其他
等保2.0测评得分大解密
作者|毛华庆
出品|等级保护测评
作者独家授权,未经许可不得转载
概述
等级测评报告应给出等级保护对象的等级测评结论,确认等级保护对象达到相应等级保护要求的程度。
应结合各类的测评结论和对单项测评结果的风险分析给出等级测评结论:
a)符合:定级对象中未发现安全问题,等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0,综合得分为100分。
b)基本符合:定级对象中存在安全问题,部分符合和不符合项的统计结果不全为0,但存在的安全问题不会导致定级对象面临高等级安全风险,且综合得分不低于阈值。
c)不符合:定级对象中存在安全问题,部分符合项和不符合项的统计结果不全为0,而且存在的安全问题会导致定级对象面临高等级安全风险,或者中低风险所占比例超过阀值。
总而言之就是不能存在高风险项,以及分数要达到要求的阈值(一般为70,特殊行业要求会变高)。
通俗的说,就是要满足两个条件:
1.不能有高风险项,如果有,直接不通过2.分数要达到要求,这个要求一般是70分,也有特殊要求。
在新版等保测评报告中,这个分数和风险要求还有一个具体表格:
判别依据 | 测评结论 |
被测对象中存在安全问题,但不会导致被测对象面临中、高等级安全风险,且系统综合得分90分以上(含90分)。 | 优 |
被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分80分以上(含80分)。 | 良 |
被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分70分以上(含70分)。 | 中 |
被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。 | 差 |
这个表格和最终的结论挂钩!
这个分数计算公式看上去比较麻烦,第一次计算建议先用excel公式逐步分解计算(详见多个对象计算的图例)。考虑到将来等保即使通过后,网安部门还有可能复查,所以不要偷懒,在做等保的时候只拿70或70多一点,起码分数应在75左右。
下面,本文就等级测评综合得分的计算进行说明。
公式及说明
因测评项量化集为(0,0.5,1) (0, 0.5, 1)(0,0.5,1),于是原公式可以写成:
分类计算实例
单一对象
安全通信网络只计算单一对象,因此根据公式(2):
多个对象
分子计算:先分别计算每个对象的每个测评项的1−xk ,不适用的不用算或者记为0,把所有对象每个测评项的1−xk 结果进行累加:
然后将所有测评项的权重结果累加,结果在上图中的右下角:28.5
最后根据公式(3):结果为:5.35/28.5=0.187719
结果
最后算完分数后,给出安全风险汇总表,并填入相应结果:
高风险 问题数 | 中风险 问题数 | 低风险 问题数 | 综合 得分 |
A | B | C | 计算结果 |
加上这么一段话就可以收工
依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中对第X级系统的要求,对XXXX系统/平台的安全保护状况通过综合分析评价,等级测评结论如下:
XXXX系统/平台中存在不符合项或部分符合项,系统面临高/中/低(这里按理不能写高)安全风险,本次测评的等级测评结论为优/良/中/差(这里按表格中分数给出对应等级),综合得分为X分。
往期精彩回顾
●广播电视行业网络安全保障体系建设探讨● 重点解读《关键信息基础设施安全保护条例(征求意见稿)》● 最新!198家全国网络安全等级保护测评机构名录(附下载)
● 从等保测评身份鉴别要求看网络设备如何安全加固● 2020年我国网络安全相关法规及政策半年总结(将持续更新)
● 某学校因不履行网络安全保护义务被罚款1万,负责人被罚款5000● 第一批152家教育APP通过备案审核,新东方、VIPKID等在列050● 拒不履行信息网络安全管理义务可处三年以下有期徒刑等处罚● 印度关闭互联网说明了一个常识●与全球市场比,我国网络安全支出比例仍较低