【某某等级保护对象】等级测评结论通用要求的判定指南

    随着2019年12月1日网络安全等级保护系列标准正式实施，意味着网络安全等级保护正式迈入2.0时代，网络安全等级保护对象正式进入“评级（优、良、中、差）阶段”，那么网络安全等级保护结论如何评判？本文对此进行简要概述。

等级测评项的结论评判集：

{符合、基本符合、不符合、不适用}

基于等级保护对象（测评对象）安全防护能力与网络安全等级保护基本要求进行比对，并进行判断得到单个测评项的结论。

如：

控制点测评结论评判集：

{符合、基本符合、不符合、不适用}

对某个控制点结论进行判定时，引入量化的方式：

    测评项的得分是基于等级测评项的符合性结论进行赋值，通过（0,0.5,1）打分制，即符合得1分，部分符合得0.5分，不符合得0分，不适用不参与算分。

    安全控制点的评判引入量化后采用满分10分制，得10分记为符合，得0分记为不符合，0到10之间记为部分符合，若某一控制点下所有的测评项均为不适用，则该控制点为不适用。

    网络安全等级保护2.0基于“一个中心，三重防护”的纵深防御思想，分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理共10个安全类。事实上，在计算控制点得分时，只有安全物理环境和安全计算环境可能涉及多对象，其余安全类不会涉及到多对象。

以安全通信网络中的通信传输控制点为例：

利用控制点得分公式，可求得通信传输控制点得分为：7.06。

……

以安全计算环境中身份鉴别控制点为例：

涉及到不同类对象时，分别基于各类对象在该测评项的得分进行取平均，如上图测评项b）中，根据测评项的符合性结论，可依次得到5类测评对象在测评项b的得分为

1,  0.5,  1,  1,  1

对其进行取平均后得分为0.97，其他测评项同理，因此可求得身份鉴别控制点得分为9.47。

其他控制点得分可同理求得。

等级测评综合结论评判集：

{优、良、中、差}

基于网络安全等级保护[XXX]等级测评报告【2019版】第6部分的说明，可以明确网络安全等级保护测评结论由风险评价和等级测评综合得分共同决定。

综合得分：

公式说明：

可以先分别计算每一个安全类的中间计算量，分别记：

D₁，D₂，……，D₁₀

该公式中，分母为：

某个安全类中所有测评对象的全部测评项指标的权重和;

分子为：

某个安全类中所有测评对象全部测评项中不符合项权重和与部分符合项权重和的一半的和。

最终可求得测评项的符合率占比。（算分公式仅描述测评项的符合性占比，不能仅根据分数判定等级测评结论）

风险等级：

风险等级评判集：

{高、中、低}

风险等级判定方法：

    报告模板【2019版】第五部分内容是对等级测评中发现的问题进行定性的风险分析或基于GB/T 20984—2007《信息安全技术 信息安全风险评估规范》中风险分析的量化方法进行风险评估。对当前测评发现的安全问题可能面临的威胁（附录Ｇ）被利用而引发关联资产所面临的风险情况（危害分析结果），依据危害分析结果可得出风险等级。

综上，等级保护综合测评判定结论可依据下列矩阵表给出：