信息安全技术 网络安全等级保护测评要求 信息安全技术 网络安全等级保护定级指南 信息安全技术 网络安全等级保护基本要求 信息安全技术网络安全等级保护基本要求 第 2、3、5 部分

GMT0115-2021《信息系统密码应用测评要求》

GB/T 网络安全等级保护标准规范，包括基本要求、定级指南、实施指南、测评要求 GB/T 22239-2019信息安全技术网络安全等级保护基本要求 GB/T25058-2019信息安全技术网络安全等级保护实施指南 GB/T28448-2019信息安全技术网络安全等级保护测评要求 GBT25070-2019信息安全技术网络安全等级保护设计技术要求

商用密码应用安全行评估相关标准： GB/T 39786-2021信息安全技术信息系统密码应用基本要求 商用密码应用安全性评估管理办法（试行） 信息系统密码应用测评要求

标准号 GM/T 0115-2021 发布日期 2021-10-19 实施日期 2022-05-01 制修订 制定 中国标准分类号 ICS35.030 国际标准分类号 L80 技术归口 密码行业标准化技术委员会 批准发布部门 国家密码管理局 行业分类 信息传输、软件和信息技术服务业 标准类别 方法标准 备案信息 备案号：86801-2022 备案日期：2022-08-17 起草单位 国家密码管理局商用密码检测中心

等保2.0二级详细测评要求（含重点）

信息安全技术 网络安全等级保护测评要求

信息安全技术 信息系统安全等级保护测评要求 ，本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求， 包括对第一级信息系统、 第 二级信息系统、 第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、 信息系统的主管部门及运营使用单位对信息系统安全等级保 护状况进行的安全测试评估。 信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。

信息安全等级保护培训，共42页干货！ 等级保护基本情况；等级保护建设思路；等保基本要求分析；等保测评过程；如何开展等级保护工作等等。

B.2.1 安全控制点间安全测评实例 实例：物理访问控制与防盗窃防破坏间的测评分析 某信息中心机房没有安装防盗报警设备，不符合物理安全-防盗窃和防破坏控制点的二级要求，但 该机房只有一个出入口，并安排了专人 24小时值守中心机房的出入口（物理访问控制符合要求）。通过 专人值守可以发现并阻止设备被盗窃，有助于补充防盗窃防破坏安全控制点的安全保护缺失，但不能使 该控制点完全符合要求。 B.2.2 层面间安全测评实例 实例：物理安全与主机安全的测评分析 某单位屏蔽机房允许进入该机房的人员极为有限，所有外来人员进入机房必须由内部人员陪同， 且行动授限，使得机房内的 AIX主机在物理访问方面较为安全可控。尽管 AIX 主机上的本地登录用户的 身份鉴别强度低于相应安全等级的要求，但考虑物理安全的加强（严格限制进入的人员）可以增强主机 身份鉴别较弱的安全功能不足，使主机在总体的安全功能上不会受到影响，仍能基本满足相应等级的安 全要求。 B.2.3 区域间安全测评实例 实例：计算环境与安全管理区的测评分析 某定级信息系统的计算环境中包括三种业务，分别由三个独立的应用程序进行业务数据处理，三 个应用程序都不提供身份鉴别功能，而由安全管理区的统一认证服务器提供统一的用户登录和身份认 证。安全管理区提供的身份认证功能可以替代三个应用程序应用层面身份鉴别控制点的功能缺失。