GB/T 28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南

ICS35040

L80.

中華人民共和國國家標準

GB/T28449—2018

代替

GB/T28449—2012

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護測評過程指南

Informationsecuritytechnology—

Testingandevaluationprocessguideforclassifiedprotectionofcybersecurity

2018-12-28發(fā)布2019-07-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T28449—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

等級測評概述

4……………1

等級測評過程概述

4.1…………………1

等級測評風(fēng)險

4.2………………………2

等級測評風(fēng)險規(guī)避

4.3…………………3

測評準備活動

5……………3

測評準備活動工作流程

5.1……………3

測評準備活動主要任務(wù)

5.2……………4

測評準備活動輸出文檔

5.3……………5

測評準備活動中雙方職責(zé)

5.4…………5

方案編制活動

6……………6

方案編制活動工作流程

6.1……………6

方案編制活動主要任務(wù)

6.2……………6

方案編制活動輸出文檔

6.3……………9

方案編制活動中雙方職責(zé)

6.4…………9

現(xiàn)場測評活動

7……………10

現(xiàn)場測評活動工作流程

7.1……………10

現(xiàn)場測評活動主要任務(wù)

7.2……………10

現(xiàn)場測評活動輸出文檔

7.3……………11

現(xiàn)場測評活動中雙方職責(zé)

7.4…………11

報告編制活動

8……………12

報告編制活動工作流程

8.1……………12

報告編制活動主要任務(wù)

8.2……………12

報告編制活動輸出文檔

8.3……………15

報告編制活動中雙方職責(zé)

8.4…………15

附錄規(guī)范性附錄等級測評工作流程

A()………………17

附錄規(guī)范性附錄等級測評工作要求

B()………………19

附錄規(guī)范性附錄新技術(shù)新應(yīng)用等級測評實施補充

C()………………20

附錄規(guī)范性附錄測評對象確定準則和樣例

D()………23

附錄資料性附錄等級測評現(xiàn)場測評方式及工作任務(wù)

E()……………26

附錄資料性附錄等級測評報告模版示例

F()…………29

參考文獻

……………………53

Ⅰ

GB/T28449—2018

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南與

GB/T28449—2012《》,

相比除編輯性修改外主要技術(shù)變化如下

GB/T28449—2012,,:

標準名稱由信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南變更為信息安全技術(shù)

———“”“

網(wǎng)絡(luò)安全等級保護測評過程指南

”;

修改了報告編制活動中的任務(wù)由原來的個任務(wù)修改為個任務(wù)見年版的

———,67(4.1,20125.4);

在測評準備活動現(xiàn)場測評活動的雙方職責(zé)中增加了協(xié)調(diào)多方的職責(zé)并在一些涉及到多方的

———、,

工作任務(wù)中也予以明確見年版的

(7.4,20128.4);

在信息收集和分析工作任務(wù)中增加了信息分析方法的內(nèi)容見

———(5.2.2);

增加了利用云計算物聯(lián)網(wǎng)移動互聯(lián)網(wǎng)工業(yè)控制系統(tǒng)系統(tǒng)等構(gòu)建的等級保護對象開

———、、、、IPv6

展安全測評需要額外重點關(guān)注的特殊任務(wù)及要求見附錄

(C);

刪除了測評方案示例見年版的附錄

———(2012D);

刪除了信息系統(tǒng)基本情況調(diào)查表模版見年版的附錄

———(2012E)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第三研究所公安部信息安全等級保護評估中心中國電子科技集團公司

:()、

第十五研究所信息產(chǎn)業(yè)信息安全測評中心北京信息安全測評中心

()、。

本標準主要起草人袁靜任衛(wèi)紅江雷李升張宇翔畢馬寧李明張益劉凱俊趙泰王然

:、、、、、、、、、、、

劉海峰曲潔劉靜朱建平馬力陳廣勇

、、、、、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T28449—2012。

Ⅲ

GB/T28449—2018

引言

本標準中的等級測評是測評機構(gòu)依據(jù)以及等技術(shù)標準檢測評估定級

GB/T22239GB/T28448,

對象安全等級保護狀況是否符合相應(yīng)等級基本要求的過程是落實網(wǎng)絡(luò)安全等級保護制度的重要環(huán)節(jié)

,。

在定級對象建設(shè)整改時定級對象運營使用單位通過等級測評進行現(xiàn)狀分析確定系統(tǒng)的安全保

、,、,

護現(xiàn)狀和存在的安全問題并在此基礎(chǔ)上確定系統(tǒng)的整改安全需求

,。

在定級對象運維過程中定級對象運營使用單位定期對定級對象安全等級保護狀況進行自查或委

,、

托測評機構(gòu)開展等級測評對信息安全管控能力進行考察和評價從而判定定級對象是否具備

,,

中相應(yīng)等級要求的安全保護能力因此等級測評活動所形成的等級測評報告是定級對象

GB/T22239。,

開展整改加固的重要依據(jù)也是第三級以上定級對象備案的重要附件材料等級測評結(jié)論為不符合或

,。

基本符合的定級對象其運營使用單位需根據(jù)等級測評報告制定方案進行整改

,、,。

本標準是網(wǎng)絡(luò)安全等級保護相關(guān)系列標準之一

。

Ⅳ

GB/T28449—2018

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護測評過程指南

1范圍

本標準規(guī)范了網(wǎng)絡(luò)安全等級保護測評以下簡稱等級測評的工作過程規(guī)定了測評活動及其工

(“”),

作任務(wù)

。

本標準適用于測評機構(gòu)定級對象的主管部門及運營使用單位開展網(wǎng)絡(luò)安全等級保護測試評價工作

、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統(tǒng)安全保護等級劃分準則

GB17859

信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求

GB/T22239

信息安全技術(shù)術(shù)語

GB/T25069

信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求

GB/T28448

3術(shù)語和定義

和界定的術(shù)語和定義適用于本文件

GB17859、GB/T22239、GB/T25069GB/T28448。

4等級測評概述

41等級測評過程概述

.

本標準中的測評工作過程及任務(wù)基于受委托測評機構(gòu)對定級對象的初次等級測評給出