1.1 测评目的 1.2 测评依据 列出开展测评活动所依据的文件、标准和合同等。 如果有行业标准的,行业标准的指标作为基本指标。报告中的特殊指标属于用户自愿增加的要求项。 1.3 测评过程 描述等级测评工作流程,包括测评工作流程图、各阶段完成的关键任务和工作的时间节点等 内容。 1.4 报告分发范围 说明等级测评报告正本的份数与分发范围。 2 被测信息系统情况 参照备案信息简要描述信息系统。 2.1 承载的业务情况 描述信息系统承载的业务、应用等情况。 2.2 网络结构 给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包 括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系 统的互联情况和边界设备以及本地备份和灾备中心的情况。 2.3 系统资产 系统资产包括被测信息系统相关的所有软硬件、人员、数据及文档等。 2.3.1 机房 以列表形式给出被测信息系统的部署机房。 序号 机房名称 物理位置 2.3.2 网络设备 以列表形式给出被测信息系统中的网络设备。 93 GB/T28449—2018

标准号：GM/T 0116-2021 发布日期：2021-10-19 实施日期：2022-05-01 制修订：制定 中国标准分类号：ICS35.030 国际标准分类号：L80 技术归口：密码行业标准化技术委员会 批准发布部门：国家密码管理局 行业分类：信息传输、软件和信息技术服务业 标准类别：方法标准 备案号：86802-2022 备案日期：2022-08-17 起草单位：国家密码管理局商用密码检测中心

GBT 28449-2018 信息安全技术 网络安全等级保护测评过程指南

等保2.0是我国网络安全领域的基本国策、基本制度和基本方法。随着信息技术的发展和网络安全形势的变化，等保2.0在1.0的基础上更加注重全方位主动防御、动态防御、整体防控和精准防护，实现了对云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象全覆盖，以及除个人及家庭自建网络之外的领域全覆盖。 等保2.0国家标准的发布，对加强我国网络安全保障工作、提升网络安全保护能力具有重要意义。

本标准中的等级测评是测评机构依据 GB/T 22239 以及 GB/T 28448 等技术标准, 检测评估定级 对象安全等级保护状况是否符合相应等级基本要求的过程, 是落实网络安全等级保护制度的重要环节。 在定级对象建设、 整改时, 定级对象运营、 使用单位通过等级测评进行现状分析, 确定系统的安全保 护现状和存在的安全问题, 并在此基础上确定系统的整改安全需求。 在定级对象运维过程中, 定级对象运营、 使用单位定期对定级对象安全等级保护状况进行自查或委 托测 评 机 构 开 展 等 级 测 评, 对 信 息 安 全 管 控 能 力 进 行 考 察 和 评 价, 从 而 判 定 定 级 对 象 是 否 具 备 GB/T22239中相应等级要求的安全保护能力。 因此, 等级测评活动所形成的等级测评报告是定级对象 开展整改加固的重要依据, 也是第三级以上定级对象备案的重要附件材料。 等级测评结论为不符合或 基本符合的定级对象, 其运营、 使用单位需根据等级测评报告, 制定方案进行整改。 本标准是网络安全等级保护相关系列标准之一。

GB∕T 28449-2018 信息安全技术 网络安全等级保护测评过程指南.pdf

等保

安全等级保护测评过程指南安全等级保护测评过程指南安全等级保护测评过程指南安全等级保护测评过程指南

本指南详细描述了商用密码应用安全性评估的主要活动和任务，包括测评准备活动、方案编制活动、现场测评活动、分析和报告编制活动，适用于规范商用密码应用安全性测评机构（以下简称“测评机构”）在商用密码应用安全性评估工作中的测评过程。本指南所涉及的“测评”，若无特殊说明，均指商用密码应用安全性评估相关的测评活动。

GB:T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》