GB/T 28448-2012信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求

ICS35020

L80.

中華人民共和國國家標準

GB/T28448—2012

信息安全技術(shù)

信息系統(tǒng)安全等級保護測評要求

Informationsecuritytechnology—

Testingandevaluationrequirementforclassifiedprotectionofinformationsystem

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

中華人民共和國

國家標準

信息安全技術(shù)

信息系統(tǒng)安全等級保護測評要求

GB/T28448—2012

*

中國標準出版社出版發(fā)行

北京市朝陽區(qū)和平里西街甲號

2(100013)

北京市西城區(qū)三里河北街號

16(100045)

網(wǎng)址

:

服務熱線

/p>

年月第一版

201210

*

書號

:155066·1-45598

版權(quán)專有侵權(quán)必究

GB/T28448—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

概述………………………

41

測評框架……………

4.11

等級測評內(nèi)容………………………

4.22

測評力度……………

4.33

使用方法……………

4.43

第一級信息系統(tǒng)單元測評………………

54

安全技術(shù)測評………………………

5.14

物理安全………………………

5.1.14

網(wǎng)絡安全………………………

5.1.26

主機安全………………………

5.1.37

應用安全………………………

5.1.48

數(shù)據(jù)安全及備份恢復…………

5.1.510

安全管理測評………………………

5.210

安全管理制度…………………

5.2.110

安全管理機構(gòu)…………………

5.2.211

人員安全管理…………………

5.2.312

系統(tǒng)建設管理…………………

5.2.414

系統(tǒng)運維管理…………………

5.2.517

第二級信息系統(tǒng)單元測評………………

620

安全技術(shù)測評………………………

6.120

物理安全………………………

6.1.120

網(wǎng)絡安全………………………

6.1.224

主機安全………………………

6.1.326

應用安全………………………

6.1.429

數(shù)據(jù)安全及備份恢復…………

6.1.532

安全管理測評………………………

6.233

安全管理制度…………………

6.2.133

安全管理機構(gòu)…………………

6.2.234

人員安全管理…………………

6.2.336

系統(tǒng)建設管理…………………

6.2.438

系統(tǒng)運維管理…………………

6.2.542

Ⅰ

GB/T28448—2012

第三級信息系統(tǒng)單元測評………………

747

安全技術(shù)測評………………………

7.147

物理安全………………………

7.1.147

網(wǎng)絡安全………………………

7.1.252

主機安全………………………

7.1.355

應用安全………………………

7.1.458

數(shù)據(jù)安全及備份恢復…………

7.1.563

安全管理測評………………………

7.264

安全管理制度…………………

7.2.164

安全管理機構(gòu)…………………

7.2.266

人員安全管理…………………

7.2.368

系統(tǒng)建設管理…………………

7.2.471

系統(tǒng)運維管理…………………

7.2.576

第四級信息系統(tǒng)單元測評………………

883

安全技術(shù)測評………………………

8.183

物理安全………………………

8.1.183

網(wǎng)絡安全………………………

8.1.287

主機安全………………………

8.1.391

應用安全………………………

8.1.495

數(shù)據(jù)安全及備份恢復………………………

8.1.5100

安全管理測評……………………

8.2102

安全管理制度………………

8.2.1102

安全管理機構(gòu)………………

8.2.2104

人員安全管理………………

8.2.3106

系統(tǒng)建設管理………………

8.2.4109

系統(tǒng)運維管理………………

8.2.5114

第五級信息系統(tǒng)單元測評……………

9121

信息系統(tǒng)整體測評……………………

10121

概述………………

10.1121

安全控制點間測評………………

10.2121

層面間測評………………………

10.3122

區(qū)域間測評………………………

10.4122

等級測評結(jié)論…………………………

11122

各層面的測評結(jié)論………………

11.1122

風險分析和評價…………………

11.2122

測評結(jié)論…………………………

11.3123

附錄資料性附錄測評力度………………………

A()124

附錄資料性附錄關(guān)于整體測評的進一步說明…………………

B()126

參考文獻……………………

130

Ⅱ

GB/T28448—2012

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部信息安全等級保護評估中心

:。

本標準主要起草人朱建平馬力黃洪畢馬寧任衛(wèi)紅謝朝海李升袁靜曲潔劉靜尚旭光

:、、、、、、、、、、、

張振峰李明陳雪秀

、、。

Ⅲ

GB/T28448—2012

引言

依據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例國務院號令國家信息化領(lǐng)導小組關(guān)

《》(147)、《

于加強信息安全保障工作的意見中辦發(fā)號關(guān)于信息安全等級保護工作的實施意見公

》([2003]27)、《》(

通字號和信息安全等級保護管理辦法公通字號等有關(guān)文件要求制定本標準

[2004]66)《》([2007]43),。

本標準是信息安全等級保護相關(guān)系列標準之一

。

與本標準相關(guān)的系列標準包括

:

信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求

———GB/T22239—2008;

信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南

———GB/T22240—2008;

信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南

———GB/T28449—2012。

信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南就有關(guān)信息系統(tǒng)安全等級保護測評工作的

《》

組織實施和過程控制方面提供指導本標準對信息系統(tǒng)進行安全等級保護測試評估的技術(shù)活動提出

、。

要求為評價信息系統(tǒng)是否符合提供了獲取證據(jù)的途徑和方法用以指導測評人員

,GB/T22239—2008,

從信息安全等級保護的角度對信息系統(tǒng)進行測試評估

。

本標準中的信息系統(tǒng)指計算機信息系統(tǒng)

。

在本標準文本中黑體字的測評要求表示該要求出現(xiàn)在當前等級而在低于當前等級信息系統(tǒng)的測

,

評要求中沒有出現(xiàn)過

。

Ⅳ

GB/T28448—2012

信息安全技術(shù)

信息系統(tǒng)安全等級保護測評要求

1范圍

本標準規(guī)定了對實現(xiàn)的信息系統(tǒng)是否符合所進行的測試評估活動的要求包

GB/T22239—2008,

括對第一級信息系統(tǒng)第二級信息系統(tǒng)第三級信息系統(tǒng)和第四級信息系統(tǒng)進行測試評估的要求本標

、、。

準略去對第五級信息系統(tǒng)進行測評的要求

。

本標準適用于信息安全測評服務機構(gòu)信息系統(tǒng)的主管部門及運營使用單位對信息系統(tǒng)安全等級

、

保護狀況進行的安全測試評估信息安全監(jiān)管職能部門依法進行的信息安全等級保護監(jiān)督檢查可以參

。

考使用

。

2