等保2.0测评报告新模板《网络安全等级保护测评报告模板》
随着网络安全等级保护制度2.0标准(以下简称等保2.0标准)于2019年12月1日开始实施的日期越来越近,新旧标准的内容也将逐步进行更替。近日,国家等保办已要求各地于2019年10月1日起开始启用等级保护测评报告新模板。为此,灵狐科技安全专家就等保2.0测评结论、判别依据、测评维度、测评报告新模板要点进行分析解读,以更好的引导客户适应等保2.0的新标准和新要求。
一、等保2.0标准等级测评结论判别依据分为四个,且全面革新
优 |
被测对象中存在问题,但不会导致被测对象面临中、高等级安全风险,且系统综合得分90分以上(含90分)。 |
良 |
被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分80分以上(含80分)。 |
中 |
被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分70分以上(含70分)。 |
差 |
被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。 |
二、等保2.0标准整体测评维度变化
1.安全控制点间安全测评
在单项测评完成后,如果等级保护对象的某个安全控制点中的要求项存在不符合或部分符合的情况。应进行安全控制点间测评,分析在同一类内,是否存在其它安全控制点对该安全控制点具有补充作用(如物理访问控制、防盗窃、身份鉴别和访问控制等)。同时,分析是否存在其它的安全措施或技术与该要求项具有相似的安全功能。
根据测评分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失。如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则对该测评指标的测评结果予以调整。
2.区域间/层面间安全测评
在单项测评完成后,如果等级保护对象的某个安全控制点中的要求项存在不符合或部分符合,应进行区域间/层面间安全测评,重点分析等级保护对象中访问控制路径(如不同功能区域间/层面间的数据流流向和控制方式等)是否存在区域间/层面间的相互补充作用。
根据测评分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失。如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则对该测评指标的测评结果予以调整。
网络安全等级保护2.0标准最新测评报告模板