《信息安全技术网络安全等级保护测评要求》
(GB/T28448-2024)标准解读
原版标准详见附录
0 引言
信息系统等级保护系列国家标准在我国推行信息安全工作开展过程中发挥了重要作用,被广泛应用于网络安全职能部门、各行业和领域的网络安全管理部门及等级测评机构开展系统定级、安全建设整改、等级测评、安全自查和安全监督检查等相关工作。但随着IT技术的飞速发展,特别是在云计算、移动互联、物联网、工业控制和大数据等新技术、新应用环境下,GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》和GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》在应用过程中遇到了一些新的问题,在适用性、时效性、易用性、可操作性上需要进一步完善。2017年6月1日颁布实施的《中华人民共和国网络安全法》也要求各网络安全职能部门、各行业和领域的网络安全管理部门等配合落实国家网络安全等级保护制度,需要同时对GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》和GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》进行修订。为适应我国网络安全等级保护工作发展的需要,进一步与新版的GB/T22239-2024相协调,有必要对GB/T28448-2012进行修订。
2014年,公安部第三研究所(公安部信息安全等级保护评估中心)根据国家标准编号制修订计划,牵头组织了对GB/T28448-2012的修订工作,前后共有20多家单位、70多人参与修订工作。修订工作历经调查研究、草案形成、征求意见稿、送审稿和报批稿等过程,收到了各行业职能部门、用户、专家的宝贵意见。2024年,《信息安全技术网络安全等级保护测评要求》(GB/T28448-2024)国家标准正式实施。本文分析了GB/T28448-2024发生的主要变化,解读其内容修订和等级测评工作变化等主要内容,以便读者更好地了解和掌握GB/T28448-2024的内容 标准主要内容变化
0.1 标准文本结构变化
GB/T28448-2024标准文本分为12章,3个附录。第1章、第2章、第3章为标准的常规性描述,包括范围、规范性引用文件、术语和定义;第4章为缩略语;第5章概要描述了安全等级保护测评方法及单项测评和整体测评的构成。
第6章、第7章、第8章、第9章为重点章节,分别描述了第一级、第二级、第三级、第四级测评要求,以及每级如何遵从GB/T22239-2024的框架描述实施测评工作。每个级别都由五部分
内容组成,包括安全通用要求、云计算、移动互联、物联网和工业控制系统等相关测评实施内容。安全技术方面从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心5个方面展开;安全管理方面从安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理5个方面展开,与《基本要求》形成了相互对照、和谐统一的标准文本结构。 第10章为略掉的第五级测评要求。第11章描述了系统整体测评方法,在单项测评的基础上,从系统整体的角度综合考虑如何进行系统性的测评。分别从安全控制点测评、安全控制点间测评和区域间测评(包含层面间测评)等3个方面进行描述,分析了在进行系统整体测评时需要考虑的内容。第12章概要说明了测评结论的得出方法及测评结论主要包括的内容等。
附录A描述了各种测评方法的测评强度,并具体描述了针对不同等级保护对象的测评强度。附录B描述了大数据的可参考安全评估方法。附录C描述了测评指标编码规则及专用缩略语。
0.2 等级测评内容的变化
由于等级保护对象的内涵发生变化,GB/T28448-2024按照应用领域分为安全测评通用要求和安全测评扩展要求。安全测评通用要求是指不管等级保护对象形态如何,均需遵循的安全测评要求。安全测评扩展要求是指针对云计算安全扩展要求、大数据安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求提出的特殊安全测评要求。
0.3
等级测评技术框架的变化
等级测评技术框架由原标准的单元测评和整体测评调整为单项测评和整体测评。单项测评
是针对安全控制点下的各安全要求项的测评,支持测评结果的可重复性和可再现性。单项测评由四部分内容组成,分别是测评指标、测评对象、测评实施和单元判定。修订后的单项测评中测评指标更加细化,由针对原标准中的安全控制点的测评调整为针对安全控制点下的安全要求项的测评,更有助于测评实施工作的开展。
整体测评是在单项测评基础上,对定级对象整体安全保护能力的判断。整体测评内容由原标准的安全控制点间测评、层面间测评和区域间测评等方面调整为安全控制点测评、安全控制点间测评和区域间测评(包含层面间测评)。
另外,为了更好地让测评人员明确测评工作的作用对象,在测评单元中增加测评对象。测评对象是指等级测评过程中不同测评方法作用的对象,主要涉及相关配套制度文档、设备设施及人员等。
0.4
测评方法的变化
测评方法包括访谈、核查和测试。访谈是指测评人员通过引导等级保护对象相关人员进行
有目的、有针对性的交流,帮助测评人员理解、澄清或取得证据的过程。核查是指测评人员通
2
_信息安全技术__网络安全等级保护28448_2024_标准解读(赠送原版标准)
