《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南-編制說明》

一、任務(wù)來源

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》于2012年作為國家標(biāo)準(zhǔn)正式

發(fā)布，標(biāo)準(zhǔn)號為GB/T28449-2012。GB/T28449-2012在我國推行信息安全等級保護(hù)制

度的過程中起到了非常重要的作用，被廣泛應(yīng)用于各個行業(yè)的用戶開展信息系統(tǒng)安全等

級保護(hù)的安全自查以及測評機構(gòu)的等級測評工作中。但是隨著信息技術(shù)的發(fā)展，GB/T

28449-2012在時效性、易用性、可操作性上還需進(jìn)一步提高，與等級保護(hù)監(jiān)管部門管理

思路的契合上還需進(jìn)一步完善，公安部第三研究所聯(lián)合中國電子科技集團(tuán)公司第十五研

究所以及北京信息安全測評中心向安標(biāo)委申請對GB/T28449編制補篇。

根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2013年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃，國家標(biāo)

準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南（補篇）》編制任務(wù)由公安部第

三研究所負(fù)責(zé)主辦，項目編號為2013bzzd-WG5-005。

二、主要工作過程

1）2013年10月，公安部第三研究所、中國電子科技集團(tuán)公司第十五研究所以及北

京信息安全測評中心成立了《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南（補

篇）》標(biāo)準(zhǔn)編制組。

2）2013年11月至2014年1月，標(biāo)準(zhǔn)編制組按照計劃調(diào)研了國際和國內(nèi)無線接入、

IPv6、云計算平臺、物聯(lián)網(wǎng)和工控系統(tǒng)應(yīng)用等新技術(shù)、新應(yīng)用的情況，分析并總結(jié)了新

技術(shù)和新應(yīng)用中的安全關(guān)注點和要素；同時標(biāo)準(zhǔn)編制組調(diào)研了與《信息安全技術(shù)信息

系統(tǒng)安全等級保護(hù)測評過程指南（補篇）》相關(guān)的其他國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，分析了正

在修訂的《信息安全等級保護(hù)測評報告模版》的修訂思路對本標(biāo)準(zhǔn)產(chǎn)生的影響，完成了

《等級保護(hù)測評過程指南（補篇）編制研究報告》。

3）2014年2月至3月標(biāo)準(zhǔn)編制組在前述工作成果《等級保護(hù)測評過程指南（補篇）

編制研究報告》的基礎(chǔ)上，對原國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評

過程指南》（GB/T28449-2012）按照新技術(shù)新應(yīng)用類別分別進(jìn)行了需補充內(nèi)容的梳理，

并根據(jù)項目任務(wù)書進(jìn)行了標(biāo)準(zhǔn)需完善內(nèi)容的梳理，編制出標(biāo)準(zhǔn)草案第一稿。

4）2014年4月9日，標(biāo)準(zhǔn)編制組在北京組織了第一次專家評審咨詢會，征求專家

意見。與會專家提出了將標(biāo)準(zhǔn)在《信息安全等級保護(hù)測評報告模版》中發(fā)布并在全國測

評機構(gòu)中試用以及將云計算、移動互聯(lián)等新技術(shù)新應(yīng)用領(lǐng)域內(nèi)容納入附件中的寶貴意

見。會后，標(biāo)準(zhǔn)編制組根據(jù)專家意見進(jìn)行修改，形成了標(biāo)準(zhǔn)草案第二稿。

5）2014年4月，為適應(yīng)無線移動接入、云計算平臺應(yīng)用、物聯(lián)網(wǎng)和工控系統(tǒng)應(yīng)用

等新技術(shù)、新應(yīng)用的情況下等級保護(hù)工作開展，公安部十一局牽頭會同全國信息安全標(biāo)

準(zhǔn)化委員會秘書處組織2014年新領(lǐng)域的國家標(biāo)準(zhǔn)立項，思路為在《信息安全技術(shù)信息

系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239-2008）的基礎(chǔ)上，針對無線移動接入、虛擬

計算環(huán)境、云計算平臺應(yīng)用、大數(shù)據(jù)應(yīng)用和工控系統(tǒng)應(yīng)用等新領(lǐng)域形成“基本要求”的

分冊，同時建議將《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南（補篇）》編制

改為《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》的修訂項目。

6）2014年5月至2014年12月標(biāo)準(zhǔn)編制組根據(jù)新的工作思路調(diào)整，進(jìn)行了標(biāo)準(zhǔn)整

體的修訂完善，形成了《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》修訂標(biāo)

準(zhǔn)草案第一稿。

7）2014年12月24日，標(biāo)準(zhǔn)編制組在北京組織了修訂草案的第一次專家評審咨詢

會，征求專家意見。與會專家提出了將標(biāo)準(zhǔn)與《信息安全等級保護(hù)測評報告模版（2015

版）》保持一致、風(fēng)險評估方法多樣化，不建議給出統(tǒng)一風(fēng)險評估方法等寶貴意見。會

后，標(biāo)準(zhǔn)編制組根據(jù)專家意見進(jìn)行修改，形成了標(biāo)準(zhǔn)修訂草案第二稿。

8）2015年7月至10月，標(biāo)準(zhǔn)編制組通過中關(guān)村信息安全測評聯(lián)盟與10家測評機

構(gòu)聯(lián)系，征求測評機構(gòu)意見，并將標(biāo)準(zhǔn)予以試用。截至10月底，共收到測評機構(gòu)反饋

意見27條，標(biāo)準(zhǔn)編制組根據(jù)反饋意見進(jìn)行了修改，形成了標(biāo)準(zhǔn)修訂草案第三稿。

9）2015年12月24日，安標(biāo)委WG5工作組專家及行業(yè)專家對本標(biāo)準(zhǔn)進(jìn)行了第二次

評審。會后，標(biāo)準(zhǔn)編制組再次按照專家提出的修改建議，對草案進(jìn)行了修改，形成了標(biāo)

準(zhǔn)修訂草案第三稿。

10）2016年7月8日，根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》系列標(biāo)

準(zhǔn)的修訂內(nèi)容，本標(biāo)準(zhǔn)進(jìn)行了再次修訂，并對應(yīng)修改標(biāo)準(zhǔn)名稱為《信息安全技術(shù)網(wǎng)絡(luò)

安全等級保護(hù)測評過程指南》，形成了標(biāo)準(zhǔn)修訂草案第四稿。

11）2016年8月12日，安標(biāo)委WG5工作組部分專家對本標(biāo)準(zhǔn)進(jìn)行了第三次評審。

會后，標(biāo)準(zhǔn)編制組再次按照專家提出的修改建議，對草案進(jìn)行了修改，形成了標(biāo)準(zhǔn)修訂

草案第五稿。

12）2016年8月25日，安標(biāo)委WG5工作組全體專家對本標(biāo)準(zhǔn)進(jìn)行了評審。會后，

標(biāo)準(zhǔn)編制組按照專家提出的修改建議，對草案進(jìn)行了修改，于2016年8月26日形成了

標(biāo)準(zhǔn)征求意見稿。

三、標(biāo)準(zhǔn)的主要修訂內(nèi)容

7

1）標(biāo)準(zhǔn)的名稱由原來的GB/T28449-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測

評過程指南》改為GB/T28449-XXXX《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指

南》；

2）調(diào)整了報告編制活動中的任務(wù)，由原來的六個任務(wù)調(diào)整為七個任務(wù)；

3）考慮到云計算等新技術(shù)新應(yīng)用造成的測評多方參與的情況，在測評準(zhǔn)備活動、

現(xiàn)場測評活動的雙方職責(zé)中增加了協(xié)調(diào)多方的職責(zé)，并且在一些涉及到多方的工作任務(wù)

中也予以明確。

4）為保證標(biāo)準(zhǔn)內(nèi)容具有更強的適用性，將標(biāo)準(zhǔn)中描述過細(xì)的內(nèi)容進(jìn)行修改和完善，

例如5.2.2任務(wù)描述中的“a)測評機構(gòu)收集等級測評需要的相關(guān)資料，包括測評委托

單位的管理架構(gòu)、技術(shù)體系、運行情況等方針文件、規(guī)章制度及相關(guān)過程管理記錄、被

測信息系統(tǒng)總體描述文件、詳細(xì)描述文件、定級報告、安全需求分析報告、安全總體方

案、安全現(xiàn)狀評價報告、安全詳細(xì)設(shè)計方案、用戶指南、運行步驟、網(wǎng)絡(luò)圖表、配置管

理文檔等?！备臑椤癮)測評機構(gòu)收集等級測評需要的相關(guān)資料，包括測評委托單位的

管理架構(gòu)、技術(shù)體系、運行情況等”；又如“c)測評機構(gòu)收回填寫完成的調(diào)查表格，并

分析調(diào)查結(jié)果，了解和熟悉被測信息系統(tǒng)的實際情況。分析的內(nèi)容包括被測信息系統(tǒng)的

基本信息、物理位置、行業(yè)特征、管理框架、管理策略、網(wǎng)絡(luò)及設(shè)備部署、軟硬件重要

性及部署情況、范圍及邊界、業(yè)務(wù)種類及重要性、業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)及重要性、業(yè)務(wù)

安全保護(hù)等級、用戶范圍、用戶類型、被測信息系統(tǒng)所處的運行環(huán)境及面臨的威脅等。

這些信息可以重用自查報告或上次等級測評報告中的可信結(jié)果?！备臑椤癱)測評機構(gòu)

收回填寫完成的調(diào)查表格，并分析調(diào)查結(jié)果，了解和熟悉被測信息系統(tǒng)的實際情況。這

些信息可以重用自查報告或上次等級測評報告中的可信結(jié)果?！?/p>

5）對應(yīng)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》系列標(biāo)準(zhǔn)修訂內(nèi)容，將

測評指標(biāo)選擇部分內(nèi)容進(jìn)行了調(diào)整。

6）對一些不適宜寫在標(biāo)準(zhǔn)文本中的描述性話語進(jìn)行了統(tǒng)一和規(guī)范，例如刪除4.3a）

中的“后續(xù)的工作以此為基礎(chǔ)，避免以后的工作出現(xiàn)大的分歧”。

7）增加了利用云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工控系統(tǒng)等構(gòu)建的信息系統(tǒng)開展安

全測評需要額外重點關(guān)注的特殊任務(wù)及要求。

四、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。

五、有關(guān)問題的說明

7

項目組在標(biāo)準(zhǔn)編制過程中，經(jīng)歷了內(nèi)部討論與論證、專家評審等過程，項目組在工

作過程中遵循編制原則，對國內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標(biāo)準(zhǔn)修訂工作。在整個過

程中未遇到重大意見分歧，但對專家提出的意見和建議，我們做了應(yīng)答和處理，更好地

完善了我們的標(biāo)準(zhǔn)編制工作。

本項目是對國家推薦性標(biāo)準(zhǔn)GB/T28449-2012的修訂，建議修訂后的標(biāo)準(zhǔn)還是為國

家推薦性標(biāo)準(zhǔn)。

六、廢止現(xiàn)行有關(guān)標(biāo)準(zhǔn)的建議

標(biāo)準(zhǔn)修訂完成后，標(biāo)準(zhǔn)的名稱為：

——GB/T28449-XXXX信息安全技術(shù)信息安全等級保護(hù)測評過程指南；

建議廢止GB/T28449-2012《信息安全技術(shù)