书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ２８４４９ — ２０１８ /G21 /G22 ＧＢ ／ Ｔ２８４４９ — ２０１２ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G28 /G23 /G24 /G29 /G2A /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犜犲狊狋犻狀犵犪狀犱犲狏犪犾狌犪狋犻狅狀狆狉狅犮犲狊狊犵狌犻犱犲犳狅狉犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀狅犳犮狔犫犲狉狊犲犮狌狉犻狋狔 ２０１８  １２  ２８ /G33 /G34 ２０１９  ０７  ０１ /G35 /G36 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G21 /G27 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G33 /G34书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 等级测评概述 １ …………………………………………………………………………………………… 　 ４．１ 　 等级测评过程概述 １ ………………………………………………………………………………… 　 ４．２ 　 等级测评风险 ２ ……………………………………………………………………………………… 　 ４．３ 　 等级测评风险规避 ３ ………………………………………………………………………………… ５ 　 测评准备活动 ３ …………………………………………………………………………………………… 　 ５．１ 　 测评准备活动工作流程 ３ …………………………………………………………………………… 　 ５．２ 　 测评准备活动主要任务 ４ …………………………………………………………………………… 　 ５．３ 　 测评准备活动输出文档 ５ …………………………………………………………………………… 　 ５．４ 　 测评准备活动中双方职责 ５ ………………………………………………………………………… ６ 　 方案编制活动 ６ …………………………………………………………………………………………… 　 ６．１ 　 方案编制活动工作流程 ６ …………………………………………………………………………… 　 ６．２ 　 方案编制活动主要任务 ６ …………………………………………………………………………… 　 ６．３ 　 方案编制活动输出文档 ９ …………………………………………………………………………… 　 ６．４ 　 方案编制活动中双方职责 ９ ………………………………………………………………………… ７ 　 现场测评活动 １０ …………………………………………………………………………………………… 　 ７．１ 　 现场测评活动工作流程 １０ …………………………………………………………………………… 　 ７．２ 　 现场测评活动主要任务 １０ …………………………………………………………………………… 　 ７．３ 　 现场测评活动输出文档 １１ …………………………………………………………………………… 　 ７．４ 　 现场测评活动中双方职责 １１ ………………………………………………………………………… ８ 　 报告编制活动 １２ …………………………………………………………………………………………… 　 ８．１ 　 报告编制活动工作流程 １２ …………………………………………………………………………… 　 ８．２ 　 报告编制活动主要任务 １２ …………………………………………………………………………… 　 ８．３ 　 报告编制活动输出文档 １５ …………………………………………………………………………… 　 ８．４ 　 报告编制活动中双方职责 １５ ………………………………………………………………………… 附录 Ａ （ 规范性附录 ） 　 等级测评工作流程 １７ ……………………………………………………………… 附录 Ｂ （ 规范性附录 ） 　 等级测评工作要求 １９ ……………………………………………………………… 附录 Ｃ （ 规范性附录 ） 　 新技术新应用等级测评实施补充 ２０ ……………………………………………… 附录 Ｄ （ 规范性附录 ） 　 测评对象确定准则和样例 ２３ ……………………………………………………… 附录 Ｅ （ 资料性附录 ） 　 等级测评现场测评方式及工作任务 ２６ …………………………………………… 附录 Ｆ （ 资料性附录 ） 　 等级测评报告模版示例 ２９ ………………………………………………………… 参考文献 ５３ …………………………………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ２８４４９ — ２０１８ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 本标准代替 ＧＢ ／ Ｔ２８４４９ — ２０１２ 《 信息安全技术 　 信息系统安全等级保护测评过程指南 》， 与 ＧＢ ／ Ｔ２８４４９ — ２０１２ 相比 ， 除编辑性修改外 ， 主要技术变化如下 ： ——— 标准名称由 “ 信息安全技术 　 信息系统安全等级保护测评过程指南 ” 变更为 “ 信息安全技术 　 网络安全等级保护测评过程指南 ”； ——— 修改了报告编制活动中的任务 ， 由原来的 ６ 个任务修改为 ７ 个任务 （ 见 ４．１ ， ２０１２ 年版的 ５．４ ）； ——— 在测评准备活动 、 现场测评活动的双方职责中增加了协调多方的职责 ， 并在一些涉及到多方的工作任务中也予以明确 （ 见 ７．４ ， ２０１２ 年版的 ８．４ ）； ——— 在信息收集和分析工作任务中增加了信息分析方法的内容 （ 见 ５．２．２ ）； ——— 增加了利用云计算 、 物联网 、 移动互联网 、 工业控制系统 、 ＩＰｖ６ 系统等构建的等级保护对象开展安全测评需要额外重点关注的特殊任务及要求 （ 见附录 Ｃ ）； ——— 删除了测评方案示例 （ 见 ２０１２ 年版的附录 Ｄ ）； ——— 删除了信息系统基本情况调查表模版 （ 见 ２０１２ 年版的附录 Ｅ ）。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 公安部第三研究所 （ 公安部信息安全等级保护评估中心 ）、 中国电子科技集团公司第十五研究所 （ 信息产业信息安全测评中心 ）、 北京信息安全测评中心 。 本标准主要起草人 ： 袁静 、 任卫红 、 江雷 、 李升 、 张宇翔 、 毕马宁 、 李明 、 张益 、 刘凯俊 、 赵泰 、 王然 、 刘海峰 、 曲洁 、 刘静 、 朱建平 、 马力 、 陈广勇 。 本标准所代替标准的历次版本发布情况为 ： ——— ＧＢ ／ Ｔ２８４４９ — ２０１２ 。 Ⅲ 犌犅 ／ 犜 ２８４４９ — ２０１８ 引 　　 言 　　 本标准中的等级测评是测评机构依据 ＧＢ ／ Ｔ２２２３９ 以及 ＧＢ ／ Ｔ２８４４８ 等技术标准 ， 检测评估定级对象安全等级保护状况是否符合相应等级基本要求的过程 ， 是落实网络安全等级保护制度的重要环节 。 在定级对象建设 、 整改时 ， 定级对象运营 、 使用单位通过等级测评进行现状分析 ， 确定系统的安全保护现状和存在的安全问题 ， 并在此基础上确定系统的整改安全需求 。 在定级对象运维过程中 ， 定级对象运营 、 使用单位定期对定级对象安全等级保护状况进行自查或委托测评机构开展等级测评 ， 对信息安全管控能力进行考察和评价 ， 从而判定定级对象是否具备 ＧＢ ／ Ｔ２２２３９ 中相应等级要求的安全保护能力 。 因此 ， 等级测评活动所形成的等级测评报告是定级对象开展整改加固的重要依据 ， 也是第三级以上定级对象备案的重要附件材料 。 等级测评结论为不符合或基本符合的定级对象 ， 其运营 、 使用单位需根据等级测评报告 ， 制定方案进行整改 。 本标准是网络安全等级保护相关系列标准之一 。 Ⅳ 犌犅 ／ 犜 ２８４４９ — ２０１８ 信息安全技术网络安全等级保护测评过程指南 １ 　 范围 本标准规范了网络安全等级保护测评 （ 以下简称 “ 等级测评 ”） 的工作过程 ， 规定了测评活动及其工 作任务 。 本标准适用于测评机构 、 定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包