当前位置：首页 > news >正文

网络安全-等级保护(等保) 3-1-1 GB/T 28448-2019 附录A (资料性附录)测评力度附录C(规范性附录)测评单元编号说明

news 来源：原创 2025/5/23 6:57:00

附录A (资料性附录)测评力度

A.1 概述

测评力度是在等级测评过程中实施测评工作的力度，体现为测评工作的实际投入程度，具体由测评的广度和深度来反映。
测评广度越大，测评实施的范围越大，测评实施包含的测评对象就越多。
测评深度越深，越需要在细节上展开，测评就越严格，因此就越需要更多的工作投入。
投入越多，测评力度就越强，测评效果就越有保证。
测评方法是测评人员依据测评内容选取的、实施特定测评操作的具体方法，涉及访谈、核查和测试 等三种基本测评方法。三种基本测评方法的测评力度可以通过其测评的深度和广度来描述：

- ——访谈深度：分别为简要、充分、较全面和全面等四种。
  - 简要访谈只包含通用和高级的问题；
  - 充分访谈包含通用和高级的问题以及一些较为详细的问题；
  - 较全面访谈包含通用和高级的问题以及一些有难度和探索性的问题；
  - 全面访谈包含通用和高级的问题以及较多有难度和探索性的问题。
- ——访谈广度：体现在访谈人员的构成和数量上。
  - 访谈覆盖不同类型的人员和同一类人的数量多少，体现出访谈的广度不同。
- ——核查深度：分别为简要、充分、较全面和全面等四种。
  - 简要核查主要是对功能性的文档、机制和活动，使用简要的评审、观察或核查以及核查列表和其他相似手段的简短测评；
  - 充分核查有详细的分析、观察和研究，除了功能性的文档、机制和活动外，还适当需要一些总体或概要设计信息；
  - 较全面核查有详细、彻底分析、观察和研究，除了功能性的文档、机制和活动外，还需要总体/概要和一些详细设计以及实现上的相关信息；
  - 全面核查有详细、彻底分析、观察和研究，除了功能性的文档、机制和活动外，还需要总体/概要和详细设计以及实现上的相关信息。
- ——核查广度：核查的广度体现在核查对象的种类(文档、机制等)和数量上。
  - 核查覆盖不同类型的对象和同一类对象的数量多少，体现出对象的广度不同。
- ——测试深度：测试的深度体现在执行的测试类型上，包括功能测试、性能测试和渗透测试。
  - 功能测试和性能测试只涉及机制的功能规范、高级设计和操作规程；
  - 渗透测试涉及机制的所有可用文档，并试图智取进入等级保护对象。
- ——测试广度：测试的广度体现在被测试的机制种类和数量上。
  - 测试覆盖不同类型的机制以及同一类型机制的数量多少，体现出对象的广度不同。

A.2 等级测评力度

为了检验不同级别的等级保护对象是否具有相应等级的安全保护能力，是否满足相应等级的保护要求，需要实施与其安全保护等级相适应的测评，付出相应的工作投入，达到应有的测评力度。
测评的广度和深度落实到访谈、核查和测试三种不同的测评方法上，能体现出测评实施过程中访谈、核查和测试的投入程度的不同。
第一级到第四级等级保护对象的测评力度反映在访谈、核查和测试等三种基本测评方法的测评广度和深度上，落实在不同单项测评中具体的测评实施上。
表A.1从测评对象数量和种类以及测评深度等方面详细分析了不同测评方法的测评力度在不同级别的等级保护对象安全测评中的具体体现。
表A.1 不同级别的等级保护对象的测评力度要求

从表A.1 可以看到，对不同级别的等级保护对象进行等级测评时，选择的测评对象的种类和数量是不同的，随着等级保护对象安全保护等级的增高，抽查的测评对象的种类和数量也随之增加。
对不同级别的等级保护对象进行等级测评时，实际抽查测评对象的种类和数量，应当达到表 A.1 的要求，以满足相应等级的测评力度要求。
在确定测评对象时，需遵循以下原则：
- ——重要性，应抽查对被测定级对象来说重要的服务器、数据库和网络设备等；
- ——安全性，应抽查对外暴露的网络边界；
- ——共享性，应抽查共享设备和数据交换平台/设备；
- ——全面性，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型；
- ——符合性，选择的设备、软件系统等应能符合相应等级的测评强度要求。

附录 C(规范性附录)测评单元编号说明

C.1 测评单元编码规则

测评单元编号为三组数据，格式为XX—XXXX—XX ,各组含义和编码规则如下：

第1组由2位组成，第1位为字母L, 第2位为数字，其中数字1为第一级，2为第二级，3为第三级，4为第四级，5为第五级。
第2组由4位组成，前3位为字母，第4位为数字。
字母代表类：PES 为安全物理环境，CNS 为安全通信网络，ABS 为安全区域边界，CES 为安全计算环境，SMC 为安全管理中心，PSS 为安全管理制度，ORS 为安全管理机构，HRS 为安全管理人员，CMS 为安全建设管理，MMS 为安全运维管理。
数字代表应用场景：1为安全测评通用要求部分，2为云计算安全测评扩展要求部分，3为移动互联安全测评扩展要求部分，4为物联网安全测评扩展要求部分，5为工业控制系统安全测评扩展要求部分。
第3组由2位数字组成，按类对基本要求中的要求项进行顺序编号。

示例：测评单元编号为L1-PES1-01,代表源自安全测评通用要求部分的第一级安全物理环境类的第1个指标。

C.2 大数据可参考安全评估方法编号说明

测评单元编号为三组数据，格式为XXX—XX—XXX, 各组含义和编码规则如下：

第1组由3位组成，BDS 代表大数据可参考安全评估方法。
第2组由2位组成，第1位为字母L, 第2位为数字，其中数字1为第一级，2为第二级，3为第三级，4为第四级，5为第五级。
第3组由2位数字组成，按照基本要求中的安全控制措施进行顺序编号。

示例：测评单元编号为BDS-L1-01,代表源自大数据可参考安全评估方法的第一级的第1个指标。

C.3 专用缩略语

下列专用缩略语适用于本文件。
ABS: 安全区域边界(Area Boundary Security)
BDS: 大数据系统(Bigdata System)
CES: 安全计算环境(Computing Environment Security)
CMS: 安全建设管理(Construction Management Security)
CNS: 安全通信网络(Communication Network Security)
HRS: 安全管理人员(Human Resource Security)
MMS: 安全运维管理(Maintenance Management Security)
ORS: 安全管理机构(Organization and Resource Security)
PES: 安全物理环境(Physical Environment Security)
PSS: 安全管理制度(Policy and System Security)
SMC: 安全管理中心(Security Management Center)

######################################################################################

愿各位在进步中安心。

2025.05.22禾木

可联系作者付费获取，69.9。包括如下内容：

1. 信息安全技术全套标准指南

———GB/T 22239-2019 《信息安全技术网络安全等级保护基础要求》
———GB/T25058 信息安全技术信息系统安全等级保护实施指南;
———GB/T22240 信息安全技术信息系统安全等级保护定级指南;
———GB/T25070 信息安全技术网络安全等级保护安全设计技术要求;
———GB/T28448 信息安全技术网络安全等级保护测评要求;
———GB/T28449 信息安全技术网络安全等级保护测评过程指南。

2. 等保2.0标准执行之高风险判定

3. GBT 22239-2019 《信息安全技术网络安全等级保护基础要求》一到四级对比表格（按照十大方面整理，每方面包含四级要求并标记高风险项）

4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术网络安全等级保护基础要求》+《信息安全技术网络安全等级保护安全设计技术要求》一到四级对比表格（在基础要求中添加安全设计技术要求，安全设计技术要求主要用于开发人员和产品经理）

5. GBT 36958—2018 《信息安全技术网络安全等级保护安全管理中心技术要求》一到四级对比表格（说明安全管理中心技术要求：系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求）

6. GBT 22239-2019+GBT 28448-2019 《信息安全技术网络安全等级保护基础要求》+《信息安全技术网络安全等级保护测评要求》一到四级对比表格（在基础要求中添加等保测评要求，可用于实施过程）

7. 等保项目预调研情况汇报表（博主整理word，用于项目前期调研和高风险项判定，分为2级和3级两个文档，并根据项目经验整理和标准整理前期项目调研内容）

可联系作者付费获取，定价69.9元。包括如下内容：
1. 信息安全技术全套标准指南
———GB/T 22239-2019 《信息安全技术网络安全等级保护基础要求》
———GB/T25058 信息安全技术信息系统安全等级保护实施指南;
———GB/T22240 信息安全技术信息系统安全等级保护定级指南;
———GB/T25070 信息安全技术网络安全等级保护安全设计技术要求;
———GB/T28448 信息安全技术网络安全等级保护测评要求;
———GB/T28449 信息安全技术网络安全等级保护测评过程指南。

2. 等保2.0标准执行之高风险判定

3. GBT 22239-2019 《信息安全技术网络安全等级保护基础要求》一到四级对比表格（按照十大方面整理，每方面包含四级要求并标记高风险项）

4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术网络安全等级保护基础要求》+《信息安全技术网络安全等级保护安全设计技术要求》一到四级对比表格（在基础要求中添加安全设计技术要求，安全设计技术要求主要用于开发人员和产品经理）

5. GBT 36958—2018 《信息安全技术网络安全等级保护安全管理中心技术要求》一到四级对比表格（说明安全管理中心技术要求：系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求）

6. GBT 22239-2019+GBT 28448-2019 《信息安全技术网络安全等级保护基础要求》+《信息安全技术网络安全等级保护测评要求》一到四级对比表格（在基础要求中添加等保测评要求，可用于实施过程）

7. 等保项目预调研情况汇报表（博主整理word，用于项目前期调研和高风险项判定，分为2级和3级两个文档，并根据项目经验整理和标准整理前期项目调研内容）

部分材料下载链接：

1、等保二级高风险项核对表下载链接：

https://download.csdn.net/download/qq_42591962/90878930?spm=1001.2014.3001.5503

2、GBT 36958-2018 《信息安全技术网络安全等级保护安全管理中心技术要求》1~4级拆分表下载链接：

https://download.csdn.net/download/qq_42591962/90879022?spm=1001.2014.3001.5503

######################################################################################