1 范围

     本标准规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。

      本标准适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南，也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。

      注：第五级等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全测评要求，所以不在本标准中进行描述。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB 17859-1999 计算机信息系统 安全保护等级划分准则

      GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求

      GB/T 25069 信息安全技术 术语

      GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求

      GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南

      GB/T 31167-2014 信息安全技术 云计算服务安全指南

      GB/T 31168-2014 信息安全技术 云计算服务安全能力要求

      GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南

3 术语和定义

      GB 17859-1999、GB/T 25069、GB/T 22239-2019、GB/T 25070-2019、GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T31167-2014和GB/T 31168-2014中的一些术语和定义。

3.1

      访谈 interview

      测评人员通过引导等级保护对象相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、澄清或取得证据的过程。

3.2

      核查 examine

      测评人员通过对测评对象（如制度文档、各类设备及相关安全配置等）进行观察、查验和分析，以帮助测评人员理解、澄清或取得证据的过程。

3.3

      测试 test

      测评人员使用预定的方法/工具使测评对象（各类设备或安全配置）产生特定的结果，将运行结果与

预期的结果进行比对的过程。

3.4

      评估 evaluate

      对测评对象可能存在的威胁及其可能产生的后果进行综合评价和预测的过程。

3.5

      测评对象 target of testing and evaluation

      等级测评过程中不同测评方法作用的对象，主要涉及相关配套制度文档、设备设施及人员等。

3.6

      等级测评 testing and evaluation for classified cybersecurity protection

      测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。

3.7

      云服务商 cloud service provider

      云计算服务的供应方。

      注：云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络交付云计算的资源。

      ［GB/T 31167-2014，定义3.3］

3.8

      云服务客户 cloud service customer

      为使用云计算服务同云服务商建立业务关系的参与方。

      ［GB/T 31168-2014，定义3.4］

3.9

      虚拟机监视器 hypervisor

      运行在基础物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享硬件。

3.10

      宿主机 host machine

      运行虚拟机监视器的物理服务器。

4 缩略语

      下列缩略语适用于本文件。

      AP：无线访问接入点（Wireless Access Point）

      APT：高级持续性威胁（Advanced Persistent Threat）

      DDoS：分布式拒绝服务（Distributed Denial of Service）

      SSID：服务集标识（Service Set Identifier）

      WEP：有线等效加密（Wired Equivalent Privacy）

      ViFi：无线保真（Wireless Fidelity）

      WPS:WiF 保护设置（Wi-FFi Protected Setup)

5 等级测评概述

5.1 等级测评方法

      等级测评实施的基本方法是针对特定的测评对象，采用相关的测评手段，遵从一定的测评规程，获取需要的证据数据，给出是否达到特定级别安全保护能力的评判。等级测评实施的详细流程和方法见

GB/T 28449-2018。

      本标准中针对每一个要求项的测评就构成一个单项测评，针对某个要求项的所有具体测评内容构成测评实施。单项测评中的每一个具体测评实施要求项（以下简称“测评要求项”）是与安全控制点下面所包括的要求项（测评指标）相对应的。在对每一要求项进行测评时，可能用到访谈、核查和测试三种测评方法，也可能用到其中一种或两种。测评实施的内容完全覆盖了GB/T 22239-2019及GB/T 25070-2019中所有要求项的测评要求，使用时应当从单项测评的测评实施中抽取出对于GB/T 22239-2019中每一个要求项的测评要求，并按照这些测评要求开发测评指导书，以规范和指导等级测评活动。

      根据调研结果，分析等级保护对象的业务流程和数据流，确定测评工作的范围。结合等级保护对象的安全级别，综合分析系统中各个设备和组件的功能和特性，从等级保护对象构成组件的重要性、安全性、共享性、全面性和恰当性等几方面属性确定技术层面的测评对象，并将与其相关的人员及管理文档确定为管理层面的测评对象。测评对象可以根据类别加以描述，包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档等。

      等级测评活动中涉及测评力度，包括测评广度（覆盖面）和测评深度（强弱度）。安全保护等级较高的测评实施应选择覆盖面更广的测评对象和更强的测评手段，可以获得可信度更高的测评证据，测评力度的具体描述参见附录A。

      每个级别测评要求都包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求5个部分。大数据可参考安全评估方法参见附录B。

5.2 单项测评和整体测评

      等级测评包括单项测评和整体测评。

      单项测评是针对各安全要求项的测评，支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定结果构成。为方便使用针对每个测评单元进行编号，具体描述见附录C。

      整体测评是在单项测评基础上，对等级保护对象整体安全保护能力的判断。整体安全保护能力从纵深防护和措施互补两个角度评判。

6 第一级测评要求

6.1 安全测评通用要求

6.1.1 安全物理环境

6.1.1.1 物理访问控制

6.1.1.1.1 测评单元（L1-PES1-01）

      该测评单元包括以下要求：

      a）测评指标：机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员。

      b）测评对象：机房电子门禁系统和值守记录。

      c）测评实施：应核查是否安排专人值守或配置电子门禁系统。

      d）单元判定：如果以上测评实施内容为肯定，则符合本测评单元指标要求，否则不符合本测评单元指标要求。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。