2021年6月17日,信息安全等级保护评估中心针对等保测评报告模板(2021版)主要修订的内容组织等保测评机构开展线上培训,要求等保测评机构自6月18日起针对建设过程中的测评项目就需要执行新的标准。
一、调整综合得分计算公式
针对2019版公式综合得分偏高(集中在80分以上)、各安全类权重一样(技术和管理各占50%)、计算量较大三个缺陷,2021版公式设计思路如下:
主要变化体现在以下三个方面:
a、 2021版公式改为缺陷扣分法;
b、 技术和管理不再一定是各占50%,等级保护工作管理部门能够通过给出关注系数(y)调整技术、管理占比;
c、测评指标细分为一般、重要和关键,关键测评指标不符合将扣除3倍基准分,重要测评指标不符合扣除2倍基准分。
从这个例子可以看到,如果是关键测评指标不符合,扣分非常严重。假设一个系统大多数关键测评指标不符合,那么就会导致19版的分数换算到21版的分数就会变低。官方做了实验:
二、核心内容解读
在此次举办的培训中列举了17个测评场景以及9个实例,相对于2019版公式,根据2021版公式所计算出的综合得分全部有不同程度的降低。甚至存在通过2019版公式计算得分在80分以上的,根据新版公式将无法通过等保测评!
自2019年12月1日等保2.0系列标准正式实施以来,新建网络和信息系统需要按照等保2.0系列标准要求开展建设工作。由于此次等保测评报告模板的修订,自6月18日之后国内所有测评机构都将按照新标准开展测评工作,这将直接影响到所有新建网络和信息系统的运营者如何开展等保建设工作。此外,在《网络安全等级保护条例》(征求意见稿)中明确指出“第三级以上网络的运营者应当每年开展一次网络安全等级测评”,面临网络和信息系统复测的运营者也需要考虑如果通过按照新版公式进行计算的测评。
从网络和信息系统运营者的角度来看此次等保测评模板的修订,主要的关注点在于关键测评指标、重要测评指标以及如何对数据资源进行测评。三级通用标准共有211个指标,其中关键指标137个,占比65%;重要指标71个,占比34%;一般指标3个,占比1%。整体上来看,如果超过三分之一的关键指标不符合,测评就可能得“0”分。此次修订是突出强调在等保建设过程中加强以下方面:态势感知、高级威胁检测、数据库安全(数据库审计、数据库加密、数据库脱敏、数据库防火墙等)等。
三、小结
1.关键测评项基本上要整改到位,否则分数掉很快;
2.修改了多个测评对象的计算方式,原来投机的整改单个不符合项的漏洞被堵上了;
3.从修改后的扣分对比可以看到,整体上考虑多个测评对象中单个测评对象的符合情况,整体扣分减少,整体得分上升。
