GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求.pdf

ICS35.020 L80 GB 中华人民共和国国家标准 GB/T28448-2012 信息安全技术 信息系统安全等级保护测评要求 Information security technology- Testing and evaluation requirement for classified protection of information system 2012-06-29发布 2012-10-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T28448—2012 目 次 前言 Ⅲ 引言 V 1范围 1 2 规范性引用文件 1 3术语和定义 ] 4概述 4.1测评框架 1 4.2等级测评内容 2 4.3测评力度 3 4.4使用方法 3 5第一级信息系统单元测评 y 5.1安全技术测评 4 5.1.1物理安全 5.1.2网络安全 6 5.1.3主机安全 7 5.1.4应用安全 8 5.1.5数据安全及备份恢复10 5.2安全管理测评 10 5.2.1安全管理制度 10 5.2.2安全管理机构 11 5.2.3人员安全管理 12 5.2.4系统建设管理 14 5.2.5系统运维管理 17 6第二级信息系统单元测评 20 6.1安全技术测评 20 6.1.1物理安全 20 6.1.2网络安全 24 6.1.3主机安全 26 6.1.4应用安全 29 6.1.5数据安全及备份恢复 32 6.2安全管理测评 33 6.2.1安全管理制度33 6.2.2安全管理机构 34 6.2.3人员安全管理 36 6.2.4系统建设管理 38 6.2.5系统运维管理 42 I GB/T28448-2012 7第三级信息系统单元测评 47 7.1安全技术测评 47 7.1.1物理安全 47 7.1.2网络安全 52 7.1.3主机安全 .55 7.1.4 应用安全 58 7.1.5数据安全及备份恢复 .63 7.2安全管理测评 64 7.2.1安全管理制度 64 7.2.2安全管理机构 66 7.2.3人员安全管理 .68 7.2.4系统建设管理 71 7.2.5系统运维管理 76 8第四级信息系统单元测评 83 8.1安全技术测评 83 8.1.1物理安全 83 8.1.2网络安全 87 8.1.3主机安全 91 8.1.4应用安全 95 8.1.5数据安全及备份恢复 100 8.2安全管理测评 102 8.2.1安全管理制度 102 8.2.2安全管理机构 .104 8.2.3人员安全管理 106 8.2.4系统建设管理 109 8.2.5系统运维管理 114 9第五级信息系统单...