目 次次前言IIII引言IVV1 范范围12 规规范性引引用文件件13 术术语和定定义14 等等级保护护实施概概述14.1 基本本原则114.2 角色色和职责责14.3 实施施的基本本流程225 信信息系统统定级445.1 信息息系统定定级阶段段的工作作流程445.2 信息息系统分分析45.2.1 系统识识别和描描述45.2.2 信息系系统划分分55.3 安全全保护等等级确定定65.3.1 定级、审审核和批批准65.3.2 形成定定级报告告66 总总体安全全规划776.1 总体体安全规规划阶段段的工作作流程776.2 安全全需求分分析86.2.1 基本安安全需求求的确定定86.2.2 额外/特殊安安全需求求的确定定96.2.3 形成安安全需求求分析报报告96.3 总体体安全设设计1006.3.1 总体安安全策略略设计1106.3.2 安全技技术体系系结构设设计1006.3.3 整体安安全管理理体系结结构设计计116.3.4 设计结结果文档档化1226.4 安全全建设项项目规划划126.4.1 安全建建设目标标确定1136.4.2 安全建建设内容容规划1136.4.3 形成安安全建设设项目计计划1447 安安全设计计与实施施157.1 安全全设计与与实施阶阶段的工工作流程程157.2 安全全方案详详细设计计167.2.1 技术措措施实现现内容设设计1667.2.2 管理措措施实现现内容设设计1667.2.3 设计结结果文档档化1777.3 管理理措施实实现1777.3.1 管理机机构和人人员的设设置1777.3.2 管理制制度的建建设和修修订1777.3.3 人员安安全技能能培训1187.3.4 安全实实施过程程管理1187.4 技术术措施实实现1997.4.1 信息安安全产品品采购1197.4.2 安全控控制开发发207.4.3 安全控控制集成成207.4.4 系统验验收2118 安安全运行行与维护护228.1 安全全运行与与维护阶阶段的工工作流程程228.2 运行行管理和和控制2238.2.1 运行管管理职责责确定2238.2.2 运行管管理过程程控制2248.3 变更更管理和和控制2248.3.1 变更需需求和影影响分析析248.3.2 变更过过程控制制258.4 安全全状态监监控2558.4.1 监控对对象确定定258.4.2 监控对对象状态态信息收收集2668.4.3 监控状状态分析析和报告告268.5 安全全事件处处置和应应急预案案278.5.1 安全事事件分级级278.5.2 应急预预案制定定278.5.3 安全事事件处置置278.6 安全全检查和和持续改改进2888.6.1 安全状状态检查查288.6.2 改进方方案制定定298.6.3 安全改改进实施施298.7 等级级测评2298.8 系统统备案3308.9 监督督检查3309 信信息系统统终止3309.1 信息息系统终终止阶段段的工作作流程3309.2 信息息转移、暂暂存和清清除3119.3 设备备迁移或或废弃3319.4 存储储介质的的清除或或销毁332附录A（规规范性附附录）主主要过程程及其活活动输出出33前言本标准的的附录AA是规范范性附录录。本标准由由公安部部和全国信信息安全全标准化化技术委委员会提提出。本标准由由全国信信息安全全标准化化技术委委员会归归口。本标准起起草单位位：公安安部信息息安全等等级保护护评估中中心。本标准主主要起草草人：毕毕马宁、马马力、陈陈雪秀、李李明、朱朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。引 言言依据中中华人民民共和国国计算机机信息系系统安全全保护条条例（国国务院1147号号令）、国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）、关于信息安全等级保护工作的实施意见（公通字200466号）和信息安全等级保护管理办法，制定本标准。本标准是是信息安安全等级级保护相相关系列列标准之之一。与本标准准相关的的系列标标准包括括：GBB/T AAAAA-AAAAAA 信息息安全技技术 信信息系统统安全等等级保护护定级指指南；GBB/T BBBBB-BBBBBB 信息息安全技技术 信信息系统统安全等等级保护护基本要要求。在对信息息系统实实施信息息安全等等级保护护的过程程中，除除使用本本标准外外，在不不同的阶阶段，还还应参照照其他有关关信息安安全等级级保护的的标准开展展工作。在信息系系统定级级阶段，应应按照GGB/TT AAAAA-AAAAA介绍绍的方法法，确定定信息系系统安全全保护等级级。在信息系系统总体体安全规规划，安全设设计与实实施，安全运运行与维维护和信息系系统终止止等阶段，应应按照GGB1778599-19999、GB/T BBBBBB-BBBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。GB1778599-19999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准，其中GB17859-1999是基础性标准，GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展，GB/T BBBB-BBBB是以GB17859-1999为基础，根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求，是其他标准的一个底线子集。对信息系系统的安安全等级级保护应从GB/T BBBBBB-BBBBB出出发，在在保证信信息系统统满足基基本安全全要求的的基础上上，逐步步提高对信信息系统统的保护护水平，最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等标准的要求。除本标准准和上述述提到的的标准外外，在信信息系统统安全等等级保护护实施过程程中，还还可参照和和使用GGB/TT202272-20006和GB/T2002733-20006等等其它等等级保护护相关技技术标准准。IIIGB/T XXXX XXXX信息系统统安全等等级保护护实施指指南1 范围本标准规规定了信息息系统安安全等级级保护实实施的过过程，适适用于指指导信息息系统安安全等级级保护的的实施。2 规范性引引用文件件下列文件件中的条条款通过过在本标标准中的引用用而成为为本标准准的条款款。凡是是注日期期的引用用文件，其其随后所所有的修修改单（不不包括勘勘误的内内容）或或修订版版均不适适用于本本标准，然然而，鼓鼓励根据据本标准准达成协协议的各各方研究究是否使使用这些些文件的的最新版版本。凡凡是不注注明日期期的引用用文件，其其最新版版本适用用于本标标准。GB/TT 52271.8 信息技技术 词词汇 第第8部分分：安全全GB1778599-19999 计算机机信息系系统安全全保护等等级划分分准则GB/TT AAAAA-AAAAA 信信息安全全技术 信息系系统安全全等级保保护定级级指南3 术语和定定义GB/TT 52271.8和GGB 1178559-119999确立的的以及下下列术语语和定义义适用于于本标准准。3.1等级测评评 classsiffiedd seecurrityy teestiing andd evvaluuatiion确定信息息系统安安全保护护能力是是否达到到相应等等级基本本要求的的过程。4 等级保护护实施概概述4.1 基本原则则信息系统统安全等等级保护护的核心心是对信信息系统统分等级级、按标标准进行行建设、管管理和监监督。信信息系统统安全等等级保护护实施过过程中应应遵循以以下基本本原则：a) 自主保护护原则信息系统统运营、使用单单位及其其主管部部门按照照国家相相关法规规和标准准，自主主确定信信息系统统的安全全保护等级级，自行行组织实实施安全全保护。b) 重点保护护原则根据信息息系统的的重要程程度、业业务特点点，通过过划分不不同安全全保护等级级的信息息系统，实实现不同同强度的的安全保保护，集集中资源源优先保保护涉及及核心业业务或关关键信息息资产的的信息系系统。c) 同步建设设原则信息系统统在新建建、改建建、扩建建时应当当同步规规划和设设计安全全方案，投投入一定定比例的的资金建建设信息息安全设设施，保保障信息息安全与与信息化化建设相相适应。d) 动态调整整原则要跟踪信信息系统统的变化化情况，调调整安全全保护措措施。由由于信息息系统的的应用类类型、范范围等条条件的变变化及其其他原因因，安全全保护等级级需要变变更的，应应当根据据等级保保护的管管理规范范和技术术标准的的要求，重重新确定定信息系系统的安安全保护护等级，根根据信息息系统安安全保护护等级的的调整情情况，重重新实施施安全保保护。4.2 角色和职职责信息系统统安全等等级保护护实施过过程中涉涉及的各各类角色色和职责如如下：a) 国家管理理部门公安机关关负责信信息安全全等级保保护工作作的监督督、检查查、指导导；国家保保密工作作部门负负责等级级保护工工作中有有关保密密工作的的监督、检检查、指指导；国家密密码管理理部门负负责等级级保护工工作中有有关密码码工作的的监督、检检查、指指导；涉及其其他职能能部门管管辖范围围的事项项，由有有关职能能部门依依照国家家法律法法规的规规定进行行管理；国务院院信息化化工作办办公室及及地方信信息化领领导小组组办事机机构负责责等级保保护工作作的部门门间协调调。b) 信息系统统主管部部门负责依照照国家信信息安全全等级保保护的管管理规范范和技术术标准，督督促、检查查和指导导本行业业、本部部门或者者本地区区信息系系统运营营、使用用单位的信信息安全全等级保保护工作作。c) 信息系统统运营、使用单单位负责依照照国家信信息安全全等级保保护的管管理规范范和技术术标准，确确定其信信息系统统的安全全保护等级级，有主主管部门门的，应应当报其其主管部部门审核核批准；根据已已经确定定的安全全保护等级级，到公公安机关关办理备备案手续续；按照照国家信信息安全全等级保保护管理理规范和和技术标标准，进进行信息息系统安安全保护护的规划划设计；使用符合合国家有有关规定定，满足足信息系系统安全全保护等等级需求求的信息息技术产品品和信息息安全产产品，开展信信息系统统安全建建设或者者改建工工作；制制定、落实各项项安全管理理制度，定定期对信信息系统统的安全状状况、安安全保护护制度及及措施的的落实情情况进行行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同等级信息安全事件的响应、处置预案，对信息