GB∕T 28448-2019 信息安全技术网络安全等级保护测评要求(2.0)
GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》是我国关于网络安全等级保护测评的一项重要标准,该标准于2019年5月10日发布,同年12月1日开始实施。该标准的制定旨在为网络安全等级保护测评提供指导和要求,以保障我国网络空间的安全。
该标准规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。它适用于安全测评服务机构、等级保护对象的单位以及主管部门对等级保护对象的安全状况进行安全测评并提供指南,同时也适用于网络安全职能部门在进行网络安全等级保护监督检查时作为参考使用1。
GB/T 28448-2019标准的主要内容包括等级测评概述、等级测评方法、单项测评和整体测评、各级别测评要求等部分。此外,该标准还对云计算、移动互联、物联网、工业控制系统的安全测评扩展要求进行了详细的规定。
GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》
该指南是我国关于网络安全等级保护测评的一项重要标准。该标准的目的是对网络系统进行安全评估,确保其达到预设的安全保护等级3。
该标准的主要内容包括以下几个步骤:
-
测评准备:这一步主要是确定测评对象,包括安全专家、技术专家和测评人员等,并制定测评计划,明确测评时间、资源、方法和流程。
-
收集信息:这一步主要是通过访谈、文档审查和工具检测等方式,收集网络系统的运行情况和安全管理等信息3。
-
确定测评指标和依据:根据等级保护相关标准、规范和法律法规,确定具体的测评指标和依据,如网络系统的物理安全、网络安全、主机安全、应用安全和管理安全等方面。
-
现场测评:这一步主要包括配置核查、漏洞扫描和漏洞修补等环节,以检查网络设备是否符合安全要求,并对网络系统进行漏洞检测。
-
形成报告:这一步是对整个网络系统的安全性进行综合评价,详细描述发现的问题和漏洞,并根据测评结果,提出针对性的整改建议。
-
后续工作:在整改后,对网络系统进行重新测评,确保问题得到解决,并对整个测评过程的信息进行汇总,形成总结报告,并归档。