################################################################################
第三章:测评要求、测评机构要求,最终目的是通过测评,所以我们将等保要求和测评相关要求一一对应形成表格。
- GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》【现行】
- GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》【现行】
- GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》【现行】
################################################################################
一、GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》【现行】
1. 执行情况
- GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》 是中华人民共和国国家标准,由国家市场监督管理总局、中国国家标准化管理委员会在2019-05-10发布,2019-12-01 实施,是现行有效的国家标准文件。
2. 文件目的
- 适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门 对等级保护对象的安全状况进行安全测评 并提供指南,
- 也适用于网络安全职能部门 进行网络安全等级保护监督检查时参考使用。
3. 主要内容
- 本标准提出了1~4级的安全通用要求和云大物移工的测评要求,与等级保护基础要求对应。通过访谈、核查、测试方法完成等级测评。
4. 文件内容参见
- 博客内容详见:网络安全-等级保护(等保) 3-1 GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》-2019-05-10发布【现行】 - 禾木KG - 博客园
- 网络安全-等级保护(等保) 3-1 GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》-2019-05-10发布【现行】_等保测评要求28448-CSDN博客
- 相关材料(打包):可联系作者付费获取。
二、GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》【现行】
1. 执行情况
- GB/T 28449-2019《信息安全技术 网络安全等级保护测评过程指南》 是网络安全等级保护相关系列标准之一。由国家市场监督管理总局、中国国家标准化管理委员会与2018-12-28发布,2019-07-01实施,是现行有效的国家标准文件。
2. 文件目的
-
本标准规范了网络安全等级保护测评(以下简称"等级测评")的工作过程,规定了测评活动及其工作任务。
-
本标准适用于测评机构、定级对象的主管部门及运营使用单位 开展网络安全等级保护测试 评价工作。
3. 主要内容
- 规定了等级测评过程,是纵向的流程,包括:四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。
- 其中附录内容对整个测评理解有很大帮助。
- 附录 A (规范性附录) 等级测评工作流程
- 附录 B (规范性附录) 等级测评工作要求
- 附录 C (规范性附录) 新技术新应用等级测评实施补充
- 附录 D (规范性附录) 测评对象确定准则和样例
- 附录 E (资料性附录) 等级测评现场测评方式及工作任务
4. 文件内容参见
- 博客内容详见:网络安全-等级保护(等保) 3-2 GB/T 28449-2019《信息安全技术 网络安全等级保护测评过程指南》-2018-12-28发布【现行】 - 禾木KG - 博客园
- 网络安全-等级保护(等保) 3-2 GB/T 28449-2019《信息安全技术 网络安全等级保护测评过程指南》-2018-12-28发布【现行】_信息安全技术信息系统安全等级保护测评过程指南-CSDN博客
- 相关材料(打包):可联系作者付费获取。
三、GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》【现行】
1. 执行情况
- GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》 由国家市场监督管理总局、中国国家标准化管理委员会与2018-09-17发布,2019-04-01实施,是现行有效的国家标准文件。
2. 文件目的
- 本标准 对网络安全等级保护测评中的相关测评技术进行明确的 分类和定义 ,系统地归纳并阐述测评的技术方法 ,概述技术性安全测试和评估的要素 ,重点关注具体技术的实现功能、原则 等,并提出建议供使用,因此本标准在应用于 网络安全等级保护测评时可作为对 GB/T28448和 GB/T28449的补充。
- 本标准适用于测评机构 对网络安全等级保护对象(以下简称"等级保护对象")开展等级测评工作,以及等级保护对象的主管部门及运营使用单位 对等级保护对象安全等级保护状况开展安全评估。
- 本标准 为方案编制活动、现场测评活动中涉及的测评技术选择与实施过程提供指导。
- 主要用说明测评过程中的技术手段,使用单位可作为参考。
3. 主要内容
- 5 等级测评要求
- 5.1 检查技术
- 5.2 识别和分析技术
- 5.3 漏洞验证技术
- 附录 A (资料性附录) 测评后活动
4. 文件内容参见
##################################################################################
等保专题内容到这里就全部结束了,标准解读与实际应用还是有差距,所以我们后面会针对不同的行业完成方案设计。
安全行业发展到现在,合规还是主流,但无论从客户需求还是国家要求,都有从合规向实战转变的趋势。
从25年三月发了《网络安全法》的修订稿,而等保是网络安全发的配套,虽然修订的内容不太多,但将会引起另一次安全的发展。
愿行业发展的越来越好。
愿各位在进步中安心。
2025.06.02禾木
可联系作者付费获取,定价69.9元。包括如下内容:
- 信息安全技术全套标准指南
- ---------GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》
- ---------GB/T25058 信息安全技术 信息系统安全等级保护实施指南;
- ---------GB/T22240 信息安全技术 信息系统安全等级保护定级指南;
- ---------GB/T25070 信息安全技术 网络安全等级保护安全设计技术要求;
- ---------GB/T28448 信息安全技术 网络安全等级保护测评要求;
- ---------GB/T28449 信息安全技术 网络安全等级保护测评过程指南。
等保2.0标准执行之高风险判定
GBT 22239-2019 《信息安全技术 网络安全等级保护基础要求》一到四级对比表格(按照十大方面整理,每方面包含四级要求并标记高风险项)
GBT 22239-2019 +GBT 25070---2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在基础要求中添加安全设计技术要求,安全设计技术要求主要用于开发人员和产品经理)
GBT 36958---2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》一到四级对比表格(说明安全管理中心技术要求:系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求)
GBT 22239-2019+GBT 28448-2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护测评要求》一到四级对比表格(在基础要求中添加等保测评要求,可用于实施过程)
等保项目预调研情况汇报表(博主整理word,用于项目前期调研和高风险项判定,分为2级和3级两个文档,并根据项目经验整理和标准整理前期项目调研内容)
部分材料下载链接:
1、等保二级高风险项核对表下载链接:
https://download.csdn.net/download/qq_42591962/90878930?spm=1001.2014.3001.5503
2、GBT 36958-2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》1~4级拆分表下载链接:
https://download.csdn.net/download/qq_42591962/90879022?spm=1001.2014.3001.5503
##################################################################################