標(biāo)準(zhǔn)解讀

《GB/T 25058-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)實施指南》相較于《GB/T 25058-2010 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南》,在內(nèi)容和結(jié)構(gòu)上進(jìn)行了調(diào)整,以更好地適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢和技術(shù)發(fā)展的需求。具體變化包括但不限于以下幾個方面:

首先,在標(biāo)題上,《GB/T 25058-2019》將“信息系統(tǒng)”改為“網(wǎng)絡(luò)安全”,這一改動反映了從單一的信息系統(tǒng)擴(kuò)展到更廣泛的網(wǎng)絡(luò)環(huán)境的安全考慮。

其次,在范圍定義上,《GB/T 25058-2019》更加明確地指出了其適用對象為按照《中華人民共和國網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)要求開展網(wǎng)絡(luò)安全等級保護(hù)工作的單位和個人,強(qiáng)調(diào)了法律依據(jù)的重要性。

再者,《GB/T 25058-2019》增加了對于云計算、移動互聯(lián)、物聯(lián)網(wǎng)等新型信息技術(shù)應(yīng)用場景下如何實施網(wǎng)絡(luò)安全等級保護(hù)的具體指導(dǎo),體現(xiàn)了對新技術(shù)發(fā)展趨勢的關(guān)注與響應(yīng)。

此外,《GB/T 25058-2019》還強(qiáng)化了風(fēng)險評估在整個等級保護(hù)過程中的作用,提出了基于風(fēng)險的動態(tài)管理理念,并且細(xì)化了不同級別信息系統(tǒng)的安全要求及相應(yīng)的控制措施,使得標(biāo)準(zhǔn)更具操作性和針對性。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2019-08-30 頒布
  • 2020-03-01 實施
?正版授權(quán)
GB/T 25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實施指南_第1頁
GB/T 25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實施指南_第2頁
GB/T 25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實施指南_第3頁
GB/T 25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實施指南_第4頁
GB/T 25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實施指南_第5頁
已閱讀5頁,還剩43頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實施指南-免費(fèi)下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T25058—2019

代替

GB/T25058—2010

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)實施指南

Informationsecuritytechnology—

Implementationguideforclassifiedprotectionofcybersecurity

2019-08-30發(fā)布2020-03-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T25058—2019

目次

前言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

等級保護(hù)實施概述

4………………………1

基本原則

4.1……………1

角色和職責(zé)

4.2…………………………2

實施的基本流程

4.3……………………2

等級保護(hù)對象定級與備案

5………………4

定級與備案階段的工作流程

5.1………………………4

行業(yè)領(lǐng)域定級工作

5.2/…………………4

等級保護(hù)對象分析

5.3…………………5

對象重要性分析

5.3.1………………5

定級對象確定

5.3.2…………………6

安全保護(hù)等級確定

5.4…………………7

定級審核和批準(zhǔn)

5.4.1、………………7

形成定級報告

5.4.2…………………8

定級結(jié)果備案

5.5………………………8

總體安全規(guī)劃

6……………8

總體安全規(guī)劃階段的工作流程

6.1……………………8

安全需求分析

6.2………………………9

基本安全需求的確定

6.2.1…………9

特殊安全需求的確定

6.2.2…………9

形成安全需求分析報告

6.2.3………………………10

總體安全設(shè)計

6.3………………………10

總體安全策略設(shè)計

6.3.1……………10

安全技術(shù)體系結(jié)構(gòu)設(shè)計

6.3.2………………………11

整體安全管理體系結(jié)構(gòu)設(shè)計

6.3.3…………………12

設(shè)計結(jié)果文檔化

6.3.4………………14

安全建設(shè)項目規(guī)劃

6.4…………………14

安全建設(shè)目標(biāo)確定

6.4.1……………14

安全建設(shè)內(nèi)容規(guī)劃

6.4.2……………14

形成安全建設(shè)項目規(guī)劃

6.4.3………………………15

安全設(shè)計與實施

7…………………………16

安全設(shè)計與實施階段的工作流程

7.1…………………16

安全方案詳細(xì)設(shè)計

7.2…………………16

GB/T25058—2019

技術(shù)措施實現(xiàn)內(nèi)容的設(shè)計

7.2.1……………………16

管理措施實現(xiàn)內(nèi)容的設(shè)計

7.2.2……………………17

設(shè)計結(jié)果的文檔化

7.2.3……………17

技術(shù)措施的實現(xiàn)

7.3……………………18

網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)采購

7.3.1……………………18

安全控制的開發(fā)

7.3.2………………18

安全控制集成

7.3.3…………………19

系統(tǒng)驗收

7.3.4………………………20

管理措施的實現(xiàn)

7.4……………………21

安全管理制度的建設(shè)和修訂

7.4.1…………………21

安全管理機(jī)構(gòu)和人員的設(shè)置

7.4.2…………………21

安全實施過程管理

7.4.3……………22

安全運(yùn)行與維護(hù)

8…………………………22

安全運(yùn)行與維護(hù)階段的工作流程

8.1…………………22

運(yùn)行管理和控制

8.2……………………23

運(yùn)行管理職責(zé)確定

8.2.1……………23

運(yùn)行管理過程控制

8.2.2……………24

變更管理和控制

8.3……………………24

變更需求和影響分析

8.3.1…………24

變更過程控制

8.3.2…………………25

安全狀態(tài)監(jiān)控

8.4………………………25

監(jiān)控對象確定

8.4.1…………………25

監(jiān)控對象狀態(tài)信息收集

8.4.2………………………26

監(jiān)控狀態(tài)分析和報告

8.4.3…………26

安全自查和持續(xù)改進(jìn)

8.5………………26

安全狀態(tài)自查

8.5.1…………………26

改進(jìn)方案制定

8.5.2…………………27

安全改進(jìn)實施

8.5.3…………………27

服務(wù)商管理和監(jiān)控

8.6…………………28

服務(wù)商選擇

8.6.1……………………28

服務(wù)商管理

8.6.2……………………28

服務(wù)商監(jiān)控

8.6.3……………………29

等級測評

8.7……………30

監(jiān)督檢查

8.8……………30

應(yīng)急響應(yīng)與保障

8.9……………………30

應(yīng)急準(zhǔn)備

8.9.1………………………30

應(yīng)急監(jiān)測與響應(yīng)

8.9.2………………31

后期評估與改進(jìn)

8.9.3………………32

應(yīng)急保障

8.9.4………………………32

定級對象終止

9……………32

定級對象終止階段的工作流程

9.1……………………32

信息轉(zhuǎn)移暫存和清除

9.2、……………33

GB/T25058—2019

設(shè)備遷移或廢棄

9.3……………………33

存儲介質(zhì)的清除或銷毀

9.4……………34

附錄規(guī)范性附錄主要過程及其活動和輸入輸出

A()…………………35

GB/T25058—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南與

GB/T25058—2010《》,

相比主要變化如下

GB/T25058—2010,:

標(biāo)準(zhǔn)名稱變更為信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實施指南

———《》。

全文將信息系統(tǒng)調(diào)整為等級保護(hù)對象或定級對象將國家標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)

———“”“”“”,“

基本要求調(diào)整為網(wǎng)絡(luò)安全等級保護(hù)基本要求

”“”。

考慮到云計算等新技術(shù)新應(yīng)用在實施過程中的特殊處理根據(jù)需要相關(guān)章條增加云計算移

———,,、

動互聯(lián)大數(shù)據(jù)等相關(guān)內(nèi)容見

、(5.3.2、6.3.2、7.2.1、7.3.2)。

將各部分已有內(nèi)容進(jìn)一步細(xì)化使其能夠指導(dǎo)單位針對新建等級保護(hù)對象的等級保護(hù)工作見

———,(

6.3.2、7.4.3)。

在等級保護(hù)對象定級階段增加了行業(yè)領(lǐng)域主管單位的工作過程見增加了云計算移

———,/(5.2);、

動互聯(lián)物聯(lián)網(wǎng)工控大數(shù)據(jù)定級的特殊關(guān)注點(diǎn)見年版的

、、、(5.3,20105.2)。

在總體安全規(guī)劃階段增加了行業(yè)等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)相關(guān)內(nèi)容即明確了基本安全

———,,

需求既包括國家等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)提出的要求也包括行業(yè)等級保護(hù)管理規(guī)范和

,

技術(shù)標(biāo)準(zhǔn)提出的要求見年版的

(6.2.1,20106.2.1)。

在總體安全規(guī)劃階段增加了設(shè)計等級保護(hù)對象的安全技術(shù)體系架構(gòu)內(nèi)容要求根據(jù)機(jī)構(gòu)總

———,“”,

體安全策略文件和機(jī)構(gòu)安全需求設(shè)計安全技術(shù)體系架構(gòu)并提供了安全技術(shù)

、GB/T22239,,

體系架構(gòu)圖此外增加了云計算移動互聯(lián)等新技術(shù)的安全保護(hù)技術(shù)措施見年

。,、(6.3.2,2010

版的

6.3.2)。

在總體安全規(guī)劃階段增加了設(shè)計等級保護(hù)對象的安全管理體系框架內(nèi)容要求根據(jù)

———,“”,

安全需求分析報告等設(shè)計安全管理體系框架并提供了安全管理體系框架見

GB/T22239、,,(

年版的

6.3.3,20106.3.3)。

在安全設(shè)計與實施階段將技術(shù)措施實現(xiàn)與管理措施實現(xiàn)調(diào)換順序見年

———,“”“”(7.3、7.4,2010

版的將人員安全技能培訓(xùn)合并到安全管理機(jī)構(gòu)和人員的設(shè)置中見

7.3、7.4);“”“”(7.4.2,2010

年版的將安全管理制度的建設(shè)和修訂與安全管理機(jī)構(gòu)和人員的設(shè)置調(diào)換順

7.3.1、7.3.3);“”“”

序見年版的

(7.4.1、7.4.2,20107.4.1、7.4.2)。

在安全設(shè)計與實施階段在技術(shù)措施實現(xiàn)中增加了對于云計算移動互聯(lián)等新技術(shù)的風(fēng)險分

———,、

析技術(shù)防護(hù)措施實現(xiàn)等要求見年版的在測試環(huán)節(jié)中更側(cè)重安全漏洞掃

、(7.2.1,20107.2.1);,

描滲透測試等安全測試內(nèi)容見年版的

、(7.3.2,20107.3.2)。

在安全設(shè)計與實施階段在原有信息安全產(chǎn)品供應(yīng)商的基礎(chǔ)上增加網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的評價

———,,

和選擇要求見安全控制集成中增加安全態(tài)勢感知監(jiān)測通報預(yù)警應(yīng)急處置追蹤溯

(7.3.1);,、、

源等安全措施的集成見安全管理制度的建設(shè)和修訂要求中增加要求總體安全方針

(7.3.3);,、

安全管理制度安全操作規(guī)程安全運(yùn)維記錄和表單四層體系文件的一致性見安全實

、、(7.4.1);

施過程管理中增加整體管理過程的活動內(nèi)容描述見

,(7.4.3)。

在安全運(yùn)行與維護(hù)階段增加服務(wù)商管理和監(jiān)控見刪除了安全事件處置和應(yīng)急預(yù)

———,“”(8.6);“

案年版的刪除了系統(tǒng)備案年版的修改了監(jiān)督檢查的內(nèi)容

”(20108.5);“”(20108.8);“”(8.8,

年版的增加了應(yīng)急響應(yīng)與保障見

20128.9),“”(8.9)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

GB/T25058—2019

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所公安部信息安全等級保護(hù)評估中心中國電子科技集團(tuán)公司

:()、

第十五研究所信息產(chǎn)業(yè)信息安全測評中心北京安信天行科技有限公司

()、。

本標(biāo)準(zhǔn)主要起草人袁靜任衛(wèi)紅畢馬寧黎水林劉健翟建軍王然張益江雷趙泰李明

:、、、、、、、、、、、

馬力于東升陳廣勇沙淼淼朱建平曲潔李升劉靜羅崢彭海龍徐爽亮

、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T25058—2010。

GB/T25058—2019

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)實施指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了等級保護(hù)對象實施網(wǎng)絡(luò)安全等級保護(hù)工作的過程

。

本標(biāo)準(zhǔn)適用于指導(dǎo)網(wǎng)絡(luò)安全等級保護(hù)工作的實施

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論