6.2　安全需求分析

6.2　安全需求分析

6.2.1　基本安全需求的確定

活動目標：
本活動的目標是根據等級保護對象的安全保護等級，提出等級保護對象的基本安全保護需求。
參與角色：運營、使用單位，網絡安全服務機構。
活動輸入：等級保護對象詳細描述文件，等級保護對象安全保護等級定級報告，等級保護對象相關的其它文檔，GB/T 22239，行業基本要求。
活動描述：
本活動主要包括以下子活動內容：
a) 確定等級保護對象范圍和分析對象
明確不同等級的等級保護對象的范圍和邊界，通過調查或查閱資料的方式，了解等級保護對象的業務應用、業務流程等情況。
b) 形成基本安全需求
根據各個等級保護對象的安全保護等級從GB/T 22239、行業基本要求中選擇相應等級的要求，形成基本安全需求。對于已建等級保護對象，應根據等級測評結果分析整改需求，形成基本安全需求。

6.2.2　特殊安全需求的確定

活動目標：
本活動的目標是通過分析重要資產的特殊保護要求，采用需求分析或風險分析的方法，確定可能的安全風險，判斷實施特殊安全措施的必要性，提出等級保護對象的特殊安全保護需求。
參與角色：運營、使用單位，網絡安全服務機構。
活動輸入：等級保護對象詳細描述文件，等級保護對象安全保護等級定級報告，等級保護對象相關的其它文檔。
活動描述：
確定特殊安全需求可以采用目前成熟或流行的需求分析或風險分析方法，或者采用下面介紹的活動：
a) 重要資產分析
明確等級保護對象中的重要部件，如邊界設備、網關設備、核心網絡設備、重要服務器設備、重要應用系統等。
b) 重要資產安全弱點評估
檢查或判斷上述重要部件可能存在的弱點（包括技術和管理兩方面），分析安全弱點被利用的可能性。
c) 重要資產面臨威脅評估
分析和判斷上述重要部件可能面臨的威脅，包括外部、內部的威脅，威脅發生的可能性或概率。
d) 綜合風險分析
分析威脅利用弱點可能產生的結果，結果產生的可能性或概率，結果造成的損害或影響的大小，以及避免上述結果產生的可能性、必要性和經濟性。按照重要資產的排序和風險的排序確定安全保護的要求。

6.2.3　形成安全需求分析報告

活動目標：
本活動的目標是總結基本安全需求和特殊安全需求，形成安全需求分析報告。
參與角色：運營、使用單位，網絡安全服務機構。
活動輸入：等級保護對象詳細描述文件，等級保護對象安全保護等級定級報告，基本安全需求，重要資產的特殊保護要求。
活動描述：
本活動主要的子活動是完成安全需求分析報告。根據基本安全需求和特殊的安全保護需求等形成安全需求分析報告。
安全需求分析報告可以包含以下內容：
a) 等級保護對象描述；
b) 基本安全需求描述；
c) 特殊安全需求描述。