等保2.0.测评项控制点得分计算

未经许可，请勿转载

前言

上篇写了测评综合得分计算，本来单项测评项控制点得分计算比较简单，不用写，但是涉及到整体的测评结果分析，就顺便写一下，算是一个完结。

测评项控制点得分计算

先给出新版测评报告中的描述与公式：
根据附录D中测评项的符合程度得分，以算术平均法合并多个测评对象在同一测评项的得分，得到各测评项的多对象平均分。根据测评项权重，以加权平均合并同一安全控制点下的所有测评项的符合程度得分，并按照控制点得分计算公式得到各安全控制点的10分制得分。
$$控制点得分=\frac{{\sum }_{k=1}^n测评项的多对象平均分\times 测评项权重}{{\sum }_{k=1}^n测评项权重}\times 10\text{\hspace{1em}(1)}$$
n为同一控制点下的测评项数，不含不适用的测评项。

这里面提到的附录D是：单项测评结果记录，其目录结构如下：

D.1安全物理环境
  D1.1机房1
结果样式：

安全控制点	测评指标	结果记录	符合程度
安全通用要求
物理位置选择	a）机房场地应选择在具有防震、防风和防雨等能力的建筑内；	系统部署在XX云中，物理安全由XX负责	不适用
	b）机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。	系统部署在XX云中，物理安全由XX负责	不适用
物理访问控制	a）机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。	系统部署在XX云中，物理安全由XX负责	不适用

  D1.2机房2
  D1.3机房3
D.2安全通信网络
  D2.1安全通信网络
D.3安全区域边界
  D3.1安全区域
D.4安全计算环境
  D4.1服务器
  D4.2数据库
  D4.3XXXX系统平台
D.5安全管理中心
  D5.1管理中心
D.6安全管理制度
  D6.1安全管理制度
D.7安全管理机构
  D7.1安全管理机构
D.8安全管理人员
  D8.1安全管理人员
D.9安全建设管理
  D9.1安全建设管理
D.10安全运维管理
  D10.1安全运维管理

这里要说下，第一次做等保的新手根据这个附录D是算不出测评项控制点得分的，因为没有权重！没有权重！没有权重！权重表另外找，有单独的excel表。

言归正传，和综合评分计算一样，单个对象和多个对象的计算有点点区别，多个对象要求平均，下面分开说明：

多个对象

$$S=\frac{{\sum }_{k=1}^n[({\bar{x}}_k)\times w_k]}{{\sum }_{k=1}^n{w}_k}\times 10\text{\hspace{1em}(2)}$$
关于多个对象的说明我再从前一篇贴过来：
在等级2.0基本要求中，共包括10个安全类：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理（关于1.0和2.0要求的区别，可以看这里的第四章），其中只有安全物理环境和安全计算环境会涉及多个对象。
多个对象意思就是：安全物理环境中能有多个机房，每个机房是一个对象，安全计算环境中有多个服务器，Web服务器是一个对象，数据库服务器是一个对象，应用服务器也是一个对象。
这里的${\bar{x}}_k$就是多个对象在同一个安全控制点上的得分的平均值，听起来比较拗口，看个例子：
为演示方便所有数据，包括权重均为虚构

第一步

先通过测评、整改阶段后，得到最终测评结果：

安全控制点	测评指标	机房1	机房2	机房3	机房4
物理位置选择	a）测评指标1；	符合	符合	符合	符合
	b）测评指标2；	不符合	不适用	符合	符合
	c）测评指标3。	不适用	部分符合	符合	不符合

第二步

然后转换成分数，并加上权重：

安全控制点	测评指标	机房1	机房2	机房3	机房4	权重
物理位置选择	a）测评指标1；	1	1	1	1	0.7
	b）测评指标2；	0	别算我	1	1	0.7
	c）测评指标3。	别算我	0.5	1	0.5	1

第三步

按公式（2）计算分子、分母并求和：

安全控制点	测评指标	机房1	机房2	机房3	机房4	权重	分子
物理位置选择	a）测评指标1；	1	1	1	1	0.7	(1+1+1+1)/4×0.07=0.7
	b）测评指标2；	0	别算我	1	1	0.7	(0+1+1)/3×0.7=0.46
	c）测评指标3。	别算我	0.5	1	0.5	1	(0.5+1+0.5)/3×1=0.67
求和						0.7+0.7+1=2.4	0.7+0.46+0.67=1.83

这里注意一下：测评指标2中由于机房2不适用，所以不参加计算，所以算所有对象的平均值的时候是去掉机房2的。

第四步

根据公式（2）算结果：1.83/2.4×10=7.625
这个就是这个涉及到多个对象的安全控制点的得分。

单个对象

$$S=\frac{{\sum }_{k=1}^n(x_k\times w_k)}{{\sum }_{k=1}^n{w}_k}\times 10\text{\hspace{1em}(3)}$$
这个显然计算要比上面简单一点，因为不用求平均，也就是只有一个对象的测评结果：

第一步

先通过测评、整改阶段后，得到最终测评结果：

安全控制点	测评指标	测评结果
定级和备案	a）测评指标1；	符合
	b）测评指标2；	不符合
	c）测评指标3；	不适用
	c）测评指标4。	部分符合

第二步

然后转换成分数，并加上权重：

安全控制点	测评指标	测评指标得分	权重
定级和备案	a）测评指标1；	1	0.7
	b）测评指标2；	0	0.7
	c）测评指标3；	别算我	1
	c）测评指标4。	0.5	0.5

第三步

按公式（3）计算分子、分母并求和：

安全控制点	测评指标	测评指标得分	权重	分子
定级和备案	a）测评指标1；	1	0.7	1×0.7=0.7
	b）测评指标2；	0	0.7	0×0.7=0
	c）测评指标3；	别算我	1（别算我）	别算我
	c）测评指标4。	0.5	0.5	0.5×0.5=0.25
求和			0.7+0.7+0.5=1.9	0.7+0+0.25=0.95

这里注意一下：测评指标3中由于结果是不适用，所以不参加计算，所以算所有对象的平均值的时候是去掉测评指标3的。

第四步

根据公式（3）算结果：0.95/1.9×10=5
这个就是这个涉及到单对象的安全控制点的得分。

控制点符合情况汇总表

用上面的方法把每个控制点的分数都算出来，并汇总成表格，表格以不同颜色对测评结果进行区分，不符合的安全控制点采用红色标识，部分符合的安全控制点采用黄色标识，不适用的用N/A表示。