前言

本標準按照GB/T 1.1—2009《標準化工作導則 第1部分：標準的結構和編寫》給出的規則起草。
本標準代替GB/T 25058-2010《信息安全技術 信息系統安全等級保護實施指南》，與GB/T 25058—2010相比，主要技術變化如下：
——標準名稱由“信息安全技術 信息系統安全等級保護實施指南”變更為“信息安全技術 網絡安全等級保護實施指南”。
——全文將“信息系統”調整為“等級保護對象”或“定級對象”，將國家標準“信息系統安全等級保護基本要求”調整為“網絡安全等級保護基本要求”。
——考慮到云計算等新技術新應用在實施過程中的特殊處理，根據需要，相關章條增加云計算、移動互聯、大數據等相關內容（見5.3.2、6.3.2、7.2.1、7.3.2）。
——將各部分已有內容進一步細化，使其能夠指導單位針對新建等級保護對象的等級保護工作（見6.3.2、7.4.3）。
——在等級保護對象定級階段，增加了行業/領域主管單位的工作過程（見5.2）；增加了云計算、移動互聯、物聯網、工控、大數據定級的特殊關注點（見5.3，2010版的5.2）。
——在總體安全規劃階段，增加了行業等級保護管理規范和技術標準相關內容，即明確了基本安全需求既包括國家等級保護管理規范和技術標準提出的要求，也包括行業等級保護管理規范和技術標準提出的要求。（見6.2.1，2010版的6.2.1）。
——在總體安全規劃階段，增加了“設計等級保護對象的安全技術體系架構”內容，要求根據機構總體安全策略文件、GB/T 22239和機構安全需求，設計安全技術體系架構，并提供了安全技術體系架構圖。此外，增加了云計算、移動互聯網等新技術的安全保護技術措施（見6.3.2，2010版的6.3.2）。
——在總體安全規劃階段，增加了“設計等級保護對象的安全管理體系框架”內容，要求根據GB/T 22239、安全需求分析報告等，設計安全管理體系框架，并提供了安全管理體系框架（見6.3.3，2010版的6.3.3）。
——在安全設計與實施階段，將“技術措施實現”與“管理措施實現”調換順序（見7.3、7.4，2010版的7.3、7.4）；將“人員安全技能培訓”合并到“安全管理機構和人員的設置”中（見7.4.2,2010版的7.3.1、7.3.3）；將“安全管理制度的建設和修訂”與“安全管理機構和人員的設置”調換順序（見7.4.1、7.4.2,2010版的7.4.1、7.4.2）。
——在安全設計與實施階段，在技術措施實現中增加了對于云計算、移動互聯網等新技術的風險分析、技術防護措施實現等要求（見7.2.1，2010版的7.2.1）；在測試環節中，更側重安全漏洞掃描、滲透測試等安全測試內容（見7.3.2，2010版的7.3.2）。
——在安全設計與實施階段，在原有信息安全產品供應商的基礎上，增加網絡安全服務機構的評價和選擇要求（見7.3.1）；安全控制集成中，增加安全態勢感知、監測通報預警、應急處置追蹤溯源等安全措施的集成（見7.3.3）；安全管理制度的建設和修訂要求中，增加要求總體安全方針、安全管理制度、安全操作規程、安全運維記錄和表單四層體系文件的一致性（見7.4.1）；安全實施過程管理中，增加整體管理過程的活動內容描述（見7.4.3）。
——在安全運行與維護階段，增加服務商管理和監控（見8.6）；刪除了“安全事件處置和應急預案”（2010版8.5）；刪除了“系統備案”（2010版8.8）；修改了“監督檢查”的內容（8.8，2012版8.9）。

本標準由全國信息安全標準化技術委員會（SAC/TC260）提出并歸口。

請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。

本標準起草單位：公安部第三研究所、信息產業信息安全測評中心、北京安信天行科技有限公司。

本標準主要起草人：袁靜、任衛紅、黎水林、畢馬寧、劉健、徐爽亮、王然、張益、江雷、趙泰、馬力、李明、于東升、陳廣勇、沙淼淼、朱建平、曲潔、李升、劉靜、羅崢。

本標準所代替標準的歷次版本發布情況：

——GB/T 25058-2010。