标准编号:	GB/T 28448-2012
中文名称:	信息安全技术 信息系统安全等级保护测评要求
英文名称:	and evaluation requirement for classified protection of information system
中标分类:	L80数据加密
ICS分类:	35.020信息技术(IT)综合
发布机构:	中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
发布日期:	2012-06-29
实施日期:	2012-10-01
标准状态:	已作废
被新标准替代:	GB/T28448-2019 信息安全技术 网络安全等级保护测评要求
被替代日期:	2019-12-01
翻译语言:	英文
文件格式:	PDF
中文字符数:	136000 字
翻译价格(元):	8160 元
交付时间:	付款后 1-10工作日

本标准规定了对实现的信息系统是否符合GB/T 22239-2008所进行的测试评估活动的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行测试评估的要求。本标准略去对第五级信息系统进行测评的要求。
本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。

前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 概述 1
4.1 测评框架 1
4.2 等级测评内容 2
4.3 测评力度 3
4.4 使用方法 3
5 第一级信息系统单元测评 4
5.1 安全技术测评 4
5.1.1 物理安全 4
5.1.2 网络安全 6
5.1.3 主机安全 7
5.1.4 应用安全 8
5.1.5 数据安全及备份恢复 10
5.2 安全管理测评 10
5.2.1 安全管理制度 10
5.2.2 安全管理机构 11
5.2.3 人员安全管理 12
5.2.4 系统建设管理 14
5.2.5 系统运维管理 17
6 第二级信息系统单元测评 20
6.1 安全技术测评 20
6.1.1 物理安全 20
6.1.2 网络安全 24
6.1.3 主机安全 26
6.1.4 应用安全 29
6.1.5 数据安全及备份恢复 32
6.2 安全管理测评 33
6.2.1 安全管理制度 33
6.2.2 安全管理机构 34
6.2.3 人员安全管理 36
6.2.4 系统建设管理 38
6.2.5 系统运维管理 42
7 第三级信息系统单元测评 47
7.1 安全技术测评 47
7.1.1 物理安全 47
7.1.2 网络安全 52
7.1.3 主机安全 55
7.1.4 应用安全 58
7.1.5 数据安全及备份恢复 63
7.2 安全管理测评 64
7.2.1 安全管理制度 64
7.2.2 安全管理机构 66
7.2.3 人员安全管理 68
7.2.4 系统建设管理 71
7.2.5 系统运维管理 76
8 第四级信息系统单元测评 83
8.1 安全技术测评 83
8.1.1 物理安全 83
8.1.2 网络安全 87
8.1.3 主机安全 91
8.1.4 应用安全 95
8.1.5 数据安全及备份恢复 100
8.2 安全管理测评 102
8.2.1 安全管理制度 102
8.2.2 安全管理机构 104
8.2.3 人员安全管理 106
8.2.4 系统建设管理 109
8.2.5 系统运维管理 114
9 第五级信息系统单元测评 121
10 信息系统整体测评 121
10.1 概述 121
10.2 安全控制点间测评 121
10.3 层面间测评 122
10.4 区域间测评 122
11 等级测评结论 122
11.1 各层面的测评结论 122
11.2 风险分析和评价 122
11.3 测评结论 123
附录A (资料性附录) 测评力度 124
附录B(资料性附录) 关于整体测评的进一步说明 126
参考文献 130