GB/T 28453-2012信息安全技术信息系统安全管理评估要求

ICS35040

L80.

中华人民共和国国家标准

GB/T28453—2012

信息安全技术

信息系统安全管理评估要求

Informationsecuritytechnology—

Informationsystemsecuritymanagementassessmentrequirements

2012-06-29发布2012-10-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T28453—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

评估原则和模式…………………………

42

管理评估的原则……………………

4.12

管理评估的工作模式………………

4.22

评估组织和活动…………………………

53

评估组织……………

5.13

评估实施团队…………………

5.1.13

评估管理机构…………………

5.1.23

被评估方相关人员……………

5.1.34

评估目标范围和依据………………

5.24

评估目标………………………

5.2.14

评估范围………………………

5.2.25

评估依据………………………

5.2.35

评估活动内容………………………

5.35

评估准备及启动………………

5.3.15

确定信息系统资产及安全需求………………

5.3.26

确定信息系统安全管理现状…………………

5.3.38

确定信息系统安全管理评估结论……………

5.3.412

评估结束及后续安排…………

5.3.513

安全管理评估的方法工具和实施……………………

6、14

评估方法……………

6.114

访谈调查………………………

6.1.114

符合性检查……………………

6.1.215

有效性验证……………………

6.1.316

技术检测………………………

6.1.417

评估工具……………

6.219

调查表…………………………

6.2.119

访谈问卷………………………

6.2.220

检查表…………………………

6.2.321

评估的实施…………………………

6.322

评估实施控制…………………

6.3.122

评估结论判断…………………

6.3.223

Ⅰ

GB/T28453—2012

分等级管理评估…………………………

725

规划立项管理评估要求……………

7.125

本阶段评估范围………………

7.1.125

第一级信息系统………………

7.1.225

第二级信息系统………………

7.1.327

第三级信息系统………………

7.1.429

第四级信息系统………………

7.1.530

第五级信息系统………………

7.1.632

设计实施管理评估要求……………

7.234

本阶段评估范围………………

7.2.134

第一级信息系统………………

7.2.236

第二级信息系统………………

7.2.338

第三级信息系统………………

7.2.441

第四级信息系统………………

7.2.544

第五级信息系统………………

7.2.647

运行维护管理评估要求……………

7.350

本阶段评估范围………………

7.3.150

第一级信息系统………………

7.3.252

第二级信息系统………………

7.3.354

第三级信息系统………………

7.3.456

第四级信息系统………………

7.3.559

第五级信息系统………………

7.3.662

终止处置管理评估要求……………

7.465

本阶段评估范围………………

7.4.165

第一级信息系统………………

7.4.266

第二级信息系统………………

7.4.367

第三级信息系统………………

7.4.469

第四级信息系统………………

7.4.571

第五级信息系统………………

7.4.673

附录资料性附录信息系统安全管理评估参照表…………………

A()76

参考文献……………………

189

Ⅱ

GB/T28453—2012

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位北京江南天安科技有限公司

:。

本标准主要起草人陈冠直吉增瑞陈硕景乾元王志强

:、、、、。

Ⅲ

GB/T28453—2012

引言

本标准依据国家有关信息安全等级保护的政策法规提出了用于规范信息系统安全管理评估的要

,

求主要包括信息系统安全管理评估的原则和模式组织和活动方法工具和实施等要求以及在信息

。、、,

系统生存周期各个阶段针对第一级到第五级信息系统安全管理评估的要求

,。

信息系统安全管理评估的主体包括信息系统的主管领导部门信息安全监管机构信息系统的管理

、、

者第三方评估机构等对应的评估可以是检查评估自评估或第三方评估本标准中对三种评估模式

、,、。

提出共同要求时统称评估信息系统安全管理评估以信息安全管理体系为主线进行评估必要时采集

。,

信息安全技术测评结果进行综合分析信息系统安全管理评估可以是独立的评估也可以与信息安全

。,

技术测评联合进行综合评估信息系统安全管理评估贯穿于信息系统的整个生存周期各阶段管理评

。,

估的原则和方法是一致的各阶段安全管理的内容对象安全需求存在一定不同使得安全管理评估的

,、、,

目的要求等各方面也有所不同信息系统安全管理评估针对信息安全保护各个等级的信息系统安全

、。,

管理评估的要求随着保护等级的提高而增强

。

本标准第章阐述管理评估的原则和模式第章阐述管理评估的组织评估目标范围和依据管

4;5、、

理活动的内容第章阐述管理评估方法管理评估工具管理评估实施给出了各个安全保护等级的安

;6、、,

全管理评估需要执行的共同要求和评估方法第章分等级评估以规定的信息系

;7,GB/T20269—2006

统安全管理要求为基本依据从信息系统生存周期的规划立项阶段设计实施阶段运行维护阶段终止

,、、、

处置阶段对五个安全保护等级的安全管理评估要求分别进行描述附录中提供的信息系统安全管

,。A

理评估参照表描述了本标准中有关各等级信息系统安全管理评估要求的具体评估内容要点

,。

本标准仍沿用中的称谓对于信息系统的所有者可包括国家机关事业单位

GB/T20269—2006,、、

厂矿企业公司集团等各种类型和不同规模的组织机构统称为组织机构

、、,“”。

Ⅳ

GB/T28453—2012

信息安全技术

信息系统安全管理评估要求

1范围

本标准依据规定的信息系统分等级安全管理要求从信息系统生存周期的不

GB/T20269—2006,

同阶段规定了对信息系统进行安全管理评估的原则和模式组织和活动方法和实施提出了信息安全

,、、,

等级保护第一级到第五级的信息系统安全管理评估的要求

。

本标准适用于相关组织机构部门对信息系统实施安全等级保护所进行的安全管理评估与自评

()

估以及评估者和被评估者对评估的管理

,。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机信息系统