ICS35040

L80.

中華人民共和國國家標準

GB/T28449—2018

代替

GB/T28449—2012

信息安全技術

網絡安全等級保護測評過程指南

Informationsecuritytechnology—

Testingandevaluationprocessguideforclassifiedprotectionofcybersecurity

2018-12-28發布2019-07-01實施

國家市場監督管理總局發布

中國國家標準化管理委員會

GB/T28449—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

等級測評概述

4……………1

等級測評過程概述

4.1…………………1

等級測評風險

4.2………………………2

等級測評風險規避

4.3…………………3

測評準備活動

5……………3

測評準備活動工作流程

5.1……………3

測評準備活動主要任務

5.2……………4

測評準備活動輸出文檔

5.3……………5

測評準備活動中雙方職責

5.4…………5

方案編制活動

6……………6

方案編制活動工作流程

6.1……………6

方案編制活動主要任務

6.2……………6

方案編制活動輸出文檔

6.3……………9

方案編制活動中雙方職責

6.4…………9

現場測評活動

7……………10

現場測評活動工作流程

7.1……………10

現場測評活動主要任務

7.2……………10

現場測評活動輸出文檔

7.3……………11

現場測評活動中雙方職責

7.4…………11

報告編制活動

8……………12

報告編制活動工作流程

8.1……………12

報告編制活動主要任務

8.2……………12

報告編制活動輸出文檔

8.3……………15

報告編制活動中雙方職責

8.4…………15

附錄規范性附錄等級測評工作流程

A()………………17

附錄規范性附錄等級測評工作要求

B()………………19

附錄規范性附錄新技術新應用等級測評實施補充

C()………………20

附錄規范性附錄測評對象確定準則和樣例

D()………23

附錄資料性附錄等級測評現場測評方式及工作任務

E()……………26

附錄資料性附錄等級測評報告模版示例

F()…………29

參考文獻

……………………53

Ⅰ

GB/T28449—2018

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準代替信息安全技術信息系統安全等級保護測評過程指南與

GB/T28449—2012《》,

相比除編輯性修改外主要技術變化如下

GB/T28449—2012,,:

標準名稱由信息安全技術信息系統安全等級保護測評過程指南變更為信息安全技術

———“”“

網絡安全等級保護測評過程指南

”;

修改了報告編制活動中的任務由原來的個任務修改為個任務見年版的

———,67(4.1,20125.4);

在測評準備活動現場測評活動的雙方職責中增加了協調多方的職責并在一些涉及到多方的

———、,

工作任務中也予以明確見年版的

(7.4,20128.4);

在信息收集和分析工作任務中增加了信息分析方法的內容見

———(5.2.2);

增加了利用云計算物聯網移動互聯網工業控制系統系統等構建的等級保護對象開

———、、、、IPv6

展安全測評需要額外重點關注的特殊任務及要求見附錄

(C);

刪除了測評方案示例見年版的附錄

———(2012D);

刪除了信息系統基本情況調查表模版見年版的附錄

———(2012E)。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第三研究所公安部信息安全等級保護評估中心中國電子科技集團公司

:()、

第十五研究所信息產業信息安全測評中心北京信息安全測評中心

()、。

本標準主要起草人袁靜任衛紅江雷李升張宇翔畢馬寧李明張益劉凱俊趙泰王然

:、、、、、、、、、、、

劉海峰曲潔劉靜朱建平馬力陳廣勇

、、、、、。

本標準所代替標準的歷次版本發布情況為

:

———GB/T28449—2012。

Ⅲ

GB/T28449—2018

引言

本標準中的等級測評是測評機構依據以及等技術標準檢測評估定級

GB/T22239GB/T28448,

對象安全等級保護狀況是否符合相應等級基本要求的過程是落實網絡安全等級保護制度的重要環節

,。

在定級對象建設整改時定級對象運營使用單位通過等級測評進行現狀分析確定系統的安全保

、,、,

護現狀和存在的安全問題并在此基礎上確定系統的整改安全需求

,。

在定級對象運維過程中定級對象運營使用單位定期對定級對象安全等級保護狀況進行自查或委

,、

托測評機構開展等級測評對信息安全管控能力進行考察和評價從而判定定級對象是否具備

,,

中相應等級要求的安全保護能力因此等級測評活動所形成的等級測評報告是定級對象

GB/T22239。,

開展整改加固的重要依據也是第三級以上定級對象備案的重要附件材料等級測評結論為不符合或

,。

基本符合的定級對象其運營使用單位需根據等級測評報告制定方案進行整改

,、,。

本標準是網絡安全等級保護相關系列標準之一

。

Ⅳ

GB/T28449—2018

信息安全技術

網絡安全等級保護測評過程指南

1范圍

本標準規范了網絡安全等級保護測評以下簡稱等級測評的工作過程規定了測評活動及其工

(“”),

作任務

。

本標準適用于測評機構定級對象的主管部門及運營使用單位開展網絡安全等級保護測試評價工作

、。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統安全保護等級劃分準則

GB17859

信息安全技術信息系統安全等級保護基本要求

GB/T22239

信息安全技術術語

GB/T25069

信息安全技術信息系統安全等級保護測評要求

GB/T28448

3術語和定義

和界定的術語和定義適用于本文件

GB17859、GB/T22239、GB/T25069GB/T28448。

4等級測評概述

41等級測評過程概述

.

本標準中的測評工作過程及任務基于受委托測評機構對定級對象的初次等級測評給出