标准草案意见汇总处理表
标准项目名称:《信息安全技术信息系统安全等级保护测评要求》 又名:《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》
承办人:陈广勇共
标准项目负责起草单位:公安部信息安全等级保护评估中心电话:18601190322 序号 标准 条文号 意 见 内 容 提出专家 /提出单位 处理意见 备 注 26页
一、标准草案第三稿,2016年5月23日,评估中心大会议室,2016年5月24日填写 全国信息安全标准标准范围应该包括内容范围和适用范围,标准适用的范围要化技术委描述清楚。 员会崔书昆 海关总署严格按照基本要求国家标准编制测评要求标准,确保测评指科技司安标与基本要求指标一致。 全运行处李宏图 国家能源局信息中心安全处陈雪鸿 采纳: 在标准范围部分明确了本标准的适应范围。 1. 标准范围 2. 全文 采纳: 已根据最新版的基本要求国家标准进行了调整。 采纳: 已统一为保密性。 3. 全文 将标准全文的“机密性”和“保密性”统一为一个。 序号 标准 条文号 意 见 内 容 提出专家 /提出单位 国家新闻出版广电总局监管中心张瑞芝 全国信息安全标准化技术委员会崔书昆 国家新闻出版广电总局监管中心张瑞芝 信息产业信息安全测评中心刘健 信息产业信息安全测评中心刘健 海关总署科技司安全运行处李宏图 处理意见 采纳: 已根据GB/T 1.1-2009进行了修改。 备 注 4. 全文 格式要符合GB/T 1.1-2009。 5. 术语定义 术语定义要准确。 采纳: 已对术语定义进行了修改。 6. 全文 调整结构,去除不符合标准编写要求的悬置段。 采纳: 已调整了全文中的悬置段。 7. 标准范围 建议将“本标准适用于为……”改为“本标准适用于”。 采纳: 已改为“本标准适用于”。 采纳: 已在规范性引用文件前加上国标号。 采纳: 已对标准全文进行了调整。 8. 规范性引用文件 规范性引用文件要写上国标号。 9. 全文 标题号数字过于细分,目录太深,标号需要调整。 序号 标准 条文号 意 见 内 容 提出专家 /提出单位 处理意见 不采纳: 关键、重要等不适用放在术语定义中。 不采纳: 安全相关专有名词,不需要在本标准中再次说明。 采纳: 已对测评框架说明进行了调整。 备 注 10. 全文 通信研究文章中出现的一些词:如关键、重要等一些词没有具体的定院安全研义。 究部副主任卜哲 中国农业建议添加英文缩略语章节,解释(如VPN)等专业缩略词。 银行范原辉 全国信息安全标准化技术委员会崔书昆 11. 全文 12. 4.1 4.1章节的测评框架说明,描述不通顺,需要修改。 13. 全文 中国农业建议给出测评指标测评指标编码规则说明,便于阅读标准。 银行范原辉 通信研究院安全研究部副主任卜哲 采纳: 已在附录中给出编码规则说明。 采纳: 已在标准中调整。 14. 全文 岗位名称(如安全主管)尽量符合一般单位通常的称谓。 二、标准草案第四稿,2016年8月12日,北京瑞安宾馆第5会议室,2016年8月15日填写 采纳: 原为:“本标准规定了…..本标准适用于…...” 改为: 15. 范围 第一页1.范围,“本标准规定了…..本标准适用于…...”,建议为“本部分…...” 国家信息中心刘蓓 序号 标准 条文号 意 见 内 容 提出专家 /提出单位 处理意见 “本部分规定了…..本部分适用于…...” 备 注 16. 术语和定义 安全等级保护测评的定义和方法放进术语里。 国家信息中心刘蓓 国家信息技术安全研究中心李建 中国信息安全认证中心李嵩 部分采纳: 改为: 定义放术语里,方法不适合放术语里。 采纳: 改为: 全文修改。 部分采纳: 已经增加测评方法,其他在过程指南中解决。 采纳: 测评报告模板后续跟着新标准变动。 采纳: 已经调整。 不采纳: 密码强度各单位要求不一,不宜在标准中明确。 采纳: 随基本要求修订 采纳: 17. 全文 “测评实施”中,如果测评实施项只有一项,不建议用1)。 18. 全文 是否可以在标准中增加测评方法论,对测评范围、测评对象分析、测评对象覆盖的程度、整体安全评价和结果分析等。 19. 未对标准内容进行提出意见,建议测评报告模板后续跟着新标准变动。 李蒙 规范性引用注明最新版适用于本标准,已经注明了最新版只20. 规范性引用 需要引用到22239.1就够了。 身份鉴别测试实施方面,身份鉴别的保护机制是否要加入测试,例如是否在RSA的密码强度是否有要求,如256位和512位是否都满足。 8.2.4.5章节,漏洞和风险管理中,漏洞和风险管理不止在运维方面,而是在信息系统全生命周期存在。在前面的内容中也应该考虑。 8.1.2.6和8.1.3.5中提到了恶意代码防范内容,8.1.4应用安樊华 21. 全文 樊华 22. 23. 8.2.4.5 8.1.4 林值 林值
相关推荐:
loading