信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南 |
 |
| 標(biāo)準(zhǔn)編號(hào):GB/T 28449-2012 |
標(biāo)準(zhǔn)狀態(tài):已作廢 |
|
| 標(biāo)準(zhǔn)價(jià)格:83.0 元 |
客戶評(píng)分:  |
|
|
立即購買工即可享受本標(biāo)準(zhǔn)狀態(tài)變更提醒服務(wù)��! |
|
|
|
|
|
本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)工作的測評(píng)過程,對(duì)等級(jí)測評(píng)的活動(dòng)����、工作任務(wù)以及每項(xiàng)任務(wù)的輸入/輸出產(chǎn)品等提出指導(dǎo)性建議。
本標(biāo)準(zhǔn)適用于測評(píng)機(jī)構(gòu)���、信息系統(tǒng)的主管部門及運(yùn)營使用單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的安全測試評(píng)價(jià)�����。 |
|
|
|
| 英文名稱: |
Information security technology—Testing and evaluation process guide for classified protection of information system security |
| 標(biāo)準(zhǔn)狀態(tài): |
已作廢 |
 替代情況: |
被GB/T 28449-2018代替 |
| 中標(biāo)分類: |
電子元器件與信息技術(shù)>>信息處理技術(shù)>>L80數(shù)據(jù)加密 |
| ICS分類: |
信息技術(shù)����、辦公機(jī)械設(shè)備>>35.020信息技術(shù)(IT)綜合 |
| 發(fā)布部門: |
中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 中國國家標(biāo)準(zhǔn)化管理委員會(huì) |
| 發(fā)布日期: |
2012-06-29 |
| 實(shí)施日期: |
2012-10-01
|
| 作廢日期: |
2019-07-01
|
| 首發(fā)日期: |
2012-06-29 |
| 提出單位: |
全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC 260) |
| 歸口單位: |
全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC 260) |
| 主管部門: |
全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC 260) |
| 起草單位: |
公安部信息安全等級(jí)保護(hù)評(píng)估中心 |
| 起草人: |
袁靜�、任衛(wèi)紅、陳雪秀���、曲潔����、劉靜���、畢馬寧、朱建平�、馬力、李明����、李升����、黃洪 |
| 頁數(shù): |
80頁【膠訂-大印張】 |
| 出版社: |
中國標(biāo)準(zhǔn)出版社 |
| 出版日期: |
2012-10-01 |
|
|
|
本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草��。
請(qǐng)注意本文件的某些內(nèi)容可能涉及專利���。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任�。
本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口��。
本標(biāo)準(zhǔn)起草單位:公安部信息安全等級(jí)保護(hù)評(píng)估中心�����。
本標(biāo)準(zhǔn)主要起草人:袁靜�、任衛(wèi)紅、陳雪秀�����、曲潔�����、劉靜����、畢馬寧����、朱建平��、馬力�、李明、李升�����、黃洪�����。 |
|
|
前言 Ⅴ
引言 Ⅵ
1 范圍 1
2 規(guī)范性引用文件 1
3 術(shù)語和定義 1
4 符號(hào)和縮略語 1
5 等級(jí)測評(píng)概述 1
5.1 等級(jí)測評(píng)的作用 1
5.2 等級(jí)測評(píng)風(fēng)險(xiǎn) 2
5.2.1 可能影響系統(tǒng)正常運(yùn)行 2
5.2.2 可能泄漏敏感信息 2
5.3 等級(jí)測評(píng)風(fēng)險(xiǎn)的規(guī)避 2
5.4 等級(jí)測評(píng)過程概述 3
6 測評(píng)準(zhǔn)備活動(dòng) 3
6.1 測評(píng)準(zhǔn)備活動(dòng)的工作流程 3
6.2 測評(píng)準(zhǔn)備活動(dòng)的主要任務(wù) 4
6.2.1 項(xiàng)目啟動(dòng) 4
6.2.2 信息收集和分析 4
6.2.3 工具和表單準(zhǔn)備 5
6.3 測評(píng)準(zhǔn)備活動(dòng)的輸出文檔 5
6.4 測評(píng)準(zhǔn)備活動(dòng)中雙方的職責(zé) 5
7 方案編制活動(dòng) 6
7.1 方案編制活動(dòng)的工作流程 6
7.2 方案編制活動(dòng)的主要任務(wù) 6
7.2.1 測評(píng)對(duì)象確定 6
7.2.2 測評(píng)指標(biāo)確定 7
7.2.3 測評(píng)內(nèi)容確定 8
7.2.4 工具測試方法確定 8
7.2.5 測評(píng)指導(dǎo)書開發(fā) 9
7.2.6 測評(píng)方案編制 10
7.3 方案編制活動(dòng)的輸出文檔 11
7.4 方案編制活動(dòng)中雙方的職責(zé) 11
8 現(xiàn)場測評(píng)活動(dòng) 11
8.1 現(xiàn)場測評(píng)活動(dòng)的工作流程 11
8.2 現(xiàn)場測評(píng)活動(dòng)的主要任務(wù) 12
8.2.1 現(xiàn)場測評(píng)準(zhǔn)備 12
8.2.2 現(xiàn)場測評(píng)和結(jié)果記錄 12
8.2.2.1 訪談 12
8.2.2.2 檢查 13
8.2.2.3 測試 14
8.2.3 結(jié)果確認(rèn)和資料歸還 14
8.3 現(xiàn)場測評(píng)活動(dòng)的輸出文檔 14
8.4 現(xiàn)場測評(píng)活動(dòng)中雙方的職責(zé) 15
9 報(bào)告編制活動(dòng) 15
9.1 報(bào)告編制活動(dòng)的工作流程 15
9.2 報(bào)告編制活動(dòng)的主要任務(wù) 16
9.2.1 單項(xiàng)測評(píng)結(jié)果判定 16
9.2.2 單元測評(píng)結(jié)果判定 16
9.2.3 整體測評(píng) 17
9.2.4 風(fēng)險(xiǎn)分析 18
9.2.5 等級(jí)測評(píng)結(jié)論形成 18
9.2.6 測評(píng)報(bào)告編制 19
9.3 報(bào)告編制活動(dòng)的輸出文檔 19
9.4 報(bào)告編制活動(dòng)中雙方的職責(zé) 20
附錄A (資料性附錄) 等級(jí)測評(píng)工作流程 21
附錄B(資料性附錄) 測評(píng)對(duì)象確定準(zhǔn)則和樣例 23
B.1 測評(píng)對(duì)象確定準(zhǔn)則 23
B.2 測評(píng)對(duì)象確定樣例 23
B.2.1 第一級(jí)信息系統(tǒng) 23
B.2.2 第二級(jí)信息系統(tǒng) 23
B.2.3 第三級(jí)信息系統(tǒng) 24
B.2.4 第四級(jí)信息系統(tǒng) 25
附錄C (資料性附錄) 等級(jí)測評(píng)工作要求 26
C.1 依據(jù)標(biāo)準(zhǔn),遵循原則 26
C.2 恰當(dāng)選取,保證強(qiáng)度 26
C.3 規(guī)范行為,規(guī)避風(fēng)險(xiǎn) 26
附錄D (資料性附錄) 測評(píng)方案與測評(píng)報(bào)告編制示例 27
D.1 測評(píng)方案編制示例 27
D.1.1 系統(tǒng)描述 27
D.1.2 測評(píng)對(duì)象 28
D.1.3 測評(píng)指標(biāo) 30
D.1.4 測評(píng)工具和接入點(diǎn) 30
D.1.5 測評(píng)內(nèi)容 32
D.1.6 測評(píng)指導(dǎo)書 35
D.2 測評(píng)報(bào)告編制示例 39
D.2.1 整體測評(píng) 39
D.2.2 安全建設(shè)整改建議 40
附錄E (資料性附錄) 信息系統(tǒng)基本情況調(diào)查表模版 42
E.1 說明 42
E.2 單位基本情況 42
E.3 參與人員名單 43
E.4 物理環(huán)境情況 43
E.5 信息系統(tǒng)基本情況 43
E.6 信息系統(tǒng)承載業(yè)務(wù)(服務(wù))情況 44
E.7 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)(環(huán)境)情況 44
E.8 外聯(lián)線路及設(shè)備端口(網(wǎng)絡(luò)邊界)情況 45
E.9 網(wǎng)絡(luò)設(shè)備情況 45
E.10 安全設(shè)備情況 46
E.11 服務(wù)器設(shè)備情況 46
E.12 終端設(shè)備情況 47
E.13 系統(tǒng)軟件情況 47
E.14 應(yīng)用系統(tǒng)軟件情況 47
E.15 業(yè)務(wù)數(shù)據(jù)情況 48
E.16 數(shù)據(jù)備份情況 48
E.17 應(yīng)用系統(tǒng)軟件處理流程(多表) 49
E.18 業(yè)務(wù)數(shù)據(jù)流程(多表) 49
E.19 管理文檔情況 50
E.20 安全威脅情況 52
附錄F(資料性附錄) 信息系統(tǒng)安全等級(jí)測評(píng)報(bào)告模版(試行) 54
參考文獻(xiàn) 70 |
|
|
下列文件對(duì)于本文件的應(yīng)用是必不可少的���。凡是注日期的引用文件,僅注日期的版本適用于本文件���。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件����。
GB/T5271.8 信息技術(shù) 詞匯 第8部分:安全
GB17859—1999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則
GB/T22239—2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求
GB/T22240—2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南
GB/T28448—2012 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求
《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào)) |
|
|
|
| |