GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程指南

ICS35020

L80.

中华人民共和国国家标准

GB/T28449—2012

信息安全技术

信息系统安全等级保护测评过程指南

Informationsecuritytechnology—Testingandevaluationprocessguidefor

classifiedprotectionofinformationsystemsecurity

2012-06-29发布2012-10-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T28449—2012

目次

前言…………………………

Ⅴ

引言…………………………

Ⅵ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

符号和缩略语……………

41

等级测评概述……………

51

等级测评的作用……………………

5.11

等级测评风险………………………

5.22

可能影响系统正常运行………………………

5.2.12

可能泄漏敏感信息……………

5.2.22

等级测评风险的规避………………

5.32

等级测评过程概述…………………

5.43

测评准备活动……………

63

测评准备活动的工作流程…………

6.13

测评准备活动的主要任务…………

6.24

项目启动………………………

6.2.14

信息收集和分析………………

6.2.24

工具和表单准备………………

6.2.35

测评准备活动的输出文档…………

6.35

测评准备活动中双方的职责………………………

6.45

方案编制活动……………

76

方案编制活动的工作流程…………

7.16

方案编制活动的主要任务…………

7.26

测评对象确定…………………

7.2.16

测评指标确定…………………

7.2.27

测评内容确定…………………

7.2.38

工具测试方法确定……………

7.2.48

测评指导书开发………………

7.2.59

测评方案编制…………………

7.2.610

方案编制活动的输出文档…………

7.311

方案编制活动中双方的职责………………………

7.411

现场测评活动……………

811

现场测评活动的工作流程…………

8.111

现场测评活动的主要任务…………

8.212

现场测评准备…………………

8.2.112

Ⅰ

GB/T28449—2012

现场测评和结果记录…………

8.2.212

访谈………………………

8.2.2.112

检查………………………

8.2.2.213

测试………………………

8.2.2.314

结果确认和资料归还…………

8.2.314

现场测评活动的输出文档…………

8.314

现场测评活动中双方的职责………………………

8.415

报告编制活动……………

915

报告编制活动的工作流程…………

9.115

报告编制活动的主要任务…………

9.216

单项测评结果判定……………

9.2.116

单元测评结果判定……………

9.2.216

整体测评………………………

9.2.317

风险分析………………………

9.2.418

等级测评结论形成……………

9.2.518

测评报告编制…………………

9.2.619

报告编制活动的输出文档…………

9.319

报告编制活动中双方的职责………………………

9.420

附录资料性附录等级测评工作流程………………

A()21

附录资料性附录测评对象确定准则和样例………

B()23

测评对象确定准则………………

B.123

测评对象确定样例………………

B.223

第一级信息系统……………

B.2.123

第二级信息系统……………

B.2.223

第三级信息系统……………

B.2.324

第四级信息系统……………

B.2.425

附录资料性附录等级测评工作要求………………

C()26

依据标准遵循原则………………

C.1,26

恰当选取保证强度………………

C.2,26

规范行为规避风险………………

C.3,26

附录资料性附录测评方案与测评报告编制示例…………………

D()27

测评方案编制示例………………

D.127

系统描述……………………

D.1.127

测评对象……………………

D.1.228

测评指标……………………

D.1.330

测评工具和接入点…………

D.1.430

测评内容……………………

D.1.532

测评指导书…………………

D.1.635

测评报告编制示例………………

D.239

整体测评……………………

D.2.139

安全建设整改建议…………

D.2.240

Ⅱ

GB/T28449—2012

附录资料性附录信息系统基本情况调查表模版…………………

E()42

说明………………

E.142

单位基本情况……………………

E.242

参与人员名单……………………

E.343

物理环境情况……………………

E.443

信息系统基本情况………………

E.543

信息系统承载业务服务情况…………………

E.6()44

信息系统网络结构环境情况…………………

E.7()44

外联线路及设备端口网络边界情况…………

E.8()45

网络设备情况……………………

E.945

安全设备情况……………………

E.1046

服务器设备情况…………………

E.1146

终端设备情况……………………

E.1247

系统软件情况……………………

E.1347

应用系统软件情况………………

E.1447

业务数据情况……………………

E.1548

数据备份情况……………………

E.1648

应用系统软件处理流程多表…………………

E.17()49

业务数据流程多表……………

E.18()49

管理文档情况……………………

E.1950

安全威胁情况……………………

E.2052

附录资料性附录信息系统安全等级测评报告模版试行………

F()()54

参考文献……………………

70

Ⅲ

GB/T28449—2012

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位公安部信息安全等级保护评估中心

:。

本标准主要起草人袁静任卫红陈雪秀曲洁刘静毕马宁朱建平马力李明李升黄洪

:、、、、、、、、、、。

Ⅴ

GB/T28449—2012

引言

依据中华人民共和国计算机信息系统安全保护条例国务院号令国家信息化领导小组关

《》(147)、《

于加强信息安全保障工作的意见中办发号关于信息安全等级保护工作的实施意见公

》([2003]27)、《》(

通字号和信息安全等级保护管理办法公通字号制定本标准

[2004]66)《》([2007]43),。

本标准是信息安全等级保护相关系列标准之一

。

与本标准相关的系列标准包括

:

信息安全技术信息系统安全等级保护基本要求

———GB/T22239—2008;

信息安全技术信息系统安全等级保护定级指南

———GB/T22240—2008;

信息安全技术信息系统安全等级保护测评要求

———GB/T28448—2012。

Ⅵ

GB/T28449—2012

信息安全技术

信息系统安全等级保护测评过程指南

1范围

本标准规定了信息系统安全等级保护测评以下简称等级测评工作的测评过程对等级测评的

(“”),

活动工作任务以及每项任务的输入