自《关于对网络安全等级保护有关工作事项进一步说明的函》发布以来,各测评机构对于常见的问题已基本达成共识,尤其在测评结论判定方面已趋于稳定。
然而,在报告编制过程中,我们发现一个重要问题尚未得到明确指引:在测评报告附录H中,关于重大风险隐患及整改情况的章节,应当在进行相关性、严重性和高发性分析之前还是之后撰写相关内容?这一细节的明确将对整个测评编制过程产生重要影响。
许多人主张,在编制报告时,应先进行风险分析。首先,重大风险隐患及其整改情况的识别,需要通过对相关性、严重性和高发性的深入分析。只有经过这一过程,我们才能准确判断是否存在重大风险隐患。若省略了分析步骤,我们可能会回到过去那种不够精确的风险判定模式。其次,在当前各地等保办监管日益严格的大环境下,许多审核人员可能会认为省略重大风险隐患的分析过程是一种不可接受的红线问题。因此,在编制报告时,我们必须充分考虑这一点,并确保我们的分析过程既符合正常逻辑又相对严谨。
另一方面,有人主张,在编制报告时,应当聚焦于已经识别出的重大风险隐患。首先,测评报告附录H中提到“填写说明:描述被测对象存在的全部重大风险隐患,并详细说明重大风险隐患发现确认的过程”,这暗示了只有在确实存在重大风险隐患的情况下,才有必要深入阐述分析过程。其次,整个测评报告中关于重大风险隐患的章节都是基于这些风险隐患已被确认的前提,并且与附录H紧密相关联。
笔者认为,更倾向于后者-即填写已确认为重大风险隐患后的分析过程。理由除了上述理由外,在5.2重大风险隐患分析章节的 填写说明“如果没有重大风险隐患,请注明未发现重大风险隐患”中,已说明此处是可以填写通过风险分析后认为没有重大风险隐患的安全问题。那么意味着,重大风险隐患分析过程似乎在此处填写,而不是在附录H,即附录H应该填写是通过分析后存在重大风险隐患的安全问题。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...