ICS35040

L80.

中華人民共和國國家標準

GB/T25058—2010

信息安全技術(shù)

信息系統(tǒng)安全等級保護實施指南

Informationsecuritytechnology—

Implementationguideforclassifiedprotectionofinformationsystem

2010-09-02發(fā)布2011-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T25058—2010

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

等級保護實施概述………………………

41

基本原則………………

4.11

角色和職責……………

4.21

實施的基本流程………………………

4.32

信息系統(tǒng)定級……………

53

信息系統(tǒng)定級階段的工作流程………………………

5.13

信息系統(tǒng)分析…………………………

5.23

安全保護等級確定……………………

5.35

總體安全規(guī)劃……………

66

總體安全規(guī)劃階段的工作流程………………………

6.16

安全需求分析…………………………

6.26

總體安全設(shè)計…………………………

6.38

安全建設(shè)項目規(guī)劃……………………

6.410

安全設(shè)計與實施…………………………

712

安全設(shè)計與實施階段的工作流程……………………

7.112

安全方案詳細設(shè)計……………………

7.212

管理措施實施…………………………

7.313

技術(shù)措施實施…………………………

7.415

安全運行與維護…………………………

818

安全運行與維護階段的工作流程……………………

8.118

運行管理和控制………………………

8.219

變更管理和控制………………………

8.319

安全狀態(tài)監(jiān)控…………………………

8.420

安全事件處置和應急預案……………

8.521

安全檢查和持續(xù)改進…………………

8.623

等級測評………………

8.724

系統(tǒng)備案………………

8.824

監(jiān)督檢查………………

8.924

信息系統(tǒng)終止……………

925

信息系統(tǒng)終止階段的工作流程………………………

9.125

信息轉(zhuǎn)移暫存和清除………………

9.2、25

設(shè)備遷移或廢棄………………………

9.326

存儲介質(zhì)的清除或銷毀………………

9.426

附錄規(guī)范性附錄主要過程及其活動輸出…………

A()27

Ⅰ

GB/T25058—2010

前言

本標準的附錄是規(guī)范性附錄

A。

本標準由公安部和全國信息安全標準化技術(shù)委員會提出

。

本標準由全國信息安全標準化技術(shù)委員會歸口

。

本標準起草單位公安部信息安全等級保護評估中心

:。

本標準主要起草人畢馬寧馬力陳雪秀李明朱建平任衛(wèi)紅謝朝海曲潔袁靜李升劉靜

:、、、、、、、、、、、

羅崢

。

Ⅲ

GB/T25058—2010

引言

依據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例國務院號令國家信息化領(lǐng)導小組關(guān)

《》(147)、《

于加強信息安全保障工作的意見中辦發(fā)號關(guān)于信息安全等級保護工作的實施意見公

》([2003]27)、《》(

通字號和信息安全等級保護管理辦法公通字號制定本標準

[2004]66)《》([2007]43),。

本標準是信息安全等級保護相關(guān)系列標準之一

。

與本標準相關(guān)的系列標準包括

:

信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南

———GB/T22240—2008;

信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求

———GB/T22239—2008。

在對信息系統(tǒng)實施信息安全等級保護的過程中除使用本標準外在不同的階段還應參照其他有

,,,

關(guān)信息安全等級保護的標準開展工作

。

在信息系統(tǒng)定級階段應按照介紹的方法確定信息系統(tǒng)安全保護等級

,GB/T22240—2008,。

在信息系統(tǒng)總體安全規(guī)劃安全設(shè)計與實施安全運行與維護和信息系統(tǒng)終止等階段應按照

,,,

和

GB17859—1999、GB/T22239—2008、GB/T20269—2006、GB/T20270—2006GB/T20271—2006

等技術(shù)標準設(shè)計建設(shè)符合信息安全等級保護要求的信息系統(tǒng)開展信息系統(tǒng)的運行維護管理工作

,、,。

和

GB17859—1999、GB/T22239—2008、GB/T20269—2006、GB/T20270—2006GB/T20271—

等技術(shù)標準是信息系統(tǒng)安全等級保護的系列相關(guān)配套標準其中是基礎(chǔ)性標準

2006,GB17859—1999,

和等是對的進一步細化

GB/T20269—2006、GB/T20270—2006GB/T20271—2006GB17859—1999

和擴展是以為基礎(chǔ)根據(jù)現(xiàn)有技術(shù)發(fā)展水平提出的對不同安全

,GB/T22239—2008GB17859—1999,

保護等級信息系統(tǒng)的最基本安全要求是其他標準的一個底線子集

,。

對信息系統(tǒng)的安全等級保護應從出發(fā)在保證信息系統(tǒng)滿足基本安全要求的

GB/T22239—2008,

基礎(chǔ)上逐步提高對信息系統(tǒng)的保護水平最終滿足

,,GB17859—1999、GB/T20269—2006、

和等標準的要求

GB/T20270—2006GB/T20271—2006。

除本標準和上述提到的標準外在信息系統(tǒng)安全等級保護實施過程中還可參照和使用

,,

和等其他等級保護相關(guān)技術(shù)標準

GB/T20272—2006GB/T20273—2006。

Ⅳ

GB/T25058—2010

信息安全技術(shù)

信息系統(tǒng)安全等級保護實施指南

1范圍

本標準規(guī)定了信息系統(tǒng)安全等級保護實施的過程適用于指導信息系統(tǒng)安全等級保護的實施

,。

2規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款凡是注日期的引用文件其隨后所有

。,

的修改單不包括勘誤的內(nèi)容或修訂版均不適用于本標準然而鼓勵根據(jù)本標準達成協(xié)議的各方研究

(),,

是否可使用這些文件的最新版本凡是不注日期的引用文件其最新版本適用于本標準

。,。

信息技術(shù)詞匯第部分安全

GB/T5271.88:

計算機信息系統(tǒng)安全保護等級劃分準則

GB17859—1999

信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南

GB/T22240—2008

3術(shù)語和定義

和確立的以及下列術(shù)語和定義適用于本標準

GB/T5271.8GB17859—1999。

31

.

等級測評classifiedsecuritytestingandevaluation

確定信息系統(tǒng)安全保護能力是否達到相應等級基本要求的過程

。

4等級保護實施概述

41基本原則

.

信息系統(tǒng)安全等級保護的核心是對信息系統(tǒng)分等級按標準進行建設(shè)管理和監(jiān)督信息系統(tǒng)安全

、、。

等級保護實施過程中應遵循以下基本原則

:

自主保護原則

a)

信息系統(tǒng)運營使用單位及其主管部門按照國家相關(guān)法規(guī)和標準