1、ICS 35.40L80中民標 準GB/T 28448.1X代替 GB/T 28448-2012技術等級保護測評要求第 1 部分：安全通用要求Information Security Technology- Evaluation Requirement for CybersecurityClassified Protection Part 1：Security General Requirement點擊此處添加與國際標準一致性程度的標識（征求）（本稿完成日期：2016 年 11 月 1 日）X - XX - XX 發布X - XX - XXGB/T 28448.1X目次前言X引言XI1范圍 .

2、123規范性文件 .11術語和定義 .4安全等級保護測評概述 .4.1 安全等級保護測評方法 .4.2 單項測評和整體測評 .第一級測評要求 .222255.1 安全技術單項測評 .5.1.1 物理和環境安全 .3333344445556677895.1.1.15.1.1.25.1.1.35.1.1.45.1.1.55.1.1.65.1.1.7物理防.和防破壞 .防雷擊 .防火 .防水和防潮 .溫濕度.電力供應 .5.1.2 網絡和通信安全 .5.1.2.15.1.2.25.1.2.35.1.2.4網絡架構 .通信傳輸 .邊界防護 .5.1.3 設備和計算安全 .5.1.3.15.1.3.25

3、.1.3.35.1.3.4鑒別 .防范 .代碼防范105.1.4 應用和數據安全105.1.4.15.1.4.25.1.4.35.1.4.45.1.4.5鑒別10. 11軟件容錯12數據完整性12數據備份恢復135.2 安全管理單項測評13IGB/T 28448.1X5.2.1 安全策略和管理制度135.2.1.1 管理制度145.2.2 安全管理機構和. 145.2.2.15.2.2.25.2.2.35.2.2.45.2.2.55.2.2.65.2.2.7崗位設置14配備14和審批15錄用15離崗15安全意識教育和培訓16外部管理165.2.3 安全建設管理175.2.3.15.2.3.25

4、.2.3.35.2.3.45.2.3.55.2.3.65.2.3.7定級17安全方案設計17采購和使用17工程實施18測試驗收18系統交付18服務供應商管理195.2.4 安全運維管理205.2.4.15.2.4.25.2.4.35.2.4.45.2.4.55.2.4.65.2.4.75.2.4.8環境管理20介質管理20設備維護管理21漏洞和風險管理21網絡和系統安全管理22代碼防范管理22備份與恢復管理23安全處置246 第測評要求246.1 安全技術單項測評246.1.1 物理和環境安全246.1.1.16.1.1.26.1.1.36.1.1.46.1.1.56.1.1.66.1.1.7

5、6.1.1.86.1.1.96.1.1.10物理位置的選擇24物理防. 25和防破壞26防雷擊27防火28防水和防潮28防靜電29溫濕度. 30電力供應30電磁防護316.1.2 網絡和通信安全316.1.2.1 網絡架構32IIGB/T 28448.1X6.1.2.26.1.2.36.1.2.46.1.2.56.1.2.6通信傳輸 .邊界防護 .防范 .安全審計 .333434363738383941424445454547485051525253545555555556575758585961616262636464666768696.1.3 設備和計算安全 .6.1.3.16.1.3.2

6、6.1.3.36.1.3.46.1.3.56.1.3.6鑒別 .安全審計 .防范 .代碼防范 .6.1.4 應用和數據安全 .6.1.4.16.1.4.26.1.4.36.1.4.46.1.4.56.1.4.66.1.4.76.1.4.86.1.4.9鑒別 .安全審計 .軟件容錯 .數據完整性 .數據備份恢復 .剩余信息保護 .個人信息保護 .6.2 安全管理單項測評 .6.2.1 安全策略和管理制度 .6.2.1.16.2.1.26.2.1.3管理制度 .制定和發布 .評審和修訂 .6.2.2 安全管理機構和.6.2.2.16.2.2.26.2.2.36.2.2.46.2.2.56.2.2.

7、66.2.2.76.2.2.86.2.2.9崗位設置 .配備 .和審批 .和合作 .審核和檢查 .錄用 .離崗 .安全意識教育和培訓 .外部管理 .6.2.3 安全建設管理 .6.2.3.16.2.3.26.2.3.36.2.3.46.2.3.5定級和備案 .安全方案設計 .采購和使用 .自行軟件開發 .外包軟件開發 .IIIGB/T 28448.1X6.2.3.66.2.3.76.2.3.86.2.3.96.2.3.10工程實施70測試驗收71系統交付72等級測評73服務供應商管理746.2.4 安全運維管理756.2.4.16.2.4.26.2.4.36.2.4.46.2.4.56.2.4

8、.66.2.4.76.2.4.86.2.4.96.2.4.106.2.4.116.2.4.126.2.4.136.2.4.14環境管理75資產管理76介質管理77設備維護管理78漏洞和風險管理79網絡和系統安全管理79代碼防范管理81配置管理83管理83變更管理83備份與恢復管理84安全處置85應急預案管理87外包運維管理887第三級測評要求897.1 安全技術單項測評897.1.1 物理和環境安全897.1.1.17.1.1.27.1.1.37.1.1.47.1.1.57.1.1.67.1.1.77.1.1.87.1.1.97.1.1.10物理位置的選擇89物理防. 90和防破壞90防雷擊9

9、2防火92防水和防潮94防靜電95溫濕度. 96電力供應96電磁防護987.1.2 網絡和通信安全987.1.2.17.1.2.27.1.2.37.1.2.47.1.2.57.1.2.67.1.2.77.1.2.8網絡架構98通信傳輸101邊界防護102. 103防范106代碼防范108安全審計108集中管控111IVGB/T 28448.1X7.1.3 設備和計算安全 .1141141151181211231231251251271311331341361371381391401411411411421431441441441461461481491511521531541561561571

10、591601631641651667.1.3.17.1.3.27.1.3.37.1.3.47.1.3.57.1.3.6鑒別 .安全審計 .防范 .代碼防范 .7.1.4 應用和數據安全 .7.1.4.17.1.4.27.1.4.37.1.4.47.1.4.57.1.4.67.1.4.77.1.4.87.1.4.97.1.4.10鑒別 .安全審計 .軟件容錯 .數據完整性 .數據性 .數據備份恢復 .剩余信息保護 .個人信息保護 .7.2 安全管理單項測評 .7.2.1 安全策略和管理制度 .7.2.1.17.2.1.27.2.1.37.2.1.4安全策略 .管理制度 .制定和發布 .評審和修訂

11、 .7.2.2 安全管理機構和.7.2.2.17.2.2.27.2.2.37.2.2.47.2.2.57.2.2.67.2.2.77.2.2.87.2.2.9崗位設置 .配備 .和審批 .和合作 .審核和檢查 .錄用 .離崗 .安全意識教育和培訓 .外部管理 .7.2.3 安全建設管理 .7.2.3.17.2.3.27.2.3.37.2.3.47.2.3.57.2.3.67.2.3.77.2.3.8定級和備案 .安全方案設計 .采購和使用 .自行軟件開發 .外包軟件開發 .工程實施 .測試驗收 .系統交付 .VGB/T 28448.1X7.2.3.97.2.3.10等級測評167服務供應商管理

12、1697.2.4 安全運維管理1707.2.4.17.2.4.27.2.4.37.2.4.47.2.4.57.2.4.67.2.4.77.2.4.87.2.4.97.2.4.107.2.4.117.2.4.127.2.4.137.2.4.14環境管理170資產管理172介質管理173設備維護管理174漏洞和風險管理176網絡和系統安全管理177代碼防范管理181配置管理182管理183變更管理183備份與恢復管理185安全處置186應急預案管理188外包運維管理1908第四級測評要求1918.1 安全技術單項測評1918.1.1 物理和環境安全1918.1.1.18.1.1.28.1.1.38

13、.1.1.48.1.1.58.1.1.68.1.1.78.1.1.88.1.1.98.1.1.10物理位置的選擇191物理防. 192和防破壞193防雷擊195防火196防水和防潮197防靜電198溫濕度. 199電力供應199電磁防護2018.1.2 網絡和通信安全2028.1.2.18.1.2.28.1.2.38.1.2.48.1.2.58.1.2.68.1.2.78.1.2.8網絡架構202通信傳輸205邊界防護206. 209防范210代碼防范212安全審計213集中管控2158.1.3 設備和計算安全2178.1.3.18.1.3.2鑒別218. 219VIGB/T 28448.1X

14、8.1.3.38.1.3.48.1.3.58.1.3.6安全審計 .防范 .代碼防范 .2222242272272292292322352372392402422432452462472472472472492492502502512532542562572592602612632632642652662672702722732742752768.1.4 應用和數據安全 .8.1.4.18.1.4.28.1.4.38.1.4.48.1.4.58.1.4.68.1.4.78.1.4.88.1.4.98.1.4.10鑒別 .安全審計 .軟件容錯 .數據完整性 .數據性 .數據備份恢復 .剩余信息保

15、護 .個人信息保護 .8.2 安全管理單項測評 .8.2.1 安全策略和管理制度 .8.2.1.18.2.1.28.2.1.38.2.1.4安全策略 .管理制度 .制定和發布 .評審和修訂 .8.2.2 安全管理機構和.8.2.2.18.2.2.28.2.2.38.2.2.48.2.2.58.2.2.68.2.2.78.2.2.88.2.2.9崗位設置 .配備 .和審批 .和合作 .審核和檢查 .錄用 .離崗 .安全意識教育和培訓 .外部管理 .8.2.3 安全建設管理 .8.2.3.18.2.3.28.2.3.38.2.3.48.2.3.58.2.3.68.2.3.78.2.3.88.2.3

16、.98.2.3.108.2.3.11定級和備案 .安全方案設計 .測評單元（L4-CMS1-07） .采購和使用 .自行軟件開發 .外包軟件開發 .工程實施 .測試驗收 .系統交付 .等級測評 .服務供應商管理 .VIIGB/T 28448.1X8.2.4 安全運維管理2778.2.4.18.2.4.28.2.4.38.2.4.48.2.4.58.2.4.68.2.4.78.2.4.88.2.4.98.2.4.108.2.4.118.2.4.128.2.4.138.2.4.14環境管理277資產管理279介質管理281設備維護管理282漏洞和風險管理284網絡和系統安全管理285代碼防范管理2

17、89配置管理290管理291變更管理291備份與恢復管理293安全處置294應急預案管理296外包運維管理2989 第五級測評要求29910 整體測評29910.110.210.310.4概述299安全安全點測評300點間測評300層面間測評30011 測評結論30011.111.211.3各層面的測評結論300風險分析和評價301等級測評結論301附錄 A（資料性附錄） 測評力度302A.1 概述302A.2 等級測評力度302附錄 B（規范性附錄） 測評單元編號說明304B.1 測評指標編碼規則304B.2縮略語304附錄 C（資料性附錄） 設計要求測評驗證表305附錄 D（資料性附錄）

18、基本要求和測評要求對應表312D.1D.2D.3D.4第一級312第. 313第三級317第四級323參考文獻329VIIIGB/T 28448.1X前言GB/T 28448技術等級保護測評要求擬分成部分，各部分將按照應用的領域劃分成安全通用測評要求和具體領域的安全擴展測評要求。目前計劃發布以下部分：第1部分：安全通用要求；第2部分：云計算安全擴展要求；第3部分：移動互聯安全擴展要求；第4部分：物聯網安全擴展要求；第5部分：工控安全擴展要求；第6部分：大數據安全擴展要求。本部分為GB/T 28448的第1部分。本部分按照GB/T 1.12009給出的規則起草。本部分代替GB/T 28448-2

19、012技術 信息系統安全等級保護測評要求。與GB/T 28448-2012相比，除編輯性修改外主要技術變化如下：增加了安全等級保護測評定義、測評對象、單項測評、安全內容。刪除了測評框架、等級測評內容、區域間測評等內容。點測評、測評指標編碼規則等修改了單元測評、規范性文件、整體測評等內容。本部分由本部分由本部分主要起草標準化技術委員會提出。標準化技術委員會歸口。：部等級保護評估中心、中國電子技術院和北京神州綠盟科技。本部分主要起草人：陳廣勇、李明、黎水林、馬力、曲潔、艾春迪、尹湘培、王勇、趙勁濤、于俊杰、徐衍龍、馬、袁靜、江雷、黃順京、蘇艷芳、張潔昕、李升、胡娟、劉靜。GB/T 28448于20

20、12年6月首次發布，本次為第一次修訂。IXGB/T 28448.1X引言GB/T 28448在我絡安全等級保護工作開展過程中發揮了重要的指導作用。GB/T 28448自2012年發布以來，收到了許多標準使用者提出的修改意見和建議，在標準應用過程中，特別是云計算、移動互標進行數據、物聯網和工控系統等新技術、新應用環境下也遇到了一些新的問題。此外，作為測評指的GB/T 22239也啟動了修訂工作。為適應我絡安全等級保護工作發展的需要，進一步與新版的GB/T22239相協調，有必要對GB/T28448進行修訂。XGB/T 28448.1X技術等級保護測評要求 第 1 部分：安全通用要求1 范圍本部分

21、規定了不同等級保護對象的安全通用測評要求，對于采用移動互數據、云計算、物聯網和工業等新技術、新應用的保護對象，除使用本部分外還需參考其他的安全擴展測評要求。本部分適用于測評服務機構、等級保護對象的主管部門及運營使用對等級保護對象安等級保護監督檢查可全等級保護狀況進行的安全測試評估以參考使用。監管依法進行的2 規范性文件下列文件中的條款通過在本部分的而成部分的條款。凡是注日期的文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本部分，然而，鼓勵根據本部分達成協議的各方研究是否使用這些文件的最新版本。凡是不注明日期的文件，其最新版本適用于本部分。GB/T 25069-2010技術 術語

22、GB 17859-1999 計算機信息系統安全保護等級劃分準則GB/T GB/TGB/T22239.1-20XX28449-20XX25070-20XX技術技術技術等級保護基本要求 第1部分：安全通用要求等級保護測評過程指南等級保護安全設計技術要求3 術語和定義GB/T 25069-2010和GB/T22239.1-20XX所確立的以及下列術語和定義適用于本部分。3.1訪談 interview訪談是指測評通過引導等級保護對象相關進行有目的的（有性的）交流以幫助測評人員理解、澄清或取得證據的過程。3.2核查 verification核查是指測評分析，以幫助測評通過對測評對象（如制度文檔、各類設備

23、及相關安全配置等）進行觀察、查驗和理解、澄清或取得證據的過程。3.3測試 testing1GB/T 28448.1X測試是指測評使用預定的方法/工具使測評對象（各類設備或安全配置）產生特定的結果，將運行結果與預期的結果進行比對的過程。3.4評估 evaluation對等級保護對象可能存在的性及其可能產生的后果進行綜合評價和的過程。3.5測評對象 target of testing and evaluation等級測評過程中不同測評方法作用的對象，主要涉及相關配套制度文檔、設備設施及等。3.6安全等級保護測評 testing and evaluation for security classif

24、ied protection安全等級保護測評（以下簡稱“等級測評”）是指測評機構依據等級保護制度規定，按照有關管理規范和計算標準，對未涉及的等級保護對象進行安全等級保護狀況進行檢測評估的活動。等級測評是標準符合性評判活動，即依據等級保護的標準或行業標準，按照特定方法對等級保護對象的安全保護能力進行科學公正的綜合評判過程。4 安全等級保護測評概述4.1 安全等級保護測評方法等級測評實施的基本方法是特定的測評對象，采用相關的測評，遵從一定的測評規程，獲取需要的證據數據，給出是否達到特定級別安全保護能力的評判。等級測評實施的詳細流程和方法參見GB/T 28449-20XX。本部分中每一個要求項的測評就一個單項測評，單項測評中的每一個具體測評實施要求項（以下簡稱“測評要求項”）是與安全點