GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南

GßjT250582010

~

自

立史

~.."'".."..""..."."""""..".."0;"组…………..'"..".."""..雹"""'"""…........毒唰..'"......盟

前言

吃业

号i仨习6…………·醺………………~....国...国.鹏‘'国…...~..N

l……….•.……………"'"锺……回…回…..........l

革围

2提蔽性寻j南文件·

3术语和定义.•.面....'"..

4等摄保护实撞糯摊a…"'''……·蝴唰"""…...."..........……1

4.1基本原则…·

4.2角色和职责...锢........"

4.3祟拖的基本流程......…........…...."........…·咽..............…....~..............2

5信患系辑定提a

5.1信息系统定级捞段的工作流程""..…............…....…,,,,,.,........，，，.昏"""雹3

5.2信息;在载分者76H·H·--aHaH·H-H·H·-…...."................…咽........…..……........................….3

5.3安全保护等级躏定""..""".."...."....""""""…·岳..钮........~..…·…醺…............5

6总体安全规l1J…..............'""'...."'......'"....'"…….."'..&…………........"......盛…"'.."...'"….6

在.1总体安全主虫草j阶段的工作挠程".."....""…....…10"..6

6.2安全需求卦析…."..."..."'"............…..'".."'.."….•.…·……"""""..~6

6.3总体安金设计.."...."..""…........"..…盼"""'….."""…...，......…......…...."..~8

6.4安全建设喃自规:21J""..~""…"""…口.."..".."""..………~",g""",g……"""10

7安全设计与实瞌..….."'..""""'…·唰"'..,..."'"'……·…·….,.12

7.1安全世计与实施酣段的工作流程.."....…..~..~~~..~....~..12

7.2安全方案详细设计…

7.3管理措施实瞌……~....….................曲…..".."..~""…....…....…13

7.4技本措施空军菇，口'组…@….."....…..'""'.."....'"…'"......'"..静…·睡……………,...…........…......………H

8安全最有与蛙护"'"'…"'"'…""18

8.1安全运有与撞护黯段的工作流程……"'………·…幽幽…""""'..…….18

8.2运行管理布拉制…19

8.3至t:J在管理朝控制…19

8.4安全抉杏盟拉…喻……·20

8.5安全事件蛙置和应急盟案…..21

8.6安全栓查和持续改进…23

8.7等主是盟ii乎也....24

8.8系就各案…24

8.9监督雄主量…24

9信息系统主要止…啕…....'"..........25

9.1{言患系镜终止晴在的工样吉克程…25

9.2信崽转移、智存和清酷e…4国…….•………..……""..舍'…....叠.••………...…...."…….•25

9.3设各迁移或~弃'也·26

26

9.4乎于精升腾的清黠琪销毁…..

出....'"........…….27

酣录A(蜒乎在住酣最〉主要过程及其黯

I

标准分享网免费下载

‘--

Gß/T250582010

目U

本标准的附录A是规范性附录。

本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位z公安部信息安全等级保护评估中心。

本标准主要起草人E毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、

罗睁。

山阳

GB/T25058-召010

幅m率-

音i

E习

般m‘《中华人民共和国计算m信息系统安全保护条胡拭国务院147号令L<<国寂信息化领导小辑关

于如强信息安全锯障工作的意鬼))(中舟、发[2003J27号〉、《关于信息安全等摄保护工样的实施意见归公

mi字[2004J66号〉和《信息安全等锻保护管理舟、器>>(公道字[2007J43号)，制走本都准。

本事主准是信阜安全等主在保护相关系列辑推之一。

与本际准相关的主在那标准包辑:

叫一GB/T222402008信息安全技术信阜革镜黄金等提保护定提指南;

GB/T222392008信息安全技术信患系统安全等摄保护基本要求e

在对信息系统实施信息安全等摄保护的过程中，陈桂F在本辑推夕卡，在不同的阶段，适应彝眼其他有

关信息安全等组探护的特推开展工作。

在f吉思主主镜定辈革盼段，应按照GB/T22240…2008升嚣的方踏步确完信息系统安全保护等辙。

在信息系挠总掉安全规如箩安全桂计与实酶，安全运仔与维护和信息系捷生罢止等酷段，应按照

GB178591999、GB/T222392008、也B/T20269.2006、GB/T202702006和GB/T202712006

等技术样?筐，设计、建设特合拮息安全等毒草探护要求的信息系统，开展信息;在镜的运行维护管理工作α

GB178591999,GB/T222392008、GB/T20269--2006、GB/T202702006和GB/T20271-

2006等技术部准是信息系统安全等辑，探护的系到相关配套标准，其中GB178591999是基础性如雄，

GB/T202692006、GB/T20270200号和GB/T20271--2006等是琦GB178591999的进一步细化

相扩展.GB/T22239--2008是以GB17859.1999为基础，提据现有技术发展水平提出的均不!可安全

探护等提信息系统的最基本安全要求，是其她辛苦撞的一个席镜子靠。

黯信息系统的安全等级保护应且GB/T222392008出发，在保证信息系统满足基本安全要求的

基础上，灌步提高琦信息系统的保护本平，最摆满足GB17859.1999、GBjT20269一-2006、

GB/T20270→2006如GB/T202712006等都攘的要求α

除本事主;在幸n上述提到j的挥攘外，在信息系统贯金等辑棵护实施过程中，还可参照和使m

GB/T202722006事1GB/T20273-.2006等其船等摄探护相关技术如准。

N

标准分享网免费下载

GB/T250582010

信息安全技术

1范围.-

本标准规定了信息系统安全等级保护实施的过程，适用于指导信息系统安全等级保护的实施。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有

的修改单(不包括勘误的内容〉或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究

是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T5271.8信息技术词汇第8部分z安全

GB178591999计算机信息系统安全保护等级划分准则

GB/T222402008信息安全技术信息系统安全等级保护定级指南

3术语和定义

GB/T5271.8和GB178591999确立的以及下列术语和定义适用于本标准。

3.1

等级测评c1assifiedsecuritytestingandevaluation

确定信息系统安全保护能力是否达到相应等级基本要求的过程。

4等级保护实施概述

4.1基本原则

信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全

等级保护实施过程中应遵循以下基本原则z

a)自主保护原则

信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等

级，自行组织实施安全保护。

b)重点保护原则

系统，实现不同强度的安

根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信

全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

c)同步建设原则

信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全

设施，保障信息安全与信息化建设相适应。

d)动态调整原则

要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及

其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息

系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。

4.2角色和

信息系统安全等级保护实施过程中涉及的各类角色和职责如下z

1

GB/T25058.2010

a)国家管理部门

公安扭关最责信息安全等摄假护工，千字的监督、拉王军、指导;自家探警工作部门fft责等提保护工悻中

有关保密工作的监督、拉查、指导;国家辛苦码管理部门焦黄等辑保护工件中有关辑晦工作的监督、检查、

F…-、

捷导;费及其他职能部门管辖蕴围的事项，出有关朝能部门蘸照i革家法律法辑的盟章进仔管理;国务草草

信息化工悻舟、公室及地方信崽位领导小理舟事在It梅最费等摄保护工作的部门lì可拼音毒。

的信息系就主管部门

最责棋擂国家信息安全等摄保护的管起去吃藏和技术都准箩督i莲、拉王军和捂导本行业、本部门或者本

她旺信息豆豆毓远晋、使踊单桂的信息安全等辑保护工作。

c)信息系统运营、使用

f在责怯E在国家信患安全等辈革保护的管理规拖和技术挥准，确定其信息系挠的安全保护等级，有主管

部门的，应当摇其主管部门审核批准;提据已经躏克的安全保护等辑，至tl公安主It关办理各案子蟹;按照国

家信患安全等辑保护管理规藏和技本事iK?筐，进有信息系统安全保护的捷克9设计;使踊辛辛合OO~装有关规

定，蹒足信息系辈革安全保护等级需求的信息技术产品相信息安全产品，开展信息系统安全建设或者政建

工作z踹定、落实各项安全管理制度，定期对结息系统的安全状疏、安全操护制度及措拖的落实情况进行

自查，选择符合自家相关兢定的等摄棋H平毛It持箩定期进行等摄酣评z制定不i可等摄信息安全事件的响应、

姓置翻案，X1'信息系统的信息安全事件分等辑进行应牵扯置。

自信息安全服务机枪

负责摄据信息系镜运晋、使用单位的委托，故盹盟主在信患安全等毒草保护的智主理规渣和技本都准，褂

E由{吉崽系挠运营、使m单桂完成等级探护的幸自央工作罗包括确定其结患系挠的安全保护等辑、进行安全

需求分析、安全且体规船、实搞安全建设和置金改造等。

e)信息安全等辑瞿tl评挺持

f迁费摇摇信息系就远膏、使用单位的委托或握据国家管理部门的摆棋，如助信息系统运晋、使用单

位或国家管理部门，按，喃自家信且安全等提保护的管理主撞撞和技术在后擒，)(才巳经完成等级保护建设的信

息;在镜进何等辑翻评;)(才信息安全产品供应商提供的信息安全产品进有安全挺i评。

f)信息安全产品供应商

焦黄按照国家信息安全等~保护的管理规革和技术标准，开发特告等摄保护梧央要求的信息安全

产品，接受安iîti91'I评;接黯等提保护朝关要求销售信息安全产品并提供相关服务。

4.3~号捕的基本器程

时告崽系镜主运直在等级保护的基本草草程且自1.

信息系统定级

总体安全规划

等级变更

安全设计与实施

局部调整

信息系统终止

E哥1i吉阜器童在贵金主事辑保妒5起酶的基本蘸程

2

标准分享网免费下载

且

j醉

在

GB/T250582010

、

在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改

变，应从安全运行与维护阶段进人安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级

'

保护的要求z但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信

息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。

信息系统安全等级保护实施基本流程中各个阶段的主要过程、活动、输入和输出见附录A。

5信息系统定级

F

5.1信息系统定级阶段的工作流程

信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T22240

2008，确定信息系统的安全保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核

批准。

信息系统定级阶段的工作流程见图20

输入输出

信息系统立项文档

信息系统总体描述文件

信息系统建设文档

信息系统详细描述文件

信息系统分析

信息系统管理文挡

信息系统安全保护等级

信息系统总体描述文件

安全保护等级确定

定级报告

信息系统详细描述文件

图2信息系统定级阶段工作流程

5.2信息系统分析

5.2.1系统识别和描述

活动目标z

本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息进

行综合分析和整理，依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。

与角色z信息系统运营、使用单位，信息安全服务机构。

活动输入z信息系统的立项、z队'1H国也〈口。

活动描述z

本活动主要包括以下子活动内容z

a)识别信息系统的基本信息

调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况，获得信息系

统的背景信息和联络方式。

b)识别信息系统的管理框架

了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责，获得支

持信息系统业务运营的管理特征和管理框架方面的信息，从而明确信息系统的安全责任主体。

c)识别信息系统的网络及设备部

了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况，在此基础上明确信息系统的边

,

1

GB/T250582010

界，即躏定定提时盘及其号在国o

d)i)Um告息王军镜的业务种类和特性

-了解事L梅内主要提靠信息系统娃理的业务粹主是和数量，这垫业务各自的杜会属性、业务出容和l.l&.务

前程等?且中明确支持机梅.l&.务培营的信息;在辈革的业务特性，将承革是比较单一的业务J5IL踊或者承载相对

强立的业务班用的倍且系统作为单强的定摄琦象。

e)ì，Jt期业务系统娃盟的信息资产

了解业务系统蛙盟的信息资产的盎骂骂箩这些信息资产在保密性、完整姓和1可用性等方面的重要性

程蓝@

f)i只躬商户茹摆罪11用户提盟主

擂户或用户群的分布拖在骂了解业务系统的服务醒自、f1=:围棋及业务连键性方璋的要王震等。

g)信阜;在辈革描述

时收集的信息进行整理、分析，形.nX;时告崽系统的总体描述文件白一个典盟的信息系挠的总体描述

文件班佳含w:下内容g

1)系统摄述$

2)系统班鼻描述:

的国络捂扑;

的设辑部有;

的支撑的业务应用的种类和特拉5

6)蛙豆豆的{言息资产z

7)踊户的蓓在骂和用户类型;

的信息系统的管理提架。

器草告输出:f言忠系就总体描述文件。

5.2.2倍患羁辑i部分

摇动目标z

本活动的目标是假据信息系挠的单体描述文件，在器合分析的基踏上将盟主只m翰内运行的信息系

镜进仔合理分解，确定蔚包含可以悻为克提时象的信息系统的个数。

参与先色:信息系挠运晋、使盟单位，信息黄金服务就梅。

浩劫输λz信且亲挠总体描述文件。

前草草撞撞z

本摇毒者主要包括以下子摇动内容z

的期分方法的选择

一个盟辑扭楠可能运有一个大辈革信息系统，为了提出重点保护的等提保护嚣醋，J.i主浦大型信息系镜

进行~J分，进行信息系统细舟的方黯可时有多种，可w:母虑管理机楠、业务类型、物理拉置等囱素，信息

系辑的这嚣、使用单位应模模据本单位的具体情况有商定一个系镜的分解盟问。

b)1言且主主统~J分

f主据选择的革镜题分盖醋，将一个组组主It翰内拥有的大型信息系统进抒却j分，是自分出相黯强立的信

系统并作为定提时盘，J5IL保证每个柜)('Í辈革立的信息系镜具各定辑时盘的基本特枉。在结息系统~1分

的过程中，班族首先考虑组辑管理的罢王震，播后考虑业务类型、物理旺域等要职a

d信息系统详细描述

在x-t1吉患系统进行期分井有商):ËJ在提琦盘后，应在信息系镜，单体f茜述文件的基醋上，进一步增加信息

系挠草i分信患的描述.~最有每描述一个大型结患豆豆镜中匍摇的定摄对象的个数。

进一步的信息系统详gæ描盟文件监督含割下内容:

1)相)('Íð直立信息系挠到表;

4

标准分享网免费下载

Gß/T250582010

2)每个定级对象的概述E

3)每个定级对象的边界;

4)每个定级对象的设备部署;

5)每个定级对象支撑的业务应用及其处理的信息资产类型;

6)每个定级对象的服务范围和用户类型z

7)其他内容。

r

,

活动输出=信息系统详细描述文件。

5.3安全保护等级确定

5.3.1定级、审核和批准

活动目标=

本活动的目标是按照国家有关管理规范和GB/T222402008，确定信息系统的安全保护等级，并

对定级结果进行审核和批准，保证定级结果的准确性。

角色z信息系统主管部门，信息系统运营、使用单位，信息安全服务机构。

活动输入z信息系统总体描述文件，信息系统详细描述文件。

活动描述:

本活动主要包括以下子活动内容=

a)信息系统安全保护等级初步确定

根据国家有关管理规范和GB/T222402008确定的定级方法，信息系统运营、使用单位对每个定

级对象确定初步的安全保护等级。

b)定级结果审核和批准

信息系统运营、使用单位初步确定了安全保护等级后，有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以

上信息系统的，运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。

活动输出z信息系统定级评审意见。

5.3.2形成定级报告

活动目标z

本活动的目标是对定级过程中产生的文档进行整理，形成信息系统定级结果报告。

参与角色z信息系统主管部门，信息系统运营、使用单位。

活动输入z信息系统总体描述文件，信息系统详细描述文件，信息系统定级结吊。

活动描述z

对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进

行整理，形成文件化的信息系统定级结果报告。

信息系统定级结果报告可以包含以下内廿E

a)单位信息化现状悦~;

b)管理模式z

c)信息系统列表;

d)每个信息系统的概述p

d每个信息系统的边界z

f)每个信息系统的设备部署;

g)每个信息系统支撑的业务应用;

h)信息系统列表、安全保护等级以及保护要求组合z

i)其他内容。

活动输出z信息系统安全保护等级定级报告。

5

GBjT250582串10

6黯f本萤金主理

6.1单体击是金主盟如野t~量的工悻吉草草草

总体安全捏茸如4阱E瞌吏的目挥是幸辑良据信，阜患系挠的茸盘蜡tl分分'1情霄况、{信吉息童藏董牵镜克的定辍情吕耻己、，信言息系主挠克君承支辑111业i世立务i

况，迪过升事轩f明确f信言崽系统置f金挂需求，t设茸计合王班盟的、f瞒萧足等辍4辄黑护主粟耳求的总钵宝贵王f全桂方案，井制定E出i且i置金实

施计茸先妞tl箩i础;丑i指导后攘吉的告f信主息系挠安企董嘘主t设茸工程实施。对于巴运营〈远非于〉的信息系镜，需求分析应当首先

分析持目开信息系统的安全探护现状与等提保护要求之坷的差距。

总体安全姐姐盼段的工作就程见医83。

输出

输入主要过程

信息系统详细描述文件

信息系统安全保护等级定级报告

安全需求分析

安全需求分析报告

信息系统相关的其他文档

信息系统安全等级保护基本要求

信息系统详细描述文件

信息系统安全保护等级定级报告

总体安全设计

信息系统安全总体方案

信息系统安全等级保护基本妥求

安全需求分析报告

信息系统安全总体方案

安全建设项目规划

信息系统安全建设项目计划

机构或单位信息化建设的

醋3愚体辑工作蘸程

6.2主主盘需求卦前

6.2.1基本索盘需求的在串串

摇动自韩z

本摇动的自辛苦是提据信阜;在挠的安全保护等辙，判断信息系统现有的安全操护本平与国家等辑保

护管辈革盟醒来自技#际准之间的盖距，提出信息系挠的基本安全保护需求。

如色z信革系镜运营、住蹲单位，信患安全服务扭楠，倍崽安全等草草草哥评就擒。

摇动黯人z信息系镜详gæ描述文件，信息革镜安全保护等提定锻提告，信息系挠相关的其她丈髓，信

息系镜安全等提保护基本要求。

黯动描述:

本摇动主要包括以下子摇动内睿z

的确定罪挠革醒和分析对象

明确不同等辑信息系镜的在睦相适鼻，通过调查或查酶资料的方式，了解信息系统的梅战.t里插再

去各拓韩、~务应用、~务蔬程、最告信息、安全措雄;披在已等。韧步确定每个等组信息系统的分析琦象，但

据整体封象9如机5号、吴F公环境、阿结等，也包括具体x1象，如边界设备、博关设备、服务器设菇、工f1::站、

EìZ踊系镜等。

5

标准分享网免费下载

GB/T250582010

b)形成评价指标和评估方案

根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标，形

成评价指标。根据评价指标，结合确定的具体对象制定可以操作的评估方案，评估方案可以包含以下

内容=

1)管理状况评估表格z

D网络状况评估表格z

3)网络设备(含安全设备)评估表格5

0主机设备评估表格F

5)主要设备安全测试方案;

6)重要操作的作业指导书。

c)现状与评价指标对比

过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术

和安全管理方面的评估，判断安全技术和安全管理的各个方面与评价指标的符合程度，给出判断结论。

整理和分析不符合的评价指标，确定信息系统安全保护的基本需求。

出z基本安全需求。

6.2.2特殊安全需求的确定

活动目标z

本活动的目标是通过对信息系统重要资产特殊保护要求的分析，确定超出相应等级保护基本要求

的部分或具有特殊安全保护要求的部分，采用需求分析或风险分析的方法，确定可能的安全风险，判断

对超出等级保护基本要求部分实施特殊安全措施的必要性，提出信息系统的特殊安全保护需求。

参与角色=信息系统运营、使用单位，信息安全服务机构。

活动输人z信息系统详细描述文件，信息系统安全保护等级定级报告，信息系统相关的其他文档。

活动描述z

确定特殊安全需求可以采用目前成熟或流行的需求分析或风险分析方法，或者采用下面介绍的

活动z

a)重要资产的分析

明确信息系统中的重要部件，如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系

统等。

b)重要资产安全弱点评估

检查或判断上述重要部件可能存在的弱点，包括技术上和管理上的5分析安全弱点被利用的可

能性。

c)重要资产面临威胁评估

分析和判断上述重要部件可能面临的威胁，包括外部的威胁和内部的威胁，威胁发生的可能性或

概率。

d)综合风险分析

分析威胁利用弱点可能产生的结果，结果产生的可能性或概率，结果造成的损害或影响的大小，以

及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的

要求。

活动输出z重要资产的特殊保护要求。

6.2.3形成安全需求分析报告

活动目标z

本活动的目标是总结基本安全需求和特殊安全需求，形成安全需求分析报告。

参与角色z信息系统运营、使用单位，信息安全服务机构。

7

GB/T250582010

旦旦时时时…单。起揣求制也酣性垒，'由挝;摄'俨锻啡如础下照也略在梅措全全能技均护阳等金的成需完求旧安船分摇如擂。息安柑统需全轩全保隐护等辄摄隐

动基括前吕患时'击区动…·辛·中盯-梅输合踊安事存系据要安安的摇安程明信成包本动需阳黯基黠要风护动川气摇插完动阳睦求辑叫割队含+川的策·安戚求贵