信息安全技術網絡安全等級保護測評要求

1. 出臺背景及目的

《信息安全技術 網絡安全等級保護測評要求》（GB/T 28448-2019）（以下簡稱“《測評要求》”和/或“GB/T 28448-2019”）規定了不同級別的等級保護對象的安全測評通用要求和安全測評擴展要求。適用于安全測評服務機構、等級保護對象的運營使用單位及主管部門對等級保護對象的安全狀況進行安全測評并提供指南，也適用于網絡安全職能部門進行網絡安全等級保護監督檢查時參考使用。

《測評要求》的出臺替代了《信息安全技術 信息系統安全等級保護測評要求》。細化了單項測評的規定、增加了等級測評的拓展要求，并對測評力度進行了更嚴格的規定。

2.《測評要求》測評方法及其框架

等級測評實施的基本方法是針對特定的測評對象，采用相關的測評手段，遵從一定的測評規程，獲取需要的證據數據，給出是否達到特定級別安全保護能力的評判。具體方法有：

訪談

測評人員通過引導等級保護對象相關人員進行有目的的（有針對性的）交流以幫助測評人員理解、澄清或取得證據的過程。

核查

測評人員通過對測評對象（如制度文檔、各類設備及相關安全配置等）進行觀察、查驗和分析，幫助測評人員理解、澄清或取得證據的過程。

測試

測評人員使用預定的方法／工具使測評對象（各類設備或安全配置）產生特定的結果，將運行結果與預期的結果進行比對的過程。

單項測評

針對各安全要求項的測評，支持測評結果的可重復性和可再現性。單項測評由測評指標、測評對象、測評實施和單元判定結果構成。在對每一要求項進行測評時，可能用到訪談、核查和測試三種測評方法，也可能用到其中一種或兩種。

整體測評

在單項測評基礎上，對等級保護對象整體安全保護能力的判斷。整體安全保護能力從縱深防護和措施互補兩個角度評判。整體測評包括安全控制點測評、安全控制點間測評和區域間測評。

3.對不同安全保護等級的測評力度有不同要求

《測評要求》對不同安全保護等級的測評力度有不同要求，這主要體現在測評工作的廣度和深度上。安全保護等級越高，測評廣度就越大，深度就越深。其中，所謂測評廣度越大，指的是測評需要在更多細節上開展，測試要求也更嚴格。所謂測評深度越廣，指的是測評實施包含的測評對象更多。具體來說：

4. 單項測評與整體測評的基本內容

單項測評針對安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理和（或）安全管理中心進行測評，測評的內容根據安全保護等級不同而有所不同，包括但不限于對防盜竊和防破壞、邊界防護、可信驗證、身份鑒別、數據備份恢復、服務供應商管理、安全意識教育和培訓、安全事件處置、安全審計、數據保密性、資產管理等內容的測評。

整體測評主要從安全控制點、安全控制點間和區域間等方面進行測評和綜合安全分析，從而給出等級測評結論。

5. 等級測評報告結果

等級測評報告會對測評結果中的不符合項或部分符合項進行風險分析，評估其所產生的安全問題被威脅利用的可能性，并判斷其被威脅利用后對業務信息安全和系統服務安全造成影響的程度。最終，等級測評報告會給出等級保護對象的等級測評結論，確認等級保護對象達到相應等級保護要求的程度。其中，

符合，是指定級對象中未發現安全問題，等級測評結果中所有測評項的單項測評結果中部分符合和不符合項的統計結果全為0，綜合得分為100分。

基本符合，是指定級對象中存在安全問題，部分符合和不符合項的統計結果不全為0，但存在的安全問題不會導致定級對象面臨高等級安全風險，且綜合得分不低于閾值。

不符合，是指定級對象中存在安全問題，部分符合項和不符合項的統計結果不全為0，且存在的安全問題會導致定級對象面臨高等級安全風險，或中低風險所占比例超過閾值。