信息安全技术-网络安全等级保护测评要求-第1部分:安全通用要求-编制说明
信息安全技术-网络安全等级保护设计技术要求-物联网安全要求
信息安全技术网络安全等级保护安全设计技术要求第4部分:物联网安全要求1范围本标准依据《网络安全等级保护安全设计技术要求第1部分:安全通用要求》和《网络安全等级保护基本要求第4部分:物联网安全扩展要求》,规范了信息系统等级保护安全设计要求对物联网系统的扩展设计要求,包括第一级至第四级物联网系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求。
本标准适用于指导信息系统等级保护物联网系统安全技术方案的设计和实施,也可作为信息安全职能部门对物联网系统进行监督、检查和指导的依据。
2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 25069-2010信息安全技术术语GB17859-1999计算机信息系统安全保护等级划分准则GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南GB/T 25070-2010网络安全等级保护安全设计技术要求第1部分:安全通用要求GB/T 22239.4-XXXX网络安全等级保护基本要求第4部分:物联网安全扩展要求GB/T XXXX物联网第2部分:术语GB/T XXXX物联网第3部分:参考体系结构与通用技术要求3术语和定义下列术语和定义适用于本标准。
3.1定级系统classified system按照已确定安全保护等级的物联网系统。
定级系统分为第一级、第二级、第三级和第四级物联网系统。
3.2定级系统安全保护环境security environment of classified system由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境。
定级系统安全保护环境包括第一级物联网系统安全保护环境、第二级物联网系统安全保护环境、第三级物联网系统安全保护环境、第四级物联网系统安全保护环境以及定级系统的安全互联。
信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。
矚慫润厲钐瘗睞枥庑赖。
矚慫润厲钐瘗睞枥庑赖賃。
根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
聞創沟燴鐺險爱氇谴净。
聞創沟燴鐺險爱氇谴净祸。
1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
残骛楼諍锩瀨濟溆塹籟。
残骛楼諍锩瀨濟溆塹籟婭。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
酽锕极額閉镇桧猪訣锥。
酽锕极額閉镇桧猪訣锥顧。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
安言咨询-网络安全等级保护基本要求 第1部分:安全通用要求解读
GB/T 22239.6-2017 信息安全技术 网络安全等级保护 基本要求 第6部分 大数据安全扩展要求
安全控制项变化
旧版
物理安全
网络安全
技术要求
主机安全
应用安全
数据安全及备份恢复
安全管理制度
管理类安全要求 与各种角色参与 的活动有关,主 要通过控制各种 角色的活动,从 政策、制度、规 范、流程以及记 录等方面做出规 定来实现
技术要求 管理要求
安全保护能力
第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级
安全要求的选择和使用
制定和发布 评审和修订 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 安全意识教育和培训 外部人员访问管理
控制域 安全策略和 管理制度
安全管理机 构和人员
第三级安全要求示例
控制域
系统建设管 理
旧版-管理要求 控制项 系统定级
安全方案设计 产品采购和使用 自行软件开发 外包软件开发
第三级安全要求示例
控制域
系统运 维管理
旧版-管理要求 控制项
环境管理 资产管理 介质管理 设备管理 监控管理和安全管理中心 网络安全管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理
控制点 4 4 6 5 3 8 7 4 1 4 5 6 5
控制点 3 3 2 4 2 9 3 2 1 3 3 4 4 4
关于《网络安全等级保护基本要求 第一部分:安全通用要求》标准解析
信息安全技术 网络产品和服务安全通用要求-编制说明
国家标准《信息安全技术网络产品和服务安全通用要求》编制说明一、任务来源《信息安全技术网络产品和服务安全通用要求》是国家标准化管理委员会2017年下达的信息安全国家标准制定项目,国标立项号20193257-T-469,由中国电子技术标准化研究院、北京赛西科技发展有限责任公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国电子信息产业发展研究院、中科院信息工程研究所、中国信息通信研究院、国家信息中心、国家计算机网络与信息安全管理中心、中电数据服务有限公司、中国软件评测中心、工业和信息化部电子第五研究所、中国电子科技集团公司第十五研究所、中科院软件所、公安部第一研究所、阿里巴巴(北京)软件服务有限公司、联想(北京)有限公司、阿里云计算有限公司、浪潮电子信息产业股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、中国电力科学研究院有限公司、北京神州绿盟科技有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京威努特技术有限公司、山谷网安科技股份有限公司、国家应用软件产品质量监督检验中心、新华三技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、深信服科技股份有限公司、西门子(中国)有限公司、奇安信科技集团股份有限公司等单位共同参与了该标准的起草工作。
标准主要起草人包括:刘贤刚、李京春、顾健、李斌、李嵩、叶润国、孙彦、谢安明、胡影、王闯、许东阳、高金萍、宋好好、周开波、舒敏、吴迪、刘蓓、何延哲、方进社、崔宁宁、周亚超、张宝峰、布宁、任泽君、申永波、李汝鑫、樊洞阳、雷晓锋、鲍旭华、程广明、郭永振、白晓媛、赵江、杜晓黎、史岗、韩煜、董晶晶、刘玉岭、李凌、李娜、严妍、徐雨晴、张屹、焦玉峰、代威、石凌志、钟建伟、姚金龙、宋铮、闫韬、郭旭、王晖等。
二、编制原则当前,网络产品和服务中经常出现多种网络安全问题,例如,个人信息泄露、默认口令、后门、木马等,严重影响用户安全或国家安全。
信息安全技术—网络安全等级保护测评要求
谢谢观看
2014年11月19日,国家标准计划《信息安全技术—网络安全等级保护测评要求》(-T-469)下达,项目周期 12个月,由TC260(全国信息安全标准化技术委员会)归口上报及执行,主管部门为国家标准化管理委员会。全 国标准信息公共服务平台显示,该计划已完成网上公示、起草、征求意见、审查、批准、发布工作。
2019年5月10日,国家标准《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)由中华人 民共和国国家市场监督管理总局、中国国家标准化管理委员会发布。
2019年12月1日,国家标准《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)实施,全 部代替国家标准《信息安全技术—信息系统安全等级保护测评要求》(GB/T28448-2012)。
国家标准《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)依据中国国家标准《标准化 工作导则第1部分:标准的结构和编写规则》(GB/T 1.1-2009)规则起草。
《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)与《信息安全技术—信息系统安全等 级保护测评要求》(GB/T28448-2012)相比,主要变化如下:
主要起草单位:公安部第三研究所(公安部信息安全等级保护评估中心、国家信息中心、北京大学、成都科 来软件有限公司、北京鼎普科技股份有限公司、北京梆梆安全科技有限公司、中国电子科技集团公司第十五研究 所(信息产业信息安全测评中心)、北京信息安全测评中心、全球能源互联网研究院、中国电力科学研究院、国 电南京自动化股份有限公司、中国电子信息产业集团公司第六研究所、启明星辰信息技术集团股份有限公司、华 普科工(北京)有限公司、中国电子技术标准化研究院、中国科学院信息工程研究所(信息安全国家重点实验 室)、新华三技术有限公司、中国移动通信集团有限公司、北京微步在线科技有限公司、北京迅达云成科技有限 公司、公安部第一研究所、国家能源局信息中心(电力行业信息安全等级保护测评中心)、北京卓识网安技术股 份有限公司、南京南瑞集团公司、南方电网科学研究院、工业和信息化部计算机与微电子发展研究中心(中国软 件评测中心)、北京烽云互联科技有限公司。
国家标准信息安全技术网络安全等级保护安全设计技术要求第1部分
国家标准《信息安全技术网络安全等级保护安全设计技术要求第1部分:通用设计要求》(征求意见稿)编制说明一、工作简况1.1任务来源《信息安全技术信息系统等级保护安全设计技术要求第1部分:通用设计要求》是国家标准化管理委员会 2014年下达的信息安全国家标准制定项目,国标计划号为:GB/T 25070.1-2010,由公安部第一研究所承担,参与单位包括北京工业大学、北京中软华泰信息技术有限责任公司、中国电子信息产业集团有限公司第六研究所、工业和信息化部电信研究院、阿里云计算技术有限公司、公安部第三研究所、中国信息安全测评中心、国家信息技术安全研究中心、浙江中烟工业有限责任公司、中央电视台、北京江南天安科技有限公司、华为技术有限公司、浪潮电子信息产业股份有限公司、浪潮集团、北京启明星辰信息安全技术有限公司。
1.2主要工作过程1)准备阶段2014年3月,在公安部11局的统一领导下,公安部第一研究所同协作单位共同成立标准编写项目组。
2)调研阶段标准起草组成立以后,项目组收集了大量国内外相关标准,进行了研讨,对信息安全的模型、威胁和脆弱性进行了充分讨论。
同时项目组参考了国内等级保护相关标准,为了真实了解行业内的安全要求,项目组也对行业内的企事业单位进行了调研。
3)编写阶段2014年4月,标准起草组组织了多次内部研讨会议,邀请了来自国内相关领域著名的专家、学者开展交流与研讨,确定了标准的总体技术框架、核心内容。
标准起草组按照分工,对标准各部分进行了编写,形成了《信息安全技术信息系统等级保护安全设计技术要求第1部分:通用设计要求》(草案)。
4)首次征求专家意见2014年4月,公安部11局组织业内专家对标准初稿进行了研讨,专家对标准范围、内容、格式等进行了详细讨论,提出了很多宝贵意见。
项目组根据专家意见,对标准进行了修改。
5)第二次征求专家意见2014年9、10月,公安部11局组织业内专家对标准初稿再次进行了研讨,专家再次对标准范围、内容、格式等进行了详细讨论,提出了宝贵意见。
信息安全技术-网络安全等级保护基本要求-安全通用要求
信息安全技术网络安全等级保护基本要求第1部分安全通用要求1 范围本部分规定了不同等级保护对象的安全通用要求,对于采用移动互联、云计算、大数据、物联网和工业控制等新技术、新应用的保护对象,除使用本部分外还需参考其他的安全扩展要求。
本部分适用于指导分等级的非涉密保护对象的安全建设和监督管理。
2 规范性引用文件下列文件中的条款通过在本部分的引用而成为本部分的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本部分。
GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 25069-2010信息安全技术术语3 术语和定义GB/T 25069-2010和GB 17859-1999确立的以及下列术语和定义适用于本部分。
3.1 安全保护能力 security protection ability能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。
4 网络安全等级保护概述4.1 不同等级的安全保护对象安全等级保护对象是指等级保护工作中的保护对象,主要包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等;安全等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级。
第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
(完整word版)信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。
根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。
根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
此外,《测评要求》还需要吸收近年来的测评实践,更新整体测评方法和测评结论形成方法。
1.3 与其他标准的关系图1 等级保护标准相互关系从上图可以看出,在等级保护对象实施安全保护过程中,首先利用《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)(简称“《定级指南》”)确定等级保护对象的安全保护等级,然后根据《信息安全技术 网络安全等级保护基本要求》系列标准选择安全控制措施,随后利用《信息安全技术 信息系统安全等级保护实施指南》(简称“《实施指南》”)或其他相关标准确定其特殊安全需求,进行等级保护对象的安全规划和建设工作,此后利用《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-20XX )(简称“《测评过程指南》”)来规范测评过程和各项活动,利用《信息安全技术 网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。
同时,等级保护整个实施过程又是由《实施指南》来指导的。
在等级保护的相关标准中,《测评要求》系列标准是《基本要求》系列标准的姊妹篇,《测评要求》针对《基本要求》中各要求项,提供了具体测评方法、步骤和判断依据等,是为了确认等级保护对象是否按照《基本要求》中的不同等级的技术和管理要求实施的,而《测评过程指南》则是规定了开展这些测评活动的基本过程,包括过程、任务及产品等,以指导用户对《测评要求》的正确使用。
1.4 标准组成为了适应移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技《实施指南》其他相关标准《实施指南》《基本要求》系列标准《实施指南》《测评过程指南》《测评要求》系列标准《实施指南》《定级指南》术、新应用情况下网络安全等级保护测评工作的开展,需对GB/T 28448-2012进行修订,修订的思路和方法是针对移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用领域提出扩展的测评要求。
对GB/T 28448-2012的修订完成后,测评要求标准成为由多个部分组成的系列标准,目前主要有六个部分:——GB/T 28448.1-20XX 信息安全技术网络安全等级保护测评要求第1部分:安全通用要求;——GB/T 28448.2-20XX 信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求;——GB/T 28448.3-20XX 信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求;——GB/T 28448.4-20XX 信息安全技术网络安全等级保护测评要求第4部分:物联网安全扩展要求;——GB/T 28448.5-20XX 信息安全技术网络安全等级保护测评要求第5部分:工控控制安全扩展要求;——GB/T 28448.6-20XX 信息安全技术网络安全等级保护测评要求第6部分:大数据安全扩展测评要求。
2编制过程1)2013年12月,公安部第三研究所、中国电子技术标准化研究院和北京神州绿盟科技有限公司成立了《信息安全技术信息安全等级保护测评要求》标准编制组。
2)2014年1月至5月,标准编制组按照计划调研了国际和国内无线接入、虚拟计算、云计算平台、大数据应用和工控系统应用等新技术、新应用的情况,分析并总结了新技术和新应用中的安全关注点和要素;同时标准编制组调研了与《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)相关的其他国家标准和行业标准,分析了《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)的修订可能对其产生的影响。
3)2014年5月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展,公安部十一局牵头会同有关部门组织2014年新领域的国家标准立项,根据新标准立项结果确定《基本要求》修订思路发生重大变化,为适应《基本要求》修订思路的变化在《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)的基础上,针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评要求”的分册,如《信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求》、《信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》、《信息安全技术网络安全等级保护测评要求第4部分:物联网安全扩展要求》、《信息安全技术网络安全等级保护测评要求第5部分:工控控制安全扩展要求》和《信息安全技术网络安全等级保护测评要求第6部分:大数据安全扩展要求》。
构成GB/T 28448.1、GB/T 28448.2、……等测评要求系列标准,上述思路的变化直接影响了国家标准GB/T 28448-2012的修订思路和内容。
5)2014年7月至2015年5月,标准编制组根据新修订《基本要求》草案第一稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第一稿。
6)2015年5月至2015年12月,标准编制组根据新修订《基本要求》草案第三稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第二稿。
7)2016年5月至2016年6月,标准编制组根据新修订《基本要求》草案第五稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第三稿。
8)2016年5月23日,在评估中心针对《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第三稿进行行业内专家评审会。
9)2016年7月,标准编制组根据新修订《基本要求》草案第六稿和第七稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿。
9)2016年7月-8月,将《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿发送11家等级测评机构和WG5工作组成员单位征求意见。
10)2016年8月12日,在北京瑞安宾馆第五会议室召开WG5工作组部分专家评审会,针对《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿征求意见。
11)2016年8月25日,在北京瑞安宾馆第二会议室参加WG5工作组在研标准推进会,在会上征求所有WG5工作组成员单位意见。
12)根据专家意见已经修订完成,形成《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第五稿。
13)根据测评机构反馈意见修订完成,形成《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第六稿。
14)前正在推进《测评要求》后续专标准修订工作。
3标准编制的技术路线安全等级保护测评(以下简称等级测评)的概念性描述框架由两部分构成:单项测评和整体测评,图1给出了等级测评框架。
图1 等级测评描述框架针对基本要求各安全要求项的测评称为单项测评,单项测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性。
单项测评是由测评指标、测评对象、测评实施和单元判定构成。
本部分的测评指标包括《信息安全技术网络安全等级保护基本要求第1部分:安全通用要求》第四级目录下的要求项。
测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等。
对于框架来说,每一个被测安全要求项(不同级别)均有一组与之相关的预先定义的测评对象(如制度文档、各类设备设施及相关人员等)。
制度文档是指针对等级保护对象所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功能规格及建筑设计)。
各类设备是指安装在等级保护对象之内或边界,能起到特定保护作用的相关部件(如:硬件、软件、固件或物理设施)。
相关人员或部门,是指应用上述制度、设备及安全配置的人。
测评实施是一组针对特定测评对象,采用相关测评方法,遵从一定的测评规程所形成的,用于测评人员使用的确定该要求项有效性的程序化陈述。
测评实施主要由测评方法和测评规程构成。
其中测评方法包括:访谈、检查和测试(说明见术语),测评人员通过这些方法试图获取证据。
上述的评估方法都由一组相关属性来规范测评方法的测评力度。
这些属性是:广度(覆盖面)和深度。
对于每一种测评方法都标识(定义)了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法。
上述三种测评方法(访谈、检查和测评)的测评结果都用以对安全控制的有效性进行评估。
测评规程是各类测评方法操作使用的过程、步骤,测评规程实施完成后,可以获得相应的证据。
结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法。
通过测评实施所获得的所有证据都满足要求则为符合,不全满足要求则该单项要求不符合。
整体测评是在单项测评基础上,分别从安全控制点测评,安全控制点间和层面间三个角度分别进行测评。