GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南

ICS35040

L80.

中华人民共和国国家标准

GB/T25058—2010

信息安全技术

信息系统安全等级保护实施指南

Informationsecuritytechnology—

Implementationguideforclassifiedprotectionofinformationsystem

2010-09-02发布2011-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T25058—2010

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

等级保护实施概述………………………

41

基本原则………………

4.11

角色和职责……………

4.21

实施的基本流程………………………

4.32

信息系统定级……………

53

信息系统定级阶段的工作流程………………………

5.13

信息系统分析…………………………

5.23

安全保护等级确定……………………

5.35

总体安全规划……………

66

总体安全规划阶段的工作流程………………………

6.16

安全需求分析…………………………

6.26

总体安全设计…………………………

6.38

安全建设项目规划……………………

6.410

安全设计与实施…………………………

712

安全设计与实施阶段的工作流程……………………

7.112

安全方案详细设计……………………

7.212

管理措施实施…………………………

7.313

技术措施实施…………………………

7.415

安全运行与维护…………………………

818

安全运行与维护阶段的工作流程……………………

8.118

运行管理和控制………………………

8.219

变更管理和控制………………………

8.319

安全状态监控…………………………

8.420

安全事件处置和应急预案……………

8.521

安全检查和持续改进…………………

8.623

等级测评………………

8.724

系统备案………………

8.824

监督检查………………

8.924

信息系统终止……………

925

信息系统终止阶段的工作流程………………………

9.125

信息转移暂存和清除………………

9.2、25

设备迁移或废弃………………………

9.326

存储介质的清除或销毁………………

9.426

附录规范性附录主要过程及其活动输出…………

A()27

Ⅰ

GB/T25058—2010

前言

本标准的附录是规范性附录

A。

本标准由公安部和全国信息安全标准化技术委员会提出

。

本标准由全国信息安全标准化技术委员会归口

。

本标准起草单位公安部信息安全等级保护评估中心

:。

本标准主要起草人毕马宁马力陈雪秀李明朱建平任卫红谢朝海曲洁袁静李升刘静

:、、、、、、、、、、、

罗峥

。

Ⅲ

GB/T25058—2010

引言

依据中华人民共和国计算机信息系统安全保护条例国务院号令国家信息化领导小组关

《》(147)、《

于加强信息安全保障工作的意见中办发号关于信息安全等级保护工作的实施意见公

》([2003]27)、《》(

通字号和信息安全等级保护管理办法公通字号制定本标准

[2004]66)《》([2007]43),。

本标准是信息安全等级保护相关系列标准之一

。

与本标准相关的系列标准包括

:

信息安全技术信息系统安全等级保护定级指南

———GB/T22240—2008;

信息安全技术信息系统安全等级保护基本要求

———GB/T22239—2008。

在对信息系统实施信息安全等级保护的过程中除使用本标准外在不同的阶段还应参照其他有

,,,

关信息安全等级保护的标准开展工作

。

在信息系统定级阶段应按照介绍的方法确定信息系统安全保护等级

,GB/T22240—2008,。

在信息系统总体安全规划安全设计与实施安全运行与维护和信息系统终止等阶段应按照

,,,

和

GB17859—1999、GB/T22239—2008、GB/T20269—2006、GB/T20270—2006GB/T20271—2006

等技术标准设计建设符合信息安全等级保护要求的信息系统开展信息系统的运行维护管理工作

,、,。

和

GB17859—1999、GB/T22239—2008、GB/T20269—2006、GB/T20270—2006GB/T20271—

等技术标准是信息系统安全等级保护的系列相关配套标准其中是基础性标准

2006,GB17859—1999,

和等是对的进一步细化

GB/T20269—2006、GB/T20270—2006GB/T20271—2006GB17859—1999

和扩展是以为基础根据现有技术发展水平提出的对不同安全

,GB/T22239—2008GB17859—1999,

保护等级信息系统的最基本安全要求是其他标准的一个底线子集

,。

对信息系统的安全等级保护应从出发在保证信息系统满足基本安全要求的

GB/T22239—2008,

基础上逐步提高对信息系统的保护水平最终满足

,,GB17859—1999、GB/T20269—2006、

和等标准的要求

GB/T20270—2006GB/T20271—2006。

除本标准和上述提到的标准外在信息系统安全等级保护实施过程中还可参照和使用

,,

和等其他等级保护相关技术标准

GB/T20272—2006GB/T20273—2006。

Ⅳ

GB/T25058—2010

信息安全技术

信息系统安全等级保护实施指南

1范围

本标准规定了信息系统安全等级保护实施的过程适用于指导信息系统安全等级保护的实施

,。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件其随后所有

。,

的修改单不包括勘误的内容或修订版均不适用于本标准然而鼓励根据本标准达成协议的各方研究

(),,

是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本标准

。,。

信息技术词汇第部分安全

GB/T5271.88:

计算机信息系统安全保护等级划分准则

GB17859—1999

信息安全技术信息系统安全等级保护定级指南

GB/T22240—2008

3术语和定义

和确立的以及下列术语和定义适用于本标准

GB/T5271.8GB17859—1999。

31

.

等级测评classifiedsecuritytestingandevaluation

确定信息系统安全保护能力是否达到相应等级基本要求的过程

。

4等级保护实施概述

41基本原则

.

信息系统安全等级保护的核心是对信息系统分等级按标准进行建设管理和监督信息系统安全

、、。

等级保护实施过程中应遵循以下基本原则

:

自主保护原则

a)

信息系统运营使用单位及其主管部门按照国家相关法规和标准