(dú)立的信息系統(tǒng)具備定級(jí)對象的根本特征。在信息系統(tǒng)劃分的過程中，應(yīng)該首先思索組織管理的要素，然后思索業(yè)務(wù)類型、物理區(qū)域等要素。c) 信息系統(tǒng)詳細(xì)描畫在對信息系統(tǒng)進(jìn)展劃分并確定定級(jí)對象后，應(yīng)在信息系統(tǒng)總體描畫文件的根底上，進(jìn)一步添加信息系統(tǒng)劃分信息的描畫，準(zhǔn)確描畫一個(gè)大型信息系統(tǒng)中包括的定級(jí)對象的個(gè)

16、數(shù)。進(jìn)一步的信息系統(tǒng)詳細(xì)描畫文件應(yīng)包含以下內(nèi)容：1)相對獨(dú)立信息系統(tǒng)列表；2 每個(gè)定級(jí)對象的概述；3) 每個(gè)定級(jí)對象的邊境；4) 每個(gè)定級(jí)對象的設(shè)備部署；5) 每個(gè)定級(jí)對象支撐的業(yè)務(wù)運(yùn)用及其處置的信息資產(chǎn)類型；6) 每個(gè)定級(jí)對象的效力范圍和用戶類型；7) 其他內(nèi)容?；顒?dòng)輸出： 信息系統(tǒng)詳細(xì)描畫文件。5.3平安維護(hù)等級(jí)確定5.3.1 定級(jí)、審核和同意活動(dòng)目的：本活動(dòng)的目的是按照國家有關(guān)管理規(guī)范和GB/TAAAA-AAAA，確定信息系統(tǒng)的平安維護(hù)等級(jí)，并對定級(jí)結(jié)果進(jìn)展審核和同意，保證定級(jí)結(jié)果的準(zhǔn)確性。參與角色：信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)總體描畫文

17、件，信息系統(tǒng)詳細(xì)描畫文件?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 信息系統(tǒng)平安維護(hù)等級(jí)初步確定根據(jù)國家有關(guān)管理規(guī)范和GB/TAAAA-AAAA確定的定級(jí)方法，信息系統(tǒng)運(yùn)營、運(yùn)用單位對每個(gè)定級(jí)對象確定初步的平安維護(hù)等級(jí)。b) 定級(jí)結(jié)果審核和同意信息系統(tǒng)運(yùn)營、運(yùn)用單位初步確定了平安維護(hù)等級(jí)后，有主管部門的，該當(dāng)經(jīng)主管部門審核批 準(zhǔn)?？缡』蛘呷珖恢侣?lián)網(wǎng)運(yùn)轉(zhuǎn)的信息系統(tǒng)可以由主管部門一致確定平安維護(hù)等級(jí)。對擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營運(yùn)用單位或者主管部門該當(dāng)約請國家信 息平安維護(hù)等級(jí)專家評審委員會(huì)評審?；顒?dòng)輸出：信息系統(tǒng)定級(jí)評審意見。5.3.2 構(gòu)成定級(jí)報(bào)告活動(dòng)目的：本活動(dòng)的目的是對定級(jí)過

18、程中產(chǎn)生的文檔進(jìn)展整理，構(gòu)成信息系統(tǒng)定級(jí)結(jié)果報(bào)告。參與角色：信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、運(yùn)用單位?；顒?dòng)輸入：信息系統(tǒng)總體描畫文件，信息系統(tǒng)詳細(xì)描畫文件，信息系統(tǒng)定級(jí)結(jié)果?；顒?dòng)描畫：對信息系統(tǒng)的總體描畫文檔、信息系統(tǒng)的詳細(xì)描畫文件、信息系統(tǒng)平安維護(hù)等級(jí)確定結(jié)果等內(nèi)容進(jìn)展整理，構(gòu)成文件化的信息系統(tǒng)定級(jí)結(jié)果報(bào)告。信息系統(tǒng)定級(jí)結(jié)果報(bào)告可以包含以下內(nèi)容：a) 單位信息化現(xiàn)狀概述；b) 管理方式；c) 信息系統(tǒng)列表；d) 每個(gè)信息系統(tǒng)的概述；e) 每個(gè)信息系統(tǒng)的邊境；f) 每個(gè)信息系統(tǒng)的設(shè)備部署；g) 每個(gè)信息系統(tǒng)支撐的業(yè)務(wù)運(yùn)用；h) 信息系統(tǒng)列表、平安維護(hù)等級(jí)以及維護(hù)要求組合；i) 其他內(nèi)容?；顒?dòng)輸

19、出：信息系統(tǒng)平安維護(hù)等級(jí)定級(jí)報(bào)告。6總體平安規(guī)劃6.1總體平安規(guī)劃階段的任務(wù)流程總體平安規(guī)劃階段的目的是根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級(jí)情況、信息系統(tǒng)承載業(yè) 務(wù)情況，經(jīng)過分析明確信息系統(tǒng)平安需求，設(shè)計(jì)合理的、滿足等級(jí)維護(hù)要求的總體平安方案，并制定出平安實(shí)施方案，以指點(diǎn)后續(xù)的信息系統(tǒng)平安建立工程實(shí)施。對 于已運(yùn)營運(yùn)轉(zhuǎn)的信息系統(tǒng)，需求分析該當(dāng)首先分析判別信息系統(tǒng)的平安維護(hù)現(xiàn)狀與等級(jí)維護(hù)要求之間的差距。6.2平安需求分析6.2.1 根本平安需求確實(shí)定活動(dòng)目的：本活動(dòng)的目的是根據(jù)信息系統(tǒng)的平安維護(hù)等級(jí)，判別信息系統(tǒng)現(xiàn)有的平安維護(hù)程度與國家等級(jí)維護(hù)管理規(guī)范和技術(shù)規(guī)范之間的差距，提出信息系統(tǒng)的根本平

20、安維護(hù)需求。參與角色： 信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)，信息平安等級(jí)測評機(jī)構(gòu)?；顒?dòng)輸入： 信息系統(tǒng)詳細(xì)描畫文件，信息系統(tǒng)平安維護(hù)等級(jí)定級(jí)報(bào)告，信息系統(tǒng)相關(guān)的其它文檔，信息系統(tǒng)平安等級(jí)維護(hù)根本要求?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 確定系統(tǒng)范圍和分析對象明確不同等級(jí)信息系統(tǒng)的范圍和 邊境，經(jīng)過調(diào)查或查閱資料的方式，了解信息系統(tǒng)的構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)運(yùn)用、業(yè)務(wù)流程、設(shè)備信息、平安措施情況等。初步確定每個(gè)等級(jí)信息系統(tǒng)的分析對 象，包括整體對象，如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等，也包括詳細(xì)對象，如邊境設(shè)備、網(wǎng)關(guān)設(shè)備、效力器設(shè)備、任務(wù)站、運(yùn)用系統(tǒng)等。b) 構(gòu)成評價(jià)目的和評價(jià)方案根據(jù)各個(gè)

21、信息系統(tǒng)的平安維護(hù)等級(jí)從信息系統(tǒng)平安等級(jí)維護(hù)根本要求中選擇相應(yīng)等級(jí)的目的，構(gòu)成評價(jià)目的。根據(jù)評價(jià)目的，結(jié)合確定的詳細(xì)對象制定可以操作的評價(jià)方案，評價(jià)方案可以包含以下內(nèi)容：1) 管理情況評價(jià)表格；2) 網(wǎng)絡(luò)情況評價(jià)表格；3) 網(wǎng)絡(luò)設(shè)備含平安設(shè)備評價(jià)表格；4) 主機(jī)設(shè)備評價(jià)表格；5) 主要設(shè)備平安測試方案；6) 重要操作的作業(yè)指點(diǎn)書。c) 現(xiàn)狀與評價(jià)目的對比經(jīng)過察看現(xiàn)場、訊問人員、查詢資料、檢查記錄、檢查配置、技術(shù)測試、浸透攻擊等方式進(jìn)展平安技術(shù)和平安管理方面的評價(jià)，判別平安技術(shù)和平安管理的各個(gè)方面與評價(jià)目的的符合程度，給出判別結(jié)論。整理和分析不符合的評價(jià)目的，確定信息系統(tǒng)平安維護(hù)的根本需求?；顒?dòng)

22、輸出： 根本平安需求。6.2.2 額外特殊平安需求確實(shí)定活動(dòng)目的：本活動(dòng)的目的是經(jīng)過對信息系統(tǒng)重要資產(chǎn)特殊維護(hù)要求的分析，確定超出相應(yīng)等級(jí)維護(hù)根本要 求的部分或具有特殊平安維護(hù)要求的部分，采用需求分析/風(fēng)險(xiǎn)分析的方法，確定能夠的平安風(fēng)險(xiǎn)，判別對超出等級(jí)維護(hù)根本要求部分實(shí)施特殊平安措施的必要性， 提出信息系統(tǒng)的特殊平安維護(hù)需求。參與角色： 信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)詳細(xì)描畫文件，信息系統(tǒng)平安維護(hù)等級(jí)定級(jí)報(bào)告，信息系統(tǒng)相關(guān)的其它文檔?；顒?dòng)描畫：確定特殊平安需求可以采用目前成熟或流行的需求分析/風(fēng)險(xiǎn)分析方法，或者采用下面引見的活動(dòng)：a) 重要資產(chǎn)的分析明確信息系統(tǒng)中

23、的重要部件，如邊境設(shè)備、網(wǎng)關(guān)設(shè)備、中心網(wǎng)絡(luò)設(shè)備、重要效力器設(shè)備、重要運(yùn)用系統(tǒng)等。b) 重要資產(chǎn)平安弱點(diǎn)評價(jià)檢查或判別上述重要部件能夠存在的弱點(diǎn)，包括技術(shù)上和管理上的；分析平安弱點(diǎn)被利用的能夠性。c) 重要資產(chǎn)面臨要挾評價(jià)分析和判別上述重要部件能夠面臨的要挾，包括外部的要挾和內(nèi)部的要挾，要挾發(fā)生的能夠性或概率。d) 綜合風(fēng)險(xiǎn)分析分析要挾利用弱點(diǎn)能夠產(chǎn)生的結(jié)果，結(jié)果產(chǎn)生的能夠性或概率，結(jié)果呵斥的損害或影響的大小，以及防止上述結(jié)果產(chǎn)生的能夠性、必要性和經(jīng)濟(jì)性。按照重要資產(chǎn)的排序和風(fēng)險(xiǎn)的排序確定平安維護(hù)的要求?；顒?dòng)輸出： 重要資產(chǎn)的特殊維護(hù)要求。6.2.3 構(gòu)成平安需求分析報(bào)告活動(dòng)目的：本活動(dòng)的目的是

24、總結(jié)根本平安需求和特殊平安需求，構(gòu)成平安需求分析報(bào)告。參與角色： 信息系統(tǒng)運(yùn)營，運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)詳細(xì)描畫文件，信息系統(tǒng)平安維護(hù)等級(jí)定級(jí)報(bào)告，根本平安需求，重要資產(chǎn)的特殊維護(hù)要求?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 完成平安需求分析報(bào)告根據(jù)根本平安需求和特殊的平安維護(hù)需求等構(gòu)成平安需求分析報(bào)告。平安需求分析報(bào)告可以包含以下內(nèi)容：1) 信息系統(tǒng)描畫；2) 平安管理情況；3) 平安技術(shù)情況；4) 存在的缺乏和能夠的風(fēng)險(xiǎn)；5) 平安需求描畫?；顒?dòng)輸出： 平安需求分析報(bào)告。6.3總體平安設(shè)計(jì)6.3.1 總體平安戰(zhàn)略設(shè)計(jì)活動(dòng)目的：本活動(dòng)的目的是構(gòu)成機(jī)構(gòu)綱領(lǐng)性的平安戰(zhàn)

25、略文件，包括確定平安方針，制定平安戰(zhàn)略，以便結(jié)合等級(jí)維護(hù)根本要求和平安維護(hù)特殊要求，構(gòu)建機(jī)構(gòu)信息系統(tǒng)的平安技術(shù)體系構(gòu)造和平安管理體系構(gòu)造。參與角色： 信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入： 信息系統(tǒng)詳細(xì)描畫文件，信息系統(tǒng)平安維護(hù)等級(jí)定級(jí)報(bào)告，平安需求分析報(bào)告?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 確定平安方針構(gòu)成機(jī)構(gòu)最高層次的平安方針文件，闡明平安任務(wù)的使命和志愿，定義信息平安的總體目的，規(guī)定信息平安責(zé)任機(jī)構(gòu)和職責(zé)，建立平安任務(wù)運(yùn)轉(zhuǎn)方式等。b) 制定平安戰(zhàn)略構(gòu)成機(jī)構(gòu)高層次的平安戰(zhàn)略文件，闡明平安任務(wù)的主要戰(zhàn)略，包括平安組織機(jī)構(gòu)劃分戰(zhàn)略、業(yè)務(wù)系統(tǒng)分級(jí)戰(zhàn)略、數(shù)據(jù)信息分級(jí)戰(zhàn)略、

26、子系統(tǒng)互連戰(zhàn)略、信息流控制戰(zhàn)略等?；顒?dòng)輸出： 總體平安戰(zhàn)略文件。6.3.2 平安技術(shù)體系構(gòu)造設(shè)計(jì)活動(dòng)目的：本活動(dòng)的目的是根據(jù)信息系統(tǒng)平安等級(jí)維護(hù)根本要求、平安需求分析報(bào)告、機(jī)構(gòu)總體平安戰(zhàn)略文件等，提出系統(tǒng)需求實(shí)現(xiàn)的平安技術(shù)措施，構(gòu)成機(jī)構(gòu)特定的系統(tǒng)平安技術(shù)體系構(gòu)造，用以指點(diǎn)信息系統(tǒng)分等級(jí)維護(hù)的詳細(xì)實(shí)現(xiàn)。參與角色： 信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)詳細(xì)描畫文件，信息系統(tǒng)平安維護(hù)等級(jí)定級(jí)報(bào)告，平安需求分析報(bào)告，信息系統(tǒng)平安等級(jí)維護(hù)根本要求?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 規(guī)定骨干網(wǎng)/城域網(wǎng)的平安維護(hù)技術(shù)措施根據(jù)機(jī)構(gòu)總體平安戰(zhàn)略文件、等級(jí)維護(hù)根本要求和平安需求

27、，提出骨干網(wǎng)/城域網(wǎng)的平安維護(hù) 戰(zhàn)略和平安技術(shù)措施。骨干網(wǎng)/城域網(wǎng)的平安維護(hù)戰(zhàn)略和平安技術(shù)措施提出時(shí)應(yīng)思索網(wǎng)絡(luò)線路和網(wǎng)絡(luò)設(shè)備共享的情況，假設(shè)不同級(jí)別的子系統(tǒng)經(jīng)過骨干網(wǎng)/城域網(wǎng)的 同一線路和設(shè)備傳輸數(shù)據(jù)，線路和設(shè)備的平安維護(hù)戰(zhàn)略和平安技術(shù)措施應(yīng)滿足最高級(jí)別子系統(tǒng)的等級(jí)維護(hù)根本要求。b) 規(guī)定子系統(tǒng)之間互聯(lián)的平安技術(shù)措施根據(jù)機(jī)構(gòu)總體平安戰(zhàn)略文件、等級(jí)維護(hù)根本要求和平安需求，提出跨局域網(wǎng)互聯(lián)的子系統(tǒng)之間 的信息傳輸維護(hù)戰(zhàn)略要求和詳細(xì)的平安技術(shù)措施，包括同級(jí)互聯(lián)的戰(zhàn)略、不同級(jí)別互聯(lián)的戰(zhàn)略等；提出局域網(wǎng)內(nèi)部互聯(lián)的子系統(tǒng)之間的信息傳輸維護(hù)戰(zhàn)略要求和詳細(xì) 的平安技術(shù)措施，包括同級(jí)互聯(lián)的戰(zhàn)略、不同級(jí)別互聯(lián)的戰(zhàn)

28、略等。c) 規(guī)定不同級(jí)別子系統(tǒng)的邊境維護(hù)技術(shù)措施根據(jù)機(jī)構(gòu)總體平安戰(zhàn)略文件、等級(jí)維護(hù)根本要求和平安需求，提出不同級(jí)別子系統(tǒng)邊境的平安 維護(hù)戰(zhàn)略和平安技術(shù)措施。子系統(tǒng)邊境平安維護(hù)戰(zhàn)略和平安技術(shù)措施提出時(shí)應(yīng)思索邊境設(shè)備共享的情況，假設(shè)不同級(jí)別的子系統(tǒng)經(jīng)過同一設(shè)備進(jìn)展邊境維護(hù)，這個(gè)邊 界設(shè)備的平安維護(hù)戰(zhàn)略和平安技術(shù)措施應(yīng)滿足最高級(jí)別子系統(tǒng)的等級(jí)維護(hù)根本要求。d) 規(guī)定不同級(jí)別子系統(tǒng)內(nèi)部系統(tǒng)平臺(tái)和業(yè)務(wù)運(yùn)用的平安維護(hù)技術(shù)措施根據(jù)機(jī)構(gòu)總體平安戰(zhàn)略文件、等級(jí)維護(hù)根本要求和平安需求，提出不同級(jí)別子系統(tǒng)內(nèi)部網(wǎng)絡(luò)平臺(tái)、系統(tǒng)平臺(tái)和業(yè)務(wù)運(yùn)用的平安維護(hù)戰(zhàn)略和平安技術(shù)措施。e) 規(guī)定不同級(jí)別信息系統(tǒng)機(jī)房的平安維護(hù)技術(shù)措施根

29、據(jù)機(jī)構(gòu)總體平安戰(zhàn)略文件、等級(jí)維護(hù)根本要求和平安需求，提出不同級(jí)別信息系統(tǒng)機(jī)房的安 全維護(hù)戰(zhàn)略和平安技術(shù)措施。信息系統(tǒng)機(jī)房平安維護(hù)戰(zhàn)略和平安技術(shù)措施提出時(shí)應(yīng)思索不同級(jí)別的信息系統(tǒng)共享機(jī)房的情況，假設(shè)不同級(jí)別的信息系統(tǒng)共享同一機(jī) 房，機(jī)房的平安維護(hù)戰(zhàn)略和平安技術(shù)措施應(yīng)滿足最高級(jí)別信息系統(tǒng)的等級(jí)維護(hù)根本要求。f) 構(gòu)成信息系統(tǒng)平安技術(shù)體系構(gòu)造將骨干網(wǎng)/城域網(wǎng)、經(jīng)過骨干網(wǎng)/城域網(wǎng)的子系統(tǒng)互聯(lián)、局域網(wǎng)內(nèi)部的子系統(tǒng)互聯(lián)、子系統(tǒng)的邊境、子系統(tǒng)內(nèi)部各類平臺(tái)、機(jī)房以及其他方面的平安維護(hù)戰(zhàn)略和平安技術(shù)措施進(jìn)展整理、匯總，構(gòu)成信息系統(tǒng)的平安技術(shù)體系構(gòu)造?；顒?dòng)輸出： 信息系統(tǒng)平安技術(shù)體系構(gòu)造。6.3.3 整體平安管理

30、體系構(gòu)造設(shè)計(jì)活動(dòng)目的：本活動(dòng)的目的是根據(jù)等級(jí)維護(hù)根本要求、平安需求分析報(bào)告、機(jī)構(gòu)總體平安戰(zhàn)略文件等，調(diào)整 原有管理方式和管理戰(zhàn)略，既從全局高度思索為每個(gè)等級(jí)信息系統(tǒng)制定一致的平安管理戰(zhàn)略，又從每個(gè)信息系統(tǒng)的實(shí)踐需求出發(fā)，選擇和調(diào)整詳細(xì)的平安管理措施， 最后構(gòu)成一致的整體平安管理體系構(gòu)造。參與角色： 信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)詳細(xì)描畫文件，信息系統(tǒng)平安維護(hù)等級(jí)定級(jí)報(bào)告，平安需求分析報(bào)告，信息系統(tǒng)平安等級(jí)維護(hù)根本要求?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 規(guī)定信息平安的組織管理體系和對各信息系統(tǒng)的平安管理職責(zé)根據(jù)機(jī)構(gòu)總體平安戰(zhàn)略文件、等級(jí)維護(hù)根本要求和平安

31、需求，提出機(jī)構(gòu)的平安組織管理機(jī)構(gòu)框架，分配各個(gè)級(jí)別信息系統(tǒng)的平安管理職責(zé)，規(guī)定各個(gè)級(jí)別信息系統(tǒng)的平安管理戰(zhàn)略等。b) 規(guī)定各等級(jí)信息系統(tǒng)的人員平安管理戰(zhàn)略根據(jù)機(jī)構(gòu)總體平安戰(zhàn)略文件、等級(jí)維護(hù)根本要求和平安需求，提出各個(gè)不同級(jí)別信息系統(tǒng)的管理人員框架，分配各個(gè)級(jí)別信息系統(tǒng)的管理人員職責(zé)，規(guī)定各個(gè)級(jí)別信息系統(tǒng)的人員平安管理戰(zhàn)略等。c) 規(guī)定各等級(jí)信息系統(tǒng)機(jī)房及辦公區(qū)等物理環(huán)境的平安管理戰(zhàn)略根據(jù)機(jī)構(gòu)總體平安戰(zhàn)略文件、等級(jí)維護(hù)根本要求和平安需求，提出各個(gè)不同級(jí)別信息系統(tǒng)的機(jī)房和辦公環(huán)境的平安戰(zhàn)略。d) 規(guī)定各等級(jí)信息系統(tǒng)介質(zhì)、設(shè)備等的平安管理戰(zhàn)略根據(jù)機(jī)構(gòu)總體平安戰(zhàn)略文件、等級(jí)維護(hù)根本要求和平安需求，提出

32、各個(gè)不同級(jí)別信息系統(tǒng)的介質(zhì)、設(shè)備等的平安戰(zhàn)略。e) 規(guī)定各等級(jí)信息系統(tǒng)運(yùn)轉(zhuǎn)平安管理戰(zhàn)略根據(jù)機(jī)構(gòu)總體平安戰(zhàn)略文件、等級(jí)維護(hù)根本要求和平安需求，提出各個(gè)不同級(jí)別信息系統(tǒng)的平安運(yùn)轉(zhuǎn)與維護(hù)框架和運(yùn)維平安戰(zhàn)略等。f) 規(guī)定各等級(jí)信息系統(tǒng)平安事件處置和應(yīng)急管理戰(zhàn)略根據(jù)機(jī)構(gòu)總體平安戰(zhàn)略文件、等級(jí)維護(hù)根本要求和平安需求，提出各個(gè)不同級(jí)別信息系統(tǒng)的平安事件處置和應(yīng)急管理戰(zhàn)略等。g) 構(gòu)成信息系統(tǒng)平安管理戰(zhàn)略框架將上述各個(gè)方面的平安管理戰(zhàn)略進(jìn)展整理、匯總，構(gòu)成信息系統(tǒng)的整體平安管理體系構(gòu)造?；顒?dòng)輸出：信息系統(tǒng)平安管理體系構(gòu)造。6.3.4 設(shè)計(jì)結(jié)果文檔化活動(dòng)目的：本活動(dòng)的目的是將總體平安設(shè)計(jì)任務(wù)的結(jié)果文檔化，最后構(gòu)

33、成一套指點(diǎn)機(jī)構(gòu)信息平安任務(wù)的指點(diǎn)性文件。參與角色： 信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入： 平安需求分析報(bào)告，信息系統(tǒng)平安技術(shù)體系構(gòu)造，信息系統(tǒng)平安管理體系構(gòu)造。活動(dòng)描畫：對平安需求分析報(bào)告、信息系統(tǒng)平安技術(shù)體系構(gòu)造和平安管理體系構(gòu)造等文檔進(jìn)展整理，構(gòu)成信息系統(tǒng)總體平安方案。信息系統(tǒng)總體平安方案包含以下內(nèi)容：a) 信息系統(tǒng)概述；b) 總體平安戰(zhàn)略；c) 信息系統(tǒng)平安技術(shù)體系構(gòu)造；d) 信息系統(tǒng)平安管理體系構(gòu)造?；顒?dòng)輸出：信息系統(tǒng)平安總體方案。6.4平安建立工程規(guī)劃6.4.1 平安建立目確實(shí)定活動(dòng)目的：本活動(dòng)的目的是根據(jù)信息系統(tǒng)平安總體方案一個(gè)或多個(gè)文件構(gòu)成、機(jī)構(gòu)或單位信息化建立的

34、中長期開展規(guī)劃和機(jī)構(gòu)的平安建立資金情況確定各個(gè)時(shí)期的平安建立目的。參與角色： 信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)平安總體方案、機(jī)構(gòu)或單位信息化建立的中長期開展規(guī)劃?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 信息化建立中長期開展規(guī)劃和平安需求調(diào)查了解和調(diào)查單位信息化建立的現(xiàn)況、中長期信息化建立的目的、主管部門對信息化的投入，對比信息化建立過程中階段形狀與平安戰(zhàn)略規(guī)劃之間的差距，分析急迫和關(guān)鍵的平安問題，思索可以同步進(jìn)展的平安建立內(nèi)容等。b) 提出信息系統(tǒng)平安建立分階段目的制定系統(tǒng)在規(guī)劃期內(nèi)普通平安規(guī)劃期為3年所要實(shí)現(xiàn)的總體平安目的；制定系統(tǒng)短期1年以內(nèi)要實(shí)現(xiàn)的平安目

35、的，主要處理目前急迫和關(guān)鍵的問題，爭取在短期內(nèi)平安情況有大幅度提高?；顒?dòng)輸出： 信息系統(tǒng)分階段平安建立目的。6.4.2 平安建立內(nèi)容規(guī)劃活動(dòng)目的：本活動(dòng)的目的是根據(jù)平安建立目的和信息系統(tǒng)平安總體方案的要求，設(shè)計(jì)分期分批的主要建立內(nèi)容，并將建立內(nèi)容組合成不同的工程，闡明工程之間的依賴或促進(jìn)關(guān)系等。參與角色： 信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)平安總體方案，信息系統(tǒng)分階段平安建立目的?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a確定主要平安建立內(nèi)容根據(jù)信息系統(tǒng)平安總體方案明確主要的平安建立內(nèi)容，并將其適當(dāng)?shù)姆纸?。主要建立?nèi)容能夠分解但不限于以下內(nèi)容：1) 平安根底設(shè)備建立；

36、2) 網(wǎng)絡(luò)平安建立；3) 系統(tǒng)平臺(tái)和運(yùn)用平臺(tái)平安建立；4) 數(shù)據(jù)系統(tǒng)平安建立；5) 平安規(guī)范體系建立；6) 人才培育體系建立；7) 平安管理體系建立。b確定主要平安建立工程組合平安建立內(nèi)容為不同的平安建立工程，描畫工程所處理的主要平安問題及所要到達(dá)的平安目的，對工程進(jìn)展支持或依賴等相關(guān)性分析，對工程進(jìn)展緊迫性分析，對工程進(jìn)展實(shí)施難易程度分析，對工程進(jìn)展預(yù)期效果分析，描畫工程的詳細(xì)任務(wù)內(nèi)容、建立方案，構(gòu)成平安建立工程列表?；顒?dòng)輸出： 平安建立工程列表含平安建立內(nèi)容。6.4.3 構(gòu)成平安建立工程方案活動(dòng)目的：本活動(dòng)的目的是根據(jù)建立目的和建立內(nèi)容，在時(shí)間和經(jīng)費(fèi)上對平安建立工程列表進(jìn)展總體思索，分到不

37、同的時(shí)期和階段，設(shè)計(jì)建立順序，進(jìn)展投資估算，構(gòu)成平安建立工程方案。參與角色： 信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)平安總體方案，信息系統(tǒng)分階段平安建立目的，平安建立內(nèi)容等?；顒?dòng)描畫：對信息系統(tǒng)分階段平安建立目的、平安總體方案和平安建立內(nèi)容等文檔進(jìn)展整理，構(gòu)成信息系統(tǒng)平安建立工程方案。平安建立工程方案可包含以下內(nèi)容：a) 規(guī)劃建立的根據(jù)和原那么；b) 規(guī)劃建立的目的和范圍；c) 信息系統(tǒng)平安現(xiàn)狀；d) 信息化的中長期開展規(guī)劃；e) 信息系統(tǒng)平安建立的總體框架；f) 平安技術(shù)體系建立規(guī)劃；g) 平安管理與平安保證體系建立規(guī)劃；h) 平安建立投資估算；i) 信息系統(tǒng)平安建立的

38、實(shí)施保證等內(nèi)容?；顒?dòng)輸出：信息系統(tǒng)平安建立工程方案。7平安設(shè)計(jì)與實(shí)施7.1平安設(shè)計(jì)與實(shí)施階段的任務(wù)流程平安設(shè)計(jì)與實(shí)施階段的目的是按照信息系統(tǒng)平安總體方案的要求，結(jié)合信息系統(tǒng)平安建立工程方案，分期分步落實(shí)平安措施。7.2平安方案詳細(xì)設(shè)計(jì)7.2.1 技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)活動(dòng)目的：本活動(dòng)的目的是根據(jù)建立目的和建立內(nèi)容將信息系統(tǒng)平安總體方案中要?jiǎng)?wù)虛現(xiàn)的平安戰(zhàn)略、平安技術(shù)體系構(gòu)造、平安措施和要求落實(shí)到產(chǎn)品功能或物理形狀上，提出可以實(shí)現(xiàn)的產(chǎn)品或組件及其詳細(xì)規(guī)范，并將產(chǎn)品功能特征整理成文檔。使得在信息平安產(chǎn)品采購和平安控制開發(fā)階段具有根據(jù)。參與角色：信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)，信息平安產(chǎn)品供應(yīng)

39、商?；顒?dòng)輸入：信息系統(tǒng)平安總體方案，信息系統(tǒng)平安建立工程方案，各類信息技術(shù)產(chǎn)品和信息平安產(chǎn)品技術(shù)白皮書?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 構(gòu)造框架設(shè)計(jì)根據(jù)本次實(shí)施工程的建立內(nèi)容和信息系統(tǒng)的實(shí)踐情況，給出與總體平安規(guī)劃階段的平安體系構(gòu)造一致的平安實(shí)現(xiàn)技術(shù)框架，內(nèi)容能夠包括平安防護(hù)的層次、信息平安產(chǎn)品的運(yùn)用、網(wǎng)絡(luò)子系統(tǒng)劃分、IP地址規(guī)劃其他內(nèi)容。b) 功能要求設(shè)計(jì)對平安實(shí)現(xiàn)技術(shù)框架中運(yùn)用到的相關(guān)信息平安產(chǎn)品，如防火墻、VPN、網(wǎng)閘、認(rèn)證網(wǎng)關(guān)、代理效力器、網(wǎng)絡(luò)防病毒、PKI等提出功能目的要求。對需求開發(fā)的平安控制組件，提出功能目的要求。c) 性能要求設(shè)計(jì)對平安實(shí)現(xiàn)技術(shù)框架中運(yùn)用到的相關(guān)信

40、息平安產(chǎn)品，如防火墻、VPN、網(wǎng)閘、認(rèn)證網(wǎng)關(guān)、代理效力器、網(wǎng)絡(luò)防病毒、PKI等提出性能目的要求。對需求開發(fā)的平安控制組件，提出性能目的要求。d) 部署方案設(shè)計(jì)結(jié)合目前信息系統(tǒng)網(wǎng)絡(luò)拓?fù)?，以圖示的方式給出平安技術(shù)實(shí)現(xiàn)框架的實(shí)現(xiàn)方式，包括信息平安產(chǎn)品或平安組件的部署位置、連線方式、IP地址分配等。對于需對原有網(wǎng)絡(luò)進(jìn)展調(diào)整的，給出網(wǎng)絡(luò)調(diào)整的圖示方案等。e) 制定平安戰(zhàn)略實(shí)現(xiàn)方案根據(jù)信息系統(tǒng)平安總體方案中提出的平安戰(zhàn)略的要求，制定設(shè)計(jì)和設(shè)置信息平安產(chǎn)品或平安組件的平安戰(zhàn)略實(shí)現(xiàn)方案?；顒?dòng)輸出：技術(shù)措施落實(shí)方案。7.2.2 管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)活動(dòng)目的：本活動(dòng)的目的是根據(jù)機(jī)構(gòu)當(dāng)前平安管理需求和平安技術(shù)保證需

41、求提出與信息系統(tǒng)平安總體方案中管理部分相順應(yīng)的本期平安實(shí)施內(nèi)容，以保證平安技術(shù)建立的同時(shí)，平安管理的同步建立。參與角色：信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：信息系統(tǒng)平安總體方案，信息系統(tǒng)平安建立工程方案?；顒?dòng)描畫：結(jié)合系統(tǒng)實(shí)踐平安管理需求和本次技術(shù)建立內(nèi)容，確定本次平安管理建立的范圍和內(nèi)容，同時(shí)留意與信息系統(tǒng)平安總體方案的一致性。平安管理設(shè)計(jì)的內(nèi)容主要思索：平安管理機(jī)構(gòu)和人員的配套、平安管理制度的配套、人員平安管理技藝的配套等?；顒?dòng)輸出：管理措施落實(shí)方案。7.2.3 設(shè)計(jì)結(jié)果文檔化活動(dòng)目的：本活動(dòng)的目的是將技術(shù)措施落實(shí)方案、管理措施落實(shí)方案匯總，同時(shí)思索工時(shí)和費(fèi)用，最后構(gòu)成指點(diǎn)

42、平安實(shí)施的指點(diǎn)性文件。參與角色：信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：技術(shù)措施落實(shí)方案，管理措施落實(shí)方案?；顒?dòng)描畫：對技術(shù)措施落實(shí)方案中技術(shù)實(shí)施內(nèi)容和管理措施落實(shí)方案中管理實(shí)施內(nèi)容等文檔進(jìn)展整理，構(gòu)成信息系統(tǒng)平安建立詳細(xì)設(shè)計(jì)方案。平安詳細(xì)設(shè)計(jì)方案包含以下內(nèi)容：a) 本期建立目的和建立內(nèi)容；b) 技術(shù)實(shí)現(xiàn)框架；c) 信息平安產(chǎn)品或組件功能及性能；d) 信息平安產(chǎn)品或組件部署；e) 平安戰(zhàn)略和配置；f) 配套的平安管理建立內(nèi)容；g) 工程實(shí)施方案；h) 工程投資概算?；顒?dòng)輸出：平安詳細(xì)設(shè)計(jì)方案。7.3管理措施實(shí)現(xiàn)7.3.1 管理機(jī)構(gòu)和人員的設(shè)置活動(dòng)目的：本活動(dòng)的目的是建立配套的平安管

43、理職能部門，經(jīng)過管理機(jī)構(gòu)的崗位設(shè)置、人員的分工以及各種資源的配備，為信息系統(tǒng)的平安管理提供組織上的保證。參與角色： 信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：機(jī)構(gòu)現(xiàn)有相關(guān)管理制度和政策，平安詳細(xì)設(shè)計(jì)方案?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 平安組織確定識(shí)別與信息平安管理有關(guān)的組織成員及其角色，例如：操作人員、文檔管理員、系統(tǒng)管理員、平安管理員等，構(gòu)成平安組織構(gòu)造表。b) 角色闡明以書面的方式詳細(xì)描畫每個(gè)角色與職責(zé)，確保有人對一切的風(fēng)險(xiǎn)擔(dān)任?；顒?dòng)輸出：機(jī)構(gòu)、角色與職責(zé)闡明書。7.3.2 管理制度的建立和修訂活動(dòng)目的：本活動(dòng)的目的是建立或修訂與信息系統(tǒng)平安管理相配套的、包括一切

44、信息系統(tǒng)的建立、開發(fā)、運(yùn)維、晉級(jí)和改造等各個(gè)階段和環(huán)節(jié)所該當(dāng)遵照的行為規(guī)范和操作規(guī)程。參與角色： 信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)。活動(dòng)輸入：平安組織構(gòu)造表，平安成員及角色闡明書，平安詳細(xì)設(shè)計(jì)方案?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 運(yùn)用范圍明確管理制度建立首先要明確制度的運(yùn)用范圍，如機(jī)房管理、帳戶管理、遠(yuǎn)程訪問管理、特殊權(quán)限管理、設(shè)備管理、變卦管理等方面的內(nèi)容。b) 人員職責(zé)定義管理制度的建立要明確相關(guān)崗位人員的責(zé)任和權(quán)益范圍，并要征求相關(guān)人員的意見，要保證責(zé)任明確。c) 行為規(guī)范規(guī)定管理制度是經(jīng)過制度化、規(guī)范化的流程和行為，來保證各項(xiàng)管理任務(wù)的一致性。d

45、) 評價(jià)與完善制度在發(fā)布、執(zhí)行過程中，要定期對其進(jìn)展評價(jià)，根據(jù)實(shí)踐環(huán)境和情況的變化，對制度進(jìn)展修正和完善，必要時(shí)思索管理制度的重新制定?；顒?dòng)輸出： 各項(xiàng)管理制度和操作規(guī)范。7.3.3 人員平安技藝培訓(xùn)活動(dòng)目的：本活動(dòng)的目的是對人員的職責(zé)、素質(zhì)、技藝等方面進(jìn)展培訓(xùn)，保證人員具有與其崗位職責(zé)相順應(yīng)的技術(shù)才干和管理才干，以減少人為要素給系統(tǒng)帶來的平安風(fēng)險(xiǎn)。參與角色： 信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：系統(tǒng)/產(chǎn)品運(yùn)用闡明書，各項(xiàng)管理制度和操作規(guī)范?；顒?dòng)描畫：針對普通員工、管理員、開發(fā)人員、主管人員以及平安人員的特定技藝培訓(xùn)和平安認(rèn)識(shí)培訓(xùn)，培訓(xùn)后進(jìn)展考核，合格者發(fā)給上

46、崗資歷證書等?；顒?dòng)輸出：培訓(xùn)記錄及上崗資歷證書等。7.3.4 平安實(shí)施過程管理活動(dòng)目的：本活動(dòng)的目的是在系統(tǒng)定級(jí)、規(guī)劃設(shè)計(jì)、實(shí)施過程中，對工程的質(zhì)量、進(jìn)度、文檔和變卦等方面的任務(wù)進(jìn)展監(jiān)視控制和科學(xué)管理。參與角色：信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)，信息平安產(chǎn)品供應(yīng)商?；顒?dòng)輸入：平安設(shè)計(jì)與實(shí)施階段參與各方相關(guān)進(jìn)度控制和質(zhì)量監(jiān)視要求文檔?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 質(zhì)量管理質(zhì)量管理首先要控制系統(tǒng)建立的質(zhì) 量，保證系統(tǒng)建立一直處于等級(jí)維護(hù)制度所要求的框架內(nèi)進(jìn)展。同時(shí)，還要保證用于創(chuàng)建系統(tǒng)的過程的質(zhì)量。在系統(tǒng)建立的過程中，要建立一個(gè)不斷測試和改良質(zhì)量 的過程。在整個(gè)系統(tǒng)的生命周

47、期中，經(jīng)過丈量、分析和修正活動(dòng)，保證所完成目的和過程的質(zhì)量。b) 風(fēng)險(xiǎn)管理為了識(shí)別、評價(jià)和減低風(fēng)險(xiǎn)，以保證系統(tǒng)工程活動(dòng)和全部技術(shù)任務(wù)工程都勝利實(shí)施。在整個(gè)系統(tǒng)建立過程中，風(fēng)險(xiǎn)管理要貫穿一直。c) 變卦管理在系統(tǒng)建立的過程中，由于各種條件 的變化，會(huì)導(dǎo)致變卦的出現(xiàn)，變卦發(fā)生在工程的范圍、進(jìn)度、質(zhì)量、費(fèi)用、人力資源、溝通、合同等多方面。每一次的變卦處置，必需遵照同樣的程序，即一樣的文 字報(bào)告、一樣的管理方法、一樣的監(jiān)控過程。必需確定每一次變卦對系統(tǒng)本錢、進(jìn)度、風(fēng)險(xiǎn)和技術(shù)要求的影響。一旦同意變卦，必需設(shè)定一個(gè)程序來執(zhí)行變卦。d) 進(jìn)度管理系統(tǒng)建立的實(shí)施必需求有一組明確的可交付成果，同時(shí)也要求有終了的

48、日期。因此在建立系統(tǒng)的過程中，必需制定工程進(jìn)度方案，繪制網(wǎng)絡(luò)圖，將系統(tǒng)分解為不同的子義務(wù)，并進(jìn)展時(shí)間控制確保工程的如期完成。e) 文檔管理文檔是記錄工程整個(gè)過程的書面資料，在系統(tǒng)建立的過程中，針對每個(gè)環(huán)節(jié)都有大量的文檔輸出，文檔管理涉及系統(tǒng)建立的各個(gè)環(huán)節(jié)，主要包括：系統(tǒng)定級(jí)、規(guī)劃設(shè)計(jì)、方案設(shè)計(jì)、平安實(shí)施、系統(tǒng)驗(yàn)收、人員培訓(xùn)等方面?；顒?dòng)輸出：各階段管理過程文檔。7.4技術(shù)措施實(shí)現(xiàn)7.4.1 信息平安產(chǎn)品采購活動(dòng)目的：本活動(dòng)的目的是按照平安詳細(xì)設(shè)計(jì)方案中對于產(chǎn)品的詳細(xì)目的要求進(jìn)展產(chǎn)品采購，根據(jù)產(chǎn)品或產(chǎn)品組合實(shí)現(xiàn)的功能滿足平安設(shè)計(jì)要求的情況來選購所需的信息平安產(chǎn)品。參與角色：信息平安產(chǎn)品供應(yīng)商，信息

49、系統(tǒng)運(yùn)營、運(yùn)用單位?；顒?dòng)輸入：平安詳細(xì)設(shè)計(jì)方案，相關(guān)產(chǎn)品信息?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 制定產(chǎn)品采購闡明書信息平安產(chǎn)品選型過程首先根據(jù)平安 詳細(xì)設(shè)計(jì)方案的設(shè)計(jì)要求，制定產(chǎn)品采購闡明書，對產(chǎn)品的采購原那么、采購范圍、目的要求、采購方式、采購流程等方面進(jìn)展闡明，然后根據(jù)產(chǎn)品采購闡明書對現(xiàn)有 產(chǎn)品進(jìn)展比對和挑選。對于產(chǎn)品的功能和性能目的，可以根據(jù)國家認(rèn)可的測試機(jī)構(gòu)所出具的產(chǎn)品測試報(bào)告，也可以根據(jù)用戶自行組織的信息平安產(chǎn)品功能和性能選型 測試所出具的報(bào)告。b) 產(chǎn)品選擇在根據(jù)產(chǎn)品采購闡明書對現(xiàn)有產(chǎn)品進(jìn) 行選擇時(shí)，不僅要思索產(chǎn)品的運(yùn)用環(huán)境、平安功能、本錢包括采購和維護(hù)本錢、易用性、可

50、擴(kuò)展性、與其他產(chǎn)品的互動(dòng)和兼容性等要素，還要思索產(chǎn)質(zhì)量量和可 信性。產(chǎn)品可信性是保證系統(tǒng)平安的根底，用戶在選擇信息平安產(chǎn)品時(shí)應(yīng)確保符合國家關(guān)于信息平安產(chǎn)品運(yùn)用的有關(guān)規(guī)定。對于密碼產(chǎn)品的運(yùn)用，該當(dāng)按照國家密碼 管理的相關(guān)規(guī)定進(jìn)展選擇和運(yùn)用?；顒?dòng)輸出：需采購信息平安產(chǎn)品清單。7.4.2 平安控制開發(fā)活動(dòng)目的：本活動(dòng)的目的是對于一些不能經(jīng)過采 購現(xiàn)有信息平安產(chǎn)品來實(shí)現(xiàn)的平安措施和平安功能，經(jīng)過專門進(jìn)展的設(shè)計(jì)、開發(fā)來實(shí)現(xiàn)。平安控制的開發(fā)該當(dāng)與系統(tǒng)的運(yùn)用開發(fā)同步設(shè)計(jì)、同步實(shí)施，而運(yùn)用系一致 旦開發(fā)完成后，再添加平安措施會(huì)呵斥很大的本錢投入。因此，在運(yùn)用系統(tǒng)開發(fā)的同時(shí)，要根據(jù)平安詳細(xì)設(shè)計(jì)方案進(jìn)展平安控制的

51、開發(fā)設(shè)計(jì)，保證系統(tǒng)運(yùn)用與平安控 制同步建立。參與角色：信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：平安詳細(xì)設(shè)計(jì)方案?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 平安措施需求分析以規(guī)范的方式準(zhǔn)確表達(dá)平安方案設(shè)計(jì)中的目的要求，確定軟件設(shè)計(jì)的約束和軟件同其他系統(tǒng)相關(guān)的接口細(xì)節(jié)。b) 概要設(shè)計(jì)概要設(shè)計(jì)要思索平安方案中關(guān)于身份鑒別、訪問控制、平安審計(jì)、剩余信息維護(hù)、通訊完好性、通訊嚴(yán)密性、抗抵賴等方面的目的要求，設(shè)計(jì)平安措施模塊的體系構(gòu)造，定義開發(fā)平安措施的模塊組成，定義每個(gè)模塊的主要功能和模塊之間的接口。c) 詳細(xì)設(shè)計(jì)根據(jù)概要設(shè)計(jì)闡明書，將平安控制開發(fā)進(jìn)一步細(xì)化，對每個(gè)平安功能模塊的接口，函

52、數(shù)要求，各接口之間的關(guān)系，各部分的內(nèi)在實(shí)現(xiàn)機(jī)理都要進(jìn)展詳細(xì)的分析和細(xì)化設(shè)計(jì)。按照功能的需求和模塊劃分進(jìn)展各個(gè) 部分的詳細(xì)設(shè)計(jì)，包含接口設(shè)計(jì)和管理方式設(shè)計(jì)等。詳細(xì)設(shè)計(jì)是設(shè)計(jì)人員根據(jù)概要設(shè)計(jì)書進(jìn)展模塊設(shè)計(jì)，將總體設(shè)計(jì)所獲得的模塊按照單元、程序、過程的順序逐漸 細(xì)化，詳細(xì)定義各個(gè)單元的數(shù)據(jù)構(gòu)造、程序的實(shí)現(xiàn)算法以及程序、單元、模塊之間的接口等，作為以后編碼任務(wù)的根據(jù)。d) 編碼實(shí)現(xiàn)按照設(shè)計(jì)進(jìn)展硬件調(diào)試和軟件的編碼，在編碼和開發(fā)過程中，要關(guān)注硬件組合的平安性和編碼的平安性，并經(jīng)過論證和測試。e) 測試開發(fā)根本完成后要進(jìn)展測試，保證功能的實(shí)現(xiàn)和平安性的實(shí)現(xiàn)。測試分為單元測試、集成測試、系統(tǒng)測試和以用戶試用

53、為主的用戶測試四個(gè)步驟。f) 平安控制開發(fā)過程文檔化平安控制開發(fā)過程需求將概要設(shè)計(jì)闡明書、詳細(xì)設(shè)計(jì)闡明書、開發(fā)測試報(bào)告以及開發(fā)闡明書等整理歸檔?；顒?dòng)輸出：平安控制開發(fā)過程相關(guān)文檔。7.4.3 平安控制集成活動(dòng)目的：本活動(dòng)的目的是將不同的軟硬 件產(chǎn)品集成起來，根據(jù)平安詳細(xì)設(shè)計(jì)方案，將信息平安產(chǎn)品、系統(tǒng)軟件平臺(tái)和開發(fā)的平安控制模塊與各種運(yùn)用系統(tǒng)綜合、整合成為一個(gè)系統(tǒng)。平安控制集成的過程需 要把平安實(shí)施、風(fēng)險(xiǎn)控制、質(zhì)量控制等有機(jī)結(jié)合起來，遵照運(yùn)營運(yùn)用單位與信息平安效力機(jī)構(gòu)共同參與相互配合的實(shí)施的原那么。參與角色：信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：平安詳細(xì)設(shè)計(jì)方案?；顒?dòng)描畫：本活動(dòng)主

54、要包括以下子活動(dòng)內(nèi)容：a) 集成實(shí)施方案制定主要任務(wù)內(nèi)容是制定集成實(shí)施方案，集成實(shí)施方案的目的是詳細(xì)指點(diǎn)工程的建立內(nèi)容、方法和規(guī)范等，實(shí)施方案有別于平安設(shè)計(jì)方案的一個(gè)顯著特征之處就是它的可操作性很強(qiáng)，要詳細(xì)落實(shí)到產(chǎn)品的安裝、部署和配置中，實(shí)施方案是工程建立的詳細(xì)指點(diǎn)文件。b) 集成預(yù)備主要任務(wù)內(nèi)容是對實(shí)施環(huán)境進(jìn)展準(zhǔn) 備，包括硬件設(shè)備預(yù)備、軟件系統(tǒng)預(yù)備、環(huán)境預(yù)備。為了保證系統(tǒng)實(shí)施的質(zhì)量，信息平安效力機(jī)構(gòu)應(yīng)該根據(jù)系統(tǒng)設(shè)計(jì)方案，制定一套可行的系統(tǒng)質(zhì)量控制方案，以便 有效地指點(diǎn)系統(tǒng)實(shí)施過程。該質(zhì)量控制方案應(yīng)該確定系統(tǒng)實(shí)施各個(gè)階段的質(zhì)量控制目的、控制措施、工程質(zhì)量問題的處置流程、系統(tǒng)實(shí)施人員的職責(zé)要求等

55、，并提供 詳細(xì)的平安控制集成進(jìn)度表。c) 集成實(shí)施主要任務(wù)內(nèi)容是將配置好戰(zhàn)略的信息 平安產(chǎn)品和開發(fā)控制模塊部署到實(shí)踐的運(yùn)用環(huán)境中，并調(diào)整相關(guān)戰(zhàn)略。集成實(shí)施應(yīng)嚴(yán)厲按照集成進(jìn)度安排進(jìn)展，出現(xiàn)問題各方應(yīng)及時(shí)溝通。系統(tǒng)實(shí)施的各個(gè)環(huán)節(jié)應(yīng)該 遵照質(zhì)量控制方案的要求，分別進(jìn)展系統(tǒng)測試，逐漸實(shí)現(xiàn)質(zhì)量控制目的。例如：綜合布線系統(tǒng)施工過程中，應(yīng)該及時(shí)利用網(wǎng)絡(luò)測試儀測定線路質(zhì)量，及早發(fā)現(xiàn)并處理 質(zhì)量問題。d) 培訓(xùn)信息系統(tǒng)建立完成后，平安效力提供商該當(dāng)向運(yùn)營和運(yùn)用單位提供信息系統(tǒng)運(yùn)用闡明書及建立過程文檔，同時(shí)需求對系統(tǒng)維護(hù)人員進(jìn)展必要培訓(xùn)，培訓(xùn)效果的好壞將直接影響到今后系統(tǒng)能否平安運(yùn)轉(zhuǎn)。e) 構(gòu)成平安控制集成報(bào)告應(yīng)

56、將平安控制集成過程相關(guān)內(nèi)容文檔化，并構(gòu)成平安控制集成報(bào)告，其包含集成實(shí)施方案、質(zhì)量控制方案、集成實(shí)施報(bào)告以及培訓(xùn)考核記錄等內(nèi)容?；顒?dòng)輸出： 平安控制集成報(bào)告。7.4.4 系統(tǒng)驗(yàn)收活動(dòng)目的：本活動(dòng)的目的是檢驗(yàn)系統(tǒng)能否嚴(yán)厲按照平安詳細(xì)設(shè)計(jì)方案進(jìn)展建立，能否實(shí)現(xiàn)了設(shè)計(jì)的功能和性能。在平安控制集成任務(wù)完成后，系統(tǒng)測試及驗(yàn)收是從總體出發(fā)，對整個(gè)系統(tǒng)進(jìn)展集成性平安測試，包括對系統(tǒng)運(yùn)轉(zhuǎn)效率和可靠性的測試，也包括對管理措施落實(shí)內(nèi)容的驗(yàn)收。參與角色：信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營、運(yùn)用單位，信息平安效力機(jī)構(gòu)?；顒?dòng)輸入：平安詳細(xì)設(shè)計(jì)方案，平安控制集成報(bào)告?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 系統(tǒng)驗(yàn)收預(yù)備

57、平安控制開發(fā)、集成完成后，要根據(jù)平安設(shè)計(jì)方案中需求到達(dá)的平安目的，預(yù)備系統(tǒng)驗(yàn)收方案。系統(tǒng)驗(yàn)收方案該當(dāng)立足于合同條款、需求闡明書和平安設(shè)計(jì)方案，充分表達(dá)用戶的平安需求。成立系統(tǒng)驗(yàn)收任務(wù)組對驗(yàn)收方案進(jìn)展審核，組織制定驗(yàn)收方案、定義驗(yàn)收的方法和嚴(yán)厲程度。b) 組織系統(tǒng)驗(yàn)收由系統(tǒng)驗(yàn)收任務(wù)組按照驗(yàn)收方案擔(dān)任組織實(shí)施，組織測試人員根據(jù)已經(jīng)過評審的系統(tǒng)驗(yàn)收方案對系統(tǒng)進(jìn)展測試。c) 驗(yàn)收報(bào)告在測試完成后構(gòu)成驗(yàn)收報(bào)告，驗(yàn)收報(bào)告需求用戶與建立方進(jìn)展確認(rèn)。驗(yàn)收報(bào)告將明確給出驗(yàn)收的結(jié)論，平安效力提供商該當(dāng)根據(jù)驗(yàn)收意見盡快修正有關(guān)問題，重新進(jìn)展驗(yàn)收或者轉(zhuǎn)入合同爭議處置程序。d) 系統(tǒng)交付在系統(tǒng)驗(yàn)收經(jīng)過以后，要進(jìn)展系統(tǒng)的

58、交付，需求平安效力提供商提交系統(tǒng)建立過程中的文檔、指點(diǎn)用戶進(jìn)展系統(tǒng)運(yùn)轉(zhuǎn)維護(hù)的文檔、效力承諾書等?；顒?dòng)輸出：系統(tǒng)驗(yàn)收報(bào)告。8平安運(yùn)轉(zhuǎn)與維護(hù)8.1平安運(yùn)轉(zhuǎn)與維護(hù)階段的任務(wù)流程平安運(yùn)轉(zhuǎn)與維護(hù)是等級(jí)維護(hù)實(shí)施過程中確保信息系 統(tǒng)正常運(yùn)轉(zhuǎn)的必要環(huán)節(jié)，涉及的內(nèi)容較多，包括平安運(yùn)轉(zhuǎn)與維護(hù)機(jī)構(gòu)和平安運(yùn)轉(zhuǎn)與維護(hù)機(jī)制的建立，環(huán)境、資產(chǎn)、設(shè)備、介質(zhì)的管理，網(wǎng)絡(luò)、系統(tǒng)的管理，密碼、密 鑰的管理，運(yùn)轉(zhuǎn)、變卦的管理，平安形狀監(jiān)控和平安事件處置，平安審計(jì)和平安檢查等內(nèi)容。本規(guī)范并不對上述一切的管理過程進(jìn)展描畫，希望全面了解和控制平安 運(yùn)轉(zhuǎn)與維護(hù)階段各類過程的本規(guī)范運(yùn)用者可以參見其它規(guī)范或指南。本規(guī)范關(guān)注平安運(yùn)轉(zhuǎn)與維護(hù)階段的運(yùn)

59、轉(zhuǎn)管理和控制、變卦管理和控制、平安形狀監(jiān)控、平安事件處置和應(yīng)急預(yù)案、平安檢查和繼續(xù)改良以及監(jiān)視檢查等過程。8.2運(yùn)轉(zhuǎn)管理和控制8.2.1 運(yùn)轉(zhuǎn)管理職責(zé)確定活動(dòng)目的：本活動(dòng)的目的是經(jīng)過對運(yùn)轉(zhuǎn)管理活動(dòng)或義務(wù)的角色劃分，并授予相應(yīng)的管理權(quán)限，來確定平安運(yùn)轉(zhuǎn)管理的詳細(xì)人員和職責(zé)。參與角色：信息系統(tǒng)運(yùn)營、運(yùn)用單位?；顒?dòng)輸入：平安詳細(xì)設(shè)計(jì)方案，平安組織機(jī)構(gòu)表?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a)劃分運(yùn)轉(zhuǎn)管理角色根據(jù)管理制度和實(shí)踐運(yùn)轉(zhuǎn)管理需求，劃分運(yùn)轉(zhuǎn)管理需求的角色。越高平安維護(hù)等級(jí)的運(yùn)轉(zhuǎn)管理角色劃分越細(xì)。b)授予管理權(quán)限根據(jù)管理制度和實(shí)踐運(yùn)轉(zhuǎn)管理需求，授予每一個(gè)運(yùn)轉(zhuǎn)管理角色不同的管理權(quán)限。平安維護(hù)

60、等級(jí)越高的系統(tǒng)管理權(quán)限的劃分也越細(xì)。c)定義人員職責(zé)根據(jù)不同的平安維護(hù)等級(jí)要求的控制粒度，分析所需求運(yùn)轉(zhuǎn)管理控制的內(nèi)容，并以此定義不同運(yùn)轉(zhuǎn)管理角色的職責(zé)?；顒?dòng)輸出：運(yùn)轉(zhuǎn)管理人員角色和職責(zé)表。8.2.2 運(yùn)轉(zhuǎn)管理過程控制活動(dòng)目的：本活動(dòng)的主要目的是經(jīng)過制定運(yùn)轉(zhuǎn)管理操作規(guī)程，確定運(yùn)轉(zhuǎn)管理人員的操作目的、操作內(nèi)容、操作時(shí)間和地點(diǎn)、操作方法和流程等，并進(jìn)展操作過程記錄，確保對操作過程進(jìn)展控制。參與角色：信息系統(tǒng)運(yùn)營、運(yùn)用單位?；顒?dòng)輸入：運(yùn)轉(zhuǎn)管理需求，運(yùn)轉(zhuǎn)管理人員角色和職責(zé)表?；顒?dòng)描畫：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a)建立操作規(guī)程將操作過程或流程規(guī)范化，并構(gòu)成指點(diǎn)運(yùn)轉(zhuǎn)管理人員任務(wù)的操作規(guī)程，操作規(guī)程作