8.2　報告編制活動主要任務

8.2.1　單項測評結果判定

本任務主要是針對單個測評項，結合具體測評對象，客觀、準確地分析測評證據，形成初步單項測評結果，單項測評結果是形成等級測評結論的基礎。

輸入：經過測評委托單位確認的測評證據和證據源記錄，測評指導書。

任務描述：

a) 針對每個測評項，分析該測評項所對抗的威脅在被測定級對象中是否存在，如果不存在，則該測評項應標為不適用項。

b) 分析單個測評項的測評證據，并與要求內容的預期測評結果相比較，給出單項測評結果和符合程度得分。

c) 如果測評證據表明所有要求內容與預期測評結果一致，則判定該測評項的單項測評結果為符合；如果測評證據表明所有要求內容與預期測評結果不一致，判定該測評項的單項測評結果為不符合；否則判定該測評項的單項測評結果為部分符合。

輸出/產品：測評報告的等級測評結果記錄部分。

8.2.2　單元測評結果判定

本任務主要是將單項測評結果進行匯總，分別統計不同測評對象的單項測評結果，從而判定單元測評結果。

輸入：測評報告的等級測評結果記錄部分。

任務描述：

a) 按層面分別匯總不同測評對象對應測評指標的單項測評結果情況，包括測評多少項，符合要求的多少項等內容。

b) 分析每個控制點下所有測評項的符合情況，給出單元測評結果。單元測評結果判定規則如下：

——控制點包含的所有適用測評項的單項測評結果均為符合，則對應該控制點的單元測評結果為符合；

——控制點包含的所有適用測評項的單項測評結果均為不符合，則對應該控制點的單元測評結果為不符合；

——控制點包含的所有測評項均為不適用項，則對應該控制點的單元測評結果為不適用；

——控制點包含的所有適用測評項的單項測評結果不全為符合或不符合，則對應該控制點的單元測評結果為部分符合。

輸出/產品：測評報告的單元測評小結部分。

8.2.3　整體測評

針對單項測評結果的不符合項及部分符合項，采取逐條判定的方法，從安全控制點間、層面間出發考慮，給出整體測評的具體結果。

輸入：測評報告的等級測評結果記錄部分和單項測評結果。

任務描述：

a) 針對測評對象“部分符合”及“不符合”要求的單個測評項，分析與該測評項相關的其他測評項能否和它發生關聯關系，發生什么樣的關聯關系，這些關聯關系產生的作用是否可以“彌補”該測評項的不足或“削弱”該測評項實現的保護能力，以及該測評項的測評結果是否會影響與其有關聯關系的其他測評項的測評結果。具體整體測評方法參見GB/T 28448信息安全技術 網絡安全等級保護測評要求。

b) 針對測評對象“部分符合”及“不符合”要求的單個測評項，分析與該測評項相關的其他層面的測評對象能否和它發生關聯關系，發生什么樣的關聯關系，這些關聯關系產生的作用是否可以“彌補”該測評項的不足或“削弱”該測評項實現的保護能力，以及該測評項的測評結果是否會影響與其有關聯關系的其他測評項的測評結果。

c) 根據整體測評分析情況，修正單項測評結果符合程度得分和問題嚴重程度值。

輸出/產品：測評報告的整體測評部分。

8.2.4　系統安全保障評估

綜合單項測評和整體測評結果，計算修正后的安全控制點得分和層面得分，并根據得分情況對被測定級對象的安全保障情況進行總體評價。

輸入：測評報告的等級測評結果記錄部分和整體測評部分。

任務描述：

a) 根據整體測評結果，計算修正后的每個測評對象的單項測評結果和符合程度得分。

b) 根據各對象的單項符合程度得分，計算安全控制點得分。

c) 根據安全控制點得分，計算安全層面得分。

d) 根據安全控制點得分和安全層面得分，總體評價被測定級對象已采取的有效保護措施和存在的主要安全問題情況。

輸出：測評報告的系統安全保障評估部分。

8.2.5　安全問題風險分析

測評人員依據等級保護的相關規范和標準，采用風險分析的方法分析等級測評結果中存在的安全問題可能對被測定級對象安全造成的影響。

輸入：填好的調查表格，測評報告的單項測評結果、整體測評部分。

任務描述：

a) 針對整體測評后的單項測評結果中部分符合項或不符合項所產生的安全問題，結合關聯測評對象和威脅，分析可能對定級對象、單位、社會及國家造成的安全危害。

b) 結合安全問題所影響業務的重要程度、相關系統組件的重要程度、安全問題嚴重程度以及安全事件影響范圍等綜合分析可能造成的安全危害中的最大安全危害（損失）結果。

c) 根據最大安全危害嚴重程度進一步確定定級對象面臨的風險等級，結果為“高”、“中”或“低”。

輸出：測評報告的安全問題風險分析部分。

8.2.6　等級測評結論形成

測評人員在系統安全保障評估、安全問題風險評估的基礎上，找出系統保護現狀與等級保護基本要求之間的差距，并形成等級測評結論。

輸入：測評報告的系統安全保障評估部分、安全問題風險評估部分。

任務描述：

根據單項測評結果和風險評估結果，計算定級對象綜合得分，并得出等級測評結論。

等級測評結論分為三種情況：

a) 符合：定級對象中未發現安全問題，等級測評結果中所有測評項的單項測評結果中部分符合和不符合項的統計結果全為0，綜合得分為100分。

b) 基本符合：定級對象中存在安全問題，部分符合和不符合項的統計結果不全為0，但存在的安全問題不會導致定級對象面臨高等級安全風險，且綜合得分不低于閾值。

c) 不符合：定級對象中存在安全問題，部分符合項和不符合項的統計結果不全為0，而且存在的安全問題會導致定級對象面臨高等級安全風險，或者綜合得分低于閾值。

輸出/產品：測評報告的等級測評結論部分。

8.2.7　測評報告編制

根據報告編制活動各分析過程形成等級測評報告。等級測評報告格式應符合公安部發布的《信息安全等級保護測評報告模版》（模版示例參見附錄F）。

輸入：測評方案，《信息系統安全等級測評報告模版》，測評結果分析內容。

任務描述：

a) 測評人員整理前面幾項任務的輸出/產品，按照《信息系統安全等級測評報告模版》編制測評報告相應部分。每個被測定級對象應單獨出具測評報告。

b) 針對被測定級對象存在的安全隱患，從系統安全角度提出相應的改進建議，編制測評報告的問題處置建議部分。

c) 測評報告編制完成后，測評機構應根據測評協議書、測評委托單位提交的相關文檔、測評原始記錄和其他輔助信息，對測評報告進行評審。

d) 評審通過后，由項目負責人簽字確認并提交給測評委托單位。

輸出/產品：經過評審和確認的被測定級對象等級測評報告。