网络安全-等级保护(等保)3-0 等级保护测评要求现行技术标准

################################################################################

第三章:测评要求、测评机构要求,最终目的是通过测评,所以我们将等保要求和测评相关要求一一对应形成表格。

  • GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》【现行】
  • GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》【现行】
  • GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》【现行】

################################################################################

一、GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》【现行】

1. 执行情况

  • GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》 是中华人民共和国国家标准,由国家市场监督管理总局、中国国家标准化管理委员会在2019-05-10发布,2019-12-01 实施,是现行有效的国家标准文件

2. 文件目的

  • 适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门 对等级保护对象的安全状况进行安全测评提供指南
  • 也适用于网络安全职能部门 进行网络安全等级保护监督检查时参考使用。

3. 主要内容

  • 本标准提出了1~4级的安全通用要求和云大物移工的测评要求,与等级保护基础要求对应。通过访谈、核查、测试方法完成等级测评。

4. 文件内容参见

二、GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》【现行】

1. 执行情况

  • GB/T 28449-2019《信息安全技术 网络安全等级保护测评过程指南》 是网络安全等级保护相关系列标准之一。由国家市场监督管理总局、中国国家标准化管理委员会与2018-12-28发布,2019-07-01实施,是现行有效的国家标准文件

2. 文件目的

  • 本标准规范了网络安全等级保护测评(以下简称"等级测评")的工作过程,规定了测评活动及其工作任务。

  • 本标准适用于测评机构、定级对象的主管部门及运营使用单位 开展网络安全等级保护测试 评价工作。

3. 主要内容

  • 规定了等级测评过程,是纵向的流程,包括:四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动
  • 其中附录内容对整个测评理解有很大帮助。
    • 附录 A (规范性附录) 等级测评工作流程
    • 附录 B (规范性附录) 等级测评工作要求
    • 附录 C (规范性附录) 新技术新应用等级测评实施补充
    • 附录 D (规范性附录) 测评对象确定准则和样例
    • 附录 E (资料性附录) 等级测评现场测评方式及工作任务

4. 文件内容参见

三、GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》【现行】

1. 执行情况

  • GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》 由国家市场监督管理总局、中国国家标准化管理委员会与2018-09-17发布,2019-04-01实施,是现行有效的国家标准文件

2. 文件目的

  • 本标准 对网络安全等级保护测评中的相关测评技术进行明确的 分类和定义 ,系统地归纳并阐述测评的技术方法 ,概述技术性安全测试和评估的要素 ,重点关注具体技术的实现功能、原则 等,并提出建议供使用,因此本标准在应用于 网络安全等级保护测评时可作为对 GB/T28448和 GB/T28449的补充
  • 本标准适用于测评机构 对网络安全等级保护对象(以下简称"等级保护对象")开展等级测评工作,以及等级保护对象的主管部门及运营使用单位 对等级保护对象安全等级保护状况开展安全评估
  • 本标准方案编制活动、现场测评活动中涉及的测评技术选择与实施过程提供指导。
  • 主要用说明测评过程中的技术手段,使用单位可作为参考。

3. 主要内容

  • 5 等级测评要求
    • 5.1 检查技术
    • 5.2 识别和分析技术
    • 5.3 漏洞验证技术
  • 附录 A (资料性附录) 测评后活动

4. 文件内容参见

##################################################################################

等保专题内容到这里就全部结束了,标准解读与实际应用还是有差距,所以我们后面会针对不同的行业完成方案设计。

安全行业发展到现在,合规还是主流,但无论从客户需求还是国家要求,都有从合规向实战转变的趋势。

从25年三月发了《网络安全法》的修订稿,而等保是网络安全发的配套,虽然修订的内容不太多,但将会引起另一次安全的发展。

愿行业发展的越来越好。

愿各位在进步中安心。

2025.06.02禾木

可联系作者付费获取,定价69.9元。包括如下内容:

  1. 信息安全技术全套标准指南
  • ---------GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》
  • ---------GB/T25058 信息安全技术 信息系统安全等级保护实施指南;
  • ---------GB/T22240 信息安全技术 信息系统安全等级保护定级指南;
  • ---------GB/T25070 信息安全技术 网络安全等级保护安全设计技术要求;
  • ---------GB/T28448 信息安全技术 网络安全等级保护测评要求;
  • ---------GB/T28449 信息安全技术 网络安全等级保护测评过程指南。
  1. 等保2.0标准执行之高风险判定

  2. GBT 22239-2019 《信息安全技术 网络安全等级保护基础要求》一到四级对比表格(按照十大方面整理,每方面包含四级要求并标记高风险项)

  3. GBT 22239-2019 +GBT 25070---2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在基础要求中添加安全设计技术要求,安全设计技术要求主要用于开发人员和产品经理)

  4. GBT 36958---2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》一到四级对比表格(说明安全管理中心技术要求:系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求)

  5. GBT 22239-2019+GBT 28448-2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护测评要求》一到四级对比表格(在基础要求中添加等保测评要求,可用于实施过程)

  6. 等保项目预调研情况汇报表(博主整理word,用于项目前期调研和高风险项判定,分为2级和3级两个文档,并根据项目经验整理和标准整理前期项目调研内容)

部分材料下载链接:

1、等保二级高风险项核对表下载链接:

https://download.csdn.net/download/qq_42591962/90878930?spm=1001.2014.3001.5503

https://files.cnblogs.com/files/hemukg/%E7%AD%89%E4%BF%9D2%E7%BA%A7%E9%AB%98%E9%A3%8E%E9%99%A9%E9%A1%B9%E6%A0%B8%E5%AF%B9%E8%A1%A8.zip?t=1747979835&download=true

2、GBT 36958-2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》1~4级拆分表下载链接:

https://download.csdn.net/download/qq_42591962/90879022?spm=1001.2014.3001.5503

https://files.cnblogs.com/files/hemukg/%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E4%B8%AD%E5%BF%83%E6%8A%80%E6%9C%AF%E8%A6%81%E6%B1%821~4%E7%BA%A7%E8%A6%81%E6%B1%82%E6%8B%86%E5%88%86%E8%A1%A8.zip?t=1747625995&download=true

##################################################################################

相关推荐
网安INF6 小时前
【论文阅读】-《RayS: A Ray Searching Method for Hard-label Adversarial Attack》
论文阅读·人工智能·深度学习·计算机视觉·网络安全·对抗攻击
李小咖12 小时前
第2章 cmd命令基础:常用基础命令(2)
windows·网络安全·cmd命令·李小咖·windows基础
云手机掌柜17 小时前
从0到500账号管理:亚矩阵云手机多开组队与虚拟定位实战指南
数据结构·线性代数·网络安全·容器·智能手机·矩阵·云计算
上海云盾商务经理杨杨1 天前
2025数字藏品安全保卫战:高防CDN如何成为NFT应用的“隐形护甲”?
安全·网络安全
ALe要立志成为web糕手1 天前
TCP/IP
安全·web安全·网络安全·渗透测试
李小咖1 天前
第2章 cmd命令基础:常用基础命令(1)
windows·网络安全·cmd·cmd命令·李小咖
ALe要立志成为web糕手1 天前
HTTP 与 HTTPS 的区别
网络·安全·web安全·网络安全
Bruce_Liuxiaowei1 天前
VNC和RPC加固措施
网络·网络协议·网络安全·rpc
爱学习的小牛1 天前
当 AI 重构审计流程,CISA 认证为何成为破局关键
人工智能·网络安全·cisa·it审计
ALe要立志成为web糕手1 天前
计算机网络基础
网络·安全·web安全·网络安全