信息系统国标 GB/T 22239-2008 中的要求项,是为了对抗相应等级的威胁或具备相应等级的恢复能力而设计的,但由于安全措施的实现方式多种多样,安全技术也在不断发展,信息系统的运行使用单位所采用的安全措施和技术并不一定和 GB/T 22239-2008 的要求项完全一致。因此,需要从信息系统整体上是否能够对抗相应等级威胁的角度,对单元测评中的不符合项和部分符合项进行综合分析,分析这些不符合项
或部分符合项是否会影响到信息系统整体安全系统整体测评保护能力的缺失。信息系统的整体测评,就是在单元测评的基础上,评价信息系统的整体安全保护能力有没有缺失,是否能够对抗相应等级的安全威胁。
信息系统整体系统整体测评应从安全控制点间、层面间和区域间等方面进行安全分析和测评,并最后从系统结构安全方面进行综合分析,对系统结构进行安全系统整体测评。
安全控制点间安全等级测评是指对同一区域同一层面内的两个或者两个以上不同安全控制点间的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。层面间安全测评是指对同一区域内的两个或者两个以上不同层面的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。
区域间安全等级测评是指对两个或者两个以上不同物理或逻辑区域间的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。
(二)安全控制点间测评
在单元测评完成后,如果信息系统的某个安全控制点中的要求项存在不符合项或部分符合项,应进行安全控制点间测评,应分析在同一功能区域同一层面内,是否存在其他安全控制点对该安全控制点具有补充作用(如物理访问控制和防盗窃、安全审计和抗抵赖等)。同时,分析是否存在其他的安全措施或技术与该要求项具有相似的安全功能。
根据等级测评分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失,如果经过综合分析单元测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则该安全控制点对应的单元测评结论应调整为符合。内容详见信创致远官网http://www.zhiyuanit.com.cn/。