1. 山河小说
  2. 女生小说
  3. 网络安全法和网络安全等级保护2
  4. 6.4 等级测评
关灯 巨大 直达底部
亲,双击屏幕即可自动滚动
6.4 等级测评

在等级保护测评报告中,需要针对单元测评结果中存在的部分符合项或不符合项加以汇总,形成安全问题汇总列表并计算其严重程度值。依其严重程度取值为1~5,最严重的取值为5。安全问题严重程度值是基于测评项权重、测评项的符合程度进行的。计算公式如下:

(5)修正后的严重程度值和符合程度的计算

基本出发点在于:针对存在的安全问题,分析与该测评项相关的其他测评项能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。

在整体测评中,需要从安全控制间、层面间、区域间和验证测试等方面对单元测评的结果进行验证、分析和整体评价。在某个安全控制点或层面的安全问题,可以通过另一个或多个安全控制点或层面的安全设置进行加强或者弥补。因此,安全问题在修复后,需要给出修正后的问题严重程度值,并给出符合程度。

在整体测评结果,修改安全问题汇总表中的问题严重程度值及对应的修正后测评项符合程度得分,并形成修改后的安全问题汇总表(注意:仅包括有所修正的安全问题)。根据整体测评安全控制措施,通常将安全问题的弥补程度的修正因子设为05~09。计算方法如下:

(6)系统安全保障情况得分计算

计算方法是以算术平均合并同一安全层面下的所有安全控制点得分,并转换为安全层面的百分制得分。等级保护的10个安全层面得分就是系统安全保障情况得分

2测评整改结论和风险评估

应在报告中针对系统存在的主要安全问题提出安全建设和整改意见。通过总结单元测评、整体测评、风险分析和评论中的相关缺陷,严格依据等级保护基本要求,提出切合工作实际的整改思路和方法。

针对等级测评结果中存在的所有安全问题,结合关联资产和威胁分别分析安全危害,找出可能对信息系统、单位、社会及国家造成的最大安全危害(损失),并根据最大安全危害严重程度进一步确定信息系统面临的风险等级,结果为“高”、“中”或“低”。并以列表形式给出等级测评发现安全问题以及风险分析和评价情况,其中,最大安全危害(损失)结果应结合安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等进行综合分析。在等保测评报告中指出,如风险值和评价相同,可填写多个关联资产。对于多个威胁关联同一个问题的情况,应分别填写。

依据国家提供的报告标准,编制测评报告。如针对被测系统存在的安全隐患,从系统安全角度提出相应的改进建议,编制测评报告的安全建设整改建议部分。列表给出现场测评的文档清单和单项测评记录,以及对各个测评项的单项测评结果判定情况,编制测评报告的单元测评的结果记录和问题分析部分。

645谁来开展等级测评

等级测评分为自测评和委托测评机构开展。测评机构是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事测评工作的机构。省级以上等保办负责等级测评机构的审核和推荐工作。公安部信息安全等级保护评估中心负责测评机构的能力评估和培训工作。

1测评机构具备的基本条件和资质

《信息安全等级保护测评工作管理规范(试行)》第五条规定,等级测评机构应当具备以下基本条件:

1在中华人民共和国境内注册成立(港澳台地区除外)。

2由中国公民投资、中国法人投资或国家投资的企事业单位(港澳台地区除外)。

3产权关系明晰,注册资金100万元以上。

4从事信息系统检测评估相关工作两年以上,无违法记录。

5工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。

6具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人。

7具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求。

8具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。

9对国家安全、社会秩序、公共利益不构成威胁。

10应当具备的其他条件。

2测评机构的业务范围和工作要求

测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。

(1)业务范围

测评机构除从事等级测评活动以外,还可以从事信息系统安全等级保护定级、等级保护安全建设整改、信息安全等级保护宣传教育等工作的技术支持,以及风险评估、信息安全培训、信息安全咨询和信息安全工程监理等工作。

(2)工作要求

从事等级测评工作的机构及其人员应当遵守国家有关法律法规,依据国家有关技术标准和本规范的相关规定,开展客观、公正、安全的测评服务,不得从事危害国家、社会秩序、公共利益以及被测单位利益的活动。测评机构应当按照公安部统一制订的《信息系统安全等级测评报告模版》格式出具测评报告,根据信息系统规模和所投入的成本,合理收取测评服务费用。

3测评机构的禁止行为

测评机构及其测评人员不得从事下列活动:

1影响被测评信息系统正常运行,危害被测评信息系统安全。

2泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密。

3故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告。

4未按规定格式出具等级测评报告。

5非授权占有、使用等级测评相关资料及数据文件。

6分包或转包等级测评项目。

7信息安全产品开发、销售和信息系统安全集成。

8限定被测评单位购买、使用其指定的信息安全产品。

9其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。

4测评人员具备的基本要求和资质

测评人员实行等级测评师管理。等级测评师分为初级、中级和高级。测评人员参加专门的培训机构举办的专门培训和考试。考试合格的,由专门的培训机构向测评人员颁发相应等级的《等级测评师证书》。《等级测评师证书》是测评人员上岗的基本条件。从事第二级信息系统等级测评工作的测评机构至少应具有6名以上等级测评师,其中中级测评师不少于2名;第三级(含)以上信息系统等级测评工作的测评机构至少应具有10名以上等级测评师,其中中级测评师不少于4名,高级测评师不少于2名。

在具体开展测评工作中,测评人员要做到:

1不得伪造测评记录。

为您推荐