《信息安全技术 网络安全等级保护测评过程指南-编制说明》

一、任务来源

《信息安全技术网络安全等级保护测评过程指南》于2012年作为国家标准正式

发布，标准号为GB/T28449-2012。GB/T28449-2012在我国推行信息安全等级保护制

度的过程中起到了非常重要的作用，被广泛应用于各个行业的用户开展信息系统安全等

级保护的安全自查以及测评机构的等级测评工作中。但是随着信息技术的发展，GB/T

28449-2012在时效性、易用性、可操作性上还需进一步提高，与等级保护监管部门管理

思路的契合上还需进一步完善，公安部第三研究所联合中国电子科技集团公司第十五研

究所以及北京信息安全测评中心向安标委申请对GB/T28449编制补篇。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标

准《信息安全技术信息系统安全等级保护测评过程指南（补篇）》编制任务由公安部第

三研究所负责主办，项目编号为2013bzzd-WG5-005。

二、主要工作过程

1）2013年10月，公安部第三研究所、中国电子科技集团公司第十五研究所以及北

京信息安全测评中心成立了《信息安全技术信息系统安全等级保护测评过程指南（补

篇）》标准编制组。

2）2013年11月至2014年1月，标准编制组按照计划调研了国际和国内无线接入、

IPv6、云计算平台、物联网和工控系统应用等新技术、新应用的情况，分析并总结了新

技术和新应用中的安全关注点和要素；同时标准编制组调研了与《信息安全技术信息

系统安全等级保护测评过程指南（补篇）》相关的其他国家标准和行业标准，分析了正

在修订的《信息安全等级保护测评报告模版》的修订思路对本标准产生的影响，完成了

《等级保护测评过程指南（补篇）编制研究报告》。

3）2014年2月至3月标准编制组在前述工作成果《等级保护测评过程指南（补篇）

编制研究报告》的基础上，对原国家标准《信息安全技术信息系统安全等级保护测评

过程指南》（GB/T28449-2012）按照新技术新应用类别分别进行了需补充内容的梳理，

并根据项目任务书进行了标准需完善内容的梳理，编制出标准草案第一稿。

4）2014年4月9日，标准编制组在北京组织了第一次专家评审咨询会，征求专家

意见。与会专家提出了将标准在《信息安全等级保护测评报告模版》中发布并在全国测

评机构中试用以及将云计算、移动互联等新技术新应用领域内容纳入附件中的宝贵意

见。会后，标准编制组根据专家意见进行修改，形成了标准草案第二稿。

5）2014年4月，为适应无线移动接入、云计算平台应用、物联网和工控系统应用

等新技术、新应用的情况下等级保护工作开展，公安部十一局牵头会同全国信息安全标

准化委员会秘书处组织2014年新领域的国家标准立项，思路为在《信息安全技术信息

系统安全等级保护基本要求》（GB/T22239-2008）的基础上，针对无线移动接入、虚拟

计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“基本要求”的

分册，同时建议将《信息安全技术信息系统安全等级保护测评过程指南（补篇）》编制

改为《信息安全技术信息系统安全等级保护测评过程指南》的修订项目。

6）2014年5月至2014年12月标准编制组根据新的工作思路调整，进行了标准整

体的修订完善，形成了《信息安全技术信息系统安全等级保护测评过程指南》修订标

准草案第一稿。

7）2014年12月24日，标准编制组在北京组织了修订草案的第一次专家评审咨询

会，征求专家意见。与会专家提出了将标准与《信息安全等级保护测评报告模版（2015

版）》保持一致、风险评估方法多样化，不建议给出统一风险评估方法等宝贵意见。会

后，标准编制组根据专家意见进行修改，形成了标准修订草案第二稿。

8）2015年7月至10月，标准编制组通过中关村信息安全测评联盟与10家测评机

构联系，征求测评机构意见，并将标准予以试用。截至10月底，共收到测评机构反馈

意见27条，标准编制组根据反馈意见进行了修改，形成了标准修订草案第三稿。

9）2015年12月24日，安标委WG5工作组专家及行业专家对本标准进行了第二次

评审。会后，标准编制组再次按照专家提出的修改建议，对草案进行了修改，形成了标

准修订草案第三稿。

10）2016年7月8日，根据《信息安全技术网络安全等级保护基本要求》系列标

准的修订内容，本标准进行了再次修订，并对应修改标准名称为《信息安全技术网络

安全等级保护测评过程指南》，形成了标准修订草案第四稿。

11）2016年8月12日，安标委WG5工作组部分专家对本标准进行了第三次评审。

会后，标准编制组再次按照专家提出的修改建议，对草案进行了修改，形成了标准修订

草案第五稿。

12）2016年8月25日，安标委WG5工作组全体专家对本标准进行了评审。会后，

标准编制组按照专家提出的修改建议，对草案进行了修改，于2016年8月26日形成了

标准征求意见稿。

三、标准的主要修订内容

7

1）标准的名称由原来的GB/T28449-2012《信息安全技术信息系统安全等级保护测

评过程指南》改为GB/T28449-XXXX《信息安全技术网络安全等级保护测评过程指

南》；

2）调整了报告编制活动中的任务，由原来的六个任务调整为七个任务；

3）考虑到云计算等新技术新应用造成的测评多方参与的情况，在测评准备活动、

现场测评活动的双方职责中增加了协调多方的职责，并且在一些涉及到多方的工作任务

中也予以明确。

4）为保证标准内容具有更强的适用性，将标准中描述过细的内容进行修改和完善，

例如5.2.2任务描述中的“a)测评机构收集等级测评需要的相关资料，包括测评委托

单位的管理架构、技术体系、运行情况等方针文件、规章制度及相关过程管理记录、被

测信息系统总体描述文件、详细描述文件、定级报告、安全需求分析报告、安全总体方

案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管

理文档等。”改为“a)测评机构收集等级测评需要的相关资料，包括测评委托单位的

管理架构、技术体系、运行情况等”；又如“c)测评机构收回填写完成的调查表格，并

分析调查结果，了解和熟悉被测信息系统的实际情况。分析的内容包括被测信息系统的

基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要

性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务

安全保护等级、用户范围、用户类型、被测信息系统所处的运行环境及面临的威胁等。

这些信息可以重用自查报告或上次等级测评报告中的可信结果。”改为“c)测评机构

收回填写完成的调查表格，并分析调查结果，了解和熟悉被测信息系统的实际情况。这

些信息可以重用自查报告或上次等级测评报告中的可信结果。”

5）对应《信息安全技术信息系统安全等级保护基本要求》系列标准修订内容，将

测评指标选择部分内容进行了调整。

6）对一些不适宜写在标准文本中的描述性话语进行了统一和规范，例如删除4.3a）

中的“后续的工作以此为基础，避免以后的工作出现大的分歧”。

7）增加了利用云计算、物联网、移动互联网、工控系统等构建的信息系统开展安

全测评需要额外重点关注的特殊任务及要求。

四、与相关法律法规及国家有关规定、国内相关标准的关系

本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。

五、有关问题的说明

7

项目组在标准编制过程中，经历了内部讨论与论证、专家评审等过程，项目组在工

作过程中遵循编制原则，对国内外现状做了大量调研，完成了标准修订工作。在整个过

程中未遇到重大意见分歧，但对专家提出的意见和建议，我们做了应答和处理，更好地

完善了我们的标准编制工作。

本项目是对国家推荐性标准GB/T28449-2012的修订，建议修订后的标准还是为国

家推荐性标准。

六、废止现行有关标准的建议

标准修订完成后，标准的名称为：

——GB/T28449-XXXX信息安全技术信息安全等级保护测评过程指南；

建议废止GB/T28449-2012《信息安全技术