標(biāo)準(zhǔn)解讀

《GB/T 28449-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》與《GB/T 28449-2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評過程指南》相比,主要在以下幾個(gè)方面進(jìn)行了更新和調(diào)整:

首先,在標(biāo)題上,《GB/T 28449-2018》將“信息系統(tǒng)”改為“網(wǎng)絡(luò)安全”,反映了從傳統(tǒng)信息系統(tǒng)安全向更廣泛的網(wǎng)絡(luò)空間安全領(lǐng)域擴(kuò)展的趨勢。這一變化體現(xiàn)了隨著信息技術(shù)的發(fā)展以及網(wǎng)絡(luò)安全形勢的變化,對于保護(hù)對象的認(rèn)識也更加全面。

其次,在內(nèi)容結(jié)構(gòu)上,《GB/T 28449-2018》對原有標(biāo)準(zhǔn)中的章節(jié)進(jìn)行了重新組織,并增加了新的章節(jié)以適應(yīng)當(dāng)前網(wǎng)絡(luò)安全管理的需求。例如,新增了關(guān)于云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)環(huán)境下等級保護(hù)測評的具體要求,這些內(nèi)容在2012版中并未涉及或僅簡要提及。

再次,針對具體測評方法和技術(shù)手段,《GB/T 28449-2018》進(jìn)行了細(xì)化和完善。包括但不限于對測評指標(biāo)體系的優(yōu)化、引入更多現(xiàn)代化的信息安全評估工具和技術(shù)、強(qiáng)化了風(fēng)險(xiǎn)分析與處置流程等方面的內(nèi)容。此外,還特別強(qiáng)調(diào)了在整個(gè)測評過程中應(yīng)遵循的原則性指導(dǎo)思想,如保密性、完整性及可用性的綜合考量。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2018-12-28 頒布
  • 2019-07-01 實(shí)施
?正版授權(quán)
GB/T 28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南_第1頁
GB/T 28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南_第2頁
GB/T 28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南_第3頁
GB/T 28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南_第4頁
GB/T 28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余55頁可下載查看

下載本文檔

GB/T 28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南-免費(fèi)下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T28449—2018

代替

GB/T28449—2012

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)測評過程指南

Informationsecuritytechnology—

Testingandevaluationprocessguideforclassifiedprotectionofcybersecurity

2018-12-28發(fā)布2019-07-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28449—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

等級測評概述

4……………1

等級測評過程概述

4.1…………………1

等級測評風(fēng)險(xiǎn)

4.2………………………2

等級測評風(fēng)險(xiǎn)規(guī)避

4.3…………………3

測評準(zhǔn)備活動(dòng)

5……………3

測評準(zhǔn)備活動(dòng)工作流程

5.1……………3

測評準(zhǔn)備活動(dòng)主要任務(wù)

5.2……………4

測評準(zhǔn)備活動(dòng)輸出文檔

5.3……………5

測評準(zhǔn)備活動(dòng)中雙方職責(zé)

5.4…………5

方案編制活動(dòng)

6……………6

方案編制活動(dòng)工作流程

6.1……………6

方案編制活動(dòng)主要任務(wù)

6.2……………6

方案編制活動(dòng)輸出文檔

6.3……………9

方案編制活動(dòng)中雙方職責(zé)

6.4…………9

現(xiàn)場測評活動(dòng)

7……………10

現(xiàn)場測評活動(dòng)工作流程

7.1……………10

現(xiàn)場測評活動(dòng)主要任務(wù)

7.2……………10

現(xiàn)場測評活動(dòng)輸出文檔

7.3……………11

現(xiàn)場測評活動(dòng)中雙方職責(zé)

7.4…………11

報(bào)告編制活動(dòng)

8……………12

報(bào)告編制活動(dòng)工作流程

8.1……………12

報(bào)告編制活動(dòng)主要任務(wù)

8.2……………12

報(bào)告編制活動(dòng)輸出文檔

8.3……………15

報(bào)告編制活動(dòng)中雙方職責(zé)

8.4…………15

附錄規(guī)范性附錄等級測評工作流程

A()………………17

附錄規(guī)范性附錄等級測評工作要求

B()………………19

附錄規(guī)范性附錄新技術(shù)新應(yīng)用等級測評實(shí)施補(bǔ)充

C()………………20

附錄規(guī)范性附錄測評對象確定準(zhǔn)則和樣例

D()………23

附錄資料性附錄等級測評現(xiàn)場測評方式及工作任務(wù)

E()……………26

附錄資料性附錄等級測評報(bào)告模版示例

F()…………29

參考文獻(xiàn)

……………………53

GB/T28449—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南與

GB/T28449—2012《》,

相比除編輯性修改外主要技術(shù)變化如下

GB/T28449—2012,,:

標(biāo)準(zhǔn)名稱由信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南變更為信息安全技術(shù)

———“”“

網(wǎng)絡(luò)安全等級保護(hù)測評過程指南

”;

修改了報(bào)告編制活動(dòng)中的任務(wù)由原來的個(gè)任務(wù)修改為個(gè)任務(wù)見年版的

———,67(4.1,20125.4);

在測評準(zhǔn)備活動(dòng)現(xiàn)場測評活動(dòng)的雙方職責(zé)中增加了協(xié)調(diào)多方的職責(zé)并在一些涉及到多方的

———、,

工作任務(wù)中也予以明確見年版的

(7.4,20128.4);

在信息收集和分析工作任務(wù)中增加了信息分析方法的內(nèi)容見

———(5.2.2);

增加了利用云計(jì)算物聯(lián)網(wǎng)移動(dòng)互聯(lián)網(wǎng)工業(yè)控制系統(tǒng)系統(tǒng)等構(gòu)建的等級保護(hù)對象開

———、、、、IPv6

展安全測評需要額外重點(diǎn)關(guān)注的特殊任務(wù)及要求見附錄

(C);

刪除了測評方案示例見年版的附錄

———(2012D);

刪除了信息系統(tǒng)基本情況調(diào)查表模版見年版的附錄

———(2012E)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所公安部信息安全等級保護(hù)評估中心中國電子科技集團(tuán)公司

:()、

第十五研究所信息產(chǎn)業(yè)信息安全測評中心北京信息安全測評中心

()、。

本標(biāo)準(zhǔn)主要起草人袁靜任衛(wèi)紅江雷李升張宇翔畢馬寧李明張益劉凱俊趙泰王然

:、、、、、、、、、、、

劉海峰曲潔劉靜朱建平馬力陳廣勇

、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T28449—2012。

GB/T28449—2018

引言

本標(biāo)準(zhǔn)中的等級測評是測評機(jī)構(gòu)依據(jù)以及等技術(shù)標(biāo)準(zhǔn)檢測評估定級

GB/T22239GB/T28448,

對象安全等級保護(hù)狀況是否符合相應(yīng)等級基本要求的過程是落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度的重要環(huán)節(jié)

,。

在定級對象建設(shè)整改時(shí)定級對象運(yùn)營使用單位通過等級測評進(jìn)行現(xiàn)狀分析確定系統(tǒng)的安全保

、,、,

護(hù)現(xiàn)狀和存在的安全問題并在此基礎(chǔ)上確定系統(tǒng)的整改安全需求

,。

在定級對象運(yùn)維過程中定級對象運(yùn)營使用單位定期對定級對象安全等級保護(hù)狀況進(jìn)行自查或委

,、

托測評機(jī)構(gòu)開展等級測評對信息安全管控能力進(jìn)行考察和評價(jià)從而判定定級對象是否具備

,,

中相應(yīng)等級要求的安全保護(hù)能力因此等級測評活動(dòng)所形成的等級測評報(bào)告是定級對象

GB/T22239。,

開展整改加固的重要依據(jù)也是第三級以上定級對象備案的重要附件材料等級測評結(jié)論為不符合或

,。

基本符合的定級對象其運(yùn)營使用單位需根據(jù)等級測評報(bào)告制定方案進(jìn)行整改

,、,。

本標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全等級保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一

。

GB/T28449—2018

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)測評過程指南

1范圍

本標(biāo)準(zhǔn)規(guī)范了網(wǎng)絡(luò)安全等級保護(hù)測評以下簡稱等級測評的工作過程規(guī)定了測評活動(dòng)及其工

(“”),

作任務(wù)

。

本標(biāo)準(zhǔn)適用于測評機(jī)構(gòu)定級對象的主管部門及運(yùn)營使用單位開展網(wǎng)絡(luò)安全等級保護(hù)測試評價(jià)工作

、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

GB17859

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求

GB/T22239

信息安全技術(shù)術(shù)語

GB/T25069

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求

GB/T28448

3術(shù)語和定義

和界定的術(shù)語和定義適用于本文件

GB17859、GB/T22239、GB/T25069GB/T28448。

4等級測評概述

41等級測評過程概述

.

本標(biāo)準(zhǔn)中的測評工作過程及任務(wù)基于受委托測評機(jī)構(gòu)對定級對象的初次等級測評給出

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評論

0/150

提交評論