信息安全技术网络安全等级保护测评要求
1. 出台背景及目的
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)(以下简称“《测评要求》”和/或“GB/T 28448-2019”)规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。
《测评要求》的出台替代了《信息安全技术 信息系统安全等级保护测评要求》。细化了单项测评的规定、增加了等级测评的拓展要求,并对测评力度进行了更严格的规定。
2.《测评要求》测评方法及其框架
等级测评实施的基本方法是针对特定的测评对象,采用相关的测评手段,遵从一定的测评规程,获取需要的证据数据,给出是否达到特定级别安全保护能力的评判。具体方法有:
访谈
测评人员通过引导等级保护对象相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。
核查
测评人员通过对测评对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析,帮助测评人员理解、澄清或取得证据的过程。
测试
测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。
单项测评
针对各安全要求项的测评,支持测评结果的可重复性和可再现性。单项测评由测评指标、测评对象、测评实施和单元判定结果构成。在对每一要求项进行测评时,可能用到访谈、核查和测试三种测评方法,也可能用到其中一种或两种。
整体测评
在单项测评基础上,对等级保护对象整体安全保护能力的判断。整体安全保护能力从纵深防护和措施互补两个角度评判。整体测评包括安全控制点测评、安全控制点间测评和区域间测评。
3.对不同安全保护等级的测评力度有不同要求
《测评要求》对不同安全保护等级的测评力度有不同要求,这主要体现在测评工作的广度和深度上。安全保护等级越高,测评广度就越大,深度就越深。其中,所谓测评广度越大,指的是测评需要在更多细节上开展,测试要求也更严格。所谓测评深度越广,指的是测评实施包含的测评对象更多。具体来说:
4. 单项测评与整体测评的基本内容
单项测评针对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理和(或)安全管理中心进行测评,测评的内容根据安全保护等级不同而有所不同,包括但不限于对防盗窃和防破坏、边界防护、可信验证、身份鉴别、数据备份恢复、服务供应商管理、安全意识教育和培训、安全事件处置、安全审计、数据保密性、资产管理等内容的测评。
整体测评主要从安全控制点、安全控制点间和区域间等方面进行测评和综合安全分析,从而给出等级测评结论。
5. 等级测评报告结果
等级测评报告会对测评结果中的不符合项或部分符合项进行风险分析,评估其所产生的安全问题被威胁利用的可能性,并判断其被威胁利用后对业务信息安全和系统服务安全造成影响的程度。最终,等级测评报告会给出等级保护对象的等级测评结论,确认等级保护对象达到相应等级保护要求的程度。其中,
符合,是指定级对象中未发现安全问题,等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0,综合得分为100分。
基本符合,是指定级对象中存在安全问题,部分符合和不符合项的统计结果不全为0,但存在的安全问题不会导致定级对象面临高等级安全风险,且综合得分不低于阈值。
不符合,是指定级对象中存在安全问题,部分符合项和不符合项的统计结果不全为0,且存在的安全问题会导致定级对象面临高等级安全风险,或中低风险所占比例超过阈值。
