等保中级测评师复习.04

1、等保2.0测评指标选择依据&＃xff0c;并举例说明。

针对不同展现形态的定级对象的测评指标选择方法如下&＃xff1a;
·通信网络设施和信息系统
对于这两类定级对象&＃xff0c;测评指标确定任务的主要工作包括&＃xff1a;根据定级对象调查结果得到其安全保护等级、业务信息安全保护等级、系统服务安全保护等级&＃xff1b;根据上述保护等级情况&＃xff0c;从《基本要求》的“安全通用要求”中选择与被测定级对象的保护等级相对应的安全通用保护要求作为测评指标&＃xff1b;根据定级对象面临的威胁情况&＃xff0c;对于该定级对象不存在的威胁&＃xff0c;则对抗这些威胁的测评指标应予以剔除&＃xff0c;进一步调整得到最终的测评指标。
·云计算平台/系统及构建在云计算平台上的定级对象
由于该类定级对象采用了云计算技术&＃xff0c;因此&＃xff0c;在选择测评指标时不仅仅选择“安全通用要求”中相应等级的安全保护通用要求&＃xff0c;还应选择相应等级的“云计算安全扩展要求”中的安全保护扩展要求&＃xff0c;二者共同构成该类定级对象的测评指标。
需要注意的是&＃xff0c;构建在云计算平台上的定级对象在选择测评指标时&＃xff0c;根据云计算平台的服务类型不同&＃xff0c;定级对象应实现的测评指标也不同&＃xff0c;例如若云计算平合为IaaS&＃xff0c;则定级对象的测评指标应包括“安全通用要求”以及“云计算安全扩展要求”中的部分安全保护扩展要求&＃xff1b;若云计算平台为SaaS&＃xff0c;则定级对象的测评指标应包括“安全通用要求”中“安全计算环境”以及安全管理相关要求。
·采用移动互联技术的信息系统
由于该类定级对象采用了移动互联技术&＃xff0c;因此&＃xff0c;在选择测评指标时不仅仅选择“安全通用要求”中相应等级的安全保护通用要求&＃xff0c;还应选择相应等级的“移动互联安全扩展要求”中的安全保护扩展要求&＃xff0c;二者共同构成该类定级对象的测评指标。
·物联网
该类定级对象在选择测评指标时不仅仅选择“安全通用要求”中相应等级的安全保护通用要求&＃xff0c;还应选择相应等级的“物联网安全扩展要求”中的安全保护扩展要求&＃xff0c;二者共同构成该类定级对象的测评指标。
·工业控制系统
该类定级对象在选择测评指标时不仅仅选择“安全通用要求”中相应等级的安全保护通用要求&＃xff0c;还应选择相应等级的“工业控制系统安全扩展要求”中的安全保护扩展要求&＃xff0c;二者共同构成该类定级对象的测评指标。
举例来说&＃xff0c;假设某基于云计算技术构建的定级对象的定级结果为&＃xff1a;系统安全保护等级为3级&＃xff0c;业务信息安全保护等级为3级&＃xff0c;系统服务安全保护等级为2级&＃xff0c;则该定级对象所有测评对象的测评指标集合将包括《基本要求》“安全通用要求”中的3级通用指标类&＃xff08;G3&＃xff09;&＃xff0c;3级业务信息安全性指标类&＃xff08;S3&＃xff09;&＃xff0c;2级业务服务保证性指标类&＃xff08;A2&＃xff09;&＃xff0c;以及第3级“云计算安全扩展要求”中的所有指标类&＃xff0c;如下表&＃xff1a;

如果同时测评的另外一个定级对象的定级结果为&＃xff1a;系统安全保护等级为4级&＃xff0c;业务信息安全保护等级为4级&＃xff0c;系统服务安全保护等级为3级&＃xff0c;而且这两个定级对象共用机房&＃xff0c;由相同的人员进行管理&＃xff0c;所有的管理内容都采用相同的管理方法&＃xff0c;则应调整物理和环境安全的测评指标为4级通用指标类&＃xff08;G4&＃xff09;&＃xff0c;4级业务信息安全性指标类&＃xff08;S4&＃xff09;&＃xff0c;3级业务服务保证性指标类&＃xff08;A3&＃xff09;&＃xff0c;调整管理安全测评指标为4级“管理要求”中的所有指标类。

2、云数据存放在云平台中可能存在的问题以及处理措施

列出测评指导书与数据相关的内容&＃xff1a;