信息安全技术网络安全等级保护测评要求第1部分安全通用要求意见处理表Word格式.docx

1、标准围标准围应该包括容围和适用围，标准适用的围要描述清楚。全国信息安全标准化技术委员会书昆采纳：在标准围部分明确了本标准的适应围。2.全文严格按照基本要求国家标准编制测评要求标准，确保测评指标与基本要求指标一致。海关总署科技司安全运行处宏图已根据最新版的基本要求国家标准进行了调整。3.将标准全文的“性”和“性”统一为一个。国家能源局信息中心安全处雪鸿已统一为性。4.格式要符合GB/T 1.1-2009。国家新闻出版广电总局监管中心瑞芝已根据GB/T 1.1-2009进行了修改。5.术语定义术语定义要准确。已对术语定义进行了修改。6.调整结构，去除不符合标准编写要求的悬置段。已调整了全文中的悬置

2、段。7.建议将“本标准适用于为”改为“本标准适用于”。信息产业信息安全测评中心 健已改为“本标准适用于”。8.规性引用文件规性引用文件要写上国标号。已在规性引用文件前加上国标号。9.标题号数字过于细分，目录太深，标号需要调整。已对标准全文进行了调整。10.文章中出现的一些词：如关键、重要等一些词没有具体的定义。通信研究院安全研究部副主任卜 哲不采纳：关键、重要等不适用放在术语定义中。11.建议添加英文缩略语章节，解释（如VPN）等专业缩略词。中国农业银行原辉安全相关专有名词，不需要在本标准中再次说明。12.4.14.1章节的测评框架说明，描述不通顺，需要修改。已对测评框架说明进行了调整。13.

3、建议给出测评指标测评指标编码规则说明，便于阅读标准。已在附录中给出编码规则说明。14.岗位名称（如安全主管）尽量符合一般单位通常的称谓。已在标准中调整。二、标准草案第四稿，2016年8月12日，瑞安宾馆第5会议室，2016年8月15日填写15.围第一页1.围，“本标准规定了.本标准适用于.”，建议为“本部分.”国家信息中心蓓原为：“本标准规定了.本标准适用于.”改为：“本部分规定了.本部分适用于.”16.术语和定义安全等级保护测评的定义和方法放进术语里。部分采纳：定义放术语里，方法不适合放术语里。17.“测评实施”中，如果测评实施项只有一项，不建议用1）。国家信息技术安全研究中心建全文修改。1

4、8.是否可以在标准中增加测评方法论，对测评围、测评对象分析、测评对象覆盖的程度、整体安全评价和结果分析等。中国信息安全认证中心嵩已经增加测评方法，其他在过程指南中解决。19.未对标准容进行提出意见，建议测评报告模板后续跟着新标准变动。蒙测评报告模板后续跟着新标准变动。20.规性引用规性引用注明最新版适用于本标准，已经注明了最新版只需要引用到22239.1就够了。樊华已经调整。21.身份鉴别测试实施方面，身份鉴别的保护机制是否要加入测试，例如是否在RSA的密码强度是否有要求，如256位和512位是否都满足。密码强度各单位要求不一，不宜在标准中明确。22.8.2.4.58.2.4.5章节，漏洞和风

5、险管理中，漏洞和风险管理不止在运维方面，而是在信息系统全生命周期存在。在前面的容中也应该考虑。林值随基本要求修订23.8.1.48.1.2.6和8.1.3.5中提到了恶意代码防容，8.1.4应用安全里也应该增加恶意代码防容。恶意代码只是一部分，建议增加其他的漏洞问题。24.是否应该增加源代码检测和二进制代码检测。标准中已有源代码检测要求。三、标准草案第四稿，截止2016年8月22日，WG5工作组成员单位征求意见，2016年8月23日填写25.前言和引言前言和引言，容有些交差，系列标准结构适合放在前言当中。引言重点写三要性和背景。蚂蚁小微金融服务集团标准编制有规定格式要求，本标准满足相关要求。2

6、6.3术语和定义应当按照GB1.1格式编写27.8.1.1.4.2 8.1.1.5.28.1.1.4.2 8.1.1.5.2等建议根据信息系统不同等级要求明确对应的防雷、耐火材料等方面的等级要求，使之符合分等级保护的思想。防雷、耐火材料等属于基础设施建设相关畴。28.8.1.3.3、8.1.3.48.1.3.3、8.1.3.4等上述几个条款的测评对象应包含网络设备和安全设备29.附录B附录B应为规性附录，严格规修改为规性附录30.5.1.1.3.15.1.1.3.1防雷击，设备接地测评判定，建议检测接地电阻。比如：直接搭接的直流电阻不大于10m。可参考电磁兼容性EMC标准。中新赛克科技有限责任

7、公司机房或大楼建设有相关标准要求，建设完成后应有验收文档 ，这里采信验收文档即可。31.6.1.1.76.1.1.7防静电，设备接地测评判定，同上。机房建设有相关标准要求，建设完成后应有验收文档 ，这里采信验收文档即可。32.6.2.3.3.26.2.3.3.2 （7.2.3.3.2、8.2.3.3.2）测评单元c） 测评实施1） 应访谈建设负责人，询问是否采用了密码产品，密码产品的采购和使用是否符合国家密码主管部门的要求。建议修改为：1）检查是否使用了密码产品；如使用，检查该密码产品是否获得有效的国家密码管理规定的密码产品型号证书。IBM随基本要求变动进行修订。33.6.2.4.96.2.4

8、.9 （7.2.4.9、8.2.4.9）密码管理a） 测评指标应使用符合国家密码管理规定的密码技术和产品；1） 应访谈安全管理员，询问是否使用了密码产品，密码技术和产品的使用是否遵照国家密码管理规定。修改基本要求的相应部分并引用。2）检查网络安全产品中是否使用了密码模块；如使用，检查该密码模块是否具有国家密码管理规定的密码模块检测报告。34.7.2.4.77.2.4.7 恶意代码防管理，缺少相对应的对可信计算技术的管理要求。35.8.2.4.78.2.4.7 恶意代码防管理，在“基本要求”标准中，要求只能采用可信计算技术，而此处却只有查杀病毒方面的要求。四、标准草案第四稿，截止2016年8月2

9、2日，等级测评机构反馈意见，2016年8月23日填写36.第4章第4章中出现 “等级保护测评”、“安全等级保护测评”、“等级测评”名词，建议在第3章中明确其定义，并在全文使用中进行统一。电力行业信息安全等级保护测评中心第四实验室全文调整。37.4.2第4.2节中第1段第1句话可理解为对“等级保护测评实施”的介绍或者解释，因此建议将“等级保护测评实施的基本方法是针对特定的测评对象”修改为“等级保护测评实施是针对特定的测评对象”，并将“给出达到特定级别安全保护能力的评判”修改为“给出是否达到特定级别安全保护能力的评判”。而且这段容与4.1节容有重叠，可以考虑合并。已做调整。38.4.3 建议将4.

10、2节和4.3节交换顺序，并将原4.2节中关于“单项测评”的相关容合并到原4.3节中。已做调整，将4.2节和4.3节进行了合并。39.7.1.2.4.2第7.1.2.4.2节测评实施第1）条，建议修改为“应检查设备访问控制策略，访谈安全管理员每一条策略的用途，查看是否不存在多余或无效的访问控制策略”。40.7.1.3.2.4第7.1.3.2.4节测评实施的第2）条，与测评指标无关，建议修改为“应检查管理用户权限是否为其工作任务所需的最小权限”。41.7.1.3.3.4第7.1.3.3.4节测评实施中，建议不要列出测评对象“服务器操作系统和数据库管理系统”，与“b） 测评对象无法对应”，在理解上容

11、易混淆。42.7.1.3.4.2第7.1.3.4.2节测评实施中第2）条，建议修改为“应确认是否已关闭非必要的高危端口”。43.7.1.3.4.4第7.1.3.4.4节测评实施中第1）条，建议修改为“应进行漏洞扫描，检查是否不存在高风险漏洞”。44.7.1.4.1.1第7.1.4.1.1 节测评实施第5）条，建议修改为“应检查用户配置信息或访谈应用系统管理员，查看是否不存在空密码用户”45.7.1.4.2.5第7.1.4.2.5节测评实施第3）条，建议修改为“应测试用户是否不存在可越权访问情形”。46.10.1第10.1节中“安全控制点测评是指对其所有要求项的符合程度进行分析和判定。”中“其”理解上容易有歧义，建议