信息安全技术网络安全等级保护实施指南(GB-T 25058-2019).docx

《信息安全技术网络安全等级保护实施指南(GB-T 25058-2019).docx》由会员分享，可在线阅读，更多相关《信息安全技术网络安全等级保护实施指南(GB-T 25058-2019).docx（52页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.040L 80中华人民共和国国家标准GB/T 25058XXXX代替GB/T 25058-2010 信息安全技术 网络安全等级保护实施指南Information security technology-Implementation guide for classified cybersecurity protection点击此处添加与国际标准一致性程度的标识（本稿完成日期：2017-09-18）XXXX - XX - XX发布XXXX - XX - XX实施GB/T 25058XXXX目次前言IV1范围12规范性引用文件13术语和定义14等级保护实施概述14.1基本原则14.2角色

2、和职责24.3实施的基本流程25等级保护对象定级与备案35.1定级与备案阶段的工作流程35.2行业/领域定级工作45.3等级保护对象分析55.3.1对象重要性分析55.3.2定级对象确定65.4安全保护等级确定75.4.1定级、审核和批准75.4.2形成定级报告75.5定级结果备案86总体安全规划86.1总体安全规划阶段的工作流程86.2安全需求分析96.2.1基本安全需求的确定96.2.2特殊安全需求的确定96.2.3形成安全需求分析报告106.3总体安全设计106.3.1总体安全策略设计106.3.2安全技术体系结构设计116.3.3整体安全管理体系结构设计136.3.4设计结果文档化14

3、6.4安全建设项目规划146.4.1安全建设目标确定156.4.2安全建设内容规划156.4.3形成安全建设项目规划157安全设计与实施167.1安全设计与实施阶段的工作流程167.2安全方案详细设计177.2.1技术措施实现内容的设计177.2.2管理措施实现内容的设计187.2.3设计结果的文档化187.3技术措施的实现187.3.1网络安全产品或服务采购197.3.2安全控制的开发197.3.3安全控制集成207.3.4系统验收217.4管理措施的实现217.4.1安全管理制度的建设和修订217.4.2安全管理机构和人员的设置227.4.3安全实施过程管理228安全运行与维护238.1安

4、全运行与维护阶段的工作流程238.2运行管理和控制248.2.1运行管理职责确定248.2.2运行管理过程控制258.3变更管理和控制258.3.1变更需求和影响分析258.3.2变更过程控制268.4安全状态监控268.4.1监控对象确定268.4.2监控对象状态信息收集278.4.3监控状态分析和报告278.5安全自查和持续改进278.5.1安全状态自查278.5.2改进方案制定288.5.3安全改进实施288.6服务商管理和监控298.6.1服务商选择298.6.2服务商管理298.6.3服务商监控308.7等级测评318.8监督检查319应急响应与保障319.1应急响应与保障的工作流程

5、319.2应急准备与预案329.2.1应急组织329.2.2应急预案329.2.3应急演练339.3应急监测与响应339.3.1监测预警339.3.2信息报送与共享349.3.3应急响应349.4后期评估与改进359.5应急保障3510等级保护对象终止3510.1等级保护对象终止阶段的工作流程3510.2信息转移、暂存和清除3610.3设备迁移或废弃3610.4存储介质的清除或销毁37附录A（规范性附录）主要过程及其活动输出38前言本标准按照GB/T 1.12009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。本标准代替GB/T 25058-2010信息安全技术 信息系统安全等级保

6、护实施指南，与GB/T 250582010相比，主要技术变化如下：标准名称由“信息安全技术 信息系统安全等级保护实施指南”变更为“信息安全技术 网络安全等级保护实施指南”。全文将“信息系统”调整为“等级保护对象”或“定级对象”，将国家标准“信息系统安全等级保护基本要求”调整为“网络安全等级保护基本要求”。考虑到云计算等新技术新应用在实施过程中的特殊处理，根据需要，相关章条增加云计算、移动互联、大数据等相关内容（见5.3.2、6.3.2、7.2.1、7.3.2）。将各部分已有内容进一步细化，使其能够指导单位针对新建等级保护对象的等级保护工作（见6.3.2、7.4.3）。在等级保护对象定级阶段，增

7、加了行业/领域主管单位的工作过程（见5.2）；增加了云计算、移动互联、物联网、工控、大数据定级的特殊关注点（见5.3，2010版的5.2）。在总体安全规划阶段，增加了行业等级保护管理规范和技术标准相关内容，即明确了基本安全需求既包括国家等级保护管理规范和技术标准提出的要求，也包括行业等级保护管理规范和技术标准提出的要求。（见6.2.1，2010版的6.2.1）。在总体安全规划阶段，增加了“设计等级保护对象的安全技术体系架构”内容，要求根据机构总体安全策略文件、GB/T 22239和机构安全需求，设计安全技术体系架构，并提供了安全技术体系架构图。此外，增加了云计算、移动互联网等新技术的安全保护技

8、术措施（见6.3.2，2010版的6.3.2）。在总体安全规划阶段，增加了“设计等级保护对象的安全管理体系框架”内容，要求根据GB/T 22239、安全需求分析报告等，设计安全管理体系框架，并提供了安全管理体系框架（见6.3.3，2010版的6.3.3）。在安全设计与实施阶段，将“技术措施实现”与“管理措施实现”调换顺序（见7.3、7.4，2010版的7.3、7.4）；将“人员安全技能培训”合并到“安全管理机构和人员的设置”中（见7.4.2,2010版的7.3.1、7.3.3）；将“安全管理制度的建设和修订”与“安全管理机构和人员的设置”调换顺序（见7.4.1、7.4.2,2010版的7.4.

9、1、7.4.2）。在安全设计与实施阶段，在技术措施实现中增加了对于云计算、移动互联网等新技术的风险分析、技术防护措施实现等要求（见7.2.1，2010版的7.2.1）；在测试环节中，更侧重安全漏洞扫描、渗透测试等安全测试内容（见7.3.2，2010版的7.3.2）。在安全设计与实施阶段，在原有信息安全产品供应商的基础上，增加网络安全服务机构的评价和选择要求（见7.3.1）；安全控制集成中，增加安全态势感知、监测通报预警、应急处置追踪溯源等安全措施的集成（见7.3.3）；安全管理制度的建设和修订要求中，增加要求总体安全方针、安全管理制度、安全操作规程、安全运维记录和表单四层体系文件的一致性（见7

10、.4.1）；安全实施过程管理中，增加整体管理过程的活动内容描述（见7.4.3）。在安全运行与维护阶段，增加服务商管理和监控（见8.6）；删除了“安全事件处置和应急预案”（2010版8.5）；删除了“系统备案”（2010版8.8）；修改了“监督检查”的内容（8.8，2012版8.9）。增加了应急响应与保障阶段（见第9章）。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准起草单位：公安部第三研究所、信息产业信息安全测评中心、北京安信天行科技有限公司。本标准主要起草人：袁静、任卫红、黎水林、毕马

11、宁、刘健、徐爽亮、王然、张益、江雷、赵泰、马力、李明、于东升、陈广勇、沙淼淼、朱建平、曲洁、李升、刘静、罗峥。本标准所代替标准的历次版本发布情况：GB/T 25058-2010。43信息安全技术 网络安全等级保护实施指南1 范围本标准规定了等级保护对象安全等级保护工作实施的过程，适用于指导等级保护对象安全等级保护工作的实施。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB 178591999 计算机信息系统安全保护等级划分准则GB/Z 20986-2007 信息安全

12、技术 信息安全事件分类分级指南GB/T 22239 信息安全技术 信息系统安全等级保护基本要求3 术语和定义GB/T 25069-2010和GB 178591999界定的术语和定义适用于本文件。4 等级保护实施概述4.1 基本原则安全等级保护的核心是将等级保护对象划分等级，按标准进行建设、管理和监督。安全等级保护实施过程中应遵循以下基本原则：a) 自主保护原则等级保护对象运营、使用单位及其主管部门按照国家相关法规和标准，自主确定等级保护对象的安全保护等级，自行组织实施安全保护。b) 重点保护原则根据等级保护对象的重要程度、业务特点，通过划分不同安全保护等级的等级保护对象，实现不同强度的安全保护

13、，集中资源优先保护涉及核心业务或关键信息资产的等级保护对象。c) 同步建设原则等级保护对象在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设网络安全设施，保障网络安全与信息化建设相适应。d) 动态调整原则要跟踪定级对象的变化情况，调整安全保护措施。由于定级对象的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定定级对象的安全保护等级，根据其安全保护等级的调整情况，重新实施安全保护。4.2 角色和职责等级保护对象安全等级保护实施过程中涉及的各类角色和职责如下：a) 等级保护管理部门等级保护管理部门依照等级保护相关

14、法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。b) 主管部门负责依照国家网络安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区等级保护对象运营、使用单位的网络安全等级保护工作。c) 运营、使用单位负责依照国家网络安全等级保护的管理规范和技术标准，确定其等级保护对象的安全保护等级，有主管部门的，应当报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手续；按照国家网络安全等级保护管理规范和技术标准，进行等级保护对象安全保护的规划设计；使用符合国家有关规定，满足等级保护对象安全保护等级需求的信息技术产品和网络安全产品，开展安全建设或者

15、改建工作；制定、落实各项安全管理制度，定期对等级保护对象的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同等级网络安全事件的响应、处置预案，对网络安全事件分等级进行应急处置。d) 网络安全服务机构负责根据运营、使用单位的委托，依照国家网络安全等级保护的管理规范和技术标准，协助运营、使用单位完成等级保护的相关工作，包括确定其等级保护对象的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造、提供服务支撑平台等。e) 网络安全等级测评机构负责根据运营、使用单位的委托或根据等级保护管理部门的授权，协助运营、使用单位或等级保

16、护管理部门，按照国家网络安全等级保护的管理规范和技术标准，对已经完成等级保护建设的等级保护对象进行等级测评；对网络安全产品供应商提供的网络安全产品进行安全测评。f) 网络安全产品供应商负责按照国家网络安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的网络安全产品，接受安全测评；按照等级保护相关要求销售网络安全产品并提供相关服务。4.3 实施的基本流程对等级保护对象实施等级保护的基本流程见图1。图1 安全等级保护工作实施的基本流程在安全运行与维护阶段，等级保护对象因需求变化等原因导致局部调整，而其安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安

17、全措施，确保满足等级保护的要求；当等级保护对象发生重大变更导致安全保护等级变化时，应从安全运行与维护阶段进入等级保护对象定级与备案阶段，重新开始一轮网络安全等级保护的实施过程。等级保护对象在运行与维护过程中，发生安全事件时可能会发生应急响应与保障。等级保护对象安全等级保护实施的基本流程中各个阶段的主要过程、活动、输入和输出见附录A。5 等级保护对象定级与备案5.1 定级与备案阶段的工作流程等级保护对象定级阶段的目标是运营、使用单位按照国家有关管理规范和定级标准，确定等级保护对象及其安全保护等级，并组织专家评审。运营、使用单位有主管部门的，应当经主管部门审核、批准，并报公安机关备案审查。等级保护

18、对象定级与备案阶段的工作流程见图2。图2 定级与备案阶段工作流程5.2 行业/领域定级工作活动目标：本活动的目标是行业/领域主管部门在必要时可组织梳理行业/领域的主要社会功能/职能及作用，分析履行主要社会功能/职能所依赖的主要业务及服务范围，最后依据分析和整理的内容形成行业/领域的业务总体描述性文档。参与角色：主管部门，网络安全服务机构。活动输入：行业介绍文档，定级标准。活动描述：本活动主要包括以下子活动内容：a) 识别、分析行业/领域重要性主管部门可组织梳理本行业/领域的行业特征、业务范围、主要社会功能/职能和生产产值等信息，分析主要社会功能/职能在保障国家安全、经济发展、社会秩序、公共服务

19、等方面发挥的重要作用。b) 识别行业/领域的主要业务主管部门可组织梳理本行业/领域内主要依靠信息化处理的业务情况，并按照业务承载的社会功能/职能的重要程度、其他行业对其的依赖程度等方面确定本行业/领域内的主要业务。c) 定级指导主管部门可组织分析本行业/领域内的主要业务，并根据业务信息重要性和业务服务重要性分析各主要业务的安全保护要求，结合行业/领域自身情况，形成针对主要业务的行业/领域定级指导意见。跨省或者全国统一联网运行的等级保护对象可以由主管部门统一确定安全保护等级。d) 定级工作部署主管部门可制定本行业/领域的定级指导意见，并统一部署全行业/领域的定级工作。行业/领域主管部门应对下属单

20、位的定级结果进行审核、批准。活动输出：行业/领域的业务总体描述文件，行业/领域定级指导意见，行业/领域定级工作部署文件。5.3 等级保护对象分析5.3.1 对象重要性分析活动目标：本活动的目标是通过收集了解有关等级保护对象的信息，并对信息进行综合分析和整理，分析单位的主要社会功能/职能及作用，确定履行主要社会功能/职能所依赖的等级保护对象，整理等级保护对象处理的业务及服务范围，最后依据分析和整理的内容，有行业/领域定级指导意见的还应依据行业/领域定级指导意见，形成单位内等级保护对象的总体描述性文档。参与角色：运营、使用单位，网络安全服务机构。活动输入：单位情况说明文档，等级保护对象的立项、建设

21、和管理文档，行业/领域定级指导意见。活动描述：本活动主要包括以下子活动内容：a) 识别单位的基本信息调查了解等级保护对象所属单位的业务范围、主要社会功能/职能和生产产值等信息，分析主要社会功能/职能在保障国家安全、经济发展、社会秩序、公共服务等方面发挥的重要作用。b) 识别单位的等级保护对象基本信息了解单位内主要依靠信息化处理的业务情况，这些业务各自的社会属性和业务内容，确定单位的等级保护对象。并确定等级保护对象的业务范围、地理位置以及其他基本情况，获得等级保护对象的背景信息和联络方式。c) 识别等级保护对象的管理框架了解等级保护对象的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、

22、岗位职责，获得支撑等级保护对象业务运营的管理特征和管理框架方面的信息，从而明确等级保护对象的安全责任主体。 d) 识别等级保护对象的网络及设备部署了解等级保护对象的物理环境、网络拓扑结构和硬件设备的部署情况，在此基础上明确等级保护对象的边界，即确定等级保护对象及其范围。e) 识别等级保护对象的业务特性了解单位内主要依靠信息化处理的各种业务及业务流程，从中明确支撑单位业务运营的等级保护对象的业务特性。f) 识别等级保护对象处理的信息资产了解等级保护对象处理的信息资产的类型，这些信息资产在保密性、完整性和可用性等方面的重要性程度。g) 识别用户范围和用户类型根据用户或用户群的分布范围了解等级保护对

23、象的服务范围、作用以及业务连续性方面的要求等。h) 等级保护对象描述对收集的信息进行整理、分析，形成对等级保护对象的总体描述文件。一个典型的等级保护对象的总体描述文件应包含以下内容：1) 等级保护对象概述；2) 等级保护对象重要性分析；3) 等级保护对象边界描述；4) 网络拓扑；5) 设备部署；6) 支撑的业务应用的种类和特性；7) 处理的信息资产；8) 用户的范围和用户类型；9) 等级保护对象的管理框架。活动输出：等级保护对象总体描述文件。5.3.2 定级对象确定活动目标：本活动的目标是依据单位的等级保护对象总体描述文件（有行业/领域定级指导意见的还应依据行业/领域定级指导意见），在综合分析

24、的基础上将单位内运行的等级保护对象进行合理分解，确定所包含的定级对象及其个数。参与角色：运营、使用单位，网络安全服务机构。活动输入：行业/领域定级指导意见，行业/领域定级工作部署文件，等级保护对象总体描述文件，定级标准。活动描述：本活动主要包括以下子活动内容：a) 划分方法的选择为了突出重点保护的等级保护原则，运营、使用单位应对大型等级保护对象进行划分，划分的方法可以有多种，可以考虑管理机构、业务类型、物理位置等因素，运营、使用单位应该根据本单位的具体情况确定等级保护对象的分解原则。b) 等级保护对象划分依据选择的等级保护对象划分原则，参考行业/领域定级指导意见（若有行业/领域定级指导意见），

25、运营、使用单位应将大型等级保护对象进行划分，划分出相对独立的对象作为定级对象，应保证每个相对独立的对象具备定级对象的基本特征。在等级保护对象划分的过程中，应该首先考虑组织管理的要素，然后考虑业务类型、物理区域等要素。承载比较单一的业务应用或者承载相对独立的业务应用的对象应作为单独的定级对象。对于电信网、广播电视传输网等基础网络设施，应分别依据安全责任主体、服务类型和服务地域等因素将其划分为不同的定级对象。跨省的行业或单位内部专用网可作为一个整体对象定级，或分区域划分为若干个定级对象。在云计算环境中，应将云服务商侧的云计算平台单独作为定级对象定级，云服务客户侧的等级保护对象也应作为单独的定级对象

26、定级。对于大型云计算平台，宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。物联网主要包括感知、网络传输和处理应用等特征要素，应将以上要素作为一个整体对象定级，各要素不单独定级。对于工业控制系统，其一般包含现场采集执行、现场控制、过程控制和生产管理等特征要素。其中，现场采集执行、现场控制、过程控制等要素应作为一个整体对象定级，各要素不单独定级；生产管理要素可单独定级。对于大型工业控制系统，可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。采用移动互联技术的等级保护对象主要包括移动终端、移动应用和无线网络等特征要素，应与相关有线网络业务系统作为一个整体对象定级。c)

27、 定级对象详细描述在对等级保护对象进行划分并确定定级对象后，应在等级保护对象总体描述文件的基础上，进一步增加定级对象的描述，准确描述一个大型等级保护对象中包括的定级对象的个数。进一步的定级对象详细描述文件应包含以下内容：1) 相对独立的定级对象列表；2) 每个定级对象的概述；3) 每个定级对象的边界；4) 每个定级对象的设备部署；5) 每个定级对象支撑的业务应用及其处理的信息资产类型；6) 每个定级对象的服务范围和用户类型；7) 其他内容。活动输出：定级对象详细描述文件。5.4 安全保护等级确定5.4.1 定级、审核和批准活动目标：本活动的目标是按照国家有关管理规范和定级标准，确定定级对象的安

28、全保护等级，并对定级结果进行评审、审核和审查，保证定级结果的准确性。参与角色：主管部门，运营、使用单位，网络安全服务机构。活动输入：行业/领域定级指导意见，等级保护对象总体描述文件，定级对象详细描述文件。活动描述：本活动主要包括以下子活动内容：a) 定级对象安全保护等级初步确定根据国家有关管理规范、行业/领域定级指导意见（若有则作为依据）以及定级方法，运营、使用单位对每个定级对象确定初步的安全保护等级。b) 定级结果评审运营、使用单位初步确定了安全保护等级后，必要时可以组织网络安全专家和业务专家对初步定级结果的合理性进行评审，并出具专家评审意见。c) 定级结果审核、批准运营、使用单位初步确定了

29、安全保护等级后，有明确主管部门的，应将初步定级结果上报行业/领域主管部门或上级主管部门进行审核、批准。行业/领域主管部门或上级主管部门应对初步定级结果的合理性进行审核，出具审核意见。运营、使用单位应定期自查等级保护对象等级变化情况以及新建系统定级情况，并及时上报主管部门进行审核、批准。活动输出：等级保护对象定级结果，主管部门审批意见。5.4.2 形成定级报告活动目标：本活动的目标是对定级过程中产生的文档进行整理，形成等级保护对象定级结果报告。参与角色：主管部门，运营、使用单位。活动输入：等级保护对象总体描述文件，详细描述文件，定级结果。活动描述：对等级保护对象的总体描述文档、详细描述文件、定级

30、结果等内容进行整理，形成文件化的定级结果报告。定级结果报告可以包含以下内容：a) 单位信息化现状概述；b) 管理模式；c) 定级对象列表；d) 每个定级对象的概述；e) 每个定级对象的边界；f) 每个定级对象的设备部署；g) 每个定级对象支撑的业务应用；h) 定级对象列表、安全保护等级以及保护要求组合；i) 其他内容。活动输出：等级保护对象安全保护等级定级报告。5.5 定级结果备案活动目标：本活动的目标是根据等级保护管理部门对备案的要求，整理相关备案材料，并向受理备案的单位提交备案材料。参与角色：主管部门，运营、使用单位，等级保护管理部门。活动输入：定级报告，主管部门审核意见，等级保护对象安全

31、总体方案，安全详细设计方案，安全等级测评报告（第三级及以上等级系统需要提供）。活动描述：本活动主要包括以下子活动内容：a) 备案材料整理运营、使用单位在等级保护对象建设之初根据其将要承载的业务信息及系统服务的重要性确定等级保护对象的安全保护等级，并针对备案材料的要求，整理、填写备案材料。b) 备案材料提交根据等级保护管理部门的要求办理定级备案手续，提交备案材料（新建等级保护对象可在等级测评实施完毕补充提交等级测评报告）；等级保护管理部门接收备案材料，出具备案证明。活动输出：备案材料，备案证明。6 总体安全规划6.1 总体安全规划阶段的工作流程总体安全规划阶段的目标是根据等级保护对象的划分情况、

32、等级保护对象的定级情况、等级保护对象承载业务情况，通过分析明确等级保护对象安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的等级保护对象安全建设工程实施。总体安全规划阶段的工作流程见图3。图3 总体安全规划阶段工作流程6.2 安全需求分析6.2.1 基本安全需求的确定活动目标：本活动的目标是根据等级保护对象的安全保护等级，提出等级保护对象的基本安全保护需求。参与角色：运营、使用单位，网络安全服务机构。活动输入：等级保护对象详细描述文件，等级保护对象安全保护等级定级报告，等级保护对象相关的其它文档，GB/T 22239，行业基本要求。活动描述：本活动主要包括

33、以下子活动内容：a) 确定等级保护对象范围和分析对象明确不同等级的等级保护对象的范围和边界，通过调查或查阅资料的方式，了解等级保护对象的业务应用、业务流程等情况。b) 形成基本安全需求根据各个等级保护对象的安全保护等级从GB/T 22239、行业基本要求中选择相应等级的要求，形成基本安全需求。对于已建等级保护对象，应根据等级测评结果分析整改需求，形成基本安全需求。活动输出：基本安全需求。6.2.2 特殊安全需求的确定活动目标：本活动的目标是通过分析重要资产的特殊保护要求，采用需求分析或风险分析的方法，确定可能的安全风险，判断实施特殊安全措施的必要性，提出等级保护对象的特殊安全保护需求。参与角色

34、：运营、使用单位，网络安全服务机构。活动输入：等级保护对象详细描述文件，等级保护对象安全保护等级定级报告，等级保护对象相关的其它文档。活动描述：确定特殊安全需求可以采用目前成熟或流行的需求分析或风险分析方法，或者采用下面介绍的活动：a) 重要资产分析明确等级保护对象中的重要部件，如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等。b) 重要资产安全弱点评估检查或判断上述重要部件可能存在的弱点（包括技术和管理两方面），分析安全弱点被利用的可能性。c) 重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁，包括外部、内部的威胁，威胁发生的可能性或概率。d) 综合风险分析分析威胁

35、利用弱点可能产生的结果，结果产生的可能性或概率，结果造成的损害或影响的大小，以及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的要求。活动输出：重要资产的特殊保护要求。6.2.3 形成安全需求分析报告活动目标：本活动的目标是总结基本安全需求和特殊安全需求，形成安全需求分析报告。参与角色：运营、使用单位，网络安全服务机构。活动输入：等级保护对象详细描述文件，等级保护对象安全保护等级定级报告，基本安全需求，重要资产的特殊保护要求。活动描述： 本活动主要的子活动是完成安全需求分析报告。根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告。安全需求分析报告可

36、以包含以下内容：a) 等级保护对象描述；b) 基本安全需求描述；c) 特殊安全需求描述。活动输出：安全需求分析报告。6.3 总体安全设计6.3.1 总体安全策略设计活动目标：本活动的目标是形成机构纲领性的安全策略文件，包括确定安全方针，制定安全策略，以便结合等级保护基本要求系列标准、行业基本要求和安全保护特殊要求，构建机构等级保护对象的安全技术体系结构和安全管理体系结构。对于新建的等级保护对象，应在立项时明确其安全保护等级，并按照相应的保护等级要求进行总体安全策略设计。参与角色：运营、使用单位，网络安全服务机构。活动输入：等级保护对象详细描述文件，等级保护对象安全保护等级定级报告，安全需求分析

37、报告。活动描述： 本活动主要包括以下子活动内容：a) 确定安全方针形成机构最高层次的安全方针文件，阐明安全工作的使命和意愿，定义网络安全的总体目标，规定网络安全责任机构和职责，建立安全工作运行模式等。b) 制定安全策略形成机构高层次的安全策略文件，说明安全工作的主要策略，包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、等级保护对象互连策略、信息流控制策略等。活动输出：总体安全策略文件。6.3.2 安全技术体系结构设计活动目标：本活动的目标是根据GB/T 22239、行业基本要求、安全需求分析报告、机构总体安全策略文件等，提出等级保护对象需要实现的安全技术措施，形成机构特定的等级保

38、护对象安全技术体系结构，用以指导等级保护对象分等级保护的具体实现。参与角色：运营、使用单位，网络安全服务机构。活动输入：总体安全策略文件，等级保护对象详细描述文件，等级保护对象安全保护等级定级报告，安全需求分析报告，GB/T 22239，行业基本要求。活动描述： 本活动主要包括以下子活动内容：a) 设计安全技术体系架构根据机构总体安全策略文件、GB/T 22239、行业基本要求和安全需求，设计安全技术体系架构。安全技术防护体系由从外到内的“纵深防御”体系构成，“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏，“通信网络安全防护”保护暴露于外部的

39、通信线路和通信设备，“网络边界安全防护”对等级保护对象实施边界安全防护，内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域，低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则，内部安全区域将实施“主机设备安全防护”和“应用和数据安全防护”，“安全管理中心”对整个等级保护对象实施统一的安全技术管理。等级保护对象的安全技术体系架构见图4。图4 等级保护对象的安全技术体系架构b) 规定不同级别定级对象物理环境的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出不同级别定级对象物理环境的安全保护策略和安全技术措施。定级对象物理环境安全保护策略和安全技术措施提出

40、时应考虑不同级别的定级对象共享物理环境的情况，如果不同级别的定级对象共享同一物理环境，物理环境的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。c) 规定通信网络的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出通信网络的安全保护策略和安全技术措施。通信网络的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况，如果不同级别的定级对象通过通信网络的同一线路和设备传输数据，线路和设备的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。d) 规定不同级别定级对象的边界保护技术措施根据机构总体安全策略文件、等级保护基本要求

41、和安全需求，提出不同级别定级对象边界的安全保护策略和安全技术措施。如果不同级别的定级对象共享同一设备进行边界保护，则该边界设备的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。e) 规定定级对象之间互联的安全技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求，提出跨局域网互联的定级对象之间的信息传输保护策略要求和具体的安全技术措施，包括同级互联的策略、不同级别互联的策略等；提出局域网内部互联的定级对象之间的信息传输保护策略要求和具体的安全技术保护措施，包括同级互联的策略、不同级别互联的策略等。f) 规定不同级别定级对象内部的安全保护技术措施根据机构总体安全策略文件

42、、等级保护基本要求和安全需求，提出不同级别定级对象内部网络平台、系统平台、业务应用和数据的安全保护策略和安全技术保护措施。如果低级别定级对象部署在高级别定级对象的网络区域，则低级别定级对象的系统平台、业务应用和数据的安全保护策略和安全技术措施应满足高级别定级对象的等级保护基本要求。g) 规定云计算、移动互联网等新技术的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求、行业基本要求和安全需求，提出云计算、移动互联网等新技术的安全保护策略和安全技术措施。云计算平台应至少满足其承载的最高级别定级对象的等级保护基本要求。h) 形成等级保护对象安全技术体系结构将骨干网或城域网、通过骨干网或城域

43、网的定级对象互联、局域网内部的定级对象互联、定级对象的边界、定级对象内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总，形成等级保护对象的安全技术体系结构。活动输出：等级保护对象安全技术体系结构。6.3.3 整体安全管理体系结构设计活动目标：本活动的目标是根据等级保护基本要求系列标准、行业基本要求、安全需求分析报告、机构总体安全策略文件等，调整原有管理模式和管理策略，既从全局高度考虑为每个等级的定级对象制定统一的安全管理策略，又从每个定级对象的实际需求出发，选择和调整具体的安全管理措施，最后形成统一的整体安全管理体系结构。参与角色：运营、使用单位，网络安全服务机构。活动输

44、入：总体安全策略文件，等级保护对象详细描述文件，等级保护对象安全保护等级定级报告，安全需求分析报告，GB/T 22239，行业基本要求。活动描述：本活动主要包括以下子活动内容：a) 设计等级保护对象的安全管理体系框架根据等级保护基本要求系列标准、行业基本要求、安全需求分析报告等，设计等级保护对象安全管理体系框架。等级保护对象安全管理体系框架分为四层。第一层为总体方针、安全策略，通过网络安全总体方针、安全策略明确机构网络安全工作的总体目标、范围、原则等。第二层为网络安全管理制度，通过对网络安全活动中的各类内容建立管理制度，约束网络安全相关行为。第三层为安全技术标准、操作规程，通过对管理人员或操作

45、人员执行的日常管理行为建立操作规程，规范网络安全管理制度的具体技术实现细节。第四层为记录、表单，网络安全管理制度、操作规程实施时需填写和需保留的表单、操作记录。等级保护对象的安全管理体系框架见图5。图5 等级保护对象的安全管理体系框架b) 规定网络安全的组织管理体系和对不同级别定级对象的安全管理职责根据机构总体安全策略文件、等级保护基本要求系列标准、行业基本要求和安全需求，提出机构的安全组织管理机构框架，分配不同级别定级对象的安全管理职责、规定不同级别定级对象的安全管理策略等。c) 规定不同级别定级对象的人员安全管理策略根据机构总体安全策略文件、等级保护基本要求系列标准、行业基本要求和安全需求

46、，提出不同级别定级对象的管理人员框架，分配不同级别定级对象的管理人员职责、规定不同级别定级对象的人员安全管理策略等。d) 规定不同级别定级对象机房及办公区等物理环境的安全管理策略根据机构总体安全策略文件、等级保护基本要求系列标准、行业基本要求和安全需求，提出各个不同级别定级对象的机房和办公环境的安全策略。e) 规定不同级别定级对象介质、设备等的安全管理策略根据机构总体安全策略文件、等级保护基本要求系列标准、行业基本要求和安全需求，提出各个不同级别定级对象的介质、设备等的安全策略。f) 规定不同级别定级对象运行安全管理策略根据机构总体安全策略文件、等级保护基本要求系列标准、行业基本要求和安全需求，提出各个不同级别定级对象的安全运行与维护框架和运维安全策略等。g) 规定不同级别定级对象安全事件处置和应急管理策略根据机构总体安全策略文件、等级保护基本要求系列标准、行业基本要求和安全需求，提出各个不同级别定