GB/T 25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護實施指南

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T25058—2019

代替

GB/T25058—2010

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護實施指南

Informationsecuritytechnology—

Implementationguideforclassifiedprotectionofcybersecurity

2019-08-30發(fā)布2020-03-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T25058—2019

目次

前言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

等級保護實施概述

4………………………1

基本原則

4.1……………1

角色和職責(zé)

4.2…………………………2

實施的基本流程

4.3……………………2

等級保護對象定級與備案

5………………4

定級與備案階段的工作流程

5.1………………………4

行業(yè)領(lǐng)域定級工作

5.2/…………………4

等級保護對象分析

5.3…………………5

對象重要性分析

5.3.1………………5

定級對象確定

5.3.2…………………6

安全保護等級確定

5.4…………………7

定級審核和批準(zhǔn)

5.4.1、………………7

形成定級報告

5.4.2…………………8

定級結(jié)果備案

5.5………………………8

總體安全規(guī)劃

6……………8

總體安全規(guī)劃階段的工作流程

6.1……………………8

安全需求分析

6.2………………………9

基本安全需求的確定

6.2.1…………9

特殊安全需求的確定

6.2.2…………9

形成安全需求分析報告

6.2.3………………………10

總體安全設(shè)計

6.3………………………10

總體安全策略設(shè)計

6.3.1……………10

安全技術(shù)體系結(jié)構(gòu)設(shè)計

6.3.2………………………11

整體安全管理體系結(jié)構(gòu)設(shè)計

6.3.3…………………12

設(shè)計結(jié)果文檔化

6.3.4………………14

安全建設(shè)項目規(guī)劃

6.4…………………14

安全建設(shè)目標(biāo)確定

6.4.1……………14

安全建設(shè)內(nèi)容規(guī)劃

6.4.2……………14

形成安全建設(shè)項目規(guī)劃

6.4.3………………………15

安全設(shè)計與實施

7…………………………16

安全設(shè)計與實施階段的工作流程

7.1…………………16

安全方案詳細(xì)設(shè)計

7.2…………………16

Ⅰ

GB/T25058—2019

技術(shù)措施實現(xiàn)內(nèi)容的設(shè)計

7.2.1……………………16

管理措施實現(xiàn)內(nèi)容的設(shè)計

7.2.2……………………17

設(shè)計結(jié)果的文檔化

7.2.3……………17

技術(shù)措施的實現(xiàn)

7.3……………………18

網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)采購

7.3.1……………………18

安全控制的開發(fā)

7.3.2………………18

安全控制集成

7.3.3…………………19

系統(tǒng)驗收

7.3.4………………………20

管理措施的實現(xiàn)

7.4……………………21

安全管理制度的建設(shè)和修訂

7.4.1…………………21

安全管理機構(gòu)和人員的設(shè)置

7.4.2…………………21

安全實施過程管理

7.4.3……………22

安全運行與維護

8…………………………22

安全運行與維護階段的工作流程

8.1…………………22

運行管理和控制

8.2……………………23

運行管理職責(zé)確定

8.2.1……………23

運行管理過程控制

8.2.2……………24

變更管理和控制

8.3……………………24

變更需求和影響分析

8.3.1…………24

變更過程控制

8.3.2…………………25

安全狀態(tài)監(jiān)控

8.4………………………25

監(jiān)控對象確定

8.4.1…………………25

監(jiān)控對象狀態(tài)信息收集

8.4.2………………………26

監(jiān)控狀態(tài)分析和報告

8.4.3…………26

安全自查和持續(xù)改進

8.5………………26

安全狀態(tài)自查

8.5.1…………………26

改進方案制定

8.5.2…………………27

安全改進實施

8.5.3…………………27

服務(wù)商管理和監(jiān)控

8.6…………………28

服務(wù)商選擇

8.6.1……………………28

服務(wù)商管理

8.6.2……………………28

服務(wù)商監(jiān)控

8.6.3……………………29

等級測評

8.7……………30

監(jiān)督檢查

8.8……………30

應(yīng)急響應(yīng)與保障

8.9……………………30

應(yīng)急準(zhǔn)備

8.9.1………………………30

應(yīng)急監(jiān)測與響應(yīng)

8.9.2………………31

后期評估與改進

8.9.3………………32

應(yīng)急保障

8.9.4………………………32

定級對象終止

9……………32

定級對象終止階段的工作流程

9.1……………………32

信息轉(zhuǎn)移暫存和清除

9.2、……………33

Ⅱ

GB/T25058—2019

設(shè)備遷移或廢棄

9.3……………………33

存儲介質(zhì)的清除或銷毀

9.4……………34

附錄規(guī)范性附錄主要過程及其活動和輸入輸出

A()…………………35

Ⅲ

GB/T25058—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南與

GB/T25058—2010《》,

相比主要變化如下

GB/T25058—2010,:

標(biāo)準(zhǔn)名稱變更為信息安全技術(shù)網(wǎng)絡(luò)安全等級保護實施指南

———《》。

全文將信息系統(tǒng)調(diào)整為等級保護對象或定級對象將國家標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護

———“”“”“”,“

基本要求調(diào)整為網(wǎng)絡(luò)安全等級保護基本要求

”“”。

考慮到云計算等新技術(shù)新應(yīng)用在實施過程中的特殊處理根據(jù)需要相關(guān)章條增加云計算移

———,,、

動互聯(lián)大數(shù)據(jù)等相關(guān)內(nèi)容見

、(5.3.2、6.3.2、7.2.1、7.3.2)。

將各部分已有內(nèi)容進一步細(xì)化使其能夠指導(dǎo)單位針對新建等級保護對象的等級保護工作見

———,(

6.3.2、7.4.3)。

在等級保護對象定級階段增加了行業(yè)領(lǐng)域主管單位的工作過程見增加了云計算移

———,/(5.2);、

動互聯(lián)物聯(lián)網(wǎng)工控大數(shù)據(jù)定級的特殊關(guān)注點見年版的

、、、(5.3,20105.2)。

在總體安全規(guī)劃階段增加了行業(yè)等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)相關(guān)內(nèi)容即明確了基本安全

———,,

需求既包括國家等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)提出的要求也包括行業(yè)等級保護管理規(guī)范和

,

技術(shù)標(biāo)準(zhǔn)提出的要求見年版的

(6.2.1,20106.2.1)。

在總體安全規(guī)劃階段增加了設(shè)計等級保護對象的安全技術(shù)體系架構(gòu)內(nèi)容要求根據(jù)機構(gòu)總

———,“”,

體安全策略文件和機構(gòu)安全需求設(shè)計安全技術(shù)體系架構(gòu)并提供了安全技術(shù)

、GB/T22239,,

體系架構(gòu)圖此外增加了云計算移動互聯(lián)等新技術(shù)的安全保護技術(shù)措施見年

。,、(6.3.2,2010

版的

6.3.2)。

在總體安全規(guī)劃階段增加了設(shè)計等級保護對象的安全管理體系框架內(nèi)容要求根據(jù)

———,“”,

安全需求分析報告等設(shè)計安全管理體系框架并提供了安全管理體系框架見

GB/T22239、,,(

年版的

6.3.3,20106.3.3)。

在安全設(shè)計與實施階段將技術(shù)措施實現(xiàn)與管理措施實現(xiàn)調(diào)換順序見年

———,“”“”(7.3、7.4,2010

版的將人員安全技能培訓(xùn)合并到安全管理機構(gòu)和人員的設(shè)置中見

7.3、7.4);“”“”(7.4.2,2010

年版的將安全管理制度的建設(shè)和修訂與安全管理機構(gòu)和人員的設(shè)置調(diào)換順

7.3.1、7.3.3);“”“”

序見年版的

(7.4.1、7.4.2,20107.4.1、7.4.2)。

在安全設(shè)計與實施階段在技術(shù)措施實現(xiàn)中增加了對于云計算移動互聯(lián)等新技術(shù)的風(fēng)險分

———,、

析技術(shù)防護措施實現(xiàn)等要求見年版的在測試環(huán)節(jié)中更側(cè)重安全漏洞掃

、(7.2.1,20107.2.1);,

描滲透測試等安全測試內(nèi)容見年版的

、(7.3.2,20107.3.2)。

在安全設(shè)計與實施階段在原有信息安全產(chǎn)品供應(yīng)商的基礎(chǔ)上增加網(wǎng)絡(luò)安全服務(wù)機構(gòu)的評價

———,,

和選擇要求見安全控制集成中增加安全態(tài)勢感知監(jiān)測通報預(yù)警應(yīng)急處置追蹤溯

(7.3.1);,、、

源等安全措施的集成見安全管理制度的建設(shè)和修訂要求中增加要求總體安全方針

(7.3.3);,、

安全管理制度安全操作規(guī)程安全運維記錄和表單四層體系文件的一致性見安全實

、、(7.4.1);

施過程管理中增加整體管理過程的活動內(nèi)容描述見

,(7.4.3)。

在安全運行與維護階段增加服務(wù)商管理和監(jiān)控見刪除了安全事件處置和應(yīng)急預(yù)

———,“”(8.6);“

案年版的刪除了系統(tǒng)備案年版的修改了監(jiān)督檢查的內(nèi)容

”(20108.5);“”(20108.8);“”(8.8,

年版的增加了應(yīng)急響應(yīng)與保障見

20128.9),“”(8.9)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

Ⅴ

GB/T25058—2019

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所公安部信息安全等級保護評估中心中國電子科技集團公司

:()、

第十五研究所信息產(chǎn)業(yè)信息安全測評中心北京安信天行科技有限公司

()、。

本標(biāo)準(zhǔn)主要起草人袁靜任衛(wèi)紅畢馬寧黎水林劉健翟建軍王然張益江雷趙泰李明

:、、、、、、、、、、、

馬力于東升陳廣勇沙淼淼朱建平曲潔李升劉靜羅崢彭海龍徐爽亮

、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T25058—2010。

Ⅵ

GB/T25058—2019

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護實施指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了等級保護對象實施網(wǎng)絡(luò)安全等級保護工作的過程

。

本標(biāo)準(zhǔn)適用于指導(dǎo)網(wǎng)絡(luò)安全等級保護工作的實施

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。