01網(wǎng)絡(luò)安全等級保護(hù)測評要求第1部分安全通用

1、ICS 35.40L80中民標(biāo) 準(zhǔn)GB/T 28448.1X代替 GB/T 28448-2012技術(shù)等級保護(hù)測評要求第 1 部分：安全通用要求Information Security Technology- Evaluation Requirement for CybersecurityClassified Protection Part 1：Security General Requirement點擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識（征求）（本稿完成日期：2016 年 11 月 1 日）X - XX - XX 發(fā)布X - XX - XXGB/T 28448.1X目次前言X引言XI1范圍 .

2、123規(guī)范性文件 .11術(shù)語和定義 .4安全等級保護(hù)測評概述 .4.1 安全等級保護(hù)測評方法 .4.2 單項測評和整體測評 .第一級測評要求 .222255.1 安全技術(shù)單項測評 .5.1.1 物理和環(huán)境安全 .3333344445556677895.1.1.15.1.1.25.1.1.35.1.1.45.1.1.55.1.1.65.1.1.7物理防.和防破壞 .防雷擊 .防火 .防水和防潮 .溫濕度.電力供應(yīng) .5.1.2 網(wǎng)絡(luò)和通信安全 .5.1.2.15.1.2.25.1.2.35.1.2.4網(wǎng)絡(luò)架構(gòu) .通信傳輸 .邊界防護(hù) .5.1.3 設(shè)備和計算安全 .5.1.3.15.1.3.25

3、.1.3.35.1.3.4鑒別 .防范 .代碼防范105.1.4 應(yīng)用和數(shù)據(jù)安全105.1.4.15.1.4.25.1.4.35.1.4.45.1.4.5鑒別10. 11軟件容錯12數(shù)據(jù)完整性12數(shù)據(jù)備份恢復(fù)135.2 安全管理單項測評13IGB/T 28448.1X5.2.1 安全策略和管理制度135.2.1.1 管理制度145.2.2 安全管理機(jī)構(gòu)和. 145.2.2.15.2.2.25.2.2.35.2.2.45.2.2.55.2.2.65.2.2.7崗位設(shè)置14配備14和審批15錄用15離崗15安全意識教育和培訓(xùn)16外部管理165.2.3 安全建設(shè)管理175.2.3.15.2.3.25

4、.2.3.35.2.3.45.2.3.55.2.3.65.2.3.7定級17安全方案設(shè)計17采購和使用17工程實施18測試驗收18系統(tǒng)交付18服務(wù)供應(yīng)商管理195.2.4 安全運(yùn)維管理205.2.4.15.2.4.25.2.4.35.2.4.45.2.4.55.2.4.65.2.4.75.2.4.8環(huán)境管理20介質(zhì)管理20設(shè)備維護(hù)管理21漏洞和風(fēng)險管理21網(wǎng)絡(luò)和系統(tǒng)安全管理22代碼防范管理22備份與恢復(fù)管理23安全處置246 第測評要求246.1 安全技術(shù)單項測評246.1.1 物理和環(huán)境安全246.1.1.16.1.1.26.1.1.36.1.1.46.1.1.56.1.1.66.1.1.7

5、6.1.1.86.1.1.96.1.1.10物理位置的選擇24物理防. 25和防破壞26防雷擊27防火28防水和防潮28防靜電29溫濕度. 30電力供應(yīng)30電磁防護(hù)316.1.2 網(wǎng)絡(luò)和通信安全316.1.2.1 網(wǎng)絡(luò)架構(gòu)32IIGB/T 28448.1X6.1.2.26.1.2.36.1.2.46.1.2.56.1.2.6通信傳輸 .邊界防護(hù) .防范 .安全審計 .333434363738383941424445454547485051525253545555555556575758585961616262636464666768696.1.3 設(shè)備和計算安全 .6.1.3.16.1.3.2

6、6.1.3.36.1.3.46.1.3.56.1.3.6鑒別 .安全審計 .防范 .代碼防范 .6.1.4 應(yīng)用和數(shù)據(jù)安全 .6.1.4.16.1.4.26.1.4.36.1.4.46.1.4.56.1.4.66.1.4.76.1.4.86.1.4.9鑒別 .安全審計 .軟件容錯 .數(shù)據(jù)完整性 .數(shù)據(jù)備份恢復(fù) .剩余信息保護(hù) .個人信息保護(hù) .6.2 安全管理單項測評 .6.2.1 安全策略和管理制度 .6.2.1.16.2.1.26.2.1.3管理制度 .制定和發(fā)布 .評審和修訂 .6.2.2 安全管理機(jī)構(gòu)和.6.2.2.16.2.2.26.2.2.36.2.2.46.2.2.56.2.2.

7、66.2.2.76.2.2.86.2.2.9崗位設(shè)置 .配備 .和審批 .和合作 .審核和檢查 .錄用 .離崗 .安全意識教育和培訓(xùn) .外部管理 .6.2.3 安全建設(shè)管理 .6.2.3.16.2.3.26.2.3.36.2.3.46.2.3.5定級和備案 .安全方案設(shè)計 .采購和使用 .自行軟件開發(fā) .外包軟件開發(fā) .IIIGB/T 28448.1X6.2.3.66.2.3.76.2.3.86.2.3.96.2.3.10工程實施70測試驗收71系統(tǒng)交付72等級測評73服務(wù)供應(yīng)商管理746.2.4 安全運(yùn)維管理756.2.4.16.2.4.26.2.4.36.2.4.46.2.4.56.2.4

8、.66.2.4.76.2.4.86.2.4.96.2.4.106.2.4.116.2.4.126.2.4.136.2.4.14環(huán)境管理75資產(chǎn)管理76介質(zhì)管理77設(shè)備維護(hù)管理78漏洞和風(fēng)險管理79網(wǎng)絡(luò)和系統(tǒng)安全管理79代碼防范管理81配置管理83管理83變更管理83備份與恢復(fù)管理84安全處置85應(yīng)急預(yù)案管理87外包運(yùn)維管理887第三級測評要求897.1 安全技術(shù)單項測評897.1.1 物理和環(huán)境安全897.1.1.17.1.1.27.1.1.37.1.1.47.1.1.57.1.1.67.1.1.77.1.1.87.1.1.97.1.1.10物理位置的選擇89物理防. 90和防破壞90防雷擊9

9、2防火92防水和防潮94防靜電95溫濕度. 96電力供應(yīng)96電磁防護(hù)987.1.2 網(wǎng)絡(luò)和通信安全987.1.2.17.1.2.27.1.2.37.1.2.47.1.2.57.1.2.67.1.2.77.1.2.8網(wǎng)絡(luò)架構(gòu)98通信傳輸101邊界防護(hù)102. 103防范106代碼防范108安全審計108集中管控111IVGB/T 28448.1X7.1.3 設(shè)備和計算安全 .1141141151181211231231251251271311331341361371381391401411411411421431441441441461461481491511521531541561561571

10、591601631641651667.1.3.17.1.3.27.1.3.37.1.3.47.1.3.57.1.3.6鑒別 .安全審計 .防范 .代碼防范 .7.1.4 應(yīng)用和數(shù)據(jù)安全 .7.1.4.17.1.4.27.1.4.37.1.4.47.1.4.57.1.4.67.1.4.77.1.4.87.1.4.97.1.4.10鑒別 .安全審計 .軟件容錯 .數(shù)據(jù)完整性 .數(shù)據(jù)性 .數(shù)據(jù)備份恢復(fù) .剩余信息保護(hù) .個人信息保護(hù) .7.2 安全管理單項測評 .7.2.1 安全策略和管理制度 .7.2.1.17.2.1.27.2.1.37.2.1.4安全策略 .管理制度 .制定和發(fā)布 .評審和修訂

11、 .7.2.2 安全管理機(jī)構(gòu)和.7.2.2.17.2.2.27.2.2.37.2.2.47.2.2.57.2.2.67.2.2.77.2.2.87.2.2.9崗位設(shè)置 .配備 .和審批 .和合作 .審核和檢查 .錄用 .離崗 .安全意識教育和培訓(xùn) .外部管理 .7.2.3 安全建設(shè)管理 .7.2.3.17.2.3.27.2.3.37.2.3.47.2.3.57.2.3.67.2.3.77.2.3.8定級和備案 .安全方案設(shè)計 .采購和使用 .自行軟件開發(fā) .外包軟件開發(fā) .工程實施 .測試驗收 .系統(tǒng)交付 .VGB/T 28448.1X7.2.3.97.2.3.10等級測評167服務(wù)供應(yīng)商管理

12、1697.2.4 安全運(yùn)維管理1707.2.4.17.2.4.27.2.4.37.2.4.47.2.4.57.2.4.67.2.4.77.2.4.87.2.4.97.2.4.107.2.4.117.2.4.127.2.4.137.2.4.14環(huán)境管理170資產(chǎn)管理172介質(zhì)管理173設(shè)備維護(hù)管理174漏洞和風(fēng)險管理176網(wǎng)絡(luò)和系統(tǒng)安全管理177代碼防范管理181配置管理182管理183變更管理183備份與恢復(fù)管理185安全處置186應(yīng)急預(yù)案管理188外包運(yùn)維管理1908第四級測評要求1918.1 安全技術(shù)單項測評1918.1.1 物理和環(huán)境安全1918.1.1.18.1.1.28.1.1.38

13、.1.1.48.1.1.58.1.1.68.1.1.78.1.1.88.1.1.98.1.1.10物理位置的選擇191物理防. 192和防破壞193防雷擊195防火196防水和防潮197防靜電198溫濕度. 199電力供應(yīng)199電磁防護(hù)2018.1.2 網(wǎng)絡(luò)和通信安全2028.1.2.18.1.2.28.1.2.38.1.2.48.1.2.58.1.2.68.1.2.78.1.2.8網(wǎng)絡(luò)架構(gòu)202通信傳輸205邊界防護(hù)206. 209防范210代碼防范212安全審計213集中管控2158.1.3 設(shè)備和計算安全2178.1.3.18.1.3.2鑒別218. 219VIGB/T 28448.1X

14、8.1.3.38.1.3.48.1.3.58.1.3.6安全審計 .防范 .代碼防范 .2222242272272292292322352372392402422432452462472472472472492492502502512532542562572592602612632632642652662672702722732742752768.1.4 應(yīng)用和數(shù)據(jù)安全 .8.1.4.18.1.4.28.1.4.38.1.4.48.1.4.58.1.4.68.1.4.78.1.4.88.1.4.98.1.4.10鑒別 .安全審計 .軟件容錯 .數(shù)據(jù)完整性 .數(shù)據(jù)性 .數(shù)據(jù)備份恢復(fù) .剩余信息保

15、護(hù) .個人信息保護(hù) .8.2 安全管理單項測評 .8.2.1 安全策略和管理制度 .8.2.1.18.2.1.28.2.1.38.2.1.4安全策略 .管理制度 .制定和發(fā)布 .評審和修訂 .8.2.2 安全管理機(jī)構(gòu)和.8.2.2.18.2.2.28.2.2.38.2.2.48.2.2.58.2.2.68.2.2.78.2.2.88.2.2.9崗位設(shè)置 .配備 .和審批 .和合作 .審核和檢查 .錄用 .離崗 .安全意識教育和培訓(xùn) .外部管理 .8.2.3 安全建設(shè)管理 .8.2.3.18.2.3.28.2.3.38.2.3.48.2.3.58.2.3.68.2.3.78.2.3.88.2.3

16、.98.2.3.108.2.3.11定級和備案 .安全方案設(shè)計 .測評單元（L4-CMS1-07） .采購和使用 .自行軟件開發(fā) .外包軟件開發(fā) .工程實施 .測試驗收 .系統(tǒng)交付 .等級測評 .服務(wù)供應(yīng)商管理 .VIIGB/T 28448.1X8.2.4 安全運(yùn)維管理2778.2.4.18.2.4.28.2.4.38.2.4.48.2.4.58.2.4.68.2.4.78.2.4.88.2.4.98.2.4.108.2.4.118.2.4.128.2.4.138.2.4.14環(huán)境管理277資產(chǎn)管理279介質(zhì)管理281設(shè)備維護(hù)管理282漏洞和風(fēng)險管理284網(wǎng)絡(luò)和系統(tǒng)安全管理285代碼防范管理2

17、89配置管理290管理291變更管理291備份與恢復(fù)管理293安全處置294應(yīng)急預(yù)案管理296外包運(yùn)維管理2989 第五級測評要求29910 整體測評29910.110.210.310.4概述299安全安全點測評300點間測評300層面間測評30011 測評結(jié)論30011.111.211.3各層面的測評結(jié)論300風(fēng)險分析和評價301等級測評結(jié)論301附錄 A（資料性附錄） 測評力度302A.1 概述302A.2 等級測評力度302附錄 B（規(guī)范性附錄） 測評單元編號說明304B.1 測評指標(biāo)編碼規(guī)則304B.2縮略語304附錄 C（資料性附錄） 設(shè)計要求測評驗證表305附錄 D（資料性附錄）

18、基本要求和測評要求對應(yīng)表312D.1D.2D.3D.4第一級312第. 313第三級317第四級323參考文獻(xiàn)329VIIIGB/T 28448.1X前言GB/T 28448技術(shù)等級保護(hù)測評要求擬分成部分，各部分將按照應(yīng)用的領(lǐng)域劃分成安全通用測評要求和具體領(lǐng)域的安全擴(kuò)展測評要求。目前計劃發(fā)布以下部分：第1部分：安全通用要求；第2部分：云計算安全擴(kuò)展要求；第3部分：移動互聯(lián)安全擴(kuò)展要求；第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求；第5部分：工控安全擴(kuò)展要求；第6部分：大數(shù)據(jù)安全擴(kuò)展要求。本部分為GB/T 28448的第1部分。本部分按照GB/T 1.12009給出的規(guī)則起草。本部分代替GB/T 28448-2

19、012技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求。與GB/T 28448-2012相比，除編輯性修改外主要技術(shù)變化如下：增加了安全等級保護(hù)測評定義、測評對象、單項測評、安全內(nèi)容。刪除了測評框架、等級測評內(nèi)容、區(qū)域間測評等內(nèi)容。點測評、測評指標(biāo)編碼規(guī)則等修改了單元測評、規(guī)范性文件、整體測評等內(nèi)容。本部分由本部分由本部分主要起草標(biāo)準(zhǔn)化技術(shù)委員會提出。標(biāo)準(zhǔn)化技術(shù)委員會歸口。：部等級保護(hù)評估中心、中國電子技術(shù)院和北京神州綠盟科技。本部分主要起草人：陳廣勇、李明、黎水林、馬力、曲潔、艾春迪、尹湘培、王勇、趙勁濤、于俊杰、徐衍龍、馬、袁靜、江雷、黃順京、蘇艷芳、張潔昕、李升、胡娟、劉靜。GB/T 28448于20

20、12年6月首次發(fā)布，本次為第一次修訂。IXGB/T 28448.1X引言GB/T 28448在我絡(luò)安全等級保護(hù)工作開展過程中發(fā)揮了重要的指導(dǎo)作用。GB/T 28448自2012年發(fā)布以來，收到了許多標(biāo)準(zhǔn)使用者提出的修改意見和建議，在標(biāo)準(zhǔn)應(yīng)用過程中，特別是云計算、移動互標(biāo)進(jìn)行數(shù)據(jù)、物聯(lián)網(wǎng)和工控系統(tǒng)等新技術(shù)、新應(yīng)用環(huán)境下也遇到了一些新的問題。此外，作為測評指的GB/T 22239也啟動了修訂工作。為適應(yīng)我絡(luò)安全等級保護(hù)工作發(fā)展的需要，進(jìn)一步與新版的GB/T22239相協(xié)調(diào)，有必要對GB/T28448進(jìn)行修訂。XGB/T 28448.1X技術(shù)等級保護(hù)測評要求 第 1 部分：安全通用要求1 范圍本部分

21、規(guī)定了不同等級保護(hù)對象的安全通用測評要求，對于采用移動互數(shù)據(jù)、云計算、物聯(lián)網(wǎng)和工業(yè)等新技術(shù)、新應(yīng)用的保護(hù)對象，除使用本部分外還需參考其他的安全擴(kuò)展測評要求。本部分適用于測評服務(wù)機(jī)構(gòu)、等級保護(hù)對象的主管部門及運(yùn)營使用對等級保護(hù)對象安等級保護(hù)監(jiān)督檢查可全等級保護(hù)狀況進(jìn)行的安全測試評估以參考使用。監(jiān)管依法進(jìn)行的2 規(guī)范性文件下列文件中的條款通過在本部分的而成部分的條款。凡是注日期的文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本部分，然而，鼓勵根據(jù)本部分達(dá)成協(xié)議的各方研究是否使用這些文件的最新版本。凡是不注明日期的文件，其最新版本適用于本部分。GB/T 25069-2010技術(shù) 術(shù)語

22、GB 17859-1999 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T GB/TGB/T22239.1-20XX28449-20XX25070-20XX技術(shù)技術(shù)技術(shù)等級保護(hù)基本要求 第1部分：安全通用要求等級保護(hù)測評過程指南等級保護(hù)安全設(shè)計技術(shù)要求3 術(shù)語和定義GB/T 25069-2010和GB/T22239.1-20XX所確立的以及下列術(shù)語和定義適用于本部分。3.1訪談 interview訪談是指測評通過引導(dǎo)等級保護(hù)對象相關(guān)進(jìn)行有目的的（有性的）交流以幫助測評人員理解、澄清或取得證據(jù)的過程。3.2核查 verification核查是指測評分析，以幫助測評通過對測評對象（如制度文檔、各類設(shè)備

23、及相關(guān)安全配置等）進(jìn)行觀察、查驗和理解、澄清或取得證據(jù)的過程。3.3測試 testing1GB/T 28448.1X測試是指測評使用預(yù)定的方法/工具使測評對象（各類設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，將運(yùn)行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對的過程。3.4評估 evaluation對等級保護(hù)對象可能存在的性及其可能產(chǎn)生的后果進(jìn)行綜合評價和的過程。3.5測評對象 target of testing and evaluation等級測評過程中不同測評方法作用的對象，主要涉及相關(guān)配套制度文檔、設(shè)備設(shè)施及等。3.6安全等級保護(hù)測評 testing and evaluation for security classif

24、ied protection安全等級保護(hù)測評（以下簡稱“等級測評”）是指測評機(jī)構(gòu)依據(jù)等級保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和計算標(biāo)準(zhǔn)，對未涉及的等級保護(hù)對象進(jìn)行安全等級保護(hù)狀況進(jìn)行檢測評估的活動。等級測評是標(biāo)準(zhǔn)符合性評判活動，即依據(jù)等級保護(hù)的標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)，按照特定方法對等級保護(hù)對象的安全保護(hù)能力進(jìn)行科學(xué)公正的綜合評判過程。4 安全等級保護(hù)測評概述4.1 安全等級保護(hù)測評方法等級測評實施的基本方法是特定的測評對象，采用相關(guān)的測評，遵從一定的測評規(guī)程，獲取需要的證據(jù)數(shù)據(jù)，給出是否達(dá)到特定級別安全保護(hù)能力的評判。等級測評實施的詳細(xì)流程和方法參見GB/T 28449-20XX。本部分中每一個要求項的測評就一個單項測評，單項測評中的每一個具體測評實施要求項（以下簡稱“測評要求項”）是與安全點