AAA2015版测评报告计算过程

1、MeiWei 81 重点借鉴文档】 1.1 物理安全 1.1.1 结果记录 测评对象 安全控制点 测评指标 结果记录 符合程度 机房 1 物理位置的选择 A 项） 机房位置合理 5 B项） 机房无用水设施 5 物理访问控制 机房 2 物理位置的选择 A 项） 机房设置在顶楼 4 B项） 机房有水管穿过， 没有采取封闭 措施。 2 物理访问控制 机房 3 物理位置的选择 A 项） 机房在办公大楼中层， 办公大楼 建筑年限过久，没有防震证明。 3 B项） 机房有水管穿过， 但已采取封闭 措施。 4 物理访问控制 1.1.2 结果汇总 针对不同安全控制点对单个测评对象在物理安全层面的单项测评结果进行

2、 汇总和统计。 MeiWei_81 重点借鉴文档】 MeiWei 81 重点借鉴文档】 表 4-1 物理安全 - 单元测评结果汇总表 序 号 测评 对象 符合 情况 安全控制点 物理位 置的选 择 物理 访问 控制 防盗窃 和防破 坏 防 雷 击 防火 防水 和防 潮 防静 电 温湿 度控 制 电力 供应 电磁 屏蔽 1 机房 1 符合 2 部分 符合 0 不符 合 0 不适 用 0 2 机房 2 符合 0 部分 符合 2 不符 合 0 不适 用 0 3 机房 3 符合 0 部分 符合 2 不符 合 0 不适 用 0 1.1.3 控制点符合情况汇总 根据附录 A 中测评项的符合程度得分，以算术

3、平均法合并多个测评对象在 同一测评项的得分，得到各测评项的多对象平均分。 根据测评项权重（参见附件测评项权重赋值表，其他情况的权重赋值另 行发布），以加权平均合并同一安全控制点下的所有测评项的符合程度得分， 并 按照控制点得分计算公式得到各安全控制点的 5 分制得分。 MeiWei_81 重点借鉴文档】 MeiWei 81 重点借鉴文档】 控制点得分 ， n 为同一控制点下的测评项 数，不含不适用的控制点和测评项 以表格形式汇总测评结果， 表格以不同颜色对测评结果进行区分， 部分符合 （安全控制点得分在 0 分和 5 分之间，不等于 0 分或 5 分）的安全控制点采用 黄色标识，不符合（安全控

4、制点得分为 0 分）的安全控制点采用红色标识。 表 4-R 单元测评结果分类统计表 序 号 安全 层面 安全控制点 安全控制 点得分 符合情况 符合 部分符合 不符合 不适用 1 物理安全 物理位置的选择 3.77 2 物理访问控制 3 防盗窃和防破坏 4 防雷击 序号 控制点得分计算过程实例 1 三级“物理安全” - “物理位置选择”控制点有 AB两个测评项，测评了三个机 房， A项得分分别为 5、4、3， B 项分别得分是 5、2、 4。（见 4.1.1 章节） 控制点得分计算过程如下： 1） 计算各测评项的多对象平均分 A 项的多对象平均分 =（5+4+3） /3=4 B 项的多对象平均

5、分 =（5+2+4） /3=3.67 2） 所有测评项的多对象平均分的加权之和（查表得知A项权重 0.2 ，B项权重 0.5 ） 4R0.2+3.67R0.5=0.8+1.84=2.64 3）计算测评项的权重和 : 0.2+0.5=0.7 4）计算控制点的得分 2.64/0.7=3.77 因此，三级“物理安全” - “物理位置选择”控制点的得分是 3.77 ，结果为“部分 符合”。 （上述计算过程中，计算结果四舍五入后取到小数点后 2 位。） MeiWei_81 重点借鉴文档】 MeiWei 81 重点借鉴文档】 序号 控制点得分计算过程实例 2（ 有不适用项 ） 1 三级“物理安全” - “

6、物理位置选择”控制点有 AB两个测评项，测评了三个机 房， A项得分分别为 5、4、不适用 ， B 项分别得分是 5、 2、 4 。 控制点得分计算过程如下： 1） 计算各测评项的多对象平均分 A 项的多对象平均分 =（5+4）/ 2=4.5 B 项的多对象平均分 =（ 5+2+4）/3=3.67 2） 所有测评项的多对象平均分的加权之和（查表得知 A项权重 0.2 ，B项权重 0.5 ） 4.5 R0.2+3.67R0.5=0.9+1.84= 2.74 3）计算测评项的权重算术平均分 : 0.2+0.5=0.7 4）计算控制点的得分 2.74/0.7= 3.91 因此，三级“物理安全” -

7、“物理位置选择”控制点的得分是3.91 ，结果为“部分 符合”。 （上述计算过程中，计算结果四舍五入后取到小数点后 2 位。） 1.1.4 安全问题汇总 针对单元测评结果中存在的部分符合项或不符合项加以汇总， 形成安全问题 列表并计算其严重程度值。依其严重程度取值为 15 ，最严重的取值为 5。安全 问题严重程度值是基于对应的测评项权重并结合附录 A 中对应测评项的符合程 度进行的。具体计算公式如下： 安全问题严重程度值 =（ 5-测评项符合程度得分）测评项权重。 表 4-4 安全问题汇总表 问题 编号 安全问题 测评对象 安全层面 安全控 制点 测评 项 测评项 权重 问题严重程度值 1 机

8、房设置在顶 楼 机房 2 物理安全 物理位 置选择 A 项 . 0.2 (5-4)R0.2=0.2 2 机房有水管穿 过，没有采取 封闭措施。 机房 2 物理安全 物理位 置选择 B 项 . 0.5 (5-2)R0.5=1.5 MeiWei_81 重点借鉴文档】 MeiWei 81 重点借鉴文档】 问题 编号 安全问题 测评对象 安全层面 安全控 制点 测评 项 测评项 权重 问题严重程度值 3 机房在办公大 楼中层，办公 大楼建筑年限 过久，没有防 震证明。 机房 3 物理安全 物理位 置选择 A 项 . 0.2 (5-3)R0.2=0.4 4 机房有水管穿 过，但已采取 封闭措施。 机房

9、3 物理安全 物理位 置选择 B 项 . 0.5 (5-4)R0.5=0.5 1.2 整体测评结果汇总 根据整体测评结果，修改安全问题汇总表中的问题严重程度值及对应的修正 后测评项符合程度得分， 并形成修改后的安全问题汇总表 (仅包括有所修正 的安 全问题 )。可根据整体测评安全控制措施对安全问题的弥补程度将修正因子设为 0.50.9 。 修正后问题严重程度值 1=修正前的问题严重程度值修正因子。 修正后测评项符合程度 =5-修正后问题严重程度值 / 测评项权重。 表 5-1 修正后的安全问题汇总表 2 序 号 问题编 号3 安全问题描述 测评项 权重 整体测 评描述 修正 因子 修正后问题严

10、重 程度值 修正后测评项符合 程度 1 1 机房设置在顶楼 0.2 RRRR 0.9 0.2R0.9=0.18 5-0.18/0.2=5-0.9=4.1 2 2 机房有水管穿过， 没有采取封闭措施。 0.5 RRRR 0.9 1.5R0.9=1.35 5-1.35/0.5=5-2.7=2.3 3 3 机房在办公大楼中层，办公大楼建筑 年限过久，没有防震证明。 0.2 RRRR / / / 4 4 机房有水管穿过， 但已采取封闭措施。 0.5 RRRR 0.5 0.5R0.5=0.25 5-0.25/0.5=5-0.5=4.5 0.9 0.5R0.9=0.45 5-0.45/0.5=5-0.9=

11、4.1 ( 根据上表行四选择不同的调节因子后的分数结果可知 : 问题获得的弥补性 越强，选择的修正因子越小！即: 单项分数要高，调节因子要选小！ ) 1问题严重程度值最高为 5。 2该处仅列出问题严重程度有所修正的安全问题。 3 该处编号与 4.12.2 安全问题汇总表中的问题编号一一对应。 MeiWei_81 重点借鉴文档】 MeiWei 81 重点借鉴文档】 （问题 3 无法获得弥补，测评项得分维持不变！ 如果强行进行修正，修正 后得分为负分！ ） 即：“物理安全” - “物理位置选择”控制点的最终测评结果为 测评对 象 安全控制点 测评指标 结果记录 符合程度 （调整前） 符合程度 （调

12、整后） 机房 1 物理位置的选 择 A 项） 机房位置合理 5 5 B 项） 机房无用水设施 5 5 物理访问控制 机房 2 物理位置的选 择 A 项） 机房设置在顶楼 4 4.1 B 项） 机房有水管穿过，没有采取封 闭措施。 2 2.3 物理访问控制 机房 3 物理位置的选 择 A 项） 机房在办公大楼中层，办公大 楼建筑年限过久，没有防震证 明。 3 3 B 项） 机房有水管穿过，但已采取封 闭措施。 4 4.5 物理访问控制 2 总体安全状况分析 MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 2.1 系统安全保障评估 以表格形式汇总被测信息系统已采取的安全保

13、护措施情况，并综合附录 A 中的测评项符合程度得分以及 5.5 章节中的修正后测评项符合程度得分 （有修正 的测评项以 5.5 章节中的修正后测评项符合程度得分带入计算），以算术平均法 合并多个测评对象在同一测评项的得分，得到各测评项的多对象平均分。 根据测评项权重（见附件测评项权重赋值表，其他情况的权重赋值另行 发布），以加权平均合并同一安全控制点下的所有测评项的符合程度得分， 并按 照控制点得分计算公式得到各安全控制点的 5 分制得分。 计算公式为： 控制点得分， n 为同一控制点下的测评项 数，不含不适用的控制点和测评项。 以算术平均合并同一安全层面下的所有安全控制点得分， 并转换为安全

14、层面 的百分制得分。 根据表格内容描述被测信息系统已采取的有效保护措施和存在的主要安全 问题情况。 表 6-1 系统安全保障情况得分表 序号 安全层面 安全控制点 安全控制点得分 安全层面得分 1 物理位置的选择 3.96 2 物理访问控制 3 防盗窃和防破坏 4 防雷击 5 防火 6 防水和防潮 7 防静电 8 温湿度控制 9 电力供应 10 电磁防护 11 全安络网 结构安全 4.11 共 7 个控制点，但有一个控 MeiWei_81 重点借鉴文档】 MeiWei 81 重点借鉴文档】 序号 安全层面 安全控制点 安全控制点得分 安全层面得分 12 访问控制 4.50 制点为不适用，因此：

15、 6 个控制点总得分 26.17 平均分为 26.17/6=4.36 转换为百分制后得分为 4.36R20=87.2 网络安全层面得分为 87.2 分 13 安全审计 5.00 14 边界完整性检查 不适用 15 入侵防范 4.80 16 恶意代码防范 3.25 17 网络设备防护 4.51 2.2 等级测评结论 综合上述几章节的测评与风险分析结果， 根据符合性判别依据给出等级测评 结论，并计算信息系统的综合得分。 等级测评结论应表述为 “符合、“基本符合 ”或者“不符合”。 结论判定及综合得分计算方式见下表： 测评结论 符合性判别依据 综合得分计算公式 符合 信息系统中未发现安 全问题，等级测评结果 中所有测评项得分均 为