<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T25058-2019 信息安全技術 網絡安全等級保護實施指南
    展開或關閉
    前言
    前言
    1. 范圍
    范圍
    2. 規范性引用文件
    規范性引用文件
    3. 術語和定義
    術語和定義
    4 等級保護實施概述
    4.1 基本原則 4.2 角色和職責 4.3 實施的基本流程
    5 等級保護對象定級與備案
    5.1 定級與備案階段的工作流程 5.2 行業/領域定級工作 5.3 等級保護對象分析 5.4 安全保護等級確定 5.5 定級結果備案
    6 總體安全規劃
    6.1 總體安全規劃階段的工作流程 6.2 安全需求分析 6.3 總體安全設計 6.4 安全建設項目規劃
    7 安全設計與實施
    7.1 安全設計與實施階段的工作流程 7.2 安全方案詳細設計 7.3 技術措施的實現 7.4 管理措施的實現
    8 安全運行與維護
    8.1 安全運行與維護階段的工作流程 8.2 運行管理和控制 8.3 變更管理和控制 8.4 安全狀態監控 8.5 安全自查和持續改進 8.6 服務商管理和監控 8.7 等級測評 8.8 監督檢查
    9 應急響應與保障
    9.1 應急響應與保障的工作流程 9.2 應急準備與預案 9.3 應急監測與響應 9.4 后期評估與改進 9.5 應急保障
    10 等級保護對象終止
    10.1 等級保護對象終止階段的工作流程 10.2 信息轉移、暫存和清除 10.3 設備遷移或廢棄 10.4 存儲介質的清除或銷毀
    附錄A(規范性附錄)主要過程及其活動輸出
    附錄

    5.3 等級保護對象分析

    GB/T25058-2019 信息安全技術 網絡安全等級保護實施指南 /

    5.3 等級保護對象分析

    5.3.1 對象重要性分析

    活動目標:
    本活動的目標是通過收集了解有關等級保護對象的信息,并對信息進行綜合分析和整理,分析單位的主要社會功能/職能及作用,確定履行主要社會功能/職能所依賴的等級保護對象,整理等級保護對象處理的業務及服務范圍,最后依據分析和整理的內容,有行業/領域定級指導意見的還應依據行業/領域定級指導意見,形成單位內等級保護對象的總體描述性文檔。
    參與角色:運營、使用單位,網絡安全服務機構。
    活動輸入:單位情況說明文檔,等級保護對象的立項、建設和管理文檔,行業/領域定級指導意見。
    活動描述:
    本活動主要包括以下子活動內容:
    a) 識別單位的基本信息
    調查了解等級保護對象所屬單位的業務范圍、主要社會功能/職能和生產產值等信息,分析主要社會功能/職能在保障國家安全、經濟發展、社會秩序、公共服務等方面發揮的重要作用。
    b) 識別單位的等級保護對象基本信息
    了解單位內主要依靠信息化處理的業務情況,這些業務各自的社會屬性和業務內容,確定單位的等級保護對象。并確定等級保護對象的業務范圍、地理位置以及其他基本情況,獲得等級保護對象的背景信息和聯絡方式。
    c) 識別等級保護對象的管理框架
    了解等級保護對象的組織管理結構、管理策略、部門設置和部門在業務運行中的作用、崗位職責,獲得支撐等級保護對象業務運營的管理特征和管理框架方面的信息,從而明確等級保護對象的安全責任主體。
    d) 識別等級保護對象的網絡及設備部署
    了解等級保護對象的物理環境、網絡拓撲結構和硬件設備的部署情況,在此基礎上明確等級保護對象的邊界,即確定等級保護對象及其范圍。
    e) 識別等級保護對象的業務特性
    了解單位內主要依靠信息化處理的各種業務及業務流程,從中明確支撐單位業務運營的等級保護對象的業務特性。
    f) 識別等級保護對象處理的信息資產
    了解等級保護對象處理的信息資產的類型,這些信息資產在保密性、完整性和可用性等方面的重要性程度。
    g) 識別用戶范圍和用戶類型
    根據用戶或用戶群的分布范圍了解等級保護對象的服務范圍、作用以及業務連續性方面的要求等。
    h) 等級保護對象描述
    對收集的信息進行整理、分析,形成對等級保護對象的總體描述文件。一個典型的等級保護對象的總體描述文件應包含以下內容:
    1) 等級保護對象概述;
    2) 等級保護對象重要性分析;
    3) 等級保護對象邊界描述;
    4) 網絡拓撲;
    5) 設備部署;
    6) 支撐的業務應用的種類和特性;
    7) 處理的信息資產;
    8) 用戶的范圍和用戶類型;
    9) 等級保護對象的管理框架。

    5.3.2 定級對象確定

    活動目標:
    本活動的目標是依據單位的等級保護對象總體描述文件(有行業/領域定級指導意見的還應依據行業/領域定級指導意見),在綜合分析的基礎上將單位內運行的等級保護對象進行合理分解,確定所包含的定級對象及其個數。
    參與角色:運營、使用單位,網絡安全服務機構。
    活動輸入:行業/領域定級指導意見,行業/領域定級工作部署文件,等級保護對象總體描述文件,定級標準。
    活動描述:
    本活動主要包括以下子活動內容:
    a) 劃分方法的選擇
    為了突出重點保護的等級保護原則,運營、使用單位應對大型等級保護對象進行劃分,劃分的方法可以有多種,可以考慮管理機構、業務類型、物理位置等因素,運營、使用單位應該根據本單位的具體情況確定等級保護對象的分解原則。
    b) 等級保護對象劃分
    依據選擇的等級保護對象劃分原則,參考行業/領域定級指導意見(若有行業/領域定級指導意見),運營、使用單位應將大型等級保護對象進行劃分,劃分出相對獨立的對象作為定級對象,應保證每個相對獨立的對象具備定級對象的基本特征。在等級保護對象劃分的過程中,應該首先考慮組織管理的要素,然后考慮業務類型、物理區域等要素。承載比較單一的業務應用或者承載相對獨立的業務應用的對象應作為單獨的定級對象。
    對于電信網、廣播電視傳輸網等基礎網絡設施,應分別依據安全責任主體、服務類型和服務地域等因素將其劃分為不同的定級對象。跨省的行業或單位內部專用網可作為一個整體對象定級,或分區域劃分為若干個定級對象。
    在云計算環境中,應將云服務商側的云計算平臺單獨作為定級對象定級,云服務客戶側的等級保護對象也應作為單獨的定級對象定級。對于大型云計算平臺,宜將云計算基礎設施和有關輔助服務系統劃分為不同的定級對象。
    物聯網主要包括感知、網絡傳輸和處理應用等特征要素,應將以上要素作為一個整體對象定級,各要素不單獨定級。
    對于工業控制系統,其一般包含現場采集/執行、現場控制、過程控制和生產管理等特征要素。其中,現場采集/執行、現場控制、過程控制等要素應作為一個整體對象定級,各要素不單獨定級;生產管理要素可單獨定級。對于大型工業控制系統,可以根據系統功能、責任主體、控制對象和生產廠商等因素劃分為多個定級對象。
    采用移動互聯技術的等級保護對象主要包括移動終端、移動應用和無線網絡等特征要素,應與相關有線網絡業務系統作為一個整體對象定級。
    c) 定級對象詳細描述
    在對等級保護對象進行劃分并確定定級對象后,應在等級保護對象總體描述文件的基礎上,進一步增加定級對象的描述,準確描述一個大型等級保護對象中包括的定級對象的個數。
    進一步的定級對象詳細描述文件應包含以下內容:
    1) 相對獨立的定級對象列表;
    2) 每個定級對象的概述;
    3) 每個定級對象的邊界;
    4) 每個定級對象的設備部署;
    5) 每個定級對象支撐的業務應用及其處理的信息資產類型;
    6) 每個定級對象的服務范圍和用戶類型;
    7) 其他內容。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类