GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》

GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》基本信息

标准号：GB/T 36627-2018

中文名称：《信息安全技术 网络安全等级保护测试评估技术指南》

发布日期：2018-09-17    

实施日期：2019-04-01

发布部门：国家市场监督管理总局  国家标准化管理委员会    

提出单位：全国信息安全标准化技术委员会(SAC/TC 260)    

归口单位：全国信息安全标准化技术委员会(SAC/TC 260)    

起草单位：公安部第三研究所、中国信息安全研究院有限公司、上海市信息安全测评认证中心、中国电子技术标准化研究院、中国信息安全认证中心

起草人：张艳、陆臻、杨晨、顾健、徐御、沈亮、俞优、张笑笑、许玉娜、金铭彦、高志新、邹春明、陈妍、胡亚兰、赵戈、毕强、何勇亮、李晨、盛璐禕    

中国标准分类号：L80数据加密

国际标准分类号：35.040字符集和信息编码

GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》介绍

国家市场监督管理总局和国家标准化管理委员会联合发布了GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》（以下简称《指南》）。《指南》于2018年9月17日发布，并于2019年4月1日正式实施。

一、标准内容

1、适用范围

《指南》适用于所有需要进行网络安全等级保护测试评估的信息系统。无论是政府机关、企事业单位还是其他组织，只要其信息系统需要进行安全等级保护，都可以参照本标准进行测试评估。

2、测试评估原则

《指南》明确了测试评估的基本原则，包括合法性、客观性、全面性、有效性和可追溯性。这些原则确保了测试评估工作的公正性和准确性，为信息系统的安全等级保护提供了坚实的基础。

3、测试评估流程

《指南》详细描述了测试评估的流程，包括前期准备、测试评估实施、结果分析和报告编制等阶段。这一流程的规范性有助于提高测试评估的效率和质量。

4、测试评估方法

《指南》提供了多种测试评估方法，包括渗透测试、漏洞扫描、配置检查、安全审计等。这些方法的多样性和专业性为信息系统的安全等级保护提供了全面的技术支持。

5、测试评估工具

《指南》推荐了一系列测试评估工具，这些工具可以帮助测试评估人员更高效地完成工作。工具的选择和使用应根据信息系统的特点和安全需求来确定。

二、标准意义

《指南》的发布和实施对于提升我国网络安全等级保护工作具有重要意义。它不仅为信息系统的安全等级保护提供了标准化的技术指导，还有助于提高信息系统的安全防护能力，减少安全风险，保障国家信息安全。

三、实施建议

1、学习和掌握：深入学习《指南》的内容，理解其核心要求和指导原则。

2、培训和教育：对信息系统管理人员和技术人员进行培训，提高他们对网络安全等级保护的认识和技能。

3、制定实施计划：根据《指南》的要求，制定具体的实施计划，确保测试评估工作有序进行。

4、持续改进：在实施过程中，根据实际情况和反馈，不断优化测试评估流程和方法，提高网络安全等级保护的效果。