标准解读

《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》与《GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求》相比,存在多方面的更新和调整,主要体现在以下几个方面:

  1. 标准名称的变化:从“信息系统”变更为“网络安全”,反映了对当前网络环境变化的适应性调整,更加聚焦于网络安全领域的问题。

  2. 适用范围扩展:新版本不仅涵盖了传统意义上的信息系统,还增加了对云计算、移动互联、物联网等新型信息技术领域的覆盖,使得标准的应用场景更加广泛。

  3. 测评对象调整:明确了测评对象包括但不限于物理机房、服务器、终端设备、应用软件等,并特别强调了对于云服务提供商的安全管理要求。

  4. 新增内容:引入了关于个人信息保护的要求,加强了数据安全和个人隐私的保护措施;同时增加了针对新技术(如大数据、人工智能)的安全考量。

  5. 细化了测评指标体系:在原有基础上进一步细化和完善了各个级别的具体测评项目及要求,提高了可操作性和指导意义。例如,在物理安全、网络安全、主机安全等方面提出了更详细的操作指南。

  6. 强化了持续监控与响应机制:强调建立完善的信息系统安全事件应急处理流程,以及定期进行漏洞扫描、渗透测试等活动的重要性,以确保能够及时发现并修复潜在威胁。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2019-05-10 颁布
  • 2019-12-01 实施
©正版授权
GB/T 28448-2019信息安全技术网络安全等级保护测评要求_第1页
GB/T 28448-2019信息安全技术网络安全等级保护测评要求_第2页
GB/T 28448-2019信息安全技术网络安全等级保护测评要求_第3页
GB/T 28448-2019信息安全技术网络安全等级保护测评要求_第4页
GB/T 28448-2019信息安全技术网络安全等级保护测评要求_第5页
已阅读5页,还剩287页未读 继续免费阅读

下载本文档

GB/T 28448-2019信息安全技术网络安全等级保护测评要求-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T28448—2019

代替

GB/T28448—2012

信息安全技术

网络安全等级保护测评要求

Informationsecuritytechnology—

Evaluationrequirementforclassifiedprotectionofcybersecurity

2019-05-10发布2019-12-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T28448—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

等级测评概述

5……………2

等级测评方法

5.1………………………2

单项测评和整体测评

5.2………………3

第一级测评要求

6…………………………3

安全测评通用要求

6.1…………………3

云计算安全测评扩展要求

6.2…………19

移动互联安全测评扩展要求

6.3………………………22

物联网安全测评扩展要求

6.4…………23

工业控制系统安全测评扩展要求

6.5…………………25

第二级测评要求

7…………………………27

安全测评通用要求

7.1…………………27

云计算安全测评扩展要求

7.2…………64

移动互联安全测评扩展要求

7.3………………………72

物联网安全测评扩展要求

7.4…………75

工业控制系统安全测评扩展要求

7.5…………………77

第三级测评要求

8…………………………81

安全测评通用要求

8.1…………………81

云计算安全测评扩展要求

8.2………………………138

移动互联安全测评扩展要求

8.3……………………151

物联网安全测评扩展要求

8.4………………………156

工业控制系统安全测评扩展要求

8.5………………162

第四级测评要求

9………………………167

安全测评通用要求

9.1………………167

云计算安全测评扩展要求

9.2………………………228

移动互联安全测评扩展要求

9.3……………………242

物联网安全测评扩展要求

9.4………………………247

工业控制系统安全测评扩展要求

9.5………………253

第五级测评要求

10………………………259

整体测评

11………………259

GB/T28448—2019

概述

11.1………………259

安全控制点测评

11.2…………………260

安全控制点间测评

11.3………………260

区域间测评

11.4………………………260

测评结论

12………………260

风险分析和评价

12.1…………………260

等级测评结论

12.2……………………260

附录资料性附录测评力度

A()………………………262

附录资料性附录大数据可参考安全评估方法

B()…………………264

附录规范性附录测评单元编号说明

C()……………284

参考文献

……………………285

GB/T28448—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术信息系统安全等级保护测评要求与

GB/T28448—2012《》,

相比主要变化如下

GB/T28448—2012,:

将标准名称变更为信息安全技术网络安全等级保护测评要求

———《》;

每个级别增加了云计算安全测评扩展要求移动互联安全测评扩展要求物联网安全测评扩展

———、、

要求和工业控制系统安全测评扩展要求等内容

;

增加了等级测评测评对象云服务商和云服务客户等相关术语和定义见第章年版

———、、(3,2012

的第章

3);

将针对控制点的单元测评细化调整为针对要求项的单项测评删除了测评框架见年

———,“”(2012

版的和等级测评内容见年版的

4.1)“”(20124.2);

增加了大数据可参考安全评估方法见附录和测评单元编号说明见附录

———(B)(C)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位公安部第三研究所公安部信息安全等级保护评估中心中国电子技术标准化研

:()、

究院国家信息中心中国科学院信息工程研究所信息安全国家重点实验室北京大学新华三技术有

、、()、、

限公司成都科来软件有限公司中国移动通信集团有限公司北京鼎普科技股份有限公司北京微步在

、、、、

线科技有限公司北京梆梆安全科技有限公司北京迅达云成科技有限公司中国电子科技集团公司第

、、、

十五研究所信息产业信息安全测评中心公安部第一研究所北京信息安全测评中心国家能源局信

()、、、

息中心电力行业信息安全等级保护测评中心全球能源互联网研究院北京卓识网安技术股份有限公

()、、

司中国电力科学研究院南京南瑞集团公司国电南京自动化股份有限公司南方电网科学研究院中

、、、、、

国电子信息产业集团公司第六研究所工业和信息化部计算机与微电子发展研究中心中国软件评测中

、(

心启明星辰信息技术集团股份有限公司北京烽云互联科技有限公司华普科工北京有限公司

)、、、()。

本标准主要起草人陈广勇李明黎水林马力曲洁于东升艾春迪郭启全葛波蔚祝国邦

:、、、、、、、、、、

陆磊张宇翔毕马宁沙淼淼李升胡红升陈雪鸿袁静章恒张益毛澍王斌尹湘培王勇高亚楠

、、、、、、、、、、、、、、、

焦安春赵劲涛于俊杰徐衍龙马晓波江雷黄顺京朱建兴苏艳芳禄凯何申霍珊珊于运涛

、、、、、、、、、、、、、

陈震任卫红孙惠平万晓兰马红霞薛锋赵林林刘金刚胡越宁周晓雪李亚军杨洪起孟召瑞

、、、、、、、、、、、、、

李飞王江波阚志刚刘健陶源李秋香许凤凯王绍杰李晨旸李凌朱世顺张五一陈华军张洁昕

、、、、、、、、、、、、、、

张彪李汪蔚王雪蔡学琳胡娟刘静周峰郝鑫马闽段伟恒

、、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T28448—2012。

GB/T28448—2019

引言

为了配合中华人民共和国网络安全法的实施同时适应云计算移动互联物联网和工业控制等

《》,、、

新技术新应用情况下网络安全等级保护工作的开展需对进行修订同时作为

、,GB/T28448—2012。,

测评指标进行引用的也启动了修订工作修订的思路和方法依据调

GB/T22239—2008。GB/T22239

整的内容针对共性安全保护需求提出安全测评通用要求针对云计算移动互联物联网和工业控制等

,,、、

新技术新应用领域的个性安全保护需求提出安全测评扩展要求形成新的信息安全技术网络安全

、,《

等级保护测评要求标准

》。

本标准是网络安全等级保护相关系列标准之一

与本标准相关的标准包括

:

信息安全技术信息系统安全等级保护实施指南

———GB/T25058;

信息安全技术信息系统安全等级保护定级指南

———GB/T22240;

信息安全技术网络安全等级保护基本要求

———GB/T22239;

信息安全技术网络安全等级保护安全设计技术要求

———GB/T25070;

信息安全技术网络安全等级保护测评过程指南

———GB/T28449。

GB/T28448—2019

信息安全技术

网络安全等级保护测评要求

1范围

本标准规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求

本标准适用于安全测评服务机构等级保护对象的运营使用单位及主管部门对等级保护对象的安全

状况进行安全测评并提供指南也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用

,。

注第五级等级保护对象是非常重要的监督管理对象对其有特殊的管理模式和安全测评要求所以不在本标准中

:,,

进行描述

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机信息系统安全保护等级划分准则

GB17859—1999

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术术语

GB/T25069

信息安全技术网络安全等级保护安全设计技术要求

GB/T25070—2019

信息安全技术网络安全等级保护测评过程指南

GB/T28449—2018

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论