等保标准:《信息系统安全等级保护测评过程指南》修订解读
来源:本站
作者:中联信科
日期:2021-06-24 16:18:33
浏览:
656
国家标准《GB/T 28448-2012信息安全技术 信息系统安全等级保护测评过程指南》主要是用于指导测评机构开展等级测评工作的。我们都知道,二级及以上的信息系统都需要做等级测评,但很多网络运营单位对等级测评又不了解,不知道测评的流程和内容等。所以,今天我们就从《信息系统安全等级保护测评过程指南》这个等保标准入手,对等级测评做一些解读,让大家对等级测评有所了解。
一、《信息系统安全等级保护测评过程指南》为什么要修订?
《信息系统安全等级保护测评过程指南》为网络运营者开展安全自查以及等级测评机构开展等级测评起到了很好的指导作用,较好地支撑了等级保护测评体系建设。
但是,随着云计算技术、工业控制技术、移动互联技术、大数据技术、IPv6技术等新技术新应用的蓬勃发展,相应的等级保护对象的存在形态发生了变化,很多等级保护对象的管理和运维涉及到多责任方:
比如,某机构租用了IDC的机房,委托某云服务商在该机房内建设云计算平台基础设施,而应用层面则由机构管辖范围内的多家单位负责建设。其建设和运维就涉及到了某机构、云服务商、下属单位等三方。那么,针对这种多方参与管理的情况,等级测评涉及各方应该如何配合,新技术新应用定级对象在实施等级测评时的方法和测评对象都将发生变化。
于是,为更好的指导新形势下的等级测评工作,公安部信息安全等级保护评估中心申请修订《GB/T 28448-2012信息安全技术 信息系统安全等级保护测评过程指南》(以下简称《测评过程指南》)。
二、《信息系统安全等级保护测评过程指南》修订思路
《测评过程指南》的修订和调整,重点考虑了以下几个方面:
第一,研究分析基于无线网络技术、云计算技术、IPv6等新技术,以及物联网、工业控制系统等新应用的应用方式和应用场景,研究新环境和新技术下定级对象的存在形态、部署方式、安全设备和组件部署情况等对等级测评过程以及具体任务的影响,并给予相应的测评指导;
第二,参考新修订的《网络安全等级保护基本要求》和《网络安全等级保护测评要求》标准,调整本标准的相关内容,保持等级保护系列标准的一致性;
第三,参考“关于传发《信息安全等级保护测评报告模版(2015版)》的通知(公信安[2014]2866号)”,并与等级保护主管部门密切联系,了解跟踪国家网络空间保卫和等级保护制度完善发展的工作思路,将等级测评环节的相关要求落实在标准中;
第四,根据几年来的标准应用实践和经验,修订原标准中不通用的等级测评过程及任务相关内容,标准正文内容全部改写为通用性的规范内容,特殊性内容放在附录中。
三、《信息系统安全等级保护测评过程指南》修订主要内容
修订后的《测评过程指南》从受委托测评机构对定级对象首次开展等级测评角度,描述了最全面的工作流程和任务。如果被测定级对象已经实施过一次(或多次)等级测评,测评机构和测评人员可根据上次等级测评中存在的问题和被测定级对象的实际情况调整部分工作任务内容。
本次标准修订的主要内容分为以下几个方面:
1.名称的变化
《中华人民共和国网络安全法》(以下简称“网络安全法”)于2017年6月1日起实施。网络安全法第21条明确“国家实行网络安全等级保护制度”,第31条明确“国家对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。为了与网络安全法提出的“网络安全等级保护制度”保持一致,作为支撑性的主要技术标准,GB/T 28449的名称由原来的“信息系统安全等级保护测评过程指南”改为“网络安全等级保护测评过程指南”。
2.等级测评基本流程的变化
等级测评实施的基本工作流程中,报告编制活动的工作任务从原来的6个调整为7个(见下图-图1),增加了系统安全保障评估的工作任务。该项任务主要是综合单项测评和整体测评结果,计算修正后的安全控制点得分和层面得分,并根据得分情况从正向对被测定级对象的安全保障情况进行总体评价。 
