GB/T 28453-2012信息安全技術(shù)信息系統(tǒng)安全管理評估要求

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T28453—2012

信息安全技術(shù)

信息系統(tǒng)安全管理評估要求

Informationsecuritytechnology—

Informationsystemsecuritymanagementassessmentrequirements

2012-06-29發(fā)布2012-10-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T28453—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

評估原則和模式…………………………

42

管理評估的原則……………………

4.12

管理評估的工作模式………………

4.22

評估組織和活動…………………………

53

評估組織……………

5.13

評估實(shí)施團(tuán)隊(duì)…………………

5.1.13

評估管理機(jī)構(gòu)…………………

5.1.23

被評估方相關(guān)人員……………

5.1.34

評估目標(biāo)范圍和依據(jù)………………

5.24

評估目標(biāo)………………………

5.2.14

評估范圍………………………

5.2.25

評估依據(jù)………………………

5.2.35

評估活動內(nèi)容………………………

5.35

評估準(zhǔn)備及啟動………………

5.3.15

確定信息系統(tǒng)資產(chǎn)及安全需求………………

5.3.26

確定信息系統(tǒng)安全管理現(xiàn)狀…………………

5.3.38

確定信息系統(tǒng)安全管理評估結(jié)論……………

5.3.412

評估結(jié)束及后續(xù)安排…………

5.3.513

安全管理評估的方法工具和實(shí)施……………………

6、14

評估方法……………

6.114

訪談?wù){(diào)查………………………

6.1.114

符合性檢查……………………

6.1.215

有效性驗(yàn)證……………………

6.1.316

技術(shù)檢測………………………

6.1.417

評估工具……………

6.219

調(diào)查表…………………………

6.2.119

訪談問卷………………………

6.2.220

檢查表…………………………

6.2.321

評估的實(shí)施…………………………

6.322

評估實(shí)施控制…………………

6.3.122

評估結(jié)論判斷…………………

6.3.223

Ⅰ

GB/T28453—2012

分等級管理評估…………………………

725

規(guī)劃立項(xiàng)管理評估要求……………

7.125

本階段評估范圍………………

7.1.125

第一級信息系統(tǒng)………………

7.1.225

第二級信息系統(tǒng)………………

7.1.327

第三級信息系統(tǒng)………………

7.1.429

第四級信息系統(tǒng)………………

7.1.530

第五級信息系統(tǒng)………………

7.1.632

設(shè)計(jì)實(shí)施管理評估要求……………

7.234

本階段評估范圍………………

7.2.134

第一級信息系統(tǒng)………………

7.2.236

第二級信息系統(tǒng)………………

7.2.338

第三級信息系統(tǒng)………………

7.2.441

第四級信息系統(tǒng)………………

7.2.544

第五級信息系統(tǒng)………………

7.2.647

運(yùn)行維護(hù)管理評估要求……………

7.350

本階段評估范圍………………

7.3.150

第一級信息系統(tǒng)………………

7.3.252

第二級信息系統(tǒng)………………

7.3.354

第三級信息系統(tǒng)………………

7.3.456

第四級信息系統(tǒng)………………

7.3.559

第五級信息系統(tǒng)………………

7.3.662

終止處置管理評估要求……………

7.465

本階段評估范圍………………

7.4.165

第一級信息系統(tǒng)………………

7.4.266

第二級信息系統(tǒng)………………

7.4.367

第三級信息系統(tǒng)………………

7.4.469

第四級信息系統(tǒng)………………

7.4.571

第五級信息系統(tǒng)………………

7.4.673

附錄資料性附錄信息系統(tǒng)安全管理評估參照表…………………

A()76

參考文獻(xiàn)……………………

189

Ⅱ

GB/T28453—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位北京江南天安科技有限公司

:。

本標(biāo)準(zhǔn)主要起草人陳冠直吉增瑞陳碩景乾元王志強(qiáng)

:、、、、。

Ⅲ

GB/T28453—2012

引言

本標(biāo)準(zhǔn)依據(jù)國家有關(guān)信息安全等級保護(hù)的政策法規(guī)提出了用于規(guī)范信息系統(tǒng)安全管理評估的要

,

求主要包括信息系統(tǒng)安全管理評估的原則和模式組織和活動方法工具和實(shí)施等要求以及在信息

。、、,

系統(tǒng)生存周期各個階段針對第一級到第五級信息系統(tǒng)安全管理評估的要求

,。

信息系統(tǒng)安全管理評估的主體包括信息系統(tǒng)的主管領(lǐng)導(dǎo)部門信息安全監(jiān)管機(jī)構(gòu)信息系統(tǒng)的管理

、、

者第三方評估機(jī)構(gòu)等對應(yīng)的評估可以是檢查評估自評估或第三方評估本標(biāo)準(zhǔn)中對三種評估模式

、,、。

提出共同要求時統(tǒng)稱評估信息系統(tǒng)安全管理評估以信息安全管理體系為主線進(jìn)行評估必要時采集

。,

信息安全技術(shù)測評結(jié)果進(jìn)行綜合分析信息系統(tǒng)安全管理評估可以是獨(dú)立的評估也可以與信息安全

。,

技術(shù)測評聯(lián)合進(jìn)行綜合評估信息系統(tǒng)安全管理評估貫穿于信息系統(tǒng)的整個生存周期各階段管理評

。,

估的原則和方法是一致的各階段安全管理的內(nèi)容對象安全需求存在一定不同使得安全管理評估的

,、、,

目的要求等各方面也有所不同信息系統(tǒng)安全管理評估針對信息安全保護(hù)各個等級的信息系統(tǒng)安全

、。,

管理評估的要求隨著保護(hù)等級的提高而增強(qiáng)

。

本標(biāo)準(zhǔn)第章闡述管理評估的原則和模式第章闡述管理評估的組織評估目標(biāo)范圍和依據(jù)管

4;5、、

理活動的內(nèi)容第章闡述管理評估方法管理評估工具管理評估實(shí)施給出了各個安全保護(hù)等級的安

;6、、,

全管理評估需要執(zhí)行的共同要求和評估方法第章分等級評估以規(guī)定的信息系

;7,GB/T20269—2006

統(tǒng)安全管理要求為基本依據(jù)從信息系統(tǒng)生存周期的規(guī)劃立項(xiàng)階段設(shè)計(jì)實(shí)施階段運(yùn)行維護(hù)階段終止

,、、、

處置階段對五個安全保護(hù)等級的安全管理評估要求分別進(jìn)行描述附錄中提供的信息系統(tǒng)安全管

,。A

理評估參照表描述了本標(biāo)準(zhǔn)中有關(guān)各等級信息系統(tǒng)安全管理評估要求的具體評估內(nèi)容要點(diǎn)

,。

本標(biāo)準(zhǔn)仍沿用中的稱謂對于信息系統(tǒng)的所有者可包括國家機(jī)關(guān)事業(yè)單位

GB/T20269—2006,、、

廠礦企業(yè)公司集團(tuán)等各種類型和不同規(guī)模的組織機(jī)構(gòu)統(tǒng)稱為組織機(jī)構(gòu)

、、,“”。

Ⅳ

GB/T28453—2012

信息安全技術(shù)

信息系統(tǒng)安全管理評估要求

1范圍

本標(biāo)準(zhǔn)依據(jù)規(guī)定的信息系統(tǒng)分等級安全管理要求從信息系統(tǒng)生存周期的不

GB/T20269—2006,

同階段規(guī)定了對信息系統(tǒng)進(jìn)行安全管理評估的原則和模式組織和活動方法和實(shí)施提出了信息安全

,、、,

等級保護(hù)第一級到第五級的信息系統(tǒng)安全管理評估的要求

。

本標(biāo)準(zhǔn)適用于相關(guān)組織機(jī)構(gòu)部門對信息系統(tǒng)實(shí)施安全等級保護(hù)所進(jìn)行的安全管理評估與自評

()

估以及評估者和被評估者對評估的管理

,。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計(jì)算機(jī)信息系統(tǒng)