現(xiàn)在全國注冊信息安全等級測評師已達5000余人，每年參加近萬個信息系統(tǒng)的安全測評作業(yè)，測評師隊伍已經(jīng)成為國家網(wǎng)絡(luò)安全保障作業(yè)的一支重要力氣。測評師和測評組織展開作業(yè)所根據(jù)的重要規(guī)范便是本期的《網(wǎng)絡(luò)安全等級維護測評要求第1部分：安全通用要求》，后續(xù)針對測評師的規(guī)范專題訓(xùn)練也將于下一階段打開，敬請重視。

《網(wǎng)絡(luò)安全等級維護測評要求 第1部分：安全通用要求》解讀

為什么要修訂

《網(wǎng)絡(luò)安全等級維護測評要求》

國家規(guī)范GB/T 28448－2012《信息安全技能 信息系統(tǒng)安全等級維護測評要求》在我國網(wǎng)絡(luò)安全等級維護作業(yè)展開進程中發(fā)揮了重要的指導(dǎo)效果，被廣泛運用于等級維護測評組織、各個行業(yè)和范疇展開網(wǎng)絡(luò)安全等級維護的等級測評和安全自查等相關(guān)作業(yè)。GB/T 28448自2012年發(fā)布以來，跟著信息技能的展開，在規(guī)范運用進程中特別是云核算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技能、新運用環(huán)境下也遇到了一些新的問題，GB/T 28448－2012在適用性、時效性、易用性、可操作性上需求進一步完善。此外，作為測評目標進行引證的GB/T 22239－2008也啟動了修訂作業(yè)。為習(xí)慣我國網(wǎng)絡(luò)安全等級維護作業(yè)展開的需求，進一步與新版的GB/T 22239相和諧，有必要對GB/T 28448－2012進行修訂。

GB/T 28448《信息安全技能 網(wǎng)絡(luò)安全等級維護測評要求》（以下簡稱“測評要求”）將依照運用的范疇劃分成安全通用要求和詳細范疇的安全擴展測評要求?，F(xiàn)在方案發(fā)布以下部分：

——第1部分：安全通用要求；

——第2部分：云核算安全擴展要求；

——第3部分：移動互聯(lián)安全擴展要求；

——第4部分：物聯(lián)網(wǎng)安全擴展要求；

——第5部分：工業(yè)控制系統(tǒng)安全擴展要求；

——第6部分：大數(shù)據(jù)安全擴展要求。

《測評要求第1部分：安全通用要求》
首要修訂內(nèi)容

根據(jù)全國信息安全規(guī)范化技能委員會2013年10月下達的國家規(guī)范制修訂方案，公安部第三研究所（公安部信息安全等級維護評價中心）牽頭組織了對GB/T 28448-2012的修訂作業(yè)。

在前期先對GB/T 22239進行修訂的同時，研究確定了《測評要求》修訂技能思路。待GB/T22239構(gòu)成草案后，同步開始修訂《測評要求》。修訂經(jīng)歷了調(diào)查研究、草案構(gòu)成、征求意見稿、送審稿等進程，也收到了許多專家、各行業(yè)用戶及七大部委的許多寶貴意見。為便于我們更好地了解和運用新規(guī)范體系，提早向我們介紹以下對原國家規(guī)范GB/T 28448-2012修訂的一些首要內(nèi)容。

 1  等級測評技能結(jié)構(gòu)的變化
等級測評技能結(jié)構(gòu)由原規(guī)范的單元測評和全體測評調(diào)整為單項測評和全體測評。

單項測評是針對各安全要求項的測評，支撐測評結(jié)果的可重復(fù)性和可再現(xiàn)性。本規(guī)范中單項測評由測評目標、測評目標、測評施行和單元判定構(gòu)成。修訂后的單項測評中測評目標更加細化，由原規(guī)范中的安全控制點調(diào)整為安全控制點下的詳細安全要求項，更有助于測評施行的展開。

全體測評是在單項測評基礎(chǔ)上，對等級維護目標全體安全維護能力的判別。全體測評內(nèi)容由原規(guī)范的安全控制點間、層面間和區(qū)域間測評等方面調(diào)整為現(xiàn)規(guī)范的安全控制點測評、安全控制點間測評和層面間測評。

別的，為了更好使組織測評人員清晰測評作業(yè)的效果目標，在測評單元中增加測評目標。測評目標是指等級測評進程中不同測評辦法效果的目標，首要涉及相關(guān)配套準則文檔、設(shè)備設(shè)備及人員等。

 2 規(guī)范內(nèi)容的變化
測評要求沿襲正在修訂中的《網(wǎng)絡(luò)安全等級維護定級攻略》GB/T 22240提出的“等級維護目標”概念，并給出針對等級維護目標的安全等級維護測評的界說。

根據(jù)GB/T 22239.1規(guī)范文本架構(gòu)，測評要求描繪了如何從物理和環(huán)境安全、網(wǎng)絡(luò)和通訊安全、設(shè)備和核算安全、運用和數(shù)據(jù)安全、安全策略和辦理準則、安全辦理組織和人員、安全建造辦理、安全運維辦理等八個層面進行測評施行作業(yè)。

為了更加易于運用測評要求，增加《附錄B 測評單元編號說明》和《附錄D 基本要求和測評要求對應(yīng)表》。

附錄B給出了測評單元編碼規(guī)矩和專用縮略語，測評單元編號為三組數(shù)據(jù)，格局為XX-XXXX-XX，各組含義和編碼規(guī)矩如下：

1）第1組由兩位組成，第1位為字母L，第2位為數(shù)字，其中數(shù)字1為榜首級，2為第二級，3為第三級，4為第四級，5為第五級。

2）第2組由4位組成，前3位為字母，第4位為數(shù)字。字母代表層面：PES為物理和環(huán)境安全， NCS為網(wǎng)絡(luò)和通訊安全，ECS為設(shè)備和核算安全，ADS為運用和數(shù)據(jù)安全，PSS為安全策略和辦理準則，ORS為安全辦理組織和人員，CMS為安全建造辦理，MMS為安全運維辦理。數(shù)字代表規(guī)范分冊：1為榜首分冊，2為第二分冊，3為第三分冊，4為第四分冊，5為第五分冊，6為第六分冊。

3）第3組由2位數(shù)字組成，按層面臨基本要求中的要求項進行順序編號。

示例：測評單元編號為L1-PES1-01，代表源自基本要求第1部分的榜首級物理和環(huán)境安全類的第1個目標。

為了方便組織測評人員進行現(xiàn)場等級測評作業(yè)，增加附錄D基本要求的要求項和測評要求的單元測評對應(yīng)表，便于組織測評人員檢索和索引。

 3 測評要求在級差上的變化
不同等級的測評作業(yè)首要經(jīng)過以下四個方面來體現(xiàn)測評要求的級差：

1）不同等級運用不同測評辦法：榜首級首要以訪談為主進行等級測評，第二級以核對為主進行等級測評，第三級和第四級在核對基礎(chǔ)上還要進行測驗驗證作業(yè)。不同等級運用不同測評辦法，能體現(xiàn)出測評施行進程中訪談、核對和測驗的測評強度的不同。

2）不同等級測評目標規(guī)模不同：榜首級和第二級測評目標的規(guī)模為關(guān)鍵設(shè)備，第三級為首要設(shè)備，第四級為一切設(shè)備。不同等級測評目標規(guī)模不同，能體現(xiàn)出測評施行進程中訪談、核對和測驗的測評廣度的不同。

3）不同等級現(xiàn)場測評施行作業(yè)不同：榜首級和二級以核對安全機制為主，第三級和第四級先核對安全機制，再核對安全策略有效性。

4）現(xiàn)場測評辦法運用不同：在實際現(xiàn)場測評施行進程中，安全技能方面的測評辦法以配置核對和測驗驗證為主，幾乎沒有訪談。安全辦理方面能夠運用訪談方式進行測評。