現(xiàn)在全國注冊信息安全等級(jí)測評(píng)師已達(dá)5000余人，每年參加近萬個(gè)信息系統(tǒng)的安全測評(píng)作業(yè)，測評(píng)師隊(duì)伍已經(jīng)成為國家網(wǎng)絡(luò)安全保障作業(yè)的一支重要力氣。測評(píng)師和測評(píng)組織展開作業(yè)所根據(jù)的重要規(guī)范便是本期的《網(wǎng)絡(luò)安全等級(jí)維護(hù)測評(píng)要求第1部分：安全通用要求》，后續(xù)針對測評(píng)師的規(guī)范專題訓(xùn)練也將于下一階段打開，敬請重視。

《網(wǎng)絡(luò)安全等級(jí)維護(hù)測評(píng)要求 第1部分：安全通用要求》解讀

為什么要修訂

《網(wǎng)絡(luò)安全等級(jí)維護(hù)測評(píng)要求》

國家規(guī)范GB/T 28448－2012《信息安全技能 信息系統(tǒng)安全等級(jí)維護(hù)測評(píng)要求》在我國網(wǎng)絡(luò)安全等級(jí)維護(hù)作業(yè)展開進(jìn)程中發(fā)揮了重要的指導(dǎo)效果，被廣泛運(yùn)用于等級(jí)維護(hù)測評(píng)組織、各個(gè)行業(yè)和范疇展開網(wǎng)絡(luò)安全等級(jí)維護(hù)的等級(jí)測評(píng)和安全自查等相關(guān)作業(yè)。GB/T 28448自2012年發(fā)布以來，跟著信息技能的展開，在規(guī)范運(yùn)用進(jìn)程中特別是云核算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技能、新運(yùn)用環(huán)境下也遇到了一些新的問題，GB/T 28448－2012在適用性、時(shí)效性、易用性、可操作性上需求進(jìn)一步完善。此外，作為測評(píng)目標(biāo)進(jìn)行引證的GB/T 22239－2008也啟動(dòng)了修訂作業(yè)。為習(xí)慣我國網(wǎng)絡(luò)安全等級(jí)維護(hù)作業(yè)展開的需求，進(jìn)一步與新版的GB/T 22239相和諧，有必要對GB/T 28448－2012進(jìn)行修訂。

GB/T 28448《信息安全技能 網(wǎng)絡(luò)安全等級(jí)維護(hù)測評(píng)要求》（以下簡稱“測評(píng)要求”）將依照運(yùn)用的范疇劃分成安全通用要求和詳細(xì)范疇的安全擴(kuò)展測評(píng)要求?，F(xiàn)在方案發(fā)布以下部分：

——第1部分：安全通用要求；

——第2部分：云核算安全擴(kuò)展要求；

——第3部分：移動(dòng)互聯(lián)安全擴(kuò)展要求；

——第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求；

——第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求；

——第6部分：大數(shù)據(jù)安全擴(kuò)展要求。

《測評(píng)要求第1部分：安全通用要求》
首要修訂內(nèi)容

根據(jù)全國信息安全規(guī)范化技能委員會(huì)2013年10月下達(dá)的國家規(guī)范制修訂方案，公安部第三研究所（公安部信息安全等級(jí)維護(hù)評(píng)價(jià)中心）牽頭組織了對GB/T 28448-2012的修訂作業(yè)。

在前期先對GB/T 22239進(jìn)行修訂的同時(shí)，研究確定了《測評(píng)要求》修訂技能思路。待GB/T22239構(gòu)成草案后，同步開始修訂《測評(píng)要求》。修訂經(jīng)歷了調(diào)查研究、草案構(gòu)成、征求意見稿、送審稿等進(jìn)程，也收到了許多專家、各行業(yè)用戶及七大部委的許多寶貴意見。為便于我們更好地了解和運(yùn)用新規(guī)范體系，提早向我們介紹以下對原國家規(guī)范GB/T 28448-2012修訂的一些首要內(nèi)容。

 1  等級(jí)測評(píng)技能結(jié)構(gòu)的變化
等級(jí)測評(píng)技能結(jié)構(gòu)由原規(guī)范的單元測評(píng)和全體測評(píng)調(diào)整為單項(xiàng)測評(píng)和全體測評(píng)。

單項(xiàng)測評(píng)是針對各安全要求項(xiàng)的測評(píng)，支撐測評(píng)結(jié)果的可重復(fù)性和可再現(xiàn)性。本規(guī)范中單項(xiàng)測評(píng)由測評(píng)目標(biāo)、測評(píng)目標(biāo)、測評(píng)施行和單元判定構(gòu)成。修訂后的單項(xiàng)測評(píng)中測評(píng)目標(biāo)更加細(xì)化，由原規(guī)范中的安全控制點(diǎn)調(diào)整為安全控制點(diǎn)下的詳細(xì)安全要求項(xiàng)，更有助于測評(píng)施行的展開。

全體測評(píng)是在單項(xiàng)測評(píng)基礎(chǔ)上，對等級(jí)維護(hù)目標(biāo)全體安全維護(hù)能力的判別。全體測評(píng)內(nèi)容由原規(guī)范的安全控制點(diǎn)間、層面間和區(qū)域間測評(píng)等方面調(diào)整為現(xiàn)規(guī)范的安全控制點(diǎn)測評(píng)、安全控制點(diǎn)間測評(píng)和層面間測評(píng)。

別的，為了更好使組織測評(píng)人員清晰測評(píng)作業(yè)的效果目標(biāo)，在測評(píng)單元中增加測評(píng)目標(biāo)。測評(píng)目標(biāo)是指等級(jí)測評(píng)進(jìn)程中不同測評(píng)辦法效果的目標(biāo)，首要涉及相關(guān)配套準(zhǔn)則文檔、設(shè)備設(shè)備及人員等。

 2 規(guī)范內(nèi)容的變化
測評(píng)要求沿襲正在修訂中的《網(wǎng)絡(luò)安全等級(jí)維護(hù)定級(jí)攻略》GB/T 22240提出的“等級(jí)維護(hù)目標(biāo)”概念，并給出針對等級(jí)維護(hù)目標(biāo)的安全等級(jí)維護(hù)測評(píng)的界說。

根據(jù)GB/T 22239.1規(guī)范文本架構(gòu)，測評(píng)要求描繪了如何從物理和環(huán)境安全、網(wǎng)絡(luò)和通訊安全、設(shè)備和核算安全、運(yùn)用和數(shù)據(jù)安全、安全策略和辦理準(zhǔn)則、安全辦理組織和人員、安全建造辦理、安全運(yùn)維辦理等八個(gè)層面進(jìn)行測評(píng)施行作業(yè)。

為了更加易于運(yùn)用測評(píng)要求，增加《附錄B 測評(píng)單元編號(hào)說明》和《附錄D 基本要求和測評(píng)要求對應(yīng)表》。

附錄B給出了測評(píng)單元編碼規(guī)矩和專用縮略語，測評(píng)單元編號(hào)為三組數(shù)據(jù)，格局為XX-XXXX-XX，各組含義和編碼規(guī)矩如下：

1）第1組由兩位組成，第1位為字母L，第2位為數(shù)字，其中數(shù)字1為榜首級(jí)，2為第二級(jí)，3為第三級(jí)，4為第四級(jí)，5為第五級(jí)。

2）第2組由4位組成，前3位為字母，第4位為數(shù)字。字母代表層面：PES為物理和環(huán)境安全， NCS為網(wǎng)絡(luò)和通訊安全，ECS為設(shè)備和核算安全，ADS為運(yùn)用和數(shù)據(jù)安全，PSS為安全策略和辦理準(zhǔn)則，ORS為安全辦理組織和人員，CMS為安全建造辦理，MMS為安全運(yùn)維辦理。數(shù)字代表規(guī)范分冊：1為榜首分冊，2為第二分冊，3為第三分冊，4為第四分冊，5為第五分冊，6為第六分冊。

3）第3組由2位數(shù)字組成，按層面臨基本要求中的要求項(xiàng)進(jìn)行順序編號(hào)。

示例：測評(píng)單元編號(hào)為L1-PES1-01，代表源自基本要求第1部分的榜首級(jí)物理和環(huán)境安全類的第1個(gè)目標(biāo)。

為了方便組織測評(píng)人員進(jìn)行現(xiàn)場等級(jí)測評(píng)作業(yè)，增加附錄D基本要求的要求項(xiàng)和測評(píng)要求的單元測評(píng)對應(yīng)表，便于組織測評(píng)人員檢索和索引。

 3 測評(píng)要求在級(jí)差上的變化
不同等級(jí)的測評(píng)作業(yè)首要經(jīng)過以下四個(gè)方面來體現(xiàn)測評(píng)要求的級(jí)差：

1）不同等級(jí)運(yùn)用不同測評(píng)辦法：榜首級(jí)首要以訪談為主進(jìn)行等級(jí)測評(píng)，第二級(jí)以核對為主進(jìn)行等級(jí)測評(píng)，第三級(jí)和第四級(jí)在核對基礎(chǔ)上還要進(jìn)行測驗(yàn)驗(yàn)證作業(yè)。不同等級(jí)運(yùn)用不同測評(píng)辦法，能體現(xiàn)出測評(píng)施行進(jìn)程中訪談、核對和測驗(yàn)的測評(píng)強(qiáng)度的不同。

2）不同等級(jí)測評(píng)目標(biāo)規(guī)模不同：榜首級(jí)和第二級(jí)測評(píng)目標(biāo)的規(guī)模為關(guān)鍵設(shè)備，第三級(jí)為首要設(shè)備，第四級(jí)為一切設(shè)備。不同等級(jí)測評(píng)目標(biāo)規(guī)模不同，能體現(xiàn)出測評(píng)施行進(jìn)程中訪談、核對和測驗(yàn)的測評(píng)廣度的不同。

3）不同等級(jí)現(xiàn)場測評(píng)施行作業(yè)不同：榜首級(jí)和二級(jí)以核對安全機(jī)制為主，第三級(jí)和第四級(jí)先核對安全機(jī)制，再核對安全策略有效性。

4）現(xiàn)場測評(píng)辦法運(yùn)用不同：在實(shí)際現(xiàn)場測評(píng)施行進(jìn)程中，安全技能方面的測評(píng)辦法以配置核對和測驗(yàn)驗(yàn)證為主，幾乎沒有訪談。安全辦理方面能夠運(yùn)用訪談方式進(jìn)行測評(píng)。