测评报告Q&A-“不符合”和“不适用”在具体安全要求中如何区分?
在GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》中,“不符合”和“不适用”是用于描述等级保护对象在安全测评中两种不同状态的术语,它们在具体安全要求中的区分如下:
不符合:
- 定义:当等级保护对象在某一具体安全要求上未能达到预定的安全标准或规定时,即判定为“不符合”。
- 应用场景:这通常意味着等级保护对象在安全防护方面存在缺陷或不足,需要采取措施进行改进或加固。例如,如果安全要求规定系统必须部署防火墙,但实际上系统未部署防火墙,那么这一要求就被判定为“不符合”。
- 后续行动:对于“不符合”项,通常需要制定整改计划,并在规定的时间内完成整改,以提升系统的安全防护能力。
不适用:
- 定义:当某一具体安全要求对于等级保护对象来说不适用或无关时,即判定为“不适用”。
- 应用场景:这通常是因为等级保护对象的特性、用途或运行环境等因素,使得该安全要求与其无关或无法实施。例如,某些安全要求可能仅适用于特定类型的系统或网络,而对于其他类型的系统或网络则不适用。
- 后续行动:对于“不适用”项,通常不需要采取额外的安全措施,但需要在测评报告中明确说明不适用的原因,并确保其他适用的安全要求得到满足。
总结:
- “不符合”关注的是等级保护对象是否达到了预定的安全标准或规定,若未达到则需要进行整改。
- “不适用”则关注的是安全要求与等级保护对象的匹配性和相关性,若安全要求与等级保护对象无关或无法实施,则判定为“不适用”,且通常不需要采取额外措施。
在测评过程中,准确区分“不符合”和“不适用”对于确保测评结果的准确性和有效性至关重要。
例如,某个设备根据其所处的安全保护等级要求应该具备入侵防御功能,但实际上该设备并不具备这一功能,那么在该设备的入侵防御测评项中应明确判定为“不符合”。这是因为入侵防御功能是网络安全的重要组成部分,对于保障网络系统的安全稳定运行具有重要意义。如果设备未能满足这一安全要求,将可能增加网络系统的安全风险。
因此,在测评过程中,如果发现交换机不具备入侵防御功能,而该设备的安全保护等级又要求具备此功能,那么应如实记录并在测评报告中明确指出这一不符合项,同时建议相关责任单位采取措施进行整改,以提升网络系统的整体安全防护能力。