GB/T 28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T28449—2018

代替

GB/T28449—2012

信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

Informationsecuritytechnology—

Testingandevaluationprocessguideforclassifiedprotectionofcybersecurity

2018-12-28發(fā)布2019-07-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28449—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

等級(jí)測(cè)評(píng)概述

4……………1

等級(jí)測(cè)評(píng)過(guò)程概述

4.1…………………1

等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)

4.2………………………2

等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)規(guī)避

4.3…………………3

測(cè)評(píng)準(zhǔn)備活動(dòng)

5……………3

測(cè)評(píng)準(zhǔn)備活動(dòng)工作流程

5.1……………3

測(cè)評(píng)準(zhǔn)備活動(dòng)主要任務(wù)

5.2……………4

測(cè)評(píng)準(zhǔn)備活動(dòng)輸出文檔

5.3……………5

測(cè)評(píng)準(zhǔn)備活動(dòng)中雙方職責(zé)

5.4…………5

方案編制活動(dòng)

6……………6

方案編制活動(dòng)工作流程

6.1……………6

方案編制活動(dòng)主要任務(wù)

6.2……………6

方案編制活動(dòng)輸出文檔

6.3……………9

方案編制活動(dòng)中雙方職責(zé)

6.4…………9

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)

7……………10

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)工作流程

7.1……………10

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)主要任務(wù)

7.2……………10

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)輸出文檔

7.3……………11

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中雙方職責(zé)

7.4…………11

報(bào)告編制活動(dòng)

8……………12

報(bào)告編制活動(dòng)工作流程

8.1……………12

報(bào)告編制活動(dòng)主要任務(wù)

8.2……………12

報(bào)告編制活動(dòng)輸出文檔

8.3……………15

報(bào)告編制活動(dòng)中雙方職責(zé)

8.4…………15

附錄規(guī)范性附錄等級(jí)測(cè)評(píng)工作流程

A()………………17

附錄規(guī)范性附錄等級(jí)測(cè)評(píng)工作要求

B()………………19

附錄規(guī)范性附錄新技術(shù)新應(yīng)用等級(jí)測(cè)評(píng)實(shí)施補(bǔ)充

C()………………20

附錄規(guī)范性附錄測(cè)評(píng)對(duì)象確定準(zhǔn)則和樣例

D()………23

附錄資料性附錄等級(jí)測(cè)評(píng)現(xiàn)場(chǎng)測(cè)評(píng)方式及工作任務(wù)

E()……………26

附錄資料性附錄等級(jí)測(cè)評(píng)報(bào)告模版示例

F()…………29

參考文獻(xiàn)

……………………53

Ⅰ

GB/T28449—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南與

GB/T28449—2012《》,

相比除編輯性修改外主要技術(shù)變化如下

GB/T28449—2012,,:

標(biāo)準(zhǔn)名稱由信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南變更為信息安全技術(shù)

———“”“

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

”;

修改了報(bào)告編制活動(dòng)中的任務(wù)由原來(lái)的個(gè)任務(wù)修改為個(gè)任務(wù)見(jiàn)年版的

———,67(4.1,20125.4);

在測(cè)評(píng)準(zhǔn)備活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的雙方職責(zé)中增加了協(xié)調(diào)多方的職責(zé)并在一些涉及到多方的

———、,

工作任務(wù)中也予以明確見(jiàn)年版的

(7.4,20128.4);

在信息收集和分析工作任務(wù)中增加了信息分析方法的內(nèi)容見(jiàn)

———(5.2.2);

增加了利用云計(jì)算物聯(lián)網(wǎng)移動(dòng)互聯(lián)網(wǎng)工業(yè)控制系統(tǒng)系統(tǒng)等構(gòu)建的等級(jí)保護(hù)對(duì)象開(kāi)

———、、、、IPv6

展安全測(cè)評(píng)需要額外重點(diǎn)關(guān)注的特殊任務(wù)及要求見(jiàn)附錄

(C);

刪除了測(cè)評(píng)方案示例見(jiàn)年版的附錄

———(2012D);

刪除了信息系統(tǒng)基本情況調(diào)查表模版見(jiàn)年版的附錄

———(2012E)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所公安部信息安全等級(jí)保護(hù)評(píng)估中心中國(guó)電子科技集團(tuán)公司

:()、

第十五研究所信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心北京信息安全測(cè)評(píng)中心

()、。

本標(biāo)準(zhǔn)主要起草人袁靜任衛(wèi)紅江雷李升張宇翔畢馬寧李明張益劉凱俊趙泰王然

:、、、、、、、、、、、

劉海峰曲潔劉靜朱建平馬力陳廣勇

、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T28449—2012。

Ⅲ

GB/T28449—2018

引言

本標(biāo)準(zhǔn)中的等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)以及等技術(shù)標(biāo)準(zhǔn)檢測(cè)評(píng)估定級(jí)

GB/T22239GB/T28448,

對(duì)象安全等級(jí)保護(hù)狀況是否符合相應(yīng)等級(jí)基本要求的過(guò)程是落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的重要環(huán)節(jié)

,。

在定級(jí)對(duì)象建設(shè)整改時(shí)定級(jí)對(duì)象運(yùn)營(yíng)使用單位通過(guò)等級(jí)測(cè)評(píng)進(jìn)行現(xiàn)狀分析確定系統(tǒng)的安全保

、,、,

護(hù)現(xiàn)狀和存在的安全問(wèn)題并在此基礎(chǔ)上確定系統(tǒng)的整改安全需求

,。

在定級(jí)對(duì)象運(yùn)維過(guò)程中定級(jí)對(duì)象運(yùn)營(yíng)使用單位定期對(duì)定級(jí)對(duì)象安全等級(jí)保護(hù)狀況進(jìn)行自查或委

,、

托測(cè)評(píng)機(jī)構(gòu)開(kāi)展等級(jí)測(cè)評(píng)對(duì)信息安全管控能力進(jìn)行考察和評(píng)價(jià)從而判定定級(jí)對(duì)象是否具備

,,

中相應(yīng)等級(jí)要求的安全保護(hù)能力因此等級(jí)測(cè)評(píng)活動(dòng)所形成的等級(jí)測(cè)評(píng)報(bào)告是定級(jí)對(duì)象

GB/T22239。,

開(kāi)展整改加固的重要依據(jù)也是第三級(jí)以上定級(jí)對(duì)象備案的重要附件材料等級(jí)測(cè)評(píng)結(jié)論為不符合或

,。

基本符合的定級(jí)對(duì)象其運(yùn)營(yíng)使用單位需根據(jù)等級(jí)測(cè)評(píng)報(bào)告制定方案進(jìn)行整改

,、,。

本標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一

。

Ⅳ

GB/T28449—2018

信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

1范圍

本標(biāo)準(zhǔn)規(guī)范了網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)以下簡(jiǎn)稱等級(jí)測(cè)評(píng)的工作過(guò)程規(guī)定了測(cè)評(píng)活動(dòng)及其工

(“”),

作任務(wù)

。

本標(biāo)準(zhǔn)適用于測(cè)評(píng)機(jī)構(gòu)定級(jí)對(duì)象的主管部門(mén)及運(yùn)營(yíng)使用單位開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)價(jià)工作

、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB17859

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

GB/T22239

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求

GB/T28448

3術(shù)語(yǔ)和定義

和界定的術(shù)語(yǔ)和定義適用于本文件

GB17859、GB/T22239、GB/T25069GB/T28448。

4等級(jí)測(cè)評(píng)概述

41等級(jí)測(cè)評(píng)過(guò)程概述

.

本標(biāo)準(zhǔn)中的測(cè)評(píng)工作過(guò)程及任務(wù)基于受委托測(cè)評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象的初次等級(jí)測(cè)評(píng)給出