GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求

ICS35020

L80.

中华人民共和国国家标准

GB/T28448—2012

信息安全技术

信息系统安全等级保护测评要求

Informationsecuritytechnology—

Testingandevaluationrequirementforclassifiedprotectionofinformationsystem

2012-06-29发布2012-10-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

中华人民共和国

国家标准

信息安全技术

信息系统安全等级保护测评要求

GB/T28448—2012

*

中国标准出版社出版发行

北京市朝阳区和平里西街甲号

2(100013)

北京市西城区三里河北街号

16(100045)

网址

:

服务热线

/p>

年月第一版

201210

*

书号

:155066·1-45598

版权专有侵权必究

GB/T28448—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

概述………………………

41

测评框架……………

4.11

等级测评内容………………………

4.22

测评力度……………

4.33

使用方法……………

4.43

第一级信息系统单元测评………………

54

安全技术测评………………………

5.14

物理安全………………………

5.1.14

网络安全………………………

5.1.26

主机安全………………………

5.1.37

应用安全………………………

5.1.48

数据安全及备份恢复…………

5.1.510

安全管理测评………………………

5.210

安全管理制度…………………

5.2.110

安全管理机构…………………

5.2.211

人员安全管理…………………

5.2.312

系统建设管理…………………

5.2.414

系统运维管理…………………

5.2.517

第二级信息系统单元测评………………

620

安全技术测评………………………

6.120

物理安全………………………

6.1.120

网络安全………………………

6.1.224

主机安全………………………

6.1.326

应用安全………………………

6.1.429

数据安全及备份恢复…………

6.1.532

安全管理测评………………………

6.233

安全管理制度…………………

6.2.133

安全管理机构…………………

6.2.234

人员安全管理…………………

6.2.336

系统建设管理…………………

6.2.438

系统运维管理…………………

6.2.542

Ⅰ

GB/T28448—2012

第三级信息系统单元测评………………

747

安全技术测评………………………

7.147

物理安全………………………

7.1.147

网络安全………………………

7.1.252

主机安全………………………

7.1.355

应用安全………………………

7.1.458

数据安全及备份恢复…………

7.1.563

安全管理测评………………………

7.264

安全管理制度…………………

7.2.164

安全管理机构…………………

7.2.266

人员安全管理…………………

7.2.368

系统建设管理…………………

7.2.471

系统运维管理…………………

7.2.576

第四级信息系统单元测评………………

883

安全技术测评………………………

8.183

物理安全………………………

8.1.183

网络安全………………………

8.1.287

主机安全………………………

8.1.391

应用安全………………………

8.1.495

数据安全及备份恢复………………………

8.1.5100

安全管理测评……………………

8.2102

安全管理制度………………

8.2.1102

安全管理机构………………

8.2.2104

人员安全管理………………

8.2.3106

系统建设管理………………

8.2.4109

系统运维管理………………

8.2.5114

第五级信息系统单元测评……………

9121

信息系统整体测评……………………

10121

概述………………

10.1121

安全控制点间测评………………

10.2121

层面间测评………………………

10.3122

区域间测评………………………

10.4122

等级测评结论…………………………

11122

各层面的测评结论………………

11.1122

风险分析和评价…………………

11.2122

测评结论…………………………

11.3123

附录资料性附录测评力度………………………

A()124

附录资料性附录关于整体测评的进一步说明…………………

B()126

参考文献……………………

130

Ⅱ

GB/T28448—2012

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位公安部信息安全等级保护评估中心

:。

本标准主要起草人朱建平马力黄洪毕马宁任卫红谢朝海李升袁静曲洁刘静尚旭光

:、、、、、、、、、、、

张振峰李明陈雪秀

、、。

Ⅲ

GB/T28448—2012

引言

依据中华人民共和国计算机信息系统安全保护条例国务院号令国家信息化领导小组关

《》(147)、《

于加强信息安全保障工作的意见中办发号关于信息安全等级保护工作的实施意见公

》([2003]27)、《》(

通字号和信息安全等级保护管理办法公通字号等有关文件要求制定本标准

[2004]66)《》([2007]43),。

本标准是信息安全等级保护相关系列标准之一

。

与本标准相关的系列标准包括

:

信息安全技术信息系统安全等级保护基本要求

———GB/T22239—2008;

信息安全技术信息系统安全等级保护定级指南

———GB/T22240—2008;

信息安全技术信息系统安全等级保护测评过程指南

———GB/T28449—2012。

信息安全技术信息系统安全等级保护测评过程指南就有关信息系统安全等级保护测评工作的

《》

组织实施和过程控制方面提供指导本标准对信息系统进行安全等级保护测试评估的技术活动提出

、。

要求为评价信息系统是否符合提供了获取证据的途径和方法用以指导测评人员

,GB/T22239—2008,

从信息安全等级保护的角度对信息系统进行测试评估

。

本标准中的信息系统指计算机信息系统

。

在本标准文本中黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测

,

评要求中没有出现过

。

Ⅳ

GB/T28448—2012

信息安全技术

信息系统安全等级保护测评要求

1范围

本标准规定了对实现的信息系统是否符合所进行的测试评估活动的要求包

GB/T22239—2008,

括对第一级信息系统第二级信息系统第三级信息系统和第四级信息系统进行测试评估的要求本标

、、。

准略去对第五级信息系统进行测评的要求

。

本标准适用于信息安全测评服务机构信息系统的主管部门及运营使用单位对信息系统安全等级

、

保护状况进行的安全测试评估信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参

。

考使用

。

2