信息安全技术网络安全等级保护测评要求第部分安全通用要求编制说明

国家标准《信息安全技术互联网信息服务安全通用要求》（草案）编制说明一、工作简况1.1任务来源《信息安全技术互联网信息服务安全通用要求》是全国信息安全技术标准化委员会2019年立项的信息安全国家标准制定项目，由中国科学院信息工程研究所主要牵头承担。

该标准参照国家针对网络安全与互联网信息服务出台的一系列法律法规政策，包括《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等。

该标准由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员中国科学院信息工程研究所（以下简称“中科院信工所”）主要负责起草，公安部第三研究所、中国电子技术标准化研究院、中国信息通信研究院、中国电子科技集团公司第十五研究所、北京理工大学等单位共同参与该标准的起草工作。

工作组成员包括：孟丹、郭涛、张潇丹、顾健、周熙、胡静远、韩冀中、赵云霞、贺滢睿、姚相振、魏巍、霍珊珊、锁延锋、张媛媛、马庆栋、周薇、王宇航、张华平等。

1.3 主要工作过程1、2017年4月——2018年5月，中科院信工所作为《信息安全技术互联网新闻信息服务新技术新应用安全评估实施规范》研究项目参与单位之一，顺利项目完成结题验收。

2、2018年7月——2018年12月，与参与单位共同开展标准体系架构研讨，组织召开3次内部技术研讨会，修改10余次。

3、2018年12月——2019年2月，与参与单位共同完成标准草案，并组织召开专家研讨会，并根据专家意见对标准内容进行3轮次修改。

4、2019年2月——2019年4月，对标准内容进行修改和调整，并组织召开专家研讨会，根据专家意见对标准内容进行2轮次修改，形成标准草案。

5、2019年4月，在全国信息安全标准化技术委员会2019年第一次工作组“会议周”上进行立项申请。

6、2019年5月——2019年9月，对标准草案进行讨论和完善。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

矚慫润厲钐瘗睞枥庑赖。

矚慫润厲钐瘗睞枥庑赖賃。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

聞創沟燴鐺險爱氇谴净。

聞創沟燴鐺險爱氇谴净祸。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

残骛楼諍锩瀨濟溆塹籟。

残骛楼諍锩瀨濟溆塹籟婭。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

酽锕极額閉镇桧猪訣锥。

酽锕极額閉镇桧猪訣锥顧。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

国家标准《信息安全技术网络安全等级保护安全设计技术要求第1部分：通用设计要求》（征求意见稿）编制说明一、工作简况1.1任务来源《信息安全技术信息系统等级保护安全设计技术要求第1部分：通用设计要求》是国家标准化管理委员会 2014年下达的信息安全国家标准制定项目，国标计划号为：GB/T 25070.1-2010，由公安部第一研究所承担，参与单位包括北京工业大学、北京中软华泰信息技术有限责任公司、中国电子信息产业集团有限公司第六研究所、工业和信息化部电信研究院、阿里云计算技术有限公司、公安部第三研究所、中国信息安全测评中心、国家信息技术安全研究中心、浙江中烟工业有限责任公司、中央电视台、北京江南天安科技有限公司、华为技术有限公司、浪潮电子信息产业股份有限公司、浪潮集团、北京启明星辰信息安全技术有限公司。

1.2主要工作过程1)准备阶段2014年3月，在公安部11局的统一领导下，公安部第一研究所同协作单位共同成立标准编写项目组。

2）调研阶段标准起草组成立以后，项目组收集了大量国内外相关标准，进行了研讨，对信息安全的模型、威胁和脆弱性进行了充分讨论。

同时项目组参考了国内等级保护相关标准，为了真实了解行业内的安全要求，项目组也对行业内的企事业单位进行了调研。

3）编写阶段2014年4月，标准起草组组织了多次内部研讨会议，邀请了来自国内相关领域著名的专家、学者开展交流与研讨，确定了标准的总体技术框架、核心内容。

标准起草组按照分工，对标准各部分进行了编写，形成了《信息安全技术信息系统等级保护安全设计技术要求第1部分：通用设计要求》（草案）。

4）首次征求专家意见2014年4月，公安部11局组织业内专家对标准初稿进行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。

项目组根据专家意见，对标准进行了修改。

5）第二次征求专家意见2014年9、10月，公安部11局组织业内专家对标准初稿再次进行了研讨，专家再次对标准范围、内容、格式等进行了详细讨论，提出了宝贵意见。

信息安全技术网络安全等级保护基本要求第1部分安全通用要求1 范围本部分规定了不同等级保护对象的安全通用要求，对于采用移动互联、云计算、大数据、物联网和工业控制等新技术、新应用的保护对象，除使用本部分外还需参考其他的安全扩展要求。

本部分适用于指导分等级的非涉密保护对象的安全建设和监督管理。

2 规范性引用文件下列文件中的条款通过在本部分的引用而成为本部分的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本部分。

GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 25069-2010信息安全技术术语3 术语和定义GB/T 25069-2010和GB 17859-1999确立的以及下列术语和定义适用于本部分。

3.1 安全保护能力 security protection ability能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。

4 网络安全等级保护概述4.1 不同等级的安全保护对象安全等级保护对象是指等级保护工作中的保护对象，主要包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等；安全等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级。

第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。

《网络安全等级保护测评要求第2部分：云计算安全扩展要求》解读《网络安全等级保护测评要求第2部分：云计算安全扩展要求》解读「编者按Editors Note」由国家信息中心负责牵头编制的《网络安全等级保护测评要求第2部分：云计算安全扩展要求》（以下简称“云计算测评要求”）作为云计算安全等级测评的重要合规性评价标准备受瞩目。

本期我们邀请第一编制人国家信息中心禄凯处长为大家作详细解读。

云计算安全等级保护测评标准要点解读╱引言╱云计算作为广泛应用的新技术，越来越深入的影响着社会生活的各个领域。

全国各地政务云、金融云、教育云等建设的如火如荼，越来越多的云计算系统承担着重要的基础性服务。

在高速发展的同时，安全隐患和威胁也如影随形，如：不安全接口、服务中断、越权、滥用与误操作、共享技术漏洞和信息残留等问题时刻影响着云计算的健康发展。

云计算信息系统应具备什么样的安全防护措施，如何通过等级保护测评工作去检查和验证安全措施的合规性和有效性，已经成为云计算系统建设者、运营者、监管者以及使用者所关心的重要问题。

等级保护工作作为国家网络安全法明确的重要制度，已在我国信息系统安全保驾护航中发挥着重要作用。

为应对新技术、新应用发展所带来的安全问题，公安部网络安全保卫局组织开展了大规模的等级保护系列标准的修订。

云计算等级保护系列标准作为安全通用要求之后的第二分册，标准编制开始至今，受到相关各方的高度广泛关注，收到了很多宝贵意见和建议。

由国家信息中心负责牵头编制的《网络安全等级保护测评要求第2部分：云计算安全扩展要求》（以下简称“云计算测评要求”）作为云计算安全等级保护测评的实施依据备受瞩目。

下面由标准的主要编制人员为大家解读标准，希望作为云计算安全等级保护测评工作的实践指引，给大家提供指导和帮助。

云计算等级保护测评的讲解和技术研讨也将后续开展，也希望大家踊跃参加。

根据全国信息安全标准化技术委员会2013年10月确定的国家标准制修订计划，本次研编云计算等保系列标准包括三个：《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》（以下简称“云计算基本要求”）、《信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求》、《信息安全技术网络安全等级保护设计技术要求第2部分：云计算安全扩展要求》（以下简称“云计算设计要求”）。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。

信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求1 范围本部分规定了对不同等级的等级保护对象是否符合GB/T 22239.2-20XX所进行的测试评估活动的要求，包括对第二级等级保护对象、第三级等级保护对象和第四级等级保护对象进行安全测试评估的要求。

本部分略去对第一级等级保护对象、第五级等级保护对象进行安全测评评估的要求。

本部分规定了不同等级的保护对象的云计算安全扩展测评要求，除使用本部分外，还需参考通用测评要求。

本部分适用于信息安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象安全等级保护状况进行的安全测试评估。

信息安全监管职能部门依法进行的信息系统安全等级保护监督检查可以参考使用。

2 规范性引用文件下列文件对于本部分的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本部分。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本部分。

GB/T 25069-2010 信息安全技术术语GB17859-1999 计算机信息系统安全保护等级划分准则GB/T 22239.1-20XX 信息安全技术网络安全等级保护基本要求第1部分：安全通用要求GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南GB/T 28448.1-20XX 信息安全技术网络安全等级保护测评要求第1部分：通用测评要求GB/T 28449-20XX 信息安全技术信息系统安全等级保护测评过程指南GB/T 22239.2-20XX 信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求GB/T 25070.2-20XX 信息安全技术网络安全等级保护安全设计技术要求第2部分：云计算信息安全等级保护安全设计技术要求3 术语与定义GB/T 25069-2010、GB/T 28448.1-20XX和GB/T 22239.2-20XX界定的以及下列术语和定义适用于本部分。

信息安全技术网络安全等级保护测评要求信息安全技术是指为了保护信息系统中的信息不受到未经授权的访问、使用、披露、破坏、修改、干扰或者泄露的行为而采取的技术手段和管理措施。

网络安全等级保护测评是对信息系统网络安全等级保护的有效性进行评估和检测，以保障信息系统的安全性和可靠性。

本文将就信息安全技术网络安全等级保护测评要求进行详细介绍。

首先，网络安全等级保护测评要求包括对信息系统的网络安全等级进行评估和检测。

评估的内容包括信息系统的网络结构、网络设备、网络拓扑、网络接入控制、网络安全设备和网络安全管理等方面。

检测的内容包括网络设备的漏洞扫描、入侵检测、安全审计和安全监控等方面。

通过评估和检测，可以全面了解信息系统的网络安全等级保护情况，及时发现存在的安全隐患和漏洞，为制定安全防护措施提供依据。

其次，网络安全等级保护测评要求包括对信息系统的网络安全防护措施进行评估和检测。

评估的内容包括网络访问控制、网络边界防护、网络安全监控、网络安全事件响应和网络安全管理等方面。

检测的内容包括网络设备的安全配置、安全补丁管理、网络安全设备的性能和稳定性等方面。

通过评估和检测，可以全面了解信息系统的网络安全防护措施的有效性和可靠性，及时发现存在的安全风险和漏洞，为提升网络安全等级保护水平提供依据。

再次，网络安全等级保护测评要求包括对信息系统的网络安全管理进行评估和检测。

评估的内容包括网络安全策略、网络安全规范、网络安全培训、网络安全意识和网络安全文档等方面。

检测的内容包括网络安全管理的执行情况、网络安全管理的效果和网络安全管理的改进等方面。

通过评估和检测，可以全面了解信息系统的网络安全管理的完整性和有效性，及时发现存在的管理漏洞和不足，为加强网络安全管理提供依据。

最后，网络安全等级保护测评要求包括对信息系统的网络安全应急响应进行评估和检测。

评估的内容包括网络安全事件的响应预案、网络安全事件的处置流程、网络安全事件的响应能力和网络安全事件的响应效果等方面。

国家标准《网络安全等级保护安全设计技术要求第3部分：移动互联安全要求》编制说明一、工作简况1.1任务来源《信息安全技术网络安全等级保护安全设计技术要求第3部分：移动互联安全要求》是国家标准化管理委员会 2015年下达的信息安全国家标准制定项目，国标计划号为：GB/T 25070.3-2010，由北京工业大学承担，参与单位包括北京中软华泰信息技术有限责任公司、蓝盾信息安全技术有限公司、中国电力科学研究院、成都卫士通信息安全技术公司、浙江中烟工业有限责任公司等单位。

1.2主要工作过程1)准备阶段2013年12月，在公安部11局的统一领导下，北京工业大学同协作单位共同成立标准编写项目组。

2）调研阶段标准起草组成立以后，项目组收集了大量移动终端相关的国内外相关标准，进行了研讨。

同时项目组参考了国内等级保护相关标准，对移动互联系统的等级保护安全需求、安全风险进行了充分讨论。

为了真实了解行业内的安全要求，项目组也对行业内的企事业单位进行了调研。

3）编写阶段2014年1月，标准起草组组织了多次内部研讨会议，邀请了来自国内相关领域著名的专家、学者开展交流与研讨，确定了标准的总体技术框架、核心内容。

标准起草组按照分工，对标准各部分进行了编写，形成了标准草案。

4）首次征求专家意见2014年4月，公安部11局组织业内专家对标准初稿进行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。

项目组根据专家意见，对标准进行了修改。

5）第二次征求专家意见2014年10月，公安部11局组织业内专家对标准初稿再次进行了研讨，专家再次对标准范围、内容、格式等进行了详细讨论，提出了宝贵意见。

同时专家认为标准达到了项目申报要求。

项目组根据专家意见修改后，提交安标委。

6）系列标准统一修订阶段2015年4月，公安部一所组织等级保护设计要求系列标准起草组进行统一研讨，会上针对系列标准，制订了统一模板。

同时要求根据安标委的统一部署，将标准名称修改为《信息安全技术信息系统等级保护安全设计技术要求第3部分：对采用移动互联技术的信息系统的扩展设计要求》。

国家标准《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》编制说明一、工作简况1.1任务来源目前，云计算技术在国家关键信息基础设施领域的应用日益广泛。

原有信息安全等级保护标准体系中标准的适用性提出挑战，防护措施、实现方法和测评方法都将有所不同。

因此，根据云计算环境中的新增安全威胁和主要防范手段，我们对《GB/T 22239.1—XXXX 信息安全技术网络安全等级保护基本要求第1部分：安全通用要求》（以下简称“安全通用要求”）进行了扩展，形成了本部分。

《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》（计划编号：GB/T 22239.2—XXXX）（以下简称“云计算安全扩展要求”）由公安部信息安全等级保护评估中心牵头，国家信息中心、阿里云计算有限公司、中科院信息工程研究所、杭州华三通信技术有限公司、华为技术有限公司、启明星辰信息技术有限公司等单位共同参与起草。

1.2主要工作过程1.2.1标准立项前工作概述2014年1月至2014年4月，为完善云计算安全标准体系，支撑党政部门云计算信息安全等级保护建设整改工作，牵头单位组成标准工作组，研究云计算环境下的信息系统面临的安全威胁，通过整理、汇总、分析相关资料编制了项目申请书、项目建议书并经过专家评审。

1.2.2标准立项后工作情况1）标准立项2014年10月，本部分获全国信息安全标准化技术委员会国标立项。

2）成立标准编制组，广泛调研2014年6月至12月，标准编制组成立，广泛调研和研究国内外云计算安全相关评估标准以及相关安全评估标准，为本部分的编制奠定基础。

期间，研究的云计算安全相关标准和安全评估相关标准包括：（1）美国联邦系统安全控制的建议（NIST 800-53）；（2）美国联邦系统安全控制措施评估指南（NIST SP800-53A）；（3）SP 800-144 Guidelines on security and privacy in public cloud computing （4）SP800-145 The NIST Definition of cloud computing（5）SP800-125 Full Virtualization Technologies（6）FedRAMP_Baseline_Security_Controls_REV4；（7）信息安全等级保护测评国家标准；（8）《GB/T 31168-2014 信息安全技术云计算服务安全能力要求》（9）《GB/T 31167-2014信息安全技术云计算服务安全指南》（10）《信息安全技术信息安全风险评估规范》、《信息技术安全技术信息技术安全评估准则》等国家标准。

《信息安全技术网络安全等级保护测评要求第3部分：移动互联安全扩展要求》编制说明一、任务来源随着移动互联技术的不断发展和使用，越来越多的单位使用移动终端设备进行业务访问，为了适应新技术的发展，加强对采用移动互联技术的等级保护对象的安全防护。

2014年，公安部十一局组织召开了4个领域12项标准的新技术研讨会，准备在云计算、移动互联、物联网、工业控制4个领域开展新技术新标准的制定工作。

其中，为了指导测评人员对采用移动互联技术的等级保护对象进行测试评估，准备开展《信息安全技术网络安全等级保护测评要求第3部分：移动互联安全扩展要求》的标准制定。

2014年，公安部第三研究所联合国家信息中心、中国移动通信有限公司研究院及北京鼎普科技有限公司、北京洋浦伟业科技发展有限公司、东巽科技（北京）有限公司等单位向安标委申请制定《信息安全技术网络安全等级保护测评要求第3部分：移动互联安全扩展要求》。

二、目的与意义国内近几年在部分行业领域针对移动终端制定了一些行业标准，如：《移动智能终端数据存储安全技术要求与测试评价方法》、《YD/T2408-2013 移动智能终端安全能力测试方法》、《YD/T 2407-2013 移动智能终端安全能力技术要求》、《中国金融移动支付客户端技术规范》等，2011年12月工信部发布了《移动互联网恶意程序监测与处置机制》等标准。

开展移动互联信息安全等级保护工作需要有统一的国家标准，因此，正在制定《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》。

为了评价等级保护对象是否符合《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》，有必要针对采用移动互联技术的等级保护对象制定等级保护测评要求。

通过参考国内外标准与移动互联的最佳实践，制定移动互联等级保护测评要求，对采用移动互联技术的等级保护对象进行安全等级保护测试评估的技术活动提出要求。

为评价等级保护对象是否符合移动互联安全扩展要求提供获取证据的途径和方法。

信息安全技术信息系统安全等级保护基本要求引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南；——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求；——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。

一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。

本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。

单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。

整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。

本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。

如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。

在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。

信息系统安全等级保护测评要求1 范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。

本标准略去对第五级信息系统进行单元测评的具体内容要求。

本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。