网络安全-等级保护(等保) 3-2 GB/T 28449-2019《信息安全技术 网络安全等级保护测评过程指南》-2018-12-28发布【现行】

################################################################################

GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》规定了1~4及的测评要求以及对应级别云大物移工的测评扩展要求，与GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》对应，是对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个方面的横向要求说明， GB/T  28449-2019《信息安全技术  网络安全等级保护测评过程指南》是规定了等级测评过程，是纵向的流程，包括：四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。

GB/T  28449-2019《信息安全技术  网络安全等级保护测评过程指南》是网络安全等级保护相关系列标准之一。由国家市场监督管理总局、中国国家标准化管理委员会与2018-12-28发布，2019-07-01实施，是现行有效的国家标准文件。

GB/T  28449-2019《信息安全技术  网络安全等级保护测评过程指南》中的等级测评是测评机构依据 GB/T22239以及 GB/T28448等技术标准,检测评估定级对象安全等级保护状况是否符合相应等级基本要求的过程,是落实网络安全等级保护制度的重要环节。

本标准主要作用：

• 本标准规范了网络安全等级保护测评(以下简称“等级测评”)的工作过程,规定了测评活动及其工作任务。
• 本标准适用于测评机构、定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作。

主要内容包括如下内容(与<等级保护基础要求>机构一致)：

• 4 等级测评概述
• 5 测评准备活动
  • 包含工作启动、信息收集和分析、工具和表单准备三项主要任务
• 6 方案编制活动
  • 包含测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制六项主要任务
• 7 现场测评活动
  • 包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务
• 8 报告编制活动
  • 包括单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险评估、等级测评结论形成及测评报告编制七项主要任务
• 附录 A (规范性附录) 等级测评工作流程
• 附录 B (规范性附录) 等级测评工作要求
• 附录 C (规范性附录) 新技术新应用等级测评实施补充
• 附录 D (规范性附录) 测评对象确定准则和样例
• 附录 E (资料性附录) 等级测评现场测评方式及工作任务
• 附录 F (资料性附录) 等级测评报告模版示例

注意：

1. 等级测评报告模板近期有更新，暂未找到新的测评模板。

文档标记说明：

• 绿色：标准、政策文件或主管部门。
• 橙色：不同的实施阶段或网络安全标准要点。
• 浅蓝色：表示时间进度

• 引用斜体：为非本文件内容，个人注解说明。

• 加粗标记：以动词为主，根据政策要求动作去分解政策要求。

#################################################################################

前 言

• 本标准按照 GB/T1.1—2009给出的规则起草。
• 本标准 代 替 GB/T28449—2012《信 息 安 全 技 术 信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南》,与GB/T28449—2012相比,除编辑性修改外,主要技术变化如下:
  • ———标准名称由“信息安全技术 信息系统安全等级保护测评过程指南”变更为“信息安全技术 网络安全等级保护测评过程指南”;
  • ———修改了报告编制活动中的任务,由原来的6个任务修改为7个任务(见4.1,2012年版的5.4);
  • ———在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责,并在一些涉及到多方的工作任务中也予以明确(见7.4,2012年版的8.4);
  • ———在信息收集和分析工作任务中增加了信息分析方法的内容(见5.2.2);
  • ———增加了利用云计算、物联网、移动互联网、工业控制系统、IPv6系统等构建的等级保护对象开展安全测评需要额外重点关注的特殊任务及要求(见附录 C);
  • ———删除了测评方案示例(见2012年版的附录 D);
  • ———删除了信息系统基本情况调查表模版(见2012年版的附录 E)。
• 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
• 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
• 本标准起草单位:公安部第三研究所(公安部信息安全等级保护评估中心)、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、北京信息安全测评中心。
• 本标准主要起草人:袁静、任卫红、江雷、李升、张宇翔、毕马宁、李明、张益、刘凯俊、赵泰、王然、刘海峰、曲洁、刘静、朱建平、马力、陈广勇。
• 本标准所代替标准的历次版本发布情况为:———GB/T28449—2012。

引 言

• 本标准中的等级测评是测评机构依据 GB/T22239以及 GB/T28448等技术标准,检测评估定级对象安全等级保护状况是否符合相应等级基本要求的过程,是落实网络安全等级保护制度的重要环节。
  • 在定级对象建设、整改时,定级对象运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。
  • 在定级对象运维过程中 ,定级对象运营 、使用单位定期对定级对象安全等级保护状况进行自查或委托测评机构开展等级测评 , 对信息安全管控能力进行考察和评价 , 从而判定定级对象是否具备GB/T 22239中相应等级要求的安全保护能力 。
• 因此,等级测评活动所形成的等级测评报告是定级对象开展整改加固的重要依据,也是第三级以上定级对象备案的重要附件材料。
• 等级测评结论为不符合或基本符合的定级对象,其运营、使用单位需根据等级测评报告,制定方案进行整改。
• 本标准是网络安全等级保护相关系列标准之一。

信息安全技术 网络安全等级保护测评过程指南

1 范围

• 本标准规范了网络安全等级保护测评(以下简称“等级测评”)的工作过程,规定了测评活动及其工作任务。
• 本标准适用于测评机构、定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作。

2 规范性引用文件

• 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
• GB17859 计算机信息系统安全保护等级划分准则
• GB/T22239 信息安全技术 信息系统安全等级保护基本要求
• GB/T25069 信息安全技术 术语
• GB/T28448 信息安全技术 信息系统安全等级保护测评要求

3 术语和定义

• GB17859、GB/T22239、GB/T25069和 GB/T28448界定的术语和定义适用于本文件。

4 等级测评概述

4.1 等级测评过程概述

• • 本标准中的测评工作过程及任务基于受委托测评机构对定级对象的初次等级测评给出。
  • 运营、使用单位的自查或受委托测评机构已经实施过一次以上等级测评的,测评机构和测评人员根据实际情况调整部分工作任务(见附录 A)。
  • 开展等级测评的测评机构应严格按照附录 B中给出的等级测评工作要求开展相关工作。
  • 等级测评过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。
  • 而测评相关方之间的沟通与洽谈应贯穿整个等级测评过程。
  • 每一测评活动有一组确定的工作任务。具体如表1所示。

• • 本标准对其中每项活动均给出相应的工作流程、主要任务、输出文档及活动中相关方的职责的规定,每项工作任务均有相应的输入、任务描述和输出产品。

 4.2 等级测评风险

4.2.1 影响系统正常运行的风险

• • 在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机验证并查看一些信息,这就可能对系统运行造成一定的影响,甚至存在误操作的可能。
  • 此外,使用测试工具进行漏洞扫描测试、性能测试及渗透测试等,可能会对网络和系统的负载造成一定的影响,渗透性攻击测试还可能影响到服务器和系统正常运行,如出现重启、服务中断、渗透过程中植入的代码未完全清理等现象。

4.2.2 敏感信息泄露风险

• • 测评人员有意或无意泄漏被测系统状态信息,如网络拓扑、IP 地址、业务流程、业务数据、安全机制、安全隐患和有关文档信息等。

4.2.3 木马植入风险

• • 测评人员在渗透测试完成后,有意或无意将渗透测试过程中用到的测试工具未清理或清理不彻底,或者测试电脑中带有木马程序,带来在被测评系统中植入木马的风险。

4.3 等级测评风险规避

• • 在等级测评过程中可以通过采取以下措施规避风险:
  • a) 签署委托测评协议
    • 在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求以及双方的责任和义务等,使得测评双方对测评过程中的基本问题达成共识。
  • b) 签署保密协议
    • 测评相关方应签署合乎法律规范的保密协议,以约束测评相关方现在及将来的行为。
    • 保密协议规定了测评相关方保密方面的权利与义务。
    • 测评过程中获取的相关系统数据信息及测评工作的成果属被测评单位所有,测评方对其的引用与公开应得到相关单位的授权,否则相关单位将按照保密协议的要求追究测评单位的法律责任。
  • c) 现场测评工作风险的规避
    • 现场测评之前,测评机构应与相关单位签署现场测评授权书,要求相关方对系统及数据进行备份,并对可能出现的事件制定应急处理方案。
    • 进行验证测试和工具测试时,避开业务高峰期,在系统资源处于空闲状态时进行,或配置与生产环境一致的模拟/仿真环境,在模拟/仿真环境下开展漏洞扫描等测试工作;
    • 上机验证测试由测评人员提出需要验证的内容,系统运营、使用单位的技术人员进行实际操作。
    • 整个现场测评过程要求系统运营、使用单位全程监督。
  • d) 测评现场还原
    • 测评工作完成后,测评人员应将测评过程中获取的所有特权交回,把测评过程中借阅的相关资料文档归还,并将测评环境恢复至测评前状态。

5 测评准备活动

5.1 测评准备活动工作流程

测评准备活动的目标是顺利启动测评项目,收集定级对象相关资料,准备测评所需资料,为编制测评方案打下良好的基础。

测评准备活动包括工作启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见图1：

5.2 测评准备活动主要任务

5.2.1 工作启动

• • 在工作启动任务中,测评机构组建等级测评项目组,获取测评委托单位及定级对象的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做好充分准备。
  • 输入:委托测评协议书。
  • 任务描述:
    • a) 根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。
    • b) 测评机构要求测评委托单位提供基本资料,为全面初步了解被测定级对象准备资料。
  • 输出/产品:项目计划书。

5.2.2 信息收集和分析

• • 测评机构通过查阅被测定级对象已有资料或使用系统调查表格的方式,了解整个系统的构成和保护情况以及责任部门相关情况,为编写测评方案、开展现场测评和安全评估工作奠定基础。
  • 输入:项目计划书,系统调查表格,被测定级对象相关资料。
  • 任务描述:
    • a) 测评机构收集等级测评需要的相关资料,包括测评委托单位的管理架构、技术体系、运行情况、建设方案、建设过程中相关测试文档等。
    • 云计算平台、物联网、移动互联、工业控制系统的补充收集内容见附录 C。
    • b) 测评机构将系统调查表格提交给测评委托单位,督促被测定级对象相关人员准确填写调查表格。
    • c) 测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测定级对象的实际情况。
    • 这些信息可以参考自查报告或上次等级测评报告结果。
    • 在对收集到的信息进行分析时,可采用如下方法:
    • 1) 采用系统分析方法对整体网络结构和系统组成进行分析,包括网络结构、对外边界、定级对象的数量和级别、不同安全保护等级定级对象的分布情况和承载应用情况等;
    • 2) 采用分解与综合分析方法对定级对象边界和系统构成组件进行分析,包括物理与逻辑边界、硬件资源、软件资源、信息资源等;
    • 3) 采用对比与类比分析方法对定级对象的相互关联进行分析,包括应用架构方式、应用处理流程、处理信息类型、业务数据处理流程、服务对象、用户数量等。
    • d) 如果调查表格信息填写存在不准确、不完善或有相互矛盾的地方,测评机构应与填表人进行沟通和确认,必要时安排一次现场调查,与相关人员进行面对面的沟通和确认,确保系统信息调查的准确性和完整性。
  • 输出/产品:填好的调查表格,各种与被测定级对象相关的技术资料。

5.2.3 工具和表单准备

• • 测评项目组成员在进行现场测评之前,应熟悉被测定级对象、调试测评工具、准备各种表单等。
  • 输入:填好的调查表格,各种与被测定级对象相关的技术资料。
  • 任务描述:
    • a) 测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
    • b) 测评人员在测评环境模拟被测定级对象架构,为开发相关的网络及主机设备等测评对象测评指导书做好准备,并进行必要的工具验证。
    • c) 准备和打印表单,主要包括:风险告知书、文档交接单、会议记录表单、会议签到表单等。
  • 输出/产品:选用的测评工具清单,打印的各类表单。

5.3 测评准备活动输出文档

测评准备活动的输出文档及其内容如表2所示。

5.4 测评准备活动中双方职责

• • 测评机构职责:
    • a) 组建等级测评项目组。
    • b) 指出测评委托单位应提供的基本资料。
    • c) 准备被测定级对象基本情况调查表格,并提交给测评委托单位。
    • d) 向测评委托单位介绍安全测评工作流程和方法。
    • e) 向测评委托单位说明测评工作可能带来的风险和规避方法。
    • f) 了解测评委托单位的信息化建设以及被测定级对象的基本情况。
    • g) 初步分析系统的安全状况。
    • h) 准备测评工具和文档。
  • 测评委托单位职责:
    • a) 向测评机构介绍本单位的信息化建设及发展情况。
    • b) 提供测评机构需要的相关资料。
    • c) 为测评人员的信息收集工作提供支持和协调。
    • d) 准确填写调查表格。
    • e) 根据被测定级对象的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议。
    • f) 制定应急预案。

######################################################################################

愿各位在进步中安心。

2025.05.23禾木

可联系作者付费获取，定价69.9元。包括如下内容：

1. 信息安全技术全套标准指南

• ———GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》
• ———GB/T25058 信息安全技术 信息系统安全等级保护实施指南;
• ———GB/T22240 信息安全技术 信息系统安全等级保护定级指南;
• ———GB/T25070 信息安全技术 网络安全等级保护安全设计技术要求;
• ———GB/T28448 信息安全技术 网络安全等级保护测评要求;
• ———GB/T28449 信息安全技术 网络安全等级保护测评过程指南。

2. 等保2.0标准执行之高风险判定

3. GBT 22239-2019 《信息安全技术 网络安全等级保护基础要求》一到四级对比表格(按照十大方面整理，每方面包含四级要求并标记高风险项)

4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在基础要求中添加安全设计技术要求，安全设计技术要求主要用于开发人员和产品经理)

5. GBT 36958—2018 《信息安全技术  网络安全等级保护安全管理中心技术要求》一到四级对比表格(说明安全管理中心技术要求：系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求)

6. GBT 22239-2019+GBT  28448-2019  《信息安全技术 网络安全等级保护基础要求》+《信息安全技术  网络安全等级保护测评要求》一到四级对比表格(在基础要求中添加等保测评要求，可用于实施过程)

7. 等保项目预调研情况汇报表(博主整理word，用于项目前期调研和高风险项判定，分为2级和3级两个文档，并根据项目经验整理和标准整理前期项目调研内容)

​

  部分材料下载链接：

1、等保二级高风险项核对表下载链接：

https://download.csdn.net/download/qq_42591962/90878930?spm=1001.2014.3001.5503

2、GBT 36958-2018 《信息安全技术  网络安全等级保护安全管理中心技术要求》1~4级拆分表下载链接：

https://download.csdn.net/download/qq_42591962/90879022?spm=1001.2014.3001.5503

######################################################################################