等级保护2.0

小春学渗透

于 2024-07-31 10:53:30 发布

阅读量136

点赞数 3

文章标签：网络安全等级保护

本文链接：https://blog.csdn.net/m0_74402888/article/details/140817112

版权

I CS 35.040

L 8 0

中华人民共和国国家标准

信息安全技术

G B / T 25058 2019

代替 GB/T 25058 2010

网络安全等级保护实施指南

In for m ation securi t y tec hnol ogy

Impl eme nta t ion g uid e for classified protection of c y bersecu ri t y

2019 08-30 发布

国家市场监督管理总局

中国国家标准化理委员会

2020-03-01 实施

发布 C ll /T 2505 20 19

前言

......... .......................................... .................. .. .. .. .. .. .. .. .. .. .. .. .. ............ ...

1 范围 ..................................................................................................................... 1

2 规范性弓用文件 .. .. .. .. .. .. .. .. .. .. .. ...................................................... .. .. .. .. .. 1

术话和定义

.. .. .. .. .. .. .. .. .. .. .. .. .. .. ... .. .. .. .. .. ..................................... ..... .. .. ..

等级保护实施概述

...................................................................................................

4 . 1 基本原则 .. .. .. .. .. .. .. .. .. .. .. .. ...................................................... .. .. .. .. .. 1

4 . 2 角色和职责 ...................................................................................................... 2

4 . 3 实施的基本流程 ................................................................................. .. .. .. .. .. 2

5 等级保护对象定级与备案 .. .. .. .. .. .. .. ...................................................... .. .. .. ..... 4

5 . 1 定级与备案阶段的工作流程 ................................................................................. 4

5 . 2 业／领坡定级工作 .. ...... ........ .. .. ...................................................... .. .. .. .. .. 4

5 . 3 等级保护对象分析 ........ .. .. .. .. .. ..................................................................... 5

5 . 3 . 1 对象重要性分析

. .. ........................................................................ .. . .. . .. . .. . .. . 5

5 . 3 . 2 定级对象确定 ............................................................................................. 6

5.4 安全保护等级确定 ........ .. .. .. .. .. ....................... ..... ..... .................. .. .. .. .. .. 7

5.4 . l 定级、审核和批准 .......................................................................................... 7

5.4 . 2 形成定级报告 ............................................................................................. 8

5 . 5 定级结果备案 .... .. ..... .. .. .. .. .. .. ....................... ..... ..... .................. .. .. .. .. .. 8

6 总体安全规划．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．身.. 8

6 . 1 总体安全规划阶段的工作流程．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．吻... 8

6 . 2 安全需求分析 .......... .. ..... .................................................................. .. .. .. .. ...

6 . 2 . 1 基本安全需求的确定

.. . .. . .. . .. . .. . ..................................................................... 9

6 . 2 . 2 特殊安全需求的确定

.. . .................................................................. .. . .. . .. . .. . .. . 9

6 . 2 . 3 形成安全需求分析报告 ................................................................................. 10

6 . 3 总体安全设计 .................... ......... .. .. .. .. .. .. ...... .. .. .. .. .. .. .. .. .. .. ............ .. 10

6 . 3 . 1 总体安全策略设计 .................................................................................... .. 10

6 . 3 . 2 安全技术体系结构设计 ................................................................................. 11

6 . 3 . 3 整体安全笞理体系结构设计 ......................... .. .. .. .. .. .. .. .. .. .. .. .. ............ .. 12

6 . 3.4 设计结杲文档化 .......................................................................................... 14

6.4 安全建设项目规划 ....... .. ............... .. .. .. .. .. .. ........ .. .... .. ..... .. .. .. .. .. ............ .. 14

6.4 . l 安全建设目标确定 ....................................................................................... 14

6.4 . 2 安全建设内容规划 .. .................................. .. .. .. .. .. .. .. .. .. .. .. .. ............ .. 14

6 . 4 . 3 形成安全建设项目规划 ................................................................................. 15

1 安全设计与实施 ..... .. .... .. .. .. .. .. .. .. ... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ............ .. 16

7 . 1 安全设计与实施阶段的 T,. 作流程 ...... .................. .. .. .. .. .. .. .. .. .. .. .. .. ......... .. .. 16

7 . 2 安全方案详细设计 ............

.. . .. . .. . .......................................... ... ... .. .................. 16

I GB / 'f 20

7 . 2 . J 技术捎施实现内容的设计 ............................. .. .. .. .. .. .. .. .. .. .. ................. 16

7 . 2 . 2 笞理捎施实现内容的设计 .. .. ... .. .. .. .. .. ................ ·······························

· ·· · · 17

7 . 2 . 3 设计结果的文档化 ....................................................................................... 17

7 . 3 技术捎施的实现 .. ........ ... .. .. .. .. .. ... ... ... ......................................... ..... 18

7 . 3 . J 网络安全产品或服务采购 ............................................. .. .. .. .. .. ................. 18

7 . 3 . 2 安全控制的开发 .. .. ................................................... .. .. .. .. .. ................. 18

7 . 3 . 3 安全控制栠成 .... .... .. .. .. .. ... ... ... ... ............... ·····················"·..

. ..... . . .. 19

7 . 3 . 4 系统验收 ................................................................................................... 20

7 . 4 管理措施的实现 .. .. · . .. • .. • .. • .. • .. •• . .•. . • . .•. . • . .•. . .•..•..•..•..•..•...•..•..•..•..•..••..•. . •..•. . • .. 21

7 . 4 . J 安全管理制度的廷以和修订 .......................................... .. .. .. .. .. ................. 21

7 . 4 . 2 安全管理机构和人员的设笠 .. .. .. .. .. .. .. .. .. ............... ·•···•··•··•··•··•··••·

· •··•· · • · ·.. . 21

7 . 4 . 3 安全实施过程管理 .. .................................................................................... 22

8 安全运行与维护 ............ .. ... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ... .. .. .. .. 22

8 . 1 安全运行与维护阶段的工作流程 .. .. .. .. .. .. .. .. .. .. .. .. .. .. ·· · · · ·· · ·· · ·· · ·· · ·· · ·" · " · " · ' ·· · ·· 22

8 . 2 运行管理和控制 .. .. .. ....................................................................................... 23

8 . 2 . 1 运行管理职责确定 .. ... .. .. .. .. .. ... ... ... ......................................... ..... .. 23

8 . 2 . 2 运行管理过程控制 ... .. .. .. .. ... ... ... ... ......................................... ..... .. 24

8 . 3 变更管理和控制 .. .. ......... .. .. .. ....................................................................... 24

8 . 3 . J 变更需求和影响分析 .. .. .. .. .. .. .. ... ... .......................................... ..... .. 24

8 . 3 . 2 变更过程控制 .. . .......................................................................................... 2~

8 . 4 安全状态监控 .•... . .• . .•..•. .. • .. • .. • .. • .. •• . ... . • . ... . • . ... . .•..•..•..•..•. ·····················"·..

. ..... . . ..

8.4 . J 监控对象确定 .. .. ....................................................................................... 25

8 . 4 . 2 监控对象状态信息收栠 .. .. .. ... ... ... ... ......................................... ..... .. 26

8 . 4 . 3 监控状态分析和报告 .................................................................................... 26

8 . 5 安全自查和持续改进 .. ... .. .. .. .. .. .. .. ... ... ................ ·•···•··•··•··•··•··••··..

. •.... . • .. 26

8 . 5 . 1 安全状态自查 .. .. .. ................................... .. .. .. .. .................................... 26

8 . 5 . 2 改进方案制定 ......... .. .. .. .. ... ... ... ... ............... ··························

· ·····

· · ·· 27

8 . 5 . 3 安全改进实施 ............................................................................................. 27

8 . 6 服务商管理和监控 .. .. ... .. .. .. .. .. .. ... ... ... .. .. .. .. .. .. .. .. .. .. .. ...... ..... .. 28

8 . 6 . 1 服务商选择 ................................................................................................ 28

8 . 6 . 2 服务商管理 ............ .. .. .. .. ... ... ... ... ......................................... ..... .. 28

8 . 6 . 3 服务商监控 ............ .. .. .. .. ... ... ... ... ......................................... .. .. .. 29

8 . 7 等级测评 ..... .................. .. .. .. ....................................................................... 30

8 . 8 监督检查 .. .................. .. .. .. .. ... .. ... ... .......................................... ..... .. 30

8 . 9 应急响应与保陓 ................................................................................................ 30

8 . 9 . 1 应急准备 ............... .. .. .. .. ... ... ... ... ......................................... ..... .. 30

8 . 9 . 2 应急监测与响应 .......................................................................................... 31

8 . 9 . 3 后期评估与改进 ...... .. .. .. .. ... ... ... ... ......................................... ..... .. 32

8 . 9 . 4 应急保哮 .. .. ............................................................................................. 32

9 定级对象终止 .. .................. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ... .. .. .. .. 32

9 . 1 定级对象终止阶段的 T. 作流程 .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ·· · · · ·· · ·· · ·· · ·· · ·· · ·" · " · " · ' ·· · ·· 32

9 . 2 信息转移、暂存和消除 .. .................................................................................... 33

00 Cll/T 2505 20 19

9 . 3 设备迁移或废弃 .............. .................................................. .. .. .. .. .. ............... 33

9.4

存储介质的消除或销毁 .. ............... .. .. .. .. .. ... ... ... ... .............................. ..

附录 A( 规范性附录）

主要过程及其活动和输入输出 .. .................................................. .. 35

Ill C ll /T 25058 2019

本标准按照 GB/T 1.1 2009 给出的规则起草．

本标准代替 GB/T 25058 2010( 信息安全技术

信息系统安全等级保护实施指南》．与

GB/T 25058 2010 相比，主要变化如下

标准名称变更为＜信息安全技术

网络安全等级保护实施指南》．

全文将信息系统”词整为”等级保护对象”或定级对象” 将国家标准“信息系统安全等级保护

基本要求“调整为“网络安全等级保护基本要求"

考虑到云计算等新技术新应用在实施过程的特殊处理根据需要相关东条增加云计算

动互联大数据等相关内容（见 6. 1.7 2).

一一将各部分已有内容进步细化，使其能够指导单位针对新廷等级保护对象的等级保护工作（见

6 . 3 . 2. 7.4 . 3) ,

一一在等级保护对象定级阶段增加了行业／领域主管单位的工作过程（见 2); 增加了云计算

动互联、物联网、飞控、大数据定级的特殊关注点（见 2010 年版的 2)

一一在总体安全规划阶段增加了行业等级保护管理规范和技术标准相关内容即明确了基本安全

需求既包括国家等级保护笞理规范和技术标准提出的要求．也包括行业等级保护管理规范和

技术标准提出的要求（见 2010 年版的 1).

一一在总体安全规划阶段增加了“设计等级保护对象的安全技术休系架构“内容要求根据机构总

体安全策略文件、 GB/T 22239 和机构安全需求设计安全技术系架构，井提供了安全技术

体系架构图．此外增加了云计算、移动互联等新技术的安全保护技术挤施（见 6.3 2010

版的 6.3.2).

一一在总体安全规划阶段，增加了“设计等级保护对象的安全管理体系框架“内容要求根据

GB/T 22239 安全需求分析报告等设计安全笞理体系框架，井提供了安全答理系框架（见

6 . 3 . 3 2010 年版的 3).

一一在安全设计与实施阶段将｀技术措施实现“与飞苦理措施实现“调换顺序（见 7. 2010

版的 7.3 7.4); 将“人员安全技能培训“合井到安全管理机构和人员的设笠“中（见 2010

年版的 3.3); 将“安全管理制度的建设和修订”与安全智理机构和人员的设笠“调换顺

序（见 7.4 2010 年版的 7.4 2).

一一在安全设计与实施阶段在技术措施实现中培加了对于云计算移动互联等新技术的风险分

技术防护措施实现等要求（见 .2010 年版的 1), 在测试环节中更侧茧安全漏洞扫

描惨透测试等安全测试内容（见 2010 年版的 2)

一一在安全设计与实施阶段在原有信息安全产品供应商的基础上增加网络安全服务机构的评价

和选择要求（见 1) 安全控制栠成中增加安全态势感知、监测通报预警、应急处笠追踪溯

源等安全措施的栠成（见 3) 安全管理制度的建设和修订要求中增加要求总体安全方针、

安全笞理制度、安全操作规程安全运维记录表单四层系文件的致性（见 1) 安全实

施过程管理中增加整休答理过程的活动内容描述（见 7.4.3).

一一在安全运行与维护阶段增加 “服务商管理和监控＇，（见 6); 删除了“ 安全车件处笠和应急预

"(2010 年版的 5); 删除了”系统备案 "(2010 年版的 8), 修改了＂监督检查的内容 (8

2012 年版的 9), 增加了“应急响应与保陓＂（见 8.9).

诮注意本文件的某些内容可能涉及专利．本文件的发布机构不承担识别这些专利的责任

00 G ll / 'f 25058 2019

本标准由全国信息安全标准化技术委员会 (SAC/TC 260) 提出井归口．

本标准起草单位公安部第三研究所（公安部信息安全等级保护评估中心）、中国电子科技组团公司

笫十五研究所（信息产信息安全测评中心）、京安信天行科技有限公司

本标准主要起草人袁静、任卫红、毕马宁黎水林、刘健、程建军、王然、张益、江箭赵泰李明

马力、千东升

陈广勇、沙森森、朱建平、

洁、李升、刘静罗峰彭海龙、徐爽亮．

本标准所代替标准的历次版本发布情况为

—

GB/T

25058 2010

00 信息安全技术

网络安全等级保护实施指南

1 范围

本标准规定了等级保护对象实施网络安全等级保护工作的过程．

本标准适用于指导网络安全等级保护工作的实施

2 规范性引用文件

Cll/T 25058 2019

于列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用千本文

凡是不注日期的引用文件其最新版本（包括所有的修改单）适用于本文件．

GB 17859 计算机信息系统安全保护等级划分准则

GB/T 22239 信息安全技术网络安全等级保护基本要求

GB/T 22240 信息安全技术信息系统安全等级保护定级指南

GB/T 25069 信息安全技术术讲

GB/T 28448 信息安全技术网络安全等级保护测评要求

3 术语和定义

GB 17859 GB/ 22239 GB/T 25069 GB/T 28448 界定的术话和定义适用千本文件

4 等级保护实施概述

4.1 基本原则

安全等级保护的核心是将等级保护对象划分等级，按标准进行走设管理和监督安全等级保护实

施过程应遐以下基本原则

a )

自主保护原则

等级保护对象运营、使用单位及其主答部门按照国家相关法规和标准自主确定等级保护对象的安

全保护等级，自行组织实施安全保护

b ) 茧点保护原则

根据等级保护对象的茧要程度、业务特点，通过划分不同安全保护等级的等级保护对象实现不同

强度的安全保护，栠中资源优先保护涉及核心业务或关键信息资产的等级保护对象

同步建设原则

等级保对象在新走改建扩建时应同步规划设计安全方案投人定比例的资金洼设网络安

全设施，保瘁网络安全与信息化建设相适应

dl 动态调整原则

应跟踪定级对象的变化情况调整安全保护措施

。由于定级对象的应用类型、范围等条件的变

0 0 G ll / 'f 25058 19

其他原因安全保护等级需要变更的，应根据等级保护的官理规范和技术标准的要求，茧新确定定级对

象的安全保护等级，根据其安全保护等级的调整情况亚新实施安全保护．

4. 2 角色职责

等级保护对象实施网络安全等级保护过程中涉及的各类角色和职责如下

a) 等级保护管理部门

等级保护笞理部门依照等级保护相关法律、行政法规的规定．在各自职责范围内负责网络安全保护

和监仔管理作．

bl 主管部门

负责依照国家网络安全等级保护的管理规范和技术标准督促检查和指导本行业、本部门或者本

地区等级保护对象运营、使用单位的网络安全等级保护 T,. 作．

cl 运营使用单位

负责依照国家网络安全等级保护的管理规范和技术标准确定其等级保护对象的安全保护等级

主管部门的．应报其主官部门审核批准，根据已经确定的安全保护等级．到公安机关办理备案手续；按照

国家网络安全等级保护笞理规范和技术标准，进行等级保护对象安全保护的规划设计．使用符合国家有

关规定满足等级保护对象安全保护等级需求的信息技术产品和网络安全产品，开展安全建设或者改建

工作；制定、落实各项安全窅理制度，定期对等级保护对象的安全状况、安全保护制度及措施的落实情况

进行自查选择符合国家相关规定的等级测评机构定期进行等级测评制定不同等级网络安全车件的

响应、处笠预案对网络安全事件分等级进行应急处笠．

d) 网络安全服务机构

负责根据运营、使用单位的委托．依照国家网络安全等级保护的笞理规范和技术标准协助运营、使

用单位完成等级保护的相关工作．包括确定其等级保护对象的安全保护等级｀进行安全需求分析、安全

总体规划、实施安全建设和安全改造提供服务支撑平台等．

e) 网络安全等级测评机构

负责根据运营、使用单位的委托或根据等级保护笞理部门的授权．协助运营、使用单位或等级保护

管理部门按照国家网络安全等级保护的管理规范和技术标准．对已经完成等级保护建设的等级保护对

象进行等级测评；对网络安全产品供应商提供的网络安全产品进行安全测评．

/) 网络安全产品供应商

负责按照国家网络安全等级保护的管理规范和技术标准开发符合等织护相关要求的网络安全

产品接受安全测评，按照等级保护相关要求销售网络安全产品并提供相关版方。

4.3 实施的基本流程

对等级保护对象实施等级保护的基本流程包括等级保护对象定级与备案阶段、总体安全规划阶段、

安全设计与实施阶段．安全运行与维护阶段和定级对象终止阶段．见图 l.

00 Cll / T 25 58 20

局部调整

等级保护象定级备案

已~~

总体安规划

三二二

等级变更

安全设计与实施

二二

全运行与

常状态

异常状态

二三三

I'-. 应急准备

豆二三

三三

定级对象终止

二二三

安全级保护工的基本流程

在安全运行与维护等级保护对象因需等原因导致局部洞整而其安全保等级并未改

变应从安全运行与维护人安全设计与实阶段．亚新设计调整和实施安全措施．确保满等级

保护的要当等级保护对象发生重大变更导致安全保等级变化时安全运行与维护阶段人等

级保对象定级与备案茧新开始轮网络安全等级保的实施过程等级保护对象在运行与维

护过程，发生安全车时可会发生应急响应与保停

等级保对象安全等级保护实施的基本流程阶段的主要活动输入和输出见附

3 G ll / 'f 20

5 等级保护对定级与备案

5 . 1 定级与备案段的

等级保护对象定级阶段的目标是运营使用单位按照国家有关晋理规范和定级标准确定等级保护

对象及其安全保护等级，并经过专家评审．运营、使用单位有主管部门的，应经主符部门审核、准，井

报公安机关备案审查．

等级保护对象定级与备案阶段的工作流程见图 2,

轮入

主委过程

Ill

行业／颌域定级工作

行业领域的业务总休拷述文

行业／领坎定级指导这见

行业／筷坟定级工作忽岩文件

行业／邻城定级指导意见

行业／钱域定级工作部署文件

单位情况说明文档

芍级保护对象的立项｀达设和管理

文档

GB/T 222 40

等级伐护对象分析

等级保护对象总体描述文件

定级对象详细描述文件

行业／领戏定级指导惹见

等级保护对象总休描述文件

定级对象诈细描述文件

安全保护等级汾定

主行部审核意见

安全保护等级定级报告

安全保护等级定级报仵

主管部审核怠见

等级保护对象安全总体方案

安全详缉设计方案

安全等级泊评报告

定级结煤备案

备案材料

备案证明

定级与备案

5 . 2 ／领域定级

活动目标

行业／领域主管部门在必要时可组织梳理行业／领域的主要社会功能／职能及作用，分析履行主要打

会功能／职能所依赖的主要业务及服务范围，最后依据分析和整理的内容形成行／领域的务总体描

述性文档．

参与角色主笞部门网络安全服务机构。

活动输入行业介绍文档 GB/T 22240 .

活动描述

本活动主要包括以下子活动内容

a) 识别、分析行业／领域茧要性

主笞部门可组织梳理本行／领域的行业特征、业务范围、主要打会功能／职能和生产产值等信息、

分析主要社会功能／职能在保瘁国家安全经济发展、杜会秩序、公共服务等方面发挥的重要作用

bl 识别行业／领域的主要业务

00 C ll /T 2505 20 19

主管部门可组织梳理本行业／领域内主要依靠信息化处理的业务情况并按照业务承载的社会功

能／职能的茧要程度、其他行业对其的依赖程度等方面确定本行业／领坟内的主要业务．

c) 定级指导

主符部门可组织分析本行业／领域内的主要业务．井根据业务信息茧要性和务服务茧要性分析各

主要业务的安全保护要求结合行／领域自身情况，形成针对主要业务的行／领域定级指导惹见

省或者全国统联网运行的等级保护对象可以由主管部门统确定安全保护等级

d) 定级工作部署

主管部门可制定本行业／领域的定级指导意见，并统部署全行业／领域的定级工作行业／领域主

笞部门应对下屈单位的定级结果进行审核批准

活动输出行业／领域的业务总体描述文件．行业／领域定级指导意见，行业／翎域定级工作部署

文件

5.3 等级护对象分祈

5.3.1 象里要性分析

活动目标

通过收栠了韶有关等级保护对象的信息，井对信息进行综合分析和整理．分析单位的主要社会功

能／职能及作用．确定履行主要籵会功能／职能所依赖的等级保护对象整理等级保护对象处理的业务及

服务范围，最后依据分析和整理的内容有行业／领域定级指导意见的还应依据行业／领域定级指导惹

形成单位内等级保护对象的总体描述性文档

参与角色运营、使用单位网络安全服务机构

活动输入单位情况说明文档等级保护对象的立项建设和笞理文档／领域定级指导意见

活动描述

本活动主要包括以下子活动内容

• > 识别单位的基本信息

调查了蜕等级保护对象所屈单位的务范围主要社会功能／职能生产产值等信息，分析主要杜

会功能／职能在保库国家安全、经济发展、社会秩序、公共服务等方面发挥的鱼要作用

识别单位” 气级保护对象基本信息

了韶单位内主女长犹信息化处理的务情况，这些业务各自的社会屈性和务内容，确定单位的等

级保护对象井确定等级保护对象的务范围地理位笠以及其基本情况获得等级保护对象的背录

信息联络方式

c) 识别等级保护对象的管理框架

了觥等级保护对象的组织笞理结构智理策略部门设笠和部门在业务运行中的作用岗位职责，获

得支撑等级保护对象业务运营的官理特征和窅理框架方面的信息，从而明确等级保护对象的安全责任

主体

d> 识别等级保护对象的网络及设备部署

了解等级保护对象的物理环境网络拓扑结构硬件设备的部署情况在此基昢上明确等级保护对

象的边界，确定等级保护对象及其范围

c) 识别等级保护对象的业务特性

了韶单位内主要依崭信息化处理的各种务及业务流程明确支撑单位务运营的等级保护

对象的业务特性

{ ) 识别等级保护对象处理的信息资产

了觥等级保护对象理的信息资产的类型，这些信息资产在保密性、完整性和可用性等方面的亚要

0 0 G ll / 'f 20

性程度．

g) 识别用户范围和用户类型

根据用户或用户群的分布范围了韶等级保护对象的服务范围、作用以及业务连续性方面的要求等

等级保护对象描述

对收栠的信息进行整理、分析，形成对等级保护对象的总体描述文件个典型的等级保护对象的

总体描述文件应包含以下内容

1) 等级保护对象概述

2) 等级保护对象茧要性分析，

3) 等级保护对象边界描述

4) 网络拓扑

5) 设备部署；

6) 撑的业务应用的种类特性．

7) 处理的信息资产

8) 用户的范围和用户类型

9) 等级保护对象的官理框架

活动输出等级保护对象总体描述文件

5 . 3 . 2 定级对象确定

活动目标

依据单位的等级保护对象总体描述文件（有行业／锁坡定级指导惹见的还应依据行／领域定级指

导意见）在综合分析的基础上将单位内运行的等级保护对象进行合理分韶，确定所包含的定级对象及

其个数

参与角色运营、使用单位网络安全服务机构．

活动输人行业／领域定级指导意见行业／领域定级工作部署文件等级保护对象总体描述文件

GB/T 22240 ,

活动描述

本活动主要包括以下子活动内容

., 划分方法的选择

为了突出亚点保护的等级保护原则，运营、使用单位应对大型等级保护对象进行划分划分的方法

可以有多种可以考虑窅理机构业务类型物理位笠等因素运背、使用单位应根据本单位的具体情况

确定等级保护对象的分解原则

b) 等级保护对象划分

依据选择的等级保护对象划分原则，参考行业／领域定级指导意见（若有行业／锁域定级指导意见）

运营、使用单位应将大型等级保护对象进行划分划分出相对独立的对象作为定级对象应保证抖个相

对独立的对象具备定级对象的基本特征在等级保护对象划分的过程中应首先考虑组织笞理的要素

然后考虑业务类型物理区域等要素承载比较单的业务应用或者承载相对独立的业务应用的对象

应作为单独的定级对象．

对于电信网、广播电视传输网等通信网络设施应分依据安全责任主体、服务类型或服务地域等

因索将其划分为不同的定级对象跨省的行业或单位的专用通信网可作为个整体对象定级或分区

坡划分为若干个定级对象

在云计算环境中应将云服务客户侧的等级保护对象和云服务商侧的云计算平台／系统分别作为单

独的定级对象定级并根据不同服务捩式将云计

臼台／系统划分为不同的定级对象对于大型计算

平台宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象．

00 C ll /T 25058 2019

物联网主要包括感知、网络传输和处理应用等特征要素，应将以上要索作为个整体对象定级

要素不单独定级

对于 i:: 业控制系统．其般包含现场采栠／执行、现场控制、过程控制和生产笞理等特征要索．其

中，现场采栠／执行、现场控制、过程控制等要索应作为个整体对象定级各要索不单独定级生产笞理

要索宜单独定级对于大型工业控制系统可以根据系统功能、责任主体控制对象和生产厂商等因素

划分为多个定级劝象．

采用移动互联技术的等级保护对象主要包括移动终端、移动应用和无线网络等特征要素，可作为

个整体独立定级或与相关联业务系统起定级，各要索不单独定级．

c) 定级对象详细描述

在对等级保护对象进行划分井确定定级对象后，应在等级保护对象总休描述文件的基础上，进

培加定级对象的描述准确描述个大型等级保护对象中包括的定级对象的个数

步的定级对象详细描述文件应包含以下内容

I) 相对独立的定级对象列表

2) 每个定级对象的概述；

3) 每个定级对象的边界；

4) 每个定级对象的设备部署

5) 每个定级对象支撑的业务应用及其处理的信息资产类型

6) 定级对象的服务范围和用户类型，

7) 其他内容

活动输出定级对象详细描述文件

5.4 安全保护等级

5.4.1 定级核和

活动目标·

按照国家有关笞理规范和定级标准确定定级对象的安全保护等级，并对定级结果进行评市审核

和审查，保证定级结果的准确性．

参与角色主管部门运营、使用单位，网络安全服务机构

活动输人行业／领域定级指导意见等级保护对象总体描述文件定级对象详细描述文件

活动描述

本活动主要包括以下子活动内容

• > 定级对象安全保护等级初步确定

根据国家有关管理规范、行业／领域定级指导意见（若有则作为依据）以及定级方法运营、使用单位

对付个定级对象确定初步的安全保护等级．

b) 定级结杲评审

运营、使用单位初步确定了安全保护等级后，必要时可以组织网络安全专家和务专家对初步定级

结果的合理性进行评审井出具专家评审意见

c) 定级结果审核

运营、使用单位初步确定了安全保护等级后，有明确主管部门的应将初步定级结果上行业/~

主笞部门或上级主笞部门进行市核、批准．行业／领域主管部门或上级主笞部门应对初步定级结果的合

理性进行审核，出具审核惹见

运营使用单位应定期自查等级保护对象等级变悄况以及新建系统定级情况并及时上主管部

门进行审核、

r, G ll /T 20

活动输出定级结果主官部门审意见

5.4 . 2 形成定级报告

活动目标

对定级过程中产生的文档进行整理形成等级保护对象定级结果报告

参与角色主管部门运营使用单位

活动输入定级对象详细述文件．定级结果

活动描述

对等级保护对象的总体述文档、详描述文件、定级结果等内容行整理形成文件化的定级结

定级结果报告可以包含以内容

• > 单位信息现状概述，

bl 管理挨式；

c) 定级对象列表；

d ) 定级对象的概述

e) 每个定级对象的

定级对象的设备部署

g) 定级对象支撑的务应用

h ) 定级对象列表、安全保护等级以及保护要求合，

j )

其他内容

活动输安全保护等级定级

5 . 5 定级结果备案

活动目标

根据等级保护智理部门对备案的要．整理相关备案材料并向受理备案的单位提交备案材料

参与主答部门运营使用单位．等级保护管理部门

活动输人定级报告，主笞部门审核意，等级保护对象安全总休方案，安全详设计方案安全等

级测评报告（第三级及以上等级系统需要提供）

活动描述

本活动主要包括以子活动内容

a) 备案材料整理

运营、使用单位在等级保护对象建设之初根据其将承载的务信息及系统服务的直要确定等

级保护对象的安全保护等级并针对备案材料的要求整理、坟写备案材料

bl 备案材料提交

根据等级保护笞理部门的要办理定级备案手续提交备案材料（新建等级保对象在等级测评

完毕补充提交等级测评报告）等级保管理部门接收备案材料出具备案证明

活动输备案材料备案证明

6 总体安全规划

6 . 1 总体安全规划阶段的作流程

安全划阶段的目标是根据等级保对象的划分情、等级保护对象的定级情况、等级保护对

象承载务情况通过分析明确等级保对象安全需

．设计合理的等级保要求的总体安全方

00 并制定出安全实施计划以指导后续的等级保护对象安全连设

程实施

总体安全规划阶段的 T,. 作流程见图

祫入

主过

Cll/T 25058 2019

输出

守级保护对象并细描述文件

安全保护守级定级抒告

等级保护对象相关的其他文档

GB/ T 22239

安今需求分析

安全赞求分析栈告

行业基本买求

总体安全锁略文件

等圾保护对象详细缙述文件

安全保护笭级定级授告

GB/T2223 9

安全需求分析投告

行业基本买

总体安全没计

安全过设项日规划

总体安全规划阶段工作流程

6.2 安全盂求分

6.2.1 基本安全盂求的确定

活动目标：

根据等级保护对象的安全保护等级提出等级保护对象的基本安全保护需求

参与角色运营、使用单位网络安全服务机构

活动输入．等级保护对象详细描述文件，安全保护等级定级报告等级保护对象相关的其他文档

GB/T 22239 . 行业基本要求

活动描述：

木活动主要包括以下子活动内容

a) 确定等级保护对象范围和分析对象

明确不同等级的等级保护对象的范围和边界，通过调查或查阅资料的方式了觥等级保护对象的业

务应用、业务流程等情况．

b) 形成基本安全需求

根据各个等级保护对象的安全保护等级从 GB/T 22239 行业基本要求中选择相应等级的要求

成基本安全需求对于巳建等级保护对象应根据等级测评结果分析整改需求，形成基本安全需求

活动输出基本安全需求．

6.2.2 特殊安全盂求的确定

活动目标：

通过分析重要资产的特殊保护要求，采用需求分析或风险分析的方法，确定可能的安全风险，判断

实施特殊安全措施的必要性提出等级保护对

特殊安全保护需求．

参与角色运营、使用单位网络安全服务机构

00 G ll /T 20

活动输入等级保护对象详细描述文件，安全保护等级定级报告等级保护对象相关的其他文档．

活动描述

确定特殊安全需求可以采用目前成熟或流行的需求分析或风险分析方法，或者采用下面介绍的

活动

a) 亚要资产分析

明确等级保护对象中的茧要部件，如边界设备、网关设备、核心网络设备、重要服务器设备、茧要应

用系统等

bl 亚要资产安全弱点评估

检查或判断上述重要部件可能存在的弱点（包括技术和管理两方面）分析安全弱点被利用的可

能性．

cl 茧要资产面临威胁评估

分析和判断上述亘要部件可能面临的威胁包括外部、内部的威胁威胁发生的可能性或概率．

d ) 综合风险分析

分析威胁利用弱点可能产生的结果，结果产生的可能性或概率，结果造成的损害或影响的大，以

及澄免上述结果产生的可能性、必要性经济性．按照亚要资产的排序和风险的排序确定安全保护的

要求．

活动输出亚要资产的特殊保护要求

6.2.3 形成安全分析

活动目标

总结甚本安全需求和特殊安全需求，形成安全需求分析报告．

参与角色运营、使用单位网络安全服务机构．

活动输入等级保护对象详细描述文件，安全保护等级定级报告，基本安全需求，亚要资产的特殊保

护要求．

活动描述

本活动主要的子活动是完成安全需求分析报告．根据基本安全需求和特殊的安全保护需求等形成

安全需求分析报告

安全需求分析报告可以包含以下内容

a) 等级保护对象描述；

bl 基本安全需求描述；

c) 特殊安全需求描述

活动输出安全需求分析报告

6 . 3 总体安全设计

6 . 3 .1 体安全策略设计

活动目标

形成机构纲领性的安全策略文件，包括确定安全方针，制定安全策略以便结合等级保护基本要求

系列标准、行业基本要求和安全保护特殊要求构建机构等级保护对象的安全技术体系结构和安全笞理

体系结构对于新建的等级保护对象应在立项时明确其安全保护等级并按照相应的保护等级要求进

行总体安全策略设计

参与角色运营、使用单位网络安全服务机构．

活动输人等级保护对象详细描述文件，安全保护等级定级报告安全需求分析报告．

00 Cll / T 25 58 20

活动描述

本活动主要包括以下子活动内容

a) 确定安全方针

形成机构虽高层次的安全方针文件阐明安全工作的使命和意愿定义网络安全的总休目标，规定

网络安全责任机构和职连立安全 :r 作运行校式等．

b) 制定安全策略

形成机构高层次的安全策略文件，说明安全工作的主要策略，包括安全组织机构划分策略、业务系

统分级策略数据信息分级策略、等级保护对象互连策略信息流控制策略等．

活动输出总体安全策略文件

6 . 3 . 2 安全术体系结构设

活动目标

根据 GB/T 22239 行业基本要求、安全需求分析报告机构总休安全策略文件等，提出等级保护对

象需要实现的安全技术措施形成机构特定的等级保护对象安全技术休系结构，用以指导等级保护对象

分等级保护的具体实现．

参与角色运营、使用单位网络安全服务机构。

活动输人总体安全策略文件等级保护对象详细描述文件安全保护等级定级报告，安全需求分析

报告， GB/T 22239 . 业基本要求。

活动描述

本活动主要包括以下子活动内容

a) 设计安全技术体系架构

根据机构总体安全策略文件、 GB/T 22239 行业基本要求和安全需求设计安全技术体系架构．安

全技术防护体系由从外到内的＂纵深防徇“体系构成，物理环境安全防护“保护服务器网络设备以及其

他设备设施免沼地菜、火灾、水灾｀盗窃等事故导致的 l..... 了通信网络安全防护“保护县露于外部的通信

线路和通信设备，网络边界安全防护“对等级保护对象实施边界安全防护，内部不同级别定级劝象尽炽

分别部署在相应保护等级的内部安全区域低级别定级对象部署在高等级安全区坡时应遴循”就高保

护“原则，内部安全区域即“计算环境安全防护“将实施“主机设备安全防护“和“应用和数据安全防护”

安全管理中心”对整个等级保护对象实施统的安全技术管理．

等级保护对象的安全技术体系架构见图 4.

用和妇召安全

机设备安全防护

网络边界安全防护

遴仿网络安全防护

物堁填安全防护

级保护象的安全技术体系架构

II G ll /T 20

b) 规定不同级别定级对象物理环境的安全保护技术惜施

根据机构总安全策略文件等级保护基本要求和安全需求提出不同级别定级对象物理环境的安

全保护策略和安全技术措施定级对象物理环境安全保护策略和安全技术惜施提出时应考虑不同级别

的定级对象共享物理环境的情况．如果不同级别的定级对象共享同物理环境·物理环境的安全保护策

略和安全技术措施应满足最高级别定级对象的等级保护基本要求．

c) 规定通信网络的安全保护技术措施

根据机构总体安全策略文件、等级保护基本要求和安全需求，提出通信网络的安全保护策略和安全

技术措施．通信网络的安全保护策略安全技术措施提出时应考虑网络线路和网络设备共享的情况

如果不同级别的定级对象通过通信网络的同线路和设备传输数据，线路设备的安全保护策略和安

全技术措施应满最高级别定级对象的等级保护基本要求．

d ) 规定不同级别定级对象的边界保护技术捎施

根据机构总安全策略文件、等级保护基本要求和安全需求提出不同级别定级对象边界的安全保

护策略和安全技术措施．如果不同级别的定级对象共享同设备进行边界保护则该边界设备的安全

保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求

c) 规定定级对象之间互联的安全技术措施

根据机构总安全策略文件、等级保护基本要求和安全需求提出跨局域网互联的定级对象之间的

信息传输保护策略要求和具体的安全技术捎施包括同级互联的策略不同级别互联的策略等，提出局

域网内部互联的定级对象之间的信息传输保护策略要求和具的安全技术保护捎施，包括同级互联的

策略、不同级别互联的策略等

/) 规定不同级别定级对象内部的安全保护技术措施

根据机构总体安全策略文件、等级保护扛本要求和安全需求，提出不同级别定级对象内部网络平

系统平台、业务应用和数据的安全保护策略和安全技术保护措施．如果低级别定级对象部器在弃级

别定级对象的网络区域，则低级别定级对象的系统平台、业务应用和数据的安全保护策略和安全技术措

施应满足裔级别定级对象的等级保护基本要求．

g) 规定云计算、移动互联等新技术的安全保护技术捎施

根据机构总安全策略文件等级保护基本要求、行业基本要求和安全需求，提出计算、移动互联

等新技术的安全保护策略和安全技术措施。云计算平台应至少满足其承载的最高级别定级对象的等级

保护其本要求．

h) 形成等级保护对象安全技术体系结构

将晋干网或城域网通过骨干网或城域网的定级对象互联、局域网内部的定级对象互联定级对象

的边界、定级对象内部各类平台机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总

成等级保护对象的安全技术体系结构

活动输出等级保护对象安全技术体系结构．

6 . 3.3 体安全笞理体结构

活动目标

根据等级保护基本要求系列标准行业基本要求、安全需求分析报告机构总体安全策略文件等

整原有管理栈式和音理策略既从全局高度考虑为和个等级的定级对象制定统的安全管理策略又从

姆个定级对象的实际需求出发选择和调整具体的安全管理捎施级后形成统的整安全管理体系

结构．

参与角色运营使用单位网络安全服务机构．

活动输人总体安全策略文件，等级保护对象详细描述文件，安全保护等级定级报告安全需求分析

GB/T 22239 . 行业基本要求

00 C ll /T 2505 20 19

活动描述

本活动主要包括以下子活动内容

a) 设计等级保护对象的安全笞理休系框架

根据等级保护其本要求系列标准基本要求、安全需求分析报告等．设计等级保护对象安全管

理体系框架等级保护对象安全窅理体系框架分为四层层为总方针、安全策略，通过网络安全

总体方针安全策略明确机构网络安全工作的总体目标范围、原则等第二层为网络安全管理制度．通

过对网络安全活动中的各类内容建立笞理制度，约束网络安全相关行为．第三层为安全技术标准、操作

规程通过对管理人员或操作人员执行的日常管理行为建立操作规程规范网络安全窅理制度的具体技

术实现细节第四层为记录、表单网络安全笞理制度、操作规程实施时需坟和需保贸的表单、操作

记录．

等级保护对象的安全笞理体系框架见图 s.

总体方针

安会策略

网络安企管理制度

技术标准、操作戍程

记呆、农单

等级护对安全苦理体

b ) 规定网络安全的组织管理系和对不同级别定级对象的安全管理职责

根据机构总体安全策略文件等级保护基本要求系列标准、行基本要求和安全需求，提出机构的

安全组织管理机构框架分配不同级别定级对象的安全管理职责、规定不同级别定级对象的安全管理策

略等

c) 规定不同级别定级对象的人员安全笞理策略

根据机构总体安全策略文件、等级保护基本要求系列标准、行基本要求安全需求，提出不同级

别定级对象的管理人员框架分配不同级别定级对象的管理人员职责、规定不同级别定级对象的人员安

全笞理策略等

d> 规定不同级别定级对象机房及办公区等物理环境的安全管理策略

根据机构总体安全策略文件等级保护基本要求系列标准、行基本要求安全需求，提出各个不

同级别定级对象的机房和办公环境的安全策略

e ) 规定不同级别定级对象介质、设备等的安全笞理策略

根据机构总体安全策略文件、等级保护基本要求系列标准、行基本要求安全需求，提出各个不

同级别定级对象的介质、设备等的安全策略．

f) 规定不同级别定级对象运行安全管理策略

根据机构总体安全策略文件等级保护基本要求系列标准、行基本要求安全需求，提出各个不

同级别定级对象的安全运行与维护框架和运维安全策略等

13 G ll /'f 25058 2019

g) 规定不同级别定级对象安全事件处笠和应急管理策略

根据机构总体安全策略文件等级保护基本要求系列标准行业基本要求和安全需求提出各个不

同级别定级对象的安全事件处笠和应急笞理策略等．

h) 形成等级保护对象安全窅理策略框架

将上述各个方面的安全窅理策略进行整理、汇总形成等级保护对象的整体安全管理体系结构．

活动输出等级保护对象安全管理体系结构

6 . 3 . 4 设计结果文档化

活动目标

将总体安全设计工作的结果文档化，最后形成指导机构网络安全工作的指导性文件．

参与角色运、使用单位网络安全服务机构．

活动输人安全需求分析报告，等级保护对象安全技术体系结构等级保护对象安全答理休系结构．

活动描述

对安全需求分析报告、等级保护对象安全技术休系结构和安全笞理体系结构等文档进行整理形成

等级保护对象总体安全方案

等级保护对象总体安全方案包含以下内容

a) 等级保护对象概述，

b) 总体安全策略，

c) 等级保护对象安全技术体系结构

d) 等级保护对象安全智理体系结构．

活动输出等级保护对象安全总体方案

6 .4 安全连设项规划

6 .4.1 安全建设确定

活动目标

依据等级保护对象安全总体方案（个或多个文件构成）、单位信息化建设的长期发展规划和机

构的安全建设资金状况确定各个时期的安全建设目标．

参与角色运营、使用单位网络安全服务机

活动输人等级保护对象安全，(

方案机构或单位信息化建设的中长期发展规划

活动描述

本活动主要包括以下子活动内容

., 信息化建设中长期发展规划和安全求调查

了韶和洞查单位信息化建设的现况、中长期信息化建设的目标、主笞部门对信息化的投入，对比信

息化建设过程中阶段状态与安全策略规划之间的差距分析急迫和关键的安全问题考虑可以同步进行

的安全建设内容等．

b) 提出等级保护对象安全建设分阶段目标

制定等级保护对象在规划期内（般安全规划期为年）所要实现的总体安全目标；制定等级保护

对象短期 (1 年以内）要实现的安全目标主要斛决目前急迫和关键的问题，争取在短期内安全状况有大

辐度提高．

活动输出等级保护对象分阶段安全连设目标．

6 .4. 2 安全建设内容规

活动目标

00 Cll / T 25 58 20

根据安全建设目标和等级保护对象安全总体方案的要求设计分期分批的主要建设内容．井将建设

内容组合成不同的项目闸明项目之间的依赖或促进关系等．

参与角色·运营、使用单位网络安全服务机构．

活动输人等级保护对象安全总体方案，等级保护对象分阶段安全建设目标

活动描述

本活动主要包括以下子活动内容

•> 确定主要安全建设内容

根据等级保护对象安全总体方案明确主要的安全建设内容，并将其适当的分韶．主要建设内容可

能分韶为但不限于以下内容

1) 安全基础设施建设；

网络安全连设；

3) 系统平台和应用平台安全建设

4) 数据系统安全建设，

5) 安全标准体系建设；

6) 人才培养休系廷设；

7) 安全管理体系廷设

b) 确定主要安全建设项目

将安全建设内容组合为不同的安全建设项目，描述项目所斛决的主要安全问题及所要达到的安全

目标，对项目进行支持或依赖等相关性分析，对项目进行紧迫性分析对项目进行实施难易程度分析，对

项目进行预期效果分析描述项目的具体工作内容，走设方案形成安全走设项目列表．

活动输出安全建设项目列表（含安全建设内容）．

6 . 4 . 3 成安全设项规划

活动目标

根据建设目标和廷设内容在时间和经费上对安全建设项目列表进行总体考虑．分到不同的时期和

阶段，设计建设顺序进行投资估算形成安全建设项目规划．

参与角色运营、使用单位网络安全服务机构．

活动输人等级保护对象安全总体方案等级保护对象分阶段安全建设目标安全建设内容等．

活动描述

对等级保护对象分阶段安全建设目标安全总体方案和安全建设内容等文档进行整理．形成等级保

护对象安全建设项目规划．

安全建设项目规划可包含以下内容

a) 规划建让

依据和原则；

b) 规划建设的目标和范围，

c) 等级保护对象安全现状；

dl 信息化的中长期发展规划；

el 等级保护对象安全建设的总体框架，

f )

安全技术体系建设规划，

g) 安全答理与安全保捺体系建设规划；

h) 安全建设投资估算（含测试及运维估算等内容）

i) 等级保护对象安全建设的实施保隐等内容．

活动输出等级保护对象安全建设项目规划．

15 G ll /'f 20

7 安全设计与实施

7. 1 安全设计与实施阶段的作流程

安全设计与实施阶段的目标是按照等级保护对象安全总体方案的要求．结合等级保护对象安全建

设项目规划分期分步落实安全措施

安全设计与实施阶段的工作流程见图 6.

轮入

安企总体方案

安全尥设项目栈划

主妥过程

各类信息技产品和仿从

安全产品技说明贷料

网络安全股务内评价

安全方案详设计

恰入

主要过程

招泣的实现

轮出

需采购的网络

全产品能｀功能和安全婴求

成股务机的能力妥（可为涾中

极式）

安全控制开发过程相关文行与记朵

安企控制菜成报告

验收扑它

交付消单

耸入

安全详细设计方

安全成员及角色说明书

安全设计与实诧阶段参与

方相关进度控纠和质量监奇

文档

安全设计与实施阶段

7.2 安全方案详细设计

7 . 2 .1 技术措施实现内容的设计

活动目标

给出

主婴过程

叩沿旌的实现

输出

安全策咯

各项管理斛度和操作规范

岱埋朋度评审阳记承

机构、儿色与职责说明书

培训记汝及上岗资证书

各阶段行理过程文档和记杂

根据建设目标和建设内容将等级保护对象安全总休方案中要求实现的安全策略安全技术体系结

构、安全措施和要求落实到产品功能或物理形态上提出能够实现的产品或组件及其具体规范井将产

能特征整理成文档使得在络安全产品采购和安全控制的开发阶段具有依据

参与角色运营、使用单位网络安全服务机构网络安全产品供应商

活动输入安全总体方案安全建设项目规划各类信息技术产品和网络安全产品技术说明资料、网

络安全服务机构评价材料

活动描述

本活动主要包括以子活动内容

a ) 结构框架的设计

依据本次实施目的建设内容等级保护对象的实际情况，与总体安全规划段的安全体系

结构致的安全实现技术框架内容至少包括安全防护的层次、网络安全产品的使用网络子系统划分

IP 地址规划、云计算桵式的取（如有）、移动互的接入方式（如有）等

1 6

00 C ll /T 25058 2019

b) 安全功能要求的设计

对安全实现技术框架中使用到的相关网络安全产品如防火墙、 VPN 网闸认证网关代理服务

器、网络防病举、 PK! 、云安全防护产品、移动终端应用软件与防护产品等提出安全功能指标要求．对需

要开发的安全控制组件提出安全功能指标要求

c) 性能要求的设计

对安全实现技术框架中使用到的相关网络安全产品如防火墙 VPN 、网认证网关代理服务

器、网络防病话、 PK! 立：安全防护产品｀移动终端应用软件与防护产品等提出性能指标要求对需要开

发的安全控制组件提出性能指标要求．

d) 部著方案的设计

结合目前等级保护对象网络拓扑以图示的方式给出安全技术实现框架的实现方式，包括网络安全

产品或安全组件的部器位笠、连线方式 IP 地址对于需对原有网络进行调整的给出网络调整

的图示方案等．

e) 制定安全策略的实现计划

依据等级保护对象安全总休方案中提出的安全策略的要求制定设计和设笠网络安全产品或安全

组件的安全策略实现计划

活动输出技术措施实施方案

7.2.2 苦理措施实容的设计

活动目标

根据等级保护对象运营、使用单位当前安全管理需要和安全技术保熙需要提出与等级保护对象安

全总体方案管理部分相适应的本期安全实施内容以保证在安全技术建设的同时安全管理得以同步

建设．

参与角色运营、使用单位网络安全服务机构

活动输入安全总体方案安全建设目规划

活动描述

结合等级保护对象实际安全笞理需要和本次技术建设内容确定本,. "c 全符理建设的范围和内容

同时注意与等级保护对象安全总体方案的致性安全笞理设计的内 ti-.:t: 要考虑安全策略和官理制

度制定、安全管理机构和人员的配套安全建设过程管理等

活动输出管理措施实施方案．

7.2.3 计结档化

活动目标

将技术捎施实施方案、营理措施实施方案汇总，同时考虑工时和成本．最后形成指导安全实施的指

导性文件

参与角色运营、使用单位网络安全服务机构

活动输人：技术措施实施方案官理措施实施方案

活动描述

对技术捎施实施方案中技术实施内容和智理措施实施方案智理实施内容等文档进行整理，形成

等级保护对象安全洼设详细设计方案．

安全详细设计方案包含以下内容

a )

建设目标建设内容．

b) 技术实现方案．

c) 网络安全产品或组件安全功能及性能要求，

0 0

17 G ll / 'f 20

d) 网络安全产品或组件部署

e) 安全控制策略和配翌，

f) 配套的安全笞理建设内容

g) 工程实施计划；

h) 项目投资概算

活动输出安全详细设计方案．

7.3 技术措施的实现

7.3.1 网络安全产品或服务采购

活动目标

按照安全详细设计方案中对于产品或服务的具体指标要求进行采购，根据产品、产品组合或服务实

现的功能、性能和安全性满足安全设计要求的情况来选购所需的网络安全产品或服务．

参与角色网络安全产品供应商，网络安全服务机构运营、使用单位测试机构

活动输人安全详细设计方案．相关供应商及产品信息．

活动描述

本活动主要包括以下子活动内容

a) 制定产品或服务采购说明书

网络安全产品或服务选型过程首先依据安全详细设计方案的设计要求，制定产品或服务采购说明

书，对产品或服务的采购原则采购范围、技术指标要求、采购方式等方面进行说明对于产品的功能、

性能和安全性指标可以依据第三方测试机构所出具的产品测试报告也可以依据用户自行组织的网络

安全产品功能、性能和安全性选型测试结果对于安全服务的采购需求应具有内部或外部针对网络安

全服务机构的评价结果作为参考．

bl 选择产品或服务

在依据产品或服务采购说明书对现有产品或服务进行选择时不仅要考虑产品或服务的使用环境

安全功能、成本（包括采购和维护成本）易用性、可扩展性与其他产品或服务的互动和兼容性等因索

还要考虑产品或服务的质位和可信性．产品或服务可信性是保证系统安全的甚础用户在选择网络安

全产品时应确保符合国家关于网络安全产品使用的有关规定对于密码产品的使用应按照国家密码

管理的相关规定进行选择和使用对千网络安全服务应选取有相关翎域资质的网络安全服务

机构．

活动输出需采购的网络安全产品性能、功能和安全要求或服务机构的能力要求（可为清单桵式）．

7.3.2 安全控制的开发

活动目标

对于些不能通过采购现有网络安全产品来实现的安全措施和安全功能，通过专门进行的设计、开

发来实现．安全控制的开发应与系统的应用开发同步设计、同步实施，而应用系统旦开发完成后，再

培加安全措施会造成很大的成本投人。因此，在应用系统开发的同时要依据安全详细设计方案进行安

全控制的开发设计保证系统应用与安全控制同步建设

参与角色运营使用单位网络安全服务机构．

活动输人安全详细设计方案

活动描述

本活动主要包括以下子活动内容

a) 安全措施需求分析

00 C!l/T 25058 20 19

以规范的形式准确表达安全方案设计中的指标要求，在采用云计算、移动互联等新技术悄况下分析

特有的安全威胁确定对应的安全措施及其同其他系统相关的接口细节

b) 概要设计

概要设计要考虑安全方案中关于身份鉴别访问控制、安全审计、软件容错资源控制数据完整性、

数据保密性、数据备份恢复、剩余信息保护和个人信息保护等方面的指标要求设计安全措施校块的

系结构．定义开发安全措施的桵块组成定义钳个校块的主要功能和筷块之间的接口．

c) 详细设计

依据概要设计说明书将安全控制的开发进一步细．对知个安全功能模块的接口，函数要求，各接

之间的关系，各部分的内在实现机理都要进行详的分析和细化设计．

按照功能的需求和桵块划分进行各个部分的详细设计包含接口设计和管理方式设计等详细设

计是设计人员根据概要设计书进行根块设计将总体设计所获得的校块按照单元程序、过程的顺序逐

步细，详细定义各个单元的数据结构、程序的实现算法以及程序、单元、模块之间的接口等，作为以后

编码工作的依据

d) 编码实现

按照设计进行硬件调试和软件的编码在编码开发过程中要关注硬件组合的安全性和编码的安

全性．开展论证测试并保留论证和测试记录

el 测试

开发基本完成要进行功能和安全性测试保证功能和安全性的实现。安全性测试需要涵盖基线安

笠扫描渗透测试第三级以上系统应进行源代码安全审核如有行内或新技术专项要求，应开

展专项测试．如国家电子政务领域的络安全等级保护三级测评云计算环境安全控制措施测评、移动

终端应用软件安全测试等

[ ) 安全控制的开发过程文档化

安全控制的开发过程需要将概要设计说明书、详设计说明书、开发测试报告以及开发说明书等整

理归档

活动输安全控制的开发过程相关文档与记录

7.3.3 安全控制栠成

活动目标

将不同的软硬件产品进行粲成，依据安全详设计方案，将网络安全产品、系统软件平台开发的

安全控制校块与各种应用系统综合整合成为系统安全控制栠成的过程可以运营使用单位与网

络安全服务机构共同参与、相互配合安全实施、风险控制、质泣控制等有机结合起来实现安全态势

感知监测通报预菩、应急笠追踪溯源等安全措施构建统安全笞理平台

参与角色运营、使用单位网络安全服务机构

活动输人安全详细设计方案

活动描述

本活动主要包括以下子活动内容

• > 集成实施方案制定

主要工作内容是制定栠成实施方案栠成实施方案的目标是具体指导工程的建设内容、方法规范

实施方案有别于安全设计方案的个显著特征是其可操作性很强要具休落实到产品的安装部署

，实施方案是

荎设的具体指导文件

b ) 栠成准备

主要工作内容是对实施环境进行准备包括硬件设备准备、软件系统准备、环境准备为了保证系

统实施的质证网络安全服务机构应依据系统设计方案制定套可行的系统质益控制方案以便有效

19 G ll / 'f 25058 2019

地指导系统实施过程该质益控制方案应确定系统实施各个阶段的质垃控制目标、控制措施、工程质证

问题的处理流程、系统实施人员的职责要求等井提供详细的安全控制栠成进度表

c) 栠成实施

主要工作内容是将配笠好策略的网络安全产品和开发控制桵块部著到实际的应用环境中井调整

相关策略．粲成实施应严格按照栠成进度安排进行出现问题各方应及时沟通．系统实施的各个环节

应辽照质证控制方案的要求分别进行系统栠成测试．逐步实现质识控制目标例如综合布线系统施

工过程中应及时利用网络测试仪测定线路质拉．及早发现井觥决质益问题

d ) 培训

等级保护对象建设完成后安全服务提供商应向运营、使用单位提供等级保护对象使用说明书及建

设过程文档同时需要对系统维护人员进行必要培训培训效果的好坏将宜接影响到今后系统能否安全

运行

c) 形成安全控制栠成报告

应将安全控制栠成过程相关内容文档．并形成安全控制集成报告，其包含栠成实施方案｀质泣控

制方案、栠成实施报告以及培训考核记录等内容．

活动输出安全控制栠成报告

7.3.4 统验收

活动目标

检验系统是否严格按照安全详细设计方案进行建设是否实现了设计的功能性能和安全性．在安

全控制组成作完成后系统测试及验收是从总体出发，对整个系统进行集成性安全测试包括对系统

运行效率和可称性的测试也包括管理捎施落实内容的验收．

参与角色运营、使用单网络安全服务机构测试机构

活动输入安全详细设计方案，安全控制集成报告．

活动描述

本活动主要包括以下子活动内容

., 系统验收准备

安全控制的开发．栠成完成后，要根据安全设计方案中需要达到的安全目标，准备验收方案验收

方案应立足于合同条款｀需求说明书和安全设计方案充分体现用户的安全需求．

成立验收 T. 作组对验收方案进行审核，组织制定呛收计划｀定义验收的方法和验收通过准则．

bl 组织俭收

由验收 T. 作组按照验收计划负责组织实施组织测试人员根据已通过评审的系统验收方案对等级

保护对象进行验收测试．验收测试内容结合详细设计方案对等级保护对象的功能性能和安全性进

测试其中功能测试涵盖功能性、可靠性易用性、维护性、可移植性等性能测试涵盖时间特性和资源特

性，安全性测试涵盖计算环境区域边界和通信网络的安全机制验证

e) 验收

在测试完成后形成验收报告，验收告需要用户与建设方进行确认．验收报告将明确给出验收的

结论·安全服务提供商应根据验收意见尽快修正有关问题茧新进行验收或者转人合同争议处理程序．

如果是网络安全等级保护三级（含）以上的等级保护对象，需提交等级保护测评报告作为验收必要

d) 系统交付

在等级保护对象验收通过以后，要进行等级保护对象的交付需要安全服务机构提交系统建设过程

中的文档、指导用户进行系统运行维护的文档、服务承访书

活动输出验收报告交付清单

00 C ll /T 25058 2019

7.4 智理措施的实

7 .4.1 安全苦理制度的建设和修

活动目标

依据国家网络安全相关政策、标准、规范制定、修订并落实与等级保护对象安全管理相配套的、包

括等级保护对象的建设、开发、运行雏护升级和改造等各个阶段和环节所应遴循的行为规范和操作

规程

参与角色运营、使用单位网络安全服务机构

活动输人安全详细设计方案

活动描述

本活动主要包括以下子活动内容

.) 应用范围明确

管理制度洼立首先要明确制度的应用范围．如机房皆理、账户笞理、远程访问管理、特殊权限笞理、

设备管理变更管理、资源管理等方面．

1, ) 行为规范规定

管理制度是通过制度化、规范化的流程和行为约束．来保证各项笞理,:: 作的规范性

评估与完善

制度在发布、执行过程中要定期进行评估．保贸评估或评审记录．根据实际环境和情况的变．对

制度进行修改和完善规范总体安全方针安全管理制度安全操作规程、安全运维记录和表单四层体系

文件的致性，必要时考虑管理制度的重新制定，井保留版本修订记录．

活动输出安全策略、各项笞理制度和操作规范管理制度评审修订记录．

7 .4.2 安全苦理机构和人员的设翌

活动目标

建立配套的安全笞理职能部门通过智理机构的岗位设笠、人员的分,:: 和岗位培训以及各种资源的

配备，保证人员具有与其岗位职责相适应的技术能力和管理能力为等级保护对象的安全管理提供组织

上的保院．

参与角色运营、使用单位等级保护对象笞理人员，网络安全服务机构

活动输人安全详细设计方案，安全成员及角色说明书，各项管理制度和操作规范．

活动描述

本活动主要包括以下子活动内容

• > 安全组织确定

识别与网络安全管理有关的组织成员及其角色，例如操作人员、文档管理员、系统悟理员、安全笞

理员等．形成安全组织结构表

b) 角色说明

以书面的形式详细描述钳个角色与职责明确相关岗位人员的责任和权限范围并要征求相关

的意见，要保证责任明确确保所有的风险都有人负责应对

c) 人员安全管理

针对普通员丁、笞理员、开发人员主笞人员以及安全人员开展特定技能培训和安全意识培训，培训

后进行考核，合格者颁发上岗资格证书等

活动输出机构、角色与职责说明书培训记录及上岗资格证书等．

2 1 G ll /'f 20

7 . 4.3 安全实施过程苦理

活动目标

在等级保护对象定级规划设计实施过程中程的质泣、进度文档和变更等方面的作进行

监督控制和科学笞理．

参与角色运营、使用单位．网络安全服务机构网络安全产品供应商

活动输入安全设计与实施阶段参与各方相关进度控制和质砍监督要求文档．

活动描述

本活动主要包括以下子活动内容

a) 整体管理

体笞理需要在等级保护对象建设的整个生命周期内围绕等级保护对象安全级别的确定、整体计

划制定、执行和控制通过资源的整合将等级保护对象建设过程中所有的组成要素在恰当的时间、正确

的地方合适的人物结合在在相互影响的具目标和方案中权衡和选择尽可能地消除各单项笞

理的局限性保证各要索（进度．成本、质址和资源等）相互协讽

b) 质妞管理

在创廷等级保护对象的过程中，要建立个不断测试和改进质益的过程．在整个等级保护对象的生

命周期中通过测议、分析和修正活动，保证所完成目标和过程的质点

c) 风险管理

为了识别、评估和减低风险以保证工程活动和全部技术工作项目均得到成功实施．在整个等级保

护对象廷设过程中，风险笞理要贯穿始终．

d) 变更管理

在等级保护对象建设的过程中．于各种条件的变化会导致变更的出现．变更发生在程的范围、

进度、质证、成本、人力资源、沟通和合同等多方面．钳次的变更处理应辽循同样的程序即相同的文

字报告、相同的笞理办法相同的监控过程．应确定知次变更对系统成本进度．风险和技术要求的影

响。旦批准变更·应设定个程序来执行变更．

e) 进度管理

等级保护对象建设的实施必须要有组明确的可交付成果同时也要求有结束的日期因此在建

设等级保护对象的过程中，应制订项目进度计划绘制进度网络图．将系统分觥为不同的子任务井进行

时间控制确保项目的如期完成

文档管理

文档是记录项目整个过程的书面资料，在等级保护对象建设的过程中，针对钳个环节都有大伍的文

档输出文档笞理涉及等级保护对象建设的各个环节主要包括系统定级规划设计方案设计、安全实

施系统验收、人员培训等方面

活动输出各阶段答理过程文档和记录．

8 安全运行与维

8 . 1 安全运行与维作流程

安全运行与维护是等级保护实施过程中确保等级保护对象正常运行的必要环节．涉及的内容较多

包括安全运行与维护机构和安全运行与维护机刑的建立环境资产、设备、介质的管理，网络、系统的答

理·密码密钥的答理运行变更的管理．安全状态监控和安全车件处笠安全审计和安全检查等内容．

本标准井不对上述所有的智理过程进行描述，希望全面了焰和控制安全运行与维护阶段各类过程的本

标准使用者可以参见其标准或指南．

00 Cll/T 25058 2019

本标准关注安全运行与维护阶段的运行官理和控制．变更管理和控制安全状态监控、安全自查和

持续改进服务商管理和监控、等级测评以及监督检查等过程安全运与维护阶段的主要过程见图 7.

埴入

安全详细设计方案

安全组织机

运行管理需求

安全详细设计方案

系统验收

等级保护对象汴细述文

变更结果报告

安全状态分析报告

远甘、使用珀位绢织机构及职毋分

各类安企事件列 'ii!

网络流鼠．日志信息，性能信息

耍过程

运行管理和

变更眢现和控制

安全状态

安全百和待续改进

JJl 务商眢戌和监控

等级捐评

监督检在

应急响应保均

安全运行与维护阶段工作流程

8.2 运行智理和控制

8.2.1 运行苦理职赉确定

活动目标

扭出

行理员约色和职贵农

各类运行行理操作规栓

应急组织机以急组织职贵分

急组织内、外部联系表

总怂沃练脚本 ,;;. 总演练总结

安全扣件报告程序

安企状态分析报告

各类专项应急预案

网络安全事件报心农

安全事件报告界序

安全平件处万报告

安全事件总结报告

安全平件改进报告

应色保降粉资济单

通过对运行管理活动或任务的角色划分，并授予相应的答理权限来确定安全运行笞理的具体人员

和职责应至少划分为系统笞理员安全答理员和安全审计员

参与角色运营、使用单位．

23 G ll / 'f 20

活动输入安全详细设计方案．安全组织机构表．

活动描述

本活动主要包括以下子活动内容

a) 划分运行管理角色

根据管理制度和实际运行官理需求，划分运行管理需要的角色及用户，并系统管理员创建角色及

用户．越弃安全保护等级的运行管理角色划分越细．

bl 授予管理权限

根据管理制度和实际运行笞理需要．安全管理员授予的一个运行砦理角色及用户不同的管理权

安全保护等级越高的系统笞理权限的划分也越细

c) 定义人员职责

根据不同的安全保护等级要求的控制粒度分析所需要运行笞理控制内容，井以此定义不同运行笞

理角色的职责由安全市计员对系统管理员安全笞理员操作日志进行市计

活动输出运行答理人员角色和职责表．

8 .2.2 运行菩理过程

活动目标

通过制定运行笞理操作规程．确定运行管理人员的操作目的操作内容操作时间和地点、操作方法

和流程等井进行操作过程记录确保对操作过程进行控制．

参与角色运营使用单位．

活动输人运行官理需求运行管理人员角色和职责表

活动描述

本活动主要包括以下子活动内容

a) 建立操作规程

将操作过程或流程规范．井形成指导运行笞理人员工作的操作规程操作规程作为正式文件处

理．操作规程应至少贾盖运维人员、使用用户等的各类操作，如移动介质使用规程终端使用规程、数

据库操作规程等．安全保护等级越离的系统，对更多的操作要形成操作规程文件

bl 操作过程记录

对运行笞理人员按照操作规程执行的操作过程形成相关的记录文件，可能是日志文件记录操作的

时间和人员、正常或异常等信息．

活动输出各类运行笞理操作规程．

8 .3 变更理和控制

8.3. 1

求和影响分祈

活动目标

通过对运行与维护过程中的变更需求和变更影响的分析，来确定变更的类别计划后续的活动

内容．

参与角色运营使用单位

活动输人变更需求

活动描述

本活动主要包括以下子活动内容

a) 变更需求分析

对运行与维护过程中的变更需求进行分析确定变更的内容、变更资源需求和变更范围等．判断变

00 C ll /T 25058 2019

更的必要性和可行性．

b ) 变更影响分析

对运行与维护过程中的变更可能引起的后果进行判断和分析、确定可能产生的影晌大小、确定进行

变更的先决条件和后续活动等．

c) 明确变更的类别

确定等级保护对象是局部调整还是重大变更．如果是由等级保护对象类型发生变化、承载的信息

资产类型发生变、等级保护对象服务范围发生变务处理自动化程度发生变化等原因引起等级

保护对象安全保护等级发生变化的茧大变更则需要重新确定等级保护对象安全保护等级．返回到等级

保护实施过程的等级保护对象定级阶段如果是局部调整．则确定需要配套进行的其工作内容

dl 制定变更方案

根据 a) bl cl 的结果制定变更方案．

活动输出·变更方案

8.3.2 变更过程控制

活动目标

确保运行与维护过程中的变更实施过程受到控制，各项变化内容进行记录，保证变更对业务的影咐

小．

参与角色运营、使用单位．

活动输入·变更方案．

活动描述

本活动主要包括以下子活动内容

a ) 变更内容审核

对变更目的、内容、影咱、时间和点以及人员权限进行审核，以确保变更合理、科学的实施．按

机构建立的审流程对变更方案进行审批．

b ) 建立变更过程日志

按照准的变更方案实施变更对变更过程各类系统状态、各种操作活动等建立操作记录或日志．

c) 形成变更结果报告

收栠变更过程的各类相关文档整理、分析和总结各类数据形成变更结果报告井归档保存

活动输出

结果报告

8.4 安全状态监控

8.4.1 监控对象确

活动目标

确定可能会对等级保护对象安全造成影响的因索．确定安全状态监控的对象

参与角色运营、使用单位．

活动输人安全详细设计方案系统验收报告等

活动描述

本活动主要包括以下子活动内容

a ) 安全关键点分析

对影响系统、业务安全性的关锭要索进行分析，确定安全状态监控的对象，这些对象可能包括防火

墙、入佞检测、防病猛、核心路由器｀核心交换机、主要通信线路、关键服务器或客户端等系统范围内的对

，也可能包括安全标准和法律法规等外部对象

2 5 G ll / 'f 25058 19

bl 形成监控对象列表

根据勤定的监控对象分析监控的必要性和可行性、监控的开销和成本等因索．形成监控对象列表．

活动输出监控对象列表

8 .4. 2 监控对象状态息收

活动目标

选择状态监控工具收栠安全状态监控的信息识别和记录人佞行为对等级保护对象的安全状态

行监控

参与角色运营、使用单位

活动输人监控对象列表．

活动描述

本活动主要包括以下子活动内容

a) 选择监控工具

根据监控对象的特点、监控笞理的具体要求、监控工具的功能、性能特点选择合适的监控工具

监控具也可能不是自动化的工具．而只是由各类人员构成的遵循定规则进行操作的组织或者是两

者的综合．

b) 状态信息收集

收栠来自监控对象的各类状态信息．可能包括网络流试、日志信息、安全报菩和性能状况等；或者是

来自外部环境的安全标准和法律法规的变更信息．

活动输出安全状态信息．

8 .4. 3 监控析和

活动目标

通过对安全状态信息进行分析，及时发现安全事件或安全变更需求并对其影响程度和范围进行分

析，形成安全状态结果分析报告．

参与角色运营，使用单位

活动输人安全状态信息．

活动描述

本活动主要包括以下子活动内容

a) 状态分析

对安全状态信息行分析及时发现险悄急患或安全事件，井记录这些安全事件，分析其发展

趋势．

bl 影响分析

根据对安全状况变化的分析．分析这些变化对安全的影响通过判断他们的影响决定是否有必要作

出响

c) 形成安全状态分析报告

根据安全状态分析和影晌分析的结果，形成安全状态分析报告上报安全事件或提出变更需求．

活动输出安全状态分析报

8 .5 安全自查和持续改进

8 . 5 .1 安全状态自查

活动目标

00 Cll/T 25058 20 19

通过对等级保护对象的安全状态进行自查，为等级保护对象的持续改进过程提供依据和建议，确保

等级保护对象的安全保护能力满足相应等级安全要求关于等级测评见关于监督检查见

参与角色运营、使用单位．

活动输人等级保护对象详细描述文件变更结果告，安全状态分析报告

活动描述

本活动主要包括以下子活动内容

a) 确定自查对象和自查方法

确定检查的对象和方法确定本次安全自查的范围及安全自查 1: 具、调研表格等

b ) 制定自查计划和自查方案

确定自查工作的角色和职责确定自查 :r 作的方法．成立安全自查 1: 作组制定安全自查工作计划

和安全自查方案．说明安全查的范围对象工作方法等，准备安全查需要的各类表单工具

c) 安全自查实施

根据安全自查计划通过询问检查和测试等多种手段，进行安全状况自查记录各种自查活动的结

杲数据，分析安全措施的有效性、安全事件产生的可能性定级对象的实际改进需求等

dl 安全自查结果和报

总结安全自查的结果提出改进的建议井产生安全自查将安全自查过程的各类文档、资料

归柏保存

活动输出安全自查报告．

8.5.2 改进方案制定

活动目标

依据安全检查的结果调整等级保护对象的安全状态．保证等级保护对象安全防护的有效性

参与角色．运营、使用单位．

活动输人安全自查报告．

活动描述

本活动主要包括以下子活动内容

a) 安全改进的立项

根据安全检查结果确定安全改进的策略，如果涉及安全保护等级的变化则应进入安全保护等级保

护实施的个新的循环过程；如果安全保护等级不变，但是调整内容较多、涉及范围较大，则应对安全改

进项目进行立项、茧新开始安全实施／实现过程．参见第东，如果凋整内容较小，则可以宜接进行安全

改进实施

b ) 制定安全改进方案

确定安全改进的作方法、 frn 、人员分工时间计划等制定安全改进方案安全改进方案只

适用于小范围内的安全改进如安全加固、配笠加强系统补等．

活动输出·安全改进方案．

8.5.3 安全改进实施

活动目标

保证按照安全改进方案实现各补充安全捎施，并确保原有的技术捎施和管理措施与各项补充的

安全措施致有效 T. 作．

参与角色运营、使用单位

活动输人安全改进方案．

活动描述

27 G ll /'f 20

本活动主要包括以下子活动内容

a) 安全方案实施控制

7.4 3.

bl 安全措施测试与验收

3.4

c) 配套技术文件和管理制度的修订

按照安全改进方案实施和落实各项补充的安全捎施后．要调整和修订各类相关的技术文件和官理

制度保证原有休系完整性和致性

活动输出测试或验收报告

8 . 6 商管理和监控

8 . 6 .1 商选择

活动目标

确定符合国家规定或行规定的设计、测评、建设资质的服务商为后续的管理和监控莫定基础．

参与角色运背使用单位网络安全服务机

活动输入安全详细设．，，案，实施方案等

活动描述

本活动主要包括以下子活动内容

a) 服务能力分析

从影响系统、业务安全性等关链要索层面分析服务商服务力，根据国家招投标相关要求选择酘

佳服务商这些要素可能包括服务商的基本悄况、企业资质和人员资质、信誉、技术力泣和行业经验、内

部控制和笞理能力持续经营状况、服务水平及人员配备情况等．

bl 网络安全风险分析

在选择服务商时需要识别服务商的网络安全风险防止高风险不合格服务商承担安全运行维护

项目网络安全风险点包括但不限于以下儿点

服务商可能的泄密行为

服务商服务能力及行经验

物理访问、信息资料丢失、系统越权访问、误操作等

一一服务商企业资质｀人员资质及网络安全口碑、业续．

服务商以往服务项目案例

c) 服务内容互斥分析

在选择服务商时需要识别服务商捉供的服务与之前或后续提供的服务之间没有互斥性．承担

级保护对象安全建设服务的机构应具备等级保护安全建设服务机构资质承担等级测评服务的机构具

备等级测评机构资质．

活动输出已选择的服务商，安全服务方案

8 . 6 . 2 服务商智理

活动目标

对服务商从多维度进行切实有效管理，使得服务商在约定范围内开展服务工作

参与角色运背、使用单位，网络安全服务机构．

活动输人己选择的服务商安全服务方案

活动描述

00 Cll/T 2505 20 19

本活动主要包括以下子活动内容

. ) 人员窅理

为确保服务商服务 1: 作符合约定要求使用单位对服务人员的管理措施应至少包括但不限于

一一使用单位需制定服务商员笞理规定包含但不限于上岗资质审核机制保密协议品行管理、

服务技能考核、行为笞理系统权限笞理、口令管理等．

一一使用单位负责对服务商核心人员的确定和变更进行备案．

服务商人员在为使用单位提供服务的过程中，严格遴守使用单位的各规定、官理要求，服从

使用单位安排

一一如因服务商人员原因给使用单位或第三方造成人员人身伤害或财产损失的服务商应承担赔

偿责任

一一使用单位督促服务商对服务人员开展培训及安全教育工作

b l 服务悟理

为确保服务商服务 1: 作符合约定要求服务商应满足但不限于

服务商提供齐全进场相关资料（如企业资质．人员资质、人员名单、物资资料等），并接受使用单

位的审核

一一服务商基本信息发生变更法人、单位名称、银行账户等应提前通知使用单位

一一按照约定要求服务商提供各服务保质保位完成服务目标如因服务商木完成服务目标给使

用单位造成损失的应予赔偿

一一服务商确保所提供服务不存在任何侵犯第三方著作权商标权专利权等合法权益的情形

务商保好对服务过程中产生的研究成果及知识产权木经使用单位许可服务商不得以任何

形式向任何第三方转让权利义务

一一服务商提供项目验收和考核的相关材料，配合使用单位组织开展目结题验收考核工作

使用单位根据约定的售后服务内容及标准，实时跟踪服务商告后服务考核情况，作为后续服务

商选择参考

活动输出服务商服务笞理报告

8,6.3 务商监控

活动目标

通过对服务商及其人员在服务过程中的行为行有效监控，若发现不合规行为限时保质整改，确

保服务商服务工作持续、规范、宽效

参与角色运营、使用单位网络安全服务机构

活动输入服务商日常服务记录安全服务方案

活动描述

本活动主要包括以下子活动内容

• l 使用单位负责织制定服务评审标准及办法并依据办法对服务质让进行评审服务商应接受

使用单位对其提供服务情况进行的监督和检查井应及时按照使用单位要求对所提供的服务

进行改或调整，使服务质证符合使用单位要求

b ) 使用单位对服务商日常工作当发现服务商工作中存在问题时，要求服务商及时

因服务商原因（故意或过失）给使用单位造成损失的，服务商应承担全部赔偿责任

cl 使用单位监管项目进展情况期间，对千重大情况服务商应及时主动报告

dl 使用单位负责对服务商人员定期进行考核评价，考核方式可采用日常考核季度考核和年度考

也可采用适合使用单位的考核方式如发生茧违反合作原则、伤害使用单位利益影响服

务质证等行为使用单位有权随时向服务商提出人员撤换要求

29 G ll / 'f 20

e) 服务过程中服务商如因正当理由需要调整、变更人员的应提前通知使用单位，做好工作交

接·井获得使用单位同意后方可进行．

活动输出服务商分析评价报告

8 .7 等级测评

活动目标

通过网络安全等级测评机构对已经完成等级保护建设的等级保护对象定期进行等级测评确保等

级保护对象的安全保护措施符合相应等级的安全要求．

参与角色主笞部门运营、使用单位，网络安全等级测评机构

活动输入等级保护对象详细描述文件．等级保护对象安全保护等级定级告．系统验收报告．

活动描述

a) 网络安全等级测评机构依据有关等级保护对象安全保护等级测评的规范或标准对等级保护对

象开展等级测评．

bl 运营、使用单位参考等级测评出具的安全等级测评报告分析确定整改需求

活动输出安全等级测评报告．整改需求

8 .8 监督检查

活动目标

根据等级保护笞理部门对等级保护对象定级、规划设计建设实施和运行管理等过程的监督检查要

求，等级保护笞理部门应按照困家、行业相关等级保护监督检查要求及标准，开展监岱检查,: 作．

主笞部（］运营、使用单位准备相应的监督检查材料配合等级保护笞理部门检查，确保等级保护对

象符合安全保护相应等级的要求

参与角色主笞部门运营、使用单位，等级保护答理部门

活动输人安全等级测评报告，备案材料，自查报告等

活动描述

等级保护笞理部门、主笞部门依据国家网络安全等级保护、行监忤要求等制定监督检查方案及表

格，运营、使用单位根据网络安全保护等级保护监督检查、行监官的规范或标准，准备相应的监恪检查

所需材料．

活动输出监督检查材料监督检查结果告．

8 .9 应急晌应与保陛

8 .9.1 应急准备

活动目标

廷立完善的应急组织体系保证应急救援作反应迅速协调有序．通过分析安全牢件的等级，在

的应急预案框架下制定不同安全事件的应急预案通过组织针对等级保护对象的应急演练可以

有效检验网络安全应急能力井为消除或减小这些院患与问题提供有价值的参考信息．检验应急预案体

系的完整性、应急预案的可操作性机构和应急人员的执行、协调能力以及应急保瘁资源的准备情况等

从而有助于提裔整休应急能力．

参与角色主笞部门运营｀使用单位

活动输人运背使用单位组织机构及职责分,: 各类安全事件列表．

活动描述

本活动主要包括以下子活动内容

00 C !l /'f 25058 2019

a) 建立应急组织

按照应急救援的需要建立应急组织．应急组织一般分为五个核心应急功能机构即指行动

划、后勤和财务．

1, ) 明确应急工作职责

明确应急管理的领导机构、办车机构、专项应急指挥机构、基层应急机构、应急专家组组成部门或人

、职责和权限

c) 安全事件分类分级

参考《国家网络安全牢件应急预案》和 GB/Z 20986 2007 根据安全事件的类型安全车件对业务

的影响范围和程度以及安全事件的敏感程度等，对等级保护对象可能发生的安全事件进行分类分级，针

对不同类别和等级制定相应的安全事件报告程序．

d) 确定应急预案对象

针对安全半件的不同类别和等级考虑其发生的可能性及其对系统和务产生的影，确定需制定

应急预案的对象．

e) 确定职责应急协调方式

在统一的应急预案框架下明确应急预案各部门的职责以及各部门间的合作和分工协调方式．

f )

制定应急预案程序及其执行条件

针对不同等级、不同类别的安全事件制定相应的应急预案程序确定不同等级不同类别事件的咱

应和处笠范围、程度以及适用的答理制度说明应急预案启动的条件．发生安全半件后要采取的流程和

措施

g) 培训宜贯

针对应急预案涉及的部门和人员制定专培训计划培训宜贯内容包括应急职责、合作分工、应

急预案启动条件流程等

I,) 应急演练

明确应急预案演练的规橾、方式范围内容、组、评估、总结等内容井按照预案定期开展演练

活动输出应急组织机构图应急组织职责分工．应急织内、外部联系表安全事件告程序．各类

应急预案，应急演练本应急演练总结．

8.9.2 急监测与响应

活动目标·

收栠异常安全状态监控的信息，识别和记录人佼行为对等级保护对象的安全状态进行监控，并根

据应急预案启动条件研判是否启动应急程对监控到的安全车件采取适当的方法进行预处笠，分析

安全事件的影响程度和等级启动相应级别的应急预案，开展应急响应处笠工作．

参与角色运营、使用单位

活动输人网络流拉日志信息性能信息，安全车件告程序各类专应急预案，网络安全事件报

送表，安全半件告程序等

活动描述

本活动主要包括以下子活动内容

a ) 异常状态信息收栠

收栠来自监控对象的各类状态信息可能包括网络流证、日志信息、安全报警和性能状况等．或者来

自外部环境的安全标准和法律法规的变更信息

1, ) 异常状态分析

对安全状态信息进行分析及时发现，

色患或安全牢件井记录这些安全事件分析其发展趋势

及这些变对安全状态的影响通过判断他们的影响决定是否有必要作出响应

3 1 G ll / 'f 20

c) 安全车件上报和共享

根据安全状态分析和影响分析的结果，分析可能发生的安全车件明确安全车件等级、影响程度以

及优先级等形成安全状态分析报告和网络安全车件报送表按照安全事件等级以及安全车件报告程序

需要共享的按照规定向特定对象共享安全事件

d) 安全半件处笠

对于应启动应急预案的安全牢件按照应急预案咱应机制进行安全事件处笠对未知安全车件的

笠，应根据安全车件的等级制定安全车件处笠方案包括安全事件处笠方法以及应采取的措施等并桉

照安全车件处笠流程和方案对安全半件进行处笠

e) 安全事件总结和报告

旦安全事件得到觥决对于未知的安全事件进行事件记录分析记录信息井补充所需信息使安

全事件成为已知事件井文柏化对安全半件处笠过程进行总结制定安全半件处笠井保存．

活动输出网络安全事件报送表，安全状态分析报告安全事件处笠报告

8 . 9.3 后期评估与改进

活动目标

对安全车件原因、处笠过程进行调查分析井根据分析结果进行责任认定及制定改进预防措施

参与角色运营使用单位

活动输人安全事件报告已 /-, 各类专项应急预案安全事件处发报告

活动描述

本活动主要包括以子活动内容

a) 调查评估

对于应急响应过程进行调查，评估应急过程合规性、处笠及时性等．通过事件亚现词查网络安全牢

件原因追溯安全责任并形成网络安全调查评估报告

bl 改进预防

根据网络安全事件问查评估告，制定改进预防措施修改相应应急预案，结合实际情况进行落实

并组织开展应急预案相关培训．

活动输出安全事件总结报告，安全串件改进报告应急预案

8 . 9 . 4 应急保隍

活动目标

廷立健全应急保停体系实现应急预案保陓 7: 作科学化

参与角色运营使用单位．

活动输入总休应急预案各类专项应急预案．

活动描述

针对各类专项应急预案进行分析．制定应急预案执行所需通信装备数据、队伍、交通运输、经费和

治安保陈内容．

活动输出应急保院物资清单

9 定级对象终止

9 . 1 定级对象终止阶段的作流程

定级对象终止阶段是等级保护实施过程的酘后环节．当定级对象被转移、终或废弃时正确处

理其中的敏感信息对于确保机构信息资产的安全是至关重要的在等级保护对象生命周期中有些定

00 C ll /T 25058 2019

级对象并不是哀正惹义上的废弃而是改进技术或转变业务到新的定级对象对千这些定级对象在终止

处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全

本标准在定级对象终止阶段关注信息转移暂存和清除设备迁移或废弃存储介质的清除或销毁

等活动

定级对象终止阶段的,: 作流程见图 8.

输入

主要过程

定级伯息资产清单

佑息转移、哲存和清除

设备迁移或废弃

存储介戍清单等

存佬介屈的济除或销毁

定级对象终止阶段工作流程

9.2 转移、暂存和清除

活动目标

存储介质的清除或销玫记文档

在定级对象终止处理过程中对于可能会在另外的定级对象中使用的信息采取适当的方法将其安

转移或暂存到可以复的介质中确保将来可以继续使用同时采用安全的方法消除要终的定级

对象中的信息

参与角色运营、使用单位．

活动输人定级对象信息资产济单

活动描述

本活动主要包括以下子活动内容

• > 识别要转移暂存和清除的信息资产

根据要终止的定级对象的信息资产清单识别亚要信息资产、所处的位笠以及当前状态等列出需

转移、暂存清除的信息资产的消单

b ) 信息资产转移暂存消除

根据信息资产的亚要程度制定信息资产的转移、暂存、清除的方法和过程如果是涉密信息，应桉

照国家相关部门的规定进行转移，暂存和清除．

c) 处理过程记录

记录信息转移、暂存和清除的过程包括参与的人员，转移、暂存和消除的方式以及目前信息所处的

位笠等

活动输出信息转移暂存、清除处理记录文档

9.3 设备移或废弃

活动目标

33 G ll / 'f

确保定级对象终止后迁移或废弃的设备内不包括敏感信息对设备的处理方式应符合国家相关部

门的要求

参与角色运营、使用单位

活动输人设备迁移或废弃清单等

活动描述

本活动主要包括以子活动内容

a ) 件设备识别

根据要终的定级对象的设备清单要被迁移或废弃的件设备、所处的位翌以及当前状态

等，列出需迁移、废弃的设备的清单

b > 件设备理方案

根据定和实际情制定设备处理方案，包括茧用设备废弃设备、敏感信息的清除方法等

c) 处理方案审批

包括亚用设备废弃、敏感信息的清除方法等的设备处理方案应经主管锁导审查和批

<l ) 设备处理记录

根据设备理方案对设备行处理如果是涉密信息的设备其处理过程应符合国家相关部门的规

记录设备包括参与的人员处理的方式、是否有残余信息的检查结果等

活动输设备废弃处理

9 .4 储介质的清除或销

活动目标

采用合理的方式对计算机介质（包括磁带、打印结果文档）行信息清除或销毁处理，

介质内的敏感信息泄露

参与运营使用单位

活动输人存储介质清单等

活动描述

本活动主要包括以子活动内容

a )

要清除或销毁的介质

根据要终的定级对象的存储介质清单，识载有亚要信息的存储介质、所处的位笠以及当前状态

等，列出需清除或销毁的存储介质清单

bl 确定存储介质理方法和流程

根据存储介质所承载信息的敏感程度确定对存储介质的处理方式和处理流存储介质的理包

括数据清除和存储介质销毁等对于存储涉密信息的介质应按照国家相关部门的规定

cl 处理方案审批

包括存储介质的处理方式和处理程等的理方案应经过主智领导审查

<l ) 存储介质处理和记录

根据存储介质处理方案对存储介质行处理记录理过程包括参与的员、处理的方式、是否有

残余信息的检查结杲等

活动输存储介质的清除或销毁记录文档

00 Cll/T 2505 20 19

附录

规范性

主要过程及其活动和输入输出

等级保护对象实施网络安全等级保护工作的主要过程及其活动和输入输出见表 I.

等级保护对象实施网络安全等级保护工作的主要过程及其活动和输入输出

主要阶段

主要过程

活动

活动输入

活动输出

行业／锁域的业务总体描

行业介绍文档

述文件

行业／慎坎定级工作

行业／慎坎定级指导意见

Gll/ T 22240

行业／领域定级 T. 作部署

文件

单位仿况说明文档

对象茧要性分析

笭级保护对象的立项 ,ll!

笭级保护对象总体描述

设和管理文档

文件

行业／领域定级指导它见

笭级保护对象

分析

行业／领岐定级指导惹

行业／锁域定级工作部署

定级对象确定

文件

定级对象详细描述文件

笭级保护对象总体描述

笭级保护对象定

级与备案

文件

Gll/T 22240

行业慎坎定级指导意见

定级审核和批准

笭级保护对象总体描述

定级结果

文件

主管部门审批意见

安全保护等级

定级对象详细描述文件

确定

形成定级报告

定级对象详细描述文件

安全保护笭级定级报告

定级结果

安全保护笭级定级报告

主管部门审核意

定级结果备案

笭级保护对象安全总体

备案材料

方案

备案证明

安全详细设计方案

安全笭级测评报告

3 5 G ll / 'f 20

A. (续）

主要阶段

主要过程

活动

活动输人

活动输

笭级保护对象详细描述

文件

基本安全需求的

安全保护笭级定级报告

笭级保护对象相关的其他基本安全需求

砚定

文档

G!l/T Z ZZ 39

行业基本要求

笭级保护对象详细描述

安全需求分析

特殊安全需求的

文件

茧要资产的特殊保护

安全保护笭级定级报告

碗定

笭级保护对象相关的其他

要求

文档

笭级保护对象详细描述

形成安全需求分

文件

安全保护笭级定级报告

安全需求分析报告

析报告

基本安全需求

茧要资产的特殊保护要求

笭级保护对象详细愤述

总体安全策略文件

总体安全规划

设计

安全保护笭级定级报告

安全需求分析报告

总体安全策略文件

笭级保护对象详细描述

安全技术体系结

文件

笭级保护对象安全技

安全保护笭级定级报告

构设计

安全需求分析报告

体系结构

GB/T ZZZ39

行业基本要求

安全总体设计

总体安全策略文件

笭级保护对象详细描述

整体安全管理体

文件

笭级保护对象安全管理

安全保护笭级定级报告

系结构设计

安全需求分析报告

体系结构

Gll/T 22239

行业基本要求

安全需求分析报告

笭级保护对象安全技术体

笭级保护对象安全总体

设计结果文档化

系结构

笭级保护对象安全管理体

方案

系结构

00 C ll /T 2505 20 19

A.1 (续）

主要阶段

主要过程

活动

活动输人

活动输

安全建设目标

笭级保护对象安全总体方案

等级保护对象分阶段安

确定

机构或单位信息化建设的

全建设目标

中长期发展规划

安全建设内容

笭级保护对象安全总体方案

安全建设项目列表（含安

安全建设项目

规划

笭级保护对象分阶段安全

全建设内容）

总体安全规划

规划

建设目标

笭级保护对象安全总体方案

形成安全建设项笭级保护对象分阶段安全等级保护对象安全建设

目规划

建设目标

项目规划

安全建设内容笭

安全总体方案

安全建设项目规划

技术措施实现内

各类信息技术产品和网络

技术措实施方案

容设计

安全产品技术说明资料

安全方案详细

网络安全服务机构评价

设计

材料

管理情施实现内

安全总体方案

管理措实施方案

容设计

安全建设项目规划

设计结果文档化

技术措施实施方案

安全详细设计方案

管理措施实施方案

需采购的网络安全产品

网络安全产品或

安全详细设计方案

能、功能和安全要求或

服务采购