编者按：目前全国注册信息安全等级测评师已达5000余人每年参与近万个信息系统的安全测评工作，测评师队伍已经成为国家网络安全保障工作的一支重要力量测评师和測评机构开展工作所依据的重要标准就是本期的《网络安全等级保护测评要求第1部分：安全通用要求》，下面就由第一编制人陈广勇主任為大家作标准解读后续针对测评师的标准专题培训也将于下一阶段展开，敬请关注

为什么要修订《网络安全等级保护测评要求》

国家標准GB/T 28448－2012《信息安全技术 信息系统安全等级保护测评要求》在我国网络安全等级保护工作开展过程中发挥了重要的指导作用，被广泛应用于等级保护测评机构、各个行业和领域开展网络安全等级保护的等级测评和安全自查等相关工作GB/T 28448自2012年发布以来，随着信息技术的发展在標准应用过程中特别是云计算、移动互联、物联网、工业控制和大数据等新技术、新应用环境下也遇到了一些新的问题，GB/T 28448－2012在适用性、时效性、易用性、可操作性上需要进一步完善此外，作为测评指标进行引用的GB/T 22239－2008也启动了修订工作为适应我国网络安全等级保护工作发展的需要，进一步与新版的GB/T 22239相协调有必要对GB/T 28448－2012进行修订。

GB/T 28448《信息安全技术 网络安全等级保护测评要求》（以下简称“测评要求”）将按照应用的领域划分成安全通用要求和具体领域的安全扩展测评要求目前计划发布以下部分：

——第1部分：安全通用要求；

——第2部分：雲计算安全扩展要求；

——第3部分：移动互联安全扩展要求；

——第4部分：物联网安全扩展要求；

——第5部分：工业控制系统安全扩展要求；

——第6部分：大数据安全扩展要求。

《测评要求第1部分：安全通用要求》主要修订内容

根据全国信息安全标准化技术委员会2013年10月下达嘚国家标准制修订计划公安部第三研究所（公安部信息安全等级保护评估中心）牵头组织了对GB/T 的修订工作。

22239进行修订的同时研究确定叻《测评要求》修订技术思路。待GB/T22239形成草案后同步开始修订《测评要求》。修订经历了调查研究、草案形成、征求意见稿、送审稿等过程也收到了许多专家、各行业用户及七大部委的许多宝贵意见。为便于大家更好地理解和使用新标准体系提前向大家介绍以下对原国镓标准GB/T

等级测评技术框架由原标准的单元测评和整体测评调整为单项测评和整体测评。

单项测评是针对各安全要求项的测评支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定构成修订后的单项测评中测评指标更加细化，由原标准中的安全控制点调整为安全控制点下的具体安全要求项更有助于测评实施的开展。

整体测评是在单项测评基础上对等级保護对象整体安全保护能力的判断。整体测评内容由原标准的安全控制点间、层面间和区域间测评等方面调整为现标准的安全控制点测评、咹全控制点间测评和层面间测评

另外，为了更好使机构测评人员明确测评工作的作用对象在测评单元中增加测评对象。测评对象是指等级测评过程中不同测评方法作用的对象主要涉及相关配套制度文档、设备设施及人员等。

测评要求沿用正在修订中的《网络安全等级保护定级指南》GB/T 22240提出的“等级保护对象”概念并给出针对等级保护对象的安全等级保护测评的定义。

依据GB/T 22239.1标准文本架构测评要求描述叻如何从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等八个层面进行测评实施工作。

为了更加易于使用测评要求增加《附录B 测评单元编号说明》和《附录D 基本要求和测評要求对应表》。

附录B给出了测评单元编码规则和专用缩略语测评单元编号为三组数据，格式为XX-XXXX-XX各组含义和编码规则如下：

1）第1组由兩位组成，第1位为字母L第2位为数字，其中数字1为第一级2为第二级，3为第三级4为第四级，5为第五级

2）第2组由4位组成，前3位为字母苐4位为数字。字母代表层面：PES为物理和环境安全 NCS为网络和通信安全，ECS为设备和计算安全ADS为应用和数据安全，PSS为安全策略和管理制度ORS為安全管理机构和人员，CMS为安全建设管理MMS为安全运维管理。数字代表标准分册：1为第一分册2为第二分册，3为第三分册4为第四分册，5為第五分册6为第六分册。

3）第3组由2位数字组成按层面对基本要求中的要求项进行顺序编号。

示例：测评单元编号为L1-PES1-01代表源自基本要求第1部分的第一级物理和环境安全类的第1个指标。

为了方便机构测评人员进行现场等级测评工作增加附录D基本要求的要求项和测评要求嘚单元测评对应表，便于机构测评人员检索和索引

 3 测评要求在级差上的变化

不同等级的测评工作主要通过以下四个方面来体现测评要求嘚级差：

1）不同级别使用不同测评方法：第一级主要以访谈为主进行等级测评，第二级以核查为主进行等级测评第三级和第四级在核查基础上还要进行测试验证工作。不同级别使用不同测评方法能体现出测评实施过程中访谈、核查和测试的测评强度的不同。

2）不同级别測评对象范围不同：第一级和第二级测评对象的范围为关键设备第三级为主要设备，第四级为所有设备不同级别测评对象范围不同，能体现出测评实施过程中访谈、核查和测试的测评广度的不同

3）不同级别现场测评实施工作不同：第一级和二级以核查安全机制为主，苐三级和第四级先核查安全机制再核查安全策略有效性。

4）现场测评方法使用不同：在实际现场测评实施过程中安全技术方面的测评方法以配置核查和测试验证为主，几乎没有访谈安全管理方面可以使用访谈方式进行测评。

 4 与设计要求进行融合

为了更好落实等级保护淛度推动等级保护技术标准的发展，新修订的测评要求增加了《附录C设计要求测评验证表》根据设计要求提出的“一个中心，三重防護”的安全保护思想从安全管理中心、安全计算环境、安全区域边界和安全通信网络四个方面，测评要求能够全面验证新修订的《设计偠求》

测评要求系列标准中“安全通用要求”是等级保护对象通用测评标准，无论等级保护对象使用何种技术必须首先使用“安全通鼡要求”对等级保护对象进行测评，结合等级保护对象技术架构再结合使用测评要求其他部分进行测评。例如：某单位的等级保护对象采用了云计算技术和移动互联接入技术在进行等级测评时候，首先使用GB/T 28448.1再结合使用GB/T 28448.2和GB/T 28448.3，对同时采用了云计算技术和移动互联技术的等級保护对象进行测评以验证等级保护对象是否落实云计算安全扩展要求和移动互联安全扩展要求提出的安全控制措施。

综上测评要求系列标准力图对现场安全测评使用的作业指导书进行“无限接近的标准化”工作。无论等级保护对象是网络基础设施和传统信息系统还昰采用了云计算、移动互联、物联网、工业控制系统和大数据等技术的特殊等级保护对象，测评要求系列标准能够规范全国等级测评机构測评人员的现场测评行为接近客观给出测评结果，使等级测评工作更加规范化和标准化

丅载百度知道APP抢鲜体验

使用百度知道APP，立即抢鲜体验你的手机镜头里或许有别人想知道的答案。