还剩9页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
信息安全技术网络安全等级保护测评规定第1部分安全通用规定编制说明概述任务来源
1.1《信息安全技术信息系统安全等级保护测评规定》于
1.2年成为国家标准,标准号为被广2023GB/T28448-2023,泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作但是随着信息技术的发展,特别云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,年公安部第三研究所联合中国电2023子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对进行修订喝恁润属铁瘗歌杨尻赖喝恁GB/T28448-2023润属彩瘗歌杨尻赖赁根据全国信息安全标准化技术委员会年下达的国家标准制
20231.3修订计划,国家标准《信息安全技术信息系统安全等级保护测评规定》修订任务由公安部第三研究所负责主办,项目编号为^食沟熠爱稹谴净^沟燧爱稹谴净祸2023bzxd-WG5-006o J制定本标准的目的和意义
1.4《信息安全等级保护管理办法》(公通字
[2023]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,并且等级测评的技术测评报告是其检查内容之一这就规定等级测评过程规范、测评结论准确、公正及可重现残鹫楼静铸瀚湃淑塑麓残鹫楼静然源潸淑塑麓短二级目录都分为安全技术和安全管理两部分,三级目录从安全层面(如物理和环境安全、网络和通信安全、设备和计算安全等)进行划分和描述,四级目录按照安全控制点进行划分和描述(如设备和计算安全层面下分为身份鉴别、访问控制、安全审计等),第五级目录是每一个安全控制点下面涉及的具体安全规定项具体编制案例如下渍IW蟆俾阅金」鲫胃暹蔽稿渍蟆俾阅创鳏胃暹藏阕案例7第三级测评规定
7.1安全技术单项测评
7.
1.1物理和环境安全
7.
1.
1.1物理位置的选择
7.L
1.L1测评单元(L3-PES1-01)a)测评指标机房场地应选择在具有防震、防风和防雨等能力的建筑内;(本条款引用自))GB/T
22239.1-20XX
7.
1.
1.1ab)测评对象记录类文档、机房c)测评实行1)应核查所在建筑物是否具有建筑物抗震设防审批文档;2)应核查机房是否不存在雨水渗漏;3)应核查门窗是否不存在因风导致的尘土严重;4)应核查屋顶、墙体、门窗和地面等是否不存在破损开裂d)单元鉴定假如1)-4)均为肯定,则等级保护对象符合本测评单元指标规定,否则,等级保护对象不符合或部分符合本测评单元指标规定颖刍茎蚊管亿顿袅赔沈颖刍茎蚊悖亿顿袅赔法涨
7.LLL2测评单元(L3-PES1-02)a)测评指标机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施(本条款引用自GB/T
22239.1-20XX
7.
1.
1.1b))^^月詹即骤理^言召寝聘滥月詹朗骤理^言召寝飕减b)测评对象机房c)测评实行1)应核查是否不位于所在建筑物的顶层或地下室,假如否,则核查是否采用了防水和防潮措施d)单元鉴定假如以上测评实行内容为肯定,则等级保护对象符合本测评单元指标规定,否则,等级保护对象不符合本测评单元指标规定剑脍弟^哓鳗鸿银京剑搽弟^哓鳗鸿钱多迷^】京信息安全技术网络系统安全等级保护测评规定第1部分安全通用规定编写组2023年10月《信息安全技术信息系统安全等级保护基本规定》GB/T22239-2023简称《基本规定》利《信息安全技术信息系统安全等级保护测评规定》GB/T28448-2023简称《测评规定》等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用随着着IT技术的发展,《基本规定》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展特别是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目的弹贸摄尔霁毙撰砖卤尻弹贸摄尔霁毙撰砖卤庞诒作为《基本规定》的姊妹标准,《测评规定》需要同步修订,
1.5依据《基本规定》的更新内容相应修订相关的单元测评章节^养拎箧^^总类蒋蔷^养拎箧飙鲜总类蒋蔷黠此外,《测评规定》还需要吸取近年来的测评实践,更新整
1.6体测评方法和测评结论形成方法O与其他标准的关系
1.7《实施指南》《定级指南》安全建设整改<确定《等实级施保指护南对》象其他安相全关等标级准图1等级保护标准互相关系《实施指南》《实施指南》《测评过程指南》《基本要求》系列标准《测评要求》系列标准从上图可以看出,在等级保护对象实行安全保护过程中,一方面
1.8运用《信息安全技术信息系统安全等级保护定级指》(GB/T)(简称“《定级指南》”)拟定等级22240-2023保护对象的安全保护等级,然后根据《信息安全技术网络安全等级保护基本规定》系列标准选择安全控制措施,随后运用《信息安全技术信息系统安全等级保护实行指南》(简称“《实行指南》”)或其他相关标准拟定其特殊安全需求,进行等级保护对象的安全规划和建设工作,此后运用《信息安全技(术网络安全等级保护测评过程指南》GB/T)(简称“《测评过程指南》”)来规范测评过程28449-20XX和各项活动,运用《信息安全技术网络安全等级保护测评规定》系列标准来判断安全控制措施的有效性同时,等级保护整个实行过程又是由《实行指南》来指导的厦礴恳蹒骈畤翥继^骚厦礴恳蹒骈畤翥继^骚誉规定》系列标准的姊妹篇,《测评规定》针对《基本规定》在等级保护的相关标准中,《测评规定》系列标准是《基本
1.9中各规定项,提供了具体测评方法、环节和判断依据等,是为了确认等级保护对象是否按照《基本规定》中的不同等级的技术和管理规定实行的,而《测评过程指南》则是规定了开展这些测评活动的基本过程,涉及过程、任务及产品等,以指导用户对《测评规定》的对的使用茕桢广解斛选块网^泪茕桢广^^选块网^泪镀标准组成
1.10为了适应移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用情况下网络安全等级保护测评工作的开展,需对GB/T28448-2023进行修订,修订的思绪和方法是针对移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用领域提出扩展的测评规定鹅娅尽损鹤惨屣茏^赖鹅娅尽损鹤惨屣茏^赖繁对GB/T28448-2023的修订完毕后,测评规定标准成为由多个部分组成的系列标准,目前重要有六个部分籍丛妈蟀为赡债蛭练浮箱丛妈理为赡债蛭练浮桶——GB/T
28448.1-20XX信息安全技术网络安全等级保护测评规定第1部分安全通用规定;——GB/T
28448.2-20XX信息安全技术网络安全等级保护测评规定第2部分云计算安全扩展规定;子圣金玄僧蕨龈讶骅汆子好直圣金玄僧蕨龈讶骅汆——GB/T
28448.3-20XX信息安全技术网络安全等级保护测评规定第3部分移动互联安全扩展规定;渗的呛俨匀谓鳖调^渗影呛俨匀谓鳖调^^金心——GB/T
28448.4-20XX信息安全技术网络安全等级保护测评规定第4部分物联网安全扩展规定;镜^卧泻喊圣骋腕丁鼠喉镜^卧泻喊圣骋腕[鼠喉缝信息安全技术网络安全等级保护测评规——GB/T
28448.5-20XX2定第5部分工控控制安全扩展规定;凤袜备^^轮烂蔷^^凤袜备^^轮烂蔷辍信息安全技术网络安全等级——GB/T
28448.6-20XX3保护测评规定第部分大数据安全扩展测评规定6M熟俣闹蕨匮阊邺钱嬲熟俣闹蕨匮阊邺钱编制过程412023年12月,公安部第三研究所、中国电子技术标准化研究院和北京神州绿盟科技有限公司成立了《信息安全技术信息安全等级保护测评规定》标准编制组坛搏乡舅忏篓锲铃亶转戾坛搏乡舅忏篓锲铃亶白戾跻云计算平台、大数据应用和工控系统应用等新技术、新应用的情况,分析并总结了新技术和新应用中的安全关注点和要素;同时标准编制组调研了与《信息安全技术信息系统安全等级保护测评规定》GB/T28448-2023相关的其他国家标准和行业标准,分析了《信息安全技术信息系统安全等级保护基本规定》GB/T22239-2023的修订也许对其产生的影响蜡燮雅瘪甄偎铉锚^赘蜡燮雅瘪辍依铉锚^赘簿32023年5月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展,公安部十一局牵头会同有关部门组织2023年新领域的国家标准立项,根据新标准立项结果拟定《基本规定》修订思绪发生重大变化,为适应《基本规定》修订思绪的变化在《信息安全技术信息系统安全等级保护测评规定》GB/T28448-2023的基础上,针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评规定”的分册,如《信息安全技术网络安全等级保护测评规定第2部分云计算安全扩展规定》、《信息安全技术网络安全等级保护测评规定第3部分移动互联安全扩展规定》、《信息安全技术网络安全等级保护测评规定第4部分物联网安全扩展规定》、《信息安全技术网络安全等级保护测评规定第5部分工控控制安全扩展规定》和《信息安全技术网络安全等级保护测评规定第6部分大数据安全扩展规定》构成GB/T
28448.LGB/T284482……等测评规定系列标准,上述思绪的变化直接影响了国家标准GB/T28448-2023的修订思绪和内容翼蜩福揩昙庸遥闫撷凄^般福揩昙庸遥闫撷凄届52023年7月至2023年5月,标准编制组根据新修订《基本规定》草案第一稿编制了《信息安全技术网络安全等级保护测评规定第1部分安全通用规定》草案第一稿^镐鹏踪韦偶耀^铺蜩鹏踪韦辍耀飙62023年5月至2023年12月,标准编制组根据新修订《基本规定》草案第三稿编制了《信息安全技术网络安全等级保护测评规定第1部分安全通用规定》草案第二稿H蹶震彦狭绥^饴夏锦原融质震彦狭绥^饴夏锦吉豕《信息安全技术网络安全等级保护测评规定第1部分安全通用规定》草案第三稿猫去is绘燎舶诛髅既虎猫去is绘熄tn朱髅既庞献82023年5月23日,在评估中心针对《信息安全技术网络安全等级保护测评规定第1部分安全通用规定》草案第三稿进行行业内专家评审会锹籁赞迳琐肇禊鸥娅蔷锹籁饕迳琐肇禊鸥娅蔷呜92023年7月,标准编制组根据新修订《基本规定》草案第六稿和第七稿编制了《信息安全技术网络安全等级保护测评规定第1部分安全通用规定》草案第四稿情氽旗簧硕饨葬龈话鹫横氽旗簧硕饨葬龈话鹫咒102023年7月-8月,将《信息安全技术网络安全等级保护测评规定第1部分安全通用规定》草案第四稿发送11家等级测评机构和WG5工作组成员单位征求意见辄峰H稷觞拜偎号虎朱辄峰随稷解拜偎号虎朱蟒102023年8月12日,在北京瑞安宾馆第五会议室召开WG5工作组部分专家评审会,针对《信息安全技术网络安全等级保护测评规定第1部分安全通用规定》草案第四稿征求意见尧侧窗藕绛^绚勘蜕督尧侧闺藕绛^绚^蜕督灌112023年8月25日,在北京瑞安宾馆第二会议室参与WG5工作组在研标准推动会,在会上征求所有WG5工作组成员单位意见识^金美^缢濡党嗜俨凄识^金美编缢濡党嚼俨凄侬12根据专家意见已经修订完毕,形成《信息安全技术网络安全等级保护测评规定第1部分安全通用规定》草案第五稿^^金我劳月鼠借痫嫦胫汆凄皱金我劳月鼠借痫嫦胫汆镀13根据测评机构反馈意见修订完毕,形成《信息安全技术网络安全等级保护测评规定第1部分安全通用规定》草案第六稿耳心揩箱灭萦欢蜴^鹫的揩箱灭萦欢蜴聋鹫蒯恩14前正在推动《测评规定》后续专标准修订工作标准编制的技术路线5安全等级保护测评以下简称等级测评的概念性描述框架由两部分构成单项测评和整体测评,图1给出了等级测评框架鲨督编训襁鲫/rl瞿统;*鲨胃编洲褪金甲/H瞿统廛摇测评指标测评对象测评实施单项判定1)基本要求要求项制度文档设测评方法测评规程a)…备设施访谈规程(步骤)b),**•••检查规程(步骤)判定原则访谈测试规程(步骤)安全配置2)等级保护对象安全检查••相关人员・测保护等级试规程(步骤)说明单项测评整体测评安全控制点测评安全控制点间测评层面间测评图1等级测评描述框架针对基本规定各安全规定项的测评称为单项测评,单项测评是等级测评工作的基本活动,支持测评结果的可反复性和可再现性单项测评是由测评指标、测评对象、测评实行和单元鉴定构成硕痍郑顽谄撞椁摧酷薮硕痍郑顽谙撞棒摧隙薮鹭本部分的测评指标涉及《信息安全技术网络安全等级保护基本规定第1部分安全通用规定》第四级目录下的规定项阕擞麟婿竦迁择植秘鹫阕擞麟^^迁择植秘鹫辆测评对象是指测评实行的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等对于框架来说,每一个被测安全规定项(不同级别)均有一组与之相关的预先定义的测评对象(如制度文档、各类设备设施及相关人员等)氧噜脚鼠贸恳弓载t颔泉氧噜揶氟贸恳弹滤颔果纷制度文档是指针对等级保护对象所制定的相关联的文献(如政策、程序、计划、系统安全需求、功能规格及建筑设计)各类设备是指安装在等级保护对象之内或边界,能起到特定保护作用的相关部件(如硬件、软件、固件或物理设施)相关人员或部门,是指应用上述制度、设备及安全配置的人缸鹤资赢隼^孙:威狮i赘金士鹤资赢隼孙:威布巾赘;8测评实行是一组针对特定测评对象,采用相关测评方法,6遵从一定的测评规程所形成的,用于测评人员使用的拟定该规定项有效性的程序化陈述测评实行重要由测评方法和测评规程构成其中测评方法涉及访谈、检查和测试(说明见术语),测评人员通过这些方法试图获取证据上述的评估方法都由一组相关属性来规范测评方法的测评力度这些属性是广度(覆盖面)和深度对于每一种测评方法都标记(定义)了唯一属性,深度特性合用于访谈和检查,而覆盖面特性则合用于所有三种测评方法上述三种测评方法(访谈、检查和测评)的测评结果都用以对安全控制的有效性进行评估测评规程是各类测评方法操作使用的过程、环节,测评规程实行完毕后,可以获得相应的证据怂阐迳醇啸重晨凉怂阐敏迳醇啸重畏凉驯II结果鉴定描述测评人员执行测评实行并产生各种测评输出数据后,如何依据这些测评输出数据来鉴定被测系统是否满足测评指标规定的原则和方法通过测评实行所获得的所有证据都满足规定则为符合,不全满足规定则该单项规定不符合谚辞^担^谄动^泻谚辞^担^谄动^泻^谨整体测评是在单项测评基础上,分别从安全控制点测评,安全控制点8间和层面间三个角度分别进行测评标准总体框架9本标准共分为11章,4个附录,每章内容如下第123章,为标准的常规性描述,涉及范围、规范性引用文献、术语和定义;第4章,概要描述了安全等级保护测评方法及单项测评和整体测评组成;第
567、8章,分别描述了第
一、
二、
三、四级测评规定,每级分别遵从《基本规定》的框架从安全技术和安全管理两大方面描述如何实行测评工作,其中技术方面分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面展开;而管理方面则分别从安全策略和管理制度、安全管理机构和人员、安全建设管理和安全系统运维管理四个方面展开,与《基本规定》形成了互相对照、和谐统一的标准体系啜觐旌缥扬嗫偏触铭镂啜觐娃缥扬嗫偏触饴镂瘫第9章,略掉第五级的测评规定第10章,描述了系统整体测评方法在单项测评的基础上,从系统整体的角度综合考虑如何进行系统性的测评分别从安全控制点、安全控制点间及层面间测评三方面进行描述,分析了在进行系统测评时所需考虑的方向和指导思想樊绐^锌第解鹰辎檄库樊绐^锤金莫耀鹰辎檄库圆第11章,概要说明了给出测评结论的方法,测评结论重要应当涉及哪些方面的内容等附录A,描述了各种测评方法的测评强度,并具体描述针对不同等级保护对象的测评强度附录B,描述了测评指标编码规则及专用缩略语附录描述了设计规定测评验证内容C,10附录为基本规定的规定项和测评规定的测评单元索引表D,11重要章节的编写方法12第、章分别描述了第一级、第二级、第三级和第四级所有测5678评规定的内容,在章节上分别相应国标的第章到GB/T
22239.1-2XXX5第章在国标第章到第章中,各章的8GB/T
22239.1-20XX58。