【等保专题】详解2021版等保测评报告模板变化与升级特点

gala 2023-07-10 10:24:07  66377

分类专栏：资讯

概述

近年来，随着互联网的普及和信息化建设的推进，信息安全问题越来越受到重视。我国也相继出台了一系列信息保护法律法规及标准，其中等级保护标准是信息安全保障的重要基石。等级保护报告是等级保护认证的必要文件，随着技术和法规的不断发展，等级保护测评报告模板也在不断地修订和更新。

有关部门于2021年发布《等保测评报告模板（2021版）》并针对测评机构展开培训工作，2021年6月18日之后国内所有测评机构都将按照新测评计算标准开展测评工作，相对于2019版公式，根据2021版公式所计算出的综合得分全部有不同程度的降低，原有网络和信息系统面临复测不通过风险。

修订内容

《等保测评报告模板（2021版）》主要针对技术、格式、说明三个维度进行了整体修订，各维度修订意义及范围如下所述：

技术类修订：属于重大修订，与发布版存在较大差异，如计算公式、数据独立测评等。
格式类修订：属于较大修订，进一步规范报告内容，如提供表格编写示例等。
说明类修订：属于一般修订，细化报告相关内容编写要求。

技术类修订

本次技术类修订内容有调整综合得分计算公式、将数据作为独立测评对象、删除控制点得分计算三个方面。而对测评通过结果影响最大的是调整综合得分计算公式，对被测单位而言很可能面临同样被测系统往期高分通过，以修订后的标准复测不通过风险。

首先，调整综合得分计算公式，基于缺陷扣分法原理,引入关注系数，从技术和管理两方面计算综合得分。2019版公式采用最短距离法计算综合得分，分数反映的是指标加权符合率,但存在如下缺陷:

缺陷1：综合得分偏高,集中在80分以上,导致测评结论区分度不高，综合得分应有助于对中、良的判定。综合得分偏高原因分析如下:

1)单个测评项得分赋值不准确。

2)同一测评项不符合对象对综合得分的影响不明显。

缺陷2：各安全类权重一样,技术和管理各占50%,后续不能根据工作关注重点调整技术和管理的权重占比。
缺陷3：与新公式相比,2019版公式计算量大一些。

为解决这些缺陷问题，《等保测评报告模板（2021版）》首先将公式改为缺陷扣分法，其次，技术和管理不再一定是各占50%，等级保护工作管理部门能够通过给出关注系数（y）调整技术、管理占比，最后，测评指标细分为一般、重要和关键，关键测评指标不符合将扣除3倍基准分，重要测评指标不符合扣除2倍基准分，一般测评指标不符合扣除1倍基准分。《等保测评报告模板（2021版）》综合得分公式如下：

图1 2021版综合得分公式图

综合得分计算法在给予技术和管理不同得分占比灵活调整空间的基础上，更细化了针对测评项重要程度的得分比重，更真实有效的呈现网络安全现状。其中，多个测评对象的测评得分依据测评权重不同计算更为严格，具体算法举例如下：

图2 多测评项得分公式图

《等保测评报告模板（2021版）》等级保护测评结论结合综合得分结果及中、高风险因素，调整为优、良、中、差测评结果，具体如下表：

表1 等级保护测评结论评价表

其次，将数据作为独立测评对象，单独列出数据安全测评结果,突出各类数据安全防护情况。在2021新版报告里面，分别在正文3.4.6节和附录A.9中单独增加数据内容。附录A.9模板的填写说明为：以列表形式描述具有相近业务属性和安全需求的数据集合。数据资源一般包括鉴别数据、重要业务数据、重要审计数据、重要配置数据和重要个人信息等。安全防护需求一般从保密性、完整性等方面进行分析。

表2 附录A.9模板填写表

最后，删除控制点得分计算，保留控制点符合情况统计表，删除控制点得分计算。

图3 删除控制点得分图

格式类修订

《等保测评报告模板（2021版）》从整体结构上进行优化调整，规范报告编写及文件组织方式，格式类修订涉及10处内容，具体如下：

1.等级测评结论扩展表：明确其适用场景,给出表格填写说明,给出平台服务能力描述方式。

图4 等保测评结论扩展表

2.主要安全问题及整改建议：给出了本节内容编写示例,规范全国测评机构报告编写风格。

图5 主要安全问题及整改建议

3.不适用安全要求指标：明确不适用指标填写要求,给出了不适用安全要求指标表格。

图6 不适用安全要求指标

4.等级测评结论：给出了“优、良、中、差”四个等级测评结论编写示例,规范全国测评机构报告编写风格。

图7 等保测评结论

5.附录H和附录I：明确其适用场景,给出内容编写要求。

图8 附录H和附录I

6.测评对象选择结果：调整分类方式,明确填表要求。

图9 测评对象选择结果

7.验证测试：给出了漏扫和渗透的编写要求,给出了相关表格进行规范。

图10 验证测试

8.整体测评结果汇总：给出了整体测评编写要求,给出了相关表格进行规范。

图11 整体测评结果汇总

9.附录B上次测评问题整改情况：给出了本节内容编写要求,给出了相关表格进行规范。

图12 附录B上次测评问题整改情况

10. 附录D单项测评结果记录：给出了单项测评结果记录表格。

图13 附录D单项测评结果记录

说明类修订

《等保测评报告模板（2021版）》填写说明细化、规范了填写内容，具体示例如下所示：

图14 2019版与2021版总体评价说明内容修订对比图

修订影响

本次技术类修订影响较大，以等级保护三级为例，三级通用标准共有211个测评项，其中关键测评项39个，占比18%；重要测评项107个，占比51%；一般测评项65个，占比31%。整体上来看，如果超过二分之一的测评项不符合，测评就可能得“0”分。

有关部门列举相关场景进行2019版公式与2021版公式测评结果对比，具体如下所示：

图15 2019版公式与2021版公式测评场景示例

结果显示，在2021版公式测评结果下，均有不同程度分数降低，以为有关部门列举实际案例：

图16 2019版公式与2021版公式测评实际系统示例

总结

2021版测评计分标准中针对缺陷进行扣分的规定更加严格，而且对于“关键指标”和“重要指标”的不符合情况会加倍扣分。这一规定使得以往通过补偿措施、部分满足等方式达到“凑分过线”的做法已不可行，因此，企业在进行信息安全测评时不能单纯追求“凑分”，而要以业务安全为目标，从“技术”和“管力”两个方向系统地规划和执行安全措施，确保信息安全工作在全方位得到落实。

北京威努特技术有限公司以自主研发的全系列工控网络安全产品为基础，深度耦合业务安全运营需求，参照国内国际的标准技术体系规范，打造了网络安全与ICT融合的一体化解决方案，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家40+重要行业细分领域的客户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运营。其中多个项目标杆案例在满足行业合规要求的同时，等级保护测评均高分通过，方案有效性、产品稳定性、行业适配性得到行业充分验证，全球4000+行业客户的一致选择。

图17 全球4000+客户的一致选择

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=25889

赞同 1

评论 0 条

【等保专题】详解2021版等保测评报告模板变化与升级特点

相关文章

关注我们