GB∕T 25058-2019 信息安全技术 网络安全等级保护实施指南
范围
- 本标准规定了等级保护对象实施网络安全等级保护工作的过程.
- 本标准适用于指导网络安全等级保护工作的实施。
引用文件
- GB 17859 计算机信息系统 安全保护等级划分准则
- GB/T 22239 信息安全技术 网络安全等级保护进本要求
- GB/T 22240 信息安全技术 信息系统安全等级保护定级指南
- GB/T 25069 信息安全技术 术语
- GB/T 28448 信息安全技术 网络安全等级保护测评要求
等级保护实施概述
基本原则
安全等级保护的核心是将等级保护对象划分等级,按标准进行建设、管理和监督。安全等级保护实施过程中应遵循以下基本原则:
- 自主保护原则
等级保护对象运营、使用单位及其主管部门按照国家相关法规和标准,自主确定等级保护对象的安全保护等级,自行组织实施安全保护。 - 重点保护原则
根据等级保护对象的重要程度、业务特点,通过划分不同安全保护等级的等级保护对象,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的等级保护对象。 - 同步建设原则
等级保护对象在新建、改建、扩建时应同步规划和设计安全方案,投入一定比例的资金建设网络安全设施,保障网络安全与信息化建设相适应。 - 动态调整原则
应跟踪定级对象的变化情况,调整安全保护措施。由于定级对象的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应根据等级保护的管理规范和技术标准的要求,重新确定定级对象的安全保护等级,根据其安全保护等级的调整情况,重新实施安全保护。
等级保护对象实施网络安全等级保护过程中涉及的角色如下:
- 等级保护管理部门
- 主管部门
- 运营、使用单位
- 网络安全服务机构
- 网络安全等级测评机构
- 网络安全产品供应商
实施的基本流程
对等级保护对象实施等级保护的基本流程包括等级保护对象定级与备案阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段和定级对象终止阶段。
在安全运行与维护阶段,等级保护对象因需求变化等原因导致局部调整,而其安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;当等级保护对象发生重大变更导致安全保护等级变化时,应从安全运行与维护阶段进入等级保护对象定级与备案阶段,重新开始一轮网络安全等级保护的实施过程。等级保护对象在运行与维护过程中,发生安全事件时可能会发生应急相应与保障。
等级保护对象定级与备案
等级保护对象定级阶段的目标是运营、使用单位按照国家有关管理规范和定级标准,确定等级保护对象及其安全保护等级,并经过专家评审、运营、使用单位有主管部门的,应经主管部门审核、批准,并报公安机关备案审查。
主要阶段 | 主要过程 | 活动 | 活动输入 | 活动输出 |
等级保护对象定级与备案 | 行业/领域定级工作 | 行业介绍文档 GB/T 22240 | 行业/领域的业务总体描述文件 行业/领域定级指导意见 行业/领域定级工作部署文件 | |
等级保护对象分析 | 对象重要性分析 | 单位情况说明文档 等级保护对象的立项、建设和管理文档 行业/领域定级指导意见 | 等级保护对象总体描述文件 | |
定级对象确定 | 行业/领域定级指导意见 行业/领域定级工作部署文件 等级保护对象总休描述文件 GB/T 22240 | 定级对象详细描述文件 | ||
安全保护等级确定 | 定级、审核和批准 | 行业/领域定级指导意见 等级保护对象总体描述文件 定级对象详细描述文件 | 定级结果 主管部门审批意见 | |
形成定级报告 | 定级对象洋细描述文件 定级结果 | 安全保护等级定级报告 | ||
定级结果备案 | 安全保护等级定级报告 主管部门审核意见 等级保护对象安全总体方案 安全洋细没计方案 安全等级测评报吿 | 备案材料 备案证明 |
总体安全规划
总体安全规划阶的目标是根据等级保护对象的划分情况、等级保护对象的定级情况、等级保护对象承载业务情况,通过分析明确等级保护对象安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的等级保护对象安全建设工程实施。
主要阶段 | 主要过程 | 活动 | 活动输入 | 活动输出 |
总体安全规划
| 安全需求分析 | 基本安全需求的确定 | 等级保护对象洋细描述文件 安全保护等级定级报告 等级保护对象相关的其他文档 GB/T 22239 行业基本要求 | 基本安全需求 |
特殊安全需求的确定 | 等级保护对象详细描述文件 安全保护等级定级报告 等级保护对象相关的其他文档 | 重要资产的特殊保护要求 | ||
形成安全需求分析报告 | 等级保护对象详细描述文件 安全保护等级定级报告 基本安全需求 重要资产的特殊保护要求 | 安全需求分析报告 | ||
安全总体设计 | 总体安全策略设计 | 等级保护对象详细描述文件 安全保护等级定级报告 安全需求分析报告 | 总体安全策略文件 | |
安全技术体系结构设计 | 总体安全策略文件 等级保护时象详细描述文件 安全保护等级定级报告 安全需求分析报告 GB/T 22239 行业基本要求 | 等级保护对象安全技术体系结构 | ||
整体安全管理体系结构设计 | 以体安全策略文件 等级保护对象详细描述文件 安全保护等级定级报告 安全需求分析报吿 GB/T 22239 行业基本要求 | 等级保护对象安全管理体系结构 | ||
设计结果文档化 | 安全需求分析报吿 等级保护对象安全技术体系結构 等级保护对象安全管理体系结构 | 等级保护对象安全总体方案 | ||
安全建设项目规划 | 安全建设目标确定 | 等级保护对象安全总体方案 机构或单位信息化建设的中长期发展规划 | 等级保护对象分阶段安全建设目标 | |
安全建设内容规划 | 等级保护对象安全总体方案 等级保护对象分阶段安全建设目标 | 安全建设项目列表 (含安全建设内容) | ||
形成安全建设项目规划 | 等级保护对象安全总体方案 等级保护对象分阶段安全建设目标 安全建设内容等 | 等级保护对象安全建设 项目规划 |
安全设计与实施
安全设计与设施的目标是按照等级保护对象安全总体方案的要求,结合等级保护对象安全建设项目规划,分期分步落实安全措施。
主要阶段 | 主要过程 | 活动 | 活动输入 | 活动输出 |
安全设计与实施 | 安全方案洋细设计 | 技术措施实现内容设计 | 安全总体方案 安全建设项目规划 各类信息技术产品和网络 安仝产品技术说明资料 网络安全服务机构评价材料 | 技术措施实施方案 |
管理措施实现内容设计 | 安全总体方案 安全建设项目规划 | 管理措施实施方案 | ||
设计结果文档化 | 技术措施实施方案 管理措施实施方案 | 安全详细设计方案 | ||
技术措施的实现 | 网络安全产品或服务采购 | 安全详细设计方案 相关供应商及产品信息 | 需采购的网络安全产品性能、功能和安全要求或服务机构的能力要求(可为清单模式) | |
安全控制的开发 | 安全详细设计方案 | 安全控制的开发过程相 关文档与记录 | ||
安全控制集成 | 安全详细设计方案 | 安全控制集成报告 | ||
系统验收 | 安全详细设计方案 安全控制集成报告 | 验收报吿 交付清单 | ||
管理措施的实现 | 安全管理制度的建设和修订 | 安全详细设计方案 | 安全策略 各项管理制度和操作规范 管理制度评审修订记录 | |
安全管理机构和人员的设置 | 安全详细设计方案 安全成员及角色说明书 各项管理制度和操作规范 | 机构、角色与职责说明书 培训记录及上岗资格证书等 | ||
安全实施过程管理 | 安全设计与实施阶段参与各方相关进度控制利质量监督要求文档 | 备阶段管理过程文档和记录 |
安全运行与维护
安全运行与维护是等级保护实施过程中确保等级保护对象正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。
主要阶段 | 主要过程 | 活动 | 活动输入 | 活动输出 |
安全运行与维护
| 运行管理和控制 | 运维管理职贵确定 | 安全详细设计方案 安全组织机构表 | 运行管理人员角色和职 责表 |
运维管理过程控制 | 运行管理需求 运行管理人员角色和职责表 | 各类运行管理操作规程 | ||
变更管理和控制 | 变更需求和影响分析 | 变更需求 | 变更方案 | |
变更过程控制 | 变更方案 | 变更结果报吿 | ||
安全状态监控 | 监控对象确定 | 安全详细设计方案 系统验收报告等 | 监控对象列表 | |
监控对象状态信息收集 | 监控对象列表 | 安全状态信息 | ||
监控状态分析和报告 | 安全状态信息 | 安全状态分析报告 | ||
安全自查和持续改进 | 安全状态自査 | 等级保护对象详细描述文件 变更结果报告 安全状态分析报告 | 安全自査报告 | |
改进方案制定 | 安全自査报告 | 安全改进方案 | ||
安全改进实施 | 安全改进方案 | 测试或验收报告 | ||
服务商管理和监控 | 服务商选择 | 安全详细设计方案、实施方案等 | 选择的最佳服务商 | |
服务商管理 | 已选择的服务商 | 服务商服务管理报告 | ||
服务商监控 | 服务商日常服务记录 | 服务商分析评价报告 | ||
等级测评 | 等级保护对象洋细描述文件 等级保护对象安全保护 等级定级报告 系统验收报告 | 安全等级测评报吿 整改需求 | ||
监督检査 | 安全等级测评报告 备案材料 自查报吿等 | 监督检査材料 监督检査结果报告 | ||
应急响应与保障 | 应急准备 | 运营、使用单位组织机构及职责分工 | 应急组织机构图 应急组织职责分工 应急组织内、外部联系表 安全事件报吿程序 各类专项应急预案 应急演练脚本 应急演练总结 | |
应急监测与响应 | 网络流量,口志信息,性能信息等 安全事件报告程序 各类专项应急预案 网络安全事件报送表 安全事件报吿程序等 | 冋络安全事件报送表 安全状态分析报告 安全事件处置报告 | ||
后期评估与改进 | 安全事件报告程序 各类专项应急预案 安全事件姓置报告 | 安全事件总结报告 安全事件改进报告 应急预案 | ||
应急保障 | 总体应急预案 各类专项应急预案 | 应急保障物资清单 |
定级对象终止阶段
定级对象终止阶段是等级保护实施过程中的最后环节。当定级对象被转移、终止或废弃时,正确处理其中的敏感信息对于确保机构信息资产的安全是至关重要的。
主要阶段 | 主要过程 | 活动 | 活动输入 | 活动输出 |
定级对象终止 | 信息转移、暂存和清除 | 定级对象信息资产清单 | 信息转移、暂存、清除处理记录文档 | |
设备迁移或废弃 | 设备迁移或废弃清单等 | 设备迁移、废弃处理报吿 | ||
存储介质的清除或销毁 | 存储介质清单等 | 存储介质的清除、销毁记录文档 |