等保测评认证2.0《信息安全技术 网络安全等级保护测评要求》解读

来源:本站 作者:中联信科 日期:2021-09-03 19:17:15 浏览: 869
国家标准GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》在我国网络安全等级保护工作开展过程中发挥了重要的指导作用,被广泛应用于等级保护测评机构、各个行业和领域开展网络安全等级保护的等级测评和安全自查等相关工作。
但随着信息技术的发展,这套标准在适用性、时效性、易用性、可操作性上还需要进一步完善。为适应我国网络安全等级保护工作发展的需要,公安部第三研究所(公安部信息安全等级保护评估中心)牵头组织了对GB/T 28448-2012的修订工作。
从等保1.0到等保2.0,从GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》到GBT 28448-2019《信息安全技术 网络安全等级保护测评要求》,这套标准发生了哪些变化呢?
北京中联信科信息安全等级保护等保2.0测评认证办理公司

1、等级测评技术框架的变化

等级测评技术框架由原标准的单元测评和整体测评调整为单项测评和整体测评。
单项测评是针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定构成。修订后的单项测评中测评指标更加细化,由原标准中的安全控制点调整为安全控制点下的具体安全要求项,更有助于测评实施的开展。
整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。整体测评内容由原标准的安全控制点间、层面间和区域间测评等方面调整为现标准的安全控制点测评、安全控制点间测评和层面间测评。
另外,为了更好使机构测评人员明确测评工作的作用对象,在测评单元中增加测评对象。测评对象是指等级测评过程中不同测评方法作用的对象,主要涉及相关配套制度文档、设备设施及人员等。

 2、标准内容的变化

测评要求沿用正在修订中的《网络安全等级保护定级指南》GB/T 22240提出的“等级保护对象”概念,并给出针对等级保护对象的安全等级保护测评的定义。
依据GB/T 22239.1标准文本架构,测评要求描述了如何从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等八个层面进行测评实施工作。
为了更加易于使用测评要求,增加《附录B 测评单元编号说明》和《附录D 基本要求和测评要求对应表》。
附录B给出了测评单元编码规则和专用缩略语,测评单元编号为三组数据,格式为XX-XXXX-XX,各组含义和编码规则如下:
1)第1组由两位组成,第1位为字母L,第2位为数字,其中数字1为第一级,2为第二级,3为第三级,4为第四级,5为第五级。
2)第2组由4位组成,前3位为字母,第4位为数字。字母代表层面:PES为物理和环境安全, NCS为网络和通信安全,ECS为设备和计算安全,ADS为应用和数据安全,PSS为安全策略和管理制度,ORS为安全管理机构和人员,CMS为安全建设管理,MMS为安全运维管理。数字代表标准分册:1为第一分册,2为第二分册,3为第三分册,4为第四分册,5为第五分册,6为第六分册。
3)第3组由2位数字组成,按层面对基本要求中的要求项进行顺序编号。
示例:测评单元编号为L1-PES1-01,代表源自基本要求第1部分的第一级物理和环境安全类的第1个指标。
为了方便机构测评人员进行现场等级测评工作,增加附录D基本要求的要求项和测评要求的单元测评对应表,便于机构测评人员检索和索引。

3、测评要求在级差上的变化

不同等级的测评工作主要通过以下四个方面来体现测评要求的级差:
1)不同级别使用不同测评方法:第一级主要以访谈为主进行等级测评,第二级以核查为主进行等级测评,第三级和第四级在核查基础上还要进行测试验证工作。不同级别使用不同测评方法,能体现出测评实施过程中访谈、核查和测试的测评强度的不同。
2)不同级别测评对象范围不同:第一级和第二级测评对象的范围为关键设备,第三级为主要设备,第四级为所有设备。不同级别测评对象范围不同,能体现出测评实施过程中访谈、核查和测试的测评广度的不同。
3)不同级别现场测评实施工作不同:第一级和二级以核查安全机制为主,第三级和第四级先核查安全机制,再核查安全策略有效性。
4)现场测评方法使用不同:在实际现场测评实施过程中,安全技术方面的测评方法以配置核查和测试验证为主,几乎没有访谈。安全管理方面可以使用访谈方式进行测评。

 4、与设计要求进行融合

为了更好落实等级保护制度,推动等级保护技术标准的发展,新修订的测评要求增加了《附录C设计要求测评验证表》。根据设计要求提出的“一个中心,三重防护”的安全保护思想,从安全管理中心、安全计算环境、安全区域边界和安全通信网络四个方面,测评要求能够全面验证新修订的《设计要求》。

 5、测评要求使用方法

测评要求系列标准中“安全通用要求”是等级保护对象通用测评标准,无论等级保护对象使用何种技术,必须首先使用“安全通用要求”对等级保护对象进行测评,结合等级保护对象技术架构,再结合使用测评要求其他部分进行测
上一篇:网络安全三级等保测评认证的危险评估和差距分析 ← 下一篇:等级保护测评认证2.0时代,网络安全的变化 →