GB/T28449-2018：信息系统3.0测评对象确定与方案编制关键任务

"该资源主要介绍了信息安全技术领域的网络安全等级保护测评过程中的关键环节——方案编制活动。6.1节详细阐述了方案编制活动的工作流程，其目标在于整理测评准备阶段收集到的定级对象相关资料，形成测评所需的文档和指导方案。这个流程包括测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发以及测评方案编制六大任务。 在测评对象确定部分，根据系统调查的结果，要对被测对象进行全面分析，识别出整体结构、边界、网络区域、主要设备及其功能。例如，通过调查表格获取基本信息，了解业务流程、数据流程、区域划分、设备功能等，并明确测评的对象范围。评估时要考虑系统的安全级别和重要程度，确保测评的针对性。 6.2.1至6.2.5分别详细描述了这些任务的具体内容： - 测评对象确定：涉及对被测对象的结构、边界、网络区域和设备的深入描述，以建立清晰的测评边界。 - 测评指标确定：确定衡量安全性能的关键指标，为后续测评提供量化依据。 - 测评内容确定：明确测评将覆盖哪些具体的技术、管理和工程方面。 - 工具测试方法确定：选择和设计适合的测评工具，以确保测试的有效性和准确性。 - 测评指导书开发：编写详细的测评指南，指导测评人员进行操作和执行。 - 测评方案编制：综合以上所有信息，形成完整的测评方案，作为现场测评的蓝图。 测评准备活动还包括输出必要的文档，如调查报告、边界描述文档、设备清单、测评指标表等，这些文档为后续测评活动提供了坚实的基础。整个过程遵循GB/T28449—2018标准，这是关于信息安全技术网络安全等级保护的国家标准，适用于2018年后的测评工作。 总结来说，方案编制活动是等级保护测评的重要步骤，它通过系统的分析和规划，确保测评工作的顺利进行，对于提升网络安全保障能力具有关键作用。"