制定過程
修訂背景
《信息安全技術—信息系統安全等級保護測評要求》(GB/T28448-2012)在中國推行信息安全等級保護制度的過程中起到了非常重要的作用,被廣泛套用於各個行業或領域指導用戶開展信息系統安全等級保護的建設整改、等級測評等工作。但是隨著信息技術的發展,採用新技術、新套用構建的雲計算平台、移動互聯接入、物聯網、工業控制系統和大數據套用等系統的大量出現,已有10年歷史的這三項標準在時效性、易用性、可操作性上需要進一步修訂完善。同時,2017年6月1日,《
網路安全法》正式實施,進一步明確了網路安全等級保護制度的法律地位,網路安全等級保護對象、保護措施要求、範圍等都發生了很大的變化,需要修訂原來的標準,以適應網路安全等級保護制度要求。
編制進程
2014年11月19日,國家標準計畫《信息安全技術—網路安全等級保護測評要求》(20141151-T-469)下達,項目周期12個月,由TC260(全國信息安全標準化技術委員會)歸口上報及執行,主管部門為國家標準化管理委員會。全國標準信息公共服務平台顯示,該計畫已完成網上公示、起草、徵求意見、審查、批准、發布工作。
2019年12月1日,國家標準《信息安全技術—網路安全等級保護測評要求》(GB/T 28448-2019)實施,全部代替國家標準《信息安全技術—信息系統安全等級保護測評要求》(GB/T28448-2012)。
修訂依據
國家標準《信息安全技術—網路安全等級保護測評要求》(GB/T 28448-2019)依據中國國家標準《標準化工作導則 第1部分:標準的結構和編寫規則》(GB/T 1.1-2009)規則起草。
修訂情況
《信息安全技術—網路安全等級保護測評要求》(GB/T 28448-2019)與《信息安全技術—信息系統安全等級保護測評要求》(GB/T28448-2012)相比,主要變化如下:
將標準名稱變更為《信息安全技術—網路安全等級保護測評要求》;
每個級別增加了雲計算安全測評擴展要求、移動互聯安全測評擴展要求、物聯網安全測評擴展和工業控制系統安全測評擴展要求等內容;
增加了等級測評、測評對象、雲服務商和雲服務客戶等相關術語和定義;
將針對控制點的單元測評細化調整為針對要求項的單項測評,刪除了“測評框架”和“等級測評內容”;
增加了大數據可參考安全評估方法和測評單元編號說明。
起草工作
主要起草人:陳廣勇、李明、曲潔、於東升、葛波蔚、祝國邦、畢馬寧、沙淼淼、陳雪鴻、袁靜、毛澍、王斌、高亞楠、焦安春、徐衍龍、馬曉波、朱建興、蘇艷芳、霍珊珊、於運濤、孫惠平、萬曉蘭、趙林林、劉金剛、李亞軍、楊洪起、王江波、闞志剛、李秋香、許鳳凱、李凌、朱世順、張潔昕、張彪、蔡學琳、胡娟、郝鑫、馬閩、黎水林、馬力、艾春迪、郭啟全、陸磊、張宇翔、李升、胡紅升、章恆、張益、尹湘培、王勇、趙勁濤、於俊傑、江雷、黃順京、祿凱、何申、陳震、任衛紅、馬紅霞、薛鋒、胡越寧、周曉雪、孟召瑞、李飛、劉健、陶源、王紹傑、李晨暘、張五一、陳華軍、李汪蔚、王雪、劉靜、周峰、段偉恆。
標準目次
前言 | |
---|
引言 | |
---|
1範圍 | |
---|
2規範性引用檔案 | |
---|
3術語和定義 | |
---|
4縮略語 | |
---|
5等級測評概述 | |
---|
6第一級測評要求 | |
---|
7第二級測評要求 | |
---|
8第三級測評要求 | |
---|
9第四級測評要求 | |
---|
10第五級測評要求 | |
---|
11整體測評 | |
---|
12測評結論 | |
---|
附錄A(資料性附錄)測評力度 | |
---|
附錄B(資料性附錄)大數據可參考安全評估方法 | |
---|
附錄C(規範性附錄)測評單元編號說明 | |
---|
參考文獻 | |
---|
參考資料:
內容範圍
《信息安全技術—網路安全等級保護測評要求》(GB/T 28448-2019)以《
信息安全技術—網路安全等級保護基本要求》(GB/T 22239-2019)的要求項作為測評指標,規定了第一級到第四級等級保護對象的測評要求,用於規範和指導測評機構和測評人員的活動和行為。
該標準文本分為12章,3個附錄。其中第6、7、8、9、11和12章為重點章節,分別描述了第一、二、三、四級測評要求,每級分別遵從《基本要求》的框架描述如何實施測評工作。每個級別包括安全測評通用要求、雲計算安全測評擴展要求、移動互聯安全測評擴展要求、物聯網安全測評擴展要求和工業控制系統安全測評擴展要求等5個部分內容。其中技術方面分別從安全物理環境、安全通信網路、安全區域邊界、安全計算環境和安全管理中心等五個方面展開;而管理方面則分別從安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全系統運維管理等五個方面展開,與《基本要求》形成了一致對應的標準文本結構。第11章描述了系統整體測評方法,在單項測評的基礎上,從系統整體的角度綜合考慮如何進行系統性的測評。分別從安全控制點、安全控制點間及區域間測評三方面進行描述,分析了在進行系統整體測評時所需考慮的內容。第12章概要說明了測評結論的得出方法以及測評結論主要包括哪些方面的內容等。
《信息安全技術—網路安全等級保護測評要求》(GB/T 28448-2019)適用於安全測評服務機構、等級保護對象的運營使用單位及主管部門對等級保護對象的安全狀況進行安全測評並提供指南,也適用於網路安全職能部門進行網路安全等級保護監督檢查時參考使用。
註:第五級等級保護對象是非常重要的監督管理對象,對其有特殊的管理模式和安全測評要求,所以不在該標準中進行描述。
引用檔案
GB 17859-1999 計算機信息系統安全保護等級劃分準則 | GB/T 22239-2019 信息安全技術網路安全等級保護基本要求 |
| GB/T 25070-2019 信息安全技術網路安全等級保護安全設計技術要求 |
GB/T 28449-2018 信息安全技術網路安全等級保護測評過程指南 | GB/T 31167-2014 信息安全技術雲計算服務安全指南 |
GB/T 31168-2014 信息安全技術雲計算服務安全能力要求 | GB/T 32919-2016 信息安全技術工業控制系統安全控制套用指南 |
參考資料:
意義價值
《網路安全法》明確了“國家實行網路安全等級保護制度”、“關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護”等內容,為網路安全等級保護工作賦予了新的內涵。為配合《網路安全法》的實施和落地,指導網路運營者按照網路安全等級保護制度的要求,履行網路安全保護義務,重新調整和修訂等級保護系列標準意義重大。尤其是等級保護對象已經從狹義的信息系統,擴展到網路基礎設施、雲計算平台、大數據平台、物聯網、工業控制系統、採用移動互聯技術的系統等,重新調整和修訂等級保護系列標準,基於新技術和新要求提出新的技術防護體系和管理措施、安全建設設計實現方式以及等級測評方法等非常必要,可有效指導網路運營者、網路安全企業、網路安全服務機構開展網路安全等級保護安全技術方案的設計和實施,指導測評機構更加規範化和標準化的開展等級測評工作,進而全面提升網路運營者的網路安全防護能力。
《信息安全技術—網路安全等級保護測評要求》(GB/T 28448-2019)在網路安全等級保護測評工作中發揮重要作用,助力中國網路安全等級保護工作再上新台階。