標(biāo)準(zhǔn)解讀

《GB/T 28449-2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評過程指南》是一項國家標(biāo)準(zhǔn),旨在為信息系統(tǒng)的安全等級保護(hù)測評提供規(guī)范化的指導(dǎo)。該標(biāo)準(zhǔn)詳細(xì)描述了進(jìn)行信息系統(tǒng)安全等級保護(hù)測評時應(yīng)遵循的過程、方法及要求。

根據(jù)此標(biāo)準(zhǔn),信息系統(tǒng)安全等級保護(hù)測評主要分為準(zhǔn)備階段、方案編制階段、現(xiàn)場測評階段和分析與報告編制階段四個步驟。在準(zhǔn)備階段,需明確被測系統(tǒng)的基本情況及其定級結(jié)果,并組建合適的測評團(tuán)隊;方案編制階段則基于前期收集的信息來設(shè)計具體的測評計劃,包括確定測評對象、范圍以及采用的測評方法等;進(jìn)入現(xiàn)場測評階段后,按照既定方案執(zhí)行各項測試活動,記錄發(fā)現(xiàn)的問題;最后,在分析與報告編制階段,對整個測評過程中獲得的數(shù)據(jù)進(jìn)行綜合分析,形成正式的測評報告。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 28449-2018
  • 2012-06-29 頒布
  • 2012-10-01 實施
?正版授權(quán)
GB/T 28449-2012信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南_第1頁
GB/T 28449-2012信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南_第2頁
GB/T 28449-2012信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南_第3頁
GB/T 28449-2012信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南_第4頁
GB/T 28449-2012信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南_第5頁
已閱讀5頁,還剩75頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 28449-2012信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南-免費(fèi)下載試讀頁

文檔簡介

ICS35020

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T28449—2012

信息安全技術(shù)

信息系統(tǒng)安全等級保護(hù)測評過程指南

Informationsecuritytechnology—Testingandevaluationprocessguidefor

classifiedprotectionofinformationsystemsecurity

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T28449—2012

目次

前言…………………………

引言…………………………

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

符號和縮略語……………

41

等級測評概述……………

51

等級測評的作用……………………

5.11

等級測評風(fēng)險………………………

5.22

可能影響系統(tǒng)正常運(yùn)行………………………

5.2.12

可能泄漏敏感信息……………

5.2.22

等級測評風(fēng)險的規(guī)避………………

5.32

等級測評過程概述…………………

5.43

測評準(zhǔn)備活動……………

63

測評準(zhǔn)備活動的工作流程…………

6.13

測評準(zhǔn)備活動的主要任務(wù)…………

6.24

項目啟動………………………

6.2.14

信息收集和分析………………

6.2.24

工具和表單準(zhǔn)備………………

6.2.35

測評準(zhǔn)備活動的輸出文檔…………

6.35

測評準(zhǔn)備活動中雙方的職責(zé)………………………

6.45

方案編制活動……………

76

方案編制活動的工作流程…………

7.16

方案編制活動的主要任務(wù)…………

7.26

測評對象確定…………………

7.2.16

測評指標(biāo)確定…………………

7.2.27

測評內(nèi)容確定…………………

7.2.38

工具測試方法確定……………

7.2.48

測評指導(dǎo)書開發(fā)………………

7.2.59

測評方案編制…………………

7.2.610

方案編制活動的輸出文檔…………

7.311

方案編制活動中雙方的職責(zé)………………………

7.411

現(xiàn)場測評活動……………

811

現(xiàn)場測評活動的工作流程…………

8.111

現(xiàn)場測評活動的主要任務(wù)…………

8.212

現(xiàn)場測評準(zhǔn)備…………………

8.2.112

GB/T28449—2012

現(xiàn)場測評和結(jié)果記錄…………

8.2.212

訪談………………………

8.2.2.112

檢查………………………

8.2.2.213

測試………………………

8.2.2.314

結(jié)果確認(rèn)和資料歸還…………

8.2.314

現(xiàn)場測評活動的輸出文檔…………

8.314

現(xiàn)場測評活動中雙方的職責(zé)………………………

8.415

報告編制活動……………

915

報告編制活動的工作流程…………

9.115

報告編制活動的主要任務(wù)…………

9.216

單項測評結(jié)果判定……………

9.2.116

單元測評結(jié)果判定……………

9.2.216

整體測評………………………

9.2.317

風(fēng)險分析………………………

9.2.418

等級測評結(jié)論形成……………

9.2.518

測評報告編制…………………

9.2.619

報告編制活動的輸出文檔…………

9.319

報告編制活動中雙方的職責(zé)………………………

9.420

附錄資料性附錄等級測評工作流程………………

A()21

附錄資料性附錄測評對象確定準(zhǔn)則和樣例………

B()23

測評對象確定準(zhǔn)則………………

B.123

測評對象確定樣例………………

B.223

第一級信息系統(tǒng)……………

B.2.123

第二級信息系統(tǒng)……………

B.2.223

第三級信息系統(tǒng)……………

B.2.324

第四級信息系統(tǒng)……………

B.2.425

附錄資料性附錄等級測評工作要求………………

C()26

依據(jù)標(biāo)準(zhǔn)遵循原則………………

C.1,26

恰當(dāng)選取保證強(qiáng)度………………

C.2,26

規(guī)范行為規(guī)避風(fēng)險………………

C.3,26

附錄資料性附錄測評方案與測評報告編制示例…………………

D()27

測評方案編制示例………………

D.127

系統(tǒng)描述……………………

D.1.127

測評對象……………………

D.1.228

測評指標(biāo)……………………

D.1.330

測評工具和接入點…………

D.1.430

測評內(nèi)容……………………

D.1.532

測評指導(dǎo)書…………………

D.1.635

測評報告編制示例………………

D.239

整體測評……………………

D.2.139

安全建設(shè)整改建議…………

D.2.240

GB/T28449—2012

附錄資料性附錄信息系統(tǒng)基本情況調(diào)查表模版…………………

E()42

說明………………

E.142

單位基本情況……………………

E.242

參與人員名單……………………

E.343

物理環(huán)境情況……………………

E.443

信息系統(tǒng)基本情況………………

E.543

信息系統(tǒng)承載業(yè)務(wù)服務(wù)情況…………………

E.6()44

信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)環(huán)境情況…………………

E.7()44

外聯(lián)線路及設(shè)備端口網(wǎng)絡(luò)邊界情況…………

E.8()45

網(wǎng)絡(luò)設(shè)備情況……………………

E.945

安全設(shè)備情況……………………

E.1046

服務(wù)器設(shè)備情況…………………

E.1146

終端設(shè)備情況……………………

E.1247

系統(tǒng)軟件情況……………………

E.1347

應(yīng)用系統(tǒng)軟件情況………………

E.1447

業(yè)務(wù)數(shù)據(jù)情況……………………

E.1548

數(shù)據(jù)備份情況……………………

E.1648

應(yīng)用系統(tǒng)軟件處理流程多表…………………

E.17()49

業(yè)務(wù)數(shù)據(jù)流程多表……………

E.18()49

管理文檔情況……………………

E.1950

安全威脅情況……………………

E.2052

附錄資料性附錄信息系統(tǒng)安全等級測評報告模版試行………

F()()54

參考文獻(xiàn)……………………

70

GB/T28449—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部信息安全等級保護(hù)評估中心

:。

本標(biāo)準(zhǔn)主要起草人袁靜任衛(wèi)紅陳雪秀曲潔劉靜畢馬寧朱建平馬力李明李升黃洪

:、、、、、、、、、、。

GB/T28449—2012

引言

依據(jù)中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例國務(wù)院號令國家信息化領(lǐng)導(dǎo)小組關(guān)

《》(147)、《

于加強(qiáng)信息安全保障工作的意見中辦發(fā)號關(guān)于信息安全等級保護(hù)工作的實施意見公

》([2003]27)、《》(

通字號和信息安全等級保護(hù)管理辦法公通字號制定本標(biāo)準(zhǔn)

[2004]66)《》([2007]43),。

本標(biāo)準(zhǔn)是信息安全等級保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一

與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括

:

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求

———GB/T22239—2008;

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南

———GB/T22240—2008;

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求

———GB/T28448—2012。

GB/T28449—2012

信息安全技術(shù)

信息系統(tǒng)安全等級保護(hù)測評過程指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級保護(hù)測評以下簡稱等級測評工作的測評過程對等級測評的

(“”),

活動工作任務(wù)以及每項任務(wù)的輸入

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論