信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南-編制說(shuō)明_第1頁(yè)
信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南-編制說(shuō)明_第2頁(yè)
信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南-編制說(shuō)明_第3頁(yè)
信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南-編制說(shuō)明_第4頁(yè)
信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南-編制說(shuō)明_第5頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

7任務(wù)來(lái)源《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》于2012年作為國(guó)家標(biāo)準(zhǔn)正式發(fā)布,標(biāo)準(zhǔn)號(hào)為GB/T28449-2012。GB/T28449-2012在我國(guó)推行信息安全等級(jí)保護(hù)制度的過(guò)程中起到了非常重要的作用,被廣泛應(yīng)用于各個(gè)行業(yè)的用戶(hù)開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)的安全自查以及測(cè)評(píng)機(jī)構(gòu)的等級(jí)測(cè)評(píng)工作中。但是隨著信息技術(shù)的發(fā)展,GB/T28449-2012在時(shí)效性、易用性、可操作性上還需進(jìn)一步提高,與等級(jí)保護(hù)監(jiān)管部門(mén)管理思路的契合上還需進(jìn)一步完善,公安部第三研究所聯(lián)合中國(guó)電子科技集團(tuán)公司第十五研究所以及北京信息安全測(cè)評(píng)中心向安標(biāo)委申請(qǐng)對(duì)GB/T28449編制補(bǔ)篇。根據(jù)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2013年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃,國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(補(bǔ)篇)》編制任務(wù)由公安部第三研究所負(fù)責(zé)主辦,項(xiàng)目編號(hào)為2013bzzd-WG5-005。主要工作過(guò)程1)2013年10月,公安部第三研究所、中國(guó)電子科技集團(tuán)公司第十五研究所以及北京信息安全測(cè)評(píng)中心成立了《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(補(bǔ)篇)》標(biāo)準(zhǔn)編制組。2)2013年11月至2014年1月,標(biāo)準(zhǔn)編制組按照計(jì)劃調(diào)研了國(guó)際和國(guó)內(nèi)無(wú)線(xiàn)接入、IPv6、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)和工控系統(tǒng)應(yīng)用等新技術(shù)、新應(yīng)用的情況,分析并總結(jié)了新技術(shù)和新應(yīng)用中的安全關(guān)注點(diǎn)和要素;同時(shí)標(biāo)準(zhǔn)編制組調(diào)研了與《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(補(bǔ)篇)》相關(guān)的其他國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),分析了正在修訂的《信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告模版》的修訂思路對(duì)本標(biāo)準(zhǔn)產(chǎn)生的影響,完成了《等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(補(bǔ)篇)編制研究報(bào)告》。3)2014年2月至3月標(biāo)準(zhǔn)編制組在前述工作成果《等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(補(bǔ)篇)編制研究報(bào)告》的基礎(chǔ)上,對(duì)原國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》(GB/T28449-2012)按照新技術(shù)新應(yīng)用類(lèi)別分別進(jìn)行了需補(bǔ)充內(nèi)容的梳理,并根據(jù)項(xiàng)目任務(wù)書(shū)進(jìn)行了標(biāo)準(zhǔn)需完善內(nèi)容的梳理,編制出標(biāo)準(zhǔn)草案第一稿。4)2014年4月9日,標(biāo)準(zhǔn)編制組在北京組織了第一次專(zhuān)家評(píng)審咨詢(xún)會(huì),征求專(zhuān)家意見(jiàn)。與會(huì)專(zhuān)家提出了將標(biāo)準(zhǔn)在《信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告模版》中發(fā)布并在全國(guó)測(cè)評(píng)機(jī)構(gòu)中試用以及將云計(jì)算、移動(dòng)互聯(lián)等新技術(shù)新應(yīng)用領(lǐng)域內(nèi)容納入附件中的寶貴意見(jiàn)。會(huì)后,標(biāo)準(zhǔn)編制組根據(jù)專(zhuān)家意見(jiàn)進(jìn)行修改,形成了標(biāo)準(zhǔn)草案第二稿。5)2014年4月,為適應(yīng)無(wú)線(xiàn)移動(dòng)接入、云計(jì)算平臺(tái)應(yīng)用、物聯(lián)網(wǎng)和工控系統(tǒng)應(yīng)用等新技術(shù)、新應(yīng)用的情況下等級(jí)保護(hù)工作開(kāi)展,公安部十一局牽頭會(huì)同全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)秘書(shū)處組織2014年新領(lǐng)域的國(guó)家標(biāo)準(zhǔn)立項(xiàng),思路為在《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)的基礎(chǔ)上,針對(duì)無(wú)線(xiàn)移動(dòng)接入、虛擬計(jì)算環(huán)境、云計(jì)算平臺(tái)應(yīng)用、大數(shù)據(jù)應(yīng)用和工控系統(tǒng)應(yīng)用等新領(lǐng)域形成“基本要求”的分冊(cè),同時(shí)建議將《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(補(bǔ)篇)》編制改為《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》的修訂項(xiàng)目。6)2014年5月至2014年12月標(biāo)準(zhǔn)編制組根據(jù)新的工作思路調(diào)整,進(jìn)行了標(biāo)準(zhǔn)整體的修訂完善,形成了《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》修訂標(biāo)準(zhǔn)草案第一稿。7)2014年12月24日,標(biāo)準(zhǔn)編制組在北京組織了修訂草案的第一次專(zhuān)家評(píng)審咨詢(xún)會(huì),征求專(zhuān)家意見(jiàn)。與會(huì)專(zhuān)家提出了將標(biāo)準(zhǔn)與《信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告模版(2015版)》保持一致、風(fēng)險(xiǎn)評(píng)估方法多樣化,不建議給出統(tǒng)一風(fēng)險(xiǎn)評(píng)估方法等寶貴意見(jiàn)。會(huì)后,標(biāo)準(zhǔn)編制組根據(jù)專(zhuān)家意見(jiàn)進(jìn)行修改,形成了標(biāo)準(zhǔn)修訂草案第二稿。8)2015年7月至10月,標(biāo)準(zhǔn)編制組通過(guò)中關(guān)村信息安全測(cè)評(píng)聯(lián)盟與10家測(cè)評(píng)機(jī)構(gòu)聯(lián)系,征求測(cè)評(píng)機(jī)構(gòu)意見(jiàn),并將標(biāo)準(zhǔn)予以試用。截至10月底,共收到測(cè)評(píng)機(jī)構(gòu)反饋意見(jiàn)27條,標(biāo)準(zhǔn)編制組根據(jù)反饋意見(jiàn)進(jìn)行了修改,形成了標(biāo)準(zhǔn)修訂草案第三稿。9)2015年12月24日,安標(biāo)委WG5工作組專(zhuān)家及行業(yè)專(zhuān)家對(duì)本標(biāo)準(zhǔn)進(jìn)行了第二次評(píng)審。會(huì)后,標(biāo)準(zhǔn)編制組再次按照專(zhuān)家提出的修改建議,對(duì)草案進(jìn)行了修改,形成了標(biāo)準(zhǔn)修訂草案第三稿。10)2016年7月8日,根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》系列標(biāo)準(zhǔn)的修訂內(nèi)容,本標(biāo)準(zhǔn)進(jìn)行了再次修訂,并對(duì)應(yīng)修改標(biāo)準(zhǔn)名稱(chēng)為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》,形成了標(biāo)準(zhǔn)修訂草案第四稿。11)2016年8月12日,安標(biāo)委WG5工作組部分專(zhuān)家對(duì)本標(biāo)準(zhǔn)進(jìn)行了第三次評(píng)審。會(huì)后,標(biāo)準(zhǔn)編制組再次按照專(zhuān)家提出的修改建議,對(duì)草案進(jìn)行了修改,形成了標(biāo)準(zhǔn)修訂草案第五稿。12)2016年8月25日,安標(biāo)委WG5工作組全體專(zhuān)家對(duì)本標(biāo)準(zhǔn)進(jìn)行了評(píng)審。會(huì)后,標(biāo)準(zhǔn)編制組按照專(zhuān)家提出的修改建議,對(duì)草案進(jìn)行了修改,于2016年8月26日形成了標(biāo)準(zhǔn)征求意見(jiàn)稿。標(biāo)準(zhǔn)的主要修訂內(nèi)容1)標(biāo)準(zhǔn)的名稱(chēng)由原來(lái)的GB/T28449-2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》改為GB/T28449-XXXX《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》;2)調(diào)整了報(bào)告編制活動(dòng)中的任務(wù),由原來(lái)的六個(gè)任務(wù)調(diào)整為七個(gè)任務(wù);3)考慮到云計(jì)算等新技術(shù)新應(yīng)用造成的測(cè)評(píng)多方參與的情況,在測(cè)評(píng)準(zhǔn)備活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的雙方職責(zé)中增加了協(xié)調(diào)多方的職責(zé),并且在一些涉及到多方的工作任務(wù)中也予以明確。4)為保證標(biāo)準(zhǔn)內(nèi)容具有更強(qiáng)的適用性,將標(biāo)準(zhǔn)中描述過(guò)細(xì)的內(nèi)容進(jìn)行修改和完善,例如5.2.2任務(wù)描述中的“a) 測(cè)評(píng)機(jī)構(gòu)收集等級(jí)測(cè)評(píng)需要的相關(guān)資料,包括測(cè)評(píng)委托單位的管理架構(gòu)、技術(shù)體系、運(yùn)行情況等方針文件、規(guī)章制度及相關(guān)過(guò)程管理記錄、被測(cè)信息系統(tǒng)總體描述文件、詳細(xì)描述文件、定級(jí)報(bào)告、安全需求分析報(bào)告、安全總體方案、安全現(xiàn)狀評(píng)價(jià)報(bào)告、安全詳細(xì)設(shè)計(jì)方案、用戶(hù)指南、運(yùn)行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等?!备臑椤癮) 測(cè)評(píng)機(jī)構(gòu)收集等級(jí)測(cè)評(píng)需要的相關(guān)資料,包括測(cè)評(píng)委托單位的管理架構(gòu)、技術(shù)體系、運(yùn)行情況等”;又如“c) 測(cè)評(píng)機(jī)構(gòu)收回填寫(xiě)完成的調(diào)查表格,并分析調(diào)查結(jié)果,了解和熟悉被測(cè)信息系統(tǒng)的實(shí)際情況。分析的內(nèi)容包括被測(cè)信息系統(tǒng)的基本信息、物理位置、行業(yè)特征、管理框架、管理策略、網(wǎng)絡(luò)及設(shè)備部署、軟硬件重要性及部署情況、范圍及邊界、業(yè)務(wù)種類(lèi)及重要性、業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)及重要性、業(yè)務(wù)安全保護(hù)等級(jí)、用戶(hù)范圍、用戶(hù)類(lèi)型、被測(cè)信息系統(tǒng)所處的運(yùn)行環(huán)境及面臨的威脅等。這些信息可以重用自查報(bào)告或上次等級(jí)測(cè)評(píng)報(bào)告中的可信結(jié)果?!备臑椤癱) 測(cè)評(píng)機(jī)構(gòu)收回填寫(xiě)完成的調(diào)查表格,并分析調(diào)查結(jié)果,了解和熟悉被測(cè)信息系統(tǒng)的實(shí)際情況。這些信息可以重用自查報(bào)告或上次等級(jí)測(cè)評(píng)報(bào)告中的可信結(jié)果。”5)對(duì)應(yīng)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》系列標(biāo)準(zhǔn)修訂內(nèi)容,將測(cè)評(píng)指標(biāo)選擇部分內(nèi)容進(jìn)行了調(diào)整。6)對(duì)一些不適宜寫(xiě)在標(biāo)準(zhǔn)文本中的描述性話(huà)語(yǔ)進(jìn)行了統(tǒng)一和規(guī)范,例如刪除4.3a)中的“后續(xù)的工作以此為基礎(chǔ),避免以后的工作出現(xiàn)大的分歧”。7)增加了利用云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、工控系統(tǒng)等構(gòu)建的信息系統(tǒng)開(kāi)展安全測(cè)評(píng)需要額外重點(diǎn)關(guān)注的特殊任務(wù)及要求。與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定、國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國(guó)家標(biāo)準(zhǔn)沒(méi)有沖突與矛盾的地方。有關(guān)問(wèn)題的說(shuō)明項(xiàng)目組在標(biāo)準(zhǔn)編制過(guò)程中,經(jīng)歷了內(nèi)部討論與論證、專(zhuān)家評(píng)審等過(guò)程,項(xiàng)目組在工作過(guò)程中遵循編制原則,對(duì)國(guó)內(nèi)外現(xiàn)狀做了大量調(diào)研,完成了標(biāo)準(zhǔn)修訂工作。在整個(gè)過(guò)程中未遇到重大意見(jiàn)分歧,但對(duì)專(zhuān)家提出的意見(jiàn)和建議,我們做了應(yīng)答和處理,更好地完善了我們的標(biāo)準(zhǔn)編制工作。本項(xiàng)目是對(duì)國(guó)家推薦性標(biāo)準(zhǔn)GB/T28449-2012的修訂,建議修訂后的標(biāo)準(zhǔn)還是為國(guó)家推薦性標(biāo)準(zhǔn)。廢止現(xiàn)行有關(guān)標(biāo)準(zhǔn)的建議標(biāo)準(zhǔn)修訂完成后,標(biāo)準(zhǔn)的名稱(chēng)為:——GB/T28449-XXXX信息安全技術(shù)信息安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南;建議廢止GB/T28449-2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》。有關(guān)專(zhuān)利的說(shuō)明本標(biāo)準(zhǔn)不涉及專(zhuān)利?!缎畔踩夹g(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》修訂編制說(shuō)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論