标准搜索结果: 'GB/T 28448-2012'
| 标准编号 | GB/T 28448-2012 (GB/T28448-2012) | | 中文名称 | 信息安全技术 信息系统安全等级保护测评要求 | | 英文名称 | Information security technology -- Testing and evaluation requirement for classified protection of information system | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.020 | | 字数估计 | 136,121 | | 引用标准 | GB/T 5271.8; GB/T 22239-2008 | | 标准依据 | 国家标准公告2012年第13号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了对实现的信息系统是否符合GB/T 22239-2008所进行的测试评估活动的要求, 包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行测试评估的要求。本标准略去对第五级信息系统进行测评的要求。本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。 | GB/T 28448-2012
Information security technology.Testing and evaluation requirement for classified protection of information system
ICS 35.020
L80
中华人民共和国国家标准
信息安全技术
信息系统安全等级保护测评要求
2012-06-29发布
2012-10-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 概述 1
4.1 测评框架 1
4.2 等级测评内容 2
4.3 测评力度 3
4.4 使用方法 3
5 第一级信息系统单元测评 4
5.1 安全技术测评 4
5.1.1 物理安全 4
5.1.2 网络安全 6
5.1.3 主机安全 7
5.1.4 应用安全 8
5.1.5 数据安全及备份恢复 10
5.2 安全管理测评 10
5.2.1 安全管理制度 10
5.2.2 安全管理机构 11
5.2.3 人员安全管理 12
5.2.4 系统建设管理 14
5.2.5 系统运维管理 17
6 第二级信息系统单元测评 20
6.1 安全技术测评 20
6.1.1 物理安全 20
6.1.2 网络安全 24
6.1.3 主机安全 26
6.1.4 应用安全 29
6.1.5 数据安全及备份恢复 32
6.2 安全管理测评 33
6.2.1 安全管理制度 33
6.2.2 安全管理机构 34
6.2.3 人员安全管理 36
6.2.4 系统建设管理 38
6.2.5 系统运维管理 42
7 第三级信息系统单元测评 47
7.1 安全技术测评 47
7.1.1 物理安全 47
7.1.2 网络安全 52
7.1.3 主机安全 55
7.1.4 应用安全 58
7.1.5 数据安全及备份恢复 63
7.2 安全管理测评 64
7.2.1 安全管理制度 64
7.2.2 安全管理机构 66
7.2.3 人员安全管理 68
7.2.4 系统建设管理 71
7.2.5 系统运维管理 76
8 第四级信息系统单元测评 83
8.1 安全技术测评 83
8.1.1 物理安全 83
8.1.2 网络安全 87
8.1.3 主机安全 91
8.1.4 应用安全 95
8.1.5 数据安全及备份恢复 100
8.2 安全管理测评 102
8.2.1 安全管理制度 102
8.2.2 安全管理机构 104
8.2.3 人员安全管理 106
8.2.4 系统建设管理 109
8.2.5 系统运维管理 114
9 第五级信息系统单元测评 121
10 信息系统整体测评 121
10.1 概述 121
10.2 安全控制点间测评 121
10.3 层面间测评 122
10.4 区域间测评 122
11 等级测评结论 122
11.1 各层面的测评结论 122
11.2 风险分析和评价 122
11.3 测评结论 123
附录A(资料性附录) 测评力度 124
附录B(资料性附录) 关于整体测评的进一步说明 126
参考文献 130
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会提出并归口(SAC/TC260)。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:朱建平、马力、黄洪、毕马宁、任卫红、谢朝海、李升、袁静、曲洁、刘静、尚旭光、
张振峰、李明、陈雪秀。
引 言
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关
于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公
通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
---GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求;
---GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南;
---GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南。
《信息安全技术 信息系统安全等级保护测评过程指南》就有关信息系统安全等级保护测评工作的
组织、实施和过程控制方面提供指导。本标准对信息系统进行安全等级保护测试评估的技术活动提出
要求,为评价信息系统是否符合GB/T 22239-2008提供了获取证据的途径和方法,用以指导测评人员
从信息安全等级保护的角度对信息系统进行测试评估。
本标准中的信息系统指计算机信息系统。
在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测
评要求中没有出现过。
信息安全技术
信息系统安全等级保护测评要求
1 范围
本标准规定了对实现的信息系统是否符合GB/T 22239-2008所进行的测试评估活动的要求,包
括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行测试评估的要求。本标
准略去对第五级信息系统进行测评的要求。
本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级
保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参
考使用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8 信息技术 词汇 第8部分:安全
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
3 术语和定义
GB/T 5271.8和GB/T 22239-2008界定的以及下列术语和定义适用于本文件。
3.1
访谈 interview
访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理
解、澄清或取得证据的过程。
3.2
检查 examination
检查是指测评人员通过对测评对象(如制度......
|