【等保专题】详解2021版等保测评报告模板变化与升级特点 |
您所在的位置:网站首页 › 综合测评个人报告模板范文 › 【等保专题】详解2021版等保测评报告模板变化与升级特点 |
缺陷2:各安全类权重一样,技术和管理各占50%,后续不能根据工作关注重点调整技术和管理的权重占比。 缺陷3:与新公式相比,2019版公式计算量大一些。 为解决这些缺陷问题, 《等保测评报告模板(2021版)》首先将公式改为缺陷扣分法,其次,技术和管理不再一定是各占50%,等级保护工作管理部门能够通过给出关注系数(y)调整技术、管理占比,最后,测评指标细分为一般、重要和关键,关键测评指标不符合将扣除3倍基准分,重要测评指标不符合扣除2倍基准分,一般测评指标不符合扣除1倍基准分。 《等保测评报告模板(2021版)》综合得分公式如下: 图1 2021版综合得分公式图 综合得分计算法在给予技术和管理不同得分占比灵活调整空间的基础上,更细化了针对测评项重要程度的得分比重,更真实有效的呈现网络安全现状。其中,多个测评对象的测评得分依据测评权重不同计算更为严格,具体算法举例如下: 图2 多测评项得分公式图 《等保测评报告模板(2021版)》等级保护测评结论结合综合得分结果及中、高风险因素,调整为优、良、中、差测评结果,具体如下表: 表1 等级保护测评结论评价表 其次,将数据作为独立测评对象,单独列出数据安全测评结果,突出各类数据安全防护情况。在2021新版报告里面,分别在正文3.4.6节和附录A.9中单独增加数据内容。附录A.9模板的填写说明为:以列表形式描述具有相近业务属性和安全需求的数据集合。数据资源一般包括鉴别数据、重要业务数据、重要审计数据、重要配置数据和重要个人信息等。安全防护需求一般从保密性、完整性等方面进行分析。 表2 附录A.9模板填写表 最后,删除控制点得分计算,保留控制点符合情况统计表,删除控制点得分计算。 图3 删除控制点得分图 格式类修订 《等保测评报告模板(2021版)》从整体结构上进行优化调整,规范报告编写及文件组织方式,格式类修订涉及10处内容,具体如下: 1.等级测评结论扩展表:明确其适用场景,给出表格填写说明,给出平台服务能力描述方式。 图4 等保测评结论扩展表 2.主要安全问题及整改建议:给出了本节内容编写示例,规范全国测评机构报告编写风格。 图5 主要安全问题及整改建议 3.不适用安全要求指标:明确不适用指标填写要求,给出了不适用安全要求指标表格。 图6 不适用安全要求指标 4.等级测评结论:给出了“优、良、中、差”四个等级测评结论编写示例,规范全国测评机构报告编写风格。 图7 等保测评结论 5.附录H和附录I:明确其适用场景,给出内容编写要求。 图8 附录H和附录I 6.测评对象选择结果:调整分类方式,明确填表要求。 图9 测评对象选择结果 7.验证测试:给出了漏扫和渗透的编写要求,给出了相关表格进行规范。 图10 验证测试 8.整体测评结果汇总:给出了整体测评编写要求,给出了相关表格进行规范。 图11 整体测评结果汇总 9.附录B上次测评问题整改情况:给出了本节内容编写要求,给出了相关表格进行规范。 图12 附录B上次测评问题整改情况 10. 附录D单项测评结果记录:给出了单项测评结果记录表格。 图13 附录D单项测评结果记录 说明类修订 《等保测评报告模板(2021版)》填写说明细化、规范了填写内容,具体示例如下所示: 图14 2019版与2021版总体评价说明内容修订对比图 修订影响 本次技术类修订影响较大,以等级保护三级为例,三级通用标准共有211个测评项,其中关键测评项39个,占比18%;重要测评项107个,占比51%;一般测评项65个,占比31%。整体上来看,如果超过二分之一的测评项不符合,测评就可能得“0”分。 有关部门列举相关场景进行2019版公式与2021版公式测评结果对比,具体如下所示: 图15 2019版公式与2021版公式测评场景示例 结果显示,在2021版公式测评结果下,均有不同程度分数降低,以为有关部门列举实际案例: 图16 2019版公式与2021版公式测评实际系统示例 总结 2021版测评计分标准中针对缺陷进行扣分的规定更加严格,而且对于“关键指标”和“重要指标”的不符合情况会加倍扣分。这一规定使得以往通过补偿措施、部分满足等方式达到“凑分过线”的做法已不可行,因此,企业在进行信息安全测评时不能单纯追求“凑分”,而要以业务安全为目标,从“技术”和“管力”两个方向系统地规划和执行安全措施,确保信息安全工作在全方位得到落实。 北京威努特技术有限公司以自主研发的全系列工控网络安全产品为基础,深度耦合业务安全运营需求,参照国内国际的标准技术体系规范,打造了网络安全与ICT融合的一体化解决方案,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家40+重要行业细分领域的客户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运营。其中多个项目标杆案例在满足行业合规要求的同时,等级保护测评均高分通过,方案有效性、产品稳定性、行业适配性得到行业充分验证,全球4000+行业客户的一致选择。 图17 全球4000+客户的一致选择 威努特简介 北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。 威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。 作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量! 稿件合作 微信:shushu1212返回搜狐,查看更多 |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |