GB/T 28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T28448—2019

代替

GB/T28448—2012

信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求

Informationsecuritytechnology—

Evaluationrequirementforclassifiedprotectionofcybersecurity

2019-05-10發(fā)布2019-12-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28448—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

等級(jí)測(cè)評(píng)概述

5……………2

等級(jí)測(cè)評(píng)方法

5.1………………………2

單項(xiàng)測(cè)評(píng)和整體測(cè)評(píng)

5.2………………3

第一級(jí)測(cè)評(píng)要求

6…………………………3

安全測(cè)評(píng)通用要求

6.1…………………3

云計(jì)算安全測(cè)評(píng)擴(kuò)展要求

6.2…………19

移動(dòng)互聯(lián)安全測(cè)評(píng)擴(kuò)展要求

6.3………………………22

物聯(lián)網(wǎng)安全測(cè)評(píng)擴(kuò)展要求

6.4…………23

工業(yè)控制系統(tǒng)安全測(cè)評(píng)擴(kuò)展要求

6.5…………………25

第二級(jí)測(cè)評(píng)要求

7…………………………27

安全測(cè)評(píng)通用要求

7.1…………………27

云計(jì)算安全測(cè)評(píng)擴(kuò)展要求

7.2…………64

移動(dòng)互聯(lián)安全測(cè)評(píng)擴(kuò)展要求

7.3………………………72

物聯(lián)網(wǎng)安全測(cè)評(píng)擴(kuò)展要求

7.4…………75

工業(yè)控制系統(tǒng)安全測(cè)評(píng)擴(kuò)展要求

7.5…………………77

第三級(jí)測(cè)評(píng)要求

8…………………………81

安全測(cè)評(píng)通用要求

8.1…………………81

云計(jì)算安全測(cè)評(píng)擴(kuò)展要求

8.2………………………138

移動(dòng)互聯(lián)安全測(cè)評(píng)擴(kuò)展要求

8.3……………………151

物聯(lián)網(wǎng)安全測(cè)評(píng)擴(kuò)展要求

8.4………………………156

工業(yè)控制系統(tǒng)安全測(cè)評(píng)擴(kuò)展要求

8.5………………162

第四級(jí)測(cè)評(píng)要求

9………………………167

安全測(cè)評(píng)通用要求

9.1………………167

云計(jì)算安全測(cè)評(píng)擴(kuò)展要求

9.2………………………228

移動(dòng)互聯(lián)安全測(cè)評(píng)擴(kuò)展要求

9.3……………………242

物聯(lián)網(wǎng)安全測(cè)評(píng)擴(kuò)展要求

9.4………………………247

工業(yè)控制系統(tǒng)安全測(cè)評(píng)擴(kuò)展要求

9.5………………253

第五級(jí)測(cè)評(píng)要求

10………………………259

整體測(cè)評(píng)

11………………259

Ⅰ

GB/T28448—2019

概述

11.1………………259

安全控制點(diǎn)測(cè)評(píng)

11.2…………………260

安全控制點(diǎn)間測(cè)評(píng)

11.3………………260

區(qū)域間測(cè)評(píng)

11.4………………………260

測(cè)評(píng)結(jié)論

12………………260

風(fēng)險(xiǎn)分析和評(píng)價(jià)

12.1…………………260

等級(jí)測(cè)評(píng)結(jié)論

12.2……………………260

附錄資料性附錄測(cè)評(píng)力度

A()………………………262

附錄資料性附錄大數(shù)據(jù)可參考安全評(píng)估方法

B()…………………264

附錄規(guī)范性附錄測(cè)評(píng)單元編號(hào)說明

C()……………284

參考文獻(xiàn)

……………………285

Ⅱ

GB/T28448—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求與

GB/T28448—2012《》,

相比主要變化如下

GB/T28448—2012,:

將標(biāo)準(zhǔn)名稱變更為信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求

———《》;

每個(gè)級(jí)別增加了云計(jì)算安全測(cè)評(píng)擴(kuò)展要求移動(dòng)互聯(lián)安全測(cè)評(píng)擴(kuò)展要求物聯(lián)網(wǎng)安全測(cè)評(píng)擴(kuò)展

———、、

要求和工業(yè)控制系統(tǒng)安全測(cè)評(píng)擴(kuò)展要求等內(nèi)容

;

增加了等級(jí)測(cè)評(píng)測(cè)評(píng)對(duì)象云服務(wù)商和云服務(wù)客戶等相關(guān)術(shù)語(yǔ)和定義見第章年版

———、、(3,2012

的第章

3);

將針對(duì)控制點(diǎn)的單元測(cè)評(píng)細(xì)化調(diào)整為針對(duì)要求項(xiàng)的單項(xiàng)測(cè)評(píng)刪除了測(cè)評(píng)框架見年

———,“”(2012

版的和等級(jí)測(cè)評(píng)內(nèi)容見年版的

4.1)“”(20124.2);

增加了大數(shù)據(jù)可參考安全評(píng)估方法見附錄和測(cè)評(píng)單元編號(hào)說明見附錄

———(B)(C)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所公安部信息安全等級(jí)保護(hù)評(píng)估中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研

:()、

究院國(guó)家信息中心中國(guó)科學(xué)院信息工程研究所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室北京大學(xué)新華三技術(shù)有

、、()、、

限公司成都科來軟件有限公司中國(guó)移動(dòng)通信集團(tuán)有限公司北京鼎普科技股份有限公司北京微步在

、、、、

線科技有限公司北京梆梆安全科技有限公司北京迅達(dá)云成科技有限公司中國(guó)電子科技集團(tuán)公司第

、、、

十五研究所信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心公安部第一研究所北京信息安全測(cè)評(píng)中心國(guó)家能源局信

()、、、

息中心電力行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)中心全球能源互聯(lián)網(wǎng)研究院北京卓識(shí)網(wǎng)安技術(shù)股份有限公

()、、

司中國(guó)電力科學(xué)研究院南京南瑞集團(tuán)公司國(guó)電南京自動(dòng)化股份有限公司南方電網(wǎng)科學(xué)研究院中

、、、、、

國(guó)電子信息產(chǎn)業(yè)集團(tuán)公司第六研究所工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心中國(guó)軟件評(píng)測(cè)中

、(

心啟明星辰信息技術(shù)集團(tuán)股份有限公司北京烽云互聯(lián)科技有限公司華普科工北京有限公司

)、、、()。

本標(biāo)準(zhǔn)主要起草人陳廣勇李明黎水林馬力曲潔于東升艾春迪郭啟全葛波蔚祝國(guó)邦

:、、、、、、、、、、

陸磊張宇翔畢馬寧沙淼淼李升胡紅升陳雪鴻袁靜章恒張益毛澍王斌尹湘培王勇高亞楠

、、、、、、、、、、、、、、、

焦安春趙勁濤于俊杰徐衍龍馬曉波江雷黃順京朱建興蘇艷芳祿凱何申霍珊珊于運(yùn)濤

、、、、、、、、、、、、、

陳震任衛(wèi)紅孫惠平萬曉蘭馬紅霞薛鋒趙林林劉金剛胡越寧周曉雪李亞軍楊洪起孟召瑞

、、、、、、、、、、、、、

李飛王江波闞志剛劉健陶源李秋香許鳳凱王紹杰李晨旸李凌朱世順張五一陳華軍張潔昕

、、、、、、、、、、、、、、

張彪李汪蔚王雪蔡學(xué)琳胡娟劉靜周峰郝鑫馬閩段偉恒

、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T28448—2012。

Ⅲ

GB/T28448—2019

引言

為了配合中華人民共和國(guó)網(wǎng)絡(luò)安全法的實(shí)施同時(shí)適應(yīng)云計(jì)算移動(dòng)互聯(lián)物聯(lián)網(wǎng)和工業(yè)控制等

《》,、、

新技術(shù)新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開展需對(duì)進(jìn)行修訂同時(shí)作為

、,GB/T28448—2012。,

測(cè)評(píng)指標(biāo)進(jìn)行引用的也啟動(dòng)了修訂工作修訂的思路和方法依據(jù)調(diào)

GB/T22239—2008。GB/T22239

整的內(nèi)容針對(duì)共性安全保護(hù)需求提出安全測(cè)評(píng)通用要求針對(duì)云計(jì)算移動(dòng)互聯(lián)物聯(lián)網(wǎng)和工業(yè)控制等

,,、、

新技術(shù)新應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出安全測(cè)評(píng)擴(kuò)展要求形成新的信息安全技術(shù)網(wǎng)絡(luò)安全

、,《

等級(jí)保護(hù)測(cè)評(píng)要求標(biāo)準(zhǔn)

》。

本標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一

。

與本標(biāo)準(zhǔn)相關(guān)的標(biāo)準(zhǔn)包括

:

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南

———GB/T25058;

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

———GB/T22240;

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

———GB/T22239;

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

———GB/T25070;

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南

———GB/T28449。

Ⅳ

GB/T28448—2019

信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了不同級(jí)別的等級(jí)保護(hù)對(duì)象的安全測(cè)評(píng)通用要求和安全測(cè)評(píng)擴(kuò)展要求

。

本標(biāo)準(zhǔn)適用于安全測(cè)評(píng)服務(wù)機(jī)構(gòu)等級(jí)保護(hù)對(duì)象的運(yùn)營(yíng)使用單位及主管部門對(duì)等級(jí)保護(hù)對(duì)象的安全

、

狀況進(jìn)行安全測(cè)評(píng)并提供指南也適用于網(wǎng)絡(luò)安全職能部門進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督檢查時(shí)參考使用

,。

注第五級(jí)等級(jí)保護(hù)對(duì)象是非常重要的監(jiān)督管理對(duì)象對(duì)其有特殊的管理模式和安全測(cè)評(píng)要求所以不在本標(biāo)準(zhǔn)中

:,,

進(jìn)行描述

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB17859—1999

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T22239—2019

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

GB/T25070—2019

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南

GB/T28449—2018