ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 28449—2018 代替 GB/T28449—2012 信息安全技术 网络安全等级保护测评过程指南 I n f o rma t i ons e c u r i t e chno l o yt gy— Te s t i ngande va l ua t i onpr o c e s sgu i d ef o rc l a s s i f i e dpr o t e c t i ono fc e r s e c u r i t yb y 2018 12 28 发布 2019 07 01 实施 国家市场监督管理总局 中国国家标准化管理委员会 发 布 GB/T 28449—2018 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 等级测评概述 …………………………………………………………………………………………… 1 4. 1 等级测评过程概述 ………………………………………………………………………………… 1 4. 2 等级测评风险 ……………………………………………………………………………………… 2 4. 3 等级测评风险规避 ………………………………………………………………………………… 3 5 测评准备活动 …………………………………………………………………………………………… 3 5. 1 测评准备活动工作流程 …………………………………………………………………………… 3 5. 2 测评准备活动主要任务 …………………………………………………………………………… 4 5. 3 测评准备活动输出文档 …………………………………………………………………………… 5 5. 4 测评准备活动中双方职责 ………………………………………………………………………… 5 6 方案编制活动 …………………………………………………………………………………………… 6 6. 1 方案编制活动工作流程 …………………………………………………………………………… 6 6. 2 方案编制活动主要任务 …………………………………………………………………………… 6 6. 3 方案编制活动输出文档 …………………………………………………………………………… 9 6. 4 方案编制活动中双方职责 ………………………………………………………………………… 9 7 现场测评活动 …………………………………………………………………………………………… 10 7. 1 现场测评活动工作流程 …………………………………………………………………………… 10 7. 2 现场测评活动主要任务 …………………………………………………………………………… 10 7. 3 现场测评活动输出文档 …………………………………………………………………………… 11 7. 4 现场测评活动中双方职责 ………………………………………………………………………… 11 8 报告编制活动 …………………………………………………………………………………………… 12 8. 1 报告编制活动工作流程 …………………………………………………………………………… 12 8. 2 报告编制活动主要任务 …………………………………………………………………………… 12 8. 3 报告编制活动输出文档 …………………………………………………………………………… 15 8. 4 报告编制活动中双方职责 ………………………………………………………………………… 15 附录 A (规范性附录) 等级测评工作流程 ……………………………………………………………… 17 附录 B (规范性附录) 等级测评工作要求 ……………………………………………………………… 19 附录 C (规范性附录) 新技术新应用等级测评实施补充 ……………………………………………… 20 附录 D (规范性附录) 测评对象确定准则和样例 ……………………………………………………… 23 附录 E (资料性附录) 等级测评现场测评方式及工作任务 …………………………………………… 26 附录 F (资料性附录) 等级测评报告模版示例 ………………………………………………………… 29 参考文献 …………………………………………………………………………………………………… 53 Ⅰ GB/T 28449—2018 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 本标 准 代 替 GB/T 28449—2012《信 息 安 全 技 术 信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南 》,与 GB/T28449—2012 相比,除编辑性修改外,主要技术变化如下: ———标准名称由“信息安全技术 信息系统安全等级保护测评过程 指 南”变 更 为“信 息 安 全 技 术 网络安全等级保护测评过程指南”; ———修改了报告编制活动中的任务,由原来的 6 个任务修改为 7 个任务(见 4. 1, 2012 年版的 5. 4); ———在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责,并在一些涉及到多方的 工作任务中也予以明确(见 7. 4, 2012 年版的 8. 4); ———在信息收集和分析工作任务中增加了信息分析方法的内容(见 5. 2. 2); ———增加了利用云计算、物联网、移动 互 联 网、工 业 控 制 系 统、 IPv6 系 统 等 构 建 的 等 级 保 护 对 象 开 展安全测评需要额外重点关注的特殊任务及要求(见附录 C); ———删除了测评方案示例(见 2012 年版的附录 D); ———删除了信息系统基本情况调查表模版(见 2012 年版的附录 E)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:公安部第三研究所(公安部信息安全等级保护评估中心)、中国电子科技集团公司 第十五研究所(信息产业信息安全测评中心)、北京信息安全测评中心。 本标准主要 起 草 人:袁 静、任 卫 红、江 雷、李 升、张 宇 翔、毕 马 宁、李 明、张 益、刘 凯 俊、赵 泰、王 然、 刘海峰、曲洁、刘静、朱建平、马力、陈广勇。 本标准所代替标准的历次版本发布情况为: ———GB/T28449—2012。 Ⅲ GB/T 28449—2018 引 言 本标准中的等级测评是测 评 机 构 依 据 GB/T22239 以 及 GB/T28448 等 技 术 标 准,检 测 评 估 定 级 对象安全等级保护状况是否符合相应等级基本要求的过程,是落实网络安全等级保护制度的重要环节。 在定级对象建设、整改时,定级对象运营、使用单位通过等级测评进行现状分析,确定系统的安全保 护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。 在定级对象运维过程中,定级对象运营、使用单位定期对定级对象安全等级保护状况进行自查或委 托测 评 机 构 开 展 等 级 测 评,对 信 息 安 全 管 控 能 力 进 行 考 察 和 评 价,从 而 判 定 定 级 对 象 是 否 具 备 GB/T22239中相应等级要求的安全保护能力。因此,等级测评活动所形成的等级测评报告是定级对象 开展整改加固的重要依据,也是第三级以上定级对象备案的重要附件 材 料。等 级 测 评 结 论 为 不 符 合 或 基本符合的定级对象,其运营、使用单位需根据等级测评报告,制定方案进行整改。 本标准是网络安全等级保护相关系列标准之一。 Ⅳ GB/T 28449—2018 信息安全技术 网络安全等级保护测评过程指南 1 范围 本标准规范了网络安全等级保护测评(以下简称“等级测评”)的工 作 过 程,规 定 了 测 评 活 动 及 其 工 作任务。 本标准适用于测评机构、 定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引 用 文 件,仅 注 日 期 的 版 本 适 用 于 本 文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB17859 计算机信息系统安全保护等级划分准则 GB/T22239 信息安全技术 信息系统安全等级保护基本要求 GB/T28448 信息安全技术 信息系统安全等级保护测评要求 GB/T25069 信息安全技术 术语 3 术语和定义 GB17859、 GB/T22239、 GB/T25069 和 GB/T28448 界定的术语和定义适用于本文件。 4 等级测评概述 4. 1 等级测评过程概述 本标准中的测评工作过程及任务基于受委托测评机构对定 级 对 象 的 初 次 等 级 测 评 给 出。运 营、使 用单位的自查或受委托测评机构已经实施过一次以上等级测评的,测评机 构 和 测 评 人 员 根 据 实 际 情 况 调整部分工作任务(见附录 A)。开 展 等 级 测 评 的 测 评 机 构 应 严 格 按 照 附 录 B 中 给 出 的 等 级 测 评 工 作 要求开展相关工作。 等级测评过程包括四个基本测 评 活 动:测 评 准 备 活 动、方 案 编 制 活 动、现 场 测 评 活 动、报 告 编 制 活 动。而测评相关方之间的沟通与洽 谈 应 贯 穿 整 个 等 级 测 评 过 程。 每 一 测 评 活 动 有 一 组 确 定 的 工 作 任 务。具体如表 1 所示。 表 1 等级测评过程 测评活动 主要工作任务 工作启动 测评准备活动 信息收集和分析 工具和表单准备 1 GB/T 28449—2018 表 1 (续) 测评活动 主要工作任务 测评对象确定 测评指标确定 方案编制活动 测评内容确定 工具测试方法确定 测评指导书开发 测评方案编制 现场测评准备 现场测评活动 现场测评和结果记录 结果确认和资料归还 单项测评结果判定 单元测评结果判定 整体测评