GB/T 28448-2012信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求

ICS35020

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T28448—2012

信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求

Informationsecuritytechnology—

Testingandevaluationrequirementforclassifiedprotectionofinformationsystem

2012-06-29發(fā)布2012-10-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

中華人民共和國(guó)

國(guó)家標(biāo)準(zhǔn)

信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求

GB/T28448—2012

*

中國(guó)標(biāo)準(zhǔn)出版社出版發(fā)行

北京市朝陽(yáng)區(qū)和平里西街甲號(hào)

2(100013)

北京市西城區(qū)三里河北街號(hào)

16(100045)

網(wǎng)址

:

服務(wù)熱線

/p>

年月第一版

201210

*

書(shū)號(hào)

:155066·1-45598

版權(quán)專有侵權(quán)必究

GB/T28448—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語(yǔ)和定義………………

31

概述………………………

41

測(cè)評(píng)框架……………

4.11

等級(jí)測(cè)評(píng)內(nèi)容………………………

4.22

測(cè)評(píng)力度……………

4.33

使用方法……………

4.43

第一級(jí)信息系統(tǒng)單元測(cè)評(píng)………………

54

安全技術(shù)測(cè)評(píng)………………………

5.14

物理安全………………………

5.1.14

網(wǎng)絡(luò)安全………………………

5.1.26

主機(jī)安全………………………

5.1.37

應(yīng)用安全………………………

5.1.48

數(shù)據(jù)安全及備份恢復(fù)…………

5.1.510

安全管理測(cè)評(píng)………………………

5.210

安全管理制度…………………

5.2.110

安全管理機(jī)構(gòu)…………………

5.2.211

人員安全管理…………………

5.2.312

系統(tǒng)建設(shè)管理…………………

5.2.414

系統(tǒng)運(yùn)維管理…………………

5.2.517

第二級(jí)信息系統(tǒng)單元測(cè)評(píng)………………

620

安全技術(shù)測(cè)評(píng)………………………

6.120

物理安全………………………

6.1.120

網(wǎng)絡(luò)安全………………………

6.1.224

主機(jī)安全………………………

6.1.326

應(yīng)用安全………………………

6.1.429

數(shù)據(jù)安全及備份恢復(fù)…………

6.1.532

安全管理測(cè)評(píng)………………………

6.233

安全管理制度…………………

6.2.133

安全管理機(jī)構(gòu)…………………

6.2.234

人員安全管理…………………

6.2.336

系統(tǒng)建設(shè)管理…………………

6.2.438

系統(tǒng)運(yùn)維管理…………………

6.2.542

Ⅰ

GB/T28448—2012

第三級(jí)信息系統(tǒng)單元測(cè)評(píng)………………

747

安全技術(shù)測(cè)評(píng)………………………

7.147

物理安全………………………

7.1.147

網(wǎng)絡(luò)安全………………………

7.1.252

主機(jī)安全………………………

7.1.355

應(yīng)用安全………………………

7.1.458

數(shù)據(jù)安全及備份恢復(fù)…………

7.1.563

安全管理測(cè)評(píng)………………………

7.264

安全管理制度…………………

7.2.164

安全管理機(jī)構(gòu)…………………

7.2.266

人員安全管理…………………

7.2.368

系統(tǒng)建設(shè)管理…………………

7.2.471

系統(tǒng)運(yùn)維管理…………………

7.2.576

第四級(jí)信息系統(tǒng)單元測(cè)評(píng)………………

883

安全技術(shù)測(cè)評(píng)………………………

8.183

物理安全………………………

8.1.183

網(wǎng)絡(luò)安全………………………

8.1.287

主機(jī)安全………………………

8.1.391

應(yīng)用安全………………………

8.1.495

數(shù)據(jù)安全及備份恢復(fù)………………………

8.1.5100

安全管理測(cè)評(píng)……………………

8.2102

安全管理制度………………

8.2.1102

安全管理機(jī)構(gòu)………………

8.2.2104

人員安全管理………………

8.2.3106

系統(tǒng)建設(shè)管理………………

8.2.4109

系統(tǒng)運(yùn)維管理………………

8.2.5114

第五級(jí)信息系統(tǒng)單元測(cè)評(píng)……………

9121

信息系統(tǒng)整體測(cè)評(píng)……………………

10121

概述………………

10.1121

安全控制點(diǎn)間測(cè)評(píng)………………

10.2121

層面間測(cè)評(píng)………………………

10.3122

區(qū)域間測(cè)評(píng)………………………

10.4122

等級(jí)測(cè)評(píng)結(jié)論…………………………

11122

各層面的測(cè)評(píng)結(jié)論………………

11.1122

風(fēng)險(xiǎn)分析和評(píng)價(jià)…………………

11.2122

測(cè)評(píng)結(jié)論…………………………

11.3123

附錄資料性附錄測(cè)評(píng)力度………………………

A()124

附錄資料性附錄關(guān)于整體測(cè)評(píng)的進(jìn)一步說(shuō)明…………………

B()126

參考文獻(xiàn)……………………

130

Ⅱ

GB/T28448—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部信息安全等級(jí)保護(hù)評(píng)估中心

:。

本標(biāo)準(zhǔn)主要起草人朱建平馬力黃洪畢馬寧任衛(wèi)紅謝朝海李升袁靜曲潔劉靜尚旭光

:、、、、、、、、、、、

張振峰李明陳雪秀

、、。

Ⅲ

GB/T28448—2012

引言

依據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例國(guó)務(wù)院號(hào)令國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)

《》(147)、《

于加強(qiáng)信息安全保障工作的意見(jiàn)中辦發(fā)號(hào)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)公

》([2003]27)、《》(

通字號(hào)和信息安全等級(jí)保護(hù)管理辦法公通字號(hào)等有關(guān)文件要求制定本標(biāo)準(zhǔn)

[2004]66)《》([2007]43),。

本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一

。

與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括

:

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

———GB/T22239—2008;

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

———GB/T22240—2008;

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

———GB/T28449—2012。

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南就有關(guān)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作的

《》

組織實(shí)施和過(guò)程控制方面提供指導(dǎo)本標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)試評(píng)估的技術(shù)活動(dòng)提出

、。

要求為評(píng)價(jià)信息系統(tǒng)是否符合提供了獲取證據(jù)的途徑和方法用以指導(dǎo)測(cè)評(píng)人員

,GB/T22239—2008,

從信息安全等級(jí)保護(hù)的角度對(duì)信息系統(tǒng)進(jìn)行測(cè)試評(píng)估

。

本標(biāo)準(zhǔn)中的信息系統(tǒng)指計(jì)算機(jī)信息系統(tǒng)

。

在本標(biāo)準(zhǔn)文本中黑體字的測(cè)評(píng)要求表示該要求出現(xiàn)在當(dāng)前等級(jí)而在低于當(dāng)前等級(jí)信息系統(tǒng)的測(cè)

,

評(píng)要求中沒(méi)有出現(xiàn)過(guò)

。

Ⅳ

GB/T28448—2012

信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了對(duì)實(shí)現(xiàn)的信息系統(tǒng)是否符合所進(jìn)行的測(cè)試評(píng)估活動(dòng)的要求包

GB/T22239—2008,

括對(duì)第一級(jí)信息系統(tǒng)第二級(jí)信息系統(tǒng)第三級(jí)信息系統(tǒng)和第四級(jí)信息系統(tǒng)進(jìn)行測(cè)試評(píng)估的要求本標(biāo)

、、。

準(zhǔn)略去對(duì)第五級(jí)信息系統(tǒng)進(jìn)行測(cè)評(píng)的要求

。

本標(biāo)準(zhǔn)適用于信息安全測(cè)評(píng)服務(wù)機(jī)構(gòu)信息系統(tǒng)的主管部門(mén)及運(yùn)營(yíng)使用單位對(duì)信息系統(tǒng)安全等級(jí)

、

保護(hù)狀況進(jìn)行的安全測(cè)試評(píng)估信息安全監(jiān)管職能部門(mén)依法進(jìn)行的信息安全等級(jí)保護(hù)監(jiān)督檢查可以參

。

考使用

。

2