信息安全技术网络安全等级保护测试评估技术指南编制说明.pdfVIP

信息安全技术网络安全等级保护测试

评估技术指南

编制说明

公安部第三研究所

公安部计算机信息系统安全产品质量监督检验中心

1工简况

1.1任务来源

2012年底，经中国国家标准化管理委员会批准，全国信息安全

标准化技术委员会(SAC/TC260)主任办公会讨论通过，研究制定信

息系统安全等级保护测试评估技术指南的国家标准。该项目由全国信

息安全标准化技术委员会提出，全国信息安全标准化技术委员会归

口，由公安部信息安全产品检测中心(公安部第三研窕所)负责主办。

1.2协单位

2013标准任务下达后，公安部信息安全产品检测中心立即与相

关测评机构和研究机构等进行联系与沟通，最后确定由公安部信息安

全等级保护评估中心、中国信息安全研究院有限公司、中国电子技术

标准化研究所、国家信息技术安全研究中心等单位为标准编制协

单位。

1.3主要工过程

1.3.1成立编制组

标准编制组在申请标准前即已成立，编制组成员均具有较丰富的

信息系统安全等级保护测评经验和标准编制经验，人员包括张艳、陆

臻、顾健、沈亮、俞优、张笑笑、顾玮、顾建新等；标准编制协单

位的高级技术人员共同参与标准的内容编制与研讨。

1.3.2制定工计划

编制组制定了编制工计划和人员任务安排，并确定了编制组人

员例会安排以便及时沟通交流工情况。

1.3.3参考资料

该标准编制过程中，主要参考了：

•GB/T18336-2000信息技术信息技术安全性评估准则

•GB/T19716-2005信息技术信息安全管理实用规则

•GB/T20269-2006信息安全技术信息系统安全管理要求

•GB/T20270-2006信息安全技术网络基础安全技术要求

•GB/T202282-2006信息安全技术信息系统安全工程管理要求

•GB/T22239-2008信息安全技术信息系统安全等级保护基本

要求

•GB/T28448-2012信息安全技术信息系统安全等级保护测评要

求

•GB/T28449-2012信息安全技术信息系统安全等级保护测评过

程指南

•SpecialPublication800-115TechnicalGuieto

InformationSecurityTestinganAssessment

•GB17859-1999计算机信息系统安全保护等级划分准则

•GB/T20271-2006信息安全技术信息系统安全通用技术要求

•GB/T25069-2010信息安全技术术语

1.3.4确定编制内容

标准编制组以信息系统等级保护测评工实践为基础，以GB/T

22239-2008信息安全技术信息系统安全等级保护基本要求、GB/T

28448-2012信息安全技术信息系统安全等级保护测评要求和

SpecialPublication800-115TechnicalGuidetoInformation

SecurityTestingandAssessment为主要参考依据，完成《信息安

全技术网络安全等级保护测试评估技术指南》（原立项时名为《信息

安全技术信息系统安全等级保护测试评估技术指南》）标准的编制工

，对信息系统安全测评中的相关测评技术进行明确的分类和定义，

并系统地归纳和阐述系统测评的技术方法。

1.3.5编制工简要过程

在申请信息安全技术信息系统安全等级保护测试评估技术指南

国家标准制订任务之前，标准工