内容简介
GB/T 25058-2019 代替 GB/T 25058—2010信息安全技术网络安全等级保护实施指南
Information security technology— Implementation guide for classified protection of cybersecurity
2019-08-30 发布
2020-03-01 实施
目 次
前言.....................................1
1范围.....................................1
2规范性引用文件................................1
3术语和定义..................................1
4等级保护实施概述...................................1
4.1 基本原则...................................1
4.2角色和职责...................................2
4.3实施的基本流程.................................2
5等级保护对象定级与备案................................4
5.1定级与备案阶段的工作流程............................4
5.2行业/领域定级工作...............................4
5.3等级保护对象分析....................................5
5.3.1对象重要性分析..................................5
5.3.2定级对象确定...................................6
5.4安全保护等级确定....................................7
5.4.1定级、审核和批准 .....................................
5.4.2形成定级报告.................................8
5.5定级结果备案....................................8
6总体安全规划.......................................8
6.1总体安全规划阶段的工作流程.............................8
6.2安全需求分析....................................9
621 基本安全需求的确定...............................9
6.2.2特殊安全需求的确定..............................9
623形成安全需求分析报告..............................10
6.3总体安全设计...................................10
6.3.1 总体安全策略设计.............................10
6.3.2安全技术体系结构设计............................11
6.3.3整体安全管理体系结构设计..........................12
6.3.4设计结果文档化...............................14
6.4安全建设项目规划.................................14
6.4.1 安全建设目标确定 ............................14
6.4.2安全建设内容规划 .............................14
6.4.3形成安全建设项目规划............................15
7安全设计与实施.....................................16
7.1安全设计与实施阶段的工作流程...........................16
7.2安全方案详细设计.................................16
7.2.1技术措施实现内容的设计.............................16
722管理措施实现内容的设计...............................17
723设计结果的文档化..................................17
7.3技术措施的实现....................................18
7.3.1网络安全产品或服务釆购.............................18
7.3.2安全控制的开发.................................18
7.3.3安全控制集成..................................19
7.3.4 系统验收...................................20
7.4管理措施的实现....................................21
7.4.1安全管理制度的建设和修订............................21
7.4.2安全管理机构和人员的设置............................21
7.4.3安全实施过程管理................................22
8安全运行与维护.......................................22
8.1安全运行与维护阶段的工作流程.............................22
8.2运行管理和控制....................................23
8.2.1运行管理职责确定...............................23
822运行管理过程控制..................................24
8.3变更管理和控制....................................24
8.3.1变更需求和影响分析...............................24
8.3.2变更过程控制..................................25
8.4 安全状态监控....................................25
8.4.1 监控对象确定.................................25
8.4.2监控对象状态信息收集..............................26
8.4.3监控状态分析和报告...............................26
8.5 安全自查和持续改进.................................26
8.5.1 安全状态自査.................................26
8.5.2改进方案制定..................................27
8.5.3安全改进实施..................................27
8.6服务商管理和监控...................................28
8.6.1 服务商选择..................................28
8.6.2服务商管理...................................28
8.6.3 服务商监控..................................29
8.7 等级测评......................................30
8.8 监督检查......................................30
8.9 应急响应与保障...................................30
8.9.1 应急准备...................................30
8.9.2 应急监测与响应 .............................. 31
8.9.3后期评估与改进.................................32
8.9.4 应急保障...................................32
9定级对象终止........................................32
9.1定级对象终止阶段的工作流程..............................32
9.2信息转移、暂存和清除.................................33
9.3设备迁移或废弃....................................33
9.4存储介质的清除或销毁.................................34
附录A (规范性附录)主要过程及其活动和输入输出.......................35