《网络安全等级保护[被测对象名称]等级测评报告》模板【2021版】已于近日发布,相较于【2019版】,变化最大的是等级保护算分公式。
控制点得分
在【2021版】中不再对控制点进行量化得分,而是直接对进行符合性判定,但模板中未直接明确如何建立测评项符合性结论与控制点符合性情况间的关系?
如果测评项测评结论全为符合,则控制点结论必然是符合;
如果测评项测评结论全为不符合,则控制点结论必然是不符合;
如果仅存在个别测评项为部分符合,则控制点结论必然是部分符合;
目前存在的问题是,如果存在个别测评项为部分符合,且同时部分测评项为不符合时,控制点结论如何判断?或仅存在部分测评项为不符合时,测评结论又如何判定?
如果根据【2019版】的经验,上述两种情况的控制点结论为部分符合,但【2021版】是否在判定上发生变化,还需探究?
等级测评综合得分
在【2021版】中,等级测评的结论判定方法与【2019版】一致,依旧采用定性加定量的方法,但综合得分计算公式发生了较大变化。
本文对上述公式进行介绍,供行业内学习交流,具体解读以官方为准。
等级测评总得分,总分拆为安全技术得分和安全管理得分,即Vt为技术方面的得分,Vm为管理方面的得分,总分采取100分制,即,通常情况下,Vt、Vm各占50分,但考虑到部分行业的特殊属性,此处引入一个关注系数y,有y介于0和1之间,y的取值可由等级保护工作管理部门根据实际情况给出。
统计测评项总数,即n,其中n=t+m,t为技术方面对应的总测评项数,m为管理方面对应的总测评项数,考虑到测评指标的唯一性,此处的n与报告正文2部分的测评指标选取有关系,以第三级云平台为例,通用要求项211项,云扩展要求46项,在实际测评中根据业务需求和云安全责任方的不同,可能存在30项不符合项,此时,可得n的值为227.
测评项分值归一化,在开展现场等级测评时,总测评项数其实已经确定,即n已为定值,为统一各指标项对综合得分的贡献率,引入均一化处理,即S,S=100/n。
符合情况量化,每个测评项根据现场测评时获取的证据,得到一个符合性情况,根据评价指标集{符合、部分符合、基本符合、不适用},判定每个测评项的符合情况,并进行赋值,计为xk,,采用(0,0.5,1)打分制,即符合得1分,部分符合得5分,不符合得0分。
扣分权重,本次算分公式在基准分(或)的基础上对不符合项和部分符合项进行扣分,扣到小于0分时,不再进行扣分,每个测评项的基础分为100/n,当存在不符合项和部分符合项时需结合测评项的重要程度(即19版中的测评项权重,权重值代表一般,0.7代表重要,1代表关键)进行扣分,此处引入一个扣分程度系数函数,即
f(wk)取值会导致测评项权重为1的不符合项被扣掉较多的分,以第三级系统为例,当不存在不适用项时,每个测评项基准分0.47分,权重为1的测评项出现一个不符合,被扣掉1.41分,按70分以上合格,技术层面需达35分,技术层面共96个测评项,如出现11项权重为1的不符合项,综合得分将低于35分,因此在安全建设时应避免不符合项(高风险项)出现。
来源:freebuf.com 2021-06-17 10:11:10 by: 艾尔等保之道
请登录后发表评论
注册