其他
作者|毛华庆出品|等级保护测评作者独家授权,未经许可不得转载概述网络安全等级保护2.0正式实施后,等级测评结论的判定较等保1.0时代的判定方法有着重大的变化。等级测评报告应给出等级保护对象的等级测评结论,确认等级保护对象达到相应等级保护要求的程度。应结合各类的测评结论和对单项测评结果的风险分析给出等级测评结论:a)符合:定级对象中未发现安全问题,等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0,综合得分为100分。b)基本符合:定级对象中存在安全问题,部分符合和不符合项的统计结果不全为0,但存在的安全问题不会导致定级对象面临高等级安全风险,且综合得分不低于阈值。c)不符合:定级对象中存在安全问题,部分符合项和不符合项的统计结果不全为0,而且存在的安全问题会导致定级对象面临高等级安全风险,或者中低风险所占比例超过阀值。总而言之就是不能存在高风险项,以及分数要达到要求的阈值(一般为70,特殊行业要求会变高)。通俗的说,就是要满足两个条件:1.不能有高风险项,如果有,直接不通过2.分数要达到要求,这个要求一般是70分,也有特殊要求。在新版等保测评报告中,这个分数和风险要求还有一个具体表格:判别依据测评结论被测对象中存在安全问题,但不会导致被测对象面临中、高等级安全风险,且系统综合得分90分以上(含90分)。优被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分80分以上(含80分)。良被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分70分以上(含70分)。中被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。差这个表格和最终的结论挂钩!这个分数计算公式看上去比较麻烦,第一次计算建议先用excel公式逐步分解计算(详见多个对象计算的图例)。考虑到将来等保即使通过后,网安部门还有可能复查,所以不要偷懒,在做等保的时候只拿70或70多一点,起码分数应在75左右。下面,本文就等级测评综合得分的计算进行说明。公式及说明原版公式:其中,q为被测对象涉及的安全类,p(j)为某一安全类对应的测评项数(不含不适用项),m(k)为测评项k对应的测评对象数。wˆk为不符合测评项的权重,w′k为部分符合测评项的权重。在网络安全等级保护基本要求中,共包括10个安全类:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理,分别用D1、D2、D3、D4、D5、D6、D7、D8、D9、D10代表10个安全类/层面,其中只有D1、D4会涉及多个对象。因测评项量化集为(0,0.5,1)