ICS35040

L80.

中華人民共和國國家標準

GB/T25058—2019

代替

GB/T25058—2010

信息安全技術

網絡安全等級保護實施指南

Informationsecuritytechnology—

Implementationguideforclassifiedprotectionofcybersecurity

2019-08-30發布2020-03-01實施

國家市場監督管理總局發布

中國國家標準化管理委員會

GB/T25058—2019

目次

前言

…………………………Ⅴ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

等級保護實施概述

4………………………1

基本原則

4.1……………1

角色和職責

4.2…………………………2

實施的基本流程

4.3……………………2

等級保護對象定級與備案

5………………4

定級與備案階段的工作流程

5.1………………………4

行業領域定級工作

5.2/…………………4

等級保護對象分析

5.3…………………5

對象重要性分析

5.3.1………………5

定級對象確定

5.3.2…………………6

安全保護等級確定

5.4…………………7

定級審核和批準

5.4.1、………………7

形成定級報告

5.4.2…………………8

定級結果備案

5.5………………………8

總體安全規劃

6……………8

總體安全規劃階段的工作流程

6.1……………………8

安全需求分析

6.2………………………9

基本安全需求的確定

6.2.1…………9

特殊安全需求的確定

6.2.2…………9

形成安全需求分析報告

6.2.3………………………10

總體安全設計

6.3………………………10

總體安全策略設計

6.3.1……………10

安全技術體系結構設計

6.3.2………………………11

整體安全管理體系結構設計

6.3.3…………………12

設計結果文檔化

6.3.4………………14

安全建設項目規劃

6.4…………………14

安全建設目標確定

6.4.1……………14

安全建設內容規劃

6.4.2……………14

形成安全建設項目規劃

6.4.3………………………15

安全設計與實施

7…………………………16

安全設計與實施階段的工作流程

7.1…………………16

安全方案詳細設計

7.2…………………16

Ⅰ

GB/T25058—2019

技術措施實現內容的設計

7.2.1……………………16

管理措施實現內容的設計

7.2.2……………………17

設計結果的文檔化

7.2.3……………17

技術措施的實現

7.3……………………18

網絡安全產品或服務采購

7.3.1……………………18

安全控制的開發

7.3.2………………18

安全控制集成

7.3.3…………………19

系統驗收

7.3.4………………………20

管理措施的實現

7.4……………………21

安全管理制度的建設和修訂

7.4.1…………………21

安全管理機構和人員的設置

7.4.2…………………21

安全實施過程管理

7.4.3……………22

安全運行與維護

8…………………………22

安全運行與維護階段的工作流程

8.1…………………22

運行管理和控制

8.2……………………23

運行管理職責確定

8.2.1……………23

運行管理過程控制

8.2.2……………24

變更管理和控制

8.3……………………24

變更需求和影響分析

8.3.1…………24

變更過程控制

8.3.2…………………25

安全狀態監控

8.4………………………25

監控對象確定

8.4.1…………………25

監控對象狀態信息收集

8.4.2………………………26

監控狀態分析和報告

8.4.3…………26

安全自查和持續改進

8.5………………26

安全狀態自查

8.5.1…………………26

改進方案制定

8.5.2…………………27

安全改進實施

8.5.3…………………27

服務商管理和監控

8.6…………………28

服務商選擇

8.6.1……………………28

服務商管理

8.6.2……………………28

服務商監控

8.6.3……………………29

等級測評

8.7……………30

監督檢查

8.8……………30

應急響應與保障

8.9……………………30

應急準備

8.9.1………………………30

應急監測與響應

8.9.2………………31

后期評估與改進

8.9.3………………32

應急保障

8.9.4………………………32

定級對象終止

9……………32

定級對象終止階段的工作流程

9.1……………………32

信息轉移暫存和清除

9.2、……………33

Ⅱ

GB/T25058—2019

設備遷移或廢棄

9.3……………………33

存儲介質的清除或銷毀

9.4……………34

附錄規范性附錄主要過程及其活動和輸入輸出

A()…………………35

Ⅲ

GB/T25058—2019

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準代替信息安全技術信息系統安全等級保護實施指南與

GB/T25058—2010《》,

相比主要變化如下

GB/T25058—2010,:

標準名稱變更為信息安全技術網絡安全等級保護實施指南

———《》。

全文將信息系統調整為等級保護對象或定級對象將國家標準信息系統安全等級保護

———“”“”“”,“

基本要求調整為網絡安全等級保護基本要求

”“”。

考慮到云計算等新技術新應用在實施過程中的特殊處理根據需要相關章條增加云計算移

———,,、

動互聯大數據等相關內容見

、(5.3.2、6.3.2、7.2.1、7.3.2)。

將各部分已有內容進一步細化使其能夠指導單位針對新建等級保護對象的等級保護工作見

———,(

6.3.2、7.4.3)。

在等級保護對象定級階段增加了行業領域主管單位的工作過程見增加了云計算移

———,/(5.2);、

動互聯物聯網工控大數據定級的特殊關注點見年版的

、、、(5.3,20105.2)。

在總體安全規劃階段增加了行業等級保護管理規范和技術標準相關內容即明確了基本安全

———,,

需求既包括國家等級保護管理規范和技術標準提出的要求也包括行業等級保護管理規范和

,

技術標準提出的要求見年版的

(6.2.1,20106.2.1)。

在總體安全規劃階段增加了設計等級保護對象的安全技術體系架構內容要求根據機構總

———,“”,

體安全策略文件和機構安全需求設計安全技術體系架構并提供了安全技術

、GB/T22239,,

體系架構圖此外增加了云計算移動互聯等新技術的安全保護技術措施見年

。,、(6.3.2,2010

版的

6.3.2)。

在總體安全規劃階段增加了設計等級保護對象的安全管理體系框架內容要求根據

———,“”,

安全需求分析報告等設計安全管理體系框架并提供了安全管理體系框架見

GB/T22239、,,(

年版的

6.3.3,20106.3.3)。

在安全設計與實施階段將技術措施實現與管理措施實現調換順序見年

———,“”“”(7.3、7.4,2010

版的將人員安全技能培訓合并到安全管理機構和人員的設置中見

7.3、7.4);“”“”(7.4.2,2010

年版的將安全管理制度的建設和修訂與安全管理機構和人員的設置調換順

7.3.1、7.3.3);“”“”

序見年版的

(7.4.1、7.4.2,20107.4.1、7.4.2)。

在安全設計與實施階段在技術措施實現中增加了對于云計算移動互聯等新技術的風險分

———,、

析技術防護措施實現等要求見年版的在測試環節中更側重安全漏洞掃

、(7.2.1,20107.2.1);,

描滲透測試等安全測試內容見年版的

、(7.3.2,20107.3.2)。

在安全設計與實施階段在原有信息安全產品供應商的基礎上增加網絡安全服務機構的評價

———,,

和選擇要求見安全控制集成中增加安全態勢感知監測通報預警應急處置追蹤溯

(7.3.1);,、、

源等安全措施的集成見安全管理制度的建設和修訂要求中增加要求總體安全方針

(7.3.3);,、

安全管理制度安全操作規程安全運維記錄和表單四層體系文件的一致性見安全實

、、(7.4.1);

施過程管理中增加整體管理過程的活動內容描述見

,(7.4.3)。

在安全運行與維護階段增加服務商管理和監控見刪除了安全事件處置和應急預

———,“”(8.6);“

案年版的刪除了系統備案年版的修改了監督檢查的內容

”(20108.5);“”(20108.8);“”(8.8,

年版的增加了應急響應與保障見

20128.9),“”(8.9)。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

Ⅴ

GB/T25058—2019

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第三研究所公安部信息安全等級保護評估中心中國電子科技集團公司

:()、

第十五研究所信息產業信息安全測評中心北京安信天行科技有限公司

()、。

本標準主要起草人袁靜任衛紅畢馬寧黎水林劉健翟建軍王然張益江雷趙泰李明

:、、、、、、、、、、、

馬力于東升陳廣勇沙淼淼朱建平曲潔李升劉靜羅崢彭海龍徐爽亮

、、、、、、、、、、。

本標準所代替標準的歷次版本發布情況為

:

———GB/T25058—2010。

Ⅵ

GB/T25058—2019

信息安全技術

網絡安全等級保護實施指南

1范圍

本標準規定了等級保護對象實施網絡安全等級保護工作的過程

。

本標準適用于指導網絡安全等級保護工作的實施

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。