GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求

本标准规定了对实现的信息系统是否符合GB/T 22239-2008所进行的测试评估活动的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行测试评估的要求。本标准略去对第五级信息系统进行测评的要求。
本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。

没有内容

前言 Ⅲ 引言 Ⅳ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 概述 1 4.1 测评框架 1 4.2 等级测评内容 2 4.3 测评力度 3 4.4 使用方法 3 5 第一级信息系统单元测评 4 5.1 安全技术测评 4 5.1.1 物理安全 4 5.1.2 网络安全 6 5.1.3 主机安全 7 5.1.4 应用安全 8 5.1.5 数据安全及备份恢复 10 5.2 安全管理测评 10 5.2.1 安全管理制度 10 5.2.2 安全管理机构 11 5.2.3 人员安全管理 12 5.2.4 系统建设管理 14 5.2.5 系统运维管理 17 6 第二级信息系统单元测评 20 6.1 安全技术测评 20 6.1.1 物理安全 20 6.1.2 网络安全 24 6.1.3 主机安全 26 6.1.4 应用安全 29 6.1.5 数据安全及备份恢复 32 6.2 安全管理测评 33 6.2.1 安全管理制度 33 6.2.2 安全管理机构 34 6.2.3 人员安全管理 36 6.2.4 系统建设管理 38 6.2.5 系统运维管理 42 7 第三级信息系统单元测评 47 7.1 安全技术测评 47 7.1.1 物理安全 47 7.1.2 网络安全 52 7.1.3 主机安全 55 7.1.4 应用安全 58 7.1.5 数据安全及备份恢复 63 7.2 安全管理测评 64 7.2.1 安全管理制度 64 7.2.2 安全管理机构 66 7.2.3 人员安全管理 68 7.2.4 系统建设管理 71 7.2.5 系统运维管理 76 8 第四级信息系统单元测评 83 8.1 安全技术测评 83 8.1.1 物理安全 83 8.1.2 网络安全 87 8.1.3 主机安全 91 8.1.4 应用安全 95 8.1.5 数据安全及备份恢复 100 8.2 安全管理测评 102 8.2.1 安全管理制度 102 8.2.2 安全管理机构 104 8.2.3 人员安全管理 106 8.2.4 系统建设管理 109 8.2.5 系统运维管理 114 9 第五级信息系统单元测评 121 10 信息系统整体测评 121 10.1 概述 121 10.2 安全控制点间测评 121 10.3 层面间测评 122 10.4 区域间测评 122 11 等级测评结论 122 11.1 各层面的测评结论 122 11.2 风险分析和评价 122 11.3 测评结论 123 附录A (资料性附录) 测评力度 124 附录B(资料性附录) 关于整体测评的进一步说明 126 参考文献 130

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T5271.8 信息技术 词汇 第8部分:安全
GB/T22239—2008 信息安全技术 信息系统安全等级保护基本要求