信息系统安全等级保护的测评指标，济南等保办理

三、测评指标 

二级基本要求：在一级基本要求的基础上，技术方面，二级要求在控制点上增加了物理位置的选择、防静电、电磁防护、网络安全审计、网络入侵防范、边界完整性检查、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信保密性以及数据保密性等NDI。管理方面，增加了审核和检查、管理制度的评审和修订、人员考核、密码管理、变更管理和应急预案管理等控制点。 

三级基本要求：在二级基本要求的基础上，技术方面，在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。管理方面，增加了系统备案、安全测评、监控管理和安全管理中心等控制点。 

四级基本要求：在三级基本要求的基础上，技术方面，在系统和应用层面控制点上增加了安全标记、可信路径。 

要求项增多，如对“身份鉴别”，一级要求“进行身份标识和鉴别”，二级增加要求“口令复杂度、登录失败保护等”，三级则要求“采用两种或两种以上组合的鉴别技术”。项目增加，要求增强。 

范围增大，如对物理安全的“防静电”，二级只要求“关键设备应采用必要的接地防静电措施”，三级则在对象的范围上发生了变化，为“主要设备应采用必要的接地防静电措施”。范围的扩大，表明了该要求项强度的增强。 

要求细化：如人员安全管理中的“安全意识教育和培训”，二级要求“应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训”，三级在对培训计划进行了进一步的细化，为“应针对不同岗位制定不同培训计划”，培训计划有了针对性，更符合各个岗位人员的实际需要。 

粒度细化：如网络安全中的“访问控制”，二级要求“控制粒度为网段级”，三级要求则将控制粒度细化，为“控制粒度为端口级”。由“网段级”到“端口级”，粒度上的细化，同样增强了要求的强度小百姓网。 

1、测评指标项数量 

网络安全等级保护指标主要有技术层面和管理层面组成。测评指标随着保护等级的增高而要求增加、范围增大、测评细化和力度细化。1～4级的测评指标数量如表1所示。 

表1  1～4级的测评指标数量 
2、不同保护等级的控制点对比 

技术层面主要包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复5类；管理层面主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5类。每个类别下面有若干控制点组成，如表2所示。控制点在1-4级测评标准中，数量分布如表3所示。 

表2  控制点分布 

表3  控制点在1～4级测评标准中的数量分布 
四、测评结果研判 

如何衡量给出最终测评结果，需要用到评估技术。在等级保护中，主要是通过量化手段进行测评分析。量化的好处在于保留符合性的特点、量化预期结果、量化判定标准、突出安全控制措施的效果验证、促进测评工具化等优点，便于数据展示和统计分析。 

1、结果研判步骤 

（1）单对象单测评项研判 

在等级保护测评中，单项测评项根据测评项的符合程度进行赋值，采取5分制。根据测评证据符合程度（可参考判分标准）给每个测评对象的每个测评项判分，分为0～5分，6种结果；对测评符合的项，单项量化结果为5分，如测评结果部分符合的情况，则单项量化结果为 1～4 分，不符合为 0 分xbaixing.com。针对每个测评对象对应的每个测评项，分析该测评项所对抗的威胁在被测系统中是否存在，如果不存在，则该测评项应标为不适用项。不适用项不进行计算和测评项的量化。 

（2）测评项权重赋值 

公安部联合多家测评机构，依据重要控制点和同一控制点下的重要测评项，将测评项分为三档权重，分别为1、0.5、0.2。 

（3）控制点分析与量化 

安全层面可能包括多个测评对象，因此控制点在计算时需要考虑测评项的多对象属性。安全控制点采用5分制得分。控制点得分为5分或0分，则对应该测评指标的单元测评结果为符合或不符合；控制点得分为 1、2、3、4 分，则对应该测评指标的单元测评结果为部分符合。控制点得分主要用于等级测评报告中控制点符合情况汇总。等级测评报告中要求以表格形式汇总测评结果，表格以不同颜色对测评结果进行区分，部分符合（安全控制点得分在0分和5分之间，不等于0分或5分）的安全控制点采用黄色标识，不符合（安全控制点得分为0分）的安全控制点采用红色标识。 

（4）问题严重程度值计算 

在等级保护测评报告中，需要针对单元测评结果中存在的部分符合项或不符合项加以汇总，形成安全问题汇总列表并计算其严重程度值。依其严重程度取值为1～5，最严重的取值为5。安全问题严重程度值是基于测评项权重、测评项的符合程度进行的小 百 姓 网。计算公式如下： 

（5）修正后的严重程度值和符合程度的计算 

基本出发点在于：针对存在的安全问题，分析与该测评项相关的其他测评项能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。 

在整体测评中，需要从安全控制间、层面间、区域间和验证测试等方面对单元测评的结果进行验证、分析和整体评价。在某个安全控制点或层面的安全问题，可以通过另一个或多个安全控制点或层面的安全设置进行加强或者弥补。因此，安全问题在修复后，需要给出修正后的问题严重程度值，并给出符合程度。 

在整体测评结果，修改安全问题汇总表中的问题严重程度值及对应的修正后测评项符合程度得分，并形成修改后的安全问题汇总表（注意：仅包括有所修正的安全问题）。根据整体测评安全控制措施，通常将安全问题的弥补程度的修正因子设为0.5～0.9。计算方法如下： 

（6）系统安全保障情况得分计算 

计算方法是以算术平均合并同一安全层面下的所有安全控制点得分，并转换为安全层面的百分制得分。等级保护的10个安全层面得分就是系统安全保障情况得分。 

2、测评整改结论和风险评估 

应在报告中针对系统存在的主要安全问题提出安全建设和整改意见。通过总结单元测评、整体测评、风险分析和评论中的相关缺陷，严格依据等级保护基本要求，提出切合工作实际的整改思路和方法。 

针对等级测评结果中存在的所有安全问题，结合关联资产和威胁分别分析安全危害，找出可能对信息系统、单位、社会及国家造成的最大安全危害（损失），并根据最大安全危害严重程度进一步确定信息系统面临的风险等级，结果为“高”、“中”或“低”x b a i x i n g c o m。并以列表形式给出等级测评发现安全问题以及风险分析和评价情况，其中，最大安全危害（损失）结果应结合安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等进行综合分析。在等保测评报告中指出，如风险值和评价相同，可填写多个关联资产。对于多个威胁关联同一个问题的情况，应分别填写。 

依据国家提供的报告标准，编制测评报告。如针对被测系统存在的安全隐患，从系统安全角度提出相应的改进建议，编制测评报告的安全建设整改建议部分。列表给出现场测评的文档清单和单项测评记录，以及对各个测评项的单项测评结果判定情况，编制测评报告的单元测评的结果记录和问题分析部分。 

五、谁来开展等级测评 

等级测评分为自测评和委托测评机构开展。测评机构是指具备本规范的基本条件，经能力评估和审核，由省级以上网络安全等级保护工作协调（领导）小组办公室推荐，从事测评工作的机构。省级以上等保办负责等级测评机构的审核和推荐工作。公安部网络安全等级保护评估中心负责测评机构的能力评估和培训工作。