安全資訊

現在全國注冊信息安全等級測評師已達5000余人，每年參加近萬(wàn)個(gè)信息系統的安全測評作業(yè)，測評師隊伍已經(jīng)成為國家網(wǎng)絡(luò )安全保障作業(yè)的一支重要力氣。測評師和測評組織展開(kāi)作業(yè)所根據的重要規范便是本期的《網(wǎng)絡(luò )安全等級維護測評要求第1部分：安全通用要求》，后續針對測評師的規范專(zhuān)題訓練也將于下一階段打開(kāi)，敬請重視。

《網(wǎng)絡(luò )安全等級維護測評要求 第1部分：安全通用要求》解讀

為什么要修訂

《網(wǎng)絡(luò )安全等級維護測評要求》

國家規范GB/T 28448－2012《信息安全技能 信息系統安全等級維護測評要求》在我國網(wǎng)絡(luò )安全等級維護作業(yè)展開(kāi)進(jìn)程中發(fā)揮了重要的指導效果，被廣泛運用于等級維護測評組織、各個(gè)行業(yè)和范疇展開(kāi)網(wǎng)絡(luò )安全等級維護的等級測評和安全自查等相關(guān)作業(yè)。GB/T 28448自2012年發(fā)布以來(lái)，跟著(zhù)信息技能的展開(kāi)，在規范運用進(jìn)程中特別是云核算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數據等新技能、新運用環(huán)境下也遇到了一些新的問(wèn)題，GB/T 28448－2012在適用性、時(shí)效性、易用性、可操作性上需求進(jìn)一步完善。此外，作為測評目標進(jìn)行引證的GB/T 22239－2008也啟動(dòng)了修訂作業(yè)。為習慣我國網(wǎng)絡(luò )安全等級維護作業(yè)展開(kāi)的需求，進(jìn)一步與新版的GB/T 22239相和諧，有必要對GB/T 28448－2012進(jìn)行修訂。

GB/T 28448《信息安全技能 網(wǎng)絡(luò )安全等級維護測評要求》（以下簡(jiǎn)稱(chēng)“測評要求”）將依照運用的范疇劃分成安全通用要求和詳細范疇的安全擴展測評要求?，F在方案發(fā)布以下部分：

——第1部分：安全通用要求；

——第2部分：云核算安全擴展要求；

——第3部分：移動(dòng)互聯(lián)安全擴展要求；

——第4部分：物聯(lián)網(wǎng)安全擴展要求；

——第5部分：工業(yè)控制系統安全擴展要求；

——第6部分：大數據安全擴展要求。

《測評要求第1部分：安全通用要求》
首要修訂內容

根據全國信息安全規范化技能委員會(huì )2013年10月下達的國家規范制修訂方案，公安部第三研究所（公安部信息安全等級維護評價(jià)中心）牽頭組織了對GB/T 28448-2012的修訂作業(yè)。

在前期先對GB/T 22239進(jìn)行修訂的同時(shí)，研究確定了《測評要求》修訂技能思路。待GB/T22239構成草案后，同步開(kāi)始修訂《測評要求》。修訂經(jīng)歷了調查研究、草案構成、征求意見(jiàn)稿、送審稿等進(jìn)程，也收到了許多專(zhuān)家、各行業(yè)用戶(hù)及七大部委的許多寶貴意見(jiàn)。為便于我們更好地了解和運用新規范體系，提早向我們介紹以下對原國家規范GB/T 28448-2012修訂的一些首要內容。

 1  等級測評技能結構的變化
等級測評技能結構由原規范的單元測評和全體測評調整為單項測評和全體測評。

單項測評是針對各安全要求項的測評，支撐測評結果的可重復性和可再現性。本規范中單項測評由測評目標、測評目標、測評施行和單元判定構成。修訂后的單項測評中測評目標更加細化，由原規范中的安全控制點(diǎn)調整為安全控制點(diǎn)下的詳細安全要求項，更有助于測評施行的展開(kāi)。

全體測評是在單項測評基礎上，對等級維護目標全體安全維護能力的判別。全體測評內容由原規范的安全控制點(diǎn)間、層面間和區域間測評等方面調整為現規范的安全控制點(diǎn)測評、安全控制點(diǎn)間測評和層面間測評。

別的，為了更好使組織測評人員清晰測評作業(yè)的效果目標，在測評單元中增加測評目標。測評目標是指等級測評進(jìn)程中不同測評辦法效果的目標，首要涉及相關(guān)配套準則文檔、設備設備及人員等。

 2 規范內容的變化
測評要求沿襲正在修訂中的《網(wǎng)絡(luò )安全等級維護定級攻略》GB/T 22240提出的“等級維護目標”概念，并給出針對等級維護目標的安全等級維護測評的界說(shuō)。

根據GB/T 22239.1規范文本架構，測評要求描繪了如何從物理和環(huán)境安全、網(wǎng)絡(luò )和通訊安全、設備和核算安全、運用和數據安全、安全策略和辦理準則、安全辦理組織和人員、安全建造辦理、安全運維辦理等八個(gè)層面進(jìn)行測評施行作業(yè)。

為了更加易于運用測評要求，增加《附錄B 測評單元編號說(shuō)明》和《附錄D 基本要求和測評要求對應表》。

附錄B給出了測評單元編碼規矩和專(zhuān)用縮略語(yǔ)，測評單元編號為三組數據，格局為XX-XXXX-XX，各組含義和編碼規矩如下：

1）第1組由兩位組成，第1位為字母L，第2位為數字，其中數字1為榜首級，2為第二級，3為第三級，4為第四級，5為第五級。

2）第2組由4位組成，前3位為字母，第4位為數字。字母代表層面：PES為物理和環(huán)境安全， NCS為網(wǎng)絡(luò )和通訊安全，ECS為設備和核算安全，ADS為運用和數據安全，PSS為安全策略和辦理準則，ORS為安全辦理組織和人員，CMS為安全建造辦理，MMS為安全運維辦理。數字代表規范分冊：1為榜首分冊，2為第二分冊，3為第三分冊，4為第四分冊，5為第五分冊，6為第六分冊。

3）第3組由2位數字組成，按層面臨基本要求中的要求項進(jìn)行順序編號。

示例：測評單元編號為L(cháng)1-PES1-01，代表源自基本要求第1部分的榜首級物理和環(huán)境安全類(lèi)的第1個(gè)目標。

為了方便組織測評人員進(jìn)行現場(chǎng)等級測評作業(yè)，增加附錄D基本要求的要求項和測評要求的單元測評對應表，便于組織測評人員檢索和索引。

 3 測評要求在級差上的變化
不同等級的測評作業(yè)首要經(jīng)過(guò)以下四個(gè)方面來(lái)體現測評要求的級差：

1）不同等級運用不同測評辦法：榜首級首要以訪(fǎng)談為主進(jìn)行等級測評，第二級以核對為主進(jìn)行等級測評，第三級和第四級在核對基礎上還要進(jìn)行測驗驗證作業(yè)。不同等級運用不同測評辦法，能體現出測評施行進(jìn)程中訪(fǎng)談、核對和測驗的測評強度的不同。

2）不同等級測評目標規模不同：榜首級和第二級測評目標的規模為關(guān)鍵設備，第三級為首要設備，第四級為一切設備。不同等級測評目標規模不同，能體現出測評施行進(jìn)程中訪(fǎng)談、核對和測驗的測評廣度的不同。

3）不同等級現場(chǎng)測評施行作業(yè)不同：榜首級和二級以核對安全機制為主，第三級和第四級先核對安全機制，再核對安全策略有效性。

4）現場(chǎng)測評辦法運用不同：在實(shí)際現場(chǎng)測評施行進(jìn)程中，安全技能方面的測評辦法以配置核對和測驗驗證為主，幾乎沒(méi)有訪(fǎng)談。安全辦理方面能夠運用訪(fǎng)談方式進(jìn)行測評。