工标网 回首页
标准分类  最新标准New!  标准公告 标准动态  标准论坛
 高级查询
帮助 | 登录 | 注册
查标准上工标网 免费查询标准最新替代作废信息
 您的位置:工标网 >> >> GB/T 28449-2012

信息安全技术 信息系统安全等级保护测评过程指南

国家标准
标准编号:GB/T 28449-2012 标准状态:已作废
标准价格:83.0 客户评分:星星星星1
立即购买工即可享受本标准状态变更提醒服务!
点击放入购物车 如何购买?问客服 放入收藏夹,免费跟踪本标准更替信息! 参与评论本标准
标准简介
本标准规定了信息系统安全等级保护测评工作的测评过程,对等级测评的活动、工作任务以及每项任务的输入/输出产品等提出指导性建议。
本标准适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价。
英文名称:  Information security technology—Testing and evaluation process guide for classified protection of information system security
标准状态:  已作废
什么是替代情况? 替代情况:  GB/T 28449-2018代替
什么是中标分类? 中标分类:  电子元器件与信息技术>>信息处理技术>>L80数据加密
什么是ICS分类?  ICS分类:  信息技术、办公机械设备>>35.020信息技术(IT)综合
发布部门:  中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
发布日期:  2012-06-29
实施日期:  2012-10-01
作废日期:  2019-07-01
首发日期:  2012-06-29
提出单位:  全国信息安全标准化技术委员会(SAC/TC 260)
什么是归口单位? 归口单位:  全国信息安全标准化技术委员会(SAC/TC 260)
主管部门:  全国信息安全标准化技术委员会(SAC/TC 260)
起草单位:  公安部信息安全等级保护评估中心
起草人:  袁静、任卫红、陈雪秀、曲洁、刘静、毕马宁、朱建平、马力、李明、李升、黄洪
页数:  80页【胶订-大印张】
出版社:  中国标准出版社
出版日期:  2012-10-01
  [ 评论 ][ 关闭 ]
前言
本标准按照GB/T1.1—2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:袁静、任卫红、陈雪秀、曲洁、刘静、毕马宁、朱建平、马力、李明、李升、黄洪。
目录
前言 Ⅴ
引言 Ⅵ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 符号和缩略语 1
5 等级测评概述 1
5.1 等级测评的作用 1
5.2 等级测评风险 2
5.2.1 可能影响系统正常运行 2
5.2.2 可能泄漏敏感信息 2
5.3 等级测评风险的规避 2
5.4 等级测评过程概述 3
6 测评准备活动 3
6.1 测评准备活动的工作流程 3
6.2 测评准备活动的主要任务 4
6.2.1 项目启动 4
6.2.2 信息收集和分析 4
6.2.3 工具和表单准备 5
6.3 测评准备活动的输出文档 5
6.4 测评准备活动中双方的职责 5
7 方案编制活动 6
7.1 方案编制活动的工作流程 6
7.2 方案编制活动的主要任务 6
7.2.1 测评对象确定 6
7.2.2 测评指标确定 7
7.2.3 测评内容确定 8
7.2.4 工具测试方法确定 8
7.2.5 测评指导书开发 9
7.2.6 测评方案编制 10
7.3 方案编制活动的输出文档 11
7.4 方案编制活动中双方的职责 11
8 现场测评活动 11
8.1 现场测评活动的工作流程 11
8.2 现场测评活动的主要任务 12
8.2.1 现场测评准备 12
8.2.2 现场测评和结果记录 12
8.2.2.1 访谈 12
8.2.2.2 检查 13
8.2.2.3 测试 14
8.2.3 结果确认和资料归还 14
8.3 现场测评活动的输出文档 14
8.4 现场测评活动中双方的职责 15
9 报告编制活动 15
9.1 报告编制活动的工作流程 15
9.2 报告编制活动的主要任务 16
9.2.1 单项测评结果判定 16
9.2.2 单元测评结果判定 16
9.2.3 整体测评 17
9.2.4 风险分析 18
9.2.5 等级测评结论形成 18
9.2.6 测评报告编制 19
9.3 报告编制活动的输出文档 19
9.4 报告编制活动中双方的职责 20
附录A (资料性附录) 等级测评工作流程 21
附录B(资料性附录) 测评对象确定准则和样例 23
B.1 测评对象确定准则 23
B.2 测评对象确定样例 23
B.2.1 第一级信息系统 23
B.2.2 第二级信息系统 23
B.2.3 第三级信息系统 24
B.2.4 第四级信息系统 25
附录C (资料性附录) 等级测评工作要求 26
C.1 依据标准,遵循原则 26
C.2 恰当选取,保证强度 26
C.3 规范行为,规避风险 26
附录D (资料性附录) 测评方案与测评报告编制示例 27
D.1 测评方案编制示例 27
D.1.1 系统描述 27
D.1.2 测评对象 28
D.1.3 测评指标 30
D.1.4 测评工具和接入点 30
D.1.5 测评内容 32
D.1.6 测评指导书 35
D.2 测评报告编制示例 39
D.2.1 整体测评 39
D.2.2 安全建设整改建议 40
附录E (资料性附录) 信息系统基本情况调查表模版 42
E.1 说明 42
E.2 单位基本情况 42
E.3 参与人员名单 43
E.4 物理环境情况 43
E.5 信息系统基本情况 43
E.6 信息系统承载业务(服务)情况 44
E.7 信息系统网络结构(环境)情况 44
E.8 外联线路及设备端口(网络边界)情况 45
E.9 网络设备情况 45
E.10 安全设备情况 46
E.11 服务器设备情况 46
E.12 终端设备情况 47
E.13 系统软件情况 47
E.14 应用系统软件情况 47
E.15 业务数据情况 48
E.16 数据备份情况 48
E.17 应用系统软件处理流程(多表) 49
E.18 业务数据流程(多表) 49
E.19 管理文档情况 50
E.20 安全威胁情况 52
附录F(资料性附录) 信息系统安全等级测评报告模版(试行) 54
参考文献 70
引用标准
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T5271.8 信息技术 词汇 第8部分:安全
GB17859—1999 计算机信息系统 安全保护等级划分准则
GB/T22239—2008 信息安全技术 信息系统安全等级保护基本要求
GB/T22240—2008 信息安全技术 信息系统安全等级保护定级指南
GB/T28448—2012 信息安全技术 信息系统安全等级保护测评要求
《信息安全等级保护管理办法》(公通字[2007]43号)

数据加密相关标准 第1页 第2页 
 GB/T 28450-2012 信息安全技术 信息安全管理体系审核指南
 GB/T 28450-2020 信息技术 安全技术 信息安全管理体系审核指南
 GB/T 28451-2012 信息安全技术 网络型入侵防御产品技术要求和测试评价方法
 GB/T 28451-2023 信息安全技术 网络入侵防御产品技术规范
 GB/T 28452-2012 信息安全技术 应用软件系统通用安全技术要求
 GB/T 28453-2012 信息安全技术 信息系统安全管理评估要求
 GB/T 28454-2012 信息技术 安全技术 入侵检测系统的选择、部署和操作
 GB/T 28454-2020 信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作
 GB/T 28455-2012 信息安全技术 引入可信第三方的实体鉴别及接入架构规范
 GB/T 28456-2012 IPsec协议应用测试规范
 免费下载数据加密标准相关目录

信息技术(IT)综合相关标准 第1页 第2页 第3页 第4页 
 GB/T 28517-2012 网络安全事件描述和交换格式
 GB/T 29261.5-2014 信息技术 自动识别和数据采集技术 词汇 第5部分:定位系统
 GB/T 32910.1-2017 数据中心 资源利用 第1部分:术语
 GB/T 32910.2-2017 数据中心 资源利用 第2部分:关键性能指标设置要求
 GB/T 32910.3-2016 数据中心 资源利用 第3部分:电能能效要求和测量方法
 GB/T 32910.3-2016E 数据中心 资源利用 第3部分:电能能效要求和测量方法(英文版)
 GB/T 32910.4-2021 数据中心 资源利用 第4部分:可再生能源利用率
 GB/T 34093-2017 与通信网络连接的电路上的xDSL信号的安全性(DSL:数字用户线
 GB/T 34094-2017 信息技术设备功耗测量方法
 GB/T 34829-2017 空间站应用有效载荷数据通信规范
 免费下载信息技术(IT)综合标准相关目录

 发表留言
内 容
  用户:   口令:  
 
 
客服中心
有问题?找在线客服 点击和客服交流,我们的在线时间是:工作日8:30至18:00,节假日;9:00至17:00。工标网欢迎您和我们联系!
未开通400地区或小灵通请直接拨打0898-3137 2222 400-7255-888
客服QQ 1197428036 992023608
MSN或电子邮件 18976748618 13876321121
温馨提示:标准更新替换较快,请注意您购买的标准时效性。
常见问题 帮助中心
我为什么找不到我想要的标准?
配送范围、配送时间和收费标准
如何付款,支持哪些付款方式?
您可能还需要 更多
信息安全技术 信息系统安全等级保护测..
信息安全技术 电子认证服务机构运营管..
信息安全技术 应用软件系统通用安全技..
信息技术 安全技术 IT网络安全 第..
信息安全技术 信息系统等级保护安全设..
信息技术 安全技术 IT网络安全 第..
信息技术 安全技术 IT网络安全 第..
信息安全技术 信息安全管理体系审核指..
必备软件下载
Adobe Acrobat Reader 是一个查看、 阅读和打印PDF文件的最佳工具,通 过它可以查阅本站的标准文档
pdf下载
搜索更多
google 中搜索:GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南
baidu 中搜索:GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南
yahoo 中搜索:GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南
soso 中搜索:GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南
中搜索:GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南
 
付款方式 - 关于我们 - 帮助中心 - 联系我们 - 诚聘英才 - 合作伙伴 - 使用条款
QQ:1197428036 992023608 有问题? 联系在线客服
Copyright © 工标网 2005-2023,All Right Reserved