2021年6月17日,GA部信息安全等级保护评估中心针对等保测评报告模板(2021版)主要修订的内容组织等保测评机构开展线上培训,要求等保测评机构自6月18日起针对建设过程中的测评项目就需要执行新的标准。
一、修订核心内容一览
在等保测评报告模板(2021版)中主要进行了三类修订:技术类(重大修订)、格式类(较大修订)和说明类(一般修订)。其中格式类修订主要是进一步规范了报告内容,例如提供表格编写示例等;说明类修订则是细化了报告相关内容的编写要求;而技术类修订属于重大修订,对其中大量内容进行了调整,与发布版相比差异较大。
技术类修订的内容主要可以分为以下三个方面。
1.调整综合得分计算公式
针对2019版公式综合得分偏高(集中在80分以上)、各安全类权重一样(技术和管理各占50%)、计算量较大三个缺陷,2021版公式设计思路如下:
主要变化体现在以下三个方面:
a、 2021版公式改为缺陷扣分法;
b、 技术和管理不再一定是各占50%,等级保护工作管理部门能够通过给出关注系数(y)调整技术、管理占比;
c、测评指标细分为一般、重要和关键,关键测评指标不符合将扣除3倍基准分,重要测评指标不符合扣除2倍基准分。
2.将数据作为独立测评对象
在等级测评报告模板(2021版)中将数据资源单列,并明确指出数据一般包括鉴别数据、业务数据、审计数据、配置数据和个人信息及大数据等。针对应用系统涉及的重要业务数据、重要个人信息和大数据资源,在等级测评报告中单列的数据资源小节中汇总测评证据,包括数据完整性、数据保密性、剩余信息保护、备份恢复和个人信息保护等。网络设备、安全设备、服务器和终端及系统管理软件/平台等所涉及的鉴别数据和重要配置数据分别在对应测评对象中汇总测评证据。
3.删除控制点得分计算
二、核心内容关联解读
在GA部此次举办的培训中列举了17个测评场景以及9个实例,相对于2019版公式,根据2021版公式所计算出的综合得分全部有不同程度的降低。甚至存在通过2019版公式计算得分在80分以上的,根据新版公式将无法通过等保测评!
自2019年12月1日等保2.0系列标准正式实施以来,新建网络和信息系统需要按照等保2.0系列标准要求开展建设工作,原有网络和信息系统运营者则重点关注等保1.0和2.0之间的区别开展整改工作。由于此次等保测评报告模板的修订,自6月18日之后国内所有测评机构都将按照新标准开展测评工作,这将直接影响到所有新建网络和信息系统的运营者如何开展等保建设工作。此外,在《网络安全等级保护条例》(征求意见稿)中明确指出“第三级以上网络的运营者应当每年开展一次网络安全等级测评”,面临网络和信息系统复测的运营者也需要考虑如果通过按照新版公式进行计算的测评。
从网络和信息系统运营者的角度来看此次等保测评模板的修订,主要的关注点在于关键测评指标、重要测评指标以及如何对数据资源进行测评。三级通用标准共有211个指标,其中关键指标137个,占比65%;重要指标71个,占比34%;一般指标3个,占比1%。整体上来看,如果超过三分之一的关键指标不符合,测评就可能得“0”分。从137个确定的关键指标结合客户开展等保建设工作中的实际情况,此次修订是突出强调在等保建设过程中加强以下方面:态势感知、高级威胁检测、数据库安全(数据库审计、数据库加密、数据库脱敏、数据库防火墙等)等。