信息安全技術網(wǎng)絡安全等級保護測評要求第1部分安全通用要求編制說明

1、1信息安全技術信息安全技術網(wǎng)絡安全等級保護測評要求網(wǎng)絡安全等級保護測評要求第1部分：安全通用要求部分：安全通用要求編制說明編制說明1概述1.1任務來源《信息安全技術信息系統(tǒng)安全等級保護測評要求》于2012年成為國家標準，標準號為GBT284482012，被廣泛應用于各個行業(yè)的開展等級保護對象安全等級保護的檢測評估工作。但是隨著信息技術的發(fā)展，尤其云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和大數(shù)據(jù)等新技術的發(fā)展，該標準在時效性、易用性、可操作性上還需進一

2、步提高，2013年公安部第三研究所聯(lián)合中國電子技術標準化研究院和北京神州綠盟科技有限公司向安標委申請對GBT284482012進行修訂。根據(jù)全國信息安全標準化技術委員會2013年下達的國家標準制修訂計劃，國家標準《信息安全技術信息系統(tǒng)安全等級保護測評要求》修訂任務由公安部第三研究所負責主辦，項目編號為2013bzxdWG5006。1.2制定本標準的目的和意義《信息安全等級保護管理辦法》（公通字[2007]43號）明確指出信息系統(tǒng)運營、使

3、用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導，而且等級測評的技術測評報告是其檢查內(nèi)容之一。這就要求等級測評過程規(guī)范、測評結論準確、公正及可重現(xiàn)?！缎畔踩夹g信息系統(tǒng)安全等級保護基本要求》（GBT222392008）（簡稱《基本要求》）和《信息安全技術信息系統(tǒng)安全等級保護測評要求》（GBT284482012）（簡稱《測評要求》）等標準對近幾年來全國信息安全等級保護工作的推動起到了重要的作用。伴隨著IT技術的發(fā)展，《基

4、本要求》中的一些內(nèi)容需要結合我國信息安全等級保護工作的特點，結合信息技術發(fā)展尤其是信息安全技術發(fā)展的特點，比如無線網(wǎng)絡的大量使用，數(shù)據(jù)大集中、云計算等應用方式的普及等，需要針對各等級系統(tǒng)應當對抗的安全威脅和應具有的恢復能力，提出新的各等級的安全保護目標。作為《基本要求》的姊妹標準，《測評要求》需要同步修訂，依據(jù)《基本要31.4標準組成為了適應移動互聯(lián)、虛擬計算、云計算、物聯(lián)網(wǎng)、工控系統(tǒng)和大數(shù)據(jù)等新技術、新應用情況下網(wǎng)絡安全等級保護測評工

5、作的開展，需對GBT284482012進行修訂，修訂的思路和方法是針對移動互聯(lián)、虛擬計算、云計算、物聯(lián)網(wǎng)、工控系統(tǒng)和大數(shù)據(jù)等新技術、新應用領域提出擴展的測評要求。對GBT284482012的修訂完成后，測評要求標準成為由多個部分組成的系列標準，目前主要有六個部分：——GBT28448.120XX信息安全技術網(wǎng)絡安全等級保護測評要求第1部分：安全通用要求；——GBT28448.220XX信息安全技術網(wǎng)絡安全等級保護測評要求第2部分：云計算

6、安全擴展要求；——GBT28448.320XX信息安全技術網(wǎng)絡安全等級保護測評要求第3部分：移動互聯(lián)安全擴展要求；——GBT28448.420XX信息安全技術網(wǎng)絡安全等級保護測評要求第4部分：物聯(lián)網(wǎng)安全擴展要求；——GBT28448.520XX信息安全技術網(wǎng)絡安全等級保護測評要求第5部分：工控控制安全擴展要求；——GBT28448.620XX信息安全技術網(wǎng)絡安全等級保護測評要求第6部分：大數(shù)據(jù)安全擴展測評要求。2編制過程1）2013年1

7、2月，公安部第三研究所、中國電子技術標準化研究院和北京神州綠盟科技有限公司成立了《信息安全技術信息安全等級保護測評要求》標準編制組。2）2014年1月至5月，標準編制組按照計劃調(diào)研了國際和國內(nèi)無線接入、虛擬計算、云計算平臺、大數(shù)據(jù)應用和工控系統(tǒng)應用等新技術、新應用的情況，分析并總結了新技術和新應用中的安全關注點和要素；同時標準編制組調(diào)研了與《信息安全技術信息系統(tǒng)安全等級保護測評要求》(GBT284482012)相關的其他國家標準和行業(yè)標