标准草案意见汇总处理表标准项目名称:《信息安全技术信息系统安全等级保护测评要求》又名:《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》承办人:陈广勇共26页标准项目负责起草单位:公安部信息安全等级保护评估中心电话:18601190322序号标准条文号意见内容提出专家/提出单位处理意见备注一、标准草案第三稿,2016年5月23日,评估中心大会议室,2016年5月24日填写1.标准范围标准范围应该包括内容范围和适用范围,标准适用的范围要描述清楚。全国信息安全标准化技术委员会崔书昆采纳:在标准范围部分明确了本标准的适应范围。2.全文严格按照基本要求国家标准编制测评要求标准,确保测评指标与基本要求指标一致。海关总署科技司安全运行处李宏图采纳:已根据最新版的基本要求国家标准进行了调整。3.全文将标准全文的“机密性”和“保密性”统一为一个。国家能源局信息中心安全处陈雪鸿采纳:已统一为保密性。4.全文格式要符合GB/T1.1-2009。国家新闻采纳:序号标准条文号意见内容提出专家/提出单位处理意见备注出版广电总局监管中心张瑞芝已根据GB/T1.1-2009进行了修改。5.术语定义术语定义要准确。全国信息安全标准化技术委员会崔书昆采纳:已对术语定义进行了修改。6.全文调整结构,去除不符合标准编写要求的悬置段。国家新闻出版广电总局监管中心张瑞芝采纳:已调整了全文中的悬置段。7.标准范围建议将“本标准适用于为……”改为“本标准适用于”。信息产业信息安全测评中心刘健采纳:已改为“本标准适用于”。8.规范性引用文件规范性引用文件要写上国标号。信息产业信息安全测评中心刘健采纳:已在规范性引用文件前加上国标号。9.全文标题号数字过于细分,目录太深,标号需要调整。海关总署科技司安全运行处李宏图采纳:已对标准全文进行了调整。序号标准条文号意见内容提出专家/提出单位处理意见备注10.全文文章中出现的一些词:如关键、重要等一些词没有具体的定义。通信研究院安全研究部副主任卜哲不采纳:关键、重要等不适用放在术语定义中。11.全文建议添加英文缩略语章节,解释(如VPN)等专业缩略词。中国农业银行范原辉不采纳:安全相关专有名词,不需要在本标准中再次说明。12.4.14.1章节的测评框架说明,描述不通顺,需要修改。全国信息安全标准化技术委员会崔书昆采纳:已对测评框架说明进行了调整。13.全文建议给出测评指标测评指标编码规则说明,便于阅读标准。中国农业银行范原辉采纳:已在附录中给出编码规则说明。14.全文岗位名称(如安全主管)尽量符合一般单位通常的称谓。通信研究院安全研究部副主任卜哲采纳:已在标准中调整。二、标准草案第四稿,2016年8月12日,北京瑞安宾馆第5会议室,2016年8月15日填写15.范围第一页1.范围,“本标准规定了…..本标准适用于…...”,建议为“本部分…...”国家信息中心刘蓓采纳:原为:“本标准规定了…..本标准适用于…...”序号标准条文号意见内容提出专家/提出单位处理意见备注改为:“本部分规定了…..本部分适用于…...”16.术语和定义安全等级保护测评的定义和方法放进术语里。国家信息中心刘蓓部分采纳:改为:定义放术语里,方法不适合放术语里。17.全文“测评实施”中,如果测评实施项只有一项,不建议用1)。国家信息技术安全研究中心李建采纳:改为:全文修改。18.全文是否可以在标准中增加测评方法论,对测评范围、测评对象分析、测评对象覆盖的程度、整体安全评价和结果分析等。中国信息安全认证中心李嵩部分采纳:已经增加测评方法,其他在过程指南中解决。19.未对标准内容进行提出意见,建议测评报告模板后续跟着新标准变动。李蒙采纳:测评报告模板后续跟着新标准变动。20.规范性引用规范性引用注明最新版适用于本标准,已经注明了最新版只需要引用到22239.1就够了。樊华采纳:已经调整。21.全文身份鉴别测试实施方面,身份鉴别的保护机制是否要加入测试,例如是否在RSA的密码强度是否有要求,如256位和512位是否都满足。樊华不采纳:密码强度各单位要求不一,不宜在标准中明确。22.8.2.4.58.2.4.5章节,漏洞和风险管理中,漏洞和风险管理不止在林值采纳:序号标准条文号意见内容...
