信息安全技术 网络安全等级保护测评过程指南-编制说明

7任务来源《信息安全技术网络安全等级保护测评过程指南》于2012年作为国家标准正式发布，标准号为GB/T28449-2012。GB/T28449-2012在我国推行信息安全等级保护制度的过程中起到了非常重要的作用，被广泛应用于各个行业的用户开展信息系统安全等级保护的安全自查以及测评机构的等级测评工作中。但是随着信息技术的发展，GB/T28449-2012在时效性、易用性、可操作性上还需进一步提高，与等级保护监管部门管理思路的契合上还需进一步完善，公安部第三研究所联合中国电子科技集团公司第十五研究所以及北京信息安全测评中心向安标委申请对GB/T28449编制补篇。根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评过程指南（补篇）》编制任务由公安部第三研究所负责主办，项目编号为2013bzzd-WG5-005。主要工作过程1）2013年10月，公安部第三研究所、中国电子科技集团公司第十五研究所以及北京信息安全测评中心成立了《信息安全技术信息系统安全等级保护测评过程指南（补篇）》标准编制组。2）2013年11月至2014年1月，标准编制组按照计划调研了国际和国内无线接入、IPv6、云计算平台、物联网和工控系统应用等新技术、新应用的情况，分析并总结了新技术和新应用中的安全关注点和要素；同时标准编制组调研了与《信息安全技术信息系统安全等级保护测评过程指南（补篇）》相关的其他国家标准和行业标准，分析了正在修订的《信息安全等级保护测评报告模版》的修订思路对本标准产生的影响，完成了《等级保护测评过程指南（补篇）编制研究报告》。3）2014年2月至3月标准编制组在前述工作成果《等级保护测评过程指南（补篇）编制研究报告》的基础上，对原国家标准《信息安全技术信息系统安全等级保护测评过程指南》（GB/T28449-2012）按照新技术新应用类别分别进行了需补充内容的梳理，并根据项目任务书进行了标准需完善内容的梳理，编制出标准草案第一稿。4）2014年4月9日，标准编制组在北京组织了第一次专家评审咨询会，征求专家意见。与会专家提出了将标准在《信息安全等级保护测评报告模版》中发布并在全国测评机构中试用以及将云计算、移动互联等新技术新应用领域内容纳入附件中的宝贵意见。会后，标准编制组根据专家意见进行修改，形成了标准草案第二稿。5）2014年4月，为适应无线移动接入、云计算平台应用、物联网和工控系统应用等新技术、新应用的情况下等级保护工作开展，公安部十一局牵头会同全国信息安全标准化委员会秘书处组织2014年新领域的国家标准立项，思路为在《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）的基础上，针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“基本要求”的分册，同时建议将《信息安全技术信息系统安全等级保护测评过程指南（补篇）》编制改为《信息安全技术信息系统安全等级保护测评过程指南》的修订项目。6）2014年5月至2014年12月标准编制组根据新的工作思路调整，进行了标准整体的修订完善，形成了《信息安全技术信息系统安全等级保护测评过程指南》修订标准草案第一稿。7）2014年12月24日，标准编制组在北京组织了修订草案的第一次专家评审咨询会，征求专家意见。与会专家提出了将标准与《信息安全等级保护测评报告模版（2015版）》保持一致、风险评估方法多样化，不建议给出统一风险评估方法等宝贵意见。会后，标准编制组根据专家意见进行修改，形成了标准修订草案第二稿。8）2015年7月至10月，标准编制组通过中关村信息安全测评联盟与10家测评机构联系，征求测评机构意见，并将标准予以试用。截至10月底，共收到测评机构反馈意见27条，标准编制组根据反馈意见进行了修改，形成了标准修订草案第三稿。9）2015年12月24日，安标委WG5工作组专家及行业专家对本标准进行了第二次评审。会后，标准编制组再次按照专家提出的修改建议，对草案进行了修改，形成了标准修订草案第三稿。10）2016年7月8日，根据《信息安全技术网络安全等级保护基本要求》系列标准的修订内容，本标准进行了再次修订，并对应修改标准名称为《信息安全技术网络安全等级保护测评过程指南》，形成了标准修订草案第四稿。11）2016年8月12日，安标委WG5工作组部分专家对本标准进行了第三次评审。会后，标准编制组再次按照专家提出的修改建议，对草案进行了修改，形成了标准修订草案第五稿。12）2016年8月25日，安标委WG5工作组全体专家对本标准进行了评审。会后，标准编制组按照专家提出的修改建议，对草案进行了修改，于2016年8月26日形成了标准征求意见稿。标准的主要修订内容1）标准的名称由原来的GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程指南》改为GB/T28449-XXXX《信息安全技术网络安全等级保护测评过程指南》；2）调整了报告编制活动中的任务，由原来的六个任务调整为七个任务；3）考虑到云计算等新技术新应用造成的测评多方参与的情况，在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责，并且在一些涉及到多方的工作任务中也予以明确。4）为保证标准内容具有更强的适用性，将标准中描述过细的内容进行修改和完善，例如5.2.2任务描述中的“a) 测评机构收集等级测评需要的相关资料，包括测评委托单位的管理架构、技术体系、运行情况等方针文件、规章制度及相关过程管理记录、被测信息系统总体描述文件、详细描述文件、定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。”改为“a) 测评机构收集等级测评需要的相关资料，包括测评委托单位的管理架构、技术体系、运行情况等”；又如“c) 测评机构收回填写完成的调查表格，并分析调查结果，了解和熟悉被测信息系统的实际情况。分析的内容包括被测信息系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测信息系统所处的运行环境及面临的威胁等。这些信息可以重用自查报告或上次等级测评报告中的可信结果。”改为“c) 测评机构收回填写完成的调查表格，并分析调查结果，了解和熟悉被测信息系统的实际情况。这些信息可以重用自查报告或上次等级测评报告中的可信结果。”5）对应《信息安全技术信息系统安全等级保护基本要求》系列标准修订内容，将测评指标选择部分内容进行了调整。6）对一些不适宜写在标准文本中的描述性话语进行了统一和规范，例如删除4.3a）中的“后续的工作以此为基础，避免以后的工作出现大的分歧”。7）增加了利用云计算、物联网、移动互联网、工控系统等构建的信息系统开展安全测评需要额外重点关注的特殊任务及要求。与相关法律法规及国家有关规定、国内相关标准的关系本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。有关问题的说明项目组在标准编制过程中，经历了内部讨论与论证、专家评审等过程，项目组在工作过程中遵循编制原则，对国内外现状做了大量调研，完成了标准修订工作。在整个过程中未遇到重大意见分歧，但对专家提出的意见和建议，我们做了应答和处理，更好地完善了我们的标准编制工作。本项目是对国家推荐性标准GB/T28449-2012的修订，建议修订后的标准还是为国家推荐性标准。废止现行有关标准的建议标准修订完成后，标准的名称为：——GB/T28449-XXXX信息安全技术信息安全等级保护测评过程指南；建议废止GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程指南》。有关专利的说明本标准不涉及专利。《信息安全技术网络安全等级保护测评过程指南》修订编制说