01网络安全等级保护测评要求第1部分安全通用

1、ICS 35.40L80中民标 准GB/T 28448.1X代替 GB/T 28448-2012技术等级保护测评要求第 1 部分：安全通用要求Information Security Technology- Evaluation Requirement for CybersecurityClassified Protection Part 1：Security General Requirement点击此处添加与国际标准一致性程度的标识（征求）（本稿完成日期：2016 年 11 月 1 日）X - XX - XX 发布X - XX - XXGB/T 28448.1X目次前言X引言XI1范围 .

2、123规范性文件 .11术语和定义 .4安全等级保护测评概述 .4.1 安全等级保护测评方法 .4.2 单项测评和整体测评 .第一级测评要求 .222255.1 安全技术单项测评 .5.1.1 物理和环境安全 .3333344445556677895.1.1.15.1.1.25.1.1.35.1.1.45.1.1.55.1.1.65.1.1.7物理防.和防破坏 .防雷击 .防火 .防水和防潮 .温湿度.电力供应 .5.1.2 网络和通信安全 .5.1.2.15.1.2.25.1.2.35.1.2.4网络架构 .通信传输 .边界防护 .5.1.3 设备和计算安全 .5.1.3.15.1.3.25

3、.1.3.35.1.3.4鉴别 .防范 .代码防范105.1.4 应用和数据安全105.1.4.15.1.4.25.1.4.35.1.4.45.1.4.5鉴别10. 11软件容错12数据完整性12数据备份恢复135.2 安全管理单项测评13IGB/T 28448.1X5.2.1 安全策略和管理制度135.2.1.1 管理制度145.2.2 安全管理机构和. 145.2.2.15.2.2.25.2.2.35.2.2.45.2.2.55.2.2.65.2.2.7岗位设置14配备14和审批15录用15离岗15安全意识教育和培训16外部管理165.2.3 安全建设管理175.2.3.15.2.3.25

4、.2.3.35.2.3.45.2.3.55.2.3.65.2.3.7定级17安全方案设计17采购和使用17工程实施18测试验收18系统交付18服务供应商管理195.2.4 安全运维管理205.2.4.15.2.4.25.2.4.35.2.4.45.2.4.55.2.4.65.2.4.75.2.4.8环境管理20介质管理20设备维护管理21漏洞和风险管理21网络和系统安全管理22代码防范管理22备份与恢复管理23安全处置246 第测评要求246.1 安全技术单项测评246.1.1 物理和环境安全246.1.1.16.1.1.26.1.1.36.1.1.46.1.1.56.1.1.66.1.1.7

5、6.1.1.86.1.1.96.1.1.10物理位置的选择24物理防. 25和防破坏26防雷击27防火28防水和防潮28防静电29温湿度. 30电力供应30电磁防护316.1.2 网络和通信安全316.1.2.1 网络架构32IIGB/T 28448.1X6.1.2.26.1.2.36.1.2.46.1.2.56.1.2.6通信传输 .边界防护 .防范 .安全审计 .333434363738383941424445454547485051525253545555555556575758585961616262636464666768696.1.3 设备和计算安全 .6.1.3.16.1.3.2

6、6.1.3.36.1.3.46.1.3.56.1.3.6鉴别 .安全审计 .防范 .代码防范 .6.1.4 应用和数据安全 .6.1.4.16.1.4.26.1.4.36.1.4.46.1.4.56.1.4.66.1.4.76.1.4.86.1.4.9鉴别 .安全审计 .软件容错 .数据完整性 .数据备份恢复 .剩余信息保护 .个人信息保护 .6.2 安全管理单项测评 .6.2.1 安全策略和管理制度 .6.2.1.16.2.1.26.2.1.3管理制度 .制定和发布 .评审和修订 .6.2.2 安全管理机构和.6.2.2.16.2.2.26.2.2.36.2.2.46.2.2.56.2.2.

7、66.2.2.76.2.2.86.2.2.9岗位设置 .配备 .和审批 .和合作 .审核和检查 .录用 .离岗 .安全意识教育和培训 .外部管理 .6.2.3 安全建设管理 .6.2.3.16.2.3.26.2.3.36.2.3.46.2.3.5定级和备案 .安全方案设计 .采购和使用 .自行软件开发 .外包软件开发 .IIIGB/T 28448.1X6.2.3.66.2.3.76.2.3.86.2.3.96.2.3.10工程实施70测试验收71系统交付72等级测评73服务供应商管理746.2.4 安全运维管理756.2.4.16.2.4.26.2.4.36.2.4.46.2.4.56.2.4

8、.66.2.4.76.2.4.86.2.4.96.2.4.106.2.4.116.2.4.126.2.4.136.2.4.14环境管理75资产管理76介质管理77设备维护管理78漏洞和风险管理79网络和系统安全管理79代码防范管理81配置管理83管理83变更管理83备份与恢复管理84安全处置85应急预案管理87外包运维管理887第三级测评要求897.1 安全技术单项测评897.1.1 物理和环境安全897.1.1.17.1.1.27.1.1.37.1.1.47.1.1.57.1.1.67.1.1.77.1.1.87.1.1.97.1.1.10物理位置的选择89物理防. 90和防破坏90防雷击9

9、2防火92防水和防潮94防静电95温湿度. 96电力供应96电磁防护987.1.2 网络和通信安全987.1.2.17.1.2.27.1.2.37.1.2.47.1.2.57.1.2.67.1.2.77.1.2.8网络架构98通信传输101边界防护102. 103防范106代码防范108安全审计108集中管控111IVGB/T 28448.1X7.1.3 设备和计算安全 .1141141151181211231231251251271311331341361371381391401411411411421431441441441461461481491511521531541561561571

10、591601631641651667.1.3.17.1.3.27.1.3.37.1.3.47.1.3.57.1.3.6鉴别 .安全审计 .防范 .代码防范 .7.1.4 应用和数据安全 .7.1.4.17.1.4.27.1.4.37.1.4.47.1.4.57.1.4.67.1.4.77.1.4.87.1.4.97.1.4.10鉴别 .安全审计 .软件容错 .数据完整性 .数据性 .数据备份恢复 .剩余信息保护 .个人信息保护 .7.2 安全管理单项测评 .7.2.1 安全策略和管理制度 .7.2.1.17.2.1.27.2.1.37.2.1.4安全策略 .管理制度 .制定和发布 .评审和修订

11、 .7.2.2 安全管理机构和.7.2.2.17.2.2.27.2.2.37.2.2.47.2.2.57.2.2.67.2.2.77.2.2.87.2.2.9岗位设置 .配备 .和审批 .和合作 .审核和检查 .录用 .离岗 .安全意识教育和培训 .外部管理 .7.2.3 安全建设管理 .7.2.3.17.2.3.27.2.3.37.2.3.47.2.3.57.2.3.67.2.3.77.2.3.8定级和备案 .安全方案设计 .采购和使用 .自行软件开发 .外包软件开发 .工程实施 .测试验收 .系统交付 .VGB/T 28448.1X7.2.3.97.2.3.10等级测评167服务供应商管理

12、1697.2.4 安全运维管理1707.2.4.17.2.4.27.2.4.37.2.4.47.2.4.57.2.4.67.2.4.77.2.4.87.2.4.97.2.4.107.2.4.117.2.4.127.2.4.137.2.4.14环境管理170资产管理172介质管理173设备维护管理174漏洞和风险管理176网络和系统安全管理177代码防范管理181配置管理182管理183变更管理183备份与恢复管理185安全处置186应急预案管理188外包运维管理1908第四级测评要求1918.1 安全技术单项测评1918.1.1 物理和环境安全1918.1.1.18.1.1.28.1.1.38

13、.1.1.48.1.1.58.1.1.68.1.1.78.1.1.88.1.1.98.1.1.10物理位置的选择191物理防. 192和防破坏193防雷击195防火196防水和防潮197防静电198温湿度. 199电力供应199电磁防护2018.1.2 网络和通信安全2028.1.2.18.1.2.28.1.2.38.1.2.48.1.2.58.1.2.68.1.2.78.1.2.8网络架构202通信传输205边界防护206. 209防范210代码防范212安全审计213集中管控2158.1.3 设备和计算安全2178.1.3.18.1.3.2鉴别218. 219VIGB/T 28448.1X

14、8.1.3.38.1.3.48.1.3.58.1.3.6安全审计 .防范 .代码防范 .2222242272272292292322352372392402422432452462472472472472492492502502512532542562572592602612632632642652662672702722732742752768.1.4 应用和数据安全 .8.1.4.18.1.4.28.1.4.38.1.4.48.1.4.58.1.4.68.1.4.78.1.4.88.1.4.98.1.4.10鉴别 .安全审计 .软件容错 .数据完整性 .数据性 .数据备份恢复 .剩余信息保

15、护 .个人信息保护 .8.2 安全管理单项测评 .8.2.1 安全策略和管理制度 .8.2.1.18.2.1.28.2.1.38.2.1.4安全策略 .管理制度 .制定和发布 .评审和修订 .8.2.2 安全管理机构和.8.2.2.18.2.2.28.2.2.38.2.2.48.2.2.58.2.2.68.2.2.78.2.2.88.2.2.9岗位设置 .配备 .和审批 .和合作 .审核和检查 .录用 .离岗 .安全意识教育和培训 .外部管理 .8.2.3 安全建设管理 .8.2.3.18.2.3.28.2.3.38.2.3.48.2.3.58.2.3.68.2.3.78.2.3.88.2.3

16、.98.2.3.108.2.3.11定级和备案 .安全方案设计 .测评单元（L4-CMS1-07） .采购和使用 .自行软件开发 .外包软件开发 .工程实施 .测试验收 .系统交付 .等级测评 .服务供应商管理 .VIIGB/T 28448.1X8.2.4 安全运维管理2778.2.4.18.2.4.28.2.4.38.2.4.48.2.4.58.2.4.68.2.4.78.2.4.88.2.4.98.2.4.108.2.4.118.2.4.128.2.4.138.2.4.14环境管理277资产管理279介质管理281设备维护管理282漏洞和风险管理284网络和系统安全管理285代码防范管理2

17、89配置管理290管理291变更管理291备份与恢复管理293安全处置294应急预案管理296外包运维管理2989 第五级测评要求29910 整体测评29910.110.210.310.4概述299安全安全点测评300点间测评300层面间测评30011 测评结论30011.111.211.3各层面的测评结论300风险分析和评价301等级测评结论301附录 A（资料性附录） 测评力度302A.1 概述302A.2 等级测评力度302附录 B（规范性附录） 测评单元编号说明304B.1 测评指标编码规则304B.2缩略语304附录 C（资料性附录） 设计要求测评验证表305附录 D（资料性附录）

18、基本要求和测评要求对应表312D.1D.2D.3D.4第一级312第. 313第三级317第四级323参考文献329VIIIGB/T 28448.1X前言GB/T 28448技术等级保护测评要求拟分成部分，各部分将按照应用的领域划分成安全通用测评要求和具体领域的安全扩展测评要求。目前计划发布以下部分：第1部分：安全通用要求；第2部分：云计算安全扩展要求；第3部分：移动互联安全扩展要求；第4部分：物联网安全扩展要求；第5部分：工控安全扩展要求；第6部分：大数据安全扩展要求。本部分为GB/T 28448的第1部分。本部分按照GB/T 1.12009给出的规则起草。本部分代替GB/T 28448-2

19、012技术 信息系统安全等级保护测评要求。与GB/T 28448-2012相比，除编辑性修改外主要技术变化如下：增加了安全等级保护测评定义、测评对象、单项测评、安全内容。删除了测评框架、等级测评内容、区域间测评等内容。点测评、测评指标编码规则等修改了单元测评、规范性文件、整体测评等内容。本部分由本部分由本部分主要起草标准化技术委员会提出。标准化技术委员会归口。：部等级保护评估中心、中国电子技术院和北京神州绿盟科技。本部分主要起草人：陈广勇、李明、黎水林、马力、曲洁、艾春迪、尹湘培、王勇、赵劲涛、于俊杰、徐衍龙、马、袁静、江雷、黄顺京、苏艳芳、张洁昕、李升、胡娟、刘静。GB/T 28448于20

20、12年6月首次发布，本次为第一次修订。IXGB/T 28448.1X引言GB/T 28448在我络安全等级保护工作开展过程中发挥了重要的指导作用。GB/T 28448自2012年发布以来，收到了许多标准使用者提出的修改意见和建议，在标准应用过程中，特别是云计算、移动互标进行数据、物联网和工控系统等新技术、新应用环境下也遇到了一些新的问题。此外，作为测评指的GB/T 22239也启动了修订工作。为适应我络安全等级保护工作发展的需要，进一步与新版的GB/T22239相协调，有必要对GB/T28448进行修订。XGB/T 28448.1X技术等级保护测评要求 第 1 部分：安全通用要求1 范围本部分

21、规定了不同等级保护对象的安全通用测评要求，对于采用移动互数据、云计算、物联网和工业等新技术、新应用的保护对象，除使用本部分外还需参考其他的安全扩展测评要求。本部分适用于测评服务机构、等级保护对象的主管部门及运营使用对等级保护对象安等级保护监督检查可全等级保护状况进行的安全测试评估以参考使用。监管依法进行的2 规范性文件下列文件中的条款通过在本部分的而成部分的条款。凡是注日期的文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的文件，其最新版本适用于本部分。GB/T 25069-2010技术 术语

22、GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T GB/TGB/T22239.1-20XX28449-20XX25070-20XX技术技术技术等级保护基本要求 第1部分：安全通用要求等级保护测评过程指南等级保护安全设计技术要求3 术语和定义GB/T 25069-2010和GB/T22239.1-20XX所确立的以及下列术语和定义适用于本部分。3.1访谈 interview访谈是指测评通过引导等级保护对象相关进行有目的的（有性的）交流以帮助测评人员理解、澄清或取得证据的过程。3.2核查 verification核查是指测评分析，以帮助测评通过对测评对象（如制度文档、各类设备

23、及相关安全配置等）进行观察、查验和理解、澄清或取得证据的过程。3.3测试 testing1GB/T 28448.1X测试是指测评使用预定的方法/工具使测评对象（各类设备或安全配置）产生特定的结果，将运行结果与预期的结果进行比对的过程。3.4评估 evaluation对等级保护对象可能存在的性及其可能产生的后果进行综合评价和的过程。3.5测评对象 target of testing and evaluation等级测评过程中不同测评方法作用的对象，主要涉及相关配套制度文档、设备设施及等。3.6安全等级保护测评 testing and evaluation for security classif

24、ied protection安全等级保护测评（以下简称“等级测评”）是指测评机构依据等级保护制度规定，按照有关管理规范和计算标准，对未涉及的等级保护对象进行安全等级保护状况进行检测评估的活动。等级测评是标准符合性评判活动，即依据等级保护的标准或行业标准，按照特定方法对等级保护对象的安全保护能力进行科学公正的综合评判过程。4 安全等级保护测评概述4.1 安全等级保护测评方法等级测评实施的基本方法是特定的测评对象，采用相关的测评，遵从一定的测评规程，获取需要的证据数据，给出是否达到特定级别安全保护能力的评判。等级测评实施的详细流程和方法参见GB/T 28449-20XX。本部分中每一个要求项的测评就一个单项测评，单项测评中的每一个具体测评实施要求项（以下简称“测评要求项”）是与安全点