ICS35.040 L80 GB 中华人民共和国国家标雅 GB/T28449—2018 代替GB/T28449-2012 信息安全技术 网络安全等级保护测评过程指南 Information security technology- Testing and evaluation process guide for classified protection of cybersecurity 2018-12-28发布 2019-07-01实施 国家市场监督管理总局 发布 中国国家标准化管理委员会 GB/T 28449-2018 目 次 前言 Ⅲ 引言 V 1范围 ...1 2规范性引用文件 1 3术语和定义 1 4等级测评概述 1 4.1等级测评过程概述 1 4.2等级测评风险 2 4.3等级测评风险规避 .3 5测评准备活动 .3 5.1测评准备活动工作流程 3 5.2测评准备活动主要任务 4 5.3测评准备活动输出文档5 5.4测评准备活动中双方职责 .5 6方案编制活动 ...6 6.1方案编制活动工作流程 .6 6.2方案编制活动主要任务 6 6.3方案编制活动输出文档 9 6.4方案编制活动中双方职责 9 7现场测评活动 10 7.1现场测评活动工作流程10 7.2现场测评活动主要任务 10 73现场测评活动输出文档11 7.4现场测评活动中双方职责 11 8报告编制活动 .12 8.1报告编制活动工作流程 12 8.2报告编制活动主要任务 12 8.3报告编制活动输出文档15 8.4报告编制活动中双方职责 .15 附录A(规范性附录)等级测评工作流程 .17 附录B(规范性附录)等级测评工作要求 19 附录C(规范性附录)新技术新应用等级测评实施补充 20 附录D(规范性附录)测评对象确定准则和样例23 附录E(资料性附录)等级测评现场测评方式及工作任务 26 附录F(资料性附录)等级测评报告模版示例 29 参考文献 53 I GB/T28449-2018 前言 本标准按照GB/T1.1一2009给出的规则起草. 本标准代替GB/T28449一2012《信息安全技术信息系统安全等级保护测评过程指南》,与 GB/T28449一2012相比,除编辑性修改外,主要技术变化如下: ——标准名称由“信息安全技术信息系统安全等级保护测评过程指南”变更为“信息安全技术 网络安全等级保护测评过程指南”; 修改了报告编制活动中的任务,由原来的6个任务修改为7个任务(见4.1 2012年版的5.4); 一在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责,并在一些涉及到多方的 工作任务中也予以明确(见7.4 2012年版的8.4); 一在信息收集和分析工作任务中增加了信息分析方法的内容(见5.2.2); —增加了利用云计算、物联网、移动互联网、工业控制系统、IPv6系统等构建的等级保护对象开 展安全测评需要额外重点关注的特殊任务及要求(见附录C); —删除了测评方案示例(见2012年版的附录D); 删除了信息系统基本情况调查表模版(见2012年版的附录E). 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. ...