进入等保2.0时代,伴随着技术和管理要求的蜕变,测评要求也做了相应的修订。
本文和大家分享新标准中测评要求的7个变化:
1、《测评要求》文本结构
由12个章节、3个附录构成。
1.范围
2.规范性引用文件
3.术语定义
4.缩略语
5.等级测评概述
6.7.8.9.10 五个等级的测评要求
11. 整体测评
12. 测评结论
附录A 测评力度
附录B 大数据可参考安全评估方法
附录C 测评单元编号说明
2、标准名称变化
3、测评实施内容变化
旧版标准: 安全测评通用要求。
新版标准:安全测评通用要求 和 安全测评扩展要求
● 安全测评通用要求
不管等级保护对象形态,均需使用安全测评通用要求。
● 安全测评扩展要求
针对云计算、移动互联、物联网和工业控制系统提出了 特殊安全测评要求。
4、增加等级测评定义
等级测评是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准 ,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。
5、测评技术框架变化
之前:GB/T 28448-2012
单元测评
针对基本要求各安全控制点 的测评为单元测评。支持测评结果的可重复性和可再现性,由测评指标、测评实施和结果判定构成 。
整体测评
在单元测评的基础上,通过进一步分析信息系统安全保护功能的整体相关性,对信息系统实施的综合安全测评。
现在:GB/T 28448-20XX
单项测评
针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标 、 测评对象、测评实施和单元判定构成。
整体测评
整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。
整体安全保护能力从纵深防护和措施互补二个角度评判。
1)“单元测评”变更“单项测评”
单元测评:针对基本要求各控制点的测评称为单元测评。
单项测评:针对基本要求各控制点中要求项的测评称为单项测评。
单元测评(旧版本)=若干个单项测评(新版标准)
2)测评实施作用面不同
以某级系统为例:
3)测评指标细化
一起看看新版标准的单项测评
整体测评内容变化
6、增加附录B
大数据可参考安全评估方法
● 大数据 应用 可参考安全评估方法
数据采集、数据分类、数据存储、数据应用、数据交换和数据销毁。
● 大数据平台/ 系统可参考安全评估方法
安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理和安全运维管理。
7、增加附录C
C.1 测评指标编码规则
测评单元编号为3组数据,格式为XX-XXXX-XX
示例:测评单元编号为L1-PES1-01,代表源自基本要求第1 部分的第一级单项测评的安全物理环境类的第1个指标。
C.2 大数据可参考安全评估方法编号说明
测评单元编号为三组数据,格式为XXX—XX—XXX
示例:测评单元编号为BDS-L1-01,代表源自大数据可参考安全评估方法的第一级的第1 个指标。
C.3 专用缩略语
ABS :安全区域边界(Area Boundary Security)
BDS :大数据系统(Bigdata System)
CES :安全计算环境(Computing Environment Security)
CMS :安全建设管理(Construction Management Security)
CNS :安全通信网络(Communication Network Security)
MMS :安全运维管理(Maintenance Management Security)
ORS :安全管理机构(Organization and Resource Security)
PES :安全物理环境(Physical Environment Security)
PSS :安全管理制度(Policy and System Security)
HRS: 安全管理人员(Human Resource Security)
SMC :安全管理中心(Security Management Center)
来源:e安在线
