信息安全技术-网络安全等级保护测评要求-第1部分：安全通用要求-意见处理表VIP免费

标准草案意见汇总处理表标准项目名称：《信息安全技术信息系统安全等级保护测评要求》又名：《信息安全技术网络安全等级保护测评要求第1部分：安全通用要求》承办人：陈广勇共26页标准项目负责起草单位：公安部信息安全等级保护评估中心电话：18601190322序号标准条文号意见内容提出专家/提出单位处理意见备注一、标准草案第三稿，2016年5月23日，评估中心大会议室，2016年5月24日填写1.标准范围标准范围应该包括内容范围和适用范围，标准适用的范围要描述清楚。全国信息安全标准化技术委员会崔书昆采纳：在标准范围部分明确了本标准的适应范围。2.全文严格按照基本要求国家标准编制测评要求标准，确保测评指标与基本要求指标一致。海关总署科技司安全运行处李宏图采纳：已根据最新版的基本要求国家标准进行了调整。3.全文将标准全文的“机密性”和“保密性”统一为一个。国家能源局信息中心安全处陈雪鸿采纳：已统一为保密性。4.全文格式要符合GB/T1.1-2009。国家新闻采纳：序号标准条文号意见内容提出专家/提出单位处理意见备注出版广电总局监管中心张瑞芝已根据GB/T1.1-2009进行了修改。5.术语定义术语定义要准确。全国信息安全标准化技术委员会崔书昆采纳：已对术语定义进行了修改。6.全文调整结构，去除不符合标准编写要求的悬置段。国家新闻出版广电总局监管中心张瑞芝采纳：已调整了全文中的悬置段。7.标准范围建议将“本标准适用于为……”改为“本标准适用于”。信息产业信息安全测评中心刘健采纳：已改为“本标准适用于”。8.规范性引用文件规范性引用文件要写上国标号。信息产业信息安全测评中心刘健采纳：已在规范性引用文件前加上国标号。9.全文标题号数字过于细分，目录太深，标号需要调整。海关总署科技司安全运行处李宏图采纳：已对标准全文进行了调整。序号标准条文号意见内容提出专家/提出单位处理意见备注10.全文文章中出现的一些词：如关键、重要等一些词没有具体的定义。通信研究院安全研究部副主任卜哲不采纳：关键、重要等不适用放在术语定义中。11.全文建议添加英文缩略语章节，解释（如VPN）等专业缩略词。中国农业银行范原辉不采纳：安全相关专有名词，不需要在本标准中再次说明。12.4.14.1章节的测评框架说明，描述不通顺，需要修改。全国信息安全标准化技术委员会崔书昆采纳：已对测评框架说明进行了调整。13.全文建议给出测评指标测评指标编码规则说明，便于阅读标准。中国农业银行范原辉采纳：已在附录中给出编码规则说明。14.全文岗位名称（如安全主管）尽量符合一般单位通常的称谓。通信研究院安全研究部副主任卜哲采纳：已在标准中调整。二、标准草案第四稿，2016年8月12日，北京瑞安宾馆第5会议室，2016年8月15日填写15.范围第一页1.范围，“本标准规定了…..本标准适用于…...”，建议为“本部分…...”国家信息中心刘蓓采纳：原为：“本标准规定了…..本标准适用于…...”序号标准条文号意见内容提出专家/提出单位处理意见备注改为：“本部分规定了…..本部分适用于…...”16.术语和定义安全等级保护测评的定义和方法放进术语里。国家信息中心刘蓓部分采纳：改为：定义放术语里，方法不适合放术语里。17.全文“测评实施”中，如果测评实施项只有一项，不建议用1）。国家信息技术安全研究中心李建采纳：改为：全文修改。18.全文是否可以在标准中增加测评方法论，对测评范围、测评对象分析、测评对象覆盖的程度、整体安全评价和结果分析等。中国信息安全认证中心李嵩部分采纳：已经增加测评方法，其他在过程指南中解决。19.未对标准内容进行提出意见，建议测评报告模板后续跟着新标准变动。李蒙采纳：测评报告模板后续跟着新标准变动。20.规范性引用规范性引用注明最新版适用于本标准，已经注明了最新版只需要引用到22239.1就够了。樊华采纳：已经调整。21.全文身份鉴别测试实施方面，身份鉴别的保护机制是否要加入测试，例如是否在RSA的密码强度是否有要求，如256位和512位是否都满足。樊华不采纳：密码强度各单位要求不一，不宜在标准中明确。22.8.2.4.58.2.4.5章节，漏洞和风险管理中，漏洞和风险管理不止在林值采纳：序号标准条文号意见内容...