信息安全技术 网络安全等级保护测评要求
Information security technology -- Evaluation requirement for classified protection of cybersecurity
1 范围
本标准规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。
本标准适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。
注:第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全测评要求,所以不在本标准中进行描述。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 25069 信息安全技术 术语
GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南
GB/T 31167-2014 信息安全技术 云计算服务安全指南
GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南
3 术语和定义
GB 17859-1999、GB/T 25069、GB/T 22239-2019、GB/T 25070-2019、GB/T 31167-2014、
GB/T 31168-2014和GB/T 32919-2016界定的以及下列术语和定义适用于本文件。为了便于使用,
以下重复列出了GB/T 31167-2014和GB/T 31168-2014中的一些术语和定义。
3.1
访谈
测评人员通过引导等级保护对象相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、
澄清或取得证据的过程。
3.2
核查
测评人员通过对测评对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析,以帮助测评人员理解、澄清或取得证据的过程。
3.3
测试
测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与
预期的结果进行比对的过程。
3.4
评估
对测评对象可能存在的威胁及其可能产生的后果进行综合评价和预测的过程。
3.5
测评对象
等级测评过程中不同测评方法作用的对象,主要涉及相关配套制度文档、设备设施及人员等。
3.6
等级测评
测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密
的网络安全等级保护状况进行检测评估的活动。
3.7
云服务商
云计算服务的供应方。
注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。
3.8
云服务客户业务关系的参与方。
3.9
虚拟机监视器
运行在基础物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。
3.10
宿主机
运行虚拟机监视器的物理服务器。
4 缩略语
下列缩略语适用于本文件。
AP:无线访问接入点
APT:高级持续性威胁
DDoS:分布式拒绝服务
SSID:服务集标识
WEP:有线等效加密
WiFi:无线保真
WPS:WiFi保护设置
5 等级测评概述
5.1 等级测评方法
等级测评实施的基本方法是针对特定的测评对象,采用相关的测评手段,遵从一定的测评规程,获
取需要的证据数据,给出是否达到特定级别安全保护能力的评判。
评论
发表评论