信息安全等级保护项目建设流程--需求分析

信息安全等级保护项目建设流程需求统计一、项目启动项目启动前准备工作：1)《项目启动报告》2)《项目实施计划表》二、资产调研阶段资产收集，产出：1)《资产调研统计表》三、定级备案确定定级对象定级对象的三个条件：a)具有唯一确定的安全责任单位b)具有信息系统的基本要素c)承载相对独立的业务应用确定系统定级a)识别单位基本信息b)识别管理框架c)识别业务种类、流程和服务d)识别信息e)识别网络结构和边界f)识别主要的软硬件设备g)识别用户类型和分布h)形成定级结果系统定级汇总向测评中心提交报表：1)《测评申请书》2)《定级报告》向备案部门提交报表：3)《等保备案表》四、安全风险分析阶段风险扫描机房物理安全分析网络安全风险分析主机风险分析应用风险分析数据安全风险分析信息安全管理体系分析产出相应的报告1)《漏洞扫描报告》2)《风险评估报告》3)《差异分析报告》五、整改设计经安全风险分析后，产出安全整改建设方案1)《整改方案》六、等保设施建设目标和建设内容；技术实现框架；信息安全产品或组件功能及性能；信息安全产品或组件部署；安全策略和配置；配套的安全管理建设内容；工程实施计划；项目投资概算。主要涉及两大块内容建设，根据整改方案，需要产出以下方案：1)《实施方案》2)《技术加固》，包括《主机/网络设备/应用服务器技术加固》，包括如下；《网络设备加固说明》《主机操作系统加固说明》《数据库系统加固说明》《应用安全加固说明》《资产评估加固说明》3)《体系建制》，包括信息安全体系建制，主要涉及以下文档；《XXX信息安全管理方针》《XXX信息安全管理体系结构表》《文档及记录管理规范》《内部审核管理规范》《供应商管理规范》《变更管理规范》《人事管理规定》《教育培训管理规定》《资产管理规定》《机房安全管理规定》《物理安全和安全区域管理规定》《主要信息安全岗位管理规定》《IT设备管理规定》《移动介质管理规定》《第三方人员安全管理规定》《网络安全管理规定》《系统安全管理规定》《系统数据备份管理规定》《系统用户和密码管理规定》《防恶意代码管理规定》《外包软件开发管理规定》《信息化项目建设管理流程》《信息安全事件管理规定》《网络与信息安全应急预案管理规定》七、自检阶段按照以上等保定级要求，结合《GBT22239-2008信息安全技术信息系统安全等级保护基本要求》进行对以上等保安全整改后的安全现状进行内部检测，针对不符合项进行整改，自我测评通过后，向测评中心发起现场测评邀请函（电话、邮件等）；八、现场测评阶段测评中心接到现场测评邀请函（电话、邮件等）后，会向被测单位提供以下报告：1)《现场测评实施计划》2)《现场测评方案》测评中心相应的工作人员按照测评的计划、方案进行，测评结束后会统计所有的测评项：符合/基本符合/不符合/不适用，按照相应的比例打分，判定是否通过，通过会给出最终的测评报告，未通过会提出相应的报告：3)一次性通过测评，测评中心向被测单位提交最终《测评报告》/纸质；4)未通过测评，测评中心向被测单位提交《整改建议》；九、整改阶段测评未通过，被测单位则按照测评中心提交的整改建议进行整改，整改完成后进行再次进行自检阶段，再次向测评中心提交现场测评邀请函，测评通过并产出以下报告：1)《测评报告》/纸质；十、运行监控阶段测评通过后，对所测的系统运维应实时由人工/技术手段/安全设备等的监控，其中信息安全体系中规定要输出的流程报表应保证，最后按照等保要求申请测评中心对被测系统复查。