安全需求分析共分为基本安全需求分析的确定、额外/特殊安全需求的确定、形成安全需求分析报告三大部分，本文主要介绍的是第一部分——分析报告之：基本安全需求的确定，您可前往信创致远http://www.dengbao110.com/查看更多内容。

（一）安全需求分析

1）基本安全需求的确定

活动目标：本活动的目标是根据信息系统的安全保护等级，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出信息系统的基本安全保护需求。

参与角色： 信息系统运营、使用单位，信息安全服务机构，信息安全等级测评机构。

活动输入： 信息系统详细描述文件，信息系统安全保护等级定级报告，信息系统相关的其它文档，信息系统安全等级保护基本要求。

活动描述：本活动主要包括以下子活动内容：

a) 确定系统范围和分析对象

明确不同等级信息系统的范围和边界，通过调查或查阅资料的方式，了解信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定每个等级信息系统的分析对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。

b) 形成评价指标和评估方案

根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标，形成负责按照国家信息安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品，接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务。

评价指标。根据评价指标，结合确定的具体对象制定可以操作的评估方案，评估方案可以包含以下内容：

1) 管理状况评估表格；

2) 网络状况评估表格；

3) 网络设备（含安全设备）评估表格；

4) 主机设备评估表格；

5) 主要设备安全测试方案；

6) 重要操作的作业指导书。

c) 现状与评价指标对比

通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估，判断安全技术和安全管理的各个方面与评价指标的符合程度，给出判断结论。整理和分析不符合的评价指标，确定信息系统安全保护的基本需求。

活动输出： 基本安全需求。