信息安全技术 网络安全等级保护测评要求 第1部分:安全通用要求-编制说明
信息安全技术 互联网信息服务安全通用要求-编制说明
国家标准《信息安全技术互联网信息服务安全通用要求》(草案)编制说明一、工作简况1.1任务来源《信息安全技术互联网信息服务安全通用要求》是全国信息安全技术标准化委员会2019年立项的信息安全国家标准制定项目,由中国科学院信息工程研究所主要牵头承担。
该标准参照国家针对网络安全与互联网信息服务出台的一系列法律法规政策,包括《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等。
该标准由全国信息安全标准化技术委员会归口管理。
1.2主要起草单位和工作组成员中国科学院信息工程研究所(以下简称“中科院信工所”)主要负责起草,公安部第三研究所、中国电子技术标准化研究院、中国信息通信研究院、中国电子科技集团公司第十五研究所、北京理工大学等单位共同参与该标准的起草工作。
工作组成员包括:孟丹、郭涛、张潇丹、顾健、周熙、胡静远、韩冀中、赵云霞、贺滢睿、姚相振、魏巍、霍珊珊、锁延锋、张媛媛、马庆栋、周薇、王宇航、张华平等。
1.3 主要工作过程1、2017年4月——2018年5月,中科院信工所作为《信息安全技术互联网新闻信息服务新技术新应用安全评估实施规范》研究项目参与单位之一,顺利项目完成结题验收。
2、2018年7月——2018年12月,与参与单位共同开展标准体系架构研讨,组织召开3次内部技术研讨会,修改10余次。
3、2018年12月——2019年2月,与参与单位共同完成标准草案,并组织召开专家研讨会,并根据专家意见对标准内容进行3轮次修改。
4、2019年2月——2019年4月,对标准内容进行修改和调整,并组织召开专家研讨会,根据专家意见对标准内容进行2轮次修改,形成标准草案。
5、2019年4月,在全国信息安全标准化技术委员会2019年第一次工作组“会议周”上进行立项申请。
6、2019年5月——2019年9月,对标准草案进行讨论和完善。
信息安全技术网络安全等级保护测评要求第1部分_安全通用要求_编制说明
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。
根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
信息安全技术-网络安全等级保护设计技术要求-物联网安全要求
信息安全技术网络安全等级保护安全设计技术要求第4部分:物联网安全要求1范围本标准依据《网络安全等级保护安全设计技术要求第1部分:安全通用要求》和《网络安全等级保护基本要求第4部分:物联网安全扩展要求》,规范了信息系统等级保护安全设计要求对物联网系统的扩展设计要求,包括第一级至第四级物联网系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求。
本标准适用于指导信息系统等级保护物联网系统安全技术方案的设计和实施,也可作为信息安全职能部门对物联网系统进行监督、检查和指导的依据。
2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 25069-2010信息安全技术术语GB17859-1999计算机信息系统安全保护等级划分准则GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南GB/T 25070-2010网络安全等级保护安全设计技术要求第1部分:安全通用要求GB/T 22239.4-XXXX网络安全等级保护基本要求第4部分:物联网安全扩展要求GB/T XXXX物联网第2部分:术语GB/T XXXX物联网第3部分:参考体系结构与通用技术要求3术语和定义下列术语和定义适用于本标准。
3.1定级系统classified system按照已确定安全保护等级的物联网系统。
定级系统分为第一级、第二级、第三级和第四级物联网系统。
3.2定级系统安全保护环境security environment of classified system由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境。
定级系统安全保护环境包括第一级物联网系统安全保护环境、第二级物联网系统安全保护环境、第三级物联网系统安全保护环境、第四级物联网系统安全保护环境以及定级系统的安全互联。
网络安全等级保护测评要求
网络安全等级保护测评要求网络安全等级保护测评要求网络安全等级保护测评是指对网络系统和信息进行安全等级测评,评价其安全防护能力和安全风险等级,以提供安全建设和管理的参考依据。
下面列举了网络安全等级保护测评的要求。
一、测评范围网络安全等级保护测评应覆盖整个网络系统,并针对网络系统中的关键信息进行测评。
同时,需要考虑网络环境的复杂性和多样性,包括内网、外网、无线网络、移动网络等。
二、测评目标网络安全等级保护测评的目标是评估网络系统的安全性,并根据测评结果提供相应的安全建议。
主要评估网络系统的安全风险等级、信息安全管理能力、安全防护措施和安全事件响应能力等方面。
三、测评要求1. 安全风险等级评估:对网络系统中的各种安全风险进行评估,包括系统漏洞、恶意程序入侵、信息泄露等,评估其对系统和信息的威胁程度和可能造成的损失,进一步确定安全风险等级。
2. 信息安全管理能力评估:针对网络系统的信息安全管理,评估其安全策略、安全政策、安全组织、安全培训等方面的能力。
评估结果应提供改进和加强信息安全管理的建议。
3. 安全防护措施评估:对网络系统的安全防护措施进行评估,包括入侵检测系统、防火墙、数据加密等。
评估其有效性和可靠性,并提供针对性的优化和改进建议。
4. 安全事件响应能力评估:针对网络系统的安全事件响应能力进行评估,包括安全事件的预警、发现、处置和恢复等。
评估其对安全事件的反应速度和处理能力,并提供相应的改进意见。
5. 技术保密评估:评估网络系统中的技术保密措施,包括对关键信息和知识产权的保护措施,评估其合规性和有效性,并提供改进措施。
6. 评估报告撰写:根据测评结果撰写评估报告,报告应包括安全风险等级评估、信息安全管理能力评估、安全防护措施评估、安全事件响应能力评估、技术保密评估等内容,并提供相应的改善建议。
四、测评要求的保障1. 评估人员的专业水平和经验:评估人员应具备相关的网络安全知识和实践经验,熟悉测评方法和工具,并具备相应的认证资质。
计算机信息系统安全等级保护通用技术要求
计算机信息系统安全等级保护通用技术要求
计算机信息系统安全等级保护通用技术要求(以下简称《通用技术要求》)是中国国家信息安全等级保护测评中用于计算机信息系统安全等级保护测评的技术要求标准。
该标准由中华人民共和国公安部发布,是针对计算机信息系统的安全性进行评估和测试的技术规范。
《通用技术要求》主要从安全需求分析和评估、系统安全设计、系统安全实施与配置、系统安全管理和维护等方面提出了具体要求。
下面是《通用技术要求》的一些主要内容:
1. 安全需求分析和评估:要求对计算机信息系统的安全需求进行全面评估,并根据评估结果确定相应的安全等级。
2. 系统安全设计:要求根据安全等级要求进行系统的安全设计,包括系统边界的划定、安全策略的制定、访问控制的实施等。
3. 系统安全实施与配置:要求在系统实施和配置过程中,采取相应的安全措施,确保系统组件和设备的安全性,同时对系统进行安全审计。
4. 系统安全管理和维护:要求建立完善的系统安全管理和维护机制,包括系统安全管理组织机构的建立、用户管理、安全事件管理等。
《通用技术要求》还提出了具体的技术要求和测试方法,以保证计算机信息系统在不同安全等级下的安全性。
同时,根据具
体的系统类型和安全等级要求,还可以参考其他相关技术规范进行细化和补充。
总之,计算机信息系统安全等级保护通用技术要求是对计算机信息系统安全进行评估和测试的技术标准,通过满足这些要求,可以确保计算机信息系统在不同安全等级下的安全性。
网络安全等级保护项目参数及要求
网络安全等级保护项目参数及要求1.1 项目名称项目名称:商丘医学高等专科学校网络安全等级保护测评项目1.2 项目基本情况1. 项目概况:商丘医学高等专科学校网络安全等级保护测评项目2. 采购内容包括:智慧化校园平台、网站群、教务管理系统和财务内控管理系统。
3. 采购方式:竞争性谈判4. 项目预算金额:5. 工期:合同签订生效后30 个工作日(不包含整改建设时间)。
6. 服务地点:采购人指定地点。
7. 服务要求:满足采购人要求。
8. 质量标准:符合国家或行业规定的合格标准,满足采购人提出的技术标准及要求。
9. 验收标准:满足采购人的验收标准及要求。
10. 技术要求:2 供应商须知一、响应投标文件的编写1、要求1.1 投标人应仔细阅读招标文件的全部内容,按招标文件的要求提供响应投标文件,并保证所提供的全部资料的真实性和可靠性,以使其文件对招标文件作出实质性响应。
投标人应接受采购单位和采购代理机构对其中任何资料作出进一步审查的要求,否则其响应投标将有可能被拒绝。
1.2 投标人应认真检查招标文件中所有的须知、格式、条款、技术、规格和其它资料,如果投标人未按照招标文件的要求提交全部资料,或者提交的资料没有对招标文件在各方面作出实质性响应,可能导致其响应投标文件被拒绝,由此导致的不利后果由投标人自行承担。
1.3 响应投标文件的和资格证明文件的主要内容格式部分中的各项内容和表格为评审的重要参考内容和依据,投标人应严格按照格式要求统一填写编制,否则,其响应投标将有可能被拒绝。
2、响应语言2.1 响应投标文件及投标人、采购单位和采购代理机构就响应交换的文件和来往信件,应以中文书写。
若投标人提交的资料为英文或其他语言文字文本,须附中文译文以让评审小组成员知晓内容,否则视为未提供该资料。
3、货币单位3.1 响应投标文件涉及到的货币价格一律使用人民币元为单位。
4、响应投标文件的组成及要求:按照本招标文件中所附的表格内容完整填写。
(完整word版)信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。
根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
《信息安全技术-WEB应用防火墙安全技术要求与测试评价方法》编制说明
《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》编制说明1.编制背景1.1 项目背景随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,越来越多的政府、企业组织建立了依赖于网络的业务信息系统,比如电子政务、电子商务、网上银行、网络办公等;互联网企业提供给用户各类WEB应用服务,如提供信息发布、信息搜索、电子购物、网上游戏等业务,提供了极大的便利。
与此同时,信息安全的重要性也在不断提升。
近年来,政府、企业各类组织所面临的WEB应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、WEB应用安全漏洞利用等,给组织的信息网络和核心业务造成严重的破坏。
能否及时发现并成功阻止网络黑客的入侵和攻击、保证WEB应用系统的安全和正常运行成为政府、企业所面临的一个重要问题。
传统的网络安全设备如安全网关、入侵检测、防病毒、抗DoS攻击设备、各种VPN设备等等,由于针对不同的网络安全问题,很难形成完善的防护网,且这些产品的很多功能又存在着冗余,往往造成处理性能和响应速度的下降。
以上这些都为WEB应用防火墙类产品带来了广泛的应用需求,同时也对WEB应用防火墙类产品的提供者提出了更高的要求。
近年来WEB应用防火墙类产品的数量增长迅速,市场不断扩大。
为了规范WEB应用防火墙的研发和应用,《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》,对国内的WEB应用防火墙提出统一的安全技术要求以及相应的测试评价方法,使得国内的检测机构根据该标准,能够对WEB应用防火墙进行标准化的测试和评价,从而保证测试评价结果的完整性和一致性;同时也可对WEB应用防火墙的开发者提供指导作用。
为此,上海天泰网络技术有限公司、公安部第三研究所、北京神州绿盟科技有限公司、北京中软华泰信息技术有限责任公司向全国信息安全标准化技术委员会(以下简称:安标委)提交了《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》的制订申请。
等级保护测评-安全测评通用要求
一.安全物理环境1 物理位置选择测评单元(L3-PES1-01)该测评单元包括以下要求:a) 测评指标:机房场地应选择在具有防震、防风和防雨等能力的建筑内。
b) 测评对象:记录类文档和机房。
c) 测评实施包括以下内容:1) 应核查所在建筑物是否具有建筑物抗震设防审批文档;2) 应核查机房是否不存在雨水渗漏;3) 应核查门窗是否不存在因风导致的尘土严重;4) 应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。
d) 单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元(L3-PES1-02)该测评单元包括以下要求:a) 测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
b) 测评对象:机房。
c) 测评实施:应核查机房是否不位于所在建筑物的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
2 物理访问控制测评单元(L3-PES1-03)该测评单元包括以下要求:a) 测评指标:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
b) 测评对象:机房电子门禁系统。
c) 测评实施包括以下内容:1) 应核查出入口是否配置电子门禁系统;2) 应核查电子门禁系统是否可以鉴别、记录进入的人员信息。
d) 单元判定:如果1)和2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
3 防盗窃和防破坏测评单元(L3-PES1-04)该测评单元包括以下要求:a) 测评指标:应将设备或主要部件进行固定,并设置明显的不易除去的标识。
b) 测评对象:机房设备或主要部件。
c) 测评实施包括以下内容:1) 应核查机房内设备或主要部件是否固定;2) 应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。
d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
信息安全技术信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求在当今数字化的时代,信息系统已经成为了各个组织和企业运营的核心支撑。
从金融机构的交易系统到医疗机构的患者信息管理系统,从政府部门的政务服务平台到企业的生产管理系统,信息系统的广泛应用带来了巨大的便利和效率提升,但同时也伴随着日益严峻的安全挑战。
为了保障信息系统的安全可靠运行,保护公民、法人和其他组织的合法权益,我国推行了信息系统安全等级保护制度,而其中的测评要求则是确保这一制度有效实施的关键环节。
信息系统安全等级保护测评是指依据国家有关信息安全等级保护的标准规范,对信息系统的安全保护状况进行检测评估的活动。
其目的在于发现信息系统中存在的安全漏洞和风险,提出相应的整改建议,以提高信息系统的安全防护能力,使其达到相应的安全等级要求。
在进行信息系统安全等级保护测评时,首先需要明确测评的对象和范围。
信息系统包括了硬件、软件、数据、人员、环境等多个方面,测评应涵盖信息系统的全部组成部分。
同时,还需要根据信息系统的业务功能、服务范围、用户群体等因素,确定其安全等级。
我国的信息系统安全等级分为五级,从第一级到第五级,安全要求逐步提高。
测评的内容主要包括物理安全、网络安全、主机安全、应用安全、数据安全和安全管理等多个方面。
物理安全主要关注信息系统所在的物理环境,如机房的防火、防水、防盗,设备的供电、散热等。
网络安全则涉及网络拓扑结构、访问控制、网络设备的安全配置等。
主机安全包括操作系统、数据库系统的安全设置,以及服务器的漏洞扫描和加固。
应用安全侧重于应用软件的安全性,如身份认证、权限管理、数据加密等。
数据安全重点考察数据的备份恢复、数据的保密性和完整性。
安全管理则涵盖安全管理制度的制定和执行、人员的安全培训和意识教育等。
在测评过程中,需要遵循一系列的标准和规范。
这些标准和规范为测评工作提供了统一的方法和依据,确保测评结果的客观、准确和可比。
例如,《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)等。
信息安全技术 网络安全等级保护测评要求-云计算安全扩展要求
信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求1 范围本部分规定了对不同等级的等级保护对象是否符合GB/T 22239.2-20XX所进行的测试评估活动的要求,包括对第二级等级保护对象、第三级等级保护对象和第四级等级保护对象进行安全测试评估的要求。
本部分略去对第一级等级保护对象、第五级等级保护对象进行安全测评评估的要求。
本部分规定了不同等级的保护对象的云计算安全扩展测评要求,除使用本部分外,还需参考通用测评要求。
本部分适用于信息安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象安全等级保护状况进行的安全测试评估。
信息安全监管职能部门依法进行的信息系统安全等级保护监督检查可以参考使用。
2 规范性引用文件下列文件对于本部分的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本部分。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本部分。
GB/T 25069-2010 信息安全技术术语GB17859-1999 计算机信息系统安全保护等级划分准则GB/T 22239.1-20XX 信息安全技术网络安全等级保护基本要求第1部分:安全通用要求GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南GB/T 28448.1-20XX 信息安全技术网络安全等级保护测评要求第1部分:通用测评要求GB/T 28449-20XX 信息安全技术信息系统安全等级保护测评过程指南GB/T 22239.2-20XX 信息安全技术网络安全等级保护基本要求第2部分:云计算安全扩展要求GB/T 25070.2-20XX 信息安全技术网络安全等级保护安全设计技术要求第2部分:云计算信息安全等级保护安全设计技术要求3 术语与定义GB/T 25069-2010、GB/T 28448.1-20XX和GB/T 22239.2-20XX界定的以及下列术语和定义适用于本部分。
信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求网络安全等级保护测评(Information Security Technology Network Security Level Protection Evaluation),简称等保测评,是我国针对信息系统安全的一项重要评估工作。
等保测评旨在通过评估信息系统的安全性,确保信息系统的保密性、完整性和可用性,保护国家信息安全。
等保测评的要求主要包括以下几个方面:1.目标评估:等保测评主要评估网络系统的目标,包括系统的安全目标、保密目标、完整性目标等。
评估的目标要明确、具体,符合法律法规和技术要求。
2.风险评估:测评需对系统面临的风险进行评估,包括外部威胁、内部威胁以及自然灾害等。
针对不同风险应制定不同的安全控制措施,以保证网络系统的安全。
3.安全策略:等保测评要求对信息系统的安全策略进行评估,包括访问控制策略、密码策略、数据备份策略、应急响应策略等。
这些策略需要符合相关标准和规范,并实际有效。
4.安全管理制度:测评要求对安全管理制度进行评估,包括安全管理机构设置、安全策略的制定和执行、安全培训和教育等。
这些制度要健全完善,确保网络系统的安全运行。
5.技术控制:等保测评要求评估系统的技术控制措施,包括网络安全设备配置、网络拓扑结构、系统安全补丁和更新等技术方面的控制措施。
这些措施需要科学合理,满足系统的安全需求。
6.运行维护:等保测评要求评估系统的运行和维护情况,包括系统日志记录和监控、设备维护管理、安全事件的处理等。
这些要求能够保证系统平稳运行和及时应对安全事件。
7.测评报告:等保测评要求评估结果生成测评报告。
测评报告应包含测评方法、测评结果、问题与不足、建议改进等内容,并提供详细的数据和分析,为后续的安全改进工作提供依据。
总之,等保测评要求对信息系统的安全进行全面评估,从目标评估、风险评估、安全策略、安全管理制度、技术控制、运行维护等多个方面进行评估,以确保信息系统达到一定的安全等级,保护国家信息安全。
信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求随着互联网和信息技术的快速发展,网络安全问题也日益突出,对信息安全的保护引起了广泛关注。
为了确保信息系统及网络的安全性,我国于2024年开始推行信息安全技术网络安全等级保护测评制度。
该制度旨在对我国各类信息系统和网络进行评估与分类,为信息系统用户在选择合适的信息系统提供参考。
其次,信息安全技术网络安全等级保护测评要求评测对象能够提供完整、真实和准确的信息。
评测对象应提供有关信息系统和网络的基本信息、软硬件配置、网络拓扑、安全策略和安全防御措施等资料,以便对其进行全面的测评。
评测对象可通过书面报告、流程图、技术文档等方式提供这些信息。
第三,在信息安全技术网络安全等级保护测评中,要求评测机构按照测评计划进行测评工作,并确保测试环境的真实性。
评测机构应编制详细的测评计划,明确测评的目的、范围和方法,并根据实际情况调整计划。
同时,评测机构应搭建真实的测试环境,确保能够模拟恶意攻击和各种安全事件的发生,并对评测结果进行客观和准确的分析。
第四,在信息安全技术网络安全等级保护测评中,要求评测机构对评测结果进行详细的报告和建议。
评测报告应包括评测对象的安全状态、存在的安全隐患、安全事件的发生概率等,同时给出改进建议和措施。
评测机构还应对评测结果进行保密处理,确保测评过程和结果不泄露给非评测参与方。
最后,在信息安全技术网络安全等级保护测评中,要求评测机构对测评工作进行记录和备份,确保测评结果的完整性和可溯性。
评测机构应记录测评过程、操作和结果,以备查证。
评测机构还应将评测结果备份,避免因不可抗力因素导致数据丢失或篡改。
综上所述,信息安全技术网络安全等级保护测评要求包括测评机构具备合法和可信的资质、评测对象提供完整、真实和准确的信息、评测按计划进行并确保测试环境的真实性、评测结果报告和建议、测评工作的记录和备份等。
这些要求旨在确保测评的准确性和可信度,为信息系统用户提供安全可靠的选择参考。
网络安全等级保护测评要求
网络安全等级保护测评要求随着互联网的快速发展,网络安全问题日益突出,各种网络攻击和数据泄露事件频频发生,给个人和企业的信息安全带来了严重威胁。
为了提高网络安全防护能力,各国纷纷制定了网络安全等级保护测评要求,以规范网络安全保护工作,保障网络信息系统的安全稳定运行。
网络安全等级保护测评要求是指针对网络信息系统进行安全等级保护测评时需要满足的标准和要求。
它主要包括网络安全等级保护的基本概念、测评的对象范围、测评的基本原则、测评的技术要求、测评的程序要求等方面的内容。
网络安全等级保护测评要求的制定,对于规范网络安全保护工作,提高网络信息系统的安全等级具有重要的意义。
首先,网络安全等级保护测评要求明确了网络安全等级保护的基本概念。
网络安全等级保护是指根据信息系统的重要性和敏感程度,对其进行分级保护,采取相应的安全防护措施,确保信息系统的安全运行。
网络安全等级保护测评要求明确了网络安全等级的划分标准和保护要求,为网络安全保护工作提供了具体的指导。
其次,网络安全等级保护测评要求规定了测评的对象范围。
网络安全等级保护测评的对象包括各类信息系统和网络设备,以及与网络安全相关的人员和管理制度。
网络安全等级保护测评要求明确了测评的对象范围和内容,为网络安全等级保护工作的实施提供了具体的依据。
此外,网络安全等级保护测评要求还规定了测评的基本原则。
网络安全等级保护测评要求强调了科学、客观、公正、准确的测评原则,要求测评人员在进行测评工作时,必须遵循这些基本原则,确保测评结果的真实有效。
另外,网络安全等级保护测评要求还对测评的技术要求和程序要求进行了详细规定。
网络安全等级保护测评要求明确了测评所需的技术手段和工具,以及测评的具体程序和步骤。
这些要求为网络安全等级保护测评工作的实施提供了具体的操作指南,确保测评工作的科学性和规范性。
总之,网络安全等级保护测评要求是网络安全保护工作的重要指导文件,它规范了网络安全等级保护测评工作的各个方面,为提高网络信息系统的安全等级提供了有力的保障。
网络安全等级保护测评要求
网络安全等级保护测评要求网络安全等级保护测评是指通过对网络安全相关管理、技术、设备的检测、评估、测试等手段,对网络安全状况进行等级评定,并针对不同等级制定相应的保护措施。
下面是网络安全等级保护测评的要求:1. 安全管理要求:对于不同等级的网络安全测评,要求企业或组织建立相应的安全管理体系,在网络安全政策、安全策略、安全控制等方面严格执行,确保网络资产的保护和使用符合法律法规。
2. 资产管理要求:对于网络安全测评,要求企业或组织对网络资产进行全面清单管理,包括网络设备、服务器、终端设备等,并制定相应的资产管理制度,确保网络资产的安全和有效使用。
3. 风险评估要求:网络安全测评需要进行风险评估,包括对网络信息系统、网络服务等进行威胁评估和脆弱性分析,识别潜在的安全风险,并制定相应的风险应对措施。
4. 安全技术要求:网络安全测评需要对网络安全技术进行评估,包括网络访问控制、身份验证、数据加密、数据备份、应急响应等安全技术的实施情况,确保网络安全技术符合测评等级的要求。
5. 事件管理要求:网络安全测评需要对网络安全事件管理情况进行评估,包括安全事件的收集、记录、处理和报告等方面的要求,确保在网络安全事件发生时能够快速响应和处置,降低安全风险。
6. 人员管理要求:网络安全测评需要对网络安全人员的能力和素质进行评估,包括人员的培训、考核、管理等方面,保证网络安全工作能够有效进行。
7. 外部合作要求:网络安全测评需要与外部机构合作,进行网络安全测试、渗透测试、漏洞扫描等活动,确保网络安全测评的全面性和专业性。
8. 安全教育要求:网络安全测评需要进行安全教育,提高用户的安全意识,加强信息安全知识的普及,减少安全风险的发生。
总之,网络安全等级保护测评要求涉及安全管理、资产管理、风险评估、安全技术、事件管理、人员管理、外部合作和安全教育等多个方面,确保企业或组织的网络安全达到相应的等级保护要求。
同时,网络安全测评也需要符合相关的法律法规和行业标准,以保护网络资产的安全和数据的保密性、完整性和可用性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1 概述1.1 任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。
根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
1.2 制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
此外,《测评要求》还需要吸收近年来的测评实践,更新整体测评方法和测评结论形成方法。
1.3 与其他标准的关系图1 等级保护标准相互关系从上图可以看出,在等级保护对象实施安全保护过程中,首先利用《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)(简称“《定级指南》”)确定等级保护对象的安全保护等级,然后根据《信息安全技术网络安全等级保护基本要求》系列标准选择安全控制措施,随后利用《信息安全技术信息系统安全等级保护实施指南》(简称“《实施指南》”)或其他相关标准确定其特殊安全需求,进行等级保护对象的安全规划和建设工作,此后利用《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-20XX)(简称“《测评过程指南》”)来规范测评过程和各项活动,利用《信息安全技术网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。
同时,等级保护整个实施过程又是由《实施指南》来指导的。
在等级保护的相关标准中,《测评要求》系列标准是《基本要求》系列标准的姊妹篇,《测评要求》针对《基本要求》中各要求项,提供了具体测评方法、步骤和判断依据等,是为了确认等级保护对象是否按照《基本要求》中的不同等级的技术和管理要求实施的,而《测评过程指南》则是规定了开展这些测评活动的基本过程,包括过程、任务及产品等,以指导用户对《测评要求》的正确使用。
1.4 标准组成为了适应移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用情况下网络安全等级保护测评工作的开展,需对GB/T 28448-2012进行修订,修订的思路和方法是针对移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用领域提出扩展的测评要求。
对GB/T 28448-2012的修订完成后,测评要求标准成为由多个部分组成的系列标准,目前主要有六个部分:——GB/T 28448.1-20XX 信息安全技术网络安全等级保护测评要求第1部分:安全通用要求;——GB/T 28448.2-20XX 信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求;——GB/T 28448.3-20XX 信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求;——GB/T 28448.4-20XX 信息安全技术网络安全等级保护测评要求第4部分:物联网安全扩展要求;——GB/T 28448.5-20XX 信息安全技术网络安全等级保护测评要求第5部分:工控控制安全扩展要求;——GB/T 28448.6-20XX 信息安全技术网络安全等级保护测评要求第6部分:大数据安全扩展测评要求。
2 编制过程1)2013年12月,公安部第三研究所、中国电子技术标准化研究院和北京神州绿盟科技有限公司成立了《信息安全技术信息安全等级保护测评要求》标准编制组。
2)2014年1月至5月,标准编制组按照计划调研了国际和国内无线接入、虚拟计算、云计算平台、大数据应用和工控系统应用等新技术、新应用的情况,分析并总结了新技术和新应用中的安全关注点和要素;同时标准编制组调研了与《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)相关的其他国家标准和行业标准,分析了《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)的修订可能对其产生的影响。
3)2014年5月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展,公安部十一局牵头会同有关部门组织2014年新领域的国家标准立项,根据新标准立项结果确定《基本要求》修订思路发生重大变化,为适应《基本要求》修订思路的变化在《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)的基础上,针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评要求”的分册,如《信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求》、《信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》、《信息安全技术网络安全等级保护测评要求第4部分:物联网安全扩展要求》、《信息安全技术网络安全等级保护测评要求第5部分:工控控制安全扩展要求》和《信息安全技术网络安全等级保护测评要求第6部分:大数据安全扩展要求》。
构成GB/T 28448.1、GB/T 28448.2、……等测评要求系列标准,上述思路的变化直接影响了国家标准GB/T 28448-2012的修订思路和内容。
5)2014年7月至2015年5月,标准编制组根据新修订《基本要求》草案第一稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第一稿。
6)2015年5月至2015年12月,标准编制组根据新修订《基本要求》草案第三稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第二稿。
7)2016年5月至2016年6月,标准编制组根据新修订《基本要求》草案第五稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第三稿。
8)2016年5月23日,在评估中心针对《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第三稿进行行业内专家评审会。
9)2016年7月,标准编制组根据新修订《基本要求》草案第六稿和第七稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿。
9)2016年7月-8月,将《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿发送11家等级测评机构和WG5工作组成员单位征求意见。
10)2016年8月12日,在北京瑞安宾馆第五会议室召开WG5工作组部分专家评审会,针对《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿征求意见。
11)2016年8月25日,在北京瑞安宾馆第二会议室参加WG5工作组在研标准推进会,在会上征求所有WG5工作组成员单位意见。
12)根据专家意见已经修订完成,形成《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第五稿。
13)根据测评机构反馈意见修订完成,形成《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第六稿。
14)前正在推进《测评要求》后续专标准修订工作。
3 标准编制的技术路线安全等级保护测评(以下简称等级测评)的概念性描述框架由两部分构成:单项测评和整体测评,图1给出了等级测评框架。
图1 等级测评描述框架针对基本要求各安全要求项的测评称为单项测评,单项测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性。
单项测评是由测评指标、测评对象、测评实施和单元判定构成。
本部分的测评指标包括《信息安全技术网络安全等级保护基本要求第1部分:安全通用要求》第四级目录下的要求项。
测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等。
对于框架来说,每一个被测安全要求项(不同级别)均有一组与之相关的预先定义的测评对象(如制度文档、各类设备设施及相关人员等)。
制度文档是指针对等级保护对象所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功能规格及建筑设计)。
各类设备是指安装在等级保护对象之内或边界,能起到特定保护作用的相关部件(如:硬件、软件、固件或物理设施)。
相关人员或部门,是指应用上述制度、设备及安全配置的人。
测评实施是一组针对特定测评对象,采用相关测评方法,遵从一定的测评规程所形成的,用于测评人员使用的确定该要求项有效性的程序化陈述。
测评实施主要由测评方法和测评规程构成。
其中测评方法包括:访谈、检查和测试(说明见术语),测评人员通过这些方法试图获取证据。
上述的评估方法都由一组相关属性来规范测评方法的测评力度。
这些属性是:广度(覆盖面)和深度。
对于每一种测评方法都标识(定义)了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法。
上述三种测评方法(访谈、检查和测评)的测评结果都用以对安全控制的有效性进行评估。
测评规程是各类测评方法操作使用的过程、步骤,测评规程实施完成后,可以获得相应的证据。
结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法。
通过测评实施所获得的所有证据都满足要求则为符合,不全满足要求则该单项要求不符合。