ICS35020

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T28449—2012

信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

Informationsecuritytechnology—Testingandevaluationprocessguidefor

classifiedprotectionofinformationsystemsecurity

2012-06-29發(fā)布2012-10-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28449—2012

目次

前言…………………………

Ⅴ

引言…………………………

Ⅵ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語(yǔ)和定義………………

31

符號(hào)和縮略語(yǔ)……………

41

等級(jí)測(cè)評(píng)概述……………

51

等級(jí)測(cè)評(píng)的作用……………………

5.11

等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)………………………

5.22

可能影響系統(tǒng)正常運(yùn)行………………………

5.2.12

可能泄漏敏感信息……………

5.2.22

等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)的規(guī)避………………

5.32

等級(jí)測(cè)評(píng)過(guò)程概述…………………

5.43

測(cè)評(píng)準(zhǔn)備活動(dòng)……………

63

測(cè)評(píng)準(zhǔn)備活動(dòng)的工作流程…………

6.13

測(cè)評(píng)準(zhǔn)備活動(dòng)的主要任務(wù)…………

6.24

項(xiàng)目啟動(dòng)………………………

6.2.14

信息收集和分析………………

6.2.24

工具和表單準(zhǔn)備………………

6.2.35

測(cè)評(píng)準(zhǔn)備活動(dòng)的輸出文檔…………

6.35

測(cè)評(píng)準(zhǔn)備活動(dòng)中雙方的職責(zé)………………………

6.45

方案編制活動(dòng)……………

76

方案編制活動(dòng)的工作流程…………

7.16

方案編制活動(dòng)的主要任務(wù)…………

7.26

測(cè)評(píng)對(duì)象確定…………………

7.2.16

測(cè)評(píng)指標(biāo)確定…………………

7.2.27

測(cè)評(píng)內(nèi)容確定…………………

7.2.38

工具測(cè)試方法確定……………

7.2.48

測(cè)評(píng)指導(dǎo)書開(kāi)發(fā)………………

7.2.59

測(cè)評(píng)方案編制…………………

7.2.610

方案編制活動(dòng)的輸出文檔…………

7.311

方案編制活動(dòng)中雙方的職責(zé)………………………

7.411

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)……………

811

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的工作流程…………

8.111

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的主要任務(wù)…………

8.212

現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備…………………

8.2.112

Ⅰ

GB/T28449—2012

現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄…………

8.2.212

訪談………………………

8.2.2.112

檢查………………………

8.2.2.213

測(cè)試………………………

8.2.2.314

結(jié)果確認(rèn)和資料歸還…………

8.2.314

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的輸出文檔…………

8.314

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中雙方的職責(zé)………………………

8.415

報(bào)告編制活動(dòng)……………

915

報(bào)告編制活動(dòng)的工作流程…………

9.115

報(bào)告編制活動(dòng)的主要任務(wù)…………

9.216

單項(xiàng)測(cè)評(píng)結(jié)果判定……………

9.2.116

單元測(cè)評(píng)結(jié)果判定……………

9.2.216

整體測(cè)評(píng)………………………

9.2.317

風(fēng)險(xiǎn)分析………………………

9.2.418

等級(jí)測(cè)評(píng)結(jié)論形成……………

9.2.518

測(cè)評(píng)報(bào)告編制…………………

9.2.619

報(bào)告編制活動(dòng)的輸出文檔…………

9.319

報(bào)告編制活動(dòng)中雙方的職責(zé)………………………

9.420

附錄資料性附錄等級(jí)測(cè)評(píng)工作流程………………

A()21

附錄資料性附錄測(cè)評(píng)對(duì)象確定準(zhǔn)則和樣例………

B()23

測(cè)評(píng)對(duì)象確定準(zhǔn)則………………

B.123

測(cè)評(píng)對(duì)象確定樣例………………

B.223

第一級(jí)信息系統(tǒng)……………

B.2.123

第二級(jí)信息系統(tǒng)……………

B.2.223

第三級(jí)信息系統(tǒng)……………

B.2.324

第四級(jí)信息系統(tǒng)……………

B.2.425

附錄資料性附錄等級(jí)測(cè)評(píng)工作要求………………

C()26

依據(jù)標(biāo)準(zhǔn)遵循原則………………

C.1,26

恰當(dāng)選取保證強(qiáng)度………………

C.2,26

規(guī)范行為規(guī)避風(fēng)險(xiǎn)………………

C.3,26

附錄資料性附錄測(cè)評(píng)方案與測(cè)評(píng)報(bào)告編制示例…………………

D()27

測(cè)評(píng)方案編制示例………………

D.127

系統(tǒng)描述……………………

D.1.127

測(cè)評(píng)對(duì)象……………………

D.1.228

測(cè)評(píng)指標(biāo)……………………

D.1.330

測(cè)評(píng)工具和接入點(diǎn)…………

D.1.430

測(cè)評(píng)內(nèi)容……………………

D.1.532

測(cè)評(píng)指導(dǎo)書…………………

D.1.635

測(cè)評(píng)報(bào)告編制示例………………

D.239

整體測(cè)評(píng)……………………

D.2.139

安全建設(shè)整改建議…………

D.2.240

Ⅱ

GB/T28449—2012

附錄資料性附錄信息系統(tǒng)基本情況調(diào)查表模版…………………

E()42

說(shuō)明………………

E.142

單位基本情況……………………

E.242

參與人員名單……………………

E.343

物理環(huán)境情況……………………

E.443

信息系統(tǒng)基本情況………………

E.543

信息系統(tǒng)承載業(yè)務(wù)服務(wù)情況…………………

E.6()44

信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)環(huán)境情況…………………

E.7()44

外聯(lián)線路及設(shè)備端口網(wǎng)絡(luò)邊界情況…………

E.8()45

網(wǎng)絡(luò)設(shè)備情況……………………

E.945

安全設(shè)備情況……………………

E.1046

服務(wù)器設(shè)備情況…………………

E.1146

終端設(shè)備情況……………………

E.1247

系統(tǒng)軟件情況……………………

E.1347

應(yīng)用系統(tǒng)軟件情況………………

E.1447

業(yè)務(wù)數(shù)據(jù)情況……………………

E.1548

數(shù)據(jù)備份情況……………………

E.1648

應(yīng)用系統(tǒng)軟件處理流程多表…………………

E.17()49

業(yè)務(wù)數(shù)據(jù)流程多表……………

E.18()49

管理文檔情況……………………

E.1950

安全威脅情況……………………

E.2052

附錄資料性附錄信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版試行………

F()()54

參考文獻(xiàn)……………………

70

Ⅲ

GB/T28449—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部信息安全等級(jí)保護(hù)評(píng)估中心

:。

本標(biāo)準(zhǔn)主要起草人袁靜任衛(wèi)紅陳雪秀曲潔劉靜畢馬寧朱建平馬力李明李升黃洪

:、、、、、、、、、、。

Ⅴ

GB/T28449—2012

引言

依據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例國(guó)務(wù)院號(hào)令國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)

《》(147)、《

于加強(qiáng)信息安全保障工作的意見(jiàn)中辦發(fā)號(hào)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)公

》([2003]27)、《》(

通字號(hào)和信息安全等級(jí)保護(hù)管理辦法公通字號(hào)制定本標(biāo)準(zhǔn)

[2004]66)《》([2007]43),。

本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一

。

與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括

:

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

———GB/T22239—2008;

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

———GB/T22240—2008;

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求

———GB/T28448—2012。

Ⅵ

GB/T28449—2012

信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)以下簡(jiǎn)稱等級(jí)測(cè)評(píng)工作的測(cè)評(píng)過(guò)程對(duì)等級(jí)測(cè)評(píng)的

(“”),

活動(dòng)工作任務(wù)以及每項(xiàng)任務(wù)的輸入