《信息安全技术 网络安全等级保护实施指南》(GB∕T 25058-2019)
本文摘录了《信息安全技术 网络安全等级保护实施指南》(GB∕T 25058-2019)的各级标题。
基本原则
安全等级保护的核心是将等级保护对象划分等级,按标准进行建设、管理和监督。安全等级保护实施过程中应遵循以下基本原则:
- 自主保护原则
- 重点保护原则
- 同步建设原则
- 动态调整原则
定级与备案阶段的工作流程
- 对象重要性分析
- 识别单位的基本信息
- 识别单位的等级保护对象基本信息
- 识别等级保护对象的管理框架
- 识别等级保护对象的网络及设备部署
- 识别等级保护对象的业务特性
- 识别等级保护对象处理的信息资产
- 识别用户范围和用户类型
- 等级保护对象描述
- 等级保护对象概述;
- 等级保护对象重要性分析;
- 等级保护对象边界描述;
- 网络拓扑;
- 设备部署;
- 支撑的业务应用的种类和特性;
- 处理的信息资产;
- 用户的范围和用户类型;
- 等级保护对象的管理框架。
- 定级对象确定
- 划分方法的选择
- 等级保护对象划分
- 定级对象详细描述
- 相对独立的定级对象列表;
- 每个定级对象的概述;
- 每个定级对象的边界;
- 每个定级对象的设备部署;
- 每个定级对象支撑的业务应用及其处理的信息资产类型;
- 每个定级对象的服务范围和用户类型;
- 其他内容。
- 定级、审核和批准
- 定级对象安全保护等级初步确定
- 定级结果评审
- 定级结果审核、批准
- 形成定级报告
- 单位信息化现状概述;
- 管理模式;
- 定级对象列表;
- 每个定级对象的概述;
- 每个定级对象的边界;
- 每个定级对象的设备部署;
- 每个定级对象支撑的业务应用;
- 定级对象列表、安全保护等级以及保护要求组合;
- 其他内容。
- 定级结果备案
- 备案材料整理
- 备案材料提交
总体安全规划
- 基本安全需求的确定
- 确定等级保护对象范围和分析对象
- 形成基本安全需求
- 特殊安全需求的确定
- 重要资产分析
- 重要资产安全弱点评估
- 重要资产面临威胁评估
- 综合风险分析
- 形成安全需求分析报告
- 等级保护对象描述;
- 基本安全需求描述;
- 特殊安全需求描述。
- 总体安全策略设计
- 确定安全方针
- 制定安全策略
- 安全技术体系结构设计
- 设计安全技术体系架构
- 规定不同级别定级对象物理环境的安全保护技术措施
- 规定通信网络的安全保护技术措施
- 规定不同级别定级对象的边界保护技术措施
- 规定定级对象之间互联的安全技术措施
- 规定不同级别定级对象内部的安全保护技术措施
- 规定云计算、移动互联等新技术的安全保护技术措施
- 形成等级保护对象安全技术体系结构
- 整体安全管理体系结构设计
- 设计等级保护对象的安全管理体系框架
- 总体方针/安全策略
- 网络安全管理制度
- 技术标准、操作规程
- 记录、表单
- 规定网络安全的组织管理体系和对不同级别定级对象的安全管理职责
- 规定不同级别定级对象的人员安全管理策略
- 规定不同级别定级对象机房及办公区等物理环境的安全管理策略
- 规定不同级别定级对象介质、设备等的安全管理策略
- 规定不同级别定级对象运行安全管理策略
- 规定不同级别定级对象安全事件处置和应急管理策略
- 形成等级保护对象安全管理策略框架
- 设计等级保护对象的安全管理体系框架
- 设计结果文档化
- 等级保护对象概述;
- 总体安全策略;
- 等级保护对象安全技术体系结构;
- 等级保护对象安全管理体系结构。
- 安全建设目标确定
- 信息化建设中长期发展规划和安全需求调查
- 提出等级保护对象安全建设分阶段目标
- 安全建设内容规划
- 确定主要安全建设内容
- 安全基础设施建设;
- 网络安全建设;
- 系统平台和应用平台安全建设;
- 数据系统安全建设;
- 安全标准体系建设;
- 人才培养体系建设;
- 安全管理体系建设。
- 确定主要安全建设项目
- 确定主要安全建设内容
- 形成安全建设项目规划
- 规划建设的依据和原则;
- 规划建设的目标和范围;
- 等级保护对象安全现状;
- 信息化的中长期发展规划;
- 等级保护对象安全建设的总体框架;
- 安全技术体系建设规划;
- 安全管理与安全保障体系建设规划;
- 安全建设投资估算(含测试及运维估算等内容);
- 等级保护对象安全建设的实施保障等内容。
安全设计与实施
- 技术措施实现内容的设计
- 结构框架的设计
- 安全功能要求的设计
- 性能要求的设计
- 部署方案的设计
- 制定安全策略的实现计划
- 管理措施实现内容的设计
- 设计结果的文档化
- 建设目标和建设内容;
- 技术实现方案;
- 网络安全产品或组件安全功能及性能要求;
- 网络安全产品或组件部署;
- 安全控制策略和配置;
- 配套的安全管理建设内容;
- 工程实施计划;
- 项目投资概算。
- 网络安全产品或服务采购
- 制定产品或服务采购说明书
- 选择产品或服务
- 安全控制的开发
- 安全措施需求分析
- 概要设计
- 详细设计
- 编码实现
- 测试
- 安全控制的开发过程文档化
- 安全控制集成
- 集成实施方案制定
- 集成准备
- 集成实施
- 培训
- 形成安全控制集成报告
- 系统验收
- 系统验收准备
- 组织验收
- 验收报告
- 系统交付
- 安全管理制度的建设和修订
- 应用范围明确
- 行为规范规定
- 评估与完善
- 安全管理机构和人员的设置
- 安全组织确定
- 角色说明
- 人员安全管理
- 安全实施过程管理
- 整体管理
- 质量管理
- 风险管理
- 变更管理
- 进度管理
- 文档管理
安全运行与维护
- 运行管理职责确定
- 划分运行管理角色
- 授予管理权限
- 定义人员职责
- 运行管理过程控制
- 建立操作规程
- 操作过程记录
- 变更需求和影响分析
- 变更需求分析
- 变更影响分析
- 明确变更的类别
- 制定变更方案
- 变更过程控制
- 变更内容审核和审批
- 建立变更过程日志
- 形成变更结果报告
- 监控对象确定
- 安全关键点分析
- 形成监控对象列表
- 监控对象状态信息收集
- 选择监控工具
- 状态信息收集
- 监控状态分析和报告
- 状态分析
- 影响分析
- 形成安全状态分析报告
- 安全状态自查
- 确定自查对象和自查方法
- 制定自查计划和自查方案
- 安全自查实施
- 安全自查结果和报告
- 改进方案制定
- 安全改进的立项
- 制定安全改进方案
- 安全改进实施
- 安全方案实施控制
- 安全措施测试与验收
- 配套技术文件和管理制度的修订
- 服务商选择
- 服务能力分析
- 网络安全风险分析
- 服务内容互斥分析
- 服务商管理
- 人员管理
- 服务管理
- 服务商监控
- 使用单位负责组织制定服务评审标准及办法,并依据办法对服务质量进行评审;服务商应接受使用单位对其提供服务情况进行的监督和检查,并应及时按照使用单位要求对所提供的服务进行改进或调整,使服务质量符合使用单位要求。
- 使用单位对服务商日常工作进行指导,当发现服务商工作中存在问题时,要求服务商及时纠正,因服务商原因(故意或过失)给使用单位造成损失的,服务商应承担全部赔偿责任。
- 使用单位监管项目进展情况期间,对于重大情况服务商应及时主动报告。
- 使用单位负责对服务商人员定期进行考核评价,考核方式可采用日常考核、季度考核和年度考核,也可采用适合使用单位的考核方式;如发生严重违反合作原则、伤害使用单位利益、影响服务质量等行为,使用单位有权随时向服务商提出人员撤换要求。
- 服务过程中,服务商如因正当理由需要调整、变更人员的,应提前通知使用单位,做好工作交接,并获得使用单位同意后方可进行。
- 等级测评
- 网络安全等级测评机构依据有关等级保护对象安全保护等级测评的规范或标准对等级保护对象开展等级测评。
- 运营、使用单位参考等级测评出具的安全等级测评报告,分析确定整改需求。
- 监督检查
- 应急准备
- 建立应急组织
- 明确应急工作职责
- 安全事件分类分级
- 确定应急预案对象
- 确定职责和应急协调方式
- 制定应急预案程序及其执行条件
- 培训宣贯
- 应急演练
- 应急监测与响应
- 异常状态信息收集
- 异常状态分析
- 安全事件上报和共享
- 安全事件处置
- 安全事件总结和报告
- 后期评估与改进
- 调查评估
- 改进预防
- 应急保障
定级对象终止
- 信息转移、暂存和清除
- 识别药转移、暂存和清除的信息资产
- 信息资产转移、暂存和清除
- 处理过程记录
- 设备迁移或废弃
- 软硬件设备识别
- 制定硬件设备处理方案
- 处理方案审批
- 设备处理和记录
- 存储介质的清除或销毁
- 识别要清除或销毁的介质
- 确定存储介质处理方法和流程
- 处理方案审批
- 存储介质处理和记录
