信息安全技术网络安全等级保护测评要求第1部分:安全通用要求意见处理表

信息安全技术网络安全等级保护测评要求第1部分:安全通用要求意见处理表

ID:27646245

大小:58.97 KB

页数:26页

时间:2018-12-03

信息安全技术网络安全等级保护测评要求第1部分:安全通用要求意见处理表_第1页
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求意见处理表_第2页
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求意见处理表_第3页
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求意见处理表_第4页
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求意见处理表_第5页
资源描述:

《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求意见处理表》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、标准草案意见汇总处理表标准项目名称:《信息安全技术信息系统安全等级保护测评要求》又名:《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》承办人:陈广勇共26页标准项目负责起草单位:公安部信息安全等级保护评估中心电话:18601190322序号标准条文号意 见 内 容提出专家/提出单位处理意见备  注一、标准草案第三稿,2016年5月23日,评估中心大会议室,2016年5月24日填写1.标准范围标准范围应该包括内容范围和适用范围,标准适用的范围要描述清楚。全国信息安全标准化技术委员会崔书昆采纳:在标准范围部分明确了本标准的适应范围。2.全文严格按照

2、基本要求国家标准编制测评要求标准,确保测评指标与基本要求指标一致。海关总署科技司安全运行处李宏图采纳:已根据最新版的基本要求国家标准进行了调整。3.全文将标准全文的“机密性”和“保密性”统一为一个。国家能源局信息中心安全处陈雪鸿采纳:已统一为保密性。1.全文格式要符合GB/T1.1-2009。国家新闻出版广电总局监管中心张瑞芝采纳:已根据GB/T1.1-2009进行了修改。2.术语定义术语定义要准确。全国信息安全标准化技术委员会崔书昆采纳:已对术语定义进行了修改。3.全文调整结构,去除不符合标准编写要求的悬置段。国家新闻出版广电总局监管中心张瑞芝采纳:已调整

3、了全文中的悬置段。4.标准范围建议将“本标准适用于为……”改为“本标准适用于”。信息产业信息安全测评中心刘健采纳:已改为“本标准适用于”。5.规范性引用文件规范性引用文件要写上国标号。信息产业信息安全测评中心刘健采纳:已在规范性引用文件前加上国标号。6.全文标题号数字过于细分,目录太深,标号需要调整。海关总署科技司安全运行处李宏图采纳:已对标准全文进行了调整。1.全文文章中出现的一些词:如关键、重要等一些词没有具体的定义。通信研究院安全研究部副主任卜哲不采纳:关键、重要等不适用放在术语定义中。2.全文建议添加英文缩略语章节,解释(如VPN)等专业缩略词。中国

4、农业银行范原辉不采纳:安全相关专有名词,不需要在本标准中再次说明。3.4.14.1章节的测评框架说明,描述不通顺,需要修改。全国信息安全标准化技术委员会崔书昆采纳:已对测评框架说明进行了调整。4.全文建议给出测评指标测评指标编码规则说明,便于阅读标准。中国农业银行范原辉采纳:已在附录中给出编码规则说明。5.全文岗位名称(如安全主管)尽量符合一般单位通常的称谓。通信研究院安全研究部副主任卜哲采纳:已在标准中调整。二、标准草案第四稿,2016年8月12日,北京瑞安宾馆第5会议室,2016年8月15日填写6.范围第一页1.范围,“本标准规定了…..本标准适用于….

5、..”,建议为“本部分…...”国家信息中心刘蓓采纳:原为:“本标准规定了…..本标准适用于…...”改为:“本部分规定了…..本部分适用于…...”1.术语和定义安全等级保护测评的定义和方法放进术语里。国家信息中心刘蓓部分采纳:改为:定义放术语里,方法不适合放术语里。2.全文“测评实施”中,如果测评实施项只有一项,不建议用1)。国家信息技术安全研究中心李建采纳:改为:全文修改。3.全文是否可以在标准中增加测评方法论,对测评范围、测评对象分析、测评对象覆盖的程度、整体安全评价和结果分析等。中国信息安全认证中心李嵩部分采纳:已经增加测评方法,其他在过程指南中解

6、决。4.未对标准内容进行提出意见,建议测评报告模板后续跟着新标准变动。李蒙采纳:测评报告模板后续跟着新标准变动。5.规范性引用规范性引用注明最新版适用于本标准,已经注明了最新版只需要引用到22239.1就够了。樊华采纳:已经调整。6.全文身份鉴别测试实施方面,身份鉴别的保护机制是否要加入测试,例如是否在RSA的密码强度是否有要求,如256位和512位是否都满足。樊华不采纳:密码强度各单位要求不一,不宜在标准中明确。7.8.2.4.58.2.4.5章节,漏洞和风险管理中,漏洞和风险管理不止在运维方面,而是在信息系统全生命周期存在。在前面的内容中也应该考虑。林值

7、采纳:随基本要求修订8.8.1.48.1.2.6和8.1.3.5中提到了恶意代码防范内容,8.1.4林值采纳:应用安全里也应该增加恶意代码防范内容。恶意代码只是一部分,建议增加其他的漏洞问题。随基本要求修订1.8.1.4是否应该增加源代码检测和二进制代码检测。林值不采纳:标准中已有源代码检测要求。三、标准草案第四稿,截止2016年8月22日,WG5工作组成员单位征求意见,2016年8月23日填写2.前言和引言前言和引言,内容有些交差,系列标准结构适合放在前言当中。引言重点写三要性和背景。浙江蚂蚁小微金融服务集团有限公司不采纳:标准编制有规定格式要求,本标准满

8、足相关要求。3.术语和定义3术语和定义应当按照GB1

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。