GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南

ICS35.020

L80

中华人民共和国国家标准

/—

GBT284492012

信息安全技术

信息系统安全等级保护测评过程指南

—

InformationsecurittechnoloTestinandevaluationrocessuidefor

ygygpg

classifiedrotectionofinformationsstemsecurit

pyy

2012-06-29发布2012-10-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

/—

GBT284492012

目次

前言…………………………Ⅴ

引言…………………………Ⅵ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4符号和缩略语……………1

5等级测评概述……………1

5.1等级测评的作用……………………1

5.2等级测评风险………………………2

5.2.1可能影响系统正常运行………………………2

5.2.2可能泄漏敏感信息……………2

5.3等级测评风险的规避………………2

5.4等级测评过程概述…………………3

6测评准备活动……………3

6.1测评准备活动的工作流程…………3

6.2测评准备活动的主要任务…………4

6.2.1项目启动………………………4

6.2.2信息收集和分析………………4

6.2.3工具和表单准备………………5

6.3测评准备活动的输出文档…………5

6.4测评准备活动中双方的职责………………………5

7方案编制活动……………6

7.1方案编制活动的工作流程…………6

7.2方案编制活动的主要任务…………6

7.2.1测评对象确定…………………6

7.2.2测评指标确定…………………7

7.2.3测评内容确定…………………8

7.2.4工具测试方法确定……………8

7.2.5测评指导书开发………………9

7.2.6测评方案编制…………………10

7.3方案编制活动的输出文档…………11

7.4方案编制活动中双方的职责………………………11

8现场测评活动……………11

8.1现场测评活动的工作流程…………11

8.2现场测评活动的主要任务…………12

8.2.1现场测评准备…………………12

Ⅰ

/—

GBT284492012

8.2.2现场测评和结果记录…………12

8.2.2.1访谈………………………12

8.2.2.2检查………………………13

8.2.2.3测试………………………14

8.2.3结果确认和资料归还…………14

8.3现场测评活动的输出文档…………14

8.4现场测评活动中双方的职责………………………15

9报告编制活动……………