信息安全技术网络安全等级保护测评要求第部分安全通用要求意见处理表.docx
《信息安全技术网络安全等级保护测评要求第部分安全通用要求意见处理表.docx》由会员分享,可在线阅读,更多相关《信息安全技术网络安全等级保护测评要求第部分安全通用要求意见处理表.docx(41页珍藏版)》请在冰点文库上搜索。
信息安全技术网络安全等级保护测评要求第部分安全通用要求意见处理表
标准草案意见汇总处理表
标准项目名称:
《信息安全技术信息系统安全等级保护测评要求》
又名:
《信息安全技术网络安全等级保护测评要求第1部分:
安全通用要求》
承办人:
陈广勇共26页
标准项目负责起草单位:
公安部信息安全等级保护评估中心电话:
序号
标准
条文号
意 见 内 容
提出专家
/提出单位
处理意见
备 注
一、标准草案第三稿,2016年5月23日,评估中心大会议室,2016年5月24日填写
标准范围
标准范围应该包括内容范围和适用范围,标准适用的范围要描述清楚。
全国信息安全标准化技术委员会崔书昆
采纳:
在标准范围部分明确了本标准的适应范围。
全文
严格按照基本要求国家标准编制测评要求标准,确保测评指标与基本要求指标一致。
海关总署科技司安全运行处李宏图
采纳:
已根据最新版的基本要求国家标准进行了调整。
全文
将标准全文的“机密性”和“保密性”统一为一个。
国家能源局信息中心安全处陈雪鸿
采纳:
已统一为保密性。
全文
格式要符合GB/T。
国家新闻出版广电总局监管中心张瑞芝
采纳:
已根据GB/T进行了修改。
术语定义
术语定义要准确。
全国信息安全标准化技术委员会崔书昆
采纳:
已对术语定义进行了修改。
全文
调整结构,去除不符合标准编写要求的悬置段。
国家新闻出版广电总局监管中心张瑞芝
采纳:
已调整了全文中的悬置段。
标准范围
建议将“本标准适用于为……”改为“本标准适用于”。
信息产业信息安全测评中心刘健
采纳:
已改为“本标准适用于”。
规范性引用文件
规范性引用文件要写上国标号。
信息产业信息安全测评中心刘健
采纳:
已在规范性引用文件前加上国标号。
全文
标题号数字过于细分,目录太深,标号需要调整。
海关总署科技司安全运行处李宏图
采纳:
已对标准全文进行了调整。
全文
文章中出现的一些词:
如关键、重要等一些词没有具体的定义。
通信研究院安全研究部副主任卜哲
不采纳:
关键、重要等不适用放在术语定义中。
全文
建议添加英文缩略语章节,解释(如VPN)等专业缩略词。
中国农业银行范原辉
不采纳:
安全相关专有名词,不需要在本标准中再次说明。
章节的测评框架说明,描述不通顺,需要修改。
全国信息安全标准化技术委员会崔书昆
采纳:
已对测评框架说明进行了调整。
全文
建议给出测评指标测评指标编码规则说明,便于阅读标准。
中国农业银行范原辉
采纳:
已在附录中给出编码规则说明。
全文
岗位名称(如安全主管)尽量符合一般单位通常的称谓。
通信研究院安全研究部副主任卜哲
采纳:
已在标准中调整。
二、标准草案第四稿,2016年8月12日,北京瑞安宾馆第5会议室,2016年8月15日填写
范围
第一页1.范围,“本标准规定了…..本标准适用于…...”,建议为“本部分…...”
国家信息中心刘蓓
采纳:
原为:
“本标准规定了…..本标准适用于…...”
改为:
“本部分规定了…..本部分适用于…...”
术语和定义
安全等级保护测评的定义和方法放进术语里。
国家信息中心刘蓓
部分采纳:
改为:
定义放术语里,方法不适合放术语里。
全文
“测评实施”中,如果测评实施项只有一项,不建议用1)。
国家信息技术安全研究中心李建
采纳:
改为:
全文修改。
全文
是否可以在标准中增加测评方法论,对测评范围、测评对象分析、测评对象覆盖的程度、整体安全评价和结果分析等。
中国信息安全认证中心李嵩
部分采纳:
已经增加测评方法,其他在过程指南中解决。
未对标准内容进行提出意见,建议测评报告模板后续跟着新标准变动。
李蒙
采纳:
测评报告模板后续跟着新标准变动。
规范性引用
规范性引用注明最新版适用于本标准,已经注明了最新版只需要引用到就够了。
樊华
采纳:
已经调整。
全文
身份鉴别测试实施方面,身份鉴别的保护机制是否要加入测试,例如是否在RSA的密码强度是否有要求,如256位和512位是否都满足。
樊华
不采纳:
密码强度各单位要求不一,不宜在标准中明确。
林值
采纳:
随基本要求修订
林值
采纳:
随基本要求修订
是否应该增加源代码检测和二进制代码检测。
林值
不采纳:
标准中已有源代码检测要求。
三、标准草案第四稿,截止2016年8月22日,WG5工作组成员单位征求意见,2016年8月23日填写
前言和引言
前言和引言,内容有些交差,系列标准结构适合放在前言当中。
引言重点写三要性和背景。
浙江蚂蚁小微金融服务集团有限公司
不采纳:
标准编制有规定格式要求,本标准满足相关要求。
术语和定义
3术语和定义应当按照格式编写
浙江蚂蚁小微金融服务集团有限公司
采纳:
已经调整。
浙江蚂蚁小微金融服务集团有限公司
不采纳:
防雷、耐火材料等属于基础设施建设相关范畴。
浙江蚂蚁小微金融服务集团有限公司
采纳:
已经调整。
附录B
附录B应为规范性附录,严格规范
浙江蚂蚁小微金融服务集团有限公司
采纳:
修改为规范性附录
南京中新赛克科技有限责任公司
不采纳:
机房或大楼建设有相关标准要求,建设完成后应有验收文档,这里采信验收文档即可。
南京中新赛克科技有限责任公司
不采纳:
机房建设有相关标准要求,建设完成后应有验收文档,这里采信验收文档即可。
IBM
采纳:
随基本要求变动进行修订。
IBM
采纳:
随基本要求变动进行修订。
IBM
采纳:
随基本要求变动进行修订。
IBM
采纳:
随基本要求变动进行修订。
四、标准草案第四稿,截止2016年8月22日,等级测评机构反馈意见,2016年8月23日填写
第4章
第4章中出现“等级保护测评”、“安全等级保护测评”、“等级测评”名词,建议在第3章中明确其定义,并在全文使用中进行统一。
电力行业信息安全等级保护测评中心第四实验室
采纳:
全文调整。
第节中第1段第1句话可理解为对“等级保护测评实施”的介绍或者解释,因此建议将“等级保护测评实施的基本方法是针对特定的测评对象……”修改为“等级保护测评实施是针对特定的测评对象……”,并将“……给出达到特定级别安全保护能力的评判”修改为“……给出是否达到特定级别安全保护能力的评判”。
而且这段内容与节内容有重叠,可以考虑合并。
电力行业信息安全等级保护测评中心第四实验室
部分采纳:
已做调整。
建议将节和节交换顺序,并将原节中关于“单项测评”的相关内容合并到原节中。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整,将节和节进行了合并。
不存在多余或无效的访问控制策略”。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
“应确认是否已关闭非必要的高危端口”。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
“应进行漏洞扫描,检查是否不存在高风险漏洞”。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
“应检查用户配置信息或访谈应用系统管理员,查看是否不存在空密码用户”
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
第节中“安全控制点测评是指对其所有要求项的符合程度进行分析和判定。
”中“其”理解上容易有歧义,建议修改为“单个控制点中”。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
第和节中第2段内容均只给出了“如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,该安全控制点的测评结论应调整为符合”的情况,那如果在安全控制点间和层面间分析时发现不能完全形成弥补效果,即相应控制点测评结论无法调整为符合时应该怎么处理是否也应该在此说明
电力行业信息安全等级保护测评中心第四实验室
不采纳:
“安全控制点、安全控制点间、层面间”测评是并列关系,有一个不符合则该控制点为不符合。
建议机房安全的测评对象可细化到机房内的对应设施。
江苏金盾杨超
不采纳:
标准粒度不宜过于细化
江苏金盾杨超
采纳:
已做调整。
江苏金盾杨超
不采纳:
具体监控内容由各单位自行定义,需针对不同对象分别设置,如厂商人员和检查人员的监控内容就不一样。
江苏金盾杨超
不采纳:
监控视频保存时间由各单位自行要求。
建议中也注明测评结论是对整体测评之后单项测评结果的风险分析给出的。
江苏金盾杨超
不采纳:
测评流程中已明确,先进行整体测评,然后才能给出测评结论。
第9章
测评实施及单项判断中未明确一票否决项,即哪一分项不符合则该指标项直接判定为不符合。
江西神舟信息安全评估中心有限公司
不采纳:
单项判定已明确哪些是必须要做到。
全文
网络设备“安全审计”部分归入“网络和通信安全”层面,但“身份鉴别”等层面确归入“设备与计算安全层面”,现场测评与结果记录如何明确
江西神舟信息安全评估中心有限公司
不采纳:
本标准根据基本要求条款编制。
江西神舟信息安全评估中心有限公司
不采纳:
机房承重加固等属于基础设施建设相关范畴。
江西神舟信息安全评估中心有限公司
部分采纳:
增加应检查门禁系统记录数据的保存时间。
具体保存时间各单位要求不一样,不做规定,或建议至少保存3个月。
江西神舟信息安全评估中心有限公司
不采纳:
标准中主要部件不宜一一列举。
江西神舟信息安全评估中心有限公司
采纳:
调整为应检查机房内通信线缆是否铺设在隐蔽处或桥架中。
江西神舟信息安全评估中心有限公司
不采纳:
修改建议变成了必须要求有视频监控系统,违背了标准原要求。
江西神舟信息安全评估中心有限公司
不采纳:
由其他标准规定。
江西神舟信息安全评估中心有限公司
不采纳:
标准的做要求。
江西神舟信息安全评估中心有限公司
不采纳:
备用供电时间与设备规模密切相关,各单位对断电事故的容忍度不一。
江西神舟信息安全评估中心有限公司
采纳:
已做调整。
江西神舟信息安全评估中心有限公司
不采纳:
这是基本要求原条款要求。
江西神舟信息安全评估中心有限公司
不采纳:
这是基本要求原条款要求。
江西神舟信息安全评估中心有限公司
不采纳:
无法定义安全管理系统。
江西神舟信息安全评估中心有限公司
不采纳:
标准要求的是进行收集汇总和集中分析。
江西神舟信息安全评估中心有限公司
不采纳:
口令复杂度不宜在标准中固定,需根据技术的发展而调整。
江西神舟信息安全评估中心有限公司
不采纳:
安全补丁在部分已做要求。
江西神舟信息安全评估中心有限公司
不采纳:
可信计算技术具体实现的方式不是本标准范围。
江西神舟信息安全评估中心有限公司
不采纳:
标准中已有相关要求。
江西神舟信息安全评估中心有限公司
不采纳:
口令复杂度不宜在标准中固定,需根据技术的发展而调整。
江西神舟信息安全评估中心有限公司
采纳:
改为1)或2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。
江西神舟信息安全评估中心有限公司
不采纳:
应用系统审计进程可以和系统进程在一起。
江西神舟信息安全评估中心有限公司
不采纳:
人员配备最低要求由单位根据实际设置,标准要求有专职人员。
江西神舟信息安全评估中心有限公司
不采纳:
标准中
江西神舟信息安全评估中心有限公司
不采纳:
测评实施最后一条已做要求。
江西神舟信息安全评估中心有限公司
不采纳:
标准指的就是信息系统相关资产。
江西神舟信息安全评估中心有限公司
不采纳:
根据基本要求进行调整。
信息产业信息安全测评中心
不采纳:
放置位置是否有机房场地建设相关标准来规范。
信息产业信息安全测评中心
部分采纳:
二级、三级、四级增加传输数据测试相关内容。
信息产业信息安全测评中心
采纳:
调整为3)应访谈安全管理员或检查设备配置信息,是否不存在其他未受控端口进行跨越边界的网络通信。
信息产业信息安全测评中心
采纳:
判定应该为或的关系,不是且关系,调整为:
去掉1),调整2)为配置了非法登录次数阈值及启用了锁定账户等处置措施。
保留3)。
判定改为1)或2)为肯定。
信息产业信息安全测评中心
不采纳:
权限分配在第三级有专门条款,1)为访谈,2)为测试,判定没有问题。
信息产业信息安全测评中心
采纳:
调整为1)或2)为肯定。
信息产业信息安全测评中心
采纳:
调整为2)应确认是否已经关闭非必要的组件和应用程序。
信息产业信息安全测评中心
不采纳:
高危端口是基本要求中的提法。
信息产业信息安全测评中心
采纳:
测评实施调整为1)应查看防恶意代码工具的安装和使用情况,检查是否定期进行升级和更新防恶意代码库。
信息产业信息安全测评中心
不采纳:
标准原文不存在问题。
全文
全文,个人认为将“空密码用户”改为“不需要鉴别的用户”更严谨。
信息产业信息安全测评中心
不采纳:
空密码用户更便于理解。
信息产业信息安全测评中心
不采纳:
1)测评的是有安全措施,3)测评的是具体的安全措施。
信息产业信息安全测评中心
采纳
已调整顺序。
信息产业信息安全测评中心
不采纳:
标准内容是或的关系,不是必要条件。
信息产业信息安全测评中心
采纳:
已调整为句号结尾。
信息产业信息安全测评中心
采纳:
调整为2)应检查相关审批记录或流程,查看是否对申请账户、建立账户、删除账户等进行控制。
信息产业信息安全测评中心
采纳:
判定调整为如果2)为肯定,
信息产业信息安全测评中心
不采纳:
网络划分原则各单位不一,标准无法给出统一原则。
信息产业信息安全测评中心
不采纳:
标准原文表述更清晰。
信息产业信息安全测评中心
部分采纳:
修改测评测评实施,采用校验码技术。
信息产业信息安全测评中心
采纳:
调整测评实施中的测评对象。
五、标准草案第四稿,2016年8月25日,WG5工作组在研标准推进会,2016年8月26日填写
中国对于密码产品有专门的证书或报告,但是对于非密码产品中的密码模块并没有相关认定证书或报告,建议在标准中对密码模块检查进行明确,另外密码产品只通过访谈检查力度较弱。
IBM
部分采纳:
密码管理需要遵照国家密码管理规定,已调整密码管理检查力度,增加检查相关证书或报告环节。
全文
如果标准中只有一条测评实施,那么单项判定时不应该有部分符合的提法。
阿里巴巴
采纳:
已做调整。
不采纳:
六、标准草案第五稿,测评机构反馈意见,2016年9月6日填写
前言、引言
应该按照GB/T要求编制
成都市锐信安信息安全技术有限公司
采纳:
已经调整。
七、标准草案第五稿,2016年9月8日,评估中心大会议室,2016年9月9日填写
全文
单元测评有标号,没有名称。
中国信息安全认证中心/李嵩
不采纳:
测评单元使用基本要求的要求项,无法命名。
全文
在术语定义中测评、测试、评估区分开
中国信息安全认证中心/李嵩
部分采纳:
1.有些评估源自基本要求。
2.部分已经调整,增加评估定义。
全文
很多单位安全策略不完善,或者没有贯彻下去,相关策略不一致,因此要对安全策略进行整体分析,并做策略一致性检查。
中国信息安全认证中心/李嵩
采纳:
在测评实施中完善相关内容。
全文
访谈的力度较弱,有些地方只有访谈,可考虑增加技术核查手段。
中国信息安全认证中心/李嵩
部分采纳:
已经调整。
.4中测评对象是网络拓扑图,实际中很多单位的网络拓扑图与真实环境不一致,应核查网络拓扑图与真实环境是否一致。
中国信息安全认证中心/李嵩
采纳:
已经调整。
全文
附录里再做个附录,形成面向对象的测评单元汇总。
中国信息安全认证中心/李嵩
部分采纳。
与第132条建议合并,增加相关汇总表。
全文
标准中的测评单元与单元测评,都是指的单元,该如何区分,容易引起误解,最好进行定义,另外单项判定是否应为单元判定。
国家信息中心/禄凯
采纳。
单项判定改为单元判定。
全文
标准中要求对所有用户身份标识进行检查,实际是否能够做到,建议慎用所有这种词。
国家信息中心/禄凯
采纳:
已经调整。
全文
整体测评的控制点间、层面间关联分析很难把握,标准中能否给出一个已知关联度表,用于指导开展整体测评工作。
国家信息中心/禄凯
部分采纳。
调整部分文字描述。
全文
对描述结构“类——层面——控制点——要求项”进行定义。
汇报PPT中的类实际应该是安全层面。
国家能源局信息中心/陈雪鸿
不采纳。
基本要求描述结构“层面(类)-控制点-要求项”定义。
全文
有些测评对象写得太笼统,比如物理环境测评中测评对象都是机房,应进一步明确。
国家能源局信息中心/陈雪鸿
采纳。
已经调整。
全文
新版等级测评报告已采用打分制,标准中单项判定是否也应该进行量化。
国家能源局信息中心/陈雪鸿
部分采纳。
相关内容在测评过程指南中描述。
全文
在术语中的检查与国家的安全检查容易混淆。
国家能源局信息中心/陈雪鸿
采纳。
改为核查(verification),增加核查定义。
全文
要求项一样,但不同级别中测评方法却不同,不太合理。
国家能源局信息中心/陈雪鸿
部分采纳。
1.部分调整描述。
2.级别不同测评实施有可能不同。
全文
测评对象的叫法不统一,网络通信类设备、网络安全类设备
中国电子科技集团公司第十五研究所/刘健
采纳:
已经调整。
全文
默认口令应该放在访问控制还是身份鉴别
中国电子科技集团公司第十五研究所/刘健
部分采纳:
随基本要求修订。
参考资料
18336评估准则已经发布最新版本了,应参考最新标准。
中国电子科技集团公司第十五研究所/刘健
采纳。
已改为、、
全文
新标准将数据安全与应用安全合并了,但很多单位关注数据安全,是否将数据安全独立出来。
国家信息技术安全研究中心/李蒙
部分采纳。
根据基本要求描述结构而来。
全文
标准中只有主体对客体的访问控制要求,客体对主体的访问控制是否也应说明。
国家信息技术安全研究中心/李蒙
部分采纳。
根据基本要求描述结构而来。
全文
对于Linux类系统,不安装防病毒软件这种特殊情况是否要指出来。
国家信息技术安全研究中心/李蒙
部分采纳。
此类情况在测评中作为不适用提出。
全文
边界的概念很模糊,是网络边界还是区域边界,还是系统边界、应用边界。
北京工业大学/赵勇
部分采纳。
根据基本要求描述结构而来。
全文
如何定义访问控制类设备,哪些属于访问控制类设备。
北京工业大学/赵勇
采纳:
已经调整。
全文
标准结构—集中管控的范围:
是指管网络还是都管。
北京工业大学/赵勇
部分采纳。
根据基本要求描述结构而来。
全文
网络设备自身安全去掉了,要求加到了主机层面里了,建议单独说。
北京工业大学/赵勇
部分采纳。
根据基本要求描述结构而来。
全文
网络架构部分中关于架构安全的只有一条,像无线管理、集中管理等都是架构安全。
北京工业大学/赵勇
部分采纳。
根据基本要求描述结构而来。
全文
三级与四级之间的级差较少,在范围上能不能体现。
北京工业大学/赵勇
采纳:
通过测评实施的不同测评强度和广度来实现。
全文
对于非法外联,测评对象不应为准入设备,防垃圾邮件网关是否不用单独提出。
北京工业大学/赵勇
部分采纳。
对于非法外联,测评对象修改为终端管理系统。
防垃圾邮件网关是基本要求中要求的。
全文
增加各级别汇总类大表索引,这样更清晰些。
中国电子技术标准化研究院/刘贤刚
采纳。
增加对应表。
全文
标准中有力度,还有广度、深度,相互之间的关系,如何与基本要求对应。
中国电子技术标准化研究院/刘贤刚
采纳:
基本要求维度为级差。
测评通过测评广度和深度来体现测评要求级差。
全文
标准写法不统一,有的地方是访谈,有的是询问。
中国电子技术标准化研究院/刘贤刚
采纳。
统一调整为访谈。
全文
单项测评结论中没有不适用,是否以后取消了不适用。
阿里云信息技术有限公司/廖智杰
不采纳。
在等级测评实施工程中,才有可能出现不适用情况。
全文
将具体的测评对象放在测评实施里,这样是否更清晰。
阿里云信息技术有限公司/廖智杰
部分采纳。
调整测评对象的描述,使之更为明确;测评实施中部分做调整,明确测评对象。
全文
测评实施有多个项,单项判定中为符合、不符合或部分符合,而访谈与检查的力度是不一样的,应该是检查结果比访谈结果更可信。
阿里云信息技术有限公司/廖智杰阿里云信息技术有限公司/廖智杰
部分采纳。
在技术测评中,若访谈以了解为目的,则单项判定结果以检查结果为主(合并了解性);管理测评中,
升级会员 