ICS35020

L80.

中華人民共和國國家標準

GB/T28448—2012

信息安全技術

信息系統安全等級保護測評要求

Informationsecuritytechnology—

Testingandevaluationrequirementforclassifiedprotectionofinformationsystem

2012-06-29發布2012-10-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

中華人民共和國

國家標準

信息安全技術

信息系統安全等級保護測評要求

GB/T28448—2012

*

中國標準出版社出版發行

北京市朝陽區和平里西街甲號

2(100013)

北京市西城區三里河北街號

16(100045)

網址

:

服務熱線

/p>

年月第一版

201210

*

書號

:155066·1-45598

版權專有侵權必究

GB/T28448—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規范性引用文件…………………………

21

術語和定義………………

31

概述………………………

41

測評框架……………

4.11

等級測評內容………………………

4.22

測評力度……………

4.33

使用方法……………

4.43

第一級信息系統單元測評………………

54

安全技術測評………………………

5.14

物理安全………………………

5.1.14

網絡安全………………………

5.1.26

主機安全………………………

5.1.37

應用安全………………………

5.1.48

數據安全及備份恢復…………

5.1.510

安全管理測評………………………

5.210

安全管理制度…………………

5.2.110

安全管理機構…………………

5.2.211

人員安全管理…………………

5.2.312

系統建設管理…………………

5.2.414

系統運維管理…………………

5.2.517

第二級信息系統單元測評………………

620

安全技術測評………………………

6.120

物理安全………………………

6.1.120

網絡安全………………………

6.1.224

主機安全………………………

6.1.326

應用安全………………………

6.1.429

數據安全及備份恢復…………

6.1.532

安全管理測評………………………

6.233

安全管理制度…………………

6.2.133

安全管理機構…………………

6.2.234

人員安全管理…………………

6.2.336

系統建設管理…………………

6.2.438

系統運維管理…………………

6.2.542

Ⅰ

GB/T28448—2012

第三級信息系統單元測評………………

747

安全技術測評………………………

7.147

物理安全………………………

7.1.147

網絡安全………………………

7.1.252

主機安全………………………

7.1.355

應用安全………………………

7.1.458

數據安全及備份恢復…………

7.1.563

安全管理測評………………………

7.264

安全管理制度…………………

7.2.164

安全管理機構…………………

7.2.266

人員安全管理…………………

7.2.368

系統建設管理…………………

7.2.471

系統運維管理…………………

7.2.576

第四級信息系統單元測評………………

883

安全技術測評………………………

8.183

物理安全………………………

8.1.183

網絡安全………………………

8.1.287

主機安全………………………

8.1.391

應用安全………………………

8.1.495

數據安全及備份恢復………………………

8.1.5100

安全管理測評……………………

8.2102

安全管理制度………………

8.2.1102

安全管理機構………………

8.2.2104

人員安全管理………………

8.2.3106

系統建設管理………………

8.2.4109

系統運維管理………………

8.2.5114

第五級信息系統單元測評……………

9121

信息系統整體測評……………………

10121

概述………………

10.1121

安全控制點間測評………………

10.2121

層面間測評………………………

10.3122

區域間測評………………………

10.4122

等級測評結論…………………………

11122

各層面的測評結論………………

11.1122

風險分析和評價…………………

11.2122

測評結論…………………………

11.3123

附錄資料性附錄測評力度………………………

A()124

附錄資料性附錄關于整體測評的進一步說明…………………

B()126

參考文獻……………………

130

Ⅱ

GB/T28448—2012

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部信息安全等級保護評估中心

:。

本標準主要起草人朱建平馬力黃洪畢馬寧任衛紅謝朝海李升袁靜曲潔劉靜尚旭光

:、、、、、、、、、、、

張振峰李明陳雪秀

、、。

Ⅲ

GB/T28448—2012

引言

依據中華人民共和國計算機信息系統安全保護條例國務院號令國家信息化領導小組關

《》(147)、《

于加強信息安全保障工作的意見中辦發號關于信息安全等級保護工作的實施意見公

》([2003]27)、《》(

通字號和信息安全等級保護管理辦法公通字號等有關文件要求制定本標準

[2004]66)《》([2007]43),。

本標準是信息安全等級保護相關系列標準之一

。

與本標準相關的系列標準包括

:

信息安全技術信息系統安全等級保護基本要求

———GB/T22239—2008;

信息安全技術信息系統安全等級保護定級指南

———GB/T22240—2008;

信息安全技術信息系統安全等級保護測評過程指南

———GB/T28449—2012。

信息安全技術信息系統安全等級保護測評過程指南就有關信息系統安全等級保護測評工作的

《》

組織實施和過程控制方面提供指導本標準對信息系統進行安全等級保護測試評估的技術活動提出

、。

要求為評價信息系統是否符合提供了獲取證據的途徑和方法用以指導測評人員

,GB/T22239—2008,

從信息安全等級保護的角度對信息系統進行測試評估

。

本標準中的信息系統指計算機信息系統

。

在本標準文本中黑體字的測評要求表示該要求出現在當前等級而在低于當前等級信息系統的測

,

評要求中沒有出現過

。

Ⅳ

GB/T28448—2012

信息安全技術

信息系統安全等級保護測評要求

1范圍

本標準規定了對實現的信息系統是否符合所進行的測試評估活動的要求包

GB/T22239—2008,

括對第一級信息系統第二級信息系統第三級信息系統和第四級信息系統進行測試評估的要求本標

、、。

準略去對第五級信息系統進行測評的要求

。

本標準適用于信息安全測評服務機構信息系統的主管部門及運營使用單位對信息系統安全等級

、

保護狀況進行的安全測試評估信息安全監管職能部門依法進行的信息安全等級保護監督檢查可以參

。

考使用

。

2