中关村信息安全测评联盟视频会议培训笔记 - 2022/06/28

  本文是 2022 年 06 月 28 日中关村信息安全测评联盟视频会议培训的笔记，仅供学习交流，切勿作为官方标准。

  三种测评对象

1. 信息系统
2. 通信网络
3. 数据资源

  其中数据资源有六个测评点（在《GB/T 28448-2019 测评要求》中有体现）

1. 鉴别数据
2. 重要业务数据
3. 重要审计数据
4. 重要配置数据
5. 重要视频数据
6. 重要个人信息

  以测评对象为初始粒度。

  等保中“重要个人信息”的定义可参考《网络安全法》中的“敏感个人信息”（此处《网络安全法》可能是专家口误，博主个人理解应为《个人信息保护法》）

  中央网信办对敏感个人信息保护的专家解读：《个人信息保护法》规定将敏感个人信息定义为一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，同时列举了敏感个人信息的种类，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

  三级的工业控制系统安全扩展要求有五个安全控制点和九个控制项（在《GB/T 22239-2019 基本要求》中有体现）

1. 安全物理环境
   1. 室外控制设备物理防护
2. 安全通信网络
   1. 网络架构
   2. 通信传输
3. 安全区域边界
   1. 访问控制
   2. 拨号使用控制
   3. 无线使用控制
4. 安全计算环境
   1. 控制设备安全
5. 安全建设管理
   1. 产品采购和使用
   2. 外包软件开发

  等保资产重要性分为一般、重要和非常重要三种（而在风险评估中资产的重要性一般分为很低、低、中等、高和很高五种）。

  确定资产的重要程度必须结合资产和业务的关联性，如主要业务的重要资产等，而主要业务的资产等级应为最高。

  一般以测评报告发布日期作为评判实用工具版本和规则库是否为最新的标准。如一月扫描完成，后来系统整改了，直至六月才出测评报告 ，则在六月出报告前，应再做一次扫描，确保在一月至六月之间产生的新漏洞也能被发现。

  评价一个拓扑图的好坏一般先看外部边界，再看内部区域，最后深入看区域内的关键设备。

  等级保护以信息系统为单位，各个信息系统之间应有边界保护。

  测评对象只关心该资产所承载的业务和其职能，与其资产归属（该资产属于谁）和工作模式（该资产是否为专用）无关。