当前位置：首页 > news >正文

网络安全-等级保护(等保) 3-1 GB/T 28448-2019 《信息安全技术网络安全等级保护测评要求》-2019-05-10发布【现行】

news 来源：原创 2025/5/23 9:25:22

################################################################################

GB/T 28448-2019 《信息安全技术网络安全等级保护测评要求》是中华人民共和国国家标准，由国家市场监督管理总局、中国国家标准化管理委员会在2019-05-10发布，2019-12-01 实施，是现行有效的国家标准文件。

GB/T 28448-2019 《信息安全技术网络安全等级保护测评要求》为了配合《中华人民共和国网络安全法》的实施，同时适应云计算、移动互联、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展。针对共性安全保护需求提出安全测评通用要求，针对云计算、移动互联、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全测评扩展要求，形成新的《信息安全技术网络安全等级保护测评要求》标准。

本标准适用于：

适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南，
也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。

主要内容包括如下内容（与<等级保护基础要求>机构一致）：

5 等级测评概述
6 第一级测评要求
7 第二级测评要求
8 第三级测评要求
9 第四级测评要求
10 第五级测评要求
11 整体测评
12 测评结论
附录 A (资料性附录) 测评力度
附录C (规范性附录)测评单元编号说明

博客内容会对1~5章及附录进行说明，6~9章将<等级保护基础要求>与<等级保护测评>第一级到第四级的具体内容以表格的方式对照，充分对比每一级要求差别，如下图所示：

#如有需要可联系博主付费获取。

注意：

1. 博主非等保机构测评人员，未参与过等保测评，大部分在参加等保安全建设，整理等保测评资料是为了更好的服务等保建设。
等保测评机构是每个省份获取公安部证书的指定机构，据目前了解的情况，不允许串省份进行等保测评。

2. 在等保测评要求中，强调了一个概念，单项测评和整体测评，整体测评是在单项测评后进行的，可对单项测评有补充作用。
测评对象：主要涉及相关配套制度文档、设备设施及人员

3. 在测评过程中最核心的就是访谈、核查、测试三个方法，对于每个等级的测评项，三个方法的深度和广度是有差别的，可查看附录A。
访谈、核查、测试的具体在后面的《GB/T 28449-2019 附录 E(资料性附录)等级测评现场测评方式及工作任务》会详细说明。

#################################################################################

前言

本标准按照GB/T 1.1—2009 给出的规则起草。

本标准代替 GB/T 28448—2012《信息安全技术信息系统安全等级保护测评要求》,与 GB/T 28448—2012 相比，主要变化如下：

——将标准名称变更为《信息安全技术网络安全等级保护测评要求》;
——每个级别增加了云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等内容；
——增加了等级测评、测评对象、云服务商和云服务客户等相关术语和定义(见第3章，2012年版的第3章);
——将针对控制点的单元测评细化调整为针对要求项的单项测评，删除了“测评框架”(见2012年版的4.1)和“等级测评内容”(见2012年版的4.2);
——增加了大数据可参考安全评估方法(见附录B) 和测评单元编号说明(见附录C)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。

本标准起草单位：公安部第三研究所(公安部信息安全等级保护评估中心)、中国电子技术标准化研究院、国家信息中心、中国科学院信息工程研究所(信息安全国家重点实验室)、北京大学、新华三技术有限公司、成都科来软件有限公司、中国移动通信集团有限公司、北京鼎普科技股份有限公司、北京微步在线科技有限公司、北京梆梆安全科技有限公司、北京迅达云成科技有限公司、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、公安部第一研究所、北京信息安全测评中心、国家能源局信息中心(电力行业信息安全等级保护测评中心)、全球能源互联网研究院、北京卓识网安技术股份有限公司、中国电力科学研究院、南京南瑞集团公司、国电南京自动化股份有限公司、南方电网科学研究院、中国电子信息产业集团公司第六研究所、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、启明星辰信息技术集团股份有限公司、北京烽云互联科技有限公司、华普科工(北京)有限公司。

本标准主要起草人：陈广勇、李明、黎水林、马力、曲洁、于东升、艾春迪、郭启全、葛波蔚、祝国邦、陆磊、张宇翔、毕马宁、沙淼淼、李升、胡红升、陈雪鸿、袁静、章恒、张益、毛澍、王斌、尹湘培、王勇、高亚楠、焦安春、赵劲涛、于俊杰、徐衍龙、马晓波、江雷、黄顺京、朱建兴、苏艳芳、禄凯、何申、霍珊珊、于运涛、陈震、任卫红、孙惠平、万晓兰、马红霞、薛锋、赵林林、刘金刚、胡越宁、周晓雪、李亚军、杨洪起、孟召瑞、李飞、王江波、阚志刚、刘健、陶源、李秋香、许凤凯、王绍杰、李晨旸、李凌、朱世顺、张五一、陈华军、张洁昕、张彪、李汪蔚、王雪、蔡学琳、胡娟、刘静、周峰、郝鑫、马闽、段伟恒。

本标准所代替标准的历次版本发布情况为：

——GB/T 28448—2012。

引言

为了配合《中华人民共和国网络安全法》的实施，同时适应云计算、移动互联、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展，需对GB/T 28448—2012 进行修订。同时，作为测评指标进行引用的GB/T 22239—2008 也启动了修订工作。
修订的思路和方法依据GB/T 22239 调整的内容，针对共性安全保护需求提出安全测评通用要求，针对云计算、移动互联、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全测评扩展要求，形成新的《信息安全技术网络安全等级保护测评要求》标准。
本标准是网络安全等级保护相关系列标准之一。
与本标准相关的标准包括：
- ——GB/T 25058 信息安全技术信息系统安全等级保护实施指南；
- ——GB/T 22240 信息安全技术信息系统安全等级保护定级指南；
- ——GB/T 22239 信息安全技术网络安全等级保护基本要求；
- ——GB/T 25070 信息安全技术网络安全等级保护安全设计技术要求；
- ——GB/T 28449 信息安全技术网络安全等级保护测评过程指南。

信息安全技术网络安全等级保护测评要求

1 范围

本标准规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。
本标准适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南，也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。
注：第五级等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全测评要求，所以不在本标准中进行描述。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB 17859—1999 计算机信息系统安全保护等级划分准则
GB/T 22239—2019 信息安全技术网络安全等级保护基本要求
GB/T 25069 信息安全技术术语
GB/T 25070—2019 信息安全技术网络安全等级保护安全设计技术要求
GB/T 28449—2018 信息安全技术网络安全等级保护测评过程指南
GB/T 31167—2014 信息安全技术云计算服务安全指南
GB/T 31168—2014 信息安全技术云计算服务安全能力要求
GB/T 32919—2016 信息安全技术工业控制系统安全控制应用指南

3 术语和定义

GB 17859—1999 、GB/T 25069 、GB/T 22239—2019 、GB/T 25070—2019 、GB/T 31167—2014 、 GB/T 31168—2014 和GB/T 32919—2016界定的以及下列术语和定义适用于本文件。
为了便于使用，以下重复列出了GB/T 31167—2014 和GB/T 31168—2014 中的一些术语和定义。

3.1 访谈 interview

测评人员通过引导等级保护对象相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。

3.2 核查 examine

测评人员通过对测评对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析，以帮助测评人员理解、澄清或取得证据的过程。

3.3 测试 test

测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果，将运行结果与预期的结果进行比对的过程。

3.4 评估 evaluate

对测评对象可能存在的威胁及其可能产生的后果进行综合评价和预测的过程。

3.5 测评对象 target of testing and evaluation

等级测评过程中不同测评方法作用的对象，主要涉及相关配套制度文档、设备设施及人员等。

3.6 等级测评 testing and evaluation for classified cybersecurity protection

测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。

3.7 云服务商 cloud service provider

云计算服务的供应方。
注：云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络交付云计算的资源。 [GB/T 31167—2014,定义3.3]

3.8 云服务客户 cloud service customer

为使用云计算服务同云服务商建立业务关系的参与方。 [GB/T 31168—2014,定义3.4]

3.9 虚拟机监视器 hypervisor

运行在基础物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享硬件。

3.10 宿主机 host machine

运行虚拟机监视器的物理服务器。

4 缩略语

下列缩略语适用于本文件。
AP: 无线访问接入点(Wireless Access Point)
APT: 高级持续性威胁(Advanced Persistent Threat)
DDoS:分布式拒绝服务(Distributed Denial of Service)
SSID:服务集标识(Service Set Identifier)
WEP: 有线等效加密(Wired Equivalent Privacy)
WiFi: 无线保真(Wireless Fidelity)
WPS:WiFi 保护设置(Wi-Fi Protected Setup)

5 等级测评概述

5.1 等级测评方法

等级测评实施的基本方法是针对特定的测评对象，采用相关的测评手段，遵从一定的测评规程，获取需要的证据数据，给出是否达到特定级别安全保护能力的评判。等级测评实施的详细流程和方法见GB/T 28449—2018。
本标准中针对每一个要求项的测评就构成一个单项测评，针对某个要求项的所有具体测评内容构成测评实施。
- 单项测评中的每一个具体测评实施要求项(以下简称“测评要求项”)是与安全控制点下面所包括的要求项(测评指标)相对应的。
- 在对每一要求项进行测评时，可能用到访谈、核查和测试 三种测评方法，也可能用到其中一种或两种。
- 测评实施的内容完全覆盖了GB/T 22239—2019 及 GB/T 25070—2019 中所有要求项的测评要求，使用时应当从单项测评的测评实施中抽取出对于 GB/T 22239—2019 中每一个要求项的测评要求，并按照这些测评要求开发测评指导书，以规范和指导等级测评活动。GB/T 22239-2019 《信息安全技术网络安全等级保护基础要求》
  - GB/T 25070—2019《信息安全技术网络安全等级保护安全设计技术要求》
根据调研结果，分析等级保护对象的业务流程和数据流，确定测评工作的范围。
- 结合等级保护对象的安全级别，综合分析系统中各个设备和组件的功能和特性，从等级保护对象构成组件的重要性、安全性、共享性、全面性和恰当性等几方面属性确定技术层面的测评对象，并将与其相关的人员及管理文档确定为管理层面的测评对象。
- 测评对象可以根据类别加以描述，包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档等。
等级测评活动中涉及测评力度，包括测评广度(覆盖面)和测评深度(强弱度)。
- 安全保护等级较高的测评实施应选择覆盖面更广的测评对象和更强的测评手段，可以获得可信度更高的测评证据，测评力度的具体描述参见附录 A。
每个级别测评要求都包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求5个部分。大数据可参考安全评估方法参见附录B。

5.2 单项测评和整体测评

等级测评包括单项测评和整体测评。
单项测评是针对各安全要求项的测评，支持测评结果的可重复性和可再现性。
- 本标准中单项测评由测评指标、测评对象、测评实施和单元判定结果构成。
- 为方便使用针对每个测评单元进行编号，具体描述见附录C。
整体测评是在单项测评基础上，对等级保护对象整体安全保护能力的判断。
- 整体安全保护能力从纵深防护和措施互补两个角度评判。

6 第一级测评要求 -见excel

6.1 安全测评通用要求
6.2 云计算安全测评扩展要求
6.3 移动互联安全测评扩展要求
6.4 物联网安全测评扩展要求
6.5 工业控制系统安全测评扩展要求

7 第二级测评要求-见excel

7.1 安全测评通用要求
7.2 云计算安全测评扩展要求
7.3 移动互联安全测评扩展要求
7.4 物联网安全测评扩展要求
7.5 工业控制系统安全测评扩展要求

8 第三级测评要求-见excel

8.1 安全测评通用要求

8.2 云计算安全测评扩展要求
8.3 移动互联安全测评扩展要求
8.4 物联网安全测评扩展要求
8.5 工业控制系统安全测评扩展要求

9 第四级测评要求-见excel

9.1 安全测评通用要求
9.2 云计算安全测评扩展要求
9.3 移动互联安全测评扩展要求
9.4 物联网安全测评扩展要求
9.5 工业控制系统安全测评扩展要求

10 第五级测评要求

略。

11 整体测评

11.1 概述

等级保护对象整体测评应从安全控制点、安全控制点间和区域间等方面进行测评和综合安全分析，从而给出等级测评结论。
整体测评包括安全控制点测评、安全控制点间测评和区域间测评。
- 安全控制点测评是指对单个控制点中所有要求项的符合程度进行分析和判定。
- 安全控制点间安全测评是指对同一区域同一类内的两个或者两个以上不同安全控制点间的关联进行测评分析，其目的是确定这些关联对等级保护对象整体安全保护能力的影响。
- 区域间安全测评是指对互连互通的不同区域之间的关联进行测评分析，其目的是确定这些关联对等级保护对象整体安全保护能力的影响。

11.2 安全控制点测评

在单项测评完成后，如果该安全控制点下的所有要求项为符合，则该安全控制点符合，否则为不符合或部分符合。

11.3 安全控制点间测评

在单项测评完成后，如果等级保护对象的某个安全控制点中的要求项存在不符合或部分符合，应进行安全控制点间测评，应分析在同一类内，是否存在其他安全控制点对该安全控制点具有补充作用(如物理访问控制和防盗窃、身份鉴别和访问控制等)。
同时，分析是否存在其他的安全措施或技术与该要求项具有相似的安全功能。
根据测评分析结果，综合判断该安全控制点所对应的系统安全保护能力是否缺失，如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失，则对该测评指标的测评结果予以调整。

11.4 区域间测评

在单项测评完成后，如果等级保护对象的某个安全控制点中的要求项存在不符合或部分符合，应进行区域间安全测评，重点分析等级保护对象中访问控制路径(如不同功能区域间的数据流流向和控制方式等)是否存在区域间的相互补充作用。
根据测评分析结果，综合判断该安全控制点所对应的系统安全保护能力是否缺失，如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失，则对该测评指标的测评结果予以调整。

12 测评结论

12.1 风险分析和评价

- 等级测评报告中应对整体测评之后单项测评结果中的不符合项或部分符合项进行风险分析和评价。
- 采用风险分析的方法对单项测评结果中存在的不符合项或部分符合项，分析所产生的安全问题被威胁利用的可能性，判断其被威胁利用后对业务信息安全和系统服务安全造成影响的程度，综合评价这些不符合项或部分符合项对定级对象造成的安全风险。

12.2 等级测评结论

- 等级测评报告应给出等级保护对象的等级测评结论，确认等级保护对象达到相应等级保护要求的程度。
- 应结合各类的测评结论和对单项测评结果的风险分析给出等级测评结论：
- a) 符合：定级对象中未发现安全问题，等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0,综合得分为100分。
- b) 基本符合：定级对象中存在安全问题，部分符合和不符合项的统计结果不全为0,但存在的安全问题不会导致定级对象面临高等级安全风险，且综合得分不低于阈值。
- c) 不符合：定级对象中存在安全问题，部分符合项和不符合项的统计结果不全为0,而且存在的安全问题会导致定级对象面临高等级安全风险，或者中低风险所占比例超过阈值。

参考文献

[1]GB/T 18336.1—2015 信息技术安全技术信息技术安全评估准则第1部分：简介和一般模型
[2]GB/T 18336.2—2015 信息技术安全技术信息技术安全评估准则第2部分：安全功能组件
[3]GB/T 18336.3—2015 信息技术安全技术信息技术安全评估准则第3部分：安全保障组件
[4]GB/T 20269—2006 信息安全技术信息系统安全管理要求
[5] GB/T 20270—2006 信息安全技术网络基础安全技术要求
[6]GB/T 20271—2006 信息安全技术信息系统通用安全技术要求
[7]GB/T 20272—2006 信息安全技术操作系统安全技术要求
[8]GB/T 20273—2006 信息安全技术数据库管理系统安全技术要求
[9]GB/T 20282—2006 信息安全技术信息系统安全工程管理要求
[10]GB/T 30976.1—2014 工业控制系统信息安全第1部分：评估规范
[11]GB/T 30976.2—2014 工业控制系统信息安全第2部分：验收规范
[12] GB 50174—2017 数据中心设计规范
[13] YD/T 2437—2012 物联网总体框架与技术要求
[14] YDB 101—2012 物联网安全需求
[15]ISO/IEC 27000:2013 Information technology—Security techniques—Information security management systems—Overview and vocabulary
[16] ISO/IEC 27001:2013 Information technology—Security techniques—Information security management system—Requirements
[17]ISO/IEC 27002:2013 Information Technology—Security Techniques—Code of practice for information security controls
[18]ISO/IEC 27003:2013 Information technology—Security techniques—Information security management system implementation—Guidance
[19]IEC 62264-1 Enterprise—control system integration—Part 1:Models and terminology
[20]IEC 62443-1-1 Industrial communication networks—network and system security—Part 1-1:terminology,concepts and models
[21]IEC 62443-3-2 Industrial communication networks—Network and system security—Part 3-2:Security assurance levels for zones and conduits
[22]IEC 62443-3-3 Industrial communication networks—Network and system security—Part 3- 3:System security requirements and security levels
[23]NIST Special Publication 800-53A:Assessing Security and Privacy Controls in Federal In- formation Systems and Organizations
[24] NIST Special Publication 800-82:Guide to Industrial Control Systems(ICS)Security

######################################################################################

愿各位在进步中安心。

2025.05.21禾木

可联系作者付费获取，69.9。包括如下内容：

1. 信息安全技术全套标准指南

———GB/T 22239-2019 《信息安全技术网络安全等级保护基础要求》
———GB/T25058 信息安全技术信息系统安全等级保护实施指南;
———GB/T22240 信息安全技术信息系统安全等级保护定级指南;
———GB/T25070 信息安全技术网络安全等级保护安全设计技术要求;
———GB/T28448 信息安全技术网络安全等级保护测评要求;
———GB/T28449 信息安全技术网络安全等级保护测评过程指南。

2. 等保2.0标准执行之高风险判定

3. GBT 22239-2019 《信息安全技术网络安全等级保护基础要求》一到四级对比表格（按照十大方面整理，每方面包含四级要求并标记高风险项）

4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术网络安全等级保护基础要求》+《信息安全技术网络安全等级保护安全设计技术要求》一到四级对比表格（在基础要求中添加安全设计技术要求，安全设计技术要求主要用于开发人员和产品经理）

5. GBT 36958—2018 《信息安全技术网络安全等级保护安全管理中心技术要求》一到四级对比表格（说明安全管理中心技术要求：系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求）

6. GBT 22239-2019+GBT 28448-2019 《信息安全技术网络安全等级保护基础要求》+《信息安全技术网络安全等级保护测评要求》一到四级对比表格（在基础要求中添加等保测评要求，可用于实施过程）

7. 等保项目预调研情况汇报表（博主整理word，用于项目前期调研和高风险项判定，分为2级和3级两个文档，并根据项目经验整理和标准整理前期项目调研内容）

可联系作者付费获取，定价69.9元。包括如下内容：
1. 信息安全技术全套标准指南
———GB/T 22239-2019 《信息安全技术网络安全等级保护基础要求》
———GB/T25058 信息安全技术信息系统安全等级保护实施指南;
———GB/T22240 信息安全技术信息系统安全等级保护定级指南;
———GB/T25070 信息安全技术网络安全等级保护安全设计技术要求;
———GB/T28448 信息安全技术网络安全等级保护测评要求;
———GB/T28449 信息安全技术网络安全等级保护测评过程指南。

2. 等保2.0标准执行之高风险判定

3. GBT 22239-2019 《信息安全技术网络安全等级保护基础要求》一到四级对比表格（按照十大方面整理，每方面包含四级要求并标记高风险项）

4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术网络安全等级保护基础要求》+《信息安全技术网络安全等级保护安全设计技术要求》一到四级对比表格（在基础要求中添加安全设计技术要求，安全设计技术要求主要用于开发人员和产品经理）

5. GBT 36958—2018 《信息安全技术网络安全等级保护安全管理中心技术要求》一到四级对比表格（说明安全管理中心技术要求：系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求）

6. GBT 22239-2019+GBT 28448-2019 《信息安全技术网络安全等级保护基础要求》+《信息安全技术网络安全等级保护测评要求》一到四级对比表格（在基础要求中添加等保测评要求，可用于实施过程）

7. 等保项目预调研情况汇报表（博主整理word，用于项目前期调研和高风险项判定，分为2级和3级两个文档，并根据项目经验整理和标准整理前期项目调研内容）

部分材料下载链接：

1、等保二级高风险项核对表下载链接：

https://download.csdn.net/download/qq_42591962/90878930?spm=1001.2014.3001.5503

2、GBT 36958-2018 《信息安全技术网络安全等级保护安全管理中心技术要求》1~4级拆分表下载链接：

https://download.csdn.net/download/qq_42591962/90879022?spm=1001.2014.3001.5503

######################################################################################