5.1　等級測評方法

5.1　等級測評方法

等級測評實施的基本方法是針對特定的測評對象，采用相關的測評手段，遵從一定的測評規程，獲取需要的證據數據，給出是否達到特定級別安全保護能力的評判。等級測評實施的詳細流程和方法參見GB/T 28449—2018。

本標準中針對每一個要求項的測評就構成一個單項測評，針對某個要求項的所有具體測評內容構成測評實施。單項測評中的每一個具體測評實施要求項（以下簡稱“測評要求項”）是與安全控制點下面所包括的要求項（測評指標）相對應的。在對每一要求項進行測評時，可能用到訪談、核查和測試三種測評方法，也可能用到其中一種或兩種。測評實施的內容完全覆蓋了GB/T 22239—2018及GB/T 25070—2018中所有要求項的測評要求，使用時應當從單項測評的測評實施中抽取出對于GB/T 22239—2018中每一個要求項的測評要求，并按照這些測評要求開發測評指導書，以規范和指導等級測評活動。

根據調研結果，分析等級保護對象的業務流程和數據流，確定測評工作的范圍。結合等級保護對象的安全級別，綜合分析系統中各個設備和組件的功能和特性，從等級保護對象構成組件的重要性、安全性、共享性、全面性和恰當性等幾方面屬性確定技術層面的測評對象，并將與其相關的人員及管理文檔確定為管理層面的測評對象。測評對象可以根據類別加以描述，包括機房、業務應用軟件、主機操作系統、數據庫管理系統、網絡互聯設備、安全設備、訪談人員及安全管理文檔等。

等級測評活動中涉及測評力度，包括測評廣度（覆蓋面）和測評深度（強弱度）。安全保護等級較高的測評實施應選擇覆蓋面更廣的測評對象和更強的測評手段，可以獲得可信度更高的測評證據，測評力度的具體描述參見附錄A。

每個級別測評要求都包括安全測評通用要求、云計算安全測評擴展要求、移動互聯安全測評擴展要求、物聯網安全測評擴展要求和工業控制系統安全測評擴展要求等5個部分。大數據可參考安全評估方法參見附錄B。