等级保护测评要求修订情况

进入等保2.0时代，伴随着技术和管理要求的蜕变，测评要求也做了相应的修订。

今天e小安就和大家分享新标准中测评要求的7个变化：

1、《测评要求》文本结构

由12个章节、3个附录构成。

1.范围

2.规范性引用文件

3.术语定义

4.缩略语

5.等级测评概述

6.7.8.9.10 五个等级的测评要求

11. 整体测评

12. 测评结论

附录A 测评力度

附录B 大数据可参考安全评估方法

附录C 测评单元编号说明

2、标准名称变化

3、测评实施内容变化

旧版标准: 安全测评通用要求。

新版标准：安全测评通用要求 和 安全测评扩展要求

● 安全测评通用要求

不管等级保护对象形态，均需使用安全测评通用要求。

● 安全测评扩展要求

针对云计算、移动互联、物联网和工业控制系统提出了 特殊安全测评要求。

4、增加等级测评定义

等级测评是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准 ，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。

5、测评技术框架变化

之前：GB/T 28448-2012

单元测评

针对基本要求各安全控制点 的测评为单元测评。支持测评结果的可重复性和可再现性，由测评指标、测评实施和结果判定构成 。

整体测评

在单元测评的基础上，通过进一步分析信息系统安全保护功能的整体相关性，对信息系统实施的综合安全测评。

现在：GB/T 28448-20XX

单项测评

针对各安全要求项的测评，支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标 、 测评对象、测评实施和单元判定构成。

整体测评

整体测评是在单项测评基础上，对等级保护对象整体安全保护能力的判断。

整体安全保护能力从纵深防护和措施互补二个角度评判。

1）“单元测评”变更“单项测评”

单元测评：针对基本要求各控制点的测评称为单元测评。

单项测评：针对基本要求各控制点中要求项的测评称为单项测评。

单元测评（旧版本）=若干个单项测评（新版标准）

2）测评实施作用面不同

以某级系统为例：

3）测评指标细化

一起看看新版标准的单项测评

整体测评内容变化

6、增加附录B

大数据可参考安全评估方法

● 大数据 应用 可参考安全评估方法

数据采集、数据分类、数据存储、数据应用、数据交换和数据销毁。

● 大数据平台/ 系统可参考安全评估方法

安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理和安全运维管理。

7、增加附录C

C.1 测评指标编码规则

测评单元编号为3组数据，格式为XX-XXXX-XX

示例：测评单元编号为L1-PES1-01，代表源自基本要求第1 部分的第一级单项测评的安全物理环境类的第1个指标。

C.2 大数据可参考安全评估方法编号说明

测评单元编号为三组数据，格式为XXX—XX—XXX

示例：测评单元编号为BDS-L1-01，代表源自大数据可参考安全评估方法的第一级的第1 个指标。

C.3 专用缩略语

ABS ：安全区域边界（Area Boundary Security）

BDS ：大数据系统（Bigdata System）

CES ：安全计算环境（Computing Environment Security）

CMS ：安全建设管理（Construction Management Security）

CNS ：安全通信网络（Communication Network Security）

MMS ：安全运维管理（Maintenance Management Security）

ORS ：安全管理机构（Organization and Resource Security）

PES ：安全物理环境（Physical Environment Security）

PSS ：安全管理制度（Policy and System Security）

HRS: 安全管理人员（Human Resource Security）

SMC ：安全管理中心（Security Management Center）

Ok，今天等保干货就为大家分享这些。关注e安在线，了解更多等级保护相关内容。