ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T28453—2012

信息安全技術(shù)

信息系統(tǒng)安全管理評(píng)估要求

Informationsecuritytechnology—

Informationsystemsecuritymanagementassessmentrequirements

2012-06-29發(fā)布2012-10-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28453—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

評(píng)估原則和模式…………………………

42

管理評(píng)估的原則……………………

4.12

管理評(píng)估的工作模式………………

4.22

評(píng)估組織和活動(dòng)…………………………

53

評(píng)估組織……………

5.13

評(píng)估實(shí)施團(tuán)隊(duì)…………………

5.1.13

評(píng)估管理機(jī)構(gòu)…………………

5.1.23

被評(píng)估方相關(guān)人員……………

5.1.34

評(píng)估目標(biāo)范圍和依據(jù)………………

5.24

評(píng)估目標(biāo)………………………

5.2.14

評(píng)估范圍………………………

5.2.25

評(píng)估依據(jù)………………………

5.2.35

評(píng)估活動(dòng)內(nèi)容………………………

5.35

評(píng)估準(zhǔn)備及啟動(dòng)………………

5.3.15

確定信息系統(tǒng)資產(chǎn)及安全需求………………

5.3.26

確定信息系統(tǒng)安全管理現(xiàn)狀…………………

5.3.38

確定信息系統(tǒng)安全管理評(píng)估結(jié)論……………

5.3.412

評(píng)估結(jié)束及后續(xù)安排…………

5.3.513

安全管理評(píng)估的方法工具和實(shí)施……………………

6、14

評(píng)估方法……………

6.114

訪談?wù){(diào)查………………………

6.1.114

符合性檢查……………………

6.1.215

有效性驗(yàn)證……………………

6.1.316

技術(shù)檢測(cè)………………………

6.1.417

評(píng)估工具……………

6.219

調(diào)查表…………………………

6.2.119

訪談問卷………………………

6.2.220

檢查表…………………………

6.2.321

評(píng)估的實(shí)施…………………………

6.322

評(píng)估實(shí)施控制…………………

6.3.122

評(píng)估結(jié)論判斷…………………

6.3.223

Ⅰ

GB/T28453—2012

分等級(jí)管理評(píng)估…………………………

725

規(guī)劃立項(xiàng)管理評(píng)估要求……………

7.125

本階段評(píng)估范圍………………

7.1.125

第一級(jí)信息系統(tǒng)………………

7.1.225

第二級(jí)信息系統(tǒng)………………

7.1.327

第三級(jí)信息系統(tǒng)………………

7.1.429

第四級(jí)信息系統(tǒng)………………

7.1.530

第五級(jí)信息系統(tǒng)………………

7.1.632

設(shè)計(jì)實(shí)施管理評(píng)估要求……………

7.234

本階段評(píng)估范圍………………

7.2.134

第一級(jí)信息系統(tǒng)………………

7.2.236

第二級(jí)信息系統(tǒng)………………

7.2.338

第三級(jí)信息系統(tǒng)………………

7.2.441

第四級(jí)信息系統(tǒng)………………

7.2.544

第五級(jí)信息系統(tǒng)………………

7.2.647

運(yùn)行維護(hù)管理評(píng)估要求……………

7.350

本階段評(píng)估范圍………………

7.3.150

第一級(jí)信息系統(tǒng)………………

7.3.252

第二級(jí)信息系統(tǒng)………………

7.3.354

第三級(jí)信息系統(tǒng)………………

7.3.456

第四級(jí)信息系統(tǒng)………………

7.3.559

第五級(jí)信息系統(tǒng)………………

7.3.662

終止處置管理評(píng)估要求……………

7.465

本階段評(píng)估范圍………………

7.4.165

第一級(jí)信息系統(tǒng)………………

7.4.266

第二級(jí)信息系統(tǒng)………………

7.4.367

第三級(jí)信息系統(tǒng)………………

7.4.469

第四級(jí)信息系統(tǒng)………………

7.4.571

第五級(jí)信息系統(tǒng)………………

7.4.673

附錄資料性附錄信息系統(tǒng)安全管理評(píng)估參照表…………………

A()76

參考文獻(xiàn)……………………

189

Ⅱ

GB/T28453—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位北京江南天安科技有限公司

:。

本標(biāo)準(zhǔn)主要起草人陳冠直吉增瑞陳碩景乾元王志強(qiáng)

:、、、、。

Ⅲ

GB/T28453—2012

引言

本標(biāo)準(zhǔn)依據(jù)國家有關(guān)信息安全等級(jí)保護(hù)的政策法規(guī)提出了用于規(guī)范信息系統(tǒng)安全管理評(píng)估的要

,

求主要包括信息系統(tǒng)安全管理評(píng)估的原則和模式組織和活動(dòng)方法工具和實(shí)施等要求以及在信息

。、、,

系統(tǒng)生存周期各個(gè)階段針對(duì)第一級(jí)到第五級(jí)信息系統(tǒng)安全管理評(píng)估的要求

,。

信息系統(tǒng)安全管理評(píng)估的主體包括信息系統(tǒng)的主管領(lǐng)導(dǎo)部門信息安全監(jiān)管機(jī)構(gòu)信息系統(tǒng)的管理

、、

者第三方評(píng)估機(jī)構(gòu)等對(duì)應(yīng)的評(píng)估可以是檢查評(píng)估自評(píng)估或第三方評(píng)估本標(biāo)準(zhǔn)中對(duì)三種評(píng)估模式

、,、。

提出共同要求時(shí)統(tǒng)稱評(píng)估信息系統(tǒng)安全管理評(píng)估以信息安全管理體系為主線進(jìn)行評(píng)估必要時(shí)采集

。,

信息安全技術(shù)測(cè)評(píng)結(jié)果進(jìn)行綜合分析信息系統(tǒng)安全管理評(píng)估可以是獨(dú)立的評(píng)估也可以與信息安全

。,

技術(shù)測(cè)評(píng)聯(lián)合進(jìn)行綜合評(píng)估信息系統(tǒng)安全管理評(píng)估貫穿于信息系統(tǒng)的整個(gè)生存周期各階段管理評(píng)

。,

估的原則和方法是一致的各階段安全管理的內(nèi)容對(duì)象安全需求存在一定不同使得安全管理評(píng)估的

,、、,

目的要求等各方面也有所不同信息系統(tǒng)安全管理評(píng)估針對(duì)信息安全保護(hù)各個(gè)等級(jí)的信息系統(tǒng)安全

、。,

管理評(píng)估的要求隨著保護(hù)等級(jí)的提高而增強(qiáng)

。

本標(biāo)準(zhǔn)第章闡述管理評(píng)估的原則和模式第章闡述管理評(píng)估的組織評(píng)估目標(biāo)范圍和依據(jù)管

4;5、、

理活動(dòng)的內(nèi)容第章闡述管理評(píng)估方法管理評(píng)估工具管理評(píng)估實(shí)施給出了各個(gè)安全保護(hù)等級(jí)的安

;6、、,

全管理評(píng)估需要執(zhí)行的共同要求和評(píng)估方法第章分等級(jí)評(píng)估以規(guī)定的信息系

;7,GB/T20269—2006

統(tǒng)安全管理要求為基本依據(jù)從信息系統(tǒng)生存周期的規(guī)劃立項(xiàng)階段設(shè)計(jì)實(shí)施階段運(yùn)行維護(hù)階段終止

,、、、

處置階段對(duì)五個(gè)安全保護(hù)等級(jí)的安全管理評(píng)估要求分別進(jìn)行描述附錄中提供的信息系統(tǒng)安全管

,。A

理評(píng)估參照表描述了本標(biāo)準(zhǔn)中有關(guān)各等級(jí)信息系統(tǒng)安全管理評(píng)估要求的具體評(píng)估內(nèi)容要點(diǎn)

,。

本標(biāo)準(zhǔn)仍沿用中的稱謂對(duì)于信息系統(tǒng)的所有者可包括國家機(jī)關(guān)事業(yè)單位

GB/T20269—2006,、、

廠礦企業(yè)公司集團(tuán)等各種類型和不同規(guī)模的組織機(jī)構(gòu)統(tǒng)稱為組織機(jī)構(gòu)

、、,“”。

Ⅳ

GB/T28453—2012

信息安全技術(shù)

信息系統(tǒng)安全管理評(píng)估要求

1范圍

本標(biāo)準(zhǔn)依據(jù)規(guī)定的信息系統(tǒng)分等級(jí)安全管理要求從信息系統(tǒng)生存周期的不

GB/T20269—2006,

同階段規(guī)定了對(duì)信息系統(tǒng)進(jìn)行安全管理評(píng)估的原則和模式組織和活動(dòng)方法和實(shí)施提出了信息安全

,、、,

等級(jí)保護(hù)第一級(jí)到第五級(jí)的信息系統(tǒng)安全管理評(píng)估的要求

。

本標(biāo)準(zhǔn)適用于相關(guān)組織機(jī)構(gòu)部門對(duì)信息系統(tǒng)實(shí)施安全等級(jí)保護(hù)所進(jìn)行的安全管理評(píng)估與自評(píng)

()

估以及評(píng)估者和被評(píng)估者對(duì)評(píng)估的管理

,。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計(jì)算機(jī)信息系統(tǒng)