2015版测评报告计算过程.doc

上传人:99****p 文档编号:1500658 上传时间:2019-03-03 格式:DOC 页数:9 大小:161.50KB
下载 相关 举报
2015版测评报告计算过程.doc_第1页
第1页 / 共9页
2015版测评报告计算过程.doc_第2页
第2页 / 共9页
2015版测评报告计算过程.doc_第3页
第3页 / 共9页
2015版测评报告计算过程.doc_第4页
第4页 / 共9页
2015版测评报告计算过程.doc_第5页
第5页 / 共9页
点击查看更多>>
资源描述

1、广西网信信息安全等级保护测评有限公司,如有错漏,请指教。1.1 物理安全1.1.1 结 果 记 录测评对象 安全控制点 测评指标 结果记录 符合程度A 项). 机房位置合理 5物理位置的选择B 项) . 机房无用水设施 5物理访问控制机房 1A 项). 机房设置在顶楼 4物理位置的选择B 项) .机房有水管穿过,没有采取封闭措施。2物理访问控制机房 2A 项).机房在办公大楼中层,办公大楼建筑年限过久,没有防震证明。3物理位置的选择B 项) .机房有水管穿过,但已采取封闭措施。4物理访问控制机房 3广西网信信息安全等级保护测评有限公司,如有错漏,请指教。1.1.2 结 果 汇 总针对不同安全控

2、制点对单个测评对象在物理安全层面的单项测评结果进行汇总和统计。表 4-1 物理安全-单元测评结果汇总表安全控制点序号测评对象符合情况 物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁屏蔽符合 2部分符合 0不符合 01 机房1不适用 0符合 0部分符合 2不符合 02 机房2不适用 0符合 0部分符合 2不符合 03 机房3不适用 0广西网信信息安全等级保护测评有限公司,如有错漏,请指教。1.1.3 控 制 点 符 合 情 况 汇 总根据附录 A 中测评项的符合程度得分,以算术平均法合并多个测评对象在同一测评项的得分,得到各测评项的多对象平均分。根据测评

3、项权重(参见附件测评项权重赋值表,其他情况的权重赋值另行发布),以加权平均合并同一安全控制点下的所有测评项的符合程度得分,并按照控制点得分计算公式得到各安全控制点的 5 分制得分。控制点得分 ,n 为同一控制点下的测评项数,不含不适用的控制点和测评项。以表格形式汇总测评结果,表格以不同颜色对测评结果进行区分,部分符合(安全控制点得分在 0 分和 5 分之间,不等于 0 分或 5 分)的安全控制点采用黄色标识,不符合(安全控制点得分为 0 分)的安全控制点采用红色标识。表 4-* 单元测评结果分类统计表符合情况序号安全层面 安全控制点安全控制点得分 符合 部分符合 不符合 不适用1 物理位置的选

4、择 3.77 2 物理访问控制3 防盗窃和防破坏4物理安全防雷击序号 控制点得分计算过程实例1三级“物理安全”-“物理位置选择”控制点有 AB 两个测评项,测评了三个机房,A 项得分分别为 5、4、3,B 项分别得分是 5、2、4。(见 4.1.1 章节)控制点得分计算过程如下:1)计算各测评项的多对象平均分A 项的多对象平均分=(5+4+3)/3=4广西网信信息安全等级保护测评有限公司,如有错漏,请指教。B 项的多对象平均分=(5+2+4)/3=3.672)所有测评项的多对象平均分的加权之和(查表得知 A 项权重 0.2,B 项权重0.5)4*0.2+3.67*0.5=0.8+1.84=2.

5、643)计算测评项的权重和:0.2+0.5=0.74)计算控制点的得分2.64/0.7=3.77因此,三级“物理安全”-“物理位置选择”控制点的得分是 3.77,结果为“部分符合”。(上述计算过程中,计算结果四舍五入后取到小数点后 2 位。)序号 控制点得分计算过程实例 2(有不适用项)1三级“物理安全”-“物理位置选择”控制点有 AB 两个测评项,测评了三个机房,A 项得分分别为 5、4、不适用,B 项分别得分是 5、2、 4。控制点得分计算过程如下:1)计算各测评项的多对象平均分A 项的多对象平均分=(5+4)/2=4.5B 项的多对象平均分=(5+2+4)/3=3.672)所有测评项的多

6、对象平均分的加权之和(查表得知 A 项权重 0.2,B 项权重0.5)4.5*0.2+3.67*0.5=0.9+1.84=2.743)计算测评项的权重算术平均分:0.2+0.5=0.74)计算控制点的得分2.74/0.7=3.91因此,三级“物理安全”-“物理位置选择”控制点的得分是 3.91,结果为“部分符合”。广西网信信息安全等级保护测评有限公司,如有错漏,请指教。(上述计算过程中,计算结果四舍五入后取到小数点后 2 位。)1.1.4 安 全 问 题 汇 总针对单元测评结果中存在的部分符合项或不符合项加以汇总,形成安全问题列表并计算其严重程度值。依其严重程度取值为 15,最严重的取值为 5

7、。安全问题严重程度值是基于对应的测评项权重并结合附录 A 中对应测评项的符合程度进行的。具体计算公式如下:安全问题严重程度值=(5-测评项符合程度得分)测评项权重。表 4-4 安全问题汇总表问题编号 安全问题 测评对象 安全层面安全控制点测评项测评项权重 问题严重程度值1机房设置在顶楼机房 2 物理安全物理位置选择A 项 . 0.2 (5-4)*0.2=0.22机房有水管穿过,没有采取封闭措施。机房 2 物理安全物理位置选择B 项. 0.5 (5-2)*0.5=1.53机房在办公大楼中层,办公大楼建筑年限过久,没有防震证明。机房 3 物理安全物理位置选择A 项 . 0.2 (5-3)*0.2=

8、0.44机房有水管穿过,但已采取封闭措施。机房 3 物理安全物理位置选择B 项. 0.5 (5-4)*0.5=0.51.2 整体测评结果汇总根据整体测评结果,修改安全问题汇总表中的问题严重程度值及对应的修正后测评项符合程度得分,并形成修改后的安全问题汇总表(仅包括有所修正广西网信信息安全等级保护测评有限公司,如有错漏,请指教。的安全问题)。可根据整体测评安全控制措施对安全问题的弥补程度将修正因子设为 0.50.9。修正后问题严重程度值 1=修正前的问题严重程度值修正因子。修正后测评项符合程度=5-修正后问题严重程度值/ 测评项权重。表 5-1 修正后的安全问题汇总表 2序号问题编号 3 安全问

9、题描述测评项权重整体测评描述修正因子修正后问题严重程度值修正后测评项符合程度1 1 机房设置在顶楼 0.2 Xxxx 0.9 0.2*0.9=0.18 5-0.18/0.2=5-0.9=4.12 2机房有水管穿过,没有采取封闭措施。 0.5 Xxxx 0.9 1.5*0.9=1.35 5-1.35/0.5=5-2.7=2.33 3机房在办公大楼中层,办公大楼建筑年限过久,没有防震证明。0.2 Xxxx / / /0.5 0.5*0.5=0.25 5-0.25/0.5=5-0.5=4.54 4机房有水管穿过,但已采取封闭措施。 0.5 Xxxx0.9 0.5*0.9=0.45 5-0.45/0.

10、5=5-0.9=4.1(根据上表行四选择不同的调节因子后的分数结果可知:问题获得的弥补性越强,选择的修正因子越小! 即:单项分数要高,调节因子要选小! )(问题 3 无法获得弥补,测评项得分维持不变! 如果强行进行修正,修正后得分为负分!)即:“物理安全”-“物理位置选择”控制点的最终测评结果为测评对象安全控制点 测评指标 结果记录 符合程度(调整前)符合程度(调整后)机房 1物理位置的选择A 项). 机房位置合理 5 51问题严重程度值最高为 5。2该处仅列出问题严重程度有所修正的安全问题。3该处编号与 4.12.2 安全问题汇总表中的问题编号一一对应。广西网信信息安全等级保护测评有限公司,

11、如有错漏,请指教。B 项) . 机房无用水设施 5 5物理访问控制A 项). 机房设置在顶楼 4 4.1物理位置的选择 B 项) .机房有水管穿过,没有采取封闭措施。2 2.3物理访问控制机房 2A 项).机房在办公大楼中层,办公大楼建筑年限过久,没有防震证明。3 3物理位置的选择B 项) .机房有水管穿过,但已采取封闭措施。4 4.5物理访问控制机房 32 总 体 安 全 状 况 分 析2.1 系统安全保障评估以表格形式汇总被测信息系统已采取的安全保护措施情况,并综合附录 A中的测评项符合程度得分以及 5.5 章节中的修正后测评项符合程度得分(有修Comment H1: 计算方式参考 4.1

12、.2章节;未调整前分数为 3.77分。Comment H2: 蓝色分数为模拟数据广西网信信息安全等级保护测评有限公司,如有错漏,请指教。正的测评项以 5.5章节中的修正后测评项符合程度得分带入计算),以算术平均法合并多个测评对象在同一测评项的得分,得到各测评项的多对象平均分。根据测评项权重(见附件测评项权重赋值表,其他情况的权重赋值另行发布),以加权平均合并同一安全控制点下的所有测评项的符合程度得分,并按照控制点得分计算公式得到各安全控制点的 5分制得分。计算公式为:控制点得分 ,n 为同一控制点下的测评项数,不含不适用的控制点和测评项。以算术平均合并同一安全层面下的所有安全控制点得分,并转换

13、为安全层面的百分制得分。根据表格内容描述被测信息系统已采取的有效保护措施和存在的主要安全问题情况。表 6-1系统安全保障情况得分表序号 安全层面 安全控制点 安全控制点得分 安全层面得分1 物理位置的选择 3.962 物理访问控制3 防盗窃和防破坏4 防雷击5 防火6 防水和防潮7 防静电8 温湿度控制9 电力供应10物理安全电磁防护11 结构安全 4.1112网络安全访问控制 4.50共 7个控制点,但有一个控制点为不适用,因此:6个控制点总得分 26.17平均分为 26.17/6=4.36广西网信信息安全等级保护测评有限公司,如有错漏,请指教。序号 安全层面 安全控制点 安全控制点得分 安

14、全层面得分13 安全审计 5.0014 边界完整性检查 不适用15 入侵防范 4.8016 恶意代码防范 3.2517 网络设备防护 4.51转换为百分制后得分为4.36*20=87.2网络安全层面得分为 87.2 分2.2 等级测评结论综合上述几章节的测评与风险分析结果,根据符合性判别依据给出等级测评结论,并计算信息系统的综合得分。等级测评结论应表述为“符合、“基本符合” 或者“不符合”。结论判定及综合得分计算方式见下表:测评结论 符合性判别依据 综合得分计算公式符合信息系统中未发现安全问题,等级测评结果中所有测评项得分均为 5 分。100 分基本符合信息系统中存在安全问题,但不会导致信息系统面临高等级安全风险。,p 为总测评项数,不含不适用的控制点和测评项,有修正的测评项以5.5 章节中的修正后测评项符合程度得分带入计算。不符合信息系统中存在安全问题,而且会导致信息系统面临高等级安全风险。,l 为安全问题数,p 为总测评项数,不含不适用的控制点和测评项。注:修正后问题严重程度赋值结果取多对象中针对同一测评项的最大值。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育教学资料库 > 课件讲义

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。