標準解讀

《GB/T 28448-2019 信息安全技術 網(wǎng)絡安全等級保護測評要求》與《GB/T 28448-2012 信息安全技術 信息系統(tǒng)安全等級保護測評要求》相比,存在多方面的更新和調(diào)整,主要體現(xiàn)在以下幾個方面:

  1. 標準名稱的變化:從“信息系統(tǒng)”變更為“網(wǎng)絡安全”,反映了對當前網(wǎng)絡環(huán)境變化的適應性調(diào)整,更加聚焦于網(wǎng)絡安全領域的問題。

  2. 適用范圍擴展:新版本不僅涵蓋了傳統(tǒng)意義上的信息系統(tǒng),還增加了對云計算、移動互聯(lián)、物聯(lián)網(wǎng)等新型信息技術領域的覆蓋,使得標準的應用場景更加廣泛。

  3. 測評對象調(diào)整:明確了測評對象包括但不限于物理機房、服務器、終端設備、應用軟件等,并特別強調(diào)了對于云服務提供商的安全管理要求。

  4. 新增內(nèi)容:引入了關于個人信息保護的要求,加強了數(shù)據(jù)安全和個人隱私的保護措施;同時增加了針對新技術(如大數(shù)據(jù)、人工智能)的安全考量。

  5. 細化了測評指標體系:在原有基礎上進一步細化和完善了各個級別的具體測評項目及要求,提高了可操作性和指導意義。例如,在物理安全、網(wǎng)絡安全、主機安全等方面提出了更詳細的操作指南。

  6. 強化了持續(xù)監(jiān)控與響應機制:強調(diào)建立完善的信息系統(tǒng)安全事件應急處理流程,以及定期進行漏洞掃描、滲透測試等活動的重要性,以確保能夠及時發(fā)現(xiàn)并修復潛在威脅。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2019-05-10 頒布
  • 2019-12-01 實施
?正版授權
GB/T 28448-2019信息安全技術網(wǎng)絡安全等級保護測評要求_第1頁
GB/T 28448-2019信息安全技術網(wǎng)絡安全等級保護測評要求_第2頁
GB/T 28448-2019信息安全技術網(wǎng)絡安全等級保護測評要求_第3頁
GB/T 28448-2019信息安全技術網(wǎng)絡安全等級保護測評要求_第4頁
GB/T 28448-2019信息安全技術網(wǎng)絡安全等級保護測評要求_第5頁
已閱讀5頁,還剩287頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 28448-2019信息安全技術網(wǎng)絡安全等級保護測評要求-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T28448—2019

代替

GB/T28448—2012

信息安全技術

網(wǎng)絡安全等級保護測評要求

Informationsecuritytechnology—

Evaluationrequirementforclassifiedprotectionofcybersecurity

2019-05-10發(fā)布2019-12-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T28448—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

等級測評概述

5……………2

等級測評方法

5.1………………………2

單項測評和整體測評

5.2………………3

第一級測評要求

6…………………………3

安全測評通用要求

6.1…………………3

云計算安全測評擴展要求

6.2…………19

移動互聯(lián)安全測評擴展要求

6.3………………………22

物聯(lián)網(wǎng)安全測評擴展要求

6.4…………23

工業(yè)控制系統(tǒng)安全測評擴展要求

6.5…………………25

第二級測評要求

7…………………………27

安全測評通用要求

7.1…………………27

云計算安全測評擴展要求

7.2…………64

移動互聯(lián)安全測評擴展要求

7.3………………………72

物聯(lián)網(wǎng)安全測評擴展要求

7.4…………75

工業(yè)控制系統(tǒng)安全測評擴展要求

7.5…………………77

第三級測評要求

8…………………………81

安全測評通用要求

8.1…………………81

云計算安全測評擴展要求

8.2………………………138

移動互聯(lián)安全測評擴展要求

8.3……………………151

物聯(lián)網(wǎng)安全測評擴展要求

8.4………………………156

工業(yè)控制系統(tǒng)安全測評擴展要求

8.5………………162

第四級測評要求

9………………………167

安全測評通用要求

9.1………………167

云計算安全測評擴展要求

9.2………………………228

移動互聯(lián)安全測評擴展要求

9.3……………………242

物聯(lián)網(wǎng)安全測評擴展要求

9.4………………………247

工業(yè)控制系統(tǒng)安全測評擴展要求

9.5………………253

第五級測評要求

10………………………259

整體測評

11………………259

GB/T28448—2019

概述

11.1………………259

安全控制點測評

11.2…………………260

安全控制點間測評

11.3………………260

區(qū)域間測評

11.4………………………260

測評結(jié)論

12………………260

風險分析和評價

12.1…………………260

等級測評結(jié)論

12.2……………………260

附錄資料性附錄測評力度

A()………………………262

附錄資料性附錄大數(shù)據(jù)可參考安全評估方法

B()…………………264

附錄規(guī)范性附錄測評單元編號說明

C()……………284

參考文獻

……………………285

GB/T28448—2019

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息安全技術信息系統(tǒng)安全等級保護測評要求與

GB/T28448—2012《》,

相比主要變化如下

GB/T28448—2012,:

將標準名稱變更為信息安全技術網(wǎng)絡安全等級保護測評要求

———《》;

每個級別增加了云計算安全測評擴展要求移動互聯(lián)安全測評擴展要求物聯(lián)網(wǎng)安全測評擴展

———、、

要求和工業(yè)控制系統(tǒng)安全測評擴展要求等內(nèi)容

;

增加了等級測評測評對象云服務商和云服務客戶等相關術語和定義見第章年版

———、、(3,2012

的第章

3);

將針對控制點的單元測評細化調(diào)整為針對要求項的單項測評刪除了測評框架見年

———,“”(2012

版的和等級測評內(nèi)容見年版的

4.1)“”(20124.2);

增加了大數(shù)據(jù)可參考安全評估方法見附錄和測評單元編號說明見附錄

———(B)(C)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第三研究所公安部信息安全等級保護評估中心中國電子技術標準化研

:()、

究院國家信息中心中國科學院信息工程研究所信息安全國家重點實驗室北京大學新華三技術有

、、()、、

限公司成都科來軟件有限公司中國移動通信集團有限公司北京鼎普科技股份有限公司北京微步在

、、、、

線科技有限公司北京梆梆安全科技有限公司北京迅達云成科技有限公司中國電子科技集團公司第

、、、

十五研究所信息產(chǎn)業(yè)信息安全測評中心公安部第一研究所北京信息安全測評中心國家能源局信

()、、、

息中心電力行業(yè)信息安全等級保護測評中心全球能源互聯(lián)網(wǎng)研究院北京卓識網(wǎng)安技術股份有限公

()、、

司中國電力科學研究院南京南瑞集團公司國電南京自動化股份有限公司南方電網(wǎng)科學研究院中

、、、、、

國電子信息產(chǎn)業(yè)集團公司第六研究所工業(yè)和信息化部計算機與微電子發(fā)展研究中心中國軟件評測中

、(

心啟明星辰信息技術集團股份有限公司北京烽云互聯(lián)科技有限公司華普科工北京有限公司

)、、、()。

本標準主要起草人陳廣勇李明黎水林馬力曲潔于東升艾春迪郭啟全葛波蔚祝國邦

:、、、、、、、、、、

陸磊張宇翔畢馬寧沙淼淼李升胡紅升陳雪鴻袁靜章恒張益毛澍王斌尹湘培王勇高亞楠

、、、、、、、、、、、、、、、

焦安春趙勁濤于俊杰徐衍龍馬曉波江雷黃順京朱建興蘇艷芳祿凱何申霍珊珊于運濤

、、、、、、、、、、、、、

陳震任衛(wèi)紅孫惠平萬曉蘭馬紅霞薛鋒趙林林劉金剛胡越寧周曉雪李亞軍楊洪起孟召瑞

、、、、、、、、、、、、、

李飛王江波闞志剛劉健陶源李秋香許鳳凱王紹杰李晨旸李凌朱世順張五一陳華軍張潔昕

、、、、、、、、、、、、、、

張彪李汪蔚王雪蔡學琳胡娟劉靜周峰郝鑫馬閩段偉恒

、、、、、、、、、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T28448—2012。

GB/T28448—2019

引言

為了配合中華人民共和國網(wǎng)絡安全法的實施同時適應云計算移動互聯(lián)物聯(lián)網(wǎng)和工業(yè)控制等

《》,、、

新技術新應用情況下網(wǎng)絡安全等級保護工作的開展需對進行修訂同時作為

、,GB/T28448—2012。,

測評指標進行引用的也啟動了修訂工作修訂的思路和方法依據(jù)調(diào)

GB/T22239—2008。GB/T22239

整的內(nèi)容針對共性安全保護需求提出安全測評通用要求針對云計算移動互聯(lián)物聯(lián)網(wǎng)和工業(yè)控制等

,,、、

新技術新應用領域的個性安全保護需求提出安全測評擴展要求形成新的信息安全技術網(wǎng)絡安全

、,《

等級保護測評要求標準

》。

本標準是網(wǎng)絡安全等級保護相關系列標準之一

。

與本標準相關的標準包括

:

信息安全技術信息系統(tǒng)安全等級保護實施指南

———GB/T25058;

信息安全技術信息系統(tǒng)安全等級保護定級指南

———GB/T22240;

信息安全技術網(wǎng)絡安全等級保護基本要求

———GB/T22239;

信息安全技術網(wǎng)絡安全等級保護安全設計技術要求

———GB/T25070;

信息安全技術網(wǎng)絡安全等級保護測評過程指南

———GB/T28449。

GB/T28448—2019

信息安全技術

網(wǎng)絡安全等級保護測評要求

1范圍

本標準規(guī)定了不同級別的等級保護對象的安全測評通用要求和安全測評擴展要求

。

本標準適用于安全測評服務機構(gòu)等級保護對象的運營使用單位及主管部門對等級保護對象的安全

、

狀況進行安全測評并提供指南也適用于網(wǎng)絡安全職能部門進行網(wǎng)絡安全等級保護監(jiān)督檢查時參考使用

,。

注第五級等級保護對象是非常重要的監(jiān)督管理對象對其有特殊的管理模式和安全測評要求所以不在本標準中

:,,

進行描述

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統(tǒng)安全保護等級劃分準則

GB17859—1999

信息安全技術網(wǎng)絡安全等級保護基本要求

GB/T22239—2019

信息安全技術術語

GB/T25069

信息安全技術網(wǎng)絡安全等級保護安全設計技術要求

GB/T25070—2019

信息安全技術網(wǎng)絡安全等級保護測評過程指南

GB/T28449—2018

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論