GB∕T 25058-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南(2019年發(fā)布-高清）

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T25058—2019

代替

GB/T25058—2010

信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南

Informationsecuritytechnology—

Implementationguideforclassifiedprotectionofcybersecurity

2019-08-30發(fā)布2020-03-01實(shí)施

國家市場(chǎng)監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T25058—2019

目次

前言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

等級(jí)保護(hù)實(shí)施概述

4………………………1

基本原則

4.1……………1

角色和職責(zé)

4.2…………………………2

實(shí)施的基本流程

4.3……………………2

等級(jí)保護(hù)對(duì)象定級(jí)與備案

5………………4

定級(jí)與備案階段的工作流程

5.1………………………4

行業(yè)領(lǐng)域定級(jí)工作

5.2/…………………4

等級(jí)保護(hù)對(duì)象分析

5.3…………………5

對(duì)象重要性分析

5.3.1………………5

定級(jí)對(duì)象確定

5.3.2…………………6

安全保護(hù)等級(jí)確定

5.4…………………7

定級(jí)審核和批準(zhǔn)

5.4.1、………………7

形成定級(jí)報(bào)告

5.4.2…………………8

定級(jí)結(jié)果備案

5.5………………………8

總體安全規(guī)劃

6……………8

總體安全規(guī)劃階段的工作流程

6.1……………………8

安全需求分析

6.2………………………9

基本安全需求的確定

6.2.1…………9

特殊安全需求的確定

6.2.2…………9

形成安全需求分析報(bào)告

6.2.3………………………10

總體安全設(shè)計(jì)

6.3………………………10

總體安全策略設(shè)計(jì)

6.3.1……………10

安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)

6.3.2………………………11

整體安全管理體系結(jié)構(gòu)設(shè)計(jì)

6.3.3…………………12

設(shè)計(jì)結(jié)果文檔化

6.3.4………………14

安全建設(shè)項(xiàng)目規(guī)劃

6.4…………………14

安全建設(shè)目標(biāo)確定

6.4.1……………14

安全建設(shè)內(nèi)容規(guī)劃

6.4.2……………14

形成安全建設(shè)項(xiàng)目規(guī)劃

6.4.3………………………15

安全設(shè)計(jì)與實(shí)施

7…………………………16

安全設(shè)計(jì)與實(shí)施階段的工作流程

7.1…………………16

安全方案詳細(xì)設(shè)計(jì)

7.2…………………16

Ⅰ

GB/T25058—2019

技術(shù)措施實(shí)現(xiàn)內(nèi)容的設(shè)計(jì)

7.2.1……………………16

管理措施實(shí)現(xiàn)內(nèi)容的設(shè)計(jì)

7.2.2……………………17

設(shè)計(jì)結(jié)果的文檔化

7.2.3……………17

技術(shù)措施的實(shí)現(xiàn)

7.3……………………18

網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)采購

7.3.1……………………18

安全控制的開發(fā)

7.3.2………………18

安全控制集成

7.3.3…………………19

系統(tǒng)驗(yàn)收

7.3.4………………………20

管理措施的實(shí)現(xiàn)

7.4……………………21

安全管理制度的建設(shè)和修訂

7.4.1…………………21

安全管理機(jī)構(gòu)和人員的設(shè)置

7.4.2…………………21

安全實(shí)施過程管理

7.4.3……………22

安全運(yùn)行與維護(hù)

8…………………………22

安全運(yùn)行與維護(hù)階段的工作流程

8.1…………………22

運(yùn)行管理和控制

8.2……………………23

運(yùn)行管理職責(zé)確定

8.2.1……………23

運(yùn)行管理過程控制

8.2.2……………24

變更管理和控制

8.3……………………24

變更需求和影響分析

8.3.1…………24

變更過程控制

8.3.2…………………25

安全狀態(tài)監(jiān)控

8.4………………………25

監(jiān)控對(duì)象確定

8.4.1…………………25

監(jiān)控對(duì)象狀態(tài)信息收集

8.4.2………………………26

監(jiān)控狀態(tài)分析和報(bào)告

8.4.3…………26

安全自查和持續(xù)改進(jìn)

8.5………………26

安全狀態(tài)自查

8.5.1…………………26

改進(jìn)方案制定

8.5.2…………………27

安全改進(jìn)實(shí)施

8.5.3…………………27

服務(wù)商管理和監(jiān)控

8.6…………………28

服務(wù)商選擇

8.6.1……………………28

服務(wù)商管理

8.6.2……………………28

服務(wù)商監(jiān)控

8.6.3……………………29

等級(jí)測(cè)評(píng)

8.7……………30

監(jiān)督檢查

8.8……………30

應(yīng)急響應(yīng)與保障

8.9……………………30

應(yīng)急準(zhǔn)備

8.9.1………………………30

應(yīng)急監(jiān)測(cè)與響應(yīng)

8.9.2………………31

后期評(píng)估與改進(jìn)

8.9.3………………32

應(yīng)急保障

8.9.4………………………32

定級(jí)對(duì)象終止

9……………32

定級(jí)對(duì)象終止階段的工作流程

9.1……………………32

信息轉(zhuǎn)移暫存和清除

9.2、……………33

Ⅱ

GB/T25058—2019

設(shè)備遷移或廢棄

9.3……………………33

存儲(chǔ)介質(zhì)的清除或銷毀

9.4……………34

附錄規(guī)范性附錄主要過程及其活動(dòng)和輸入輸出

A()…………………35

Ⅲ

GB/T25058—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南與

GB/T25058—2010《》,

相比主要變化如下

GB/T25058—2010,:

標(biāo)準(zhǔn)名稱變更為信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南

———《》。

全文將信息系統(tǒng)調(diào)整為等級(jí)保護(hù)對(duì)象或定級(jí)對(duì)象將國家標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)

———“”“”“”,“

基本要求調(diào)整為網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

”“”。

考慮到云計(jì)算等新技術(shù)新應(yīng)用在實(shí)施過程中的特殊處理根據(jù)需要相關(guān)章條增加云計(jì)算移

———,,、

動(dòng)互聯(lián)大數(shù)據(jù)等相關(guān)內(nèi)容見

、(5.3.2、6.3.2、7.2.1、7.3.2)。

將各部分已有內(nèi)容進(jìn)一步細(xì)化使其能夠指導(dǎo)單位針對(duì)新建等級(jí)保護(hù)對(duì)象的等級(jí)保護(hù)工作見

———,(

6.3.2、7.4.3)。

在等級(jí)保護(hù)對(duì)象定級(jí)階段增加了行業(yè)領(lǐng)域主管單位的工作過程見增加了云計(jì)算移

———,/(5.2);、

動(dòng)互聯(lián)物聯(lián)網(wǎng)工控大數(shù)據(jù)定級(jí)的特殊關(guān)注點(diǎn)見年版的

、、、(5.3,20105.2)。

在總體安全規(guī)劃階段增加了行業(yè)等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)相關(guān)內(nèi)容即明確了基本安全

———,,

需求既包括國家等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)提出的要求也包括行業(yè)等級(jí)保護(hù)管理規(guī)范和

,

技術(shù)標(biāo)準(zhǔn)提出的要求見年版的

(6.2.1,20106.2.1)。

在總體安全規(guī)劃階段增加了設(shè)計(jì)等級(jí)保護(hù)對(duì)象的安全技術(shù)體系架構(gòu)內(nèi)容要求根據(jù)機(jī)構(gòu)總

———,“”,

體安全策略文件和機(jī)構(gòu)安全需求設(shè)計(jì)安全技術(shù)體系架構(gòu)并提供了安全技術(shù)

、GB/T22239,,

體系架構(gòu)圖此外增加了云計(jì)算移動(dòng)互聯(lián)等新技術(shù)的安全保護(hù)技術(shù)措施見年

。,、(6.3.2,2010

版的

6.3.2)。

在總體安全規(guī)劃階段增加了設(shè)計(jì)等級(jí)保護(hù)對(duì)象的安全管理體系框架內(nèi)容要求根據(jù)

———,“”,

安全需求分析報(bào)告等設(shè)計(jì)安全管理體系框架并提供了安全管理體系框架見

GB/T22239、,,(

年版的

6.3.3,20106.3.3)。

在安全設(shè)計(jì)與實(shí)施階段將技術(shù)措施實(shí)現(xiàn)與管理措施實(shí)現(xiàn)調(diào)換順序見年

———,“”“”(7.3、7.4,2010

版的將人員安全技能培訓(xùn)合并到安全管理機(jī)構(gòu)和人員的設(shè)置中見

7.3、7.4);“”“”(7.4.2,2010

年版的將安全管理制度的建設(shè)和修訂與安全管理機(jī)構(gòu)和人員的設(shè)置調(diào)換順

7.3.1、7.3.3);“”“”

序見年版的

(7.4.1、7.4.2,20107.4.1、7.4.2)。

在安全設(shè)計(jì)與實(shí)施階段在技術(shù)措施實(shí)現(xiàn)中增加了對(duì)于云計(jì)算移動(dòng)互聯(lián)等新技術(shù)的風(fēng)險(xiǎn)分

———,、

析技術(shù)防護(hù)措施實(shí)現(xiàn)等要求見年版的在測(cè)試環(huán)節(jié)中更側(cè)重安全漏洞掃

、(7.2.1,20107.2.1);,

描滲透測(cè)試等安全測(cè)試內(nèi)容見年版的

、(7.3.2,20107.3.2)。

在安全設(shè)計(jì)與實(shí)施階段在原有信息安全產(chǎn)品供應(yīng)商的基礎(chǔ)上增加網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的評(píng)價(jià)

———,,

和選擇要求見安全控制集成中增加安全態(tài)勢(shì)感知監(jiān)測(cè)通報(bào)預(yù)警應(yīng)急處置追蹤溯

(7.3.1);,、、

源等安全措施的集成見安全管理制度的建設(shè)和修訂要求中增加要求總體安全方針

(7.3.3);,、

安全管理制度安全操作規(guī)程安全運(yùn)維記錄和表單四層體系文件的一致性見安全實(shí)

、、(7.4.1);

施過程管理中增加整體管理過程的活動(dòng)內(nèi)容描述見

,(7.4.3)。

在安全運(yùn)行與維護(hù)階段增加服務(wù)商管理和監(jiān)控見刪除了安全事件處置和應(yīng)急預(yù)

———,“”(8.6);“

案年版的刪除了系統(tǒng)備案年版的修改了監(jiān)督檢查的內(nèi)容

”(20108.5);“”(20108.8);“”(8.8,

年版的增加了應(yīng)急響應(yīng)與保障見

20128.9),“”(8.9)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

Ⅴ

GB/T25058—2019

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所公安部信息安全等級(jí)保護(hù)評(píng)估中心中國電子科技集團(tuán)公司

:()、

第十五研究所信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心北京安信天行科技有限公司

()、。

本標(biāo)準(zhǔn)主要起草人袁靜任衛(wèi)紅畢馬寧黎水林劉健翟建軍王然張益江雷趙泰李明

:、、、、、、、、、、、

馬力于東升陳廣勇沙淼淼朱建平曲潔李升劉靜羅崢彭海龍徐爽亮

、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T25058—2010。

Ⅵ

GB/T25058—2019

信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了等級(jí)保護(hù)對(duì)象實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的過程

。

本標(biāo)準(zhǔn)適用于指導(dǎo)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的實(shí)施

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。