标准解读
《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》与《GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求》相比,存在多方面的更新和调整,主要体现在以下几个方面:
-
标准名称的变化:从“信息系统”变更为“网络安全”,反映了对当前网络环境变化的适应性调整,更加聚焦于网络安全领域的问题。
-
适用范围扩展:新版本不仅涵盖了传统意义上的信息系统,还增加了对云计算、移动互联、物联网等新型信息技术领域的覆盖,使得标准的应用场景更加广泛。
-
测评对象调整:明确了测评对象包括但不限于物理机房、服务器、终端设备、应用软件等,并特别强调了对于云服务提供商的安全管理要求。
-
新增内容:引入了关于个人信息保护的要求,加强了数据安全和个人隐私的保护措施;同时增加了针对新技术(如大数据、人工智能)的安全考量。
-
细化了测评指标体系:在原有基础上进一步细化和完善了各个级别的具体测评项目及要求,提高了可操作性和指导意义。例如,在物理安全、网络安全、主机安全等方面提出了更详细的操作指南。
-
强化了持续监控与响应机制:强调建立完善的信息系统安全事件应急处理流程,以及定期进行漏洞扫描、渗透测试等活动的重要性,以确保能够及时发现并修复潜在威胁。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2019-05-10 颁布
- 2019-12-01 实施
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T28448—2019
代替
GB/T28448—2012
信息安全技术
网络安全等级保护测评要求
Informationsecuritytechnology—
Evaluationrequirementforclassifiedprotectionofcybersecurity
2019-05-10发布2019-12-01实施
国家市场监督管理总局发布
中国国家标准化管理委员会
GB/T28448—2019
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
缩略语
4……………………2
等级测评概述
5……………2
等级测评方法
5.1………………………2
单项测评和整体测评
5.2………………3
第一级测评要求
6…………………………3
安全测评通用要求
6.1…………………3
云计算安全测评扩展要求
6.2…………19
移动互联安全测评扩展要求
6.3………………………22
物联网安全测评扩展要求
6.4…………23
工业控制系统安全测评扩展要求
6.5…………………25
第二级测评要求
7…………………………27
安全测评通用要求
7.1…………………27
云计算安全测评扩展要求
7.2…………64
移动互联安全测评扩展要求
7.3………………………72
物联网安全测评扩展要求
7.4…………75
工业控制系统安全测评扩展要求
7.5…………………77
第三级测评要求
8…………………………81
安全测评通用要求
8.1…………………81
云计算安全测评扩展要求
8.2………………………138
移动互联安全测评扩展要求
8.3……………………151
物联网安全测评扩展要求
8.4………………………156
工业控制系统安全测评扩展要求
8.5………………162
第四级测评要求
9………………………167
安全测评通用要求
9.1………………167
云计算安全测评扩展要求
9.2………………………228
移动互联安全测评扩展要求
9.3……………………242
物联网安全测评扩展要求
9.4………………………247
工业控制系统安全测评扩展要求
9.5………………253
第五级测评要求
10………………………259
整体测评
11………………259
Ⅰ
GB/T28448—2019
概述
11.1………………259
安全控制点测评
11.2…………………260
安全控制点间测评
11.3………………260
区域间测评
11.4………………………260
测评结论
12………………260
风险分析和评价
12.1…………………260
等级测评结论
12.2……………………260
附录资料性附录测评力度
A()………………………262
附录资料性附录大数据可参考安全评估方法
B()…………………264
附录规范性附录测评单元编号说明
C()……………284
参考文献
……………………285
Ⅱ
GB/T28448—2019
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准代替信息安全技术信息系统安全等级保护测评要求与
GB/T28448—2012《》,
相比主要变化如下
GB/T28448—2012,:
将标准名称变更为信息安全技术网络安全等级保护测评要求
———《》;
每个级别增加了云计算安全测评扩展要求移动互联安全测评扩展要求物联网安全测评扩展
———、、
要求和工业控制系统安全测评扩展要求等内容
;
增加了等级测评测评对象云服务商和云服务客户等相关术语和定义见第章年版
———、、(3,2012
的第章
3);
将针对控制点的单元测评细化调整为针对要求项的单项测评删除了测评框架见年
———,“”(2012
版的和等级测评内容见年版的
4.1)“”(20124.2);
增加了大数据可参考安全评估方法见附录和测评单元编号说明见附录
———(B)(C)。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位公安部第三研究所公安部信息安全等级保护评估中心中国电子技术标准化研
:()、
究院国家信息中心中国科学院信息工程研究所信息安全国家重点实验室北京大学新华三技术有
、、()、、
限公司成都科来软件有限公司中国移动通信集团有限公司北京鼎普科技股份有限公司北京微步在
、、、、
线科技有限公司北京梆梆安全科技有限公司北京迅达云成科技有限公司中国电子科技集团公司第
、、、
十五研究所信息产业信息安全测评中心公安部第一研究所北京信息安全测评中心国家能源局信
()、、、
息中心电力行业信息安全等级保护测评中心全球能源互联网研究院北京卓识网安技术股份有限公
()、、
司中国电力科学研究院南京南瑞集团公司国电南京自动化股份有限公司南方电网科学研究院中
、、、、、
国电子信息产业集团公司第六研究所工业和信息化部计算机与微电子发展研究中心中国软件评测中
、(
心启明星辰信息技术集团股份有限公司北京烽云互联科技有限公司华普科工北京有限公司
)、、、()。
本标准主要起草人陈广勇李明黎水林马力曲洁于东升艾春迪郭启全葛波蔚祝国邦
:、、、、、、、、、、
陆磊张宇翔毕马宁沙淼淼李升胡红升陈雪鸿袁静章恒张益毛澍王斌尹湘培王勇高亚楠
、、、、、、、、、、、、、、、
焦安春赵劲涛于俊杰徐衍龙马晓波江雷黄顺京朱建兴苏艳芳禄凯何申霍珊珊于运涛
、、、、、、、、、、、、、
陈震任卫红孙惠平万晓兰马红霞薛锋赵林林刘金刚胡越宁周晓雪李亚军杨洪起孟召瑞
、、、、、、、、、、、、、
李飞王江波阚志刚刘健陶源李秋香许凤凯王绍杰李晨旸李凌朱世顺张五一陈华军张洁昕
、、、、、、、、、、、、、、
张彪李汪蔚王雪蔡学琳胡娟刘静周峰郝鑫马闽段伟恒
、、、、、、、、、。
本标准所代替标准的历次版本发布情况为
:
———GB/T28448—2012。
Ⅲ
GB/T28448—2019
引言
为了配合中华人民共和国网络安全法的实施同时适应云计算移动互联物联网和工业控制等
《》,、、
新技术新应用情况下网络安全等级保护工作的开展需对进行修订同时作为
、,GB/T28448—2012。,
测评指标进行引用的也启动了修订工作修订的思路和方法依据调
GB/T22239—2008。GB/T22239
整的内容针对共性安全保护需求提出安全测评通用要求针对云计算移动互联物联网和工业控制等
,,、、
新技术新应用领域的个性安全保护需求提出安全测评扩展要求形成新的信息安全技术网络安全
、,《
等级保护测评要求标准
》。
本标准是网络安全等级保护相关系列标准之一
。
与本标准相关的标准包括
:
信息安全技术信息系统安全等级保护实施指南
———GB/T25058;
信息安全技术信息系统安全等级保护定级指南
———GB/T22240;
信息安全技术网络安全等级保护基本要求
———GB/T22239;
信息安全技术网络安全等级保护安全设计技术要求
———GB/T25070;
信息安全技术网络安全等级保护测评过程指南
———GB/T28449。
Ⅳ
GB/T28448—2019
信息安全技术
网络安全等级保护测评要求
1范围
本标准规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求
。
本标准适用于安全测评服务机构等级保护对象的运营使用单位及主管部门对等级保护对象的安全
、
状况进行安全测评并提供指南也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用
,。
注第五级等级保护对象是非常重要的监督管理对象对其有特殊的管理模式和安全测评要求所以不在本标准中
:,,
进行描述
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
计算机信息系统安全保护等级划分准则
GB17859—1999
信息安全技术网络安全等级保护基本要求
GB/T22239—2019
信息安全技术术语
GB/T25069
信息安全技术网络安全等级保护安全设计技术要求
GB/T25070—2019
信息安全技术网络安全等级保护测评过程指南
GB/T28449—2018
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 2024年土地证抵押贷款协议3篇
- 漯河职业技术学院《化工分离工程》2023-2024学年第一学期期末试卷
- 2024年度施工现场消防通道及安全标志设置服务协议3篇
- 洛阳师范学院《电磁场与电磁波》2023-2024学年第一学期期末试卷
- 洛阳科技职业学院《数字设备与装置》2023-2024学年第一学期期末试卷
- 2024年展会赞助:商业赞助与合作协议3篇
- 2024年度云计算服务具体服务内容合同3篇
- 2024年度专业牛羊养殖场规模化购销合同书3篇
- 临时咖啡师招募合同
- 2024年班组工人劳动安全合同3篇
- 2023年广州中医药大学:针灸治疗学试题
- 文学常识(全)课件
- 《特许经营实务》(第二版)特许经营实务题库及答案
- 休克的分类及诊疗思路
- 管理学(浙江财经大学)知到章节答案智慧树2023年
- 《戴小桥和他的哥们儿:特务足球队》交流课课件
- 金庸短篇小说《越女剑》中英文对照版
- 生命科学前沿技术智慧树知到答案章节测试2023年苏州大学
- 2023届高考英语一轮复习 语法填空:人物传记类 专项练习10篇有答案
- 危险性较大的分部分项工程施工前安全生产条件核查表
- 2023年小学英语六年级英语英语王杯竞赛试题
评论
0/150
提交评论