GB/T 28453-2012信息安全技术　信息系统安全管理评估要求.pdf

ICS35.040 L80 中华人 民共和 国国家标准 / — GBT28453 2012 信息安全技术 信息系统安全管理评估要求 Informationsecurittechnolo — y gy Informationsstemsecuritmanaementassessmentreuirements y y g q 2012-06-29发布 2012-10-01实施 中华人民共和国国家质量监督检验检疫总局 发 布 中 国 国 家 标 准 化 管 理 委 员 会 / — GBT28453 2012 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 评估原则和模式 ………………………………………………………………………………………… 2 4.1 管理评估的原则 …………………………………………………………………………………… 2 4.2 管理评估的工作模式 ……………………………………………………………………………… 2 5 评估组织和活动 ………………………………………………………………………………………… 3 5.1 评估组织 …………………………………………………………………………………………… 3 5.1.1 评估实施团队 ………………………………………………………………………………… 3 5.1.2 评估管理机构 ………………………………………………………………………………… 3 5.1.3 被评估方相关人员 …………………………………………………………………………… 4 5.2 评估目标范围和依据 ……………………………………………………………………………… 4 5.2.1 评估目标 ……………………………………………………………………………………… 4 5.2.2 评估范围 ……………………………………………………………………………………… 5 5.2.3 评估依据 ……………………………………………………………………………………… 5 5.3 评估活动内容 ……………………………………………………………………………………… 5 5.3.1 评估准备及启动 ……………………………………………………………………………… 5 5.3.2 确定信息系统资产及安全需求 ……………………………………………………………… 6 5.3.3 确定信息系统安全管理现状 ………………………………………………………………… 8 5.3.4 确定信息系统安全管理评估结论…………………………………………………………… 12 5.3.