ICS35.040
L80
GB/T ××××—××××
中华人民共和国国家
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
信息系统安全等级保护
测评准则
Testing and Evaluation Criteria for Security Classification Protection of Information System
(送审稿)
200X-xx-xx发布 200X-xx-xx实施
国家质量技术监督局 发布
国家质量技术监督局 发布
200×-××-××实施
200×-××-××发布
目 次
前 言 IV
引 言 V
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 总则 2
4.1 测评原则 2
4.2 测评内容 2
4.2.1 基本内容 2
4.2.2 工作单元 3
4.2.3 测评强度 4
4.3 结果重用 4
4.4 使用方法 4
5 第1级安全控制测评 5
5.1 安全技术测评 5
5.1.1 物理安全 5
5.1.2 网络安全 8
5.1.3 主机系统安全 10
5.1.4 应用安全 12
5.1.5 数据安全 14
5.2
安全管理
企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理
测评 15
5.2.1 安全管理制度 15
5.2.2 安全管理机构 15
5.2.3 人员安全管理 17
5.2.4 系统建设管理 19
5.2.5 系统运维管理 23
6 第2级安全控制测评 27
6.1 安全技术测评 27
6.1.1 物理安全 27
6.1.2 网络安全 33
6.1.3 主机系统安全 37
6.1.4 应用安全 40
6.1.5 数据安全 45
6.2 安全管理测评 47
6.2.1 安全管理制度 47
6.2.2 安全管理机构 48
6.2.3 人员安全管理 51
6.2.4 系统建设管理 54
6.2.5 系统运维管理 59
7 第3级安全控制测评 66
7.1 安全技术测评 66
7.1.1 物理安全 66
7.1.2 网络安全 74
7.1.3 主机系统安全 79
7.1.4 应用安全 85
7.1.5 数据安全 92
7.2 安全管理测评 94
7.2.1 安全管理制度 94
7.2.2 安全管理机构 96
7.2.3 人员安全管理 101
7.2.4 系统建设管理 104
7.2.5 系统运维管理 111
8 第4级安全控制测评 122
8.1 安全技术测评 122
8.1.1 物理安全 122
8.1.2 网络安全 130
8.1.3 主机系统安全 135
8.1.4 应用安全 142
8.1.5 数据安全 149
8.2 安全管理测评 152
8.2.1 安全管理制度 152
8.2.2 安全管理机构 154
8.2.3 人员安全管理 158
8.2.4 系统建设管理 162
8.2.5 系统运维管理 170
9 第五级安全控制测评 181
10 系统整体测评 182
10.1 安全控制间安全测评 182
10.2 层面间安全测评 182
10.3 区域间安全测评 183
10.4 系统结构安全测评 183
附录A 185
A.1 测评方式的测评强度描述 185
A.2 信息系统测评强度 185
附录B 187
B.1 区域和层面 187
B.1.1 区域 187
B.1.2 层面 188
B.2 信息系统测评的组成说明 190
B.3 系统整体测评举例说明 191
B.3.1 被测系统和环境概述 191
B.3.1 安全控制间安全测评举例 192
B.3.2 层面间安全测评举例 192
B.3.3 区域间安全测评举例 193
B.3.4 系统结构安全测评举例 193
前 言
本标准是我国实施信息安全等级保护,进行信息系统安全测试评估的基础性技术规范。
本标准的附录A和附录B为资料性附录。
与本标准相关的系列标准包括:
——信息系统安全等级保护-定级指南;
——信息系统安全等级保护-基本要求;
——信息系统安全等级保护-实施指南。
本标准可与国家其他相关标准结合使用。
本标准由全国信息安全标准化技术委员会提出。
本标准由国家标准化管理委员会归口。
本标准起草单位:
本标准主要起草人:
引 言
本标准是我国实施信息安全等级保护的重要标准之一,提出了为验证计算机信息系统是否满足信息安全等级保护而必须执行的测评工作要求,用以指导测评机构从信息安全等级保护的角度对信息系统进行测试评估。
为了进一步提高信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,保障和促进信息化建设的健康发展,1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体
办法
鲁班奖评选办法下载鲁班奖评选办法下载鲁班奖评选办法下载企业年金办法下载企业年金办法下载
,由公安部会同有关部门制定”。2004年公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)要求抓紧建立信息安全等级保护制度,定期对信息系统的安全状况进行检测评估。2006年公安部等四部委联合签发的《信息安全等级保护管理办法(试行)》(公通字[2006]7号)进一步要求信息系统运营、使用单位应按照相关技术标准对信息系统进行安全测评,符合要求的,方可投入使用。本标准依据上述有关国家政策法规、部门规章的要求,从安全控制测评和系统整体测评两大方面提出信息系统分等级进行安全测试评估的技术要求。