标准规范下载简介
GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求.pdf简介:
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》是中国信息安全领域的标准之一,它详细规定了网络安全等级保护测评的体系、方法、过程和要求。这个标准是根据《网络安全法》等法律法规制定的,旨在确保网络系统的安全保护等级适应其承载的信息和业务的重要程度。
网络安全等级保护测评是对网络信息系统(如政府、企业、教育、电信等领域)的网络安全状况进行评估,将其划分为不同的等级(一级至五级),对应不同的安全保护要求。一级是最基础的保护级别,五级则是最高级别,要求最高的安全保障措施。
该标准规定了测评的范围、测评对象、测评内容、测评方法、测评流程等,要求测评机构根据测评对象的具体情况,进行全面、深入的安全检查,确保网络系统的安全防护能力满足相应的等级保护要求。
总的来说,GB/T 28448-2019是一个指导网络运营者、服务商和测评机构进行网络安全等级保护测评的重要技术指南,对于提升网络信息安全水平具有重要意义。
GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求.pdf部分内容预览:
该测评单元包括以下要求: 测评指标:应进行安全性测试验收。 b) 测评对象:建设负责人。 测评实施:应访谈建设负责人是否进行了安全性测试验收。 d) 单元判定:如果以上测评内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指 标要求。
该测评单元包括以下要求: 测评指标:应进行安全性测试验收。 b) 测评对象:建设负责人。 测评实施:应访谈建设负责人是否进行了安全性测试验收。 d) 单元判定:如果以上测评内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元 标要求。
6.1.8.6系统交付
该测评单元包括以下要求: a) 测评指标:应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。 b) 测评对象:记录表单类文档。 c 测评实施:应核查是否制定交付清单并说明交付的各类设备、软件、文档等。 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求【北京市】《城市夜景照明技术规范 第8部分:运行、维护与管理DB11/T 388.8-2006》,否则不符合本测评单 元指标要求
该测评单元包括以下要求: a)测评指标:应对负责运行维护的技术人员进行相应的技能培训
GB/T 284482019
b)测评对象:记录表单类文档。 测评实施:应核查交付技术培训记录是否包括培训内容、培训时间和参与人员等 d 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求。
6.1.8.7服务供应商管理
该测评单元包括以下要求: a 测评指标:应确保服务供应商的选择符合国家的有关规定。 b) 测评对象:建设负责人。 测评实施:应访谈建设负责人选择的安全服务商是否符合国家有关规定。 & 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评 元指标要求
该测评单元包括以下要求: a 测评指标:应与选定的服务供应商签订与安全相关的协议,明确约定相关责任。 b) 测评对象:记录表单类文档。 C 测评实施:应核查是否具有与服务供应商签订的服务合同或安全责任书,是否明确了相关 责任。 d 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求,
6.1.9安全运维管理
6.1.9.1 环境管理
该测评单元包括以下要求: 测评指标:应指定专门的部门或人员负责机房安全,对机房出人进行管理,定期对机房供配电 空调、温湿度控制、消防等设施进行维护管理。 b 测评对象:物理安全负责人和记录表单类文档 测评实施包括以下内容: 1)应访谈物理安全负责人是否指定部门和人员负责机房安全管理工作,对机房的出人进行 管理、对基础设施(如空调、供配电设备、灭火设备等)进行定期维护: 2 应核查部门或人员岗位职责文档是否明确机房安全的责任部门及人员 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求,
该测评单元包括以下要求: a)测评指标:应对机房的安全管理做出规定,包括物理访问、物品进出和环境安全等方面。 b)测评对象:管理制度类文档和记录表单类文档
c)测评实施包括以下内容: 1)应核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容 2)应核查物理访问、物品进出和环境安全等的相关记录是否与制度相符。 d 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测 单元指标要求
6.1.9.2介质管理
该测评单元包括以下要求: a)测评指标:应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储介质专人管 理,并根据存档介质的目录清单定期盘点。 b 测评对象:资产管理员和记录表单类文档。 测评实施包括以下内容: 1)应访谈资产管理员介质存放环境是否安全,存放环境是否由专人管理; 2)应核查介质管理记录是否记录介质归档、使用和定期盘点等情况 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.9.3设备维护管理
该测评单元包括以下要求: a 测评指标:应对各种设备(包括备份和穴余设备)、线路等指定专门的部门或人员定期进行维护 管理。 b) 测评对象:设备管理员和管理制度类文档。 ) 测评实施包括以下内容: 1)应访谈设备管理员是否对各类设备、线路指定专人或专门部门进行定期维护; 2)应核查部门或人员岗位职责文档是否明确设备维护管理的责任部门。 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求,
6.1.9.4漏洞和风险管理
该测评单元包括以下要求: a) 测评指标:应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或 评估可能的影响后进行修补。 b) 测评对象:记录表单类文档。 C 测评实施包括以下内容: 1 应核查是否有识别安全漏洞和隐患的安全报告或记录(如漏洞扫描报告、渗透测试报告和 安全通报等); 2 应核查相关记录是否对发现的漏洞及时进行修补或评估可能的影响后进行修补。 d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
6.1.9.5网络和系统安全管理
GB/T 284482019
该测评单元包括以下要求: a 测评指标:应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和 权限。 b) 测评对象:记录表单类文档。 C 测评实施:应核查网络和系统安全管理文档,是否划分了网络和系统管理员等不同角色,并定 义各个角色的责任和权限 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求,
该测评单元包括以下要求: a) 测评指标:应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行 控制。 b) 测评对象:运维负责人和记录表单类文档。 C 测评实施包括以下内容: 1)应访谈运维负责人是否指定专门的部门或人员进行账户管理: 2)应核查相关审批记录或流程是否对申请账户、建立账户、删除账户等进行控制。 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.9.6恶意代码防范管
该测评单元包括以下要求: a 测评指标:应提高所有用户的防恶意代码意识,对外来计算机或存储设备接人系统前进行恶意 代码检查等。 b) 测评对象:运维负责人和管理制度类文档。 测评实施包括以下内容: 1)应访谈运维负责人是否采取培训和告知等方式提升员工的防恶意代码意识; 2)应核查恶意代码防范管理制度是否明确对外来计算机或存储设备接人系统前进行恶意代 码检查。 d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
该测评单元包括以下要求: 测评指标:应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升 级、恶意代码的定期查杀等。 b)测评对象:管理制度类文档
C 测评实施:应核查恶意代码防范管理制度是否包括防恶意代码软件的授权使用、恶意代码库升 级、定期查杀等内容。 d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求。
6.1.9.7备份与恢复管理
该测评单元包括以下要求: a 测评指标:应识别需要定期备份的重要业务信息、系统数据及软件系统等。 b) 测评对象:系统管理员和管理制度类文档。 测评实施包括以下内容: 1)应访谈系统管理员有哪些需定期备份的业务信息、系统数据及软件系统; 2)应核查是否具有定期备份的重要业务信息、系统数据、软件系统的列表或清单。 d 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
该测评单元包括以下要求: 测评指标:应规定备份信息的备份方式、备份频度、存储介质、保存期等。 b) 测评对象:管理制度类文档。 C 测评实施:应核查备份与恢复管理制度是否明确备份方式、频度、介质、保存期等内容。 d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
GB/T 284482019
单位(人)、接报单位(人)和处置单位等职责, 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
6.2云计算安全测评扩展要求
6.2.1安全物理环境
GB 51099-2015 有色金属工业岩土工程勘察规范6.2.1.1基础设施位置
该测评单元包括以下要求: a)测评指标:应保证云计算基础设施位于中国境内。 b) 测评对象:机房管理员、办公场地、机房和平台建设方案。 测评实施包括以下内容: 1) 应访谈机房管理员云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务 和承载数据的软硬件是否均位于中国境内; 2) 应核查云计算平台建设方案,云计算服务器、存储设备、网络设备、云管理平台、信息系统 等运行业务和承载数据的软硬件是否均位于中国境内。 d 单元判定:如果1)和2)均为肯定,则符合本单元测评指标要求,否则不符合或部分符合本单元 测评指标要求
6.2.2安全通信网络
6.2.2.1网络架构
该测评单元包括以下要求: a 测评指标:应保证云计算平台不承载高于其安全保护等级的业务应用系统。 b 测评对象:云计算平台和业务应用系统定级备案材料。 C) 测评实施:应核查云计算平台和云计算平台承载的业务应用系统相关定级备案材料,云计算平 台安全保护等级是否不低于其承载的业务应用系统安全保护等级。 d 单元判定:如果以上测评实施内容为肯定快捷化改造工程项目全过程造价咨询招标文件,则符合本单元测评指标要求,否则不符合本单元测 评指标要求
该测评单元包括以下要求: a)测评指标:应实现不同云服务客户虚拟网络之间的隔离。 b) 测评对象:网络资源隔离措施、综合网管系统和云管理平台。 测评实施包括以下内容: 1)应核查云服务客户之间是否采取网络隔离措施: 2 应核查云服务客户之间是否设置并启用网络资源隔离策略。 d) 单元判定:如果1)和2)均为肯定,则符合本单元测评指标要求,否则不符合或部分符合本单元 测评指标要求,