信息安全技术 信息系统安全等级保护实施指南
Information Security Technology- Implementation guide for classified protection of information system
GB/T 25058-2010
信息安全技术 信息系统安全等级保护实施指南
2011.02.01
目 次
前言 ................................................................................ III
引言 ................................................................................. IV
1 范围 ............................................................................... 1
2 规范性引用文件 ..................................................................... 1
3 术语和定义 ......................................................................... 1
4 等级保护实施概述 ................................................................... 1
4.1 基本原则 ......................................................................... 1
4.2 角色和职责 ....................................................................... 1
4.3 实施的基本流程 ................................................................... 2
5 信息系统定级 ....................................................................... 4
5.1 信息系统定级阶段的工作流程 ....................................................... 4
5.2 信息系统分析 ..................................................................... 4
5.2.1 系统识别和描述 ................................................................. 4
5.2.2 信息系统划分 ................................................................... 5
5.3 安全保护等级确定 ................................................................. 6
5.3.1 定级、审核和批准 ............................................................... 6
5.3.2 形成定级报告 ................................................................... 6
6 总体安全规划 ....................................................................... 7
6.1 总体安全规划阶段的工作流程 ....................................................... 7
6.2 安全需求分析 ..................................................................... 8
6.2.1 基本安全需求的确定 ............................................................. 8
6.2.2 额外/特殊安全需求的确定 ........................................................ 9
6.2.3 形成安全需求分析报告 ........................................................... 9
6.3 总体安全设计 .................................................................... 10
6.3.1 总体安全策略设计 .............................................................. 10
6.3.2 安全技术体系结构设计 .......................................................... 10
6.3.3 整体安全管理体系结构设计 ...................................................... 11
6.3.4 设计结果文档化 ................................................................ 12
6.4 安全建设项目规划 ................................................................ 12
6.4.1 安全建设目标确定 .............................................................. 13
6.4.2 安全建设内容规划 .............................................................. 13
6.4.3 形成安全建设项目计划 .......................................................... 14
7 安全设计与实施 .................................................................... 15
7.1 安全设计与实施阶段的工作流程 .................................................... 15
7.2 安全方案详细设计 ................................................................ 16
7.2.1 技术措施实现内容设计 .......................................................... 16
7.2.2 管理措施实现内容设计 .......................................................... 16
7.2.3 设计结果文档化 ................................................................ 17
7.3 管理措施实现 .................................................................... 17
7.3.1 管理机构和人员的设置 .......................................................... 17
7.3.2 管理制度的建设和修订 .......................................................... 17
7.3.3 人员安全技能培训 .............................................................. 18
7.3.4 安全实施过程管理 ..............................................................
18
7.4 技术措施实现 .................................................................... 19
7.4.1 信息安全产品采购 .............................................................. 19
7.4.2 安全控制开发 .................................................................. 20
7.4.3 安全控制集成 .................................................................. 20
7.4.4 系统验收 ...................................................................... 21
8 安全运行与维护 .................................................................... 22
8.1 安全运行与维护阶段的工作流程 .................................................... 22
8.2 运行管理和控制 .................................................................. 23
8.2.1 运行管理职责确定 .............................................................. 23
8.2.2 运行管理过程控制 .............................................................. 24
8.3 变更管理和控制 .................................................................. 24
8.3.1 变更需求和影响分析 ............................................................ 24
8.3.2 变更过程控制 .................................................................. 25
8.4 安全状态监控 .................................................................... 25
8.4.1 监控对象确定 .................................................................. 25
8.4.2 监控对象状态信息收集 .......................................................... 26
8.4.3 监控状态分析和报告 ............................................................ 26
8.5 安全事件处置和应急预案 .......................................................... 26
8.5.1 安全事件分级 .................................................................. 27
8.5.2 应急预案制定 .................................................................. 27
8.5.3 安全事件处置 .................................................................. 27
8.6 安全检查和持续改进 .............................................................. 28
8.6.1 安全状态检查 .................................................................. 28
8.6.2 改进方案制定 .................................................................. 29
8.6.3 安全改进实施 .................................................................. 29
8.7 等级测评 ........................................................................ 29
8.8 系统备案 ........................................................................ 30
8.9 监督检查 ........................................................................ 30
9 信息系统终止 ...................................................................... 30
9.1 信息系统终止阶段的工作流程 ...................................................... 30
9.2 信息转移、暂存和清除 ............................................................ 31
9.3 设备迁移或废弃 .................................................................. 31
9.4 存储介质的清除或销毁 ............................................................ 32
附录A(规范性附录)主要过程及其活动输出 .............................................. 33
引 言
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
——GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南;
——GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/22240-2008介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T 22239-2008、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T 22239-2008、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T 22239-2008是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。 对信息系统的安全等级保护应从GB/T 22239-2008出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和 GB/T20271-2006等标准的要求。 除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。
信息系统安全等级保护实施指南
1 范围
本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。
2 规范性引用文件
下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术 词汇 第8部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南
3 术语和定义
GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。
3.1 等级测评 classified security testing and evaluation 确定信息系统安全保护能力是否达到相应等级基本要求的过程。
4 等级保护实施概述
4.1 基本原则
信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则:
a) 自主保护原则
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
b) 重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
c) 同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
d) 动态调整原则
要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
4.2 角色和职责
信息系统安全等级保护实施过程中涉及的各类角色和职责如下:
a) 国家管理部门
公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
b) 信息系统主管部门
负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
c) 信息系统运营、使用单位
负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。
d) 信息安全服务机构
负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。
e) 信息安全等级测评机构
负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。
f) 信息安全产品供应商
负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。