ICS 35.040 GB L80 中华人民共和国国家标准 GB/T28449-2018 代替GB/T28449—2012 信息安全技术 网络安全等级保护测评过程指南 Information security technology- Testing and evaluation process guide for classified protection of cybersecurity 2018-12-28发布 2019-07-01实施 国家市场监督管理总局 发布 中国国家标准化管理委员会 GB/T 28449—2018 目 次 前言 引言 范围 规范性引用文件 3 术语和定义 等级测评概述 4.1 等级测评过程概述 4.2 等级测评风险 4.3 等级测评风险规避 5 测评准备活动 5.1 测评准备活动工作流程 5.2 测评准备活动主要任务 5.3 测评准备活动输出文档 5.4 测评准备活动中双方职责 ：方案编制活动 6.1 方案编制活动工作流程 6.2 方案编制活动主要任务 6.3 方案编制活动输出文档 6.4 方案编制活动中双方职责 现场测评活动· 7.1 现场测评活动工作流程…. 7.2 现场测评活动主要任务 7.3 现场测评活动输出文档… 7.4 现场测评活动中双方职责…. 11 ：报告编制活动 8.1 报告编制活动工作流程 12 8.2 报告编制活动主要任务 12 8.3 报告编制活动输出文档. 15 8.4 报告编制活动中双方职责 15 附录A（规范性附录） 等级测评工作流程· 17 附录B（规范性附录） 等级测评工作要求 19 附录C（规范性附录） 新技术新应用等级测评实施补充 20 附录D（规范性附录） 测评对象确定准则和样例 23 附录E（资料性附录） 等级测评现场测评方式及工作任务 .26 附录F(资料性附录) 等级测评报告模版示例 29 参考文献 53 GB/T 28449—2018 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》，与 GB/T28449-2012相比，除编辑性修改外，主要技术变化如下： 标准名称由“信息安全技术·信息系统安全等级保护测评过程指南”变更为“信息安全技术 网络安全等级保护测评过程指南”； 修改了报告编制活动中的任务，由原来的6个任务修改为7个任务（见4.1，2012年版的5.4)； 在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责，并在一些涉及到多方的 工作任务中也予以明确（见7.4，2012年版的8.4)； 在信息收集和分析工作任务中增加了信息分析方法的内容（见5.2.2）； 增加了利用云计算、物联网、移动互联网、工业控制系统、IPv6系统等构建的等级保护对象开 展安全测评需要额外重点关注的特殊任务及要求（见附录C)； 删除了测评方案示例（见2012年版的附录D)； 删除了信息系统基本情况调查表模版（见2012年版的附录E） 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：公安部第三研究所（公安部信息安全等级保护评估中心）中国电子科技集团公司 第十五研究所（信息产业信息安全测评中心）、北京信息安全测评中心。 本标准主要起草人：袁静、任卫红、江雷、李升、张宇翔、毕马宁、李明、张益、刘凯俊、赵泰、王然、 刘海峰、曲洁、刘静、朱建平、马力、陈广勇。 本标准所代替标准的历次版本发布情况为： GB/T28449--2012。 GB/T 28449—2018 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》，与 GB/T28449-2012相比，除编辑性修改外，主要技术变化如下： 标准名称由“信息安全技术·信息系统安全等级保护测评过程指南”变更为“信息安全技术 网络安全等级保护测评过程指南”； 修改了报告编制活动中的任务，由原来的6个任务修改为7个任务（见4.1，2012年版的5.4)； 在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责，并在一些涉及到多方的 工作任务中也予以明确（见7.4，2012年版的8.4)； 在信息收集和分析工作任务中增加了信息分析方法的内容（见5.2.2）； 增加了利用云计算、物联网、移动互联网、工业控制系统、IPv6系统等构建的等级保护对象开 展安全测评需要额外重点关注的特殊任务及要求（见附录C)； 删除了测评方案示例（见2012年版的附录D)； 删除了信息系统基本情况调查表模版（见2012年版的附录E） 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：公安部第三研究所（公安部信息安全等级保护评估中心）中国电子科技集团公司 第十五研究所（信息产业信息安全测评中心）、北京信息安全测评中心。 本标准主要起草人：袁静、任卫红、江雷、李升、张宇翔、毕马宁、李明、张益、刘凯俊、赵泰、王然、 刘海峰、曲洁、刘静、朱建平、马力、陈广勇。 本标准所代替标准的历次版本发布情况为： GB/T28449--2012。 GB/T 28449—2018 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》，与 GB/T28449-2012相比，除编辑性修改外，主要技术变化如下： 标准名称由“信息安全技术·信息系统安全等级保护测评过程指南”变更为“信息安全技术 网络安全等级保护测评过程指南”； 修改了报告编制活动中的任务，由原来的6个任务修改为7个任务（见4.1，2012年版的5.4)； 在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责，并在一些涉及到多方的 工作任务中也予以明确（见7.4，2012年版的8.4)； 在信息收集和分析工作任务中增加了信息分析方法的内容（见5.2.2）； 增加了利用云计算、物联网、移动互联网、工业控制系统、IPv6系统等构建的等级保护对象开 展安全测评需要额外重点关注的特殊任务及要求（见附录C)； 删除了测评方案示例（见2012年版的附录D)； 删除了信息系统基本情况调查表模版（见2012年版的附录E） 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：公安部第三研究所（公安部信息安全等级保护评估中心）中国电子科技集团公司 第十五研究所（信息产业信息安全测评中心）、北京信息安全测评中心。 本标准主要起草人：袁静、任卫红、江雷、李升、张宇翔、毕马宁、李明、张益、刘凯俊、赵泰、王然、 刘海峰、曲洁、刘静、朱建平、马力、陈广勇。 本标准所代替标准的历次版本发布情况为： GB/T28449--2012。