###############################################################################
项目管理分为启动、规划、执行、监控、收尾五大过程组,每个过程组包含多个具体的过程,安全运行和维护相当于是监控过程组,定级对象终止相当于收尾过程组。
安全运行和维护包含售后阶段的全部工作,售后过程涉及方面众多,并且还需对各方面进行项目管理,如变更管理。
- 8 安全运行与维护
- 8.1 安全运行与维护阶段的工作流程
- 8.2 运行管理和控制
- 8.3 变更管理和控制
- 8.4 安全状态监控
- 8.5 安全自查和持续改进
- 8.6 服务商管理和监控
- 8.7 等级测评
- 8.8 监督检查
- 8.9 应急响应与保障
定级对象终止是最后的收尾阶段,需完成定级对象中数据的销毁和清除,保证信息不外泄。
- 9 定级对象终止
- 9.1 定级对象终止阶段的工作流程
- 9.2 信息转移、暂存和清除
- 9.3 设备迁移或废弃
- 9.4 存储介质的清除或销毁
################################################################################
8 安全运行与维护
8.1 安全运行与维护阶段的工作流程
安全运行与维护是等级保护实施过程中确保等级保护对象正常运行的必要环节,涉及的内容较多, 包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。
本标准并不对上述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其他标准或指南。
本标准关注安全运行与维护阶段的运行管理和控制、变更管理和控制、安全状态监控、安全自查和持续改进、服务商管理和监控、等级测评以及监督检查等过程,安全运行与维护阶段的主要过程见图7。
8.2 运行管理和控制
8.2.1 运行管理职责确定
活动目标:
通过对运行管理活动或任务的角色划分,并授予相应的管理权限,来确定安全运行管理的具体人员和职责。
应至少划分为系统管理员、安全管理员和安全审计员。#三权分立
参与角色:运营、使用单位。
活动输入:安全详细设计方案,安全组织机构表。
活动描述:
本活动主要包括以下子活动内容:
a) 划分运行管理角色
根据管理制度和实际运行管理需求,划分运行管理需要的角色及用户,并由系统管理员创建角色及用户。
越高安全保护等级的运行管理角色划分越细。
b) 授予管理权限
根据管理制度和实际运行管理需要,由安全管理员授予每一个运行管理角色及用户不同的管理权限。
安全保护等级越高的系统管理权限的划分也越细。
c) 定义人员职责
根据不同的安全保护等级要求的控制粒度,分析所需要运行管理控制内容,并以此定义不同运行管 理角色的职责。
由安全审计员对系统管理员、安全管理员操作日志进行审计。
活动输出:运行管理人员角色和职责表。
8.2.2 运行管理过程控制
活动目标:
通过制定运行管理操作规程,确定运行管理人员的操作目的、操作内容、操作时间和地点、操作方法和流程等,并进行操作过程记录,确保对操作过程进行控制。
参与角色:运营、使用单位。
活动输入:运行管理需求,运行管理人员角色和职责表。
活动描述:
本活动主要包括以下子活动内容:
a) 建立操作规程
将操作过程或流程规范化,并形成指导运行管理人员工作的操作规程,操作规程作为正式文件处理。
操作规程应至少覆盖运维人员、使用用户等的各类操作,如:移动介质使用规程、终端使用规程、数据库操作规程等。
安全保护等级越高的系统,对更多的操作要形成操作规程文件。
b) 操作过程记录
对运行管理人员按照操作规程执行的操作过程形成相关的记录文件,可能是日志文件,记录操作的 时间和人员、正常或异常等信息。
活动输出:各类运行管理操作规程。
8.3 变更管理和控制
8.3.1 变更需求和影响分析
活动目标:
通过对运行与维护过程中的变更需求和变更影响的分析,来确定变更的类别,计划后续的活动内容。
参与角色:运营、使用单位。
活动输入:变更需求。
活动描述:
本活动主要包括以下子活动内容:
a) 变更需求分析
对运行与维护过程中的变更需求进行分析,确定变更的内容、变更资源需求和变更范围等,判断变更的必要性和可行性。
b) 变更影响分析
对运行与维护过程中的变更可能引起的后果进行判断和分析、确定可能产生的影响大小、确定进行变更的先决条件和后续活动等。
c) 明确变更的类别
确定等级保护对象是局部调整还是重大变更。
如果是由等级保护对象类型发生变化、承载的信息资产类型发生变化、等级保护对象服务范围发生变化和业务处理自动化程度发生变化等原因引起等级保护对象安全保护等级发生变化的重大变更,则需要重新确定等级保护对象安全保护等级,返回到等级保护实施过程的等级保护对象定级阶段。
如果是局部调整,则确定需要配套进行的其他工作内容。
d) 制定变更方案
根据a)、b) 、c)的结果制定变更方案。
活动输出:变更方案。
8.3.2 变更过程控制
活动目标:
确保运行与维护过程中的变更实施过程受到控制,各项变化内容进行记录,保证变更对业务的影响 最小。
参与角色:运营、使用单位。
活动输入:变更方案。
活动描述:
本活动主要包括以下子活动内容:
a) 变更内容审核和审批
对变更目的、内容、影响、时间和地点以及人员权限进行审核,以确保变更合理、科学的实施。
按照机构建立的审批流程对变更方案进行审批。
b) 建立变更过程日志
按照批准的变更方案实施变更,对变更过程各类系统状态、各种操作活动等建立操作记录或日志。
c) 形成变更结果报告
收集变更过程的各类相关文档,整理、分析和总结各类数据,形成变更结果报告,并归档保存。
活动输出:变更结果报告。
8.4 安全状态监控
8.4.1 监控对象确定
活动目标:
确定可能会对等级保护对象安全造成影响的因素,即确定安全状态监控的对象。
参与角色:运营、使用单位。
活动输入:安全详细设计方案,系统验收报告等。
活动描述:
本活动主要包括以下子活动内容:
a) 安全关键点分析
对影响系统、业务安全性的关键要素进行分析,确定安全状态监控的对象,这些对象可能包括防火墙、入侵检测、防病毒、核心路由器、核心交换机、主要通信线路、关键服务器或客户端等系统范围内的对象;
也可能包括安全标准和法律法规等外部对象。
b) 形成监控对象列表
根据确定的监控对象,分析监控的必要性和可行性、监控的开销和成本等因素,形成监控对象列表。
活动输出:监控对象列表。
8.4.2 监控对象状态信息收集
活动目标:
选择状态监控工具,收集安全状态监控的信息,识别和记录入侵行为,对等级保护对象的安全状态进行监控。
参与角色:运营、使用单位。
活动输入:监控对象列表。
活动描述:
本活动主要包括以下子活动内容:
a) 选择监控工具
根据监控对象的特点、监控管理的具体要求、监控工具的功能、性能特点等,选择合适的监控工具。
监控工具也可能不是自动化的工具,而只是由各类人员构成的,遵循一定规则进行操作的组织或者是两者的综合。
b) 状态信息收集
收集来自监控对象的各类状态信息,可能包括网络流量、日志信息、安全报警和性能状况等;
或者是来自外部环境的安全标准和法律法规的变更信息。
活动输出:安全状态信息。
8.4.3 监控状态分析和报告
活动目标:
通过对安全状态信息进行分析,及时发现安全事件或安全变更需求,并对其影响程度和范围进行分析,形成安全状态结果分析报告。
参与角色:运营、使用单位。
活动输入:安全状态信息。
活动描述:
本活动主要包括以下子活动内容:
a) 状态分析
对安全状态信息进行分析,及时发现险情、隐患或安全事件,并记录这些安全事件,分析其发展趋势。
b) 影响分析
根据对安全状况变化的分析,分析这些变化对安全的影响,通过判断他们的影响决定是否有必要作出响应。
c) 形成安全状态分析报告
根据安全状态分析和影响分析的结果,形成安全状态分析报告,上报安全事件或提出变更需求。
活动输出:安全状态分析报告。
8.5 安全自查和持续改进
8.5.1 安全状态自查
活动目标:
通过对等级保护对象的安全状态进行自查,为等级保护对象的持续改进过程提供依据和建议,确保等级保护对象的安全保护能力满足相应等级安全要求。关于等级测评见8.7,关于监督检查见8.8。
参与角色:运营、使用单位。
活动输入:等级保护对象详细描述文件,变更结果报告,安全状态分析报告。
活动描述:
本活动主要包括以下子活动内容:
a) 确定自查对象和自查方法
确定检查的对象和方法,确定本次安全自查的范围及安全自查工具、调研表格等。
b) 制定自查计划和自查方案
确定自查工作的角色和职责,确定自查工作的方法,成立安全自查工作组。
制定安全自查工作计划和安全自查方案,说明安全自查的范围、对象、工作方法等,准备安全自查需要的各类表单和工具。
c) 安全自查实施
根据安全自查计划,通过询问、检查和测试等多种手段,进行安全状况自查,记录各种自查活动的结果数据,分析安全措施的有效性、安全事件产生的可能性和定级对象的实际改进需求等。
d) 安全自查结果和报告
总结安全自查的结果,提出改进的建议,并产生安全自查报告。将安全自查过程的各类文档、资料归档保存。
活动输出:安全自查报告。
8.5.2 改进方案制定
活动目标:
依据安全检查的结果,调整等级保护对象的安全状态,保证等级保护对象安全防护的有效性。
参与角色:运营、使用单位。
活动输入:安全自查报告。
活动描述:
本活动主要包括以下子活动内容:
a) 安全改进的立项
根据安全检查结果确定安全改进的策略,如果涉及安全保护等级的变化,则应进入安全保护等级保护实施的一个新的循环过程;
如果安全保护等级不变,但是调整内容较多、涉及范围较大,则应对安全改进项目进行立项,重新开始安全实施/实现过程,参见第7章;
如果调整内容较小,则可以直接进行安全改进实施。
b) 制定安全改进方案
确定安全改进的工作方法、工作内容、人员分工、时间计划等,制定安全改进方案。
安全改进方案只适用于小范围内的安全改进,如安全加固、配置加强、系统补丁等。
活动输出:安全改进方案。
8.5.3 安全改进实施
活动目标:
保证按照安全改进方案实现各项补充安全措施,并确保原有的技术措施和管理措施与各项补充的安全措施一致有效地工作。
参与角色:运营、使用单位。
活动输入:安全改进方案。
活动描述:
本活动主要包括以下子活动内容:
a) 安全方案实施控制 见7.4.3。
b) 安全措施测试与验收 见7.3.4。
c) 配套技术文件和管理制度的修订
按照安全改进方案实施和落实各项补充的安全措施后,要调整和修订各类相关的技术文件和管理制度,保证原有体系完整性和一致性。
活动输出:测试或验收报告。
8.6 服务商管理和监控
8.6.1 服务商选择
活动目标:
确定符合国家规定或行业规定的设计、测评、建设资质的服务商,为后续的管理和监控奠定基础。
参与角色:运营、使用单位,网络安全服务机构。
活动输入:安全详细设计方案,实施方案等。
活动描述:
本活动主要包括以下子活动内容:
a) 服务能力分析
从影响系统、业务安全性等关键要素层面分析服务商服务能力,根据国家招投标相关要求,选择最佳服务商,这些要素可能包括服务商的基本情况、企业资质和人员资质、信誉、技术力量和行业经验、内部控制和管理能力、持续经营状况、服务水平及人员配备情况等。#补充 招投标依据
b) 网络安全风险分析
在选择服务商时,需要识别服务商的网络安全风险,防止高风险、不合格服务商承担安全运行维护项目,网络安全风险点包括但不限于以下几点:
——服务商可能的泄密行为。
——服务商服务能力及行业经验。
——物理访问、信息资料丢失、系统越权访问、误操作等。
——服务商企业资质、人员资质及网络安全口碑、业绩。
——服务商以往服务项目案例。
c) 服务内容互斥分析
在选择服务商时,需要识别服务商提供的服务与之前或后续提供的服务之间没有互斥性。
承担等级保护对象安全建设服务的机构应具备等级保护安全建设服务机构资质。
承担等级测评服务的机构具备等级测评机构资质。
活动输出:已选择的服务商,安全服务方案。
8.6.2 服务商管理
活动目标:
对服务商从多维度进行切实有效管理,使得服务商在约定范围内开展服务工作。
参与角色:运营、使用单位,网络安全服务机构。
活动输入:已选择的服务商,安全服务方案。
活动描述:
本活动主要包括以下子活动内容:
a) 人员管理
为确保服务商服务工作符合约定要求,使用单位对服务人员的管理措施应至少包括但不限于:
——使用单位需制定服务商人员管理规定,包含但不限于上岗资质审核机制、保密协议、品行管理、 服务技能考核、行为管理、系统权限管理、口令管理等。
——使用单位负责对服务商核心人员的确定和变更进行备案。
——服务商人员在为使用单位提供服务的过程中,严格遵守使用单位的各项规定、管理要求,服从使用单位安排。
——如因服务商人员原因,给使用单位或第三方造成人员人身伤害或财产损失的,服务商应承担赔偿责任。
——使用单位督促服务商对服务人员开展培训及安全教育工作。
b) 服务管理
为确保服务商服务工作符合约定要求,服务商应满足但不限于:
——服务商提供齐全进场相关资料(如企业资质、人员资质、人员名单、物资资料等),并接受使用单位的审核。
——服务商基本信息发生变更,如:法人、单位名称、银行账户等,应提前通知使用单位。
——按照约定要求服务商提供各项服务,保质保量完成服务目标;如因服务商未完成服务目标给使用单位造成损失的,应予赔偿。
——服务商确保所提供服务不存在任何侵犯第三方著作权、商标权、专利权等合法权益的情形;服务商保护好对服务过程中产生的研究成果及知识产权,未经使用单位许可,服务商不得以任何形式向任何第三方转让权利义务。
——服务商提供项目验收和考核的相关材料,配合使用单位组织开展项目结题验收和考核工作。
——使用单位根据约定的售后服务内容及标准,实时跟踪服务商售后服务考核情况,作为后续服务商选择参考。
活动输出:服务商服务管理报告。
8.6.3 服务商监控
活动目标:
通过对服务商及其人员在服务过程中的行为进行有效监控,若发现不合规行为,限时保质整改,确保服务商服务工作持续、规范、高效。
参与角色:运营、使用单位,网络安全服务机构。
活动输入:服务商日常服务记录,安全服务方案。
活动描述:
本活动主要包括以下子活动内容:
a) 使用单位负责组织制定服务评审标准及办法,并依据办法对服务质量进行评审;服务商应接受使用单位对其提供服务情况进行的监督和检查,并应及时按照使用单位要求对所提供的服务进行改进或调整,使服务质量符合使用单位要求。
b) 使用单位对服务商日常工作进行指导,当发现服务商工作中存在问题时,要求服务商及时纠正,因服务商原因(故意或过失)给使用单位造成损失的,服务商应承担全部赔偿责任。
c) 使用单位监管项目进展情况期间,对于重大情况服务商应及时主动报告。
d) 使用单位负责对服务商人员定期进行考核评价,考核方式可采用日常考核、季度考核和年度考核,也可采用适合使用单位的考核方式;如发生严重违反合作原则、伤害使用单位利益、影响服 务质量等行为,使用单位有权随时向服务商提出人员撤换要求。
e) 服务过程中,服务商如因正当理由需要调整、变更人员的,应提前通知使用单位,做好工作交接,并获得使用单位同意后方可进行。
活动输出:服务商分析评价报告。
8.7 等级测评
活动目标:
通过网络安全等级测评机构对已经完成等级保护建设的等级保护对象定期进行等级测评,确保等级保护对象的安全保护措施符合相应等级的安全要求。
参与角色:主管部门,运营、使用单位,网络安全等级测评机构。
活动输入:等级保护对象详细描述文件,等级保护对象安全保护等级定级报告,系统验收报告。
活动描述:
a) 网络安全等级测评机构依据有关等级保护对象安全保护等级测评的规范或标准对等级保护对象开展等级测评。
b) 运营、使用单位参考等级测评出具的安全等级测评报告,分析确定整改需求。
活动输出:安全等级测评报告,整改需求。
8.8 监督检查
活动目标:
根据等级保护管理部门对等级保护对象定级、规划设计、建设实施和运行管理等过程的监督检查要求,等级保护管理部门应按照国家、行业相关等级保护监督检查要求及标准,开展监督检查工作。
主管部门,运营、使用单位准备相应的监督检查材料,配合等级保护管理部门检查,确保等级保护对象符合安全保护相应等级的要求。
参与角色:主管部门,运营、使用单位,等级保护管理部门。
活动输入:安全等级测评报告,备案材料,自查报告等。
活动描述:
等级保护管理部门、主管部门依据国家网络安全等级保护、行业监管要求等制定监督检查方案及表格;
运营、使用单位根据网络安全保护等级保护监督检查、行业监管的规范或标准,准备相应的监督检查所需材料。
活动输出:监督检查材料,监督检查结果报告。
8.9 应急响应与保障
8.9.1 应急准备
活动目标:
建立完善的应急组织体系,保证应急救援工作反应迅速、协调有序。
通过分析安全事件的等级,在统一的应急预案框架下制定不同安全事件的应急预案。
通过组织针对等级保护对象的应急演练,可以有效检验网络安全应急能力,并为消除或减小这些隐患与问题提供有价值的参考信息,检验应急预案体系的完整性、应急预案的可操作性、机构和应急人员的执行、协调能力以及应急保障资源的准备情况等, 从而有助于提高整体应急能力。
参与角色:主管部门,运营、使用单位。
活动输入:运营、使用单位组织机构及职责分工,各类安全事件列表。
活动描述:
本活动主要包括以下子活动内容:
a) 建立应急组织
按照应急救援的需要,建立应急组织。应急组织一般分为五个核心应急功能机构,即指挥、行动、策划、后勤和财务。
b) 明确应急工作职责
明确应急管理的领导机构、办事机构、专项应急指挥机构、基层应急机构、应急专家组组成部门或人员、职责和权限。
c) 安全事件分类分级
参考《国家网络安全事件应急预案》和 GB/Z 20986—2007,根据安全事件的类型、安全事件对业务的影响范围和程度以及安全事件的敏感程度等,对等级保护对象可能发生的安全事件进行分类分级,针对不同类别和等级制定相应的安全事件报告程序。
d) 确定应急预案对象
针对安全事件的不同类别和等级,考虑其发生的可能性及其对系统和业务产生的影响,确定需制定应急预案的对象。
e) 确定职责和应急协调方式
在统一的应急预案框架下,明确应急预案中各部门的职责,以及各部门间的合作和分工协调方式。
f) 制定应急预案程序及其执行条件
针对不同等级、不同类别的安全事件制定相应的应急预案程序,确定不同等级、不同类别事件的响应和处置范围、程度以及适用的管理制度,说明应急预案启动的条件,发生安全事件后要采取的流程和措施。
g) 培训宣贯
针对应急预案涉及的部门和人员制定专项培训计划,培训宣贯内容包括应急职责、合作和分工、应急预案启动条件和流程等。
h) 应急演练
明确应急预案演练的规模、方式、范围、内容、组织、评估、总结等内容,并按照预案定期开展演练。
活动输出:应急组织机构图,应急组织职责分工,应急组织内、外部联系表,安全事件报告程序,各类专项应急预案,应急演练脚本,应急演练总结。
8.9.2 应急监测与响应
活动目标:
收集异常安全状态监控的信息,识别和记录入侵行为,对等级保护对象的安全状态进行监控,并根据应急预案启动条件研判是否启动应急程序。
对监控到的安全事件采取适当的方法进行预处置,分析安全事件的影响程度和等级,启动相应级别的应急预案,开展应急响应处置工作。
参与角色:运营、使用单位。
活动输入:网络流量,日志信息,性能信息,安全事件报告程序,各类专项应急预案,网络安全事件报 送表,安全事件报告程序等。
活动描述:
本活动主要包括以下子活动内容:
a) 异常状态信息收集
收集来自监控对象的各类状态信息,可能包括网络流量、日志信息、安全报警和性能状况等,或者来自外部环境的安全标准和法律法规的变更信息。
b) 异常状态分析
对安全状态信息进行分析,及时发现险情、隐患或安全事件,并记录这些安全事件,分析其发展趋势及这些变化对安全状态的影响,通过判断他们的影响决定是否有必要作出响应。
c) 安全事件上报和共享
根据安全状态分析和影响分析的结果,分析可能发生的安全事件,明确安全事件等级、影响程度以及优先级等,形成安全状态分析报告和网络安全事件报送表,按照安全事件等级以及安全事件报告程序上报,需要共享的按照规定向特定对象共享安全事件。
d) 安全事件处置
对于应启动应急预案的安全事件按照应急预案响应机制进行安全事件处置。
对未知安全事件的处置,应根据安全事件的等级,制定安全事件处置方案,包括安全事件处置方法以及应采取的措施等,并按 照安全事件处置流程和方案对安全事件进行处置。
e) 安全事件总结和报告
一旦安全事件得到解决,对于未知的安全事件进行事件记录,分析记录信息并补充所需信息,使安全事件成为已知事件,并文档化;
对安全事件处置过程进行总结,制定安全事件处置报告,并保存。
活动输出:网络安全事件报送表,安全状态分析报告,安全事件处置报告。
8.9.3 后期评估与改进
活动目标:
对安全事件原因、处置过程进行调查分析,并根据分析结果进行责任认定及制定改进预防措施。
参与角色:运营、使用单位。
活动输入:安全事件报告程序,各类专项应急预案,安全事件处置报告。
活动描述:
本活动主要包括以下子活动内容:
a) 调查评估
对于应急响应过程进行调查,评估应急过程合规性、处置及时性等。
通过事件重现调查网络安全事件原因,追溯安全责任,并形成网络安全调查评估报告。
b) 改进预防
根据网络安全事件调查评估报告,制定改进预防措施,修改相应应急预案,结合实际情况进行落实, 并组织开展应急预案相关培训。
活动输出:安全事件总结报告,安全事件改进报告,应急预案。
8.9.4 应急保障
活动目标:
建立健全应急保障体系,实现应急预案保障工作科学化。
参与角色:运营、使用单位。
活动输入:总体应急预案,各类专项应急预案。
活动描述:
针对各类专项应急预案进行分析,制定应急预案执行所需通信、装备、数据、队伍、交通运输、经费和治安保障内容。
活动输出:应急保障物资清单。
9 定级对象终止
9.1 定级对象终止阶段的工作流程
定级对象终止阶段是等级保护实施过程中的最后环节。
当定级对象被转移、终止或废弃时,正确处理其中的敏感信息对于确保机构信息资产的安全是至关重要的。
在等级保护对象生命周期中,有些定级对象并不是真正意义上的废弃,而是改进技术或转变业务到新的定级对象,对于这些定级对象在终止 处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。
本标准在定级对象终止阶段关注信息转移、暂存和清除,设备迁移或废弃,存储介质的清除或销毁等活动。
定级对象终止阶段的工作流程见图8。
9.2 信息转移、暂存和清除
活动目标:
在定级对象终止处理过程中,对于可能会在另外的定级对象中使用的信息采取适当的方法将其安全地转移或暂存到可以恢复的介质中,确保将来可以继续使用,同时采用安全的方法清除要终止的定级对象中的信息。
参与角色:运营、使用单位。
活动输入:定级对象信息资产清单。
活动描述:
本活动主要包括以下子活动内容:
a) 识别要转移、暂存和清除的信息资产
根据要终止的定级对象的信息资产清单,识别重要信息资产、所处的位置以及当前状态等,列出需转移、暂存和清除的信息资产的清单。
b) 信息资产转移、暂存和清除
根据信息资产的重要程度制定信息资产的转移、暂存、清除的方法和过程。
如果是涉密信息,应按照国家相关部门的规定进行转移、暂存和清除。
c) 处理过程记录
记录信息转移、暂存和清除的过程,包括参与的人员,转移、暂存和清除的方式以及目前信息所处的位置等。
活动输出:信息转移、暂存、清除处理记录文档。
9.3 设备迁移或废弃
活动目标:
确保定级对象终止后,迁移或废弃的设备内不包括敏感信息,对设备的处理方式应符合国家相关部门的要求。
参与角色:运营、使用单位。
活动输入:设备迁移或废弃清单等。
活动描述:
本活动主要包括以下子活动内容:
a) 软硬件设备识别
根据要终止的定级对象的设备清单,识别要被迁移或废弃的硬件设备、所处的位置以及当前状态等,列出需迁移、废弃的设备的清单。
b) 制定硬件设备处理方案
根据规定和实际情况制定设备处理方案,包括重用设备、废弃设备、敏感信息的清除方法等。
c) 处理方案审批
包括重用设备、废弃设备、敏感信息的清除方法等的设备处理方案应经过主管领导审查和批准。
d) 设备处理和记录
根据设备处理方案对设备进行处理,如果是涉密信息的设备,其处理过程应符合国家相关部门的规定;
记录设备处理过程,包括参与的人员、处理的方式、是否有残余信息的检查结果等。
活动输出:设备迁移、废弃处理报告。
9.4 存储介质的清除或销毁
活动目标:
通过采用合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息清除或销毁处理, 防止介质内的敏感信息泄露。
参与角色:运营、使用单位。
活动输入:存储介质清单等。
活动描述:
本活动主要包括以下子活动内容:
a) 识别要清除或销毁的介质
根据要终止的定级对象的存储介质清单,识别载有重要信息的存储介质、所处的位置以及当前状态等,列出需清除或销毁的存储介质清单。
b) 确定存储介质处理方法和流程
根据存储介质所承载信息的敏感程度确定对存储介质的处理方式和处理流程。存储介质的处理包括数据清除和存储介质销毁等。
对于存储涉密信息的介质应按照国家相关部门的规定进行处理。
c) 处理方案审批
包括存储介质的处理方式和处理流程等的处理方案应经过主管领导审查和批准。
d) 存储介质处理和记录
根据存储介质处理方案对存储介质进行处理,记录处理过程,包括参与的人员、处理的方式、是否有 残余信息的检查结果等。
活动输出:存储介质的清除或销毁记录文档。
###################################################################################
到这里 GB/T 25058—2019 《信息安全技术 网络安全等级保护实施指南》全部内容就结束了,等级保护配套的相关文件(除了测评)也全部包含在上述章节中。
在上述内容中我们只列出了标准内容,后期准备整理通用等保方案和各个行业的等保方案作为结尾(具体等保方案会变成收费项目)。
具体整理时间待定,如果有着急的方向可私信。
愿各位在进步中安心。
2025.05.19 禾木
可联系作者付费获取,定价69.9元。包括如下内容:1. 信息安全技术全套标准指南
- ———GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》
- ———GB/T25058 信息安全技术 信息系统安全等级保护实施指南;
- ———GB/T22240 信息安全技术 信息系统安全等级保护定级指南;
- ———GB/T25070 信息安全技术 网络安全等级保护安全设计技术要求;
- ———GB/T28448 信息安全技术 网络安全等级保护测评要求;
- ———GB/T28449 信息安全技术 网络安全等级保护测评过程指南。
2. 等保2.0标准执行之高风险判定
3. GBT 22239-2019 《信息安全技术 网络安全等级保护基础要求》一到四级对比表格(按照十大方面整理,每方面包含四级要求并标记高风险项)
4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在基础要求中添加安全设计技术要求,安全设计技术要求主要用于开发人员和产品经理)
5. GBT 36958—2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》一到四级对比表格(说明安全管理中心技术要求:系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求)
6. GBT 22239-2019+GBT 28448-2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护测评要求》一到四级对比表格(在基础要求中添加等保测评要求,可用于实施过程)
7. 等保项目预调研情况汇报表(博主整理word,用于项目前期调研和高风险项判定,分为2级和3级两个文档,并根据项目经验整理和标准整理前期项目调研内容)
###################################################################################
