等保2.0測評團隊組建、測評分工及測評過程管理

張穩

摘要：在信息安全等級保護測評1.0標準的工作模型基礎上，將管理條線合并，將兩技術條線相同測評內容歸一并劃分子條線，采用噴泉模型對測評工作宏觀建模，采用增量模型對技術子條線微觀建模，采用迭代模型對滲透測試全程建模，進而形成2.0標準的團隊組建、測評分工及測評過程管理模型。

關鍵詞：信息安全等級保護測評;1.0標準;2.0標準;團隊組建;測評分工;過程管理

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2020）11-0001-02

隨著2019年12月1日到來，公安部推出的信息安全等級保護2.0標準正式生效。如何在充分吸收利用1.0標準測評經驗的基礎上，全面推進落實2.0標準，是測評機構必須面對，而且必須完善解決的問題。在此，筆者結合我單位在四川省內外近10年的一線測評經驗，談幾點看法。

1 2.0標準扎根于1.0標準，繼承1.0標準大量內容

將2.0標準和1.0標準相比較可以發現，2.0標準大部分內容均與1.0標準類似。2.0標準中的諸多新特性，在1.0標準當中都能找到萌芽，將1.0標準當中若干前瞻性指標強化、高耦合指標合并、嚴苛煩瑣指標去除，就得到了2.0指標。2.0標準并未違背1.0標準，而是1.0標準的進化。這一點是前提和基礎。

2 管理方面，削減了部分過于細致的安全指標，測評工作量削減約20%

1.0標準，管理層面存在大量安全指標，要求比較嚴格。而真實情況是，被測評單位的安全管理狀況并不一樣，甚至大相徑庭。針對不同的測評單位，強制推行唯一的嚴格的管理指標，沒有完全做到因地制宜。這種做法，給測評工作帶來了困難，但并未有效強化被測單位安全管理。2.0標準放寬管理方面的要求，在堅持基本內容不放松的情況下，減少了一定數量的過于細致的安全指標，工作量降低約20%，更易于測評工作推進。

3 技術方面，新增三類測評對象，測評工作量增加約15%

2.0標準新增區域邊界和業務應用平臺兩類測評對象，這兩類測評對象的測評指標數量較多，專業性較強，工作量大。2.0標準同時將原屬于安全運維管理的安全管理中心劃分出來，獨立作為一類測評對象。該類測評對象包含大量技術細節，不適合管理類測評師測評，適合劃歸技術層面。綜合計算，技術層面測評工作量增加約15%。

4 網絡層面部分測評內容與主機層面走向融合，誕生新的測評對象類

2.0標準將原屬于網絡層面的網絡設備、安全設備，原屬于主機層面的操作系統、中間件、數據庫等測評對象合并，定義為安全計算環境，作為新測評類。該測評類成分復雜，測評對象繁多，要求測評單位投入大量而且是不同種類的測評人力才能完成測評。

5 等保2.0測評團隊組建、測評分工模型

鑒于2.0標準測評內容和組織結構的變化，原1.0標準的測評團隊組建及分工方案，已經不完全適合2.0標準，需要進行調整。但前文已述明，2.0標準由1.0標準發展而來，兩者并不割裂，所以調整是有限地、良性地調整，而不是破壞性調整。下文羅列1.0標準的團隊組建和分工方案。

考慮到技術類測評內容的增加和測評內容層面間的融合，建立網絡、安全計算環境、應用系統聯合條線。該條線下分網絡子條線和應用系統子條線，每個子條線配備一名測評師。子條線測評師必須具備安全計算環境類測評能力，并參與安全計算環境類測評對象的測評。考慮到管理類測評內容的削減，管理類兩個條線合并成一個條線，命名為管理條線，由一名測評師負責測評。

6 等保2.0測評團隊測評過程管理

網絡子條線、應用系統子條線、管理條線之間沒有先后順序，可以同時開展，采用噴泉模型進行過程管理，如圖3所示。

安全計算環境類測評是網絡子條線和應用系統子條線共同的工作內容，為了共同推進該部分工作而不相互干擾，采用增量模型進行過程管理，如圖4所示。

除了等保測評之外，滲透測試同樣是測評團隊重要工作之一，是等保測評工作的重要補充和驗證手段。在此強調一點，滲透測試與等保測評指標之間沒有直接關聯。因而與等保測評師之間也沒有必然關聯，團隊可以另外聘請滲透測試工程師，也可以由具備滲透測試能力的測評師進行滲透測試。滲透測試具備很強的開放性，沒有固定的方法和流程，需要結合客戶信息系統的真實情況，一邊了解分析，一邊操作，之后再深入了解分析，再操作。所以需要采用開放的迭代模型進行過程管理。

7 總結

馬克思主義哲學教導我們，事物是普遍聯系的，運動變化的和持續發展的，我們要將1.0標準的實際測評經驗和2.0標準的指標結合起來，創造新一代等保測評團隊組建、測評分工及測評過程管理方法，為信息國防事業貢獻力量。