其他
等保2.0测评得分大解密
The following article is from 等级保护测评 Author 毛华庆
概述
等级测评报告应给出等级保护对象的等级测评结论,确认等级保护对象达到相应等级保护要求的程度。
应结合各类的测评结论和对单项测评结果的风险分析给出等级测评结论:
a)符合:定级对象中未发现安全问题,等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0,综合得分为100分。
b)基本符合:定级对象中存在安全问题,部分符合和不符合项的统计结果不全为0,但存在的安全问题不会导致定级对象面临高等级安全风险,且综合得分不低于阈值。
c)不符合:定级对象中存在安全问题,部分符合项和不符合项的统计结果不全为0,而且存在的安全问题会导致定级对象面临高等级安全风险,或者中低风险所占比例超过阀值。
总而言之就是不能存在高风险项,以及分数要达到要求的阈值(一般为70,特殊行业要求会变高)。
通俗的说,就是要满足两个条件:
1.不能有高风险项,如果有,直接不通过2.分数要达到要求,这个要求一般是70分,也有特殊要求。
在新版等保测评报告中,这个分数和风险要求还有一个具体表格:
判别依据 | 测评结论 |
被测对象中存在安全问题,但不会导致被测对象面临中、高等级安全风险,且系统综合得分90分以上(含90分)。 | 优 |
被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分80分以上(含80分)。 | 良 |
被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分70分以上(含70分)。 | 中 |
被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。 | 差 |
这个表格和最终的结论挂钩!
这个分数计算公式看上去比较麻烦,第一次计算建议先用excel公式逐步分解计算(详见多个对象计算的图例)。考虑到将来等保即使通过后,网安部门还有可能复查,所以不要偷懒,在做等保的时候只拿70或70多一点,起码分数应在75左右。
下面,本文就等级测评综合得分的计算进行说明。
公式及说明
因测评项量化集为(0,0.5,1) (0, 0.5, 1)(0,0.5,1),于是原公式可以写成:
分类计算实例
单一对象
安全通信网络只计算单一对象,因此根据公式(2):
多个对象
分子计算:先分别计算每个对象的每个测评项的1−xk ,不适用的不用算或者记为0,把所有对象每个测评项的1−xk 结果进行累加:
然后将所有测评项的权重结果累加,结果在上图中的右下角:28.5
最后根据公式(3):结果为:5.35/28.5=0.187719
结果
最后算完分数后,给出安全风险汇总表,并填入相应结果:
高风险 问题数 | 中风险 问题数 | 低风险 问题数 | 综合 得分 |
A | B | C | 计算结果 |
加上这么一段话就可以收工
依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中对第X级系统的要求,对XXXX系统/平台的安全保护状况通过综合分析评价,等级测评结论如下:
XXXX系统/平台中存在不符合项或部分符合项,系统面临高/中/低(这里按理不能写高)安全风险,本次测评的等级测评结论为优/良/中/差(这里按表格中分数给出对应等级),综合得分为X分。
文章转载自:等级保护测评公众号
(文章经授权转载,仅代表作者本人观点,不代表密码头条公众号立场)
* 同态加密及其应用
* 原创 | 密评系列之:专业解读密评与0054(不可否认性)
*(原创) 密码服务支撑新基建:5GV2X中的密码