信息安全技术网络安全等级保护测评要求第3部分：移动互联安全扩展要求编制说明

网络安全等级保护-移动互联安全扩展要求规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB17859-1999 计算机信息系统安全保护等级划分准则GB/T22239、1-XXXX 信息安全技术网络安全等级保护基本要求第1部分：安全通用要求GB/T22240 信息安全技术网络安全等级保护定级指南GB/T25069-xx 信息安全技术术语2 术语和定义GB17859-1999、GB/T22239、1-XXXX、GB/T22240和GB/T25069-xx界定的以及下列术语和定义适用于本文件。

2、1 移动终端 mobile device在移动业务中使用的智能终端设备，包括手机、PAD、PC等通用终端和专用终端设备。

2、2 无线接入设备 wireless access device采用无线通信技术将移动终端接入有线网络的通信设备。

本标准的无线接入设备是指为采用移动互联技术等级保护对象使用的专用无线设备，不包括公共的无线接入设备（如公共WiFi、运营商基站等）。

2、3 无线接入网关 wireless access gateway部署在无线网络与有线网络之间，对等级保护对象进行安全防护的设备。

2、4 移动应用软件mobile application在移动终端中运行的一般软件，包括通用移动应用软件以及等级保护对象业务移动应用软件。

本标准“应用安全”要求包括通用移动应用软件安全要求和等级保护对象业务移动应用软件安全要求。

2、5 移动终端管理系统mobile device management system（MDMS）用于进行移动终端设备管理、应用管理和内容管理的专用软件，包括客户端软件和服务端软件。

3 采用移动互联技术等级保护对象安全等级保护概述3、1 采用移动互联技术等级保护对象采用移动互联技术等级保护对象与传统等级保护对象的区别在于移动终端可以通过无线方式接入网络，如图1采用移动互联技术等级保护对象构成所示移动终端可以远程通过运营商基站或公共Wi-Fi接入等级保护对象，也可以在本地通过本地无线接入设备接入等级保护对象。

国家标准《信息安全技术互联网信息服务安全通用要求》（草案）编制说明一、工作简况1.1任务来源《信息安全技术互联网信息服务安全通用要求》是全国信息安全技术标准化委员会2019年立项的信息安全国家标准制定项目，由中国科学院信息工程研究所主要牵头承担。

该标准参照国家针对网络安全与互联网信息服务出台的一系列法律法规政策，包括《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等。

该标准由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员中国科学院信息工程研究所（以下简称“中科院信工所”）主要负责起草，公安部第三研究所、中国电子技术标准化研究院、中国信息通信研究院、中国电子科技集团公司第十五研究所、北京理工大学等单位共同参与该标准的起草工作。

工作组成员包括：孟丹、郭涛、张潇丹、顾健、周熙、胡静远、韩冀中、赵云霞、贺滢睿、姚相振、魏巍、霍珊珊、锁延锋、张媛媛、马庆栋、周薇、王宇航、张华平等。

1.3 主要工作过程1、2017年4月——2018年5月，中科院信工所作为《信息安全技术互联网新闻信息服务新技术新应用安全评估实施规范》研究项目参与单位之一，顺利项目完成结题验收。

2、2018年7月——2018年12月，与参与单位共同开展标准体系架构研讨，组织召开3次内部技术研讨会，修改10余次。

3、2018年12月——2019年2月，与参与单位共同完成标准草案，并组织召开专家研讨会，并根据专家意见对标准内容进行3轮次修改。

4、2019年2月——2019年4月，对标准内容进行修改和调整，并组织召开专家研讨会，根据专家意见对标准内容进行2轮次修改，形成标准草案。

5、2019年4月，在全国信息安全标准化技术委员会2019年第一次工作组“会议周”上进行立项申请。

6、2019年5月——2019年9月，对标准草案进行讨论和完善。

控制点安全要求要求解读无线接入点的物理位置应为无线接入设备的安装选择合理位置，避免过度覆盖和电磁干扰无线接入设备的安装位置选择不当，易被攻击者利用，特别是通过无线信号过度覆盖的弱点进行无线渗透攻击，因此要选择合理的位置安装无线接入设备边界防护应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备保证无线网络与有线网络之间的网络边界隔离与安全访问控制，要求在有线网络与无线网络边界之间的和数访问和数据流通过无线接入网关设备，防止无线安全防护边界缺失访问控制无线接入设备应开启接入认证功能，并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证为保证无线接入终端的安全接入，可在无线接入设备上开启认证功能，部署认证服务器对无线接入终端认证，也可以采用国家密码管理机构批准的密码模块的认证a)应能检测到非授权的无线接入设备和非授权的移动终端的接入行为保证接入到无线网络中的无线设备均为已授权的无线设备，防止私搭乱建无线网络所带来的安全隐患，比如网络中用户自己搭建的非法wifi,，或恶意搭建的wifi钓鱼等b)应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为为保证无线接入设备的安全性，防止被攻击者采用技术手段进行攻击，要求能够对无线网络攻击进行检测与记录c)应能够检测到无线设备的SSID广播、WPS等高风险功能的开启状态为保证无线接入设备的安全性，应检测内部无线网络接入设备的SSID广播、WPS等高风险功能的是否已关闭，如发现未关闭时应及时关闭相关高风险功能d)应禁止多个AP使用同一个鉴别密钥为保证无线AP的安全，禁止多个AP使用同一个鉴别密钥。

比如：使用同一个认证密钥一旦被破解则使用相同密钥的AP都面临相同风e)应能够阻断非授权无线接入设备或非授权移动终端为保证接入无线网络中的设备和终端均为授权终端，要求定位和阻断非授权无线接入设备或非授权移动终端。

信息安全技术网络安全等级保护测评要求信息安全技术网络安全等级保护测评要求1.引言1.1 目的1.2 背景2.术语和定义3.系统规划3.1 网络架构规划3.1.1 网络拓扑3.1.2 网络设备规划3.2 安全策略规划3.2.1 安全策略制定3.2.2 风险评估和管理4.网络访问控制4.1 身份认证4.1.1 用户身份认证4.1.2 设备身份认证4.2 访问控制列表4.2.1 网络边界访问控制 4.2.2 内部访问控制4.3 资源权限管理4.3.1 用户授权管理4.3.2 角色权限管理5.通信安全5.1 数据加密5.2 网络隔离5.3 网络流量监测6.系统安全6.1 操作系统安全配置6.1.1 账户管理6.1.2 安全补丁管理6.2 应用程序安全6.2.1 安全开发规范6.2.2 漏洞扫描和修复7.日志审计与事件响应7.1 日志管理7.1.1 日志收集7.1.2 日志分析7.2 应急响应7.2.1 安全事件分级7.2.2 应急响应计划8.物理安全8.1 机房安全8.1.1 门禁与监控系统 8.1.2 机房环境监测 8.2 设备安全8.2.1 设备防护措施8.2.2 设备备份和恢复9.漏洞管理9.1 漏洞扫描9.2 漏洞评估9.3 漏洞修复10.文件和数据备份10.1 数据备份策略10.2 数据恢复测试11.域名管理11.1 域名注册和管理11.2 域名解析安全12.附件12.1 附件1：网络架构图12.2 附件2：安全策略文件12.3 附件3：漏洞扫描报告法律名词及注释：1.《网络安全法》：中华人民共和国国家法律，旨在加强网络安全保护，维护网络空间主权。

2.《个人信息保护法》：中华人民共和国国家法律，规定个人信息的收集、存储、处理和保护等方面的要求。

3.《电子签名法》：中华人民共和国国家法律，规定电子签名的认证、有效性和法律效应。

4.《计算机软件保护条例》：中华人民共和国国家法律，保护计算机软件的知识产权。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源信息安全技术信息系统安全等级保护测评要求于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作;但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订;根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准信息安全技术信息系统安全等级保护测评要求修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006;1.2制定本标准的目的和意义信息安全等级保护管理办法公通字200743号明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一;这就要求等级测评过程规范、测评结论准确、公正及可重现;信息安全技术信息系统安全等级保护基本要求GB/T22239-2008简称基本要求和信息安全技术信息系统安全等级保护测评要求GB/T28448-2012简称测评要求等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用;伴随着IT技术的发展,基本要求中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标;作为基本要求的姊妹标准,测评要求需要同步修订,依据基本要求的更新内容对应修订相关的单元测评章节;此外,测评要求还需要吸收近年来的测评实践,更新整体测评方法和测评结论形成方法;1.3与其他标准的关系图1 等级保护标准相互关系从上图可以看出,在等级保护对象实施安全保护过程中,首先利用信息安全技术信息系统安全等级保护定级指南GB/T 22240-2008简称“定级指南”确定等级保护对象的安全保护等级,然后根据信息安全技术网络安全等级保护基本要求系列标准选择安全控制措施,随后利用信息安全技术信息系统安全等级保护实施指南简称“实施指南”或其他相关标准确定其特殊安全需求,进行等级保护对象的安全规划和建设工作,此后利用信息安全技术网络安全等级保护测评过程指南GB/T 28449-20XX简称“测评过程指南”来规范测评过程和各项活动,利用信息安全技术网络安全等级保护测评要求系列标准来判断安全控制措施的有效性;同时,等级保护整个实施过程又是由实施指南来指导的;在等级保护的相关标准中,测评要求系列标准是基本要求系列标准的姊妹篇,测评要求针对基本要求中各要求项,提供了具体测评方法、步骤和判断依据等,是为了确认等级保护对象是否按照基本要求中的不同等级的技术和管理要求实施的,而测评过程指南则是规定了开展这些测评活动的基本过程,包括过程、任务及产品等,以指导用户对测评要求的正确使用;1.4标准组成为了适应移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用情况下网络安全等级保护测评工作的开展,需对GB/T 28448-2012进行修订,修订的思路和方法是针对移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用领域提出扩展的测评要求;对GB/T 28448-2012的修订完成后,测评要求标准成为由多个部分组成的系列标准,目前主要有六个部分：——GB/T 信息安全技术网络安全等级保护测评要求第1部分：安全通用要求；——GB/T 信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第3部分：移动互联安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第4部分：物联网安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第5部分：工控控制安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第6部分：大数据安全扩展测评要求; 2编制过程12013年12月,公安部第三研究所、中国电子技术标准化研究院和北京神州绿盟科技有限公司成立了信息安全技术信息安全等级保护测评要求标准编制组;22014年1月至5月,标准编制组按照计划调研了国际和国内无线接入、虚拟计算、云计算平台、大数据应用和工控系统应用等新技术、新应用的情况,分析并总结了新技术和新应用中的安全关注点和要素；同时标准编制组调研了与信息安全技术信息系统安全等级保护测评要求GB/T 28448-2012相关的其他国家标准和行业标准,分析了信息安全技术信息系统安全等级保护基本要求GB/T 22239-2008的修订可能对其产生的影响;32014年5月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展,公安部十一局牵头会同有关部门组织2014年新领域的国家标准立项,根据新标准立项结果确定基本要求修订思路发生重大变化,为适应基本要求修订思路的变化在信息安全技术信息系统安全等级保护测评要求GB/T 28448-2012的基础上,针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评要求”的分册,如信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求、信息安全技术网络安全等级保护测评要求第3部分：移动互联安全扩展要求、信息安全技术网络安全等级保护测评要求第4部分：物联网安全扩展要求、信息安全技术网络安全等级保护测评要求第5部分：工控控制安全扩展要求和信息安全技术网络安全等级保护测评要求第6部分：大数据安全扩展要求;构成GB/T 、GB/T 、……等测评要求系列标准,上述思路的变化直接影响了国家标准GB/T 28448-2012的修订思路和内容;52014年7月至2015年5月,标准编制组根据新修订基本要求草案第一稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第一稿;62015年5月至2015年12月,标准编制组根据新修订基本要求草案第三稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第二稿;72016年5月至2016年6月,标准编制组根据新修订基本要求草案第五稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第三稿;82016年5月23日,在评估中心针对信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第三稿进行行业内专家评审会;92016年7月,标准编制组根据新修订基本要求草案第六稿和第七稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第四稿;92016年7月-8月,将信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第四稿发送11家等级测评机构和WG5工作组成员单位征求意见;102016年8月12日,在北京瑞安宾馆第五会议室召开WG5工作组部分专家评审会,针对信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第四稿征求意见;112016年8月25日,在北京瑞安宾馆第二会议室参加WG5工作组在研标准推进会,在会上征求所有WG5工作组成员单位意见;12根据专家意见已经修订完成,形成信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第五稿;13根据测评机构反馈意见修订完成,形成信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第六稿;14前正在推进测评要求后续专标准修订工作;3标准编制的技术路线安全等级保护测评以下简称等级测评的概念性描述框架由两部分构成：单项测评和整体测评,图1给出了等级测评框架;图1 等级测评描述框架针对基本要求各安全要求项的测评称为单项测评,单项测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性;单项测评是由测评指标、测评对象、测评实施和单元判定构成;本部分的测评指标包括信息安全技术网络安全等级保护基本要求第1部分：安全通用要求第四级目录下的要求项;测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等;对于框架来说,每一个被测安全要求项不同级别均有一组与之相关的预先定义的测评对象如制度文档、各类设备设施及相关人员等;制度文档是指针对等级保护对象所制定的相关联的文件如：政策、程序、计划、系统安全需求、功能规格及建筑设计;各类设备是指安装在等级保护对象之内或边界,能起到特定保护作用的相关部件如：硬件、软件、固件或物理设施;相关人员或部门,是指应用上述制度、设备及安全配置的人;测评实施是一组针对特定测评对象,采用相关测评方法,遵从一定的测评规程所形成的,用于测评人员使用的确定该要求项有效性的程序化陈述;测评实施主要由测评方法和测评规程构成;其中测评方法包括：访谈、检查和测试说明见术语,测评人员通过这些方法试图获取证据;上述的评估方法都由一组相关属性来规范测评方法的测评力度;这些属性是：广度覆盖面和深度;对于每一种测评方法都标识定义了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法;上述三种测评方法访谈、检查和测评的测评结果都用以对安全控制的有效性进行评估;测评规程是各类测评方法操作使用的过程、步骤,测评规程实施完成后,可以获得相应的证据;结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法;通过测评实施所获得的所有证据都满足要求则为符合,不全满足要求则该单项要求不符合;整体测评是在单项测评基础上,分别从安全控制点测评,安全控制点间和层面间三个角度分别进行测评;4标准总体框架本标准共分为11章,4个附录,每章内容如下：第1、2、3章,为标准的常规性描述,包括范围、规范性引用文件、术语和定义；第4章,概要描述了安全等级保护测评方法及单项测评和整体测评组成；第5、6、7、8章,分别描述了第一、二、三、四级测评要求,每级分别遵从基本要求的框架从安全技术和安全管理两大方面描述如何实施测评工作,其中技术方面分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面展开；而管理方面则分别从安全策略和管理制度、安全管理机构和人员、安全建设管理和安全系统运维管理四个方面展开,与基本要求形成了相互对照、和谐统一的标准体系;第9章,略掉第五级的测评要求;第10章,描述了系统整体测评方法;在单项测评的基础上,从系统整体的角度综合考虑如何进行系统性的测评;分别从安全控制点、安全控制点间及层面间测评三方面进行描述,分析了在进行系统测评时所需考虑的方向和指导思想;第11章,概要说明了给出测评结论的方法,测评结论主要应该包括哪些方面的内容等;附录A,描述了各种测评方法的测评强度,并具体描述针对不同等级保护对象的测评强度;附录B,描述了测评指标编码规则及专用缩略语;附录C,描述了设计要求测评验证内容;附录D,为基本要求的要求项和测评要求的测评单元索引表;5主要章节的编写方法第5、6、7、8章分别描述了第一级、第二级、第三级和第四级所有测评要求的内容,在章节上分别对应国标GB/T 的第5章到第8章;在国标GB/T 第5章到第8章中,各章的二级目录都分为安全技术和安全管理两部分,三级目录从安全层面如物理和环境安全、网络和通信安全、设备和计算安全等进行划分和描述,四级目录按照安全控制点进行划分和描述如设备和计算安全层面下分为身份鉴别、访问控制、安全审计等,第五级目录是每一个安全控制点下面包括的具体安全要求项;具体编制案例如下;案例：7 第三级测评要求安全技术单项测评物理和环境安全物理位置的选择测评单元L3-PES1-01a 测评指标机房场地应选择在具有防震、防风和防雨等能力的建筑内；本条款引用自b 测评对象记录类文档、机房;c 测评实施1 应核查所在建筑物是否具有建筑物抗震设防审批文档；2 应核查机房是否不存在雨水渗漏；3 应核查门窗是否不存在因风导致的尘土严重；4 应核查屋顶、墙体、门窗和地面等是否不存在破损开裂;d 单元判定如果1-4均为肯定,则等级保护对象符合本测评单元指标要求,否则,等级保护对象不符合或部分符合本测评单元指标要求;测评单元L3-PES1-02a 测评指标机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施;本条款引用自b 测评对象机房;c 测评实施1 应核查是否不位于所在建筑物的顶层或地下室,如果否,则核查是否采取了防水和防潮措施;d 单元判定如果以上测评实施内容为肯定,则等级保护对象符合本测评单元指标要求,否则,等级保护对象不符合本测评单元指标要求;信息安全技术网络系统安全等级保护测评要求第1部分：安全通用要求编写组2016年10月。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。

信息安全技术网络安全等级保护测评要求网络安全等级保护测评（Information Security Technology Network Security Level Protection Evaluation），简称等保测评，是我国针对信息系统安全的一项重要评估工作。

等保测评旨在通过评估信息系统的安全性，确保信息系统的保密性、完整性和可用性，保护国家信息安全。

等保测评的要求主要包括以下几个方面：1.目标评估：等保测评主要评估网络系统的目标，包括系统的安全目标、保密目标、完整性目标等。

评估的目标要明确、具体，符合法律法规和技术要求。

2.风险评估：测评需对系统面临的风险进行评估，包括外部威胁、内部威胁以及自然灾害等。

针对不同风险应制定不同的安全控制措施，以保证网络系统的安全。

3.安全策略：等保测评要求对信息系统的安全策略进行评估，包括访问控制策略、密码策略、数据备份策略、应急响应策略等。

这些策略需要符合相关标准和规范，并实际有效。

4.安全管理制度：测评要求对安全管理制度进行评估，包括安全管理机构设置、安全策略的制定和执行、安全培训和教育等。

这些制度要健全完善，确保网络系统的安全运行。

5.技术控制：等保测评要求评估系统的技术控制措施，包括网络安全设备配置、网络拓扑结构、系统安全补丁和更新等技术方面的控制措施。

这些措施需要科学合理，满足系统的安全需求。

6.运行维护：等保测评要求评估系统的运行和维护情况，包括系统日志记录和监控、设备维护管理、安全事件的处理等。

这些要求能够保证系统平稳运行和及时应对安全事件。

7.测评报告：等保测评要求评估结果生成测评报告。

测评报告应包含测评方法、测评结果、问题与不足、建议改进等内容，并提供详细的数据和分析，为后续的安全改进工作提供依据。

总之，等保测评要求对信息系统的安全进行全面评估，从目标评估、风险评估、安全策略、安全管理制度、技术控制、运行维护等多个方面进行评估，以确保信息系统达到一定的安全等级，保护国家信息安全。

《信息安全技术网络安全等级保护测评要求》（G B/T28448-2019）标准解读0引言信息系统等级保护系列国家标准在我国推行信息安全工作开展过程中发挥了重要作用，被广泛应用于网络安全职能部门、各行业和领域的网络安全管理部门及等级测评机构开展系统定级、安全建设整改、等级测评、安全自查和安全监督检查等相关工作。

但随着IT技术的飞速发展，特别是在云计算、移动互联、物联网、工业控制和大数据等新技术、新应用环境下，GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》和GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》在应用过程中遇到了一些新的问题，在适用性、时效性、易用性、可操作性上需要进一步完善。

2017年6月1日颁布实施的《中华人民共和国网络安全法》也要求各网络安全职能部门、各行业和领域的网络安全管理部门等配合落实国家网络安全等级保护制度，需要同时对GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》和GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》进行修订。

为适应我国网络安全等级保护工作发展的需要，进一步与新版的GB/T22239-2019相协调，有必要对GB/T28448-2012进行修订。

2014年，公安部第三研究所（公安部信息安全等级保护评估中心）根据国家标准编号制修订计划，牵头组织了对GB/T28448-2012的修订工作，前后共有20多家单位、70多人参与修订工作。

修订工作历经调查研究、草案形成、征求意见稿、送审稿和报批稿等过程，收到了各行业职能部门、用户、专家的宝贵意见。

2019年，《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）国家标准正式实施。

本文分析了GB/T28448-2019发生的主要变化，解读其内容修订和等级测评工作变化等主要内容，以便读者更好地了解和掌握GB/T28448-2019的内容标准主要内容变化0.1标准文本结构变化GB/T28448-2019标准文本分为12章，3个附录。