2021版等级测评报告模板修订总结

  • A+
所属分类:云安全

原创毛华庆

出品北京一等一技术咨询有限公司

独家授权,未经许可不得转载


总体注意事项


PART/01




1.要注意红色字体,例如:

如果云服务客户业务应用系统同时部署在不同模式的云计算平台上时,可使用多个等级测评结论扩展表(云计算安全)来展示。

例如:大系统如果部署在多个云平台,多个云平台要看成多个测评对象,分别给出等级测评结论扩展表(云计算安全);

2.算法变化超级大,主要是原来的算法得分比较集中(75-85区间比较集中),新的算法会使得分数差异变大;

3.填写表格要注意前后的一致性;

4.执行时间为:2021年6月18日。


总体修订情况说明

总共三大块:

1、技术修订:公式、一些评定合格的方式有变化

2、格式修订:表格等格式上规范报告内容

3、说明修订:主要是模板中红色字体部分


技术修订

1.调整综合得分计算公式:从原来的10个安全层面计算变成了从技术和管理两方面计算,从原来根据符合标准情况累加计算变成了扣分计算,额外添加关注系数,这块后面估计还要额外写。


2.根据将数据作为独立测评对象,单独列出数据安全测评结果,突出各类数据安全防护情况。


3.保留控制点符合情况统计表,删除控制点得分计算。


综合得分计算修订

缺陷扣分规则就是不符合或者部分符合要扣分,按特定倍数来扣:


1、先计算单个测评项的基准分S

2、一般测评指标:部分符合,扣0.5×S分;不符合,扣S分

3、重要测评指标:部分符合,扣1倍S分不符合,扣2×S分

4、关键测评指标:部分符合,扣1.5×S分;不符合,扣3×S分

5、设置关注系数:关注系数统一发布,明确技术、管理的占比。


关注系数的原理是看政策对技术还是管理的侧重,另外也考虑到在控制点或者说标准要求上,技术和管理的要求在数量上是不匹配的,乘以这个系数或者说权重,相当于对计算出来的得分进行归一化。


测评指标的类别:一般、重要、关键有额外的权重表,分别对应0.4、0.7、1。


综合得分公式:

记总体分数为M,则


2021版等级测评报告模板修订总结

V t表示技术Technology类总体得分;

V m 表示管理Management类总体得分。

V t 的计算公式为:


2021版等级测评报告模板修订总结


V m 的计算公式为:


2021版等级测评报告模板修订总结


上面两个公式可以简化写为一个式子

2021版等级测评报告模板修订总结

2021版等级测评报告模板修订总结

这里

2021版等级测评报告模板修订总结

看上去很复杂,先来化简一下,这里y yy是关注系数,是官方统一发布的常数,目前是0.5,带入上面,变成:

2021版等级测评报告模板修订总结

2021版等级测评报告模板修订总结

看上去技术和管理的计算都非常相似,这里面ω k 代表当前测评指标的类型,上面说了,有三种:一般、重要、关键,这里ω k 经过函数f ff后,变成:

2021版等级测评报告模板修订总结


ω k是原来的权重表中的0.4/0.7/1,这三个值分别对应一般/重要/关键。

S是单个测评项的基准分,还不知道这里n nn代表什么,猜测是测评的项数有关:

2021版等级测评报告模板修订总结

xk是测评结果,分别不符合、部分符合、符合,取值对应0,0.5,1,即:

2021版等级测评报告模板修订总结

看到这里估计还有很多小伙伴不明白,我们举个例子,如果有一个测评项a,它属于关键测评指标,则f(ωk)=3,如果它测评结果是不符合,那么x k = 0 ,则1 − x k = 1 该测评项的基准分是S 的话:

2021版等级测评报告模板修订总结

从这个例子可以看到,如果是关键测评指标不符合,扣分非常严重。假设一个系统大多数关键测评指标不符合,那么就会导致19版的分数换算到21版的分数就会变低。官方做了实验:

2021版等级测评报告模板修订总结


这里面相差最大的就是所有指标均为部分符合的情况,由于是部分符合,按照2019版本的计算公式,是

2021版等级测评报告模板修订总结

按照2021公式计算:

2021版等级测评报告模板修订总结

总体来说:

1.关键指标非常重要,如果关键指标不符合太多项新版会不及格。


2.新版计算貌似更加简单,但是应该还涉及多个测评对象的问题,应该和原来的计算方式相同,等实操后再补充。


3.估计这个世界上不会有哪个系统能拿满分,意味着肯定会有扣分,也就是说V t或者V m都不可能等于0,更不用说有小于0的情况,所以,我认为系统最后的综合得分公式可以写为:


2021版等级测评报告模板修订总结


将数据作为独立测评对象

在2021新版报告里面,单独加上了数据这块内容,分别加在了正文3.4.6节和附录A.9 中,这块需要填写什么?


附录A.9模板的填写说明为:

以列表形式描述具有相近业务属性和安全需求的数据集合。数据资源一般包括鉴别数据、重要业务数据、重要审计数据、重要配置数据和重要个人信息等。安全防护需求一般从保密性、完整性等方面进行分析。


是不是看不懂🤔?要正确填写先要搞清楚数据在整个系统有很多种,测评涉及的维度也很多,我简单整理一个表就很清楚了:

2021版等级测评报告模板修订总结

格式修订10类


1.等级测评结论扩展表:明确其适用场景,给出表格填写说明,给出平台服务能力描述方式。

说明:加了等级测评结论扩展表(大数据安全)、等级测评结论扩展表(云计算安全)两个扩展表的说明,里面以四级系统为例给出了平台服务能力描述。就是把等保标准里面的大数据和云计算的指标替换过来了。

这里要注意,如果一个大的系统部署在两个云平台(或者部署在同一个平台的两种服务模式),那么要填写两张等级测评结论扩展表(大数据安全)。


2.主要安全问题及整改建议:给出了本节内容编写示例,规范全国测评机构报告编写风格。

说明:这里要根据等保标准里面的要求大类(安全物理环境、 安全通信网络、 安全区域边界、 安全计算环境、 安全管理中心、 安全管理制度、 安全管理机构、 安全管理人员、 安全建设管理、 安全运维管理…如果有扩展要求继续加)分别填写。填写格式为:

(序号)问题1描述

整改建议描述

(序号)问题2问题3描述

整改建议描述

上面的问题要和报告5章列出的所有安全问题对应,可以多个问题合并给出建议


3.不适用安全要求指标:明确不适用指标填写要求,给出了不适用安全要求指标表格。

2.2.4不适用安全要求指标填写时注意,只能填写那些所有测评对象都不适用的指标。对于仅某个对象不适用的指标不填写在本节表格,填写到该对象的测评结果(附录C)中即可。


4.等级测评结论:给出了“优、良、中、差”四个等级测评结论编写示例,规范全国测评机构报告编写风格。

说明:给出了四个样例:

[被测对象名称]本次等级测评的综合得分为95,且不存在中、高等级安全风险,等级测评结论为优。

[被测对象名称]本次等级测评的综合得分为90,但存在中等级安全风险,等级测评结论为良。

[被测对象名称]本次等级测评的综合得分为75,且不存在高等级安全风险,等级测评结论为中。

[被测对象名称]本次等级测评的综合得分为85,但存在高等级安全风险,等级测评结论为差。


5.附录H和附录I。明确其适用场景,给出内容编写要求。

说明:附录H是云计算平台测评及整改情况,附录I是大数据平台测评及整改情况

这两个找系统托管的厂家要。


6.测评对象选择结果,调整分类方式,明确填表要求。

说明:多加了2.3.2.6其他设备,加了2.3.2.9数据类别

其他设备指:移动互联的移动终端、物联网的感知终端、工业控制系统的控制设备等。

数据类别上面有讲,不啰嗦。

系统管理软件/平台指:系数据库、中间件、网管软件/平台、安管软件/平台、云计算管理软件/平台等。


7.验证测试:给出了漏扫和渗透的编写要求,给出了相关表格进行规范。

说明:漏扫和渗透给出了具体表格,要把漏扫和渗透的结果填到表格里面,漏洞多的时候可以只填高危漏洞。


8.整体测评结果汇总:给出了整体测评编写要求,给出了相关表格进行规范。

说明:给出了具体表格和示例,表格问题编号要和3.13.2安全题汇总表的编号要对应。

2021版等级测评报告模板修订总结

9.附录B上次测评问题整改情况:给出了本节内容编写要求,给出了相关表格进行规范。

说明:要核查上一次测评报告中的《主要安全问题及整改建议》,核查整改情况。

1).如果是部分整改判断为未整改;

2).不是全部问题,是主要问题。


10.附录D单项测评结果记录,给出了单项测评结果记录表格。

说明:略


说明修订


其他说明

  • 封面的被测单位和基本信息表的被测单位可能不一致,前一个是签合同给钱的主,后一个是被测的主。

  • 报告中的编号带括号的必须是中文括号。


参考文献:

等级测评报告模板(2021版)
模板培训ppt,可在网上百度

2021版等级测评报告模板修订总结


2021版等级测评报告模板修订总结
关注我们
2021版等级测评报告模板修订总结
联系我们

2021版等级测评报告模板修订总结

本文始发于微信公众号(等级保护测评):2021版等级测评报告模板修订总结

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: