北京卓识网安技术股份有限公司
证券代码 | 870126
网络安全等级保护2.0正式实施后,公安部编制了《网络安全等级保护测评报告模板(2019版)》,并在2019年10月1日正式实施。经过近一年半的使用,针对各测评机构报告中存在的问题,公安部组织对【2019版】测评报告进行优化,2021年6月18日正式实施《网络安全等级保护测评报告模板(2021版)》,本文将对等级测评报告模板【2021版】的几大变化进行分析,包括:
变化一:将“数据资源”作为独立测评对象;
变化二:明确不同测评对象在数据安全部分的测评内容;
变化三:调整综合得分计算公式;
变化四:正文中“不适用安全要求指标”汇总的变化;
变化五:其他27项微调的内容;
变化六:其他12项细化的内容。
将“数据资源”作为独立测评对象
随着《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》(草案)和《信息安全技术 网络安全等级保护大数据基本要求》等数据安全相关法律、标准的相继发布,等级保护进一步提高对数据安全的重视程度,在等级测评报告模板【2021版】中将“数据资源”作为独立的测评对象列出来。
作为测评对象的“数据资源”,其范围包括“应用系统涉及的重要业务数据、重要个人信息和大数据资源”,需要测评的控制点包括“数据完整性、数据保密性、剩余信息保护、备份恢复和个人信息保护”。
此变化引起报告模板的主要变化包括一下3点:
“附录C 单项测评结果汇总”中增加了“C.4.6 数据资源”的测评结果汇总表,可以使用“数据资源”作为测评对象,也可以分为“重要业务数据”、“重要个人数据”等多个测评对象:
“附录D 单项测评结果记录”中增加了“D.4.1.7 数据资源”的现场记录表,同样,可以将重要业务数据、重要个人信息等“数据资源”在一个记录表中进行记录,也可以分为针对“重要业务数据”、“重要个人数据”等多个结果记录表进行记录:
“3 单项测评结果分析”中增加了“3.4.6 数据资源”,对数据资源方面已有安全控制措施和主要安全问题进行汇总分析。示例:
明确
不同测评对象在数据安全部分的测评内容
等级保护2.0的安全计算环境大类对应的测评对象包括网络设备、安全设备、服务器和终端、系统管理软件/平台、业务应用系统/平台、数据资源和其他系统或设备,而其中安全计算环境大类中包括对各类型数据的相关安全要求,涉及的数据类型包括鉴别数据、重要业务数据、重要审计数据、重要配置数据和重要个人信息及大数据等。
等级测评报告【2019版】中未对不同测评对象在数据安全部分的测评内容进行说明,导致部分测评机构不知道如何落实数据安全部分的测评工作,等级测评报告【2021版】明确不同测评对象在数据安全部分的测评内容,整理后如下表:
其中说明:
“重要审计数据”放在各设备/系统的现场记录表中进行测评结果记录,但在报告中汇总时,“重要审计数据”放在安全管理中心进行描述。
测评报告模板【2021版】中未对“重要视频数据”进行说明,“重要视频数据”可以看做是“重要业务数据”的一部分来开展测评和报告编写工作。
调整综合得分计算公式
等级测评报告【2021版】采用缺陷扣分法,引入关注系数,从技术和管理两方面计算综合得分。什么是缺陷扣分法?缺陷扣分法通过计算单位产品的得分值来评价产品的质量。其具体操作步骤为,设置单位产品的满分,一般设为100分,先对数据产品中存在的缺陷进行判定,按照各缺陷的严重程度进行扣分,再将各缺陷的扣分值累加,最后以满分减去累加的扣分值作为该产品的得分值,由得分值来判定产品质量。目前一般按缺陷的严重程度,将缺陷分为严重缺陷、重缺陷和轻缺陷3种。
计算思路:
单个测评项扣分
4)单个测评项符合情况量化:
5) 单个测评项扣分:
技术方面总得分:
技术方面测评项扣分总数:技术方面各测评项扣分之和。
其中,t为技术方面对应的总测评项数。
技术方面总得分:
管理方面总得分:
管理方面测评项扣分总数:管理方面各测评项扣分之和。
其中,m为管理方面对应的总测评项数。
管理方面总得分:
总得分:
正文中“不适用安全要求指标”汇总的变化
测评报告模板【2021版】明确“2.2.4 不适用安全要求指标”列表中只列出全局不适用的指标项,如果单个要求项不适用某个测评对象,仅在测评结果记录中列出。
因为是对全局不适用的测评项才列出来,跟测评对象没有关系,所以“表2-5 不适用安全要求指标”中删除列“不适用对象”,并将“原因说明”改为“不适用原因”。
其他27项微调的内容
其他12项细化的内容
