ICS35020

L80.

中華人民共和國國家標準

GB/T28449—2012

信息安全技術

信息系統安全等級保護測評過程指南

Informationsecuritytechnology—Testingandevaluationprocessguidefor

classifiedprotectionofinformationsystemsecurity

2012-06-29發布2012-10-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T28449—2012

目次

前言…………………………

Ⅴ

引言…………………………

Ⅵ

范圍………………………

11

規范性引用文件…………………………

21

術語和定義………………

31

符號和縮略語……………

41

等級測評概述……………

51

等級測評的作用……………………

5.11

等級測評風險………………………

5.22

可能影響系統正常運行………………………

5.2.12

可能泄漏敏感信息……………

5.2.22

等級測評風險的規避………………

5.32

等級測評過程概述…………………

5.43

測評準備活動……………

63

測評準備活動的工作流程…………

6.13

測評準備活動的主要任務…………

6.24

項目啟動………………………

6.2.14

信息收集和分析………………

6.2.24

工具和表單準備………………

6.2.35

測評準備活動的輸出文檔…………

6.35

測評準備活動中雙方的職責………………………

6.45

方案編制活動……………

76

方案編制活動的工作流程…………

7.16

方案編制活動的主要任務…………

7.26

測評對象確定…………………

7.2.16

測評指標確定…………………

7.2.27

測評內容確定…………………

7.2.38

工具測試方法確定……………

7.2.48

測評指導書開發………………

7.2.59

測評方案編制…………………

7.2.610

方案編制活動的輸出文檔…………

7.311

方案編制活動中雙方的職責………………………

7.411

現場測評活動……………

811

現場測評活動的工作流程…………

8.111

現場測評活動的主要任務…………

8.212

現場測評準備…………………

8.2.112

Ⅰ

GB/T28449—2012

現場測評和結果記錄…………

8.2.212

訪談………………………

8.2.2.112

檢查………………………

8.2.2.213

測試………………………

8.2.2.314

結果確認和資料歸還…………

8.2.314

現場測評活動的輸出文檔…………

8.314

現場測評活動中雙方的職責………………………

8.415

報告編制活動……………

915

報告編制活動的工作流程…………

9.115

報告編制活動的主要任務…………

9.216

單項測評結果判定……………

9.2.116

單元測評結果判定……………

9.2.216

整體測評………………………

9.2.317

風險分析………………………

9.2.418

等級測評結論形成……………

9.2.518

測評報告編制…………………

9.2.619

報告編制活動的輸出文檔…………

9.319

報告編制活動中雙方的職責………………………

9.420

附錄資料性附錄等級測評工作流程………………

A()21

附錄資料性附錄測評對象確定準則和樣例………

B()23

測評對象確定準則………………

B.123

測評對象確定樣例………………

B.223

第一級信息系統……………

B.2.123

第二級信息系統……………

B.2.223

第三級信息系統……………

B.2.324

第四級信息系統……………

B.2.425

附錄資料性附錄等級測評工作要求………………

C()26

依據標準遵循原則………………

C.1,26

恰當選取保證強度………………

C.2,26

規范行為規避風險………………

C.3,26

附錄資料性附錄測評方案與測評報告編制示例…………………

D()27

測評方案編制示例………………

D.127

系統描述……………………

D.1.127

測評對象……………………

D.1.228

測評指標……………………

D.1.330

測評工具和接入點…………

D.1.430

測評內容……………………

D.1.532

測評指導書…………………

D.1.635

測評報告編制示例………………

D.239

整體測評……………………

D.2.139

安全建設整改建議…………

D.2.240

Ⅱ

GB/T28449—2012

附錄資料性附錄信息系統基本情況調查表模版…………………

E()42

說明………………

E.142

單位基本情況……………………

E.242

參與人員名單……………………

E.343

物理環境情況……………………

E.443

信息系統基本情況………………

E.543

信息系統承載業務服務情況…………………

E.6()44

信息系統網絡結構環境情況…………………

E.7()44

外聯線路及設備端口網絡邊界情況…………

E.8()45

網絡設備情況……………………

E.945

安全設備情況……………………

E.1046

服務器設備情況…………………

E.1146

終端設備情況……………………

E.1247

系統軟件情況……………………

E.1347

應用系統軟件情況………………

E.1447

業務數據情況……………………

E.1548

數據備份情況……………………

E.1648

應用系統軟件處理流程多表…………………

E.17()49

業務數據流程多表……………

E.18()49

管理文檔情況……………………

E.1950

安全威脅情況……………………

E.2052

附錄資料性附錄信息系統安全等級測評報告模版試行………

F()()54

參考文獻……………………

70

Ⅲ

GB/T28449—2012

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部信息安全等級保護評估中心

:。

本標準主要起草人袁靜任衛紅陳雪秀曲潔劉靜畢馬寧朱建平馬力李明李升黃洪

:、、、、、、、、、、。

Ⅴ

GB/T28449—2012

引言

依據中華人民共和國計算機信息系統安全保護條例國務院號令國家信息化領導小組關

《》(147)、《

于加強信息安全保障工作的意見中辦發號關于信息安全等級保護工作的實施意見公

》([2003]27)、《》(

通字號和信息安全等級保護管理辦法公通字號制定本標準

[2004]66)《》([2007]43),。

本標準是信息安全等級保護相關系列標準之一

。

與本標準相關的系列標準包括

:

信息安全技術信息系統安全等級保護基本要求

———GB/T22239—2008;

信息安全技術信息系統安全等級保護定級指南

———GB/T22240—2008;

信息安全技術信息系統安全等級保護測評要求

———GB/T28448—2012。

Ⅵ

GB/T28449—2012

信息安全技術

信息系統安全等級保護測評過程指南

1范圍

本標準規定了信息系統安全等級保護測評以下簡稱等級測評工作的測評過程對等級測評的

(“”),

活動工作任務以及每項任務的輸入