![《信息安全技术 信息系统安全等级保护测评要求 第3部分 移动互联安全扩展测评要求-编制说明》_第1页](http://file4.renrendoc.com/view3/M01/1E/29/wKhkFmZL-FSAdE74AANzv_fQw_U677.jpg)
![《信息安全技术 信息系统安全等级保护测评要求 第3部分 移动互联安全扩展测评要求-编制说明》_第2页](http://file4.renrendoc.com/view3/M01/1E/29/wKhkFmZL-FSAdE74AANzv_fQw_U6772.jpg)
![《信息安全技术 信息系统安全等级保护测评要求 第3部分 移动互联安全扩展测评要求-编制说明》_第3页](http://file4.renrendoc.com/view3/M01/1E/29/wKhkFmZL-FSAdE74AANzv_fQw_U6773.jpg)
![《信息安全技术 信息系统安全等级保护测评要求 第3部分 移动互联安全扩展测评要求-编制说明》_第4页](http://file4.renrendoc.com/view3/M01/1E/29/wKhkFmZL-FSAdE74AANzv_fQw_U6774.jpg)
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
一、任务来源
随着移动互联技术的不断发展和使用,越来越多的单位使用移动终端设备进行业务
访问,为了适应新技术的发展,加强对采用移动互联技术的等级保护对象的安全防护。
2014年,公安部十一局组织召开了4个领域12项标准的新技术研讨会,准备在云计算、
移动互联、物联网、工业控制4个领域开展新技术新标准的制定工作。其中,为了指导
测评人员对采用移动互联技术的等级保护对象进行测试评估,准备开展《信息安全技术
网络安全等级保护测评要求第3部分:移动互联安全扩展要求》的标准制定。2014年,
公安部第三研究所联合国家信息中心、中国移动通信有限公司研究院及北京鼎普科技有
限公司、北京洋浦伟业科技发展有限公司、东巽科技(北京)有限公司等单位向安标委
申请制定《信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要
求》。
二、目的与意义
国内近几年在部分行业领域针对移动终端制定了一些行业标准,如:《移动智能终
端数据存储安全技术要求与测试评价方法》、《YD/T2408-2013移动智能终端安全能力测
试方法》、《YD/T2407-2013移动智能终端安全能力技术要求》、《中国金融移动支付客
户端技术规范》等,2011年12月工信部发布了《移动互联网恶意程序监测与处置机制》
等标准。开展移动互联信息安全等级保护工作需要有统一的国家标准,因此,正在制定
《信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩展要求》。为
了评价等级保护对象是否符合《信息安全技术网络安全等级保护基本要求第3部分:
移动互联安全扩展要求》,有必要针对采用移动互联技术的等级保护对象制定等级保护
测评要求。
通过参考国内外标准与移动互联的最佳实践,制定移动互联等级保护测评要求,对
采用移动互联技术的等级保护对象进行安全等级保护测试评估的技术活动提出要求。为
评价等级保护对象是否符合移动互联安全扩展要求提供获取证据的途径和方法。指导测
评人员从信息安全等级保护的角度对移动互联技术的系统进行测试评估。
三、与其它标准的关系
本标准的制定是以GB/T28448-2012《信息安全技术信息系统安全等级保护测评要
求》为基础,根据《信息安全技术网络安全等级保护基本要求第3部分:移动互联安
全扩展要求》提出的各项要求增加了针对采用移动互联技术的等级保护对象的测评要
求。本标准是《信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩
展要求》的配套要求,是GB/T28448-2012在移动互联系统测评方面扩展补充要求。
四、主要工作过程
1)2014年3月,公安部第三研究所、国家信息中心、中国移动通信有限公司研究
院及北京鼎普科技有限公司、北京洋浦伟业科技发展有限公司、东巽科技(北京)有限
公司成立了移动互联安全扩展测评要求标准编制组。
2)2014年3月至5月,标准编制组按照计划调研了国际和国内与移动互联相关的
标准和移动终端、移动无线接入、移动应用app等移动互联新技术的情况,分析并总结
了移动互联新技术中的安全风险点和要素;同时分析了《信息安全技术网络安全等级
保护测评要求第3部分:移动互联安全扩展要求》的标准定位、与其它标准之间的关
系以及可能对其他标准产生的影响。
4)2014年5月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据
应用和工控系统应用等新技术、新应用的情况下等级保护工作开展,公安部十一局牵头
会同有关部门组织2014年新领域的国家标准立项,根据新标准立项结果确定《基本要
求》修订思路发生重大变化,为适应《基本要求》修订思路的变化在《信息安全技术网
络安全等级保护测评要求》(GB/T28228-2012)的基础上,针对无线移动接入、虚拟计
算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评要求”的分
册,如《信息安全技术网络安全等级保护测评要求对采用云计算技术的信息系统的扩
展测评要求》、《信息安全技术网络安全等级保护测评要求对采用移动互联技术的信息
系统的扩展测评要求》、《信息安全技术网络安全等级保护测评要求对物联网系统的扩
展测评要求》、《信息安全技术网络安全等级保护测评要求对工控控制系统的扩展测评
要求》。构成GB/T28448.1、GB/T28448.2、……等测评要求系列标准,上述思路的变
化直接影响了国家标准GB/T28448-2012的修订思路和内容。
5)2014年6月至2014年9月,标准编制组根据新修订《信息安全技术网络安全
等级保护基本要求第3部分:移动互联安全扩展要求》草案第一稿编制了《信息安全
技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》草案第一稿。
6)2014年10月至2014年12月,标准编制组根据专家意见对《信息安全技术网
络安全等级保护测评要求第3部分:移动互联安全扩展要求》草案第一稿进行了修订。
7)2015年3月至2015年9月,标准编制组根据新修订《信息安全技术网络安全
等级保护基本要求第3部分:移动互联安全扩展要求》草案第二稿编制了信息安全技
7
术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》草案第二稿。
8)2015年10月至2015年12月,标准编制组根据专家意见对《信息安全技术网
络安全等级保护测评要求第3部分:移动互联安全扩展要求》草案第二稿进行了修订。
9)2016年1月至7月,标准编制组根据新修订《信息安全技术网络安全等级保护
基本要求第3部分:移动互联安全扩展要求》草案第三稿与《测评要求》草案第四稿
编制了《信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》
草案第三稿。
10)2016年8月12日,参加等级保护系列标准专家评审会,会后根据专家意见修
订标准草案形成标准草案第四稿。
11)2016年8月25日,参加WG5工作组组织的标准评审会,标准于组内投票过,
形成标准征求意见稿。
12)目前正在推进《信息安全技术网络安全等级保护测评要求第3部分:移动互
联安全扩展要求》后续专家评审和修订工作。
五、标准的主要内容
《信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》
定义了访谈、检查和测试等基本测评方法,规范了测评力度和测评内容等基本概念,并
针对第一级、第二级、第三级和第四级采用移动互联技术的系统提出了实施测试评估活
动的要求,以保证移动互联的等级测评过程、测评结果和结论的一致性、可比性和可重
复性。
《信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》
标准文本主体由9个章节正文和2个附录组成。
第1章、第2章和第3章为标准的固定格式要求,说明《移动互联安全扩展要求》
标准的使用范围、引用的其他标准、使用到的术语定义。
第4章描述了等级测评的基本概念,对测评内容、测评力度以及标准的使用方法进
行说明。
第5章到第8章分别描述了第一级信息系统、第二级信息系统、第三级信息系统和
第四级信息系统单元测评的内容。单元测评是等级测评基本工作单元,针对《移动互联
安全扩展要求》中的单一安全控制点的测评,从测评指标、测评对象、测评实施和结果
判定四个方面进行描述。
主要技术内容包括:
7
物理和环境安全测评要求(移动互联)
设备和计算安全测评要求(移动互联)
网络和通信安全测评要求(移动互联)
应用和数据安全测评要求(移动互联)
主要管理内容包括:
安全策略和管理制度测评要求(移动互联)
安全管理机构和人员测评要求(移动互联)
系统安全建设管理测评要求(移动互联)
系统安全运维管理测评要求(移动互联)
第9章为第五级信息系统单元测评,内容另行制定。
附录A提供了2个表格,用于描述测评方法的测评力度和不同安全等级信息系统的
测评力度要求,方便读者理解和对比不同测评方式的测评力度以及不同级别信息系统安
全控制测评的测评力度增强情况。
附录B,描述了测评指标编码规则及专用缩略语。
六、与相关法律法规及国家有关规定、国内相关标准的关系
本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。
七、有关问题的说明
项目组在标准编制过程中,经历了内部讨论与论证、专家评审等过程,项目组在工
作过程中遵循编制原则,对国内外的移
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 实习医生个人述职报告7篇
- 微信视频后贴广告流量主合作指引
- 国际劳务合同(4)(35篇)
- 公司职工年终工作述职报告5篇
- 管理聘用合同7篇
- GB∕T 36318-2018 电子商务平台数据开放 总体要求
- 期末 (试题) -2023-2024学年译林版(三起)英语三年级下册
- 竞选班长演讲稿
- 整治养老诈骗宣传工作总结(3篇)
- 奥运会(奥林匹克运动会)分析报告-培训课件外文版2024.6
- 2024年 湖南省娄底市初中学业水平考试押题卷(二)地理试卷
- 期末综合测试卷(B)-2023-2024学年小学英语六年级下册(译林版三起)
- 2023-2024学年四川省资阳市物理八下期末达标检测试题及答案解析
- 2023年四川省高中学业水平合格性考试化学试题(含答案解析)
- 2024年03月浙大城市学院招考聘用专职辅导员10人笔试历年典型题及考点剖析附带答案含详解
- 2024年中考九年级语文复习文言文阅读 (含答案)
- 工程重大安全事故罪案例分析
- 2024年计算机软考(高级)系统架构设计师考试题库大全(含真题等)
- GB/T 43934-2024煤矿土地复垦与生态修复技术规范
- 专科护士培训结业汇报
- 第8课《建设法治中国》第1框《科学立法严格执法公正司法全民守法》-【中职专用】《职业道德与法治》同步课堂课件
评论
0/150
提交评论