网络安全等级保护测评实施-3

17
整体测评内容变化
GB/T 28448-2012
安全控制点间测评
层面间测评
区域间测评(删除）
GB/T 28448-20XX
安全控制点测评（新增） 安全控制点间测评 层面间测评
18
增加附录B
B.1 测评指标编码规则
测评单元编号为3组数据，格式为XX-XXXX-XX 示例：测评单元编号为L1-PES1-01，代表源自基本 要求第1部分的第一级单项测评的物理和环境安全类的第1 个指标。


网络（拓扑、外联、设备）
主机（OS、DBMS、MID、终端）
测评 准备
应用（业务流、数据流和部署） 方案 现场 编制 管理（机构设置、人员职责、管 测评 理相关文档等）
报告 编制
项目启动 基本情况调研 结果数据分析（层次模型） 测评工具准备
人员访谈 安全配置核查 网络抓包与分析 漏洞扫描与验证 远程渗透测试
工业控制系统安全扩展要求
9
增加等级测评定义
等级测评是指测评机构依据国家信息安全等级保
护制度规定，按照有关管理规范和技术标准，对未涉及
国家秘密的等级保护对象进行安全等级保护状况进行检 测评估的活动。
10
测评技术框架变化
GB/T 28448-2012 单元测评 针对基本要求各安全控制点的测评为单元测评。支持测评结果的可重复性和可再现 性，由测评指标、测评实施和结果判定构成。 整体测评 在单元测评的基础上，通过进一步分析信息系统安全保护功能的整体相关性，对信 息系统实施的综合安全测评。
针对安全控制 点的测评实施
15
单项测评（新版标准）
8 第三级测评要求 8.1 安全测评通用要求 8.1.1 物理和环境安全 8.1.1.1 物理位置的选择 8.1.1.1.1 测评单元（L3-PES1-01） 该测评单元包括以下要求： a) 测评指标: 机房场地应选择在具有防震、防风和防雨等能力的建筑内； b) 测评对象: 机房。 c) 测评实施包括以下内容： 1) 应检查所在建筑物是否具有建筑物抗震设防审批文档； 2) 应检查是否存在雨水渗漏； 3) 应检查门窗是否因风导致的尘土严重； 4) 应检查屋顶、墙体、门窗和地面等是否破损开裂。 d) 单项判定：如果1）-4）均为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不 符合或部分符合本单项测评指标要求。 8.1.1.1.2 测评单元（L3-PES1-02） 该测评单元包括以下要求： a) 测评指标：机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。 b) 测评对象：机房。 c) 测评实施包括以下内容： 1) 应检查是否不位于所在建筑物的顶层或地下室； 2) 如果机房位于所在建筑物的顶层或地下室，应检查是否采取了防水和防潮措施。 d) 单项判定：如果1）或2）为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不 符合或部分符合本单项测评指标要求。
标准修订工作里程碑
2017年9月 2017年4月
2018年6月 形成标准报批稿 形成合稿后的标准送审稿
5个分册形成标准送审稿
2016年11月 形成标准征求意见稿 2014年5月 第1部分：通用安全测评要求（公安部信息安全等级保护评估中心） 第2部分：云计算安全测评扩展要求（国家信息中心） 2013年12月 成立标准编制组 第3部分：移动互联安全测评扩展要求（公安部信息安全等级保护评估中心） 第4部分：物联网安全测评扩展要求（信息产业信息安全测评中心） 第5部分：工业控制安系统安全测评扩展要求（能源局信息中心）
测评方式：访谈、检查和测试
服务对象：主管部门，运维、使用单位，信息安全监管部门 判定准则：满足业务需求
- 23 -
测 评 流 程
沟 通 与 洽 谈
项目启动 测 评 准 备 信息收集与分析 工具和表单准备
对象确定 方 案 编 制
对象确定
测评内容确定 测评方法确定 测评指导书开发 测评实施准备
由原来的安全 控制点变为要求项
针对要求项的 测评实施
16
新增测评对象
8 第三级测评要求 8.1 安全测评通用要求 8.1.1 物理和环境安全 8.1.1.1 物理位置的选择 8.1.1.1.1 测评单元（L3-PES1-01） 该测评单元包括以下要求： a) 测评指标: 机房场地应选择在具有防震、防风和防雨等能力的建筑内； b) 测评对象: 机房。 c) 测评实施包括以下内容： 1) 应检查所在建筑物是否具有建筑物抗震设防审批文档； 2) 应检查是否存在雨水渗漏； 3) 应检查门窗是否因风导致的尘土严重； 4) 应检查屋顶、墙体、门窗和地面等是否破损开裂。 d) 单项判定：如果1）-4）均为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不 符合或部分符合本单项测评指标要求。 8.1.1.1.2 测评单元（L3-PES1-02） 该测评单元包括以下要求： a) 测评指标：机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。 b) 测评对象：机房。 c) 测评实施包括以下内容： 1) 应检查是否不位于所在建筑物的顶层或地下室； 2) 如果机房位于所在建筑物的顶层或地下室，应检查是否采取了防水和防潮措施。 d) 单项判定：如果1）或2）为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不 符合或部分符合本单项测评指标要求。
安全测评扩展要求
针对云计算、移动互联、物联网和工业控制系统提出了特殊安全测评要求。
8
测评实施内容变化
某级安全要求
安全通用要求 云计算安全扩展要求 移动互联安全扩展要求 物联网安全扩展要求
某级测评要求
安全测评通用要求 云计算安全测评扩展要求 移动互联安全测评扩展要求 物联网安全测评扩展要求 工业控制系统安全测评扩展 要求
安全控制点
c) 应检查机房和办公场地所在建筑物是否具有防风和防雨等能力；
d) 应检查机房场地是否不在用水区域的垂直下方； e) 如果机房场地位于建筑物的高层或地下室或用水设备的隔壁，应检查机房是否采取了防水和防潮措施。 7.1.1.1.3 结果判定 如果7.1.1.1.2 a）-e）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单 元测评指标要求。
6
标准名称变化
01
信息安全技术 信息系统安全 等级保护测评 要求
03
信息安全技术 网络安全等级 保护测评要求
标准名称
+
+
+
02
信息安全技术 信息安全等级 保护测评要求
7
测评实施内容变化
01
新版标准：
安全测评通用要求和安全测评扩展要求。
旧版标准:
测评要求。
02
安全测评通用要求
不管等级保护对象形态，均需使用通用测评要求。
……
要求项
……
……
13
测评指标细化
GB/T 28448-2012
测评指标 见GB/T 22239-2008 7.1.1.1。（控制点）
GB/T 28448-20XX
测评指标 机房场地应选择在具有防震、防风和防雨等能力的建筑内；（要求项）
14
单元测评（旧版标准）
7 第三级信息系统单元测评 7.1 安全技术测评 7.1.1 物理安全 7.1.1.1 物理位置的选择 7.1.1.1.1 测评指标 见GB/T 22239-2008 7.1.1.1。 7.1.1.1.2 测评实施 本项要求包括： a) 应访谈物理安全负责人，询问机房和办公场地所在建筑物是否具有防震、防风和防雨等能力； b) 应检查是否有机房和办公场地所在建筑物抗震设防审批文档； 7 第三级基本要求 7.1 技术要求 7.1.1 物理安全 7.1.1.1 物理位置的选择（G3） 本项要求包括： a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。
调研国内外其他标准
研究新技术、新应用
5
《测评要求》文本结构
由12个章节4个附录构成 1.范围 2.规范性引用文件 3.术语定义 4.缩略语 5.等级测评概述 6.7.8.9.10五个等级的测评要求 11.整体测评 12.测评结论 附录A 测评力度
附录B 测评单元编号说明
附录C 设计要求测评验证表 附录D 测评要求和基本要求对应表
综合正向与反向：
方案 编制
现场 测评
报告 编制

制度体系化，贯彻落实
基本情况调研 结果数据分析 测评工具准备 人员访谈 安全配置核查 网络抓包与分析 漏洞扫描与验证 渗透测试/验证
- 26 -
测评内容－物理安全
支持系统运行的设施环境和构成系统的硬 件设备和介质


MMS 安全运维管理（Maintenance Management Security）
20
8、增加附录D
21
二、等级测评采用的标准流程
22
等级测评的特点
执行主体：符合条件的测评机构 执行的强制性：管理办法强制周期性执行 执行对象：已经定级的信息系统 测评依据：依据《基本要求》《测评要求》 测评内容：单元测评（技术和管理）和整体测评 测评付出：不同级别的测评力度不同
- 25 -
实施过程

选择测评对象 选择测评指标 确定测评方法 编制测评计划
安全相关 类型覆盖 动态抽样
单项符合性判定 整体测评 安全问题分析 形成测评结论

行业要求 企业需求 运行环境、业务特色
提出整改建议

访谈、检查、测试
测评 安全配置检查 准备 渗透测试与漏洞验证
11
单元测评
单元测评
wenku.baidu.com
单项测评
针对基本要求各安全控制点的测评称为单元测评。
单项测评 针对基本要求各安全要求项的测评称为单项测评。
单元测评（旧版标准）=若干个单项测评（新版标准）
12
测评实施作用面不同
某级系统 基本要求 技术要求 层面 控制点 ……
旧版测评要求
管理要求 …… ……
新版测评要求
层面 控制点 要求项
现 场 测 评
现场测评和结果记录 结果确认和资料归还 单项测评结果判定
报 告 编 制
整体测评 风险分析 等级测评结论形成
实施过程
单项符合性判定 选择测评对象 选择测评指标 确定测评方法 运行环境及潜在威胁 编制测评计划 整体测评 安全问题分析 形成测评结论 提出整改建议
GB/T 28448-20XX 单项测评 针对各安全要求项的测评，支持测评结果的可重复性和可再现性。本标准中单项测 评由测评指标、测评对象、测评实施和单元判定构成。 整体测评 整体测评是在单项测评基础上，对等级保护对象整体安全保护能力的判断。整体安 全保护能力从纵深防护和措施互补二个角度评判。
19
增加附录B
B.2 专用缩略语
ADS CMS ECS NCS ORS PES PSS 应用和数据安全（Application and Data Security） 安全建设管理（Construction Management Security） 设备和计算安全（Equipment and Computing Security） 网络和通信安全（Network and Communication Security） 安全管理机构和人员（Organization and Resource Security） 物理和环境安全为（Physical and Environment Security） 安全策略和管理制度（Policy and System Security）
安全等级保护培训
网络安全等级保护测评实施
公安部信息安全等级保护评估中心
马力
1
目录
1 3 2 3 3 3 4 3
等级测评使用的主要标准 等级测评采用的标准流程 新标准下等级测评的变化 重点关注内容解读（通用部分）
2
一、等级测评使用的主要标准
3
等级测评主要参照的标准
《信息系统安全等级保护基本要求》GB/T22239-2008
《网络安全等级保护基本要求》GB/T22239-XXXX
《信息系统安全等级保护测评要求》GB/T28448-2012
《网络安全等级保护测评要求》GB/T28448-XXXX
《信息系统安全等级保护测评过程指南》GB/T28449-2012
《网络安全等级保护测评过程指南》GB/T28449-XXXX