ICS 33.020 M10 CCS YD 中华人民共和国通信行业标准 YD/T XXXXXXXX 物联网基础安全 物联网平台安全分级分类 管理评估方法 loT basic security Assessment methods for the internet of things platform grading and classification management （报批稿） XXXX - XX - XX 发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部发布 YD/T XXXX—XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是“物联网基础安全”系列标准之一，该系列标准的结构及名称预计如下： 一物联网基础安全物联网平台安全分级分类管理技术要求 一物联网基础安全物联网平台安全分级分类管理评估方法 一物联网基础安全网关管理平台安全分级分类管理技术要求 物联网基础安全基于公用电信网的宽带客户智能网关安全分级分类管理技术要求 一物联网基础安全基于公用电信网的宽带客户智能网关安全分级分类管理评估方法 一物联网基础安全基于公用电信网的宽带客户智能子网关安全分级分类管理技术要求 一物联网基础安全基于公用电信网的宽带客户智能子网关安全分级分类管理评估方法 一物联网基础安全物联网卡安全分类管理规范 一物联网基础安全蜂窝物联网终端安全分级分类管理技术要求 一物联网基础安全蜂窝物联网终端安全分级分类管理评估方法 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、华为技术有限公司、中国电信集团有限公司、中国移动通 信集团有限公司、中国联合网络通信集团有限公司、北京小米移动软件有限公司、郑州信大捷安信息技 术股份有限公司。 本文件主要起草人：陈敏、臧磊、崔昊、李秋阳、李国良、尹娜、江为强、闫晓睿、邓淼、盛明哲、 齐飞、黄宗新、张晓芳、刘献伦。 YD/T XXXX—XXXX 物联网基础安全物联网平台安全分级分类管理评估方法 1范围 本文件规定了物联网平台各安全等级的安全功能要求和安全管理要求的评估方法 本文件适用于物联网连接管理、设备管理、应用开发支撑、数据和业务分析以及物联网业务服务提 供等平台的安全评估。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 YD/TXXXXX-XXXX物联网基础安全物联网平台安全分级分类管理技术要求 3术语和定义 本文件没有需要界定的术语和定义。 4缩略语 下列缩略语适用于本文件： CNVD：国家信息安全漏洞共享平台（China NationalVulnerabilityDatabase） CNNVD：国家信息安全漏洞库（ChinaNationalVulnerabilityDatabaseofInformation Security） GRE：通用路由协议封装（GenericRoutingEncapsulation） OTA：空中下载（OverTheAir） VLAN：虚拟局域网（Virtual Local Area Network) VxLAN：虚拟扩展局域网（VirtualExtensible LocalArea Network） 5分级评估方法概述 分级评估实施的基本方法是针对特定的评估对象，采用相关的评估手段，遵从一定的评估规程，获 取需要的证据数据，给出是否达到特定安全保护能力的评判。评估过程中，根据评估对象的功能和特性 开展技术层面的评估，对相关人员及管理文档开展管理层面的评估。物联网平台安全分级评估包括单项 评估和整体评估。 单项评估是针对各安全要求项的评估，针对每一个要求项的评估构成一个单项评估。在对每一个要 求项进行测评时，可能用到访谈、核查和测试三种评估方法，也可能用到其中一种或两种。如果实际评 估结果完全符合某个单项评估的预期结果，则认为该单项评估通过，否则认为不通过或部分通过 整体评估是在单项评估的基础上，对分级管理对象整体安全保护能力的判断。如果评估对象通过了 某个等级要求的所有单项评估，则认为其通过该等级整体评估。 1