ICS35.040 L80 GB 中华人民共和国国家标准 GB/T28453-2012 信息安全技术 信息系统安全管理评估要求 Information security technology- Information system security management assessment requirements 2012-06-29发布 2012-10-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T28453—2012 目 次 前言 引言 1范围 1 2规范性引用文件 1 3术语和定义 1 4评估原则和模式 2 4.1管理评估的原则 2 4.2管理评估的工作模式 2 5评估组织和活动 3 5.1评估组织 3 5.1.1评估实施团队 3 5.1.2评估管理机构 3 5.1.3被评估方相关人员 4 5.2评估目标范围和依据 4 5.2.1评估目标 4 5.2.2评估范围 5 5.2.3评估依据 5 5.3评估活动内容 5 5.3.1评估准备及启动 5 5.3.2确定信息系统资产及安全需求 6 5.3.3确定信息系统安全管理现状 8 5.3.4确定信息系统安全管理评估结论 12 5.3.5评估结束及后续安排 13 6安全管理评估的方法、工具和实施 14 6.1评估方法 14 6.1.1访谈调查 14 6.1.2符合性检查 15 6.1.3有效性验证 16 6.1.4技术检测 17 6.2评估工具 19 6.2.1调查表 19 6.2.2访谈问卷 20 6.2.3检查表 21 6.3评估的实施 22 6.3.1评估实施控制 22 6.3.2评估结论判断 23 I GB/T28453-2012 7分等级管理评估 25 7.1规划立项管理评估要求 25 7.1.1本阶段评估范围 .25 7.1.2第一级信息系统 25 7.1.3第二级信息系统 27 7.1.4第三级信息系统 29 7.1.5第四级信息系统30 7.1.6第五级信息系统 32 7.2设计实施管理评估要求 34 7.2.1本阶段评估范围 34 7.2.2第一级信息系统 36 7.2.3第二级信息系统 38 7.2.4第三级信息系统41 7.2.5第四级信息系统44 7.2.6第五级信息系统 47 7.3运行维护管理评估要求50 7.3.1本阶段评估范围 50 7.3.2第一级信息系统 52 7.3.3第二级信息系统 54 7.3.4第三级信息系统 56 7.3.5第四级信息系统59 7.3.6第五级信息系统 ..62 7.4...
GB/T 28453-2012 信息安全技术 信息系统安全管理评估要求.pdf
