网络安全等级保护测评要求应用指南

郭启权，公安部网络安全保护局总工程师。

刘建伟，北京航空航天大学网络空间安全学院 院长，主要研究领域包括：密码学、5G网络安全、移动通信网络安全、天空地一体化网络安全、电子健康网络安全、智能移动终端安全、星地数据链安全等。

王新杰，北京时代新威信息技术有限公司总经理。 2003年开始从事网络安全行业，参与了“全国信息安全标准化”系列标准的研制。主要担任：信息安全等级保护高级测评师 、全国信息安全标准化技术委员会（SAC/TC 260）委员、国际信息系统安全认证联盟（(ISC)2）中国顾问。

为了更好地理解《信息安全技术网络安全等级保护评估要求》GB/T 28448-2019的相关内容，进一步提高测试评估机构的评估能力，国家相关部门和主要机构联合编写了本书。

对于评估要求中的每个评估单元，本书重点介绍了评估目标的确定、评估实施的要点和方法，以便更好地指导分类测试和评估机构，涉密保护对象的运行使用单位和主管部门开展网络安全涉密保护评估工作。

这本书分为八章。第一章是基本概念，阐述了网络安全保密评估的相关术语或概念，主要包括保密测试与评估、评估目标与选择、评估指标与选择、评估目标与评估指标的映射关系、非适用的评价指标、评价强度、评价方法、单项评价、整体评价和评价结论等。第二章是评价要求的总体介绍，阐述了安全评价一般要求和安全评价扩展要求的含义。第三章是三级和四级通用评估要求的应用解释。第四章是云计算安全评估扩展需求的应用和解释。第五章是移动互联网扩展安全评估要求的应用和解释。第六章是物联网扩展安全评估要求的应用和解释。第7章是工控系统扩展安全评估要求的应用和解释，第8章是大数据扩展安全评估要求的应用和解释。解释的内容包括评价目标、评价实施要点和方法等，评价指标的安全防护等级由评价单元编号确定。