GB/T 28448-2019信息安全技术网络安全等级保护测评要求

ICS35040

L80.

中华人民共和国国家标准

GB/T28448—2019

代替

GB/T28448—2012

信息安全技术

网络安全等级保护测评要求

Informationsecuritytechnology—

Evaluationrequirementforclassifiedprotectionofcybersecurity

2019-05-10发布2019-12-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T28448—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

等级测评概述

5……………2

等级测评方法

5.1………………………2

单项测评和整体测评

5.2………………3

第一级测评要求

6…………………………3

安全测评通用要求

6.1…………………3

云计算安全测评扩展要求

6.2…………19

移动互联安全测评扩展要求

6.3………………………22

物联网安全测评扩展要求

6.4…………23

工业控制系统安全测评扩展要求

6.5…………………25

第二级测评要求

7…………………………27

安全测评通用要求

7.1…………………27

云计算安全测评扩展要求

7.2…………64

移动互联安全测评扩展要求

7.3………………………72

物联网安全测评扩展要求

7.4…………75

工业控制系统安全测评扩展要求

7.5…………………77

第三级测评要求

8…………………………81

安全测评通用要求

8.1…………………81

云计算安全测评扩展要求

8.2………………………138

移动互联安全测评扩展要求

8.3……………………151

物联网安全测评扩展要求

8.4………………………156

工业控制系统安全测评扩展要求

8.5………………162

第四级测评要求

9………………………167

安全测评通用要求

9.1………………167

云计算安全测评扩展要求

9.2………………………228

移动互联安全测评扩展要求

9.3……………………242

物联网安全测评扩展要求

9.4………………………247

工业控制系统安全测评扩展要求

9.5………………253

第五级测评要求

10………………………259

整体测评

11………………259

Ⅰ

GB/T28448—2019

概述

11.1………………259

安全控制点测评

11.2…………………260

安全控制点间测评

11.3………………260

区域间测评

11.4………………………260

测评结论

12………………260

风险分析和评价

12.1…………………260

等级测评结论

12.2……………………260

附录资料性附录测评力度

A()………………………262

附录资料性附录大数据可参考安全评估方法

B()…………………264

附录规范性附录测评单元编号说明

C()……………284

参考文献

……………………285

Ⅱ

GB/T28448—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术信息系统安全等级保护测评要求与

GB/T28448—2012《》,

相比主要变化如下

GB/T28448—2012,:

将标准名称变更为信息安全技术网络安全等级保护测评要求

———《》;

每个级别增加了云计算安全测评扩展要求移动互联安全测评扩展要求物联网安全测评扩展

———、、

要求和工业控制系统安全测评扩展要求等内容

;

增加了等级测评测评对象云服务商和云服务客户等相关术语和定义见第章年版

———、、(3,2012

的第章

3);

将针对控制点的单元测评细化调整为针对要求项的单项测评删除了测评框架见年

———,“”(2012

版的和等级测评内容见年版的

4.1)“”(20124.2);

增加了大数据可参考安全评估方法见附录和测评单元编号说明见附录

———(B)(C)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位公安部第三研究所公安部信息安全等级保护评估中心中国电子技术标准化研

:()、

究院国家信息中心中国科学院信息工程研究所信息安全国家重点实验室北京大学新华三技术有

、、()、、

限公司成都科来软件有限公司中国移动通信集团有限公司北京鼎普科技股份有限公司北京微步在

、、、、

线科技有限公司北京梆梆安全科技有限公司北京迅达云成科技有限公司中国电子科技集团公司第

、、、

十五研究所信息产业信息安全测评中心公安部第一研究所北京信息安全测评中心国家能源局信

()、、、

息中心电力行业信息安全等级保护测评中心全球能源互联网研究院北京卓识网安技术股份有限公

()、、

司中国电力科学研究院南京南瑞集团公司国电南京自动化股份有限公司南方电网科学研究院中

、、、、、

国电子信息产业集团公司第六研究所工业和信息化部计算机与微电子发展研究中心中国软件评测中

、(

心启明星辰信息技术集团股份有限公司北京烽云互联科技有限公司华普科工北京有限公司

)、、、()。

本标准主要起草人陈广勇李明黎水林马力曲洁于东升艾春迪郭启全葛波蔚祝国邦

:、、、、、、、、、、

陆磊张宇翔毕马宁沙淼淼李升胡红升陈雪鸿袁静章恒张益毛澍王斌尹湘培王勇高亚楠

、、、、、、、、、、、、、、、

焦安春赵劲涛于俊杰徐衍龙马晓波江雷黄顺京朱建兴苏艳芳禄凯何申霍珊珊于运涛

、、、、、、、、、、、、、

陈震任卫红孙惠平万晓兰马红霞薛锋赵林林刘金刚胡越宁周晓雪李亚军杨洪起孟召瑞

、、、、、、、、、、、、、

李飞王江波阚志刚刘健陶源李秋香许凤凯王绍杰李晨旸李凌朱世顺张五一陈华军张洁昕

、、、、、、、、、、、、、、

张彪李汪蔚王雪蔡学琳胡娟刘静周峰郝鑫马闽段伟恒

、、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T28448—2012。

Ⅲ

GB/T28448—2019

引言

为了配合中华人民共和国网络安全法的实施同时适应云计算移动互联物联网和工业控制等

《》,、、

新技术新应用情况下网络安全等级保护工作的开展需对进行修订同时作为

、,GB/T28448—2012。,

测评指标进行引用的也启动了修订工作修订的思路和方法依据调

GB/T22239—2008。GB/T22239

整的内容针对共性安全保护需求提出安全测评通用要求针对云计算移动互联物联网和工业控制等

,,、、

新技术新应用领域的个性安全保护需求提出安全测评扩展要求形成新的信息安全技术网络安全

、,《

等级保护测评要求标准

》。

本标准是网络安全等级保护相关系列标准之一

。

与本标准相关的标准包括

:

信息安全技术信息系统安全等级保护实施指南

———GB/T25058;

信息安全技术信息系统安全等级保护定级指南

———GB/T22240;

信息安全技术网络安全等级保护基本要求

———GB/T22239;

信息安全技术网络安全等级保护安全设计技术要求

———GB/T25070;

信息安全技术网络安全等级保护测评过程指南

———GB/T28449。

Ⅳ

GB/T28448—2019

信息安全技术

网络安全等级保护测评要求

1范围

本标准规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求

。

本标准适用于安全测评服务机构等级保护对象的运营使用单位及主管部门对等级保护对象的安全

、

状况进行安全测评并提供指南也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用

,。

注第五级等级保护对象是非常重要的监督管理对象对其有特殊的管理模式和安全测评要求所以不在本标准中

:,,

进行描述

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机信息系统安全保护等级划分准则

GB17859—1999

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术术语

GB/T25069

信息安全技术网络安全等级保护安全设计技术要求

GB/T25070—2019

信息安全技术网络安全等级保护测评过程指南

GB/T28449—2018