現(xiàn)在全國(guó)注冊(cè)信息安全等級(jí)測(cè)評(píng)師已達(dá)5000余人，每年參加近萬(wàn)個(gè)信息系統(tǒng)的安全測(cè)評(píng)作業(yè)，測(cè)評(píng)師隊(duì)伍已經(jīng)成為國(guó)家網(wǎng)絡(luò)安全保障作業(yè)的一支重要力氣。測(cè)評(píng)師和測(cè)評(píng)組織展開(kāi)作業(yè)所根據(jù)的重要規(guī)范便是本期的《網(wǎng)絡(luò)安全等級(jí)維護(hù)測(cè)評(píng)要求第1部分：安全通用要求》，后續(xù)針對(duì)測(cè)評(píng)師的規(guī)范專(zhuān)題訓(xùn)練也將于下一階段打開(kāi)，敬請(qǐng)重視。

《網(wǎng)絡(luò)安全等級(jí)維護(hù)測(cè)評(píng)要求 第1部分：安全通用要求》解讀

為什么要修訂

《網(wǎng)絡(luò)安全等級(jí)維護(hù)測(cè)評(píng)要求》

國(guó)家規(guī)范GB/T 28448－2012《信息安全技能 信息系統(tǒng)安全等級(jí)維護(hù)測(cè)評(píng)要求》在我國(guó)網(wǎng)絡(luò)安全等級(jí)維護(hù)作業(yè)展開(kāi)進(jìn)程中發(fā)揮了重要的指導(dǎo)效果，被廣泛運(yùn)用于等級(jí)維護(hù)測(cè)評(píng)組織、各個(gè)行業(yè)和范疇展開(kāi)網(wǎng)絡(luò)安全等級(jí)維護(hù)的等級(jí)測(cè)評(píng)和安全自查等相關(guān)作業(yè)。GB/T 28448自2012年發(fā)布以來(lái)，跟著信息技能的展開(kāi)，在規(guī)范運(yùn)用進(jìn)程中特別是云核算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技能、新運(yùn)用環(huán)境下也遇到了一些新的問(wèn)題，GB/T 28448－2012在適用性、時(shí)效性、易用性、可操作性上需求進(jìn)一步完善。此外，作為測(cè)評(píng)目標(biāo)進(jìn)行引證的GB/T 22239－2008也啟動(dòng)了修訂作業(yè)。為習(xí)慣我國(guó)網(wǎng)絡(luò)安全等級(jí)維護(hù)作業(yè)展開(kāi)的需求，進(jìn)一步與新版的GB/T 22239相和諧，有必要對(duì)GB/T 28448－2012進(jìn)行修訂。

GB/T 28448《信息安全技能 網(wǎng)絡(luò)安全等級(jí)維護(hù)測(cè)評(píng)要求》（以下簡(jiǎn)稱(chēng)“測(cè)評(píng)要求”）將依照運(yùn)用的范疇劃分成安全通用要求和詳細(xì)范疇的安全擴(kuò)展測(cè)評(píng)要求?，F(xiàn)在方案發(fā)布以下部分：

——第1部分：安全通用要求；

——第2部分：云核算安全擴(kuò)展要求；

——第3部分：移動(dòng)互聯(lián)安全擴(kuò)展要求；

——第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求；

——第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求；

——第6部分：大數(shù)據(jù)安全擴(kuò)展要求。

《測(cè)評(píng)要求第1部分：安全通用要求》
首要修訂內(nèi)容

根據(jù)全國(guó)信息安全規(guī)范化技能委員會(huì)2013年10月下達(dá)的國(guó)家規(guī)范制修訂方案，公安部第三研究所（公安部信息安全等級(jí)維護(hù)評(píng)價(jià)中心）牽頭組織了對(duì)GB/T 28448-2012的修訂作業(yè)。

在前期先對(duì)GB/T 22239進(jìn)行修訂的同時(shí)，研究確定了《測(cè)評(píng)要求》修訂技能思路。待GB/T22239構(gòu)成草案后，同步開(kāi)始修訂《測(cè)評(píng)要求》。修訂經(jīng)歷了調(diào)查研究、草案構(gòu)成、征求意見(jiàn)稿、送審稿等進(jìn)程，也收到了許多專(zhuān)家、各行業(yè)用戶及七大部委的許多寶貴意見(jiàn)。為便于我們更好地了解和運(yùn)用新規(guī)范體系，提早向我們介紹以下對(duì)原國(guó)家規(guī)范GB/T 28448-2012修訂的一些首要內(nèi)容。

 1  等級(jí)測(cè)評(píng)技能結(jié)構(gòu)的變化
等級(jí)測(cè)評(píng)技能結(jié)構(gòu)由原規(guī)范的單元測(cè)評(píng)和全體測(cè)評(píng)調(diào)整為單項(xiàng)測(cè)評(píng)和全體測(cè)評(píng)。

單項(xiàng)測(cè)評(píng)是針對(duì)各安全要求項(xiàng)的測(cè)評(píng)，支撐測(cè)評(píng)結(jié)果的可重復(fù)性和可再現(xiàn)性。本規(guī)范中單項(xiàng)測(cè)評(píng)由測(cè)評(píng)目標(biāo)、測(cè)評(píng)目標(biāo)、測(cè)評(píng)施行和單元判定構(gòu)成。修訂后的單項(xiàng)測(cè)評(píng)中測(cè)評(píng)目標(biāo)更加細(xì)化，由原規(guī)范中的安全控制點(diǎn)調(diào)整為安全控制點(diǎn)下的詳細(xì)安全要求項(xiàng)，更有助于測(cè)評(píng)施行的展開(kāi)。

全體測(cè)評(píng)是在單項(xiàng)測(cè)評(píng)基礎(chǔ)上，對(duì)等級(jí)維護(hù)目標(biāo)全體安全維護(hù)能力的判別。全體測(cè)評(píng)內(nèi)容由原規(guī)范的安全控制點(diǎn)間、層面間和區(qū)域間測(cè)評(píng)等方面調(diào)整為現(xiàn)規(guī)范的安全控制點(diǎn)測(cè)評(píng)、安全控制點(diǎn)間測(cè)評(píng)和層面間測(cè)評(píng)。

別的，為了更好使組織測(cè)評(píng)人員清晰測(cè)評(píng)作業(yè)的效果目標(biāo)，在測(cè)評(píng)單元中增加測(cè)評(píng)目標(biāo)。測(cè)評(píng)目標(biāo)是指等級(jí)測(cè)評(píng)進(jìn)程中不同測(cè)評(píng)辦法效果的目標(biāo)，首要涉及相關(guān)配套準(zhǔn)則文檔、設(shè)備設(shè)備及人員等。

 2 規(guī)范內(nèi)容的變化
測(cè)評(píng)要求沿襲正在修訂中的《網(wǎng)絡(luò)安全等級(jí)維護(hù)定級(jí)攻略》GB/T 22240提出的“等級(jí)維護(hù)目標(biāo)”概念，并給出針對(duì)等級(jí)維護(hù)目標(biāo)的安全等級(jí)維護(hù)測(cè)評(píng)的界說(shuō)。

根據(jù)GB/T 22239.1規(guī)范文本架構(gòu)，測(cè)評(píng)要求描繪了如何從物理和環(huán)境安全、網(wǎng)絡(luò)和通訊安全、設(shè)備和核算安全、運(yùn)用和數(shù)據(jù)安全、安全策略和辦理準(zhǔn)則、安全辦理組織和人員、安全建造辦理、安全運(yùn)維辦理等八個(gè)層面進(jìn)行測(cè)評(píng)施行作業(yè)。

為了更加易于運(yùn)用測(cè)評(píng)要求，增加《附錄B 測(cè)評(píng)單元編號(hào)說(shuō)明》和《附錄D 基本要求和測(cè)評(píng)要求對(duì)應(yīng)表》。

附錄B給出了測(cè)評(píng)單元編碼規(guī)矩和專(zhuān)用縮略語(yǔ)，測(cè)評(píng)單元編號(hào)為三組數(shù)據(jù)，格局為XX-XXXX-XX，各組含義和編碼規(guī)矩如下：

1）第1組由兩位組成，第1位為字母L，第2位為數(shù)字，其中數(shù)字1為榜首級(jí)，2為第二級(jí)，3為第三級(jí)，4為第四級(jí)，5為第五級(jí)。

2）第2組由4位組成，前3位為字母，第4位為數(shù)字。字母代表層面：PES為物理和環(huán)境安全， NCS為網(wǎng)絡(luò)和通訊安全，ECS為設(shè)備和核算安全，ADS為運(yùn)用和數(shù)據(jù)安全，PSS為安全策略和辦理準(zhǔn)則，ORS為安全辦理組織和人員，CMS為安全建造辦理，MMS為安全運(yùn)維辦理。數(shù)字代表規(guī)范分冊(cè)：1為榜首分冊(cè)，2為第二分冊(cè)，3為第三分冊(cè)，4為第四分冊(cè)，5為第五分冊(cè)，6為第六分冊(cè)。

3）第3組由2位數(shù)字組成，按層面臨基本要求中的要求項(xiàng)進(jìn)行順序編號(hào)。

示例：測(cè)評(píng)單元編號(hào)為L(zhǎng)1-PES1-01，代表源自基本要求第1部分的榜首級(jí)物理和環(huán)境安全類(lèi)的第1個(gè)目標(biāo)。

為了方便組織測(cè)評(píng)人員進(jìn)行現(xiàn)場(chǎng)等級(jí)測(cè)評(píng)作業(yè)，增加附錄D基本要求的要求項(xiàng)和測(cè)評(píng)要求的單元測(cè)評(píng)對(duì)應(yīng)表，便于組織測(cè)評(píng)人員檢索和索引。

 3 測(cè)評(píng)要求在級(jí)差上的變化
不同等級(jí)的測(cè)評(píng)作業(yè)首要經(jīng)過(guò)以下四個(gè)方面來(lái)體現(xiàn)測(cè)評(píng)要求的級(jí)差：

1）不同等級(jí)運(yùn)用不同測(cè)評(píng)辦法：榜首級(jí)首要以訪談為主進(jìn)行等級(jí)測(cè)評(píng)，第二級(jí)以核對(duì)為主進(jìn)行等級(jí)測(cè)評(píng)，第三級(jí)和第四級(jí)在核對(duì)基礎(chǔ)上還要進(jìn)行測(cè)驗(yàn)驗(yàn)證作業(yè)。不同等級(jí)運(yùn)用不同測(cè)評(píng)辦法，能體現(xiàn)出測(cè)評(píng)施行進(jìn)程中訪談、核對(duì)和測(cè)驗(yàn)的測(cè)評(píng)強(qiáng)度的不同。

2）不同等級(jí)測(cè)評(píng)目標(biāo)規(guī)模不同：榜首級(jí)和第二級(jí)測(cè)評(píng)目標(biāo)的規(guī)模為關(guān)鍵設(shè)備，第三級(jí)為首要設(shè)備，第四級(jí)為一切設(shè)備。不同等級(jí)測(cè)評(píng)目標(biāo)規(guī)模不同，能體現(xiàn)出測(cè)評(píng)施行進(jìn)程中訪談、核對(duì)和測(cè)驗(yàn)的測(cè)評(píng)廣度的不同。

3）不同等級(jí)現(xiàn)場(chǎng)測(cè)評(píng)施行作業(yè)不同：榜首級(jí)和二級(jí)以核對(duì)安全機(jī)制為主，第三級(jí)和第四級(jí)先核對(duì)安全機(jī)制，再核對(duì)安全策略有效性。

4）現(xiàn)場(chǎng)測(cè)評(píng)辦法運(yùn)用不同：在實(shí)際現(xiàn)場(chǎng)測(cè)評(píng)施行進(jìn)程中，安全技能方面的測(cè)評(píng)辦法以配置核對(duì)和測(cè)驗(yàn)驗(yàn)證為主，幾乎沒(méi)有訪談。安全辦理方面能夠運(yùn)用訪談方式進(jìn)行測(cè)評(píng)。