中国标准英文版 数据库收录: 159759 更新: 2024-04-02

GB/T 25058-2010

标准搜索结果: 'GB/T 25058-2010'
标准号码内文价格美元第2步(购买)交付天数标准名称相关标准状态
GB/T 25058-2010 英文版 360 GB/T 25058-2010 3分钟内自动发货[PDF],有增值税发票。 信息安全技术 信息系统安全等级保护实施指南 GB/T 25058-2010 作废

基本信息
标准编号 GB/T 25058-2010 (GB/T25058-2010)
中文名称 信息安全技术 信息系统安全等级保护实施指南
英文名称 Information security technology. Implementation guide for classified protection of information system
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 34,346
发布日期 2010-09-02
实施日期 2011-02-01
引用标准 GB/T 5271.8; GB 17859-1999; GB/T 22240-2008
起草单位 公安部信息安全等级保护评估中心
归口单位 全国信息安全标准化技术委员会
标准依据 国家标准批准发布公告2010年第4号(总第159号)
提出机构 公安部和全国信息安全标准化技术委员会
发布机构 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
范围 本标准规定了信息系统安全等级保护实施的过程, 适用于指导信息系统安全等级保护的实施;

GB/T 25058-2010: 信息安全技术 信息系统安全等级保护实施指南
GB/T 25058-2010 英文名称: Information security technology -- Implementation guide for classified protection of information system
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
信息系统安全等级保护实施指南
1 范围
本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。
4 等级保护实施概述
4.1 基本原则
信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全
等级保护实施过程中应遵循以下基本原则:
a) 自主保护原则
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等
级,自行组织实施安全保护。
b) 重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安
全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
c) 同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全
设施,保障信息安全与信息化建设相适应。
d) 动态调整原则
要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及
其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息
系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
4.2 角色和职责
信息系统安全等级保护实施过程中涉及的各类角色和职责如下:
a) 国家管理部门
公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中
有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、
指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院
信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
b) 信息系统主管部门
负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本
地区信息系统运营、使用单位的信息安全等级保护工作。
c) 信息系统运营、使用单位
负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管
部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国
家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规
定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建
工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行
自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、
处置预案,对信息系统的信息安全事件分等级进行应急处置。
d) 信息安全服务机构
负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协
助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全
需求分析、安全总体规划、实施安全建设和安全改造等。
e) 信息安全等级测评机构
负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单
位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信
息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。
f) 信息安全产品供应商
负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全
产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。
4.3 实施的基本流程
对信息系统实施等级保护的基本流程见图1。
图1 信息系统安全等级保护实施的基本流程
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改
变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级
保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信
息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
信息系统安全等级保护实施基本流程中各个阶段的主要过程、活动、输入和输出见附录A。
5 信息系统定级
5.1 信息系统定级阶段的工作流程
信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和 GB/T 22240-
2008,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。
信息系统定级阶段的工作流程见图2。
5.2 信息系统分析
5.2.1 系统识别和描述
活动目标:本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进
行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统的立项、建设和管理文档。
本活动主要包括以下子活动内容:
a) 识别信息系统的基本信息
调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系
统的背景信息和联络方式。
b) 识别信息系统的管理框架
了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支
持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。
c) 识别信息系统的网络及设备部署
了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边
界,即确定定级对象及其范围。
d) 识别信息系统的业务种类和特性
了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务
流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对
独立的业务应用的信息系统作为单独的定级对象。
e) 识别业务系统处理的信息资产
了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。
f) 识别用户范围和用户类型
根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。
g) 信息系统描述
对收集的信息进行整理、分析,形成对信息系统的总体描述文件。
一个典型的信息系统的总体描述文件应包含以下内容:
1) 系统概述;
2) 系统边界描述;
3) 网络拓扑;
4) 设备部署;
5) 支撑的业务应用的种类和特性;
6) 处理的信息资产;
7) 用户的范围和用户类型;
8) 信息系统的管理框架。
活动输出:信息系统总体描述文件。
5.2.2 信息系统划分
活动目标:
本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系
统进行合理分解,确定所包含可以作为定级对象的信息系统的个数。
参与角色:信息系统运营、使用单位,信息安全服务机构。
本活动主要包括以下子活动内容:
a) 划分方法的选择
一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统
进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息
系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。
b) 信息系统划分
依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信
息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分
的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。
c) 信息系统详细描述
在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息
系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数。
进一步的信息系统详细描述文件应包含以下内容:
1) 相对独立信息系统列表;
2) 每个定级对象的概述;
3) 每个定级对象的边界;
4) 每个定级对象的设备部署;
5) 每个定级对象支撑的业务应用及其处理的信息资产类型;
6) 每个定级对象的服务范围和用户类型;
7) 其他内容。
活动输出:信息系统详细描述文件。
5.3 安全保护等级确定
5.3.1 定级、审核和批准
活动目标:本活动的目标是按照国家有关管理规范和GB/T 22240-2008,确定信息系统的安全保护等级,并
对定级结果进行审核和批准,保证定级结果的准确性。
参与角色:信息系统主管部门,信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统总体描述文件,信息系统详细描述文件。
本活动主要包括以下子活动内容:
a) 信息系统安全保护等级初步确定
根据国家有关管理规范和GB/T 22240-2008确定的定级方法,信息系统运营、使用单位对每个定
级对象确定初步的安全保护等级。
b) 定级结果审核和批准
信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以
上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。
活动输出:信息系统定级评审意见。
5.3.2 形成定级报告
活动目标:本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报告。
参与角色:信息系统主管部门,信息系统运营、使用单位。
活动输入:信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果。
活动描述:对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进
行整理,形成文件化的信息系统定级结果报告。
信息系统定级结果报告可以包含以下内容:
a) 单位信息化现状概述;
b) 管理模式;
c) 信息系统列表;
d) 每个信息系统的概述;
e) 每个信息系统的边界;
f) 每个信息系统的设备部署;
g) 每个信息系统支撑的业务应用;
h) 信息系统列表、安全保护等级以及保护要求组合;
i) 其他内容。
活动输出:信息系统安全保护等级定级报告。
6 总体安全规划
6.1 总体安全规划阶段的工作流程
总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情
况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实
施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先
分析判断信息系统的安全保护现状与等级保护要求之间的差距。
总体安全规划阶段的工作流程见图3。
6.2 安全需求分析
6.2.1 基本安全需求的确定
活动目标:本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保
护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。
参与角色:信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其他文档,信
息系统安全等级保护基本要求。
活动描述:本活动主要包括以下子活动内容:
a) 确定系统范围和分析对象
明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网
络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定每个等级信息系统的分析对象,包
括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
b) 形成评价指标和评估方案
根据各个信......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版