等级测评工作需要依据国家标准或行业标准进行测评,标准的最重要作用之一就是测评结果的客观公正性,不同的人应该可以实现测评工作的可重复性,即不同的人依据标准,应该得到的测评结果是相同的。再一个是可重现性,同一个人测同一个系统,应该能够再现测评结果,这个能力的体现在对测评标准项的理解上。如果不能充分理解测评标准,是无法保证测评结果的客观公正性,无法重复测评结果。如果无法实现测评结果的可再现性、可重复性,那么测评结果的可重用性也就此打折扣,自然也降低了其经济性。测评机构应当依据《信息安全技术 网络安全等级保护基本要求》(以下简称《基本要求》)、《信息安全技术 网络安全等级保护测评要求》(以下简称《测评要求》)、《信息安全技术 网络安全等级保护测评过程指南》(以下简称《测评过程指南》)、《信息安全技术 网络安全等级保护测试评估技术指南》(以下简称《评估技术指南》)等国家标准进行等级测评,按照公安部统一制定的《网络安全等级测评报告模版(2019版)》(公信安[2014]2866号)格式出具测评报告。按照行业标准规范开展安全建设整改的网络,以国家标准为依据开展等级测评,有行业指导文件的还需要遵循行业标准规范为依据开展等级测评。《测评要求》与《基本要求》相适应,提出了测评指标、测评实施和结果判定三部分内容。测评指标直接指向《基本要求》相应等级的基本要求,在内容,测评指标与相应的基本要求完全一致;测评实施描述测评过程中涉及的具体测评方法和需要实施的测评步骤;结果判定描述测评人员执行测评实施过程完毕并产生各种测评证据后,依据这些测评证据判定被测系统是否满足测评指标要求的原则。《测评要求》将等级测评分为单项测评和整体测评两部分。单项测评是指针对各安全要求项的测评,支持测评结果的可重复性和可再现性。现标准中单项测评由测评指标、测评对象、测评实施和单元判定构成。整体测评是指在单项测评基础上,对等级保护对象整体安全保护能力的判断。《信息安全技术 网络安全等级保护测评过程指南》为网络安全等级测评工作建立了一套标准的测评过程,同时对网络安全等级测评的工作任务、分析方法、工作产品等提出了指导性建议,以规范和指导网络安全等级测评工作,从而使得不同测评机构实施的网络安全等级测评过程、工作产品和测评结果更一致,更具有可比性、可重复性和可再现性。
《测评过程指南》给出了测评准备活动、方案编制活动、现场测评活动、报告编制活动。每个阶段又分别定义了工作任务、输入、输出、文档内容、测评机构和测评委托单位双方职责等内容。每个活动又细分不同的实现等。等级测评是一项可以由不同测评机构实施的标准符合性测评工作。《测评过程指南》规定了开展该工作的基本过程、流程、任务及工作产品等,以规范测评机构的等级测评工作,与《测评要求》共同指导和规范等级测评工作。《测评过程指南》指导使用者如何开展等级测评,以及在等级测评过程中如何正确使用《测评要求》中的具体测评方法、步骤和判断依据等。
《测评要求》主要描述了各级信息系统单元测评的具体测评要求和测评流程,《测评过程指南》则主要对等级测评的活动、工作任务以及每项任务的输入/输出产品等提出指导性建议,二者均未涉及安全测评中具体的测试方法和技术;
《信息安全技术 网络安全等级保护测试评估技术指南》(以下简称《评估技术指南》)对信息系统安全测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述系统测评的技术方法,概述技术性安全测试和评估的关键要素,重点放在具体技术的实现功能、原则等,并提出建议供使用。在应用于系统等级保护测评时可作为对《测评要求》和《测评过程指南》的补充。
等级保护测评人员、系统和网络管理员,及其他负责系统安全技术的技术人员可以作为参考,《评估技术指南》规定了信息系统安全等级测评过程中现场测评阶段涉及的相关技术。是测评机构、信息系统的主管部门及运营使用单位对重要信息系统的安全等级测评,为信息系统的安全等级测评工作的技术规范性提供方法依据。也可以用于管理者促进与信息系统安全等级保护测试评估相关的技术决策过程。
测评有关标准不局限于测评机构使用,单位在每年自查工作中也可以参考使用。所以自查结果与测评结果,理论上应该保持基本一致,若想要实现等级保护测评结果的再现性、可重复性,做到客观公正。需要对等级测评系统有个深入了解,对测评要求和测评相关标准精准把握。既不能教条主义,也不能胡乱解读,这个度其实把控起来是非常难的。被测评单位需要正确认知测评是什么,不能唯分论或有强求包过的心理。在测评过程中,实事求是展现系统本来面貌的,那些认知不端正的个别单位,总认为可以拿到一纸挡箭牌最终风险隐患依然在,出了安全事件或事故,监管机关依然会依法予以处罚的。
