由 猿小六 GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》是推荐标准。
网络安全等级保护测评过程包括测评准备活动、方案编制活动、现场测评活动、报告编制活动四个基本测评活动。本标准为方案编制活动、现场测评活动中涉及的测评技术选择与实施过程提供指导。
网络安全等级保护相关的测评标准主要有GB/T 22239、GB/T28448和GB/T 28449等。其中GB/T 22239是网络安全等级保护测评的基础性标准,GB/T 28448针对GB/T 22239中的要求,提出了不同网络安全等级的测评要求;GB/T 28449主要规定了网络安全等级保护测评工作的测评过程。本标准与GB/T 28448和GB/T 28449的区别在于:GB/T 28448主要描述了针对各级等级保护对象单元测评的具体测评要求和测评流程,GB/T 28449则主要对网络安全等级保护测评的活动、工作任务以及每项任务的输人/输出产品等提出指导性建议,不涉及测评中具体的测试方法和技术。本标准对网络安全等级保护测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述测评的技术方法,概述技术性安全测试和评估的要素,重点关注具体技术的实现功能、原则等,并提出建议供使用,因此本标准在应用于网络安全等级保护测评时可作为对GB/T 28448和GB/T 28449的补充。
本标准给出了网络安全等级保护测评(以下简称“等级测评”)中的相关测评技术的分类和定义,提出了技术性测试评估的要素、原则等,并对测评结果的分析和应用提出建议。
本标准适用于测评机构对网络安全等级保护对象(以下简称“等级保护对象”)开展等级测评工作,以及等级保护对象的主管部门及运营使用单位对等级保护对象安全等级保护状况开展安全评估。
在线阅读: GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》