等保2.0.2021版综合测评得分计算8.12修正篇

Posted 2021-09-05 oldmao_2001

文章目录

• 权重表
• 多个测评对象的计算
• • 原计算方式回顾
  • 新计算方法
• 小结

未经许可，严禁转载~！
公式输入请参考： 在线Latex公式
接上篇 《等保2.0.2021版综合测评得分计算实例》
8.12又收到通知说测评得分计算有更新，这次把更新后的内容和算法讲下。
这次的更新不大，主要是两个东西：

权重表

1.更新了测评项的权重表，估计是原来的权重表0.5、0.7、1三个表示方式不妥，这次更新后改为：一般、重要、关键三种了，至于各个测评项的权重也有一点点调整，当然以新版的为准。例如：
老的通用安全要求的三级权重表中安全物理环境的第一个安全控制点对应的两个测评项如下图所示：

新的通用安全要求的三级权重表则改为：

测评项权重设定为关键的三个原则：

1. 与法律法规标准相关的测评项定位关键测评项，因为这些都是底线或规定，尽量不要违反；
2. 以往工作中容易出现问题或者经常出现问题的测评项，例如：密码强度；
3. 指标项对测评系统非常重要，不满足该项可能会对系统安全有较大影响。
   此外，如果有参考行业标准进行测评，需要行标单独的权重表。

2021版测评指标权重表以安全通用要求为例，各种测评项数量如下表所示：

等级	一般	重要	关键	合计
一级	16	32	7	55
二级	44	68	23	135
三级	65	107	39	211
四级	65	116	47	228

对于安全扩展要求，只有重要和关键测评项，没有一般测评项，具体数量不列举了。

多个测评对象的计算

原计算方式回顾

先把上次的例子搬过来：

这里的测评结果也是虚构的，为了演示方便。
可以看到，例子中共有3个测评对象：机房1、机房2、机房3。
当没有不适用的情况下：
所有对象都符合最后结果是符合，例如：符合、符合、符合→符合；
所有对象都不符合最后结果是不符合，例如：不符合、不符合、不符合→不符合；
所有对象结果不一样最后结果是部分符合，这里不按少数服从多数来取最后的结果，例如：符合、不符合、不符合→部分符合，而不是不符合。
当有不适用的情况下：
所有对象都不适用最后结果是不适用，例如：不适用、不适用、不适用→不适用；
去掉不适用的情况再用没有不适用的情况来进行判断，例如：不适用、不符合、部分符合→不符合、部分符合→部分符合。

新计算方法

为了有所对比，用和之前同样的测评项，给出的测评结果也是一模一样的：

这里变化的就是多个测评对象的测评得分$x_k$为了方便讲解，我加了一列序号。测评得分$x_k$的计算公式为：
$$x_k=\frac{{\sum }_{p=1}^P{x}_{k_p}}{P},P\ne 0$$
分母$P$为当前测评项中进行测评的对象个数，也就是去掉不适用的测评对象后有几个测评对象，例如：序号为1、2、3、4、8的测评项的$P=3$，序号为5、6的测评项的$P=1$。
分子为当前测评项中进行测评的对象得分总和，也就是去掉不适用的测评对象后测评得分总和。其中$x_{k_p}$代表第$k$个测评项中的第$p$个测评对象的测评得分，例如：
序号为1的测评项${\sum }_{p=1}^P{x}_{k_p}=1+1+1=3$;
序号为2的测评项${\sum }_{p=1}^P{x}_{k_p}=0+1+0=1$;
序号为3的测评项${\sum }_{p=1}^P{x}_{k_p}=1+1+0=2$;
序号为4的测评项${\sum }_{p=1}^P{x}_{k_p}=1+0.5+0.5=2$;
序号为5的测评项${\sum }_{p=1}^P{x}_{k_p}=0.5$;
序号为6的测评项${\sum }_{p=1}^P{x}_{k_p}=0$;
序号为7的测评项中所有测评对象都不适用，整个测评项结果为不适用，不参与计算；
序号为8的测评项${\sum }_{p=1}^P{x}_{k_p}=0+0+0=0$。
然后根据上面的公式分子除以分母即可得到该测评的测评得分：$x_k$
其他部分计算和原来的一样。
公式$f({\omega }_k)$这列，excel中可以写：=IF(C2=“一般”,1,IF(C2=“重要”,2,IF(C2=“关键”,3,"")))，这里的C2是权重所在单元格编号。

小结

1.由于权重表中把原来权重为1的关键测评项调整为重要或者一般的测评项，使得扣分减少，整体得分会上升；
2.修改了多个测评对象的计算方式，原来投机的整改单个不符合项的漏洞被堵上了；
3.从修改后的扣分对比可以看到，整体上考虑多个测评对象中单个测评对象的符合情况，整体扣分减少，整体得分上升。