等级测评结论：不符合且存在高等级安全风险

1.各层面的测评结论

等级测评报告应给出信息系统在安全技术和安全管理各个层面的测评结论。

汇总单元测评结果,可以给出安全技术和安全管理上各个层面的等级测评结论。在安全技术5个层面的等级测评结论中,通常物理安全测评结论应重点给出信息系统在防范各种自然灾害和人为物理破坏方面安全控制措施的落实情况；网络安全测评结论应重点给出信息系统在网络结构安全、网络访问控制和入侵检测、防范等方面安全控制措施的落实情况；主机安全测评结论应重点给出身份鉴别、安全审计和恶意代码防范等方面安全控制措施的落实情况；应用安全测评结论应重点给出身份鉴别、访问控制和通信保密等方面的安全控制措施的落实情况；数据安全及备份恢复测评结论应重点给出数据保密性和备份恢复功能安全控制措施的落实情况等。在安全管理5个方面的等级测评结论中,通常安全管理制度应重点给出管理制度体系的完备性和制修订的及时性等方面的测评结论；安全管理机构应重点给出机构、岗位设置和人员配备等方面的测评结论；人员安全管理应重点给出人员录用、离岗和培训等方面的测评结论；系统建设管理可重点给出安全方案设计、产品采购、系统的测试验收和交付等方面的测评结论；系统运维管理可重点给出系统监控管理、网络和系统安全管理、恶意代码防范管理、密码管理以及应急预案管理等方面的测评结论。

不同等级信息系统在不同层面上会有不同的关注点,应反映到相应层面的等级测评结论中。

2.风险分析和评价

等级测评报告中,应对整体测评之后单元测评结果中的不符合项或部分符合项,进行风险分析和评价。

采用风险分析的方法,对单元测评结果中存在的不符合项或部分符合项,分析所产生的安全问题被威胁利用的可能性,判断其被威胁利用后对业务信息安全和系统服务安全造成影响的程度,综合评价这些不符合项或部分符合项对信息系统造成的安全风险。

3.测评结论

等级测评报告应给出信息系统整体保护能力的测评结论,确认信息系统达到相应等级保护要求的程度。

应结合各层面的测评结论和对单元测评结果的风险分析给出等级测评结论。(www.xing528.com)

（1）如果单元测评结果中没有不符合项或部分符合项,则测评结论为“符合”。

（2）如果单元测评结果存在不符合项或部分符合项,但所产生的安全问题不会导致信息系统存在高等级安全风险,则测评结论为“基本符合”。

（3）如果单元测评结果存在不符合项或部分符合项,且所产生的安全问题导致信息系统存在高等级安全风险,则测评结论为“不符合”。

【注释】

[1]鲜继清,谭丹,陈辉.局域网中个人防火墙与入侵检测系统联动技术研究[J].成都：计算机应用研究,2016,5.

[2]程志鹏,蔚雪洁,谭建明.基于snort的入侵检测系统的研究与实现[J].北京：电脑开发与应用,2017,20（11）.

[3]程志鹏,蔚雪洁,谭建明.基于snort的入侵检测系统的研究与实现[J].北京：电脑开发与应用,2017,20（11）.

[4]《等级保护定级指南》（GAT 1389—2017）.