等保2.0:信息安全技术 网络安全等级保护测评要求-通用要求
前言 X
引言 XI
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 安全等级保护测评概述 2
4.1 安全等级保护测评方法 2
4.2 单项测评和整体测评 2
5 第一级测评要求 2
5.1 安全技术单项测评 3
5.1.1 物理和环境安全 3
5.1.1.1 物理访问控制 3
5.1.1.2 防盗窃和防破坏 3
5.1.1.3 防雷击 3
5.1.1.4 防火 4
5.1.1.5 防水和防潮 4
5.1.1.6 温湿度控制 4
5.1.1.7 电力供应 4
5.1.2 网络和通信安全 5
5.1.2.1 网络架构 5
5.1.2.2 通信传输 5
5.1.2.3 边界防护 6
5.1.2.4 访问控制 6
5.1.3 设备和计算安全 7
5.1.3.1 身份鉴别 7
5.1.3.2 访问控制 8
5.1.3.3 入侵防范 9
5.1.3.4 恶意代码防范 10
5.1.4 应用和数据安全 10
5.1.4.1 身份鉴别 10
5.1.4.2 访问控制 11
5.1.4.3 软件容错 12
5.1.4.4 数据完整性 12
5.1.4.5 数据备份恢复 13
5.2 安全管理单项测评 13
5.2.1 安全策略和管理制度 13
5.2.1.1 管理制度 14
5.2.2 安全管理机构和人员 14
5.2.2.1 岗位设置 14
5.2.2.2 人员配备 14
5.2.2.3 授权和审批 15
5.2.2.4 人员录用 15
5.2.2.5 人员离岗 15
5.2.2.6 安全意识教育和培训 16
5.2.2.7 外部人员访问管理 16
5.2.3 安全建设管理 17
5.2.3.1 定级 17
5.2.3.2 安全方案设计 17
5.2.3.3 产品采购和使用 17
5.2.3.4 工程实施 18
5.2.3.5 测试验收 18
5.2.3.6 系统交付 18
5.2.3.7 服务供应商管理 19
5.2.4 安全运维管理 20
5.2.4.1 环境管理 20
5.2.4.2 介质管理 20
5.2.4.3 设备维护管理 21
5.2.4.4 漏洞和风险管理 21
5.2.4.5 网络和系统安全管理 22
5.2.4.6 恶意代码防范管理 22
5.2.4.7 备份与恢复管理 23
5.2.4.8 安全事件处置 24
6 第二级测评要求 24
6.1 安全技术单项测评 24
6.1.1 物理和环境安全 24
6.1.1.1 物理位置的选择 24
6.1.1.2 物理访问控制 25
6.1.1.3 防盗窃和防破坏 26
6.1.1.4 防雷击 27
6.1.1.5 防火 28
6.1.1.6 防水和防潮 28
6.1.1.7 防静电 29
6.1.1.8 温湿度控制 30
6.1.1.9 电力供应 30
6.1.1.10 电磁防护 31
6.1.2 网络和通信安全 31
6.1.2.1 网络架构 32
6.1.2.2 通信传输 33
6.1.2.3 边界防护 34
6.1.2.4 访问控制 34
6.1.2.5 入侵防范 36
6.1.2.6 安全审计 37
6.1.3 设备和计算安全 38
6.1.3.1 身份鉴别 38
6.1.3.2 访问控制 39
6.1.3.3 安全审计 41
6.1.3.4 入侵防范 42
6.1.3.5 恶意代码防范 44
6.1.3.6 资源控制 45
6.1.4 应用和数据安全 45
6.1.4.1 身份鉴别 45
6.1.4.2 访问控制 47
6.1.4.3 安全审计 48
6.1.4.4 软件容错 50
6.1.4.5 资源控制 51
6.1.4.6 数据完整性 52
6.1.4.7 数据备份恢复 52
6.1.4.8 剩余信息保护 53
6.1.4.9 个人信息保护 54
6.2 安全管理单项测评 55
6.2.1 安全策略和管理制度 55
6.2.1.1 管理制度 55
6.2.1.2 制定和发布 55
6.2.1.3 评审和修订 56
6.2.2 安全管理机构和人员 57
6.2.2.1 岗位设置 57
6.2.2.2 人员配备 58
6.2.2.3 授权和审批 58
6.2.2.4 沟通和合作 59
6.2.2.5 审核和检查 61
6.2.2.6 人员录用 61
6.2.2.7 人员离岗 62
6.2.2.8 安全意识教育和培训 62
6.2.2.9 外部人员访问管理 63
6.2.3 安全建设管理 64
6.2.3.1 定级和备案 64
6.2.3.2 安全方案设计 66
6.2.3.3 产品采购和使用 67
6.2.3.4 自行软件开发 68
6.2.3.5 外包软件开发 69
6.2.3.6 工程实施 70
6.2.3.7 测试验收 71
6.2.3.8 系统交付 72
6.2.3.9 等级测评 73
6.2.3.10 服务供应商管理 74
6.2.4 安全运维管理 75
6.2.4.1 环境管理 75
6.2.4.2 资产管理 76
6.2.4.3 介质管理 77
6.2.4.4 设备维护管理 78
6.2.4.5 漏洞和风险管理 79
6.2.4.6 网络和系统安全管理 79
6.2.4.7 恶意代码防范管理 81
6.2.4.8 配置管理 83
6.2.4.9 密码管理 83
6.2.4.10 变更管理 83
6.2.4.11 备份与恢复管理 84
6.2.4.12 安全事件处置 85
6.2.4.13 应急预案管理 87
6.2.4.14 外包运维管理 88
7 第三级测评要求 89
7.1 安全技术单项测评 89
7.1.1 物理和环境安全 89
7.1.1.1 物理位置的选择 89
7.1.1.2 物理访问控制 90
7.1.1.3 防盗窃和防破坏 90
7.1.1.4 防雷击 92
7.1.1.5 防火 92
7.1.1.6 防水和防潮 94
7.1.1.7 防静电 95
7.1.1.8 温湿度控制 96
7.1.1.9 电力供应 96
7.1.1.10 电磁防护 98
7.1.2 网络和通信安全 98
7.1.2.1 网络架构 98
7.1.2.2 通信传输 101
7.1.2.3 边界防护 102
7.1.2.4 访问控制 103
7.1.2.5 入侵防范 106
7.1.2.6 恶意代码防范 108
7.1.2.7 安全审计 108
7.1.2.8 集中管控 111
7.1.3 设备和计算安全 114
7.1.3.1 身份鉴别 114
7.1.3.2 访问控制 115
7.1.3.3 安全审计 118
7.1.3.4 入侵防范 121
7.1.3.5 恶意代码防范 123
7.1.3.6 资源控制 123
7.1.4 应用和数据安全 125
7.1.4.1 身份鉴别 125
7.1.4.2 访问控制 127
7.1.4.3 安全审计 131
7.1.4.4 软件容错 133
7.1.4.5 资源控制 134
7.1.4.6 数据完整性 136
7.1.4.7 数据保密性 137
7.1.4.8 数据备份恢复 138
7.1.4.9 剩余信息保护 139
7.1.4.10 个人信息保护 140
7.2 安全管理单项测评 141
7.2.1 安全策略和管理制度 141
7.2.1.1 安全策略 141
7.2.1.2 管理制度 142
7.2.1.3 制定和发布 143
7.2.1.4 评审和修订 144
7.2.2 安全管理机构和人员 144
7.2.2.1 岗位设置 144
7.2.2.2 人员配备 146
7.2.2.3 授权和审批 146
7.2.2.4 沟通和合作 148
7.2.2.5 审核和检查 149
7.2.2.6 人员录用 151
7.2.2.7 人员离岗 152
7.2.2.8 安全意识教育和培训 153
7.2.2.9 外部人员访问管理 154
7.2.3 安全建设管理 156
7.2.3.1 定级和备案 156
7.2.3.2 安全方案设计 157
7.2.3.3 产品采购和使用 159
7.2.3.4 自行软件开发 160
7.2.3.5 外包软件开发 163
7.2.3.6 工程实施 164
7.2.3.7 测试验收 165
7.2.3.8 系统交付 166
7.2.3.9 等级测评 167
7.2.3.10 服务供应商管理 169
7.2.4 安全运维管理 170
7.2.4.1 环境管理 170
7.2.4.2 资产管理 172
7.2.4.3 介质管理 173
7.2.4.4 设备维护管理 174
7.2.4.5 漏洞和风险管理 176
7.2.4.6 网络和系统安全管理 177
7.2.4.7 恶意代码防范管理 181
7.2.4.8 配置管理 182
7.2.4.9 密码管理 183
7.2.4.10 变更管理 183
7.2.4.11 备份与恢复管理 185
7.2.4.12 安全事件处置 186
7.2.4.13 应急预案管理 188
7.2.4.14 外包运维管理 190
8 第四级测评要求 191
8.1 安全技术单项测评 191
8.1.1 物理和环境安全 191
8.1.1.1 物理位置的选择 191
8.1.1.2 物理访问控制 192
8.1.1.3 防盗窃和防破坏 193
8.1.1.4 防雷击 195
8.1.1.5 防火 196
8.1.1.6 防水和防潮 197
8.1.1.7 防静电 198
8.1.1.8 温湿度控制 199
8.1.1.9 电力供应 199
8.1.1.10 电磁防护 201
8.1.2 网络和通信安全 202
8.1.2.1 网络架构 202
8.1.2.2 通信传输 205
8.1.2.3 边界防护 206
8.1.2.4 访问控制 209
8.1.2.5 入侵防范 210
8.1.2.6 恶意代码防范 212
8.1.2.7 安全审计 213
8.1.2.8 集中管控 215
8.1.3 设备和计算安全 217
8.1.3.1 身份鉴别 218
8.1.3.2 访问控制 219
8.1.3.3 安全审计 222
8.1.3.4 入侵防范 224
8.1.3.5 恶意代码防范 227
8.1.3.6 资源控制 227
8.1.4 应用和数据安全 229
8.1.4.1 身份鉴别 229
8.1.4.2 访问控制 232
8.1.4.3 安全审计 235
8.1.4.4 软件容错 237
8.1.4.5 资源控制 239
8.1.4.6 数据完整性 240
8.1.4.7 数据保密性 242
8.1.4.8 数据备份恢复 243
8.1.4.9 剩余信息保护 245
8.1.4.10 个人信息保护 246
8.2 安全管理单项测评 247
8.2.1 安全策略和管理制度 247
8.2.1.1 安全策略 247
8.2.1.2 管理制度 247
8.2.1.3 制定和发布 249
8.2.1.4 评审和修订 249
8.2.2 安全管理机构和人员 250
8.2.2.1 岗位设置 250
8.2.2.2 人员配备 251
8.2.2.3 授权和审批 253
8.2.2.4 沟通和合作 254
8.2.2.5 审核和检查 256
8.2.2.6 人员录用 257
8.2.2.7 人员离岗 259
8.2.2.8 安全意识教育和培训 260
8.2.2.9 外部人员访问管理 261
8.2.3 安全建设管理 263
8.2.3.1 定级和备案 263
8.2.3.2 安全方案设计 264
8.2.3.3 测评单元(L4-CMS1-07) 265
8.2.3.4 产品采购和使用 266
8.2.3.5 自行软件开发 267
8.2.3.6 外包软件开发 270
8.2.3.7 工程实施 272
8.2.3.8 测试验收 273
8.2.3.9 系统交付 274
8.2.3.10 等级测评 275
8.2.3.11 服务供应商管理 276
8.2.4 安全运维管理 277
8.2.4.1 环境管理 277
8.2.4.2 资产管理 279
8.2.4.3 介质管理 281
8.2.4.4 设备维护管理 282
8.2.4.5 漏洞和风险管理 284
8.2.4.6 网络和系统安全管理 285
8.2.4.7 恶意代码防范管理 289
8.2.4.8 配置管理 290
8.2.4.9 密码管理 291
8.2.4.10 变更管理 291
8.2.4.11 备份与恢复管理 293
8.2.4.12 安全事件处置 294
8.2.4.13 应急预案管理 296
8.2.4.14 外包运维管理 298
9 第五级测评要求 299
10 整体测评 299
10.1 概述 299
10.2 安全控制点测评 300
10.3 安全控制点间测评 300
10.4 层面间测评 300
11 测评结论 300
11.1 各层面的测评结论 300
11.2 风险分析和评价 301
11.3 等级测评结论 301
附录A(资料性附录) 测评力度 302
A.1 概述 302
A.2 等级测评力度 302
附录B(规范性附录) 测评单元编号说明 304
B.1 测评指标编码规则 304
B.2 专用缩略语 304
附录C(资料性附录) 设计要求测评验证表 305
附录D(资料性附录) 基本要求和测评要求对应表 312
D.1 第一级 312
D.2 第二级 313
D.3 第三级 317
D.4 第四级 323
参考文献 329
GB/T 《信息安全技术 网络安全等级保护测评要求》拟分成部分出版,各部分将按照应用的领域划分成安全通用测评要求和具体领域的安全扩展测评要求。目前计划发布以下部分:
——第1部分:安全通用要求;
——第2部分:云计算安全扩展要求;
——第3部分:移动互联安全扩展要求;
——第4部分:物联网安全扩展要求;
——第5部分:工控控制安全扩展要求;
——第6部分:大数据安全扩展要求。
本部分为GB/T 的第1部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分代替GB/T 《信息安全技术 信息系统安全等级保护测评要求》。与GB/T XXX相比,除编辑性修改外主要技术变化如下:
——增加了安全等级保护测评定义、测评对象、单项测评、安全控制点测评、测评指标编码规则等内容。
——删除了测评框架、等级测评内容、区域间测评等内容。
——修改了单元测评、规范性引用文件、整体测评等内容。
本部分由全国信息安全标准化技术委员会提出。
本部分由全国信息安全标准化技术委员会归口。