進入等保2.0時代,伴隨著技術和管理要求的蛻變,測評要求也做了相應的修訂。
本文和大家分享新標準中測評要求的7個變化:
1、《測評要求》文本結構
由12個章節、3個附錄構成。
1.范圍
2.規范性引用文件
3.術語定義
4.縮略語
5.等級測評概述
6.7.8.9.10 五個等級的測評要求
11. 整體測評
12. 測評結論
附錄A 測評力度
附錄B 大數據可參考安全評估方法
附錄C 測評單元編號說明
2、標準名稱變化
3、測評實施內容變化
舊版標準: 安全測評通用要求。
新版標準:安全測評通用要求 和 安全測評擴展要求
● 安全測評通用要求
不管等級保護對象形態,均需使用安全測評通用要求。
● 安全測評擴展要求
針對云計算、移動互聯、物聯網和工業控制系統提出了 特殊安全測評要求。
4、增加等級測評定義
等級測評是指測評機構依據國家網絡安全等級保護制度規定,按照有關管理規范和技術標準 ,對非涉及國家秘密的網絡安全等級保護狀況進行檢測評估的活動。
5、測評技術框架變化
之前:GB/T 28448-2012
單元測評
針對基本要求各安全控制點 的測評為單元測評。支持測評結果的可重復性和可再現性,由測評指標、測評實施和結果判定構成 。
整體測評
在單元測評的基礎上,通過進一步分析信息系統安全保護功能的整體相關性,對信息系統實施的綜合安全測評。
現在:GB/T 28448-20XX
單項測評
針對各安全要求項的測評,支持測評結果的可重復性和可再現性。本標準中單項測評由測評指標 、 測評對象、測評實施和單元判定構成。
整體測評
整體測評是在單項測評基礎上,對等級保護對象整體安全保護能力的判斷。
整體安全保護能力從縱深防護和措施互補二個角度評判。
1)“單元測評”變更“單項測評”
單元測評:針對基本要求各控制點的測評稱為單元測評。
單項測評:針對基本要求各控制點中要求項的測評稱為單項測評。
單元測評(舊版本)=若干個單項測評(新版標準)
2)測評實施作用面不同
以某級系統為例:
3)測評指標細化
一起看看新版標準的單項測評
整體測評內容變化
6、增加附錄B
大數據可參考安全評估方法
● 大數據 應用 可參考安全評估方法
數據采集、數據分類、數據存儲、數據應用、數據交換和數據銷毀。
● 大數據平臺/ 系統可參考安全評估方法
安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全建設管理和安全運維管理。
7、增加附錄C
C.1 測評指標編碼規則
測評單元編號為3組數據,格式為XX-XXXX-XX
示例:測評單元編號為L1-PES1-01,代表源自基本要求第1 部分的第一級單項測評的安全物理環境類的第1個指標。
C.2 大數據可參考安全評估方法編號說明
測評單元編號為三組數據,格式為XXX—XX—XXX
示例:測評單元編號為BDS-L1-01,代表源自大數據可參考安全評估方法的第一級的第1 個指標。
C.3 專用縮略語
ABS :安全區域邊界(Area Boundary Security)
BDS :大數據系統(Bigdata System)
CES :安全計算環境(Computing Environment Security)
CMS :安全建設管理(Construction Management Security)
CNS :安全通信網絡(Communication Network Security)
MMS :安全運維管理(Maintenance Management Security)
ORS :安全管理機構(Organization and Resource Security)
PES :安全物理環境(Physical Environment Security)
PSS :安全管理制度(Policy and System Security)
HRS: 安全管理人員(Human Resource Security)
SMC :安全管理中心(Security Management Center)
來源:e安在線
