我的位置 首页  >  新闻动态  >  国内新闻

等级测评依据的是哪些标准?

来源:科技成果转化中心时间:2018-06-26
      

自从接触等级测评以来,看的最多的就是《测评要求》、《基本要求》《测评过程指南》,这些标准为我们的测评提供了依据,也为测评结果的可重复性可再现性提供了支持。我们依据国家标准或行业标准进行测评时,标准的最重要作用之一就是测评结果的客观公正性,不同的人应该可以实现测评工作的可重复性,即不同的人依据标准,应该得到的测评结果是相同的。在一个是,可重现性。这个是和一个人测同一个系统,应该能够再现测评结果。而这个能力的体现在对测评标准项的理解上。如果不能充分理解测评标准,那么无法保证测评结果的客观公正性,无法提供一个科学的测评结果。人与人不同,也无法重复测评结果。如果无法实现测评结果的可再现性可重复性,那么测评结果的可重用性也就此打折扣,降低了其经济性。

测评机构应当依据《网络安全等级保护测评要求》《信息系统安全等级保护测评过程指南》等国家标准进行等级测评,按照公安部统一制定的《信息系统安全等级测评报告模版(2015版)》(公信安[2014]2866号)格式出具测评报告。按照行业标准规范开展安全建设整改的网络,可以以国家标准为依据开展等级测评,也可以以行业标准规范为依据开展等级测评。

测评要求》与《基本要求》相适应,提出了测评指标、测评实施和结果判定三部分内容。测评指标直接指向《基本要求》相应等级的基本要求,在内容上,测评指标与相应的基本要求完全一致;测评实施描述测评过程中涉及的具体测评方法和需要实施的测评步骤;结果判定描述测评人员执行测评实施过程完毕并产生各种测评证据后,依据这些测评证据判定被测系统是否满足测评指标要求的原则。《测评要求》将等级测评分为单项测评整体测评两部分,在保证相应安全等级测评强度的基础上,先开展单项测评,再在单元测评的基础上开展整体测评

单项测评是指针对各安全要求项的测评,支持测评结果的可重复性可再现性。现标准中单项测评测评指标测评对象测评实施单元判定构成。整体测评是指在单项测评基础上,对等级保护对象整体安全保护能力的判断。整体测评内容由原标准的安全控制点间层面间区域间测评等方面调整为现标准的安全控制点测评安全控制点间测评层面间测评。另外,为了更好地使机构测评人员明确测评工作的作用对象,在测评单元中增加了测评对象。测评对象是指等级测评过程中不同测评方法作用的对象,主要涉及相关配套制度文档、设备设施及人员等。

信息系统安全等级保护测评过程指南》(下称《测评过程指南》)为网络安全等级测评工作建立了一套标准的测评过程,同时对网络安全等级测评的工作任务、分析方法、工作产品等提出了指导性建议,以规范和指导网络安全等级测评工作,从而使得不同测评机构实施的网络安全等级测评过程、工作产品和测评结果更一致,更具有可比性可重复性可再现性

等级测评是一项可以由不同测评机构实施的标准符合性测评工作。《测评过程指南》规定了开展该工作的基本过程、流程、任务及工作产品等,以规范测评机构的等级测评工作,与《测评要求》共同指导和规范等级测评工作。《测评过程指南》指导使用者如何开展等级测评,以及在等级测评过程中如何正确使用《测评要求》中的具体测评方法、步骤和判断依据等。

无论是参与测评的测评师还是单位自查,其实《基本要求》、《测评要求》、《测评过程指南》对于我们工作来说,都有很强的指导意义。通过对《基本要求》、《测评要求》、《测评过程指南》的学习与解读,我们会发现我们的测评工作不会因人而产生不同的结果。同一个人,不同时期测评的同一个系统,结果应该是极接近的;同样,不同的人在测评同一个系统时,结果应当也是极接近的。只有我们能够科学客观公正的实现测评,才能保证也是应该保证测评结果的可重复性可再现性

今天,我们内容比较少,却是等级测评中比较重要的内容,期待大家记住测评工作中,我们常依据的标准是《基本要求》、《测评要求》、《测评过程指南》,最终测评的结果应当具备可重复性可再现性

……往期也精彩……

分享是美德,传播是善良

等级测评工作的基本含义、目的、时机

网络安全等级保护工作的开展情况

健全完善网络安全等级保护制度的主要内容和任务

国家网络安全等级保护制度的体系架构

健全完善网络安全等级保护制度的基本思路

健全完善网络安全等级保护制度的重要性及指导思想

       (科技成果转化中心供稿)