2015版测评报告计算过程

  • 格式:doc
  • 大小:169.00 KB
  • 文档页数:12

1.1物理安全1.1.1结果记录测评对象安全控制点测评指标结果记录符合程度机房1 物理位置的选择A项)....... 机房位置合理 5B项)....... 机房无用水设施 5 物理访问控制…机房2 物理位置的选择A项)....... 机房设置在顶楼 4B项).......机房有水管穿过,没有采取封闭措施。

2 物理访问控制…机房3 物理位置的选择A项).......机房在办公大楼中层,办公大楼建筑年限过久,没有防震证明。

3B项).......机房有水管穿过,但已采取封闭措施。

4 物理访问控制…1.1.2结果汇总针对不同安全控制点对单个测评对象在物理安全层面的单项测评结果进行汇总和统计。

表4-1物理安全-单元测评结果汇总表序号测评对象符合情况安全控制点物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁屏蔽1 机房1 符合 2部分符合0 不符合0 不适用2 机房2 符合0部分符合2 不符合0 不适用3 机房3 符合0部分符合2 不符合序号测评对象符合情况安全控制点物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁屏蔽不适用1.1.3控制点符合情况汇总根据附录A中测评项的符合程度得分,以算术平均法合并多个测评对象在同一测评项的得分,得到各测评项的多对象平均分。

根据测评项权重(参见附件《测评项权重赋值表》,其他情况的权重赋值另行发布),以加权平均合并同一安全控制点下的所有测评项的符合程度得分,并按照控制点得分计算公式得到各安全控制点的5分制得分。

控制点得分错误!未找到引用源。

,n为同一控制点下的测评项数,不含不适用的控制点和测评项。

以表格形式汇总测评结果,表格以不同颜色对测评结果进行区分,部分符合(安全控制点得分在0分和5分之间,不等于0分或5分)的安全控制点采用黄色标识,不符合(安全控制点得分为0分)的安全控制点采用红色标识。

表4-* 单元测评结果分类统计表序号安全层面安全控制点安全控制点得分符合情况符合部分符合不符合不适用1物理安全物理位置的选择 3.77√2 物理访问控制3 防盗窃和防破坏4 防雷击序号控制点得分计算过程实例1三级“物理安全”-“物理位置选择”控制点有AB两个测评项,测评了三个机房,A项得分分别为5、4、3,B项分别得分是5、2、4。

(见4.1.1章节)控制点得分计算过程如下:1)计算各测评项的多对象平均分A项的多对象平均分=(5+4+3)/3=4B项的多对象平均分=(5+2+4)/3=3.672)所有测评项的多对象平均分的加权之和(查表得知A项权重0.2,B项权重0.5)4*0.2+3.67*0.5=0.8+1.84=2.643)计算测评项的权重和:0.2+0.5=0.74)计算控制点的得分2.64/0.7=3.77因此,三级“物理安全”-“物理位置选择”控制点的得分是3.77,结果为“部分符合”。

(上述计算过程中,计算结果四舍五入后取到小数点后2位。

)序号控制点得分计算过程实例2(有不适用项)1三级“物理安全”-“物理位置选择”控制点有AB两个测评项,测评了三个机房,A项得分分别为5、4、不适用,B项分别得分是5、2、4。

控制点得分计算过程如下:1)计算各测评项的多对象平均分A项的多对象平均分=(5+4)/2=4.5B项的多对象平均分=(5+2+4)/3=3.672)所有测评项的多对象平均分的加权之和(查表得知A项权重0.2,B项权重0.5)4.5*0.2+3.67*0.5=0.9+1.84=2.743)计算测评项的权重算术平均分:0.2+0.5=0.74)计算控制点的得分2.74/0.7=3.91因此,三级“物理安全”-“物理位置选择”控制点的得分是3.91,结果为“部分符合”。

(上述计算过程中,计算结果四舍五入后取到小数点后2位。

)1.1.4安全问题汇总针对单元测评结果中存在的部分符合项或不符合项加以汇总,形成安全问题列表并计算其严重程度值。

依其严重程度取值为1~5,最严重的取值为5。

安全问题严重程度值是基于对应的测评项权重并结合附录A中对应测评项的符合程度进行的。

具体计算公式如下:安全问题严重程度值=(5-测评项符合程度得分)×测评项权重。

表4-4安全问题汇总表问题编号安全问题测评对象安全层面安全控制点测评项测评项权重问题严重程度值1机房设置在顶楼机房2 物理安全物理位置选择A项... 0.2 (5-4)*0.2=0.22机房有水管穿过,没有采取封闭措施。

机房2 物理安全物理位置选择B项... 0.5 (5-2)*0.5=1.53 机房在办公大机房3 物理安全物理位A项... 0.2 (5-3)*0.2=0.4问题编号安全问题测评对象安全层面安全控制点测评项测评项权重问题严重程度值楼中层,办公大楼建筑年限过久,没有防震证明。

置选择4机房有水管穿过,但已采取封闭措施。

机房3 物理安全物理位置选择B项... 0.5 (5-4)*0.5=0.51.2整体测评结果汇总根据整体测评结果,修改安全问题汇总表中的问题严重程度值及对应的修正后测评项符合程度得分,并形成修改后的安全问题汇总表(仅包括有所修正的安全问题)。

可根据整体测评安全控制措施对安全问题的弥补程度将修正因子设为0.5~0.9。

修正后问题严重程度值1=修正前的问题严重程度值×修正因子。

修正后测评项符合程度=5-修正后问题严重程度值/测评项权重。

1问题严重程度值最高为5。

表5-1修正后的安全问题汇总表2序号问题编号3安全问题描述测评项权重整体测评描述修正因子修正后问题严重程度值修正后测评项符合程度1 1机房设置在顶楼0.2 Xxxx 0.9 0.2*0.9=0.18 5-0.18/0.2=5-0.9=4.12 2 机房有水管穿过,没有采取封闭措施。

0.5 Xxxx 0.9 1.5*0.9=1.35 5-1.35/0.5=5-2.7=2.33 3机房在办公大楼中层,办公大楼建筑年限过久,没有防震证明。

0.2 Xxxx / / /4 4 机房有水管穿过,但已采取封闭措施。

0.5 Xxxx 0.5 0.5*0.5=0.25 5-0.25/0.5=5-0.5=4.50.9 0.5*0.9=0.45 5-0.45/0.5=5-0.9=4.1(根据上表行四选择不同的调节因子后的分数结果可知:问题获得的弥补性越强,选择的修正因子越小!!即:单项分数要高,调节因子要选小!)(问题3无法获得弥补,测评项得分维持不变!如果强行进行修正,修正后得分为负分!!)2该处仅列出问题严重程度有所修正的安全问题。

3该处编号与4.12.2安全问题汇总表中的问题编号一一对应。

即:“物理安全”-“物理位置选择”控制点的最终测评结果为测评对象安全控制点测评指标结果记录符合程度(调整前)符合程度(调整后)机房1 物理位置的选择A项)....... 机房位置合理 5 5B项)....... 机房无用水设施 5 5 物理访问控制…机房2 物理位置的选择A项)....... 机房设置在顶楼 4 4.1B项).......机房有水管穿过,没有采取封闭措施。

2 2.3 物理访问控制…机房3 物理位置的选择A项).......机房在办公大楼中层,办公大楼建筑年限过久,没有防震证明。

3 3B项).......机房有水管穿过,但已采取封闭措施。

4 4.5 物理访问控制…2总体安全状况分析2.1系统安全保障评估以表格形式汇总被测信息系统已采取的安全保护措施情况,并综合附录A 中的测评项符合程度得分以及5.5章节中的修正后测评项符合程度得分(有修正的测评项以5.5章节中的修正后测评项符合程度得分带入计算),以算术平均法合并多个测评对象在同一测评项的得分,得到各测评项的多对象平均分。

根据测评项权重(见附件《测评项权重赋值表》,其他情况的权重赋值另行发布),以加权平均合并同一安全控制点下的所有测评项的符合程度得分,并按照控制点得分计算公式得到各安全控制点的5分制得分。

计算公式为:控制点得分错误!未找到引用源。

,n为同一控制点下的测评项数,不含不适用的控制点和测评项。

以算术平均合并同一安全层面下的所有安全控制点得分,并转换为安全层面的百分制得分。

根据表格内容描述被测信息系统已采取的有效保护措施和存在的主要安全问题情况。

表6-1系统安全保障情况得分表序号安全层面安全控制点安全控制点得分安全层面得分1物理安全物理位置的选择 3.962 物理访问控制3 防盗窃和防破坏4 防雷击5 防火6 防水和防潮7 防静电8 温湿度控制9 电力供应10 电磁防护11网络安全结构安全 4.11共7个控制点,但有一个控制点为不适用,因此:6个控制点总得分26.17平均分为26.17/6=4.36转换为百分制后得分为4.36*20=87.2网络安全层面得分为87.2分12 访问控制 4.5013 安全审计 5.0014 边界完整性检查不适用15 入侵防范 4.8016 恶意代码防范 3.2517网络设备防护 4.512.2等级测评结论综合上述几章节的测评与风险分析结果,根据符合性判别依据给出等级测评结论,并计算信息系统的综合得分。

等级测评结论应表述为“符合、“基本符合”或者“不符合”。

结论判定及综合得分计算方式见下表:测评结论符合性判别依据综合得分计算公式符合信息系统中未发现安全问题,等级测评结果中所有测评项得分均为5分。

100分基本符合信息系统中存在安全问题,但不会导致信息系统面临高等级安全风险。

错误!未找到引用源。

,p为总测评项数,不含不适用的控制点和测评项,有修正的测评项以5.5章节中的修正后测评项符合程度得分带入计算。

不符合信息系统中存在安全问题,而且会导致信息系统面临高等级安全风险。

错误!未找到引用源。

,l为安全问题数,p为总测评项数,不含不适用的控制点和测评项。

注:修正后问题严重程度赋值结果取多对象中针对同一测评项的最大值。