《信息安全技术网络安全等级保护实施指南》GB/T 25058-2019解读

关于信息安全技术-网络安全等级保护的标准中，GB/T 25058被认为是最具有提纲挈领的文件，《信息安全技术网络安全等级保护实施指南》GB/T 25058-2019把等保测评的整个流程从头到尾都囊括在其中，其他的5个国标文件（GB/T 22240、GB/T 22239、GB/T 25070、GB/T 28448、GB/T 28449）也都体现在了各个流程中，在下面的分享中，会给大家详细拆解每个步骤中的内容以及对应的国标文件。

GB/T 25058对等保测评过程中的6个角色进行了划分以及描述：等级保护管理部门、主管部门、运营与使用单位、网络安全服务机构、网络安全等级测评机构、网络安全产品供应商。

GB/T 25058把等保测评的过程分为了：等级保护对象定级与备案、整体安全规划、安全设计与实施、安全运行与维护、定级对象终止。

一、等级保护对象定级与备案

这个部分强相关的国标是GB/T 22240，本阶段最主要的工作是定级和备案，可以分为如下的步骤：

1. 确定对象：

确定等级保护的对象。

2. 对象分析：

对等级保护对象进行详细的分析。

3. 初步定级：

根据分析的结果以及GB/T 22240，对等级保护对象进行等级确定。

4. 专家评审：

定级结果专家评审后，形成定级报告。

5. 备案审核：

整理备案材料（包含定级报告）提交到等级保护管理部门进行审核备案。

二、整体安全规划

这个部分强相关的国标是GB/T 22239，本阶段的工作主要是在设计层面，就和建筑审计是同一阶段，更多的是图纸和理论上的设计，参考GB/T 22239中的2个大部分和10个小部分。本阶段分为如下的三个步骤，三个步骤是分总分的关系：

1. 安全需求分析：

根据等级保护对象的详细描述文件以及定级报告，提出基本安全需求和特殊安全需求，并且最终形成安全需求分析报告。

2. 总体安全设计：

根据安全需求分析报告和GB/T 22239，构建等级保护对象的安全技术体系结构（参考GB/T 22239中的5个技术要求点）和安全管理体系结构（参考GB/T 22239中的5个管理要求点），形成等级保护对象安全总体方案。

3. 安全建设项目规划：

根据建设目标和建设内容，在时间和经费上对安全建设项目列表进行整体考虑，分到不同的时期和阶段，设计建设顺序，进行投资评估，形成安全建设项目规划。

三、安全设计与实施

这个部分强相关的国标还是GB/T 22239和GB/T 25070，本阶段描述的都是具体落地环节的工作，就像工程建筑的土木工程阶段，具体工作分为如下的步骤：

1. 技术措施实现内容的设计：

根据建设目标和建设内容将等级保护对象安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档，使得在网络安全产品采购和安全控制的开发阶段具有依据。

2. 管理措施实现内容的设计：

根据等级保护对象运营、使用单位当前安全管理需要和安全技术保障需要提出与等级保护对象安全总体方案中管理部分相适应的本期安全实施内容，以保证在安全技术建设的同时，安全管理得以同步建设。

3. 技术措施的实现：

按照安全详细设计方案中对于产品或服务的具体指标要求进行采购，根据产品、产品组合或服务实现的功能、性能和安全性满足安全设计要求的情况来选购所需的网络安全产品或服务。

4. 管理措施的实现：

依据国家网络安全相关政策、标准、规范，制定、修订并落实与等级保护对象安全管理相配套的、包括等级保护对象的建设、开发、运行、维护、升级和改造等各个阶段和环节所应遵循的行为规范和操作规程。

四、安全运行与运维

安全运行与维护是等级保护实施过程中确保等级保护对象正常运行的必要环节，涉及的内容较多，包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查，等保测评等内容。本流程强相关国标有GB/T 28448、GB/T 28449，本流程关注的步骤主要是：安全运行与维护阶段的运行管理和控制、变更管理和控制、安全状态监控、安全自查和持续改进、服务商管理和监控、等级测评以及监督检查等过程。其中重点分享的的是三个阶段：

1. 安全自查和持续改进：

通过对等级保护对象的安全状态进行自查，为等级保护对象的持续改进过程提供依据和建议，确保等级保护对象的安全保护能力满足相应等级安全要求。

2. 服务商管理和监控：

选择符合国家规定或行业规定的设计、测评、建设资质的服务商，对服务商从多维度进行切实有效管理，使得服务商在约定范围内开展服务工作。通过对服务商及其人员在服务过程中的行为进行有效监控，若发现不合规行为，限时保质整改，确保服务商服务工作持续、规范、高效。

3. 等级测评：

等保测评依据的最重要的国标是GB/T 28448、GB/T 28449，通过网络安全等级测评机构对已经完成等级保护建设的等级保护对象定期进行等级测评，确保等级保护对象的安全保护措施符合相应等级的安全要求。

五、定级对象的终止

定级对象终止阶段是等级保护实施过程中的最后环节。当定级对象被转移、终止或废弃时，正确处理其中的敏感信息对于确保机构信息资产的安全是至关重要的。在等级保护对象生命周期中，有些定级对象并不是真正意义上的废弃，而是改进技术或转变业务到新的定级对象，对于这些定级对象在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。本标准在定级对象终止阶段关注信息转移、暂存和清除，设备迁移或废弃，存储介质的清除或销毁等活动。因为此阶段不涉及到等保测评的核心内容，所以不展开讲解。

六、总结

GB/T 25058是等保测评最核心的国标，他规定了整个等保测评的核心流程，在这些流程中把其他的5个国标都囊括在内并且串联起来。GB/T 25058里面规定了等保测评过程中的6个角色，并给6个角色都规定了相应的任务，对于等保测评工作的展开提供了人员组织的模板架构。GB/T 25058对等保测评的全生命周期都有描述，以及对等保测评的核心要求也有描述，所以总结起来GB/T 25058是等保测评中起到总领作用的标准。

《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019解读