关于等级保护测评要求修订情况的那些事儿,你不容错过!

  点击数:315  发布时间:2019-01-18 09:35
进入等保2.0时代,伴随着技术和管理要求的蜕变,测评要求也做了相应的修订。
关键词:2.0时代 ,修订 ,测评

进入等保2.0时代,伴随着技术和管理要求的蜕变,测评要求也做了相应的修订。

本文和大家分享新标准中测评要求的7个变化:

1、《测评要求》文本结构

由12个章节、3个附录构成。

1.范围

2.规范性引用文件

3.术语定义

4.缩略语

5.等级测评概述

6.7.8.9.10 五个等级的测评要求

11. 整体测评

12. 测评结论

附录A 测评力度

附录B 大数据可参考安全评估方法

附录C 测评单元编号说明

5.webp.jpg

2、标准名称变化

6.webp.jpg

3、测评实施内容变化

旧版标准: 安全测评通用要求。

新版标准:安全测评通用要求 和 安全测评扩展要求

● 安全测评通用要求

不管等级保护对象形态,均需使用安全测评通用要求。

● 安全测评扩展要求

针对云计算、移动互联、物联网和工业控制系统提出了 特殊安全测评要求。

7.webp.jpg

4、增加等级测评定义

等级测评是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准 ,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。

5、测评技术框架变化

之前:GB/T 28448-2012

单元测评

针对基本要求各安全控制点 的测评为单元测评。支持测评结果的可重复性和可再现性,由测评指标、测评实施和结果判定构成 。

整体测评

在单元测评的基础上,通过进一步分析信息系统安全保护功能的整体相关性,对信息系统实施的综合安全测评。

现在:GB/T 28448-20XX

单项测评

针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标 、 测评对象、测评实施和单元判定构成。

整体测评

整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。

整体安全保护能力从纵深防护和措施互补二个角度评判。

1)“单元测评”变更“单项测评”

单元测评:针对基本要求各控制点的测评称为单元测评。

单项测评:针对基本要求各控制点中要求项的测评称为单项测评。

单元测评(旧版本)=若干个单项测评(新版标准)

2)测评实施作用面不同

以某级系统为例:

8.webp.jpg

3)测评指标细化

9.jpg

一起看看新版标准的单项测评

10.webp.jpg

整体测评内容变化

11.webp.jpg

6、增加附录B

大数据可参考安全评估方法

● 大数据 应用 可参考安全评估方法

数据采集、数据分类、数据存储、数据应用、数据交换和数据销毁。

● 大数据平台/ 系统可参考安全评估方法

安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理和安全运维管理。

7、增加附录C

C.1  测评指标编码规则

测评单元编号为3组数据,格式为XX-XXXX-XX

示例:测评单元编号为L1-PES1-01,代表源自基本要求第1 部分的第一级单项测评的安全物理环境类的第1个指标。

C.2 大数据可参考安全评估方法编号说明

测评单元编号为三组数据,格式为XXX—XX—XXX

示例:测评单元编号为BDS-L1-01,代表源自大数据可参考安全评估方法的第一级的第1 个指标。

C.3  专用缩略语

ABS :安全区域边界(Area Boundary Security)

BDS :大数据系统(Bigdata System)

CES :安全计算环境(Computing Environment Security)

CMS :安全建设管理(Construction Management Security) 

CNS :安全通信网络(Communication Network Security)

MMS :安全运维管理(Maintenance Management Security)

ORS :安全管理机构(Organization and Resource Security)

PES :安全物理环境(Physical Environment Security)

PSS :安全管理制度(Policy and System Security)

HRS:  安全管理人员(Human Resource Security)

SMC :安全管理中心(Security Management Center)

来源:e安在线

相关文章


热点新闻
推荐产品