标准解读
《GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南》是一项国家标准,旨在为信息系统的安全等级保护测评提供规范化的指导。该标准详细描述了进行信息系统安全等级保护测评时应遵循的过程、方法及要求。
根据此标准,信息系统安全等级保护测评主要分为准备阶段、方案编制阶段、现场测评阶段和分析与报告编制阶段四个步骤。在准备阶段,需明确被测系统的基本情况及其定级结果,并组建合适的测评团队;方案编制阶段则基于前期收集的信息来设计具体的测评计划,包括确定测评对象、范围以及采用的测评方法等;进入现场测评阶段后,按照既定方案执行各项测试活动,记录发现的问题;最后,在分析与报告编制阶段,对整个测评过程中获得的数据进行综合分析,形成正式的测评报告。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
文档简介
ICS35020
L80.
中华人民共和国国家标准
GB/T28449—2012
信息安全技术
信息系统安全等级保护测评过程指南
Informationsecuritytechnology—Testingandevaluationprocessguidefor
classifiedprotectionofinformationsystemsecurity
2012-06-29发布2012-10-01实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T28449—2012
目次
前言…………………………
Ⅴ
引言…………………………
Ⅵ
范围………………………
11
规范性引用文件…………………………
21
术语和定义………………
31
符号和缩略语……………
41
等级测评概述……………
51
等级测评的作用……………………
5.11
等级测评风险………………………
5.22
可能影响系统正常运行………………………
5.2.12
可能泄漏敏感信息……………
5.2.22
等级测评风险的规避………………
5.32
等级测评过程概述…………………
5.43
测评准备活动……………
63
测评准备活动的工作流程…………
6.13
测评准备活动的主要任务…………
6.24
项目启动………………………
6.2.14
信息收集和分析………………
6.2.24
工具和表单准备………………
6.2.35
测评准备活动的输出文档…………
6.35
测评准备活动中双方的职责………………………
6.45
方案编制活动……………
76
方案编制活动的工作流程…………
7.16
方案编制活动的主要任务…………
7.26
测评对象确定…………………
7.2.16
测评指标确定…………………
7.2.27
测评内容确定…………………
7.2.38
工具测试方法确定……………
7.2.48
测评指导书开发………………
7.2.59
测评方案编制…………………
7.2.610
方案编制活动的输出文档…………
7.311
方案编制活动中双方的职责………………………
7.411
现场测评活动……………
811
现场测评活动的工作流程…………
8.111
现场测评活动的主要任务…………
8.212
现场测评准备…………………
8.2.112
Ⅰ
GB/T28449—2012
现场测评和结果记录…………
8.2.212
访谈………………………
8.2.2.112
检查………………………
8.2.2.213
测试………………………
8.2.2.314
结果确认和资料归还…………
8.2.314
现场测评活动的输出文档…………
8.314
现场测评活动中双方的职责………………………
8.415
报告编制活动……………
915
报告编制活动的工作流程…………
9.115
报告编制活动的主要任务…………
9.216
单项测评结果判定……………
9.2.116
单元测评结果判定……………
9.2.216
整体测评………………………
9.2.317
风险分析………………………
9.2.418
等级测评结论形成……………
9.2.518
测评报告编制…………………
9.2.619
报告编制活动的输出文档…………
9.319
报告编制活动中双方的职责………………………
9.420
附录资料性附录等级测评工作流程………………
A()21
附录资料性附录测评对象确定准则和样例………
B()23
测评对象确定准则………………
B.123
测评对象确定样例………………
B.223
第一级信息系统……………
B.2.123
第二级信息系统……………
B.2.223
第三级信息系统……………
B.2.324
第四级信息系统……………
B.2.425
附录资料性附录等级测评工作要求………………
C()26
依据标准遵循原则………………
C.1,26
恰当选取保证强度………………
C.2,26
规范行为规避风险………………
C.3,26
附录资料性附录测评方案与测评报告编制示例…………………
D()27
测评方案编制示例………………
D.127
系统描述……………………
D.1.127
测评对象……………………
D.1.228
测评指标……………………
D.1.330
测评工具和接入点…………
D.1.430
测评内容……………………
D.1.532
测评指导书…………………
D.1.635
测评报告编制示例………………
D.239
整体测评……………………
D.2.139
安全建设整改建议…………
D.2.240
Ⅱ
GB/T28449—2012
附录资料性附录信息系统基本情况调查表模版…………………
E()42
说明………………
E.142
单位基本情况……………………
E.242
参与人员名单……………………
E.343
物理环境情况……………………
E.443
信息系统基本情况………………
E.543
信息系统承载业务服务情况…………………
E.6()44
信息系统网络结构环境情况…………………
E.7()44
外联线路及设备端口网络边界情况…………
E.8()45
网络设备情况……………………
E.945
安全设备情况……………………
E.1046
服务器设备情况…………………
E.1146
终端设备情况……………………
E.1247
系统软件情况……………………
E.1347
应用系统软件情况………………
E.1447
业务数据情况……………………
E.1548
数据备份情况……………………
E.1648
应用系统软件处理流程多表…………………
E.17()49
业务数据流程多表……………
E.18()49
管理文档情况……………………
E.1950
安全威胁情况……………………
E.2052
附录资料性附录信息系统安全等级测评报告模版试行………
F()()54
参考文献……………………
70
Ⅲ
GB/T28449—2012
前言
本标准按照给出的规则起草
GB/T1.1—2009。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位公安部信息安全等级保护评估中心
:。
本标准主要起草人袁静任卫红陈雪秀曲洁刘静毕马宁朱建平马力李明李升黄洪
:、、、、、、、、、、。
Ⅴ
GB/T28449—2012
引言
依据中华人民共和国计算机信息系统安全保护条例国务院号令国家信息化领导小组关
《》(147)、《
于加强信息安全保障工作的意见中办发号关于信息安全等级保护工作的实施意见公
》([2003]27)、《》(
通字号和信息安全等级保护管理办法公通字号制定本标准
[2004]66)《》([2007]43),。
本标准是信息安全等级保护相关系列标准之一
。
与本标准相关的系列标准包括
:
信息安全技术信息系统安全等级保护基本要求
———GB/T22239—2008;
信息安全技术信息系统安全等级保护定级指南
———GB/T22240—2008;
信息安全技术信息系统安全等级保护测评要求
———GB/T28448—2012。
Ⅵ
GB/T28449—2012
信息安全技术
信息系统安全等级保护测评过程指南
1范围
本标准规定了信息系统安全等级保护测评以下简称等级测评工作的测评过程对等级测评的
(“”),
活动工作任务以及每项任务的输入
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 【培训课件】绿城奢侈品培训-化妆品
- 汗腺炎的临床护理
- 《信息级联》课件
- 皮肤型红斑狼疮的临床护理
- 《机械设计基础》课件-第2章
- 《机械设计基础》课件-第3章
- 部编版八年级语文下册全册教学教案
- 《供配电讲义》课件
- JJF(陕) 007-2019 金相显微镜校准规范
- 整合课堂内外学习的策略计划
- 2024年江西省公务员考试《行测》真题及答案解析
- 军事理论-综合版智慧树知到期末考试答案章节答案2024年国防大学
- 冰铜熔炼的理论基础
- 独立重复试验事件
- 安全安全质量保证体系
- 材料设备的接保检运措施
- 食用酒精生产工艺工厂设计
- 泌尿外科病例分析
- 脱硫除尘常用备品备件清单
- 2022年度国际象棋波尔加习题库一步杀习题120题
- 石化、电厂工艺管道安装施工方案
评论
0/150
提交评论