您的位置:360文档中心› 信息安全技术 网络安全等级保护测评要求 第1部分:安全通用要求-编制说明

信息安全技术 网络安全等级保护测评要求 第1部分:安全通用要求-编制说明

合集下载

信息安全技术 网络产品和服务安全通用要求-编制说明

信息安全技术 网络产品和服务安全通用要求-编制说明

国家标准《信息安全技术网络产品和服务安全通用要求》编制说明一、任务来源《信息安全技术网络产品和服务安全通用要求》是国家标准化管理委员会2017年下达的信息安全国家标准制定项目,国标立项号20193257-T-469,由中国电子技术标准化研究院、北京赛西科技发展有限责任公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国电子信息产业发展研究院、中科院信息工程研究所、中国信息通信研究院、国家信息中心、国家计算机网络与信息安全管理中心、中电数据服务有限公司、中国软件评测中心、工业和信息化部电子第五研究所、中国电子科技集团公司第十五研究所、中科院软件所、公安部第一研究所、阿里巴巴(北京)软件服务有限公司、联想(北京)有限公司、阿里云计算有限公司、浪潮电子信息产业股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、中国电力科学研究院有限公司、北京神州绿盟科技有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京威努特技术有限公司、山谷网安科技股份有限公司、国家应用软件产品质量监督检验中心、新华三技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、深信服科技股份有限公司、西门子(中国)有限公司、奇安信科技集团股份有限公司等单位共同参与了该标准的起草工作。

标准主要起草人包括:刘贤刚、李京春、顾健、李斌、李嵩、叶润国、孙彦、谢安明、胡影、王闯、许东阳、高金萍、宋好好、周开波、舒敏、吴迪、刘蓓、何延哲、方进社、崔宁宁、周亚超、张宝峰、布宁、任泽君、申永波、李汝鑫、樊洞阳、雷晓锋、鲍旭华、程广明、郭永振、白晓媛、赵江、杜晓黎、史岗、韩煜、董晶晶、刘玉岭、李凌、李娜、严妍、徐雨晴、张屹、焦玉峰、代威、石凌志、钟建伟、姚金龙、宋铮、闫韬、郭旭、王晖等。

二、编制原则当前,网络产品和服务中经常出现多种网络安全问题,例如,个人信息泄露、默认口令、后门、木马等,严重影响用户安全或国家安全。

信息安全技术 互联网信息服务安全通用要求-编制说明

信息安全技术 互联网信息服务安全通用要求-编制说明

国家标准《信息安全技术互联网信息服务安全通用要求》(草案)编制说明一、工作简况1.1任务来源《信息安全技术互联网信息服务安全通用要求》是全国信息安全技术标准化委员会2019年立项的信息安全国家标准制定项目,由中国科学院信息工程研究所主要牵头承担。

该标准参照国家针对网络安全与互联网信息服务出台的一系列法律法规政策,包括《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等。

该标准由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员中国科学院信息工程研究所(以下简称“中科院信工所”)主要负责起草,公安部第三研究所、中国电子技术标准化研究院、中国信息通信研究院、中国电子科技集团公司第十五研究所、北京理工大学等单位共同参与该标准的起草工作。

工作组成员包括:孟丹、郭涛、张潇丹、顾健、周熙、胡静远、韩冀中、赵云霞、贺滢睿、姚相振、魏巍、霍珊珊、锁延锋、张媛媛、马庆栋、周薇、王宇航、张华平等。

1.3 主要工作过程1、2017年4月——2018年5月,中科院信工所作为《信息安全技术互联网新闻信息服务新技术新应用安全评估实施规范》研究项目参与单位之一,顺利项目完成结题验收。

2、2018年7月——2018年12月,与参与单位共同开展标准体系架构研讨,组织召开3次内部技术研讨会,修改10余次。

3、2018年12月——2019年2月,与参与单位共同完成标准草案,并组织召开专家研讨会,并根据专家意见对标准内容进行3轮次修改。

4、2019年2月——2019年4月,对标准内容进行修改和调整,并组织召开专家研讨会,根据专家意见对标准内容进行2轮次修改,形成标准草案。

5、2019年4月,在全国信息安全标准化技术委员会2019年第一次工作组“会议周”上进行立项申请。

6、2019年5月——2019年9月,对标准草案进行讨论和完善。

安言咨询-网络安全等级保护基本要求 第1部分:安全通用要求解读

安言咨询-网络安全等级保护基本要求 第1部分:安全通用要求解读
GB/T 22239.5-2017 信息安全技术 网络安全等级保护 基本要求 第5部分 工业控制安全扩展要求
GB/T 22239.6-2017 信息安全技术 网络安全等级保护 基本要求 第6部分 大数据安全扩展要求
安全控制项变化
旧版
物理安全
网络安全
技术要求
主机安全
应用安全
数据安全及备份恢复
安全管理制度
管理类安全要求 与各种角色参与 的活动有关,主 要通过控制各种 角色的活动,从 政策、制度、规 范、流程以及记 录等方面做出规 定来实现
技术要求 管理要求
安全保护能力
第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级
安全要求的选择和使用
制定和发布 评审和修订 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 安全意识教育和培训 外部人员访问管理
控制域 安全策略和 管理制度
安全管理机 构和人员
第三级安全要求示例
控制域
系统建设管 理
旧版-管理要求 控制项 系统定级
安全方案设计 产品采购和使用 自行软件开发 外包软件开发
第三级安全要求示例
控制域
系统运 维管理
旧版-管理要求 控制项
环境管理 资产管理 介质管理 设备管理 监控管理和安全管理中心 网络安全管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理
控制点 4 4 6 5 3 8 7 4 1 4 5 6 5
控制点 3 3 2 4 2 9 3 2 1 3 3 4 4 4
关于《网络安全等级保护基本要求 第一部分:安全通用要求》标准解析

信息安全技术网络安全等级保护测评要求第1部分:安全通用要求-编制说明

信息安全技术网络安全等级保护测评要求第1部分:安全通用要求-编制说明

信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1 概述1.1 任务来源《信息安全技术信息系统安全等级保护测评要求》于2012 年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013 年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012 进行修订。

根据全国信息安全标准化技术委员会2013 年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。

1.2 制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43 号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT 技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。

国家标准信息安全技术网络安全等级保护安全设计技术要求第1部分

国家标准信息安全技术网络安全等级保护安全设计技术要求第1部分

国家标准《信息安全技术网络安全等级保护安全设计技术要求第1部分:通用设计要求》(征求意见稿)编制说明一、工作简况1.1任务来源《信息安全技术信息系统等级保护安全设计技术要求第1部分:通用设计要求》是国家标准化管理委员会 2014年下达的信息安全国家标准制定项目,国标计划号为:GB/T 25070.1-2010,由公安部第一研究所承担,参与单位包括北京工业大学、北京中软华泰信息技术有限责任公司、中国电子信息产业集团有限公司第六研究所、工业和信息化部电信研究院、阿里云计算技术有限公司、公安部第三研究所、中国信息安全测评中心、国家信息技术安全研究中心、浙江中烟工业有限责任公司、中央电视台、北京江南天安科技有限公司、华为技术有限公司、浪潮电子信息产业股份有限公司、浪潮集团、北京启明星辰信息安全技术有限公司。

1.2主要工作过程1)准备阶段2014年3月,在公安部11局的统一领导下,公安部第一研究所同协作单位共同成立标准编写项目组。

2)调研阶段标准起草组成立以后,项目组收集了大量国内外相关标准,进行了研讨,对信息安全的模型、威胁和脆弱性进行了充分讨论。

同时项目组参考了国内等级保护相关标准,为了真实了解行业内的安全要求,项目组也对行业内的企事业单位进行了调研。

3)编写阶段2014年4月,标准起草组组织了多次内部研讨会议,邀请了来自国内相关领域著名的专家、学者开展交流与研讨,确定了标准的总体技术框架、核心内容。

标准起草组按照分工,对标准各部分进行了编写,形成了《信息安全技术信息系统等级保护安全设计技术要求第1部分:通用设计要求》(草案)。

4)首次征求专家意见2014年4月,公安部11局组织业内专家对标准初稿进行了研讨,专家对标准范围、内容、格式等进行了详细讨论,提出了很多宝贵意见。

项目组根据专家意见,对标准进行了修改。

5)第二次征求专家意见2014年9、10月,公安部11局组织业内专家对标准初稿再次进行了研讨,专家再次对标准范围、内容、格式等进行了详细讨论,提出了宝贵意见。

信息安全技术-网络安全等级保护基本要求-安全通用要求

信息安全技术-网络安全等级保护基本要求-安全通用要求

信息安全技术网络安全等级保护基本要求第1部分安全通用要求1 范围本部分规定了不同等级保护对象的安全通用要求,对于采用移动互联、云计算、大数据、物联网和工业控制等新技术、新应用的保护对象,除使用本部分外还需参考其他的安全扩展要求。

本部分适用于指导分等级的非涉密保护对象的安全建设和监督管理。

2 规范性引用文件下列文件中的条款通过在本部分的引用而成为本部分的条款。

凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件,其最新版本适用于本部分。

GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 25069-2010信息安全技术术语3 术语和定义GB/T 25069-2010和GB 17859-1999确立的以及下列术语和定义适用于本部分。

3.1 安全保护能力 security protection ability能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。

4 网络安全等级保护概述4.1 不同等级的安全保护对象安全等级保护对象是指等级保护工作中的保护对象,主要包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等;安全等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级。

第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

(完整word版)信息安全技术网络安全等级保护测评要求

(完整word版)信息安全技术网络安全等级保护测评要求

信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。

云计算安全等级保护测评要求

云计算安全等级保护测评要求

信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求Information security technology—Testing and evaluation requirement for classified protection of network security Part 2: Testing and evaluation requirement of cloud computing security目录前言 (IV)引言 (V)1 范围 (1)2 规范性引用文件 (1)3 术语与定义 (1)4 概述 (3)4.1 测评描述框架 (3)4.2 测评使用方法 (4)5 第二级云计算平台单元测评 (4)5.1 安全技术测评 (4)5.1.1 物理和环境安全 (4)5.1.1.1 物理位置选择 (4)5.1.2 网络与通信安全 (5)5.1.2.1 网络架构 (5)5.1.2.2 访问控制 (7)5.1.2.3 入侵防范 (9)5.1.3 设备和计算安全 (10)5.1.3.1 身份鉴别 (10)5.1.3.2 访问控制 (10)5.1.3.3 安全审计 (10)5.1.3.4 入侵防范 (12)5.1.3.5 资源控制 (13)5.1.3.6 镜像和快照保护 (14)5.1.4 应用和数据安全 (15)5.1.4.1 安全审计 (11)5.1.4.2 资源控制 (11)5.1.4.3 接口安全 (11)5.1.4.4 数据完整性 (11)5.1.4.5 数据备份和恢复 (11)5.2 安全管理测评 (14)5.2.1 安全管理机构和人员 (15)5.2.1.1 授权和审批 (15)5.2.2 系统安全建设管理 (15)5.2.2.1 测试验收 (15)5.2.2.2 云服务商选择 (15)5.2.2.3 供应链管理 (22)6 第三级云计算平台测评单元 (23)6.1 安全技术测评 (23)6.1.1 物理和环境安全 (23)6.1.1.1 物理位置选择 (23)6.1.2 网络和通信安全 (24)6.1.2.1 网络架构 (24)6.1.2.2 访问控制 (27)6.1.2.3 入侵防范 (30)6.1.2.4 安全审计 (31)6.1.3 设备和计算安全 (25)6.1.3.1 身份鉴别 (33)6.1.3.2 访问控制 (33)6.1.3.3 安全审计 (34)6.1.3.4 入侵防范 (37)6.1.3.5 恶意代码防范 (38)6.1.3.6 资源控制 (38)6.1.3.7 镜像和快照保护 (41)6.1.4 应用和数据安全 (42)6.1.4.1 安全审计 (42)6.1.4.2 资源控制 (44)6.1.4.3 接口安全 (45)6.1.4.4 数据完整性 (45)6.1.4.5 数据保密性 (46)6.1.4.6 数据备份和恢复 (47)6.1.4.7 剩余信息保护 (49)6.2 安全管理测评 (49)6.2.1 安全管理机构和人员 (49)6.2.1.1 授权和审批 (49)6.2.2 系统安全建设管理 (50)6.2.2.1 安全方案设计 (50)6.2.2.2 测试验收 (50)6.2.2.3 云服务商选择 (51)6.2.2.4 供应链管理 (55)6.2.3 系统安全运维管理 (56)6.2.3.1 监控和审计管理 (56)7 第四级云计算平台单元测评 (58)7.1 安全技术测评 (58)7.1.1 物理和环境安全 (58)7.1.1.1 物理位置选择 (58)7.1.2 网络和通信安全 (58)7.1.2.1 网络架构 (58)7.1.2.2 访问控制 (62)7.1.2.3 入侵防范 (64)7.1.2.4 安全审计 (65)7.1.3 设备和计算安全 (67)7.1.3.1 身份鉴别 (67)7.1.3.2 访问控制 (67)7.1.3.3 安全审计 (68)7.1.3.4 入侵防范 (71)7.1.3.5 恶意代码防范 (72)7.1.3.6 资源控制 (72)7.1.3.7 镜像和快照保护 (75)7.1.4 应用和数据安全 (76)7.1.4.1 安全审计 (76)7.1.4.2 资源控制 (78)7.1.4.3 接口安全 (79)7.1.4.4 数据完整性 (79)7.1.4.5 数据保密性 (80)7.1.4.6 数据备份和恢复 (81)7.1.4.7 剩余信息保护 (83)7.2 安全管理测评 (83)7.2.1 安全管理机构和人员 (83)7.2.1.1 授权和审批 (83)7.2.2 系统安全建设管理 (84)7.2.2.1 安全方案设计 (84)7.2.2.2 测试验收 (84)7.2.2.3 云服务商选择 (85)7.2.2.4 供应链管理 (85)7.2.3 系统安全运维管理 (86)7.2.3.1 监控和审计管理 (86)8 云计算平台整体测评 (88)8.1 概述 (88)8.2 安全控制点测评 (89)8.3 安全控制点间测评 (89)8.4 层面测评 (89)9 测评结论 (89)9.1 各层面的测评结论 (89)9.2 风险分析和评价 (90)9.3 测评结论 (90)附录 A (资料性附录)测评力度 (91)附录 B (资料性附录)测评单元编号说明 (93)参考文献 (94)前言GB/T 28448 《信息安全技术网络安全等级保护测评要求》拟分成部分出版,各部分将按照应用的领域划分成安全通用测评要求和具体领域的安全扩展测评要求。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。

此外,《测评要求》还需要吸收近年来的测评实践,更新整体测评方法和测评结论形成方法。

1.3与其他标准的关系图1 等级保护标准相互关系从上图可以看出,在等级保护对象实施安全保护过程中,首先利用《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)(简称“《定级指南》”)确定等级保护对象的安全保护等级,然后根据《信息安全技术网络安全等级保护基本要求》系列标准选择安全控制措施,随后利用《信息安全技术信息系统安全等级保护实施指南》(简称“《实施指南》”)或其他相关标准确定其特殊安全需求,进行等级保护对象的安全规划和建设工作,此后利用《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-20XX)(简称“《测评过程指南》”)来规范测评过程和各项活动,利用《信息安全技术网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。

同时,等级保护整个实施过程又是由《实施指南》来指导的。

在等级保护的相关标准中,《测评要求》系列标准是《基本要求》系列标准的姊妹篇,《测评要求》针对《基本要求》中各要求项,提供了具体测评方法、步骤和判断依据等,是为了确认等级保护对象是否按照《基本要求》中的不同等级的技术和管理要求实施的,而《测评过程指南》则是规定了开展这些测评活动的基本过程,包括过程、任务及产品等,以指导用户对《测评要求》的正确使用。

1.4标准组成为了适应移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用情况下网络安全等级保护测评工作的开展,需对GB/T 28448-2012进行修订,修订的思路和方法是针对移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用领域提出扩展的测评要求。

对GB/T 28448-2012的修订完成后,测评要求标准成为由多个部分组成的系列标准,目前主要有六个部分:——GB/T 28448.1-20XX 信息安全技术网络安全等级保护测评要求第1部分:安全通用要求;——GB/T 28448.2-20XX 信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求;——GB/T 28448.3-20XX 信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求;——GB/T 28448.4-20XX 信息安全技术网络安全等级保护测评要求第4部分:物联网安全扩展要求;——GB/T 28448.5-20XX 信息安全技术网络安全等级保护测评要求第5部分:工控控制安全扩展要求;——GB/T 28448.6-20XX 信息安全技术网络安全等级保护测评要求第6部分:大数据安全扩展测评要求。

2编制过程1)2013年12月,公安部第三研究所、中国电子技术标准化研究院和北京神州绿盟科技有限公司成立了《信息安全技术信息安全等级保护测评要求》标准编制组。

2)2014年1月至5月,标准编制组按照计划调研了国际和国内无线接入、虚拟计算、云计算平台、大数据应用和工控系统应用等新技术、新应用的情况,分析并总结了新技术和新应用中的安全关注点和要素;同时标准编制组调研了与《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)相关的其他国家标准和行业标准,分析了《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)的修订可能对其产生的影响。

3)2014年5月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展,公安部十一局牵头会同有关部门组织2014年新领域的国家标准立项,根据新标准立项结果确定《基本要求》修订思路发生重大变化,为适应《基本要求》修订思路的变化在《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)的基础上,针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评要求”的分册,如《信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求》、《信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》、《信息安全技术网络安全等级保护测评要求第4部分:物联网安全扩展要求》、《信息安全技术网络安全等级保护测评要求第5部分:工控控制安全扩展要求》和《信息安全技术网络安全等级保护测评要求第6部分:大数据安全扩展要求》。

构成GB/T 28448.1、GB/T 28448.2、……等测评要求系列标准,上述思路的变化直接影响了国家标准GB/T 28448-2012的修订思路和内容。

5)2014年7月至2015年5月,标准编制组根据新修订《基本要求》草案第一稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第一稿。

6)2015年5月至2015年12月,标准编制组根据新修订《基本要求》草案第三稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第二稿。

7)2016年5月至2016年6月,标准编制组根据新修订《基本要求》草案第五稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第三稿。

8)2016年5月23日,在评估中心针对《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第三稿进行行业内专家评审会。

9)2016年7月,标准编制组根据新修订《基本要求》草案第六稿和第七稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿。

9)2016年7月-8月,将《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿发送11家等级测评机构和WG5工作组成员单位征求意见。

10)2016年8月12日,在北京瑞安宾馆第五会议室召开WG5工作组部分专家评审会,针对《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿征求意见。

11)2016年8月25日,在北京瑞安宾馆第二会议室参加WG5工作组在研标准推进会,在会上征求所有WG5工作组成员单位意见。

12)根据专家意见已经修订完成,形成《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第五稿。

13)根据测评机构反馈意见修订完成,形成《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第六稿。

14)前正在推进《测评要求》后续专标准修订工作。

3标准编制的技术路线安全等级保护测评(以下简称等级测评)的概念性描述框架由两部分构成:单项测评和整体测评,图1给出了等级测评框架。

图1 等级测评描述框架针对基本要求各安全要求项的测评称为单项测评,单项测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性。

单项测评是由测评指标、测评对象、测评实施和单元判定构成。

本部分的测评指标包括《信息安全技术网络安全等级保护基本要求第1部分:安全通用要求》第四级目录下的要求项。

测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等。

对于框架来说,每一个被测安全要求项(不同级别)均有一组与之相关的预先定义的测评对象(如制度文档、各类设备设施及相关人员等)。

制度文档是指针对等级保护对象所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功能规格及建筑设计)。

各类设备是指安装在等级保护对象之内或边界,能起到特定保护作用的相关部件(如:硬件、软件、固件或物理设施)。

相关人员或部门,是指应用上述制度、设备及安全配置的人。

测评实施是一组针对特定测评对象,采用相关测评方法,遵从一定的测评规程所形成的,用于测评人员使用的确定该要求项有效性的程序化陈述。

测评实施主要由测评方法和测评规程构成。

其中测评方法包括:访谈、检查和测试(说明见术语),测评人员通过这些方法试图获取证据。

上述的评估方法都由一组相关属性来规范测评方法的测评力度。

这些属性是:广度(覆盖面)和深度。

对于每一种测评方法都标识(定义)了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法。

上述三种测评方法(访谈、检查和测评)的测评结果都用以对安全控制的有效性进行评估。

测评规程是各类测评方法操作使用的过程、步骤,测评规程实施完成后,可以获得相应的证据。

结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法。

通过测评实施所获得的所有证据都满足要求则为符合,不全满足要求则该单项要求不符合。

整体测评是在单项测评基础上,分别从安全控制点测评,安全控制点间和层面间三个角度分别进行测评。

4标准总体框架本标准共分为11章,4个附录,每章内容如下:第1、2、3章,为标准的常规性描述,包括范围、规范性引用文件、术语和定义;第4章,概要描述了安全等级保护测评方法及单项测评和整体测评组成;第5、6、7、8章,分别描述了第一、二、三、四级测评要求,每级分别遵从《基本要求》的框架从安全技术和安全管理两大方面描述如何实施测评工作,其中技术方面分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面展开;而管理方面则分别从安全策略和管理制度、安全管理机构和人员、安全建设管理和安全系统运维管理四个方面展开,与《基本要求》形成了相互对照、和谐统一的标准体系。

相关文档
最新文档