信息安全技术 信息系统安全等级保护测评过程指南
Information security technology—Testing and evaluation process guide for classified protection of cybersecurity
GB/T 28449-2018( 替代 GB/T 28449-2012)
发布日期2018-12-28 实施日期2019-07-01
前言
本标准按照GB/T1.1—2009给出的规则起草。
本标准代替GB/T28449—2012《信息安全技术 信息系统安全等级保护测评过程指南》,与GB/T28449—2012相比,除编辑性修改外,主要技术变化如下:
———标准名称由“信息安全技术 信息系统安全等级保护测评过程指南”变更为“信息安全技术 网络安全等级保护测评过程指南”;
———修改了报告编制活动中的任务,由原来的6个任务修改为7个任务(见4.1,2012年版的5.4);
———在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责,并在一些涉及到多方的工作任务中也予以明确(见7.4,2012年版的8.4);
———在信息收集和分析工作任务中增加了信息分析方法的内容(见5.2.2);
———增加了利用云计算、物联网、移动互联网、工业控制系统、IPv6系统等构建的等级保护对象开展安全测评需要额外重点关注的特殊任务及要求(见附录C);
———删除了测评方案示例(见2012年版的附录D);
———删除了信息系统基本情况调查表模版(见2012年版的附录E)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:公安部第三研究所(公安部信息安全等级保护评估中心)、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、北京信息安全测评中心。
本标准主要起草人:袁静、任卫红、江雷、李升、张宇翔、毕马宁、李明、张益、刘凯俊、赵泰、王然、刘海峰、曲洁、刘静、朱建平、马力、陈广勇。
本标准所代替标准的历次版本发布情况为:
———GB/T28449—2012。
引言
本标准中的等级测评是测评机构依据GB/T22239以及GB/T28448等技术标准,检测评估定级对象安全等级保护状况是否符合相应等级基本要求的过程,是落实网络安全等级保护制度的重要环节。
在定级对象建设、整改时,定级对象运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。
在定级对象运维过程中,定级对象运营、使用单位定期对定级对象安全等级保护状况进行自查或委托测评机构开展等级测评,对信息安全管控能力进行考察和评价,从而判定定级对象是否具备GB/T22239中相应等级要求的安全保护能力。因此,等级测评活动所形成的等级测评报告是定级对象开展整改加固的重要依据,也是第三级以上定级对象备案的重要附件材料。等级测评结论为不符合或基本符合的定级对象,其运营、使用单位需根据等级测评报告,制定方案进行整改。
本标准是网络安全等级保护相关系列标准之一。
