信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求

1. 出臺背景及目的

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》（GB/T 28448-2019）（以下簡稱“《測評要求》”和/或“GB/T 28448-2019”）規(guī)定了不同級別的等級保護對象的安全測評通用要求和安全測評擴展要求。適用于安全測評服務(wù)機構(gòu)、等級保護對象的運營使用單位及主管部門對等級保護對象的安全狀況進行安全測評并提供指南，也適用于網(wǎng)絡(luò)安全職能部門進行網(wǎng)絡(luò)安全等級保護監(jiān)督檢查時參考使用。

《測評要求》的出臺替代了《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》。細化了單項測評的規(guī)定、增加了等級測評的拓展要求，并對測評力度進行了更嚴格的規(guī)定。

2.《測評要求》測評方法及其框架

等級測評實施的基本方法是針對特定的測評對象，采用相關(guān)的測評手段，遵從一定的測評規(guī)程，獲取需要的證據(jù)數(shù)據(jù)，給出是否達到特定級別安全保護能力的評判。具體方法有：

訪談

測評人員通過引導(dǎo)等級保護對象相關(guān)人員進行有目的的（有針對性的）交流以幫助測評人員理解、澄清或取得證據(jù)的過程。

核查

測評人員通過對測評對象（如制度文檔、各類設(shè)備及相關(guān)安全配置等）進行觀察、查驗和分析，幫助測評人員理解、澄清或取得證據(jù)的過程。

測試

測評人員使用預(yù)定的方法／工具使測評對象（各類設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，將運行結(jié)果與預(yù)期的結(jié)果進行比對的過程。

單項測評

針對各安全要求項的測評，支持測評結(jié)果的可重復(fù)性和可再現(xiàn)性。單項測評由測評指標、測評對象、測評實施和單元判定結(jié)果構(gòu)成。在對每一要求項進行測評時，可能用到訪談、核查和測試三種測評方法，也可能用到其中一種或兩種。

整體測評

在單項測評基礎(chǔ)上，對等級保護對象整體安全保護能力的判斷。整體安全保護能力從縱深防護和措施互補兩個角度評判。整體測評包括安全控制點測評、安全控制點間測評和區(qū)域間測評。

3.對不同安全保護等級的測評力度有不同要求

《測評要求》對不同安全保護等級的測評力度有不同要求，這主要體現(xiàn)在測評工作的廣度和深度上。安全保護等級越高，測評廣度就越大，深度就越深。其中，所謂測評廣度越大，指的是測評需要在更多細節(jié)上開展，測試要求也更嚴格。所謂測評深度越廣，指的是測評實施包含的測評對象更多。具體來說：

4. 單項測評與整體測評的基本內(nèi)容

單項測評針對安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理和（或）安全管理中心進行測評，測評的內(nèi)容根據(jù)安全保護等級不同而有所不同，包括但不限于對防盜竊和防破壞、邊界防護、可信驗證、身份鑒別、數(shù)據(jù)備份恢復(fù)、服務(wù)供應(yīng)商管理、安全意識教育和培訓(xùn)、安全事件處置、安全審計、數(shù)據(jù)保密性、資產(chǎn)管理等內(nèi)容的測評。

整體測評主要從安全控制點、安全控制點間和區(qū)域間等方面進行測評和綜合安全分析，從而給出等級測評結(jié)論。

5. 等級測評報告結(jié)果

等級測評報告會對測評結(jié)果中的不符合項或部分符合項進行風險分析，評估其所產(chǎn)生的安全問題被威脅利用的可能性，并判斷其被威脅利用后對業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成影響的程度。最終，等級測評報告會給出等級保護對象的等級測評結(jié)論，確認等級保護對象達到相應(yīng)等級保護要求的程度。其中，

符合，是指定級對象中未發(fā)現(xiàn)安全問題，等級測評結(jié)果中所有測評項的單項測評結(jié)果中部分符合和不符合項的統(tǒng)計結(jié)果全為0，綜合得分為100分。

基本符合，是指定級對象中存在安全問題，部分符合和不符合項的統(tǒng)計結(jié)果不全為0，但存在的安全問題不會導(dǎo)致定級對象面臨高等級安全風險，且綜合得分不低于閾值。

不符合，是指定級對象中存在安全問題，部分符合項和不符合項的統(tǒng)計結(jié)果不全為0，且存在的安全問題會導(dǎo)致定級對象面臨高等級安全風險，或中低風險所占比例超過閾值。