【国家标准(GB)】 信息安全技术 信息系统安全等级保护实施指南

ICS.35.040
中华人民共和国国家标准
GB/T25058—2010
信息安全技术
信息系统安全等级保护实施指南InformationsecuritytechnologyImplementation guidefor classified protection of information system2010-09-02发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2011-02-01实施
规范性引用文件
术语和定义
等级保护实施概述
4.1基本原则
角色和职责资
实施的基本流程
信息系统定级
信息系统定级阶段的工作流程
信息系统分析
安全保护等级确定
总体安全规划
总体安全规划阶段的工作流程
安全需求分析
总体安全设计
安全建设项目规划
安全设计与实施..
安全设计与实施阶段的工作流程安全方案详细设计
管理措施实施
技术措施实施
安全运行与维护..
安全运行与维护阶段的工作流程，运行管理和控制·
变更管理和控制
安全状态监控.
安全事件处置和应急预案
安全检查和持续改进
等级测评
系统备案
监督检查
信息系统终止
9.1信息系统终止阶段的工作流程9.2
信息转移、暂存和清除
设备迁移或废弃
9.4存储介质的清除或销毁..…
附录A（规范性附录）
主要过程及其活动输出
GB/T25058—2010
本标准的附录A是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位：公安部信息安全等级保护评估中心。GB/T25058—2010
本标准主要起草人：毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗静。
GB/T25058—2010
依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)，制定本标准。本标准是信息安全等级保护相关系列标准之一与本标准相关的系列标准包括：-GB/T22240—2008信息安全技术信息系统安全等级保护定级指南；GB/T22239一2008信息安全技术信息系统安全等级保护基本要求。在对信息系统实施信息安全等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关信息安全等级保护的标准开展工作。在信息系统定级阶段，应按照GB/T22240—2008介绍的方法，确定信息系统安全保护等级。在信息系统总体安全规划，安全设计与实施，安全运行与维护和信息系统终止等阶段，应按照GB17859—1999、GB/T22239—2008、GB/T20269—2006、GB/T20270—2006和GB/T20271—2006等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。GB17859—1999、GB/T22239--2008、GB/T20269-—2006、GB/T20270—2006和GB/T202712006等技术标准是信息系统安全等级保护的系列相关配套标准，其中GB17859一1999是基础性标准，GB/T20269—2006、GB/T20270—2006和GB/T20271-2006等是对GB17859—1999的进-步细化和扩展，GB/T22239--2008是以GB17859—1999为基础，根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求，是其他标准的一个底线子集。对信息系统的安全等级保护应从GB/T222392008出发，在保证信息系统满足基本安全要求的基础上，逐步提高对信息系统的保护水平，最终满足GB17859—1999、GB/T20269--2006、GB/T20270—2006和GB/T20271—2006等标准的要求。除本标准和上述提到的标准外，在信息系统安全等级保护实施过程中，还可参照和使用GB/T20272--2006和GB/T20273—2006等其他等级保护相关技术标准。1范围
信息安全技术
信息系统安全等级保护实施指南GB/T25058—2010
本标准规定了信息系统安全等级保护实施的过程，适用于指导信息系统安全等级保护的实施。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8信息技术词汇第8部分：安全GB17859--1999计算机信息系统安全保护等级划分准则GB/T22240一2008信息安全技术信息系统安全等级保护定级指南3术语和定义
GB/T5271.8和GB17859一1999确立的以及下列术语和定义适用于本标准。3.1
等级测评classifiedsecuritytestingandevalnation确定信息系统安全保护能力是否达到相应等级基本要求的过程。4等级保护实施概述
4.1基本原则
信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则：a）自主保护原则
信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。
b）重点保护原则
根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。e）同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投人一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。d）动态调整原则
要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。4.2角色和职责
信息系统安全等级保护实施过程中涉及的各类角色和职责如下：GB/T25058-2010
a）国家管理部门
公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。b）信息系统主管部门
负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。c）信息系统运营、使用单位
负责依照国家信息安全等级保护的管理规范和技术标准，确定其信息系统的安全保护等级，有主管部门的，应当报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手续；按照国家信息安全等级保护管理规范和技术标准，进行信息系统安全保护的规划设计；使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品和信息安全产品，开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度，定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同等级信息安全事件的响应、处置预案，对信息系统的信息安全事件分等级进行应急处置。d）信息安全服务机构bzxz.net
负责根据信息系统运营、使用单位的委托，依照国家信息安全等级保护的管理规范和技术标准，协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。e）信息安全等级测评机构
负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权，协助信息系统运营、使用单位或国家管理部门，按照国家信息安全等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行等级测评；对信息安全产品供应商提供的信息安全产品进行安全测评。f）信息安全产品供应商
负责按照国家信息安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品，接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务。4.3实施的基本流程
对信息系统实施等级保护的基本流程见图1。信息系统定级
总体安全规划
等级变更
安全设计与实施
局部调整
安全运行与维护
信息系统终止
信息系统安全等级保护实施的基本流程2
GB/T25058—2010
在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进人安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。信息系统安全等级保护实施基本流程中各个阶段的主要过程、活动、输入和输出见附录A。5信息系统定级
5.1信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T222402008，确定信息系统的安全保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。
信息系统定级阶段的工作流程见图2。输入
信息系统立项文档
信息系统建设文档
信息系统管理文档
信息系统总体描述文件
信息系统详细描述文件
5.2信息系统分析
5.2.1系统识别和描述
活动目标：
主要过程
信息系统分析
安全保护等级确定
信息系统定级阶段工作流程
信息系统总体描述文件
信瓜系统详细描述文件
信息系统安全保护等级
定级报告
本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息进行综合分析和整理，依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。参与角色：信息系统运营、使用单位，信息安全服务机构。活动输人：信息系统的立项、建设和管理文档。活动描述：
本活动主要包括以下子活动内容：a）识别信息系统的基本信息
调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况，获得信息系统的背景信息和联络方式。
b）识别信息系统的管理框架
了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责，获得支持信息系统业务运营的管理特征和管理框架方面的信息，从而明确信息系统的安全责任主体。c）识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况，在此基础上明确信息系统的边3
GB/T25058—2010
界，即确定定级对象及其范围。d）识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量，这些业务各自的社会属性、业务内容和业务流程等，从中明确支持机构业务运营的信息系统的业务特性，将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。e）识别业务系统处理的信息资产了解业务系统处理的信息资产的类型，这些信息资产在保密性、完整性和可用性等方面的重要性程度。
f）识别用户范围和用户类型
根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。g）信息系统措述
对收集的信息进行整理、分析，形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应包含以下内容：
1）系统概述；
系统边界描述；
网络拓扑；
设备部署；
支撑的业务应用的种类和特性；6)
处理的信息资产；
用户的范围和用户类型；
信息系统的管理框架。
活动输出：信息系统总体措述文件。5.2.2信息系统划分
活动目标：
本活动的目标是依据信息系统的总体描述文件，在综合分析的基础上将组织机构内运行的信息系统进行合理分解，确定所包含可以作为定级对象的信息系统的个数。参与角色：信息系统运营、使用单位，信息安全服务机构。活动输人：信息系统总体描述文件。活动指述：
木活动主要包括以下子活动内容：a）划分方法的选择
一个组织机构可能运行个大型信息系统，为了突出重点保护的等级保护原则，应对大型信息系统进行划分，进行信息系统划分的方法可以有多种，可以考虑管理机构、业务类型、物理位置等因素，信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。b）信息系统划分
依据选择的系统划分原则，将一个组织机构内拥有的大型信息系统进行划分，划分出相对独立的信息系统并作为定级对象，应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中，应该首先考虑组织管理的要素，然后考虑业务类型、物理区域等要素。c）信息系统详细描述
在对信息系统进行划分并确定定级对象后，应在信息系统总体措描述文件的基础上，进一步增加信息系统划分信息的描述，准确指述一个大型信息系统中包括的定级对象的个数。进一步的信息系统详细描述文件应包含以下内容：1）相对独立信息系统列表；
每个定级对象的概述；
每个定级对象的边界；
每个定级对象的设备部署；
每个定级对象支撑的业务应用及其处理的信息资产类型，5）
每个定级对象的服务范围和用户类型；6）
其他内容。
活动输出：信息系统详细描述文件。5.3安全保护等级确定
5.3.1定级、审核和批准
活动目标：
GB/T25058—2010
本活动的目标是按照国家有关管理规范和GB/T22240一2008，确定信息系统的安全保护等级，并对定级结果进行审核和批准，保证定级结果的准确性。参与角色：信息系统主管部门，信息系统运营、使用单位，信息安全服务机构。活动输入：信息系统总体指述文件，信息系统详细描述文件。活动描述：
本活动主要包括以下子活动内容：a）信息系统安全保护等级初步确定根据国家有关管理规范和GB/T22240一2008确定的定级方法，信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。b）定级结果审核和批准
信息系统运营、使用单位初步确定了安全保护等级后，有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。活动输出：信息系统定级评审意见。5.3.2形成定级报告
活动目标：
本活动的目标是对定级过程中产生的文档进行整理，形成信息系统定级结果报告。参与角色：信息系统主管部门，信息系统运营、使用单位。活动输人：信息系统总体措述文件，信息系统详细描述文件，信息系统定级结果。活动措述：
对信息系统的总体措述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理，形成文件化的信息系统定级结果报告。信息系统定级结果报告可以包含以下内容：a）单位信息化现状概述；
管理模式；
信息系统列表；
每个信息系统的概述；
每个信息系统的边界；
每个信息系统的设备部署；
每个信息系统支撑的业务应用；信息系统列表、安全保护等级以及保护要求组合；i）其他内容。
活动输出：信息系统安全保护等级定级报告。GB/T25058—2010
6总体安全规划
总体安全规划阶段的工作流程
总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运营（运行》的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。总体安全规划阶段的工作流程见图3。输入
信息系统详细描述文件
信息系统安全保护等级定级报告信息系统相关的其他文档
信息系统安全等级保护基本要求信息系绕详细描述文件
信息系统安全保护等级定级报告信息系统安全等级保护基本要求安全需求分析报告
信息系统安全总体方案
机构或单位信息化建设的
中长期发展规划
6.2安全需求分析
基本安全需求的确定
活动目标：
主要过程
安全需求分析
总体安全设计
安全建设项目规划
图3总体安全规划工作流程
安全需求分析报告
信息系统安全总体方案
信息系统安全建设项目计划
本活动的目标是根据信息系统的安全保护等级，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出信息系统的基本安全保护需求。参与角色：信息系统运营、使用单位，信息安全服务机构，信息安全等级测评机构。活动输人：信息系统详细描述文件，信息系统安全保护等级定级报告，信息系统相关的其他文档，信息系统安全等级保护基本要求。活动描述：
本活动主要包括以下子活动内容：a）确定系统范围和分析对象
明确不同等级信息系统的范围和边界，通过调查或查阅资料的方式，了解信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定每个等级信息系统的分析对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。
b）形成评价指标和评估方案
GB/T25058—2010
根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标，形成评价指标。根据评价指标，结合确定的具体对象制定可以操作的评估方案，评估方案可以包含以下内容：
管理状况评估表格；
网络状况评估表格
网络设备(含安全设备)评估表格；4
主机设备评估表格；
主要设备安全测试方案，
6）重要操作的作业指导书。
c）现状与评价指标对比
通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估，判断安全技术和安全管理的各个方面与评价指标的符合程度，给出判断结论。整理和分析不符合的评价指标，确定信息系统安全保护的基本需求。活动输出：基本安全需求。
6.2.2特殊安全需求的确定
活动目标：
本活动的目标是通过对信息系统重要资产特殊保护要求的分析，确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分，采用需求分析或风险分析的方法，确定可能的安全风险，判断对超出等级保护基本要求部分实施特殊安全措施的必要性，提出信息系统的特殊安全保护需求。参与角色：信息系统运营、使用单位，信息安全服务机构。活动输人：信息系统详细措述文件，信息系统安全保护等级定级报告，信息系统相关的其他文档。活动描述：
确定特殊安全需求可以采用目前成熟或流行的需求分析或风险分析方法，或者采用下面介绍的活动：
a）重要资产的分析
明确信息系统中的重要部件，如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等。
b）重要资产安全弱点评估
检查或判断上述重要部件可能存在的弱点，包括技术上和管理上的：分析安全弱点被利用的可能性。
重要资产面临威胁评估
分析和判断上述重要部件可能面临的威胁，包括外部的威胁和内部的威胁，威胁发生的可能性或概率。
d）综合风险分析
分析威胁利用弱点可能产生的结果，结果产生的可能性或概率，结果造成的损害或影响的大小，以及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的要求。
活动输出：重要资产的特殊保护要求。6.2.3形成安全需求分析报告
活动目标：
本活动的目标是总结基本安全需求和特殊安全需求，形成安全需求分析报告。参与角色：信息系统运营、使用单位，信息安全服务机构。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。