《信息安全技術 網絡安全等級保護測評過程指南-編制說明》

一、任務來源

《信息安全技術網絡安全等級保護測評過程指南》于2012年作為國家標準正式

發(fā)布，標準號為GB/T28449-2012。GB/T28449-2012在我國推行信息安全等級保護制

度的過程中起到了非常重要的作用，被廣泛應用于各個行業(yè)的用戶開展信息系統(tǒng)安全等

級保護的安全自查以及測評機構的等級測評工作中。但是隨著信息技術的發(fā)展，GB/T

28449-2012在時效性、易用性、可操作性上還需進一步提高，與等級保護監(jiān)管部門管理

思路的契合上還需進一步完善，公安部第三研究所聯合中國電子科技集團公司第十五研

究所以及北京信息安全測評中心向安標委申請對GB/T28449編制補篇。

根據全國信息安全標準化技術委員會2013年下達的國家標準制修訂計劃，國家標

準《信息安全技術信息系統(tǒng)安全等級保護測評過程指南（補篇）》編制任務由公安部第

三研究所負責主辦，項目編號為2013bzzd-WG5-005。

二、主要工作過程

1）2013年10月，公安部第三研究所、中國電子科技集團公司第十五研究所以及北

京信息安全測評中心成立了《信息安全技術信息系統(tǒng)安全等級保護測評過程指南（補

篇）》標準編制組。

2）2013年11月至2014年1月，標準編制組按照計劃調研了國際和國內無線接入、

IPv6、云計算平臺、物聯網和工控系統(tǒng)應用等新技術、新應用的情況，分析并總結了新

技術和新應用中的安全關注點和要素；同時標準編制組調研了與《信息安全技術信息

系統(tǒng)安全等級保護測評過程指南（補篇）》相關的其他國家標準和行業(yè)標準，分析了正

在修訂的《信息安全等級保護測評報告模版》的修訂思路對本標準產生的影響，完成了

《等級保護測評過程指南（補篇）編制研究報告》。

3）2014年2月至3月標準編制組在前述工作成果《等級保護測評過程指南（補篇）

編制研究報告》的基礎上，對原國家標準《信息安全技術信息系統(tǒng)安全等級保護測評

過程指南》（GB/T28449-2012）按照新技術新應用類別分別進行了需補充內容的梳理，

并根據項目任務書進行了標準需完善內容的梳理，編制出標準草案第一稿。

4）2014年4月9日，標準編制組在北京組織了第一次專家評審咨詢會，征求專家

意見。與會專家提出了將標準在《信息安全等級保護測評報告模版》中發(fā)布并在全國測

評機構中試用以及將云計算、移動互聯等新技術新應用領域內容納入附件中的寶貴意

見。會后，標準編制組根據專家意見進行修改，形成了標準草案第二稿。

5）2014年4月，為適應無線移動接入、云計算平臺應用、物聯網和工控系統(tǒng)應用

等新技術、新應用的情況下等級保護工作開展，公安部十一局牽頭會同全國信息安全標

準化委員會秘書處組織2014年新領域的國家標準立項，思路為在《信息安全技術信息

系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）的基礎上，針對無線移動接入、虛擬

計算環(huán)境、云計算平臺應用、大數據應用和工控系統(tǒng)應用等新領域形成“基本要求”的

分冊，同時建議將《信息安全技術信息系統(tǒng)安全等級保護測評過程指南（補篇）》編制

改為《信息安全技術信息系統(tǒng)安全等級保護測評過程指南》的修訂項目。

6）2014年5月至2014年12月標準編制組根據新的工作思路調整，進行了標準整

體的修訂完善，形成了《信息安全技術信息系統(tǒng)安全等級保護測評過程指南》修訂標

準草案第一稿。

7）2014年12月24日，標準編制組在北京組織了修訂草案的第一次專家評審咨詢

會，征求專家意見。與會專家提出了將標準與《信息安全等級保護測評報告模版（2015

版）》保持一致、風險評估方法多樣化，不建議給出統(tǒng)一風險評估方法等寶貴意見。會

后，標準編制組根據專家意見進行修改，形成了標準修訂草案第二稿。

8）2015年7月至10月，標準編制組通過中關村信息安全測評聯盟與10家測評機

構聯系，征求測評機構意見，并將標準予以試用。截至10月底，共收到測評機構反饋

意見27條，標準編制組根據反饋意見進行了修改，形成了標準修訂草案第三稿。

9）2015年12月24日，安標委WG5工作組專家及行業(yè)專家對本標準進行了第二次

評審。會后，標準編制組再次按照專家提出的修改建議，對草案進行了修改，形成了標

準修訂草案第三稿。

10）2016年7月8日，根據《信息安全技術網絡安全等級保護基本要求》系列標

準的修訂內容，本標準進行了再次修訂，并對應修改標準名稱為《信息安全技術網絡

安全等級保護測評過程指南》，形成了標準修訂草案第四稿。

11）2016年8月12日，安標委WG5工作組部分專家對本標準進行了第三次評審。

會后，標準編制組再次按照專家提出的修改建議，對草案進行了修改，形成了標準修訂

草案第五稿。

12）2016年8月25日，安標委WG5工作組全體專家對本標準進行了評審。會后，

標準編制組按照專家提出的修改建議，對草案進行了修改，于2016年8月26日形成了

標準征求意見稿。

三、標準的主要修訂內容

7

1）標準的名稱由原來的GB/T28449-2012《信息安全技術信息系統(tǒng)安全等級保護測

評過程指南》改為GB/T28449-XXXX《信息安全技術網絡安全等級保護測評過程指

南》；

2）調整了報告編制活動中的任務，由原來的六個任務調整為七個任務；

3）考慮到云計算等新技術新應用造成的測評多方參與的情況，在測評準備活動、

現場測評活動的雙方職責中增加了協(xié)調多方的職責，并且在一些涉及到多方的工作任務

中也予以明確。

4）為保證標準內容具有更強的適用性，將標準中描述過細的內容進行修改和完善，

例如5.2.2任務描述中的“a)測評機構收集等級測評需要的相關資料，包括測評委托

單位的管理架構、技術體系、運行情況等方針文件、規(guī)章制度及相關過程管理記錄、被

測信息系統(tǒng)總體描述文件、詳細描述文件、定級報告、安全需求分析報告、安全總體方

案、安全現狀評價報告、安全詳細設計方案、用戶指南、運行步驟、網絡圖表、配置管

理文檔等?！备臑椤癮)測評機構收集等級測評需要的相關資料，包括測評委托單位的

管理架構、技術體系、運行情況等”；又如“c)測評機構收回填寫完成的調查表格，并

分析調查結果，了解和熟悉被測信息系統(tǒng)的實際情況。分析的內容包括被測信息系統(tǒng)的

基本信息、物理位置、行業(yè)特征、管理框架、管理策略、網絡及設備部署、軟硬件重要

性及部署情況、范圍及邊界、業(yè)務種類及重要性、業(yè)務流程、業(yè)務數據及重要性、業(yè)務

安全保護等級、用戶范圍、用戶類型、被測信息系統(tǒng)所處的運行環(huán)境及面臨的威脅等。

這些信息可以重用自查報告或上次等級測評報告中的可信結果?！备臑椤癱)測評機構

收回填寫完成的調查表格，并分析調查結果，了解和熟悉被測信息系統(tǒng)的實際情況。這

些信息可以重用自查報告或上次等級測評報告中的可信結果?！?/p>

5）對應《信息安全技術信息系統(tǒng)安全等級保護基本要求》系列標準修訂內容，將

測評指標選擇部分內容進行了調整。

6）對一些不適宜寫在標準文本中的描述性話語進行了統(tǒng)一和規(guī)范，例如刪除4.3a）

中的“后續(xù)的工作以此為基礎，避免以后的工作出現大的分歧”。

7）增加了利用云計算、物聯網、移動互聯網、工控系統(tǒng)等構建的信息系統(tǒng)開展安

全測評需要額外重點關注的特殊任務及要求。

四、與相關法律法規(guī)及國家有關規(guī)定、國內相關標準的關系

本標準與現行法律、法規(guī)以及國家標準沒有沖突與矛盾的地方。

五、有關問題的說明

7

項目組在標準編制過程中，經歷了內部討論與論證、專家評審等過程，項目組在工

作過程中遵循編制原則，對國內外現狀做了大量調研，完成了標準修訂工作。在整個過

程中未遇到重大意見分歧，但對專家提出的意見和建議，我們做了應答和處理，更好地

完善了我們的標準編制工作。

本項目是對國家推薦性標準GB/T28449-2012的修訂，建議修訂后的標準還是為國

家推薦性標準。

六、廢止現行有關標準的建議

標準修訂完成后，標準的名稱為：

——GB/T28449-XXXX信息安全技術信息安全等級保護測評過程指南；

建議廢止GB/T28449-2012《信息安全技術