GB/T 28453-2012信息安全技術信息系統(tǒng)安全管理評估要求

ICS35040

L80.

中華人民共和國國家標準

GB/T28453—2012

信息安全技術

信息系統(tǒng)安全管理評估要求

Informationsecuritytechnology—

Informationsystemsecuritymanagementassessmentrequirements

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T28453—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術語和定義………………

31

評估原則和模式…………………………

42

管理評估的原則……………………

4.12

管理評估的工作模式………………

4.22

評估組織和活動…………………………

53

評估組織……………

5.13

評估實施團隊…………………

5.1.13

評估管理機構…………………

5.1.23

被評估方相關人員……………

5.1.34

評估目標范圍和依據(jù)………………

5.24

評估目標………………………

5.2.14

評估范圍………………………

5.2.25

評估依據(jù)………………………

5.2.35

評估活動內容………………………

5.35

評估準備及啟動………………

5.3.15

確定信息系統(tǒng)資產(chǎn)及安全需求………………

5.3.26

確定信息系統(tǒng)安全管理現(xiàn)狀…………………

5.3.38

確定信息系統(tǒng)安全管理評估結論……………

5.3.412

評估結束及后續(xù)安排…………

5.3.513

安全管理評估的方法工具和實施……………………

6、14

評估方法……………

6.114

訪談調查………………………

6.1.114

符合性檢查……………………

6.1.215

有效性驗證……………………

6.1.316

技術檢測………………………

6.1.417

評估工具……………

6.219

調查表…………………………

6.2.119

訪談問卷………………………

6.2.220

檢查表…………………………

6.2.321

評估的實施…………………………

6.322

評估實施控制…………………

6.3.122

評估結論判斷…………………

6.3.223

Ⅰ

GB/T28453—2012

分等級管理評估…………………………

725

規(guī)劃立項管理評估要求……………

7.125

本階段評估范圍………………

7.1.125

第一級信息系統(tǒng)………………

7.1.225

第二級信息系統(tǒng)………………

7.1.327

第三級信息系統(tǒng)………………

7.1.429

第四級信息系統(tǒng)………………

7.1.530

第五級信息系統(tǒng)………………

7.1.632

設計實施管理評估要求……………

7.234

本階段評估范圍………………

7.2.134

第一級信息系統(tǒng)………………

7.2.236

第二級信息系統(tǒng)………………

7.2.338

第三級信息系統(tǒng)………………

7.2.441

第四級信息系統(tǒng)………………

7.2.544

第五級信息系統(tǒng)………………

7.2.647

運行維護管理評估要求……………

7.350

本階段評估范圍………………

7.3.150

第一級信息系統(tǒng)………………

7.3.252

第二級信息系統(tǒng)………………

7.3.354

第三級信息系統(tǒng)………………

7.3.456

第四級信息系統(tǒng)………………

7.3.559

第五級信息系統(tǒng)………………

7.3.662

終止處置管理評估要求……………

7.465

本階段評估范圍………………

7.4.165

第一級信息系統(tǒng)………………

7.4.266

第二級信息系統(tǒng)………………

7.4.367

第三級信息系統(tǒng)………………

7.4.469

第四級信息系統(tǒng)………………

7.4.571

第五級信息系統(tǒng)………………

7.4.673

附錄資料性附錄信息系統(tǒng)安全管理評估參照表…………………

A()76

參考文獻……………………

189

Ⅱ

GB/T28453—2012

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位北京江南天安科技有限公司

:。

本標準主要起草人陳冠直吉增瑞陳碩景乾元王志強

:、、、、。

Ⅲ

GB/T28453—2012

引言

本標準依據(jù)國家有關信息安全等級保護的政策法規(guī)提出了用于規(guī)范信息系統(tǒng)安全管理評估的要

,

求主要包括信息系統(tǒng)安全管理評估的原則和模式組織和活動方法工具和實施等要求以及在信息

。、、,

系統(tǒng)生存周期各個階段針對第一級到第五級信息系統(tǒng)安全管理評估的要求

,。

信息系統(tǒng)安全管理評估的主體包括信息系統(tǒng)的主管領導部門信息安全監(jiān)管機構信息系統(tǒng)的管理

、、

者第三方評估機構等對應的評估可以是檢查評估自評估或第三方評估本標準中對三種評估模式

、,、。

提出共同要求時統(tǒng)稱評估信息系統(tǒng)安全管理評估以信息安全管理體系為主線進行評估必要時采集

。,

信息安全技術測評結果進行綜合分析信息系統(tǒng)安全管理評估可以是獨立的評估也可以與信息安全

。,

技術測評聯(lián)合進行綜合評估信息系統(tǒng)安全管理評估貫穿于信息系統(tǒng)的整個生存周期各階段管理評

。,

估的原則和方法是一致的各階段安全管理的內容對象安全需求存在一定不同使得安全管理評估的

,、、,

目的要求等各方面也有所不同信息系統(tǒng)安全管理評估針對信息安全保護各個等級的信息系統(tǒng)安全

、。,

管理評估的要求隨著保護等級的提高而增強

。

本標準第章闡述管理評估的原則和模式第章闡述管理評估的組織評估目標范圍和依據(jù)管

4;5、、

理活動的內容第章闡述管理評估方法管理評估工具管理評估實施給出了各個安全保護等級的安

;6、、,

全管理評估需要執(zhí)行的共同要求和評估方法第章分等級評估以規(guī)定的信息系

;7,GB/T20269—2006

統(tǒng)安全管理要求為基本依據(jù)從信息系統(tǒng)生存周期的規(guī)劃立項階段設計實施階段運行維護階段終止

,、、、

處置階段對五個安全保護等級的安全管理評估要求分別進行描述附錄中提供的信息系統(tǒng)安全管

,。A

理評估參照表描述了本標準中有關各等級信息系統(tǒng)安全管理評估要求的具體評估內容要點

,。

本標準仍沿用中的稱謂對于信息系統(tǒng)的所有者可包括國家機關事業(yè)單位

GB/T20269—2006,、、

廠礦企業(yè)公司集團等各種類型和不同規(guī)模的組織機構統(tǒng)稱為組織機構

、、,“”。

Ⅳ

GB/T28453—2012

信息安全技術

信息系統(tǒng)安全管理評估要求

1范圍

本標準依據(jù)規(guī)定的信息系統(tǒng)分等級安全管理要求從信息系統(tǒng)生存周期的不

GB/T20269—2006,

同階段規(guī)定了對信息系統(tǒng)進行安全管理評估的原則和模式組織和活動方法和實施提出了信息安全

,、、,

等級保護第一級到第五級的信息系統(tǒng)安全管理評估的要求

。

本標準適用于相關組織機構部門對信息系統(tǒng)實施安全等級保護所進行的安全管理評估與自評

()

估以及評估者和被評估者對評估的管理

,。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統(tǒng)