概述
近年来,随着互联网的普及和信息化建设的推进,信息安全问题越来越受到重视。我国也相继出台了一系列信息保护法律法规及标准,其中等级保护标准是信息安全保障的重要基石。等级保护报告是等级保护认证的必要文件,随着技术和法规的不断发展,等级保护测评报告模板也在不断地修订和更新。
有关部门于2021年发布《等保测评报告模板(2021版)》并针对测评机构展开培训工作,2021年6月18日之后国内所有测评机构都将按照新测评计算标准开展测评工作,相对于2019版公式,根据2021版公式所计算出的综合得分全部有不同程度的降低,原有网络和信息系统面临复测不通过风险。
修订内容
《等保测评报告模板(2021版)》主要针对技术、格式、说明三个维度进行了整体修订,各维度修订意义及范围如下所述:
技术类修订:属于重大修订,与发布版存在较大差异,如计算公式、数据独立测评等。
格式类修订:属于较大修订,进一步规范报告内容,如提供表格编写示例等。
说明类修订:属于一般修订,细化报告相关内容编写要求。
技术类修订
本次技术类修订内容有调整综合得分计算公式、将数据作为独立测评对象、删除控制点得分计算三个方面。而对测评通过结果影响最大的是调整综合得分计算公式,对被测单位而言很可能面临同样被测系统往期高分通过,以修订后的标准复测不通过风险。
首先,调整综合得分计算公式,基于缺陷扣分法原理,引入关注系数,从技术和管理两方面计算综合得分。2019版公式采用最短距离法计算综合得分,分数反映的是指标加权符合率,但存在如下缺陷:
缺陷1:综合得分偏高,集中在80分以上,导致测评结论区分度不高,综合得分应有助于对中、良的判定。综合得分偏高原因分析如下:
1)单个测评项得分赋值不准确。
2)同一测评项不符合对象对综合得分的影响不明显。
缺陷2:各安全类权重一样,技术和管理各占50%,后续不能根据工作关注重点调整技术和管理的权重占比。
缺陷3:与新公式相比,2019版公式计算量大一些。
为解决这些缺陷问题,《等保测评报告模板(2021版)》首先将公式改为缺陷扣分法,其次,技术和管理不再一定是各占50%,等级保护工作管理部门能够通过给出关注系数(y)调整技术、管理占比,最后,测评指标细分为一般、重要和关键,关键测评指标不符合将扣除3倍基准分,重要测评指标不符合扣除2倍基准分,一般测评指标不符合扣除1倍基准分。《等保测评报告模板(2021版)》综合得分公式如下:
综合得分计算法在给予技术和管理不同得分占比灵活调整空间的基础上,更细化了针对测评项重要程度的得分比重,更真实有效的呈现网络安全现状。其中,多个测评对象的测评得分依据测评权重不同计算更为严格,具体算法举例如下:
《等保测评报告模板(2021版)》等级保护测评结论结合综合得分结果及中、高风险因素,调整为优、良、中、差测评结果,具体如下表:
其次,将数据作为独立测评对象,单独列出数据安全测评结果,突出各类数据安全防护情况。在2021新版报告里面,分别在正文3.4.6节和附录A.9中单独增加数据内容。附录A.9模板的填写说明为:以列表形式描述具有相近业务属性和安全需求的数据集合。数据资源一般包括鉴别数据、重要业务数据、重要审计数据、重要配置数据和重要个人信息等。安全防护需求一般从保密性、完整性等方面进行分析。
最后,删除控制点得分计算,保留控制点符合情况统计表,删除控制点得分计算。
格式类修订
《等保测评报告模板(2021版)》从整体结构上进行优化调整,规范报告编写及文件组织方式,格式类修订涉及10处内容,具体如下:
1.等级测评结论扩展表:明确其适用场景,给出表格填写说明,给出平台服务能力描述方式。
2.主要安全问题及整改建议:给出了本节内容编写示例,规范全国测评机构报告编写风格。
3.不适用安全要求指标:明确不适用指标填写要求,给出了不适用安全要求指标表格。
4.等级测评结论:给出了“优、良、中、差”四个等级测评结论编写示例,规范全国测评机构报告编写风格。
说明类修订
《等保测评报告模板(2021版)》填写说明细化、规范了填写内容,具体示例如下所示:
修订影响
本次技术类修订影响较大,以等级保护三级为例,三级通用标准共有211个测评项,其中关键测评项39个,占比18%;重要测评项107个,占比51%;一般测评项65个,占比31%。整体上来看,如果超过二分之一的测评项不符合,测评就可能得“0”分。
有关部门列举相关场景进行2019版公式与2021版公式测评结果对比,具体如下所示:
总结
2021版测评计分标准中针对缺陷进行扣分的规定更加严格,而且对于“关键指标”和“重要指标”的不符合情况会加倍扣分。这一规定使得以往通过补偿措施、部分满足等方式达到“凑分过线”的做法已不可行,因此,企业在进行信息安全测评时不能单纯追求“凑分”,而要以业务安全为目标,从“技术”和“管力”两个方向系统地规划和执行安全措施,确保信息安全工作在全方位得到落实。