网络安全-品级掩护(等保) 3-2 GB/T 28449-2019《信息安全技能 网络安全品级掩护测评过程指南》-2018-12-28发布【现行】

################################################################################
   GB/T 28448-2019 《信息安全技能 网络安全品级掩护测评要求》规定了1~4及的测评要求以及对应级别云大物移工的测评扩展要求，与GB/T 22239-2019 《信息安全技能 网络安全品级掩护底子要求》对应，是对安全物理环境、安全通信网络、安全地域界限、安全盘算环境、安全管理中央、安全管理制度、安全管理机构、安全管理职员、安全建立管理、安全运维管理十个方面的横向要求分析， GB/T  28449-2019《信息安全技能  网络安全品级掩护测评过程指南》是规定了品级测评过程，是纵向的流程，包括：四个根本测评运动:测评准备运动、方案体例运动、现场测评运动、陈诉体例运动。
   GB/T  28449-2019《信息安全技能  网络安全品级掩护测评过程指南》是网络安全品级掩护干系系列标准之一。由国家市场监督管理总局、中国国家标准化管理委员会与2018-12-28发布，2019-07-01实施，是现行有效的国家标准文件。
   GB/T  28449-2019《信息安全技能  网络安全品级掩护测评过程指南》中的品级测评是测评机构依据 GB/T22239以及 GB/T28448等技能标准,检测评估定级对象安全品级掩护状态是否符合相应品级根本要求的过程,是落实网络安全品级掩护制度的紧张环节。
   本标准主要作用：
   

• 本标准规范了网络安全品级掩护测评(以下简称“品级测评”)的工作过程,规定了测评运动及其工作任务。
  
• 本标准适用于测评机构、定级对象的主管部分及运营利用单元开展网络安全品级掩护测试评价工作。
  

   主要内容包括如下内容(与<品级掩护底子要求>机构同等)：
   

• 4 品级测评概述
  
• 5 测评准备运动
  
  
  
  • 包罗工作启动、信息网络和分析、工具和表单准备三项主要任务
    
  
  
• 6 方案体例运动
  
  
  
  • 包罗测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评引导书开辟及测评方案体例六项主要任务
    
  
  
• 7 现场测评运动
  
  
  
  • 包括现场测评准备、现场测评和结果记载、结果确认和资料归还三项主要任务
    
  
  
• 8 陈诉体例运动
  
  
  
  • 包括单项测评结果判断、单元测评结果判断、团体测评、体系安全保障评估、安全标题风险评估、品级测评结论形成及测评陈诉体例七项主要任务
    
  
  
• 附录 A (规范性附录) 品级测评工作流程
  
• 附录 B (规范性附录) 品级测评工作要求
  
• 附录 C (规范性附录) 新技能新应用品级测评实施增补
  
• 附录 D (规范性附录) 测评对象确定准则和样例
  
• 附录 E (资料性附录) 品级测评现场测评方式及工作任务
  
• 附录 F (资料性附录) 品级测评陈诉模版示例
  

   留意：
   1. 品级测评陈诉模板近期有更新，暂未找到新的测评模板。
   文档标记分析：
   

• 绿色：标准、政策文件或主管部分。
  
• 橙色：差别的实施阶段或网络安全标准要点。
  
• 浅蓝色：表示时间进度
  
•           引用斜体：为非本文件内容，个人注解分析。
  
• 加粗标记：以动词为主，根据政策要求动作去分解政策要求。
  

   #################################################################################
    前 言

  

• 本标准按照 GB/T1.1—2009给出的规则草拟。
  
• 本标准 代 替 GB/T28449—2012《信 息 安 全 技 术 信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南》,与GB/T28449—2012相比,除编辑性修改外,主要技能厘革如下:
  
  
  
  • ———标准名称由“信息安全技能 信息体系安全品级掩护测评过程指南”变动为“信息安全技能 网络安全品级掩护测评过程指南”;
    
  • ———修改了陈诉体例运动中的任务,由原来的6个任务修改为7个任务(见4.1,2012年版的5.4);
    
  • ———在测评准备运动、现场测评运动的两边职责中增长了和谐多方的职责,并在一些涉及到多方的工作使掷中也予以明确(见7.4,2012年版的8.4);
    
  • ———在信息网络和分析工作使掷中增长了信息分析方法的内容(见5.2.2);
    
  • ———增长了利用云盘算、物联网、移动互联网、工业控制体系、IPv6体系等构建的品级掩护对象开展安全测评必要额外重点关注的特别任务及要求(见附录 C);
    
  • ———删除了测评方案示例(见2012年版的附录 D);
    
  • ———删除了信息体系根本环境观察表模版(见2012年版的附录 E)。
    
  
  
• 请留意本文件的某些内容大概涉及专利。本文件的发布机构不负担辨认这些专利的责任。
  
• 本标准由全国信息安全标准化技能委员会(SAC/TC260)提出并归口。
  
• 本标准草拟单元:公安部第三研究所(公安部信息安全品级掩护评估中央)、中国电子科技团体公司第十五研究所(信息财产信息安全测评中央)、北京信息安全测评中央。
  
• 本标准主要草拟人:袁静、任卫红、江雷、李升、张宇翔、毕马宁、李明、张益、刘凯俊、赵泰、王然、刘海峰、曲洁、刘静、朱建平、马力、陈广勇。
  
• 本标准所代替标准的历次版本发布环境为:———GB/T28449—2012。
  

  引 言

  

• 本标准中的品级测评是测评机构依据 GB/T22239以及 GB/T28448等技能标准,检测评估定级对象安全品级掩护状态是否符合相应品级根本要求的过程,是落实网络安全品级掩护制度的紧张环节。
  
  
  
  • 在定级对象建立、整改时,定级对象运营、利用单元通过品级测评进行近况分析,确定体系的安全掩护近况和存在的安全标题,并在此底子上确定体系的整改安全需求。
    
  • 在定级对象运维过程中 ,定级对象运营 、利用单元定期对定级对象安全品级掩护状态进行自查或委托测评机构开展品级测评 , 对信息安全管控本领进行观察和评价 , 从而判断定级对象是否具备GB/T 22239中相应品级要求的安全掩护本领 。
    
  
  
• 因此,品级测评运动所形成的品级测评陈诉是定级对象开展整改加固的紧张依据,也是第三级以上定级对象存案的紧张附件质料。
  
• 品级测评结论为不符合或根本符合的定级对象,其运营、利用单元需根据品级测评陈诉,订定方案进行整改。
  
• 本标准是网络安全品级掩护干系系列标准之一。
  

  信息安全技能 网络安全品级掩护测评过程指南

  1 范围

  

• 本标准规范了网络安全品级掩护测评(以下简称“品级测评”)的工作过程,规定了测评运动及其工作任务。
  
• 本标准适用于测评机构、定级对象的主管部分及运营利用单元开展网络安全品级掩护测试评价工作。
  

  2 规范性引用文件

  

• 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括全部的修改单)适用于本文件。
  
• GB17859 盘算机信息体系安全掩护品级划分准则
  
• GB/T22239 信息安全技能 信息体系安全品级掩护根本要求
  
• GB/T25069 信息安全技能 术语
  
• GB/T28448 信息安全技能 信息体系安全品级掩护测评要求
  

  3 术语和界说

  

• GB17859、GB/T22239、GB/T25069和 GB/T28448界定的术语和界说适用于本文件。
  

  4 品级测评概述

  4.1 品级测评过程概述

  

• 
  
  
  
  • 本标准中的测评工作过程及任务基于受委托测评机构对定级对象的初次品级测评给出。
    
  • 运营、利用单元的自查或受委托测评机构已经实施过一次以上品级测评的,测评机构和测评职员根据现实环境调解部分工作任务(见附录 A)。
    
  • 开展品级测评的测评机构应严格按照附录 B中给出的品级测评工作要求开展干系工作。
    
  • 品级测评过程包括四个根本测评运动:测评准备运动、方案体例运动、现场测评运动、陈诉体例运动。
    
  • 而测评干系方之间的沟通与洽谈应贯穿整个品级测评过程。
    
  • 每一测评运动有一组确定的工作任务。详细如表1所示。
    
  
  

  

  

  

• 
  
  
  
  • 本标准对其中每项运动均给出相应的工作流程、主要任务、输出文档及运动中干系方的职责的规定,每项工作任务均有相应的输入、任务形貌和输生产物。
    
  
  

   4.2 品级测评风险

  4.2.1 影响体系正常运行的风险

  

• 
  
  
  
  • 在现场测评时,必要对装备和体系进行肯定的验证测试工作,部分测试内容必要上机验证并查察一些信息,这就大概对体系运行造成肯定的影响,甚至存在误操纵的大概。
    
  • 此外,利用测试工具进行毛病扫描测试、性能测试及渗出测试等,大概会对网络和体系的负载造成肯定的影响,渗出性攻击测试还大概影响到服务器和体系正常运行,如出现重启、服务停止、渗出过程中植入的代码未完全清算等征象。
    
  
  

  4.2.2 敏感信息泄露风险

  

• 
  
  
  
  • 测评职员故意或无意泄漏被测体系状态信息,如网络拓扑、IP 地点、业务流程、业务数据、安全机制、安全隐患和有关文档信息等。
    
  
  

  4.2.3 木马植入风险

  

• 
  
  
  
  • 测评职员在渗出测试完成后,故意或无意将渗出测试过程中用到的测试工具未清算或清算不彻底,大概测试电脑中带有木马步伐,带来在被测评体系中植入木马的风险。
    
  
  

  4.3 品级测评风险规避

  

• 
  
  
  
  • 在品级测评过程中可以通过采取以下步伐规避风险:
    
  • a) 签署委托测评协议
    
    
    
    • 在测评工作正式开始之前,测评方和被测评单元必要以委托协议的方式明确测评工作的目标、范围、职员构成、操持安排、实行步调和要求以及两边的责任和任务等,使得测评两边对测评过程中的根本标题告竣共识。
      
    
    
  • b) 签署保密协议
    
    
    
    • 测评干系方应签署合乎法律规范的保密协议,以束缚测评干系方现在及将来的举动。
      
    • 保密协议规定了测评干系方保密方面的权利与任务。
      
    • 测评过程中获取的干系体系数据信息及测评工作的结果属被测评单元全部,测评方对其的引用与公开应得到干系单元的授权,否则干系单元将按照保密协议的要求追究测评单元的法律责任。
      
    
    
  • c) 现场测评工作风险的规避
    
    
    
    • 现场测评之前,测评机构应与干系单元签署现场测评授权书,要求干系方对体系及数据进行备份,并对大概出现的变乱订定应急处理处罚方案。
      
    • 进行验证测试和工具测试时,避开业务高峰期,在体系资源处于空闲状态时进行,或设置与生产环境同等的模仿/仿真环境,在模仿/仿真环境下开展毛病扫描等测试工作;
      
    • 上机验证测试由测评职员提出必要验证的内容,体系运营、利用单元的技能职员进行现实操纵。
      
    • 整个现场测评过程要求体系运营、利用单元全程监督。
      
    
    
  • d) 测评现场还原
    
    
    
    • 测评工作完成后,测评职员应将测评过程中获取的全部特权交回,把测评过程中借阅的干系资料文档归还,并将测评环境规复至测评前状态。
      
    
    
  
  

  5 测评准备运动

  5.1 测评准备运动工作流程

  测评准备运动的目标是顺遂启动测评项目,网络定级对象干系资料,准备测评所需资料,为体例测评方案打下良好的底子。
  测评准备运动包括工作启动、信息网络和分析、工具和表单准备三项主要任务。这三项任务的根本工作流程见图1：
  

  5.2 测评准备运动主要任务

  5.2.1 工作启动

  

• 
  
  
  
  • 在工作启动使掷中,测评机构组建品级测评项目组,获取测评委托单元及定级对象的根本环境,从根本资料、职员、操持安排等方面为整个品级测评项目的实施做好充实准备。
    
  • 输入:委托测评协议书。
    
  • 任务形貌:
    
    
    
    • a) 根据测评两边签署的委托测评协议书和体系规模,测评机构组建测评项目组,从职员方面做好准备,并体例项目操持书。
      
    • b) 测评机构要求测评委托单元提供根本资料,为全面开端相识被测定级对象准备资料。
      
    
    
  • 输出/产物:项目操持书。
    
  
  

  5.2.2 信息网络和分析

  

• 
  
  
  
  • 测评机构通过查阅被测定级对象已有资料或利用体系观察表格的方式,相识整个体系的构成和掩护环境以及责任部分干系环境,为编写测评方案、开显现场测评和安全评估工作奠基底子。
    
  • 输入:项目操持书,体系观察表格,被测定级对象干系资料。
    
  • 任务形貌:
    
    
    
    • a) 测评机构网络品级测评必要的干系资料,包括测评委托单元的管理架构、技能体系、运行环境、建立方案、建立过程中干系测试文档等。
      
    • 云盘算平台、物联网、移动互联、工业控制体系的增补网络内容见附录 C。
      
    • b) 测评机构将体系观察表格提交给测评委托单元,督促被测定级对象干系职员正确填写观察表格。
      
    • c) 测评机构收回填写完成的观察表格,并分析观察结果,相识和熟悉被测定级对象的现实环境。
      
    • 这些信息可以参考自查陈诉或前次品级测评陈诉结果。
      
    • 在对网络到的信息进行分析时,可接纳如下方法:
      
    • 1) 接纳体系分析方法对团体网络结构和体系构成进行分析,包括网络结构、对外界限、定级对象的数量和级别、差别安全掩护品级定级对象的分布环境和承载应用环境等;
      
    • 2) 接纳分解与综合分析方法对定级对象界限和体系构成组件进行分析,包括物理与逻辑界限、硬件资源、软件资源、信息资源等;
      
    • 3) 接纳对比与类比分析方法对定级对象的相互关联进行分析,包括应用架构方式、应用处理处罚流程、处理处罚信息范例、业务数据处理处罚流程、服务对象、用户数量等。
      
    • d) 如果观察表格信息填写存在禁绝确、不完善或有相互抵牾的地方,测评机构应与填表人进行沟通和确认,必要时安排一次现场观察,与干系职员进行面对面的沟通和确认,确保体系信息观察的正确性和完备性。
      
    
    
  • 输出/产物:填好的观察表格,各种与被测定级对象干系的技能资料。
    
  
  

  5.2.3 工具和表单准备

  

• 
  
  
  
  • 测评项目构成员在进行现场测评之前,应熟悉被测定级对象、调试测评工具、准备各种表单等。
    
  • 输入:填好的观察表格,各种与被测定级对象干系的技能资料。
    
  • 任务形貌:
    
    
    
    • a) 测评职员调试本次测评过程中将用到的测评工具,包括毛病扫描工具、渗出性测试工具、性能测试工具和协议分析工具等。
      
    • b) 测评职员在测评环境模仿被测定级对象架构,为开辟干系的网络及主机装备等测评对象测评引导书做好准备,并进行必要的工具验证。
      
    • c) 准备和打印表单,主要包括:风险告知书、文档交接单、聚会会议记载表单、聚会会议签到表单等。
      
    
    
  • 输出/产物:选用的测评工具清单,打印的各类表单。
    
  
  

  5.3 测评准备运动输出文档

  测评准备运动的输出文档及其内容如表2所示。
  

  5.4 测评准备运动中两边职责

  

• 
  
  
  
  • 测评机构职责:
    
    
    
    • a) 组建品级测评项目组。
      
    • b) 指出测评委托单元应提供的根本资料。
      
    • c) 准备被测定级对象根本环境观察表格,并提交给测评委托单元。
      
    • d) 向测评委托单元先容安全测评工作流程和方法。
      
    • e) 向测评委托单元分析测评工作大概带来的风险和规避方法。
      
    • f) 相识测评委托单元的信息化建立以及被测定级对象的根本环境。
      
    • g) 开端分析体系的安全状态。
      
    • h) 准备测评工具和文档。
      
    
    
  • 测评委托单元职责:
    
    
    
    • a) 向测评机构先容本单元的信息化建立及发展环境。
      
    • b) 提供测评机构必要的干系资料。
      
    • c) 为测评职员的信息网络工作提供支持和和谐。
      
    • d) 正确填写观察表格。
      
    • e) 根据被测定级对象的详细环境,如业务运行高峰期、网络摆设环境等,为测评时间安排提供适宜的发起。
      
    • f) 订定应急预案。
      
    
    
  
  

     ######################################################################################
   愿各位在进步中安心。
   2025.05.23禾木
      可接洽作者付费获取，定价69.9元。包括如下内容：        1. 信息安全技能全套标准指南   

• ———GB/T 22239-2019 《信息安全技能 网络安全品级掩护底子要求》
  
• ———GB/T25058 信息安全技能 信息体系安全品级掩护实施指南;
  
• ———GB/T22240 信息安全技能 信息体系安全品级掩护定级指南;
  
• ———GB/T25070 信息安全技能 网络安全品级掩护安全操持技能要求;
  
• ———GB/T28448 信息安全技能 网络安全品级掩护测评要求;
  
• ———GB/T28449 信息安全技能 网络安全品级掩护测评过程指南。
  

    2. 等保2.0标准实行之高风险判断
    3. GBT 22239-2019 《信息安全技能 网络安全品级掩护底子要求》一到四级对比表格(按照十大方面整理，每方面包罗四级要求并标记高风险项)
    4. GBT 22239-2019 +GBT 25070—2019 《信息安全技能 网络安全品级掩护底子要求》+《信息安全技能 网络安全品级掩护安全操持技能要求》一到四级对比表格(在底子要求中添加安全操持技能要求，安全操持技能要求主要用于开辟职员和产物司理)
    5. GBT 36958—2018 《信息安全技能  网络安全品级掩护安全管理中央技能要求》一到四级对比表格(分析安全管理中央技能要求：体系管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求)
    6. GBT 22239-2019+GBT  28448-2019  《信息安全技能 网络安全品级掩护底子要求》+《信息安全技能  网络安全品级掩护测评要求》一到四级对比表格(在底子要求中添加等保测评要求，可用于实施过程)
    7. 等保项目预调研环境报告表(博主整理word，用于项现在期调研和高风险项判断，分为2级和3级两个文档，并根据项目履历整理和标准整理前期项目调研内容)
    ​
      部分质料下载链接：
    1、等保二级高风险项核对表下载链接：
    https://download.csdn.net/download/qq_42591962/90878930?spm=1001.2014.3001.5503
   
    2、GBT 36958-2018 《信息安全技能  网络安全品级掩护安全管理中央技能要求》1~4级拆分表下载链接：
    https://download.csdn.net/download/qq_42591962/90879022?spm=1001.2014.3001.5503
   
      ######################################################################################

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告