安全资讯

《网络安全等级保护测评要求》等保测评师必读

现在全国注册信息安全等级测评师已达5000余人,每年参加近万个信息系统的安全测评作业,测评师队伍已经成为国家网络安全保障作业的一支重要力气。测评师和测评组织展开作业所根据的重要规范便是本期的《网络安全等级维护测评要求第1部分:安全通用要求》,后续针对测评师的规范专题训练也将于下一阶段打开,敬请重视。

《网络安全等级维护测评要求 第1部分:安全通用要求》解读

为什么要修订

《网络安全等级维护测评要求》

国家规范GB/T 28448-2012《信息安全技能 信息系统安全等级维护测评要求》在我国网络安全等级维护作业展开进程中发挥了重要的指导效果,被广泛运用于等级维护测评组织、各个行业和范畴展开网络安全等级维护的等级测评和安全自查等相关作业。GB/T 28448自2012年发布以来,跟着信息技能的展开,在规范运用进程中特别是云核算、移动互联、物联网、工业控制和大数据等新技能、新运用环境下也遇到了一些新的问题,GB/T 28448-2012在适用性、时效性、易用性、可操作性上需求进一步完善。此外,作为测评目标进行引证的GB/T 22239-2008也启动了修订作业。为习惯我国网络安全等级维护作业展开的需求,进一步与新版的GB/T 22239相和谐,有必要对GB/T 28448-2012进行修订。

GB/T 28448《信息安全技能 网络安全等级维护测评要求》(以下简称“测评要求”)将依照运用的范畴划分成安全通用要求和详细范畴的安全扩展测评要求。现在方案发布以下部分:

——第1部分:安全通用要求;

——第2部分:云核算安全扩展要求;

——第3部分:移动互联安全扩展要求;

——第4部分:物联网安全扩展要求;

——第5部分:工业控制系统安全扩展要求;

——第6部分:大数据安全扩展要求。

《测评要求第1部分:安全通用要求》
首要修订内容

根据全国信息安全规范化技能委员会2013年10月下达的国家规范制修订方案,公安部第三研究所(公安部信息安全等级维护评价中心)牵头组织了对GB/T 28448-2012的修订作业。

在前期先对GB/T 22239进行修订的同时,研究确定了《测评要求》修订技能思路。待GB/T22239构成草案后,同步开始修订《测评要求》。修订经历了调查研究、草案构成、征求意见稿、送审稿等进程,也收到了许多专家、各行业用户及七大部委的许多宝贵意见。为便于我们更好地了解和运用新规范体系,提早向我们介绍以下对原国家规范GB/T 28448-2012修订的一些首要内容。

 1  等级测评技能结构的变化
等级测评技能结构由原规范的单元测评和全体测评调整为单项测评和全体测评。

单项测评是针对各安全要求项的测评,支撑测评结果的可重复性和可再现性。本规范中单项测评由测评目标、测评目标、测评施行和单元判定构成。修订后的单项测评中测评目标更加细化,由原规范中的安全控制点调整为安全控制点下的详细安全要求项,更有助于测评施行的展开。

全体测评是在单项测评基础上,对等级维护目标全体安全维护能力的判别。全体测评内容由原规范的安全控制点间、层面间和区域间测评等方面调整为现规范的安全控制点测评、安全控制点间测评和层面间测评。

别的,为了更好使组织测评人员清晰测评作业的效果目标,在测评单元中增加测评目标。测评目标是指等级测评进程中不同测评办法效果的目标,首要涉及相关配套准则文档、设备设备及人员等。

 2 规范内容的变化
测评要求沿袭正在修订中的《网络安全等级维护定级攻略》GB/T 22240提出的“等级维护目标”概念,并给出针对等级维护目标的安全等级维护测评的界说。

根据GB/T 22239.1规范文本架构,测评要求描绘了如何从物理和环境安全、网络和通讯安全、设备和核算安全、运用和数据安全、安全策略和办理准则、安全办理组织和人员、安全建造办理、安全运维办理等八个层面进行测评施行作业。

为了更加易于运用测评要求,增加《附录B 测评单元编号说明》和《附录D 基本要求和测评要求对应表》。

附录B给出了测评单元编码规矩和专用缩略语,测评单元编号为三组数据,格局为XX-XXXX-XX,各组含义和编码规矩如下:

1)第1组由两位组成,第1位为字母L,第2位为数字,其中数字1为榜首级,2为第二级,3为第三级,4为第四级,5为第五级。

2)第2组由4位组成,前3位为字母,第4位为数字。字母代表层面:PES为物理和环境安全, NCS为网络和通讯安全,ECS为设备和核算安全,ADS为运用和数据安全,PSS为安全策略和办理准则,ORS为安全办理组织和人员,CMS为安全建造办理,MMS为安全运维办理。数字代表规范分册:1为榜首分册,2为第二分册,3为第三分册,4为第四分册,5为第五分册,6为第六分册。

3)第3组由2位数字组成,按层面临基本要求中的要求项进行顺序编号。

示例:测评单元编号为L1-PES1-01,代表源自基本要求第1部分的榜首级物理和环境安全类的第1个目标。

为了方便组织测评人员进行现场等级测评作业,增加附录D基本要求的要求项和测评要求的单元测评对应表,便于组织测评人员检索和索引。

 3 测评要求在级差上的变化
不同等级的测评作业首要经过以下四个方面来体现测评要求的级差:

1)不同等级运用不同测评办法:榜首级首要以访谈为主进行等级测评,第二级以核对为主进行等级测评,第三级和第四级在核对基础上还要进行测验验证作业。不同等级运用不同测评办法,能体现出测评施行进程中访谈、核对和测验的测评强度的不同。

2)不同等级测评目标规模不同:榜首级和第二级测评目标的规模为关键设备,第三级为首要设备,第四级为一切设备。不同等级测评目标规模不同,能体现出测评施行进程中访谈、核对和测验的测评广度的不同。

3)不同等级现场测评施行作业不同:榜首级和二级以核对安全机制为主,第三级和第四级先核对安全机制,再核对安全策略有效性。

4)现场测评办法运用不同:在实际现场测评施行进程中,安全技能方面的测评办法以配置核对和测验验证为主,几乎没有访谈。安全办理方面能够运用访谈方式进行测评。

服务热线

400-1021-996

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号