GB/T 28449-2012信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南

ICS35020

L80.

中華人民共和國國家標準

GB/T28449—2012

信息安全技術(shù)

信息系統(tǒng)安全等級保護測評過程指南

Informationsecuritytechnology—Testingandevaluationprocessguidefor

classifiedprotectionofinformationsystemsecurity

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T28449—2012

目次

前言…………………………

Ⅴ

引言…………………………

Ⅵ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

符號和縮略語……………

41

等級測評概述……………

51

等級測評的作用……………………

5.11

等級測評風險………………………

5.22

可能影響系統(tǒng)正常運行………………………

5.2.12

可能泄漏敏感信息……………

5.2.22

等級測評風險的規(guī)避………………

5.32

等級測評過程概述…………………

5.43

測評準備活動……………

63

測評準備活動的工作流程…………

6.13

測評準備活動的主要任務…………

6.24

項目啟動………………………

6.2.14

信息收集和分析………………

6.2.24

工具和表單準備………………

6.2.35

測評準備活動的輸出文檔…………

6.35

測評準備活動中雙方的職責………………………

6.45

方案編制活動……………

76

方案編制活動的工作流程…………

7.16

方案編制活動的主要任務…………

7.26

測評對象確定…………………

7.2.16

測評指標確定…………………

7.2.27

測評內(nèi)容確定…………………

7.2.38

工具測試方法確定……………

7.2.48

測評指導書開發(fā)………………

7.2.59

測評方案編制…………………

7.2.610

方案編制活動的輸出文檔…………

7.311

方案編制活動中雙方的職責………………………

7.411

現(xiàn)場測評活動……………

811

現(xiàn)場測評活動的工作流程…………

8.111

現(xiàn)場測評活動的主要任務…………

8.212

現(xiàn)場測評準備…………………

8.2.112

Ⅰ

GB/T28449—2012

現(xiàn)場測評和結(jié)果記錄…………

8.2.212

訪談………………………

8.2.2.112

檢查………………………

8.2.2.213

測試………………………

8.2.2.314

結(jié)果確認和資料歸還…………

8.2.314

現(xiàn)場測評活動的輸出文檔…………

8.314

現(xiàn)場測評活動中雙方的職責………………………

8.415

報告編制活動……………

915

報告編制活動的工作流程…………

9.115

報告編制活動的主要任務…………

9.216

單項測評結(jié)果判定……………

9.2.116

單元測評結(jié)果判定……………

9.2.216

整體測評………………………

9.2.317

風險分析………………………

9.2.418

等級測評結(jié)論形成……………

9.2.518

測評報告編制…………………

9.2.619

報告編制活動的輸出文檔…………

9.319

報告編制活動中雙方的職責………………………

9.420

附錄資料性附錄等級測評工作流程………………

A()21

附錄資料性附錄測評對象確定準則和樣例………

B()23

測評對象確定準則………………

B.123

測評對象確定樣例………………

B.223

第一級信息系統(tǒng)……………

B.2.123

第二級信息系統(tǒng)……………

B.2.223

第三級信息系統(tǒng)……………

B.2.324

第四級信息系統(tǒng)……………

B.2.425

附錄資料性附錄等級測評工作要求………………

C()26

依據(jù)標準遵循原則………………

C.1,26

恰當選取保證強度………………

C.2,26

規(guī)范行為規(guī)避風險………………

C.3,26

附錄資料性附錄測評方案與測評報告編制示例…………………

D()27

測評方案編制示例………………

D.127

系統(tǒng)描述……………………

D.1.127

測評對象……………………

D.1.228

測評指標……………………

D.1.330

測評工具和接入點…………

D.1.430

測評內(nèi)容……………………

D.1.532

測評指導書…………………

D.1.635

測評報告編制示例………………

D.239

整體測評……………………

D.2.139

安全建設整改建議…………

D.2.240

Ⅱ

GB/T28449—2012

附錄資料性附錄信息系統(tǒng)基本情況調(diào)查表模版…………………

E()42

說明………………

E.142

單位基本情況……………………

E.242

參與人員名單……………………

E.343

物理環(huán)境情況……………………

E.443

信息系統(tǒng)基本情況………………

E.543

信息系統(tǒng)承載業(yè)務服務情況…………………

E.6()44

信息系統(tǒng)網(wǎng)絡結(jié)構(gòu)環(huán)境情況…………………

E.7()44

外聯(lián)線路及設備端口網(wǎng)絡邊界情況…………

E.8()45

網(wǎng)絡設備情況……………………

E.945

安全設備情況……………………

E.1046

服務器設備情況…………………

E.1146

終端設備情況……………………

E.1247

系統(tǒng)軟件情況……………………

E.1347

應用系統(tǒng)軟件情況………………

E.1447

業(yè)務數(shù)據(jù)情況……………………

E.1548

數(shù)據(jù)備份情況……………………

E.1648

應用系統(tǒng)軟件處理流程多表…………………

E.17()49

業(yè)務數(shù)據(jù)流程多表……………

E.18()49

管理文檔情況……………………

E.1950

安全威脅情況……………………

E.2052

附錄資料性附錄信息系統(tǒng)安全等級測評報告模版試行………

F()()54

參考文獻……………………

70

Ⅲ

GB/T28449—2012

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部信息安全等級保護評估中心

:。

本標準主要起草人袁靜任衛(wèi)紅陳雪秀曲潔劉靜畢馬寧朱建平馬力李明李升黃洪

:、、、、、、、、、、。

Ⅴ

GB/T28449—2012

引言

依據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例國務院號令國家信息化領(lǐng)導小組關(guān)

《》(147)、《

于加強信息安全保障工作的意見中辦發(fā)號關(guān)于信息安全等級保護工作的實施意見公

》([2003]27)、《》(

通字號和信息安全等級保護管理辦法公通字號制定本標準

[2004]66)《》([2007]43),。

本標準是信息安全等級保護相關(guān)系列標準之一

。

與本標準相關(guān)的系列標準包括

:

信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求

———GB/T22239—2008;

信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南

———GB/T22240—2008;

信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求

———GB/T28448—2012。

Ⅵ

GB/T28449—2012

信息安全技術(shù)

信息系統(tǒng)安全等級保護測評過程指南

1范圍

本標準規(guī)定了信息系統(tǒng)安全等級保護測評以下簡稱等級測評工作的測評過程對等級測評的

(“”),

活動工作任務以及每項任務的輸入