未经许可,严禁转载~!
公式输入请参考: 在线Latex公式
接上篇的 《等保2.0.2021版等级测评报告模板修订总结》,这次根据一个实际案例来看看2021版综合测评得分如何计算。
2021.8.14更新说明:8.12又收到通知,多个测评对象的计算方式有修改, 看这里
公式回顾
在上篇的修订总结中,我把公式最终形态写出来了:
M
=
100
−
(
∑
k
=
1
t
100
⋅
f
(
ω
k
)
⋅
(
1
−
x
k
)
n
+
∑
k
=
1
m
100
⋅
f
(
ω
k
)
⋅
(
1
−
x
k
)
n
)
(1)
\begin{aligned}M&=100-\left(\sum_{k=1}^t \cfrac{100\cdot f(\omega_k)\cdot(1-x_k)}{n}+\sum_{k=1}^m\cfrac{100\cdot f(\omega_k)\cdot(1-x_k)}{n}\right)\end{aligned}\tag1
M=100−(k=1∑tn100⋅f(ωk)⋅(1−xk)+k=1∑mn100⋅f(ωk)⋅(1−xk))(1)
我们再把公式思路梳理一下:
1.新版的综合测评得分计算不再是加分思路(符合越多分越高),而是扣分思路(不符合越多分越低);
2.引入权重
f
(
ω
k
)
f(\omega_k)
f(ωk),对应关键测评项不符合项越多分数掉得越厉害,引导被测单位多关注关键测评项的整改;
3.总体而言,相同条件下新版的分数要比老版的分数要低10分;
4.由于当前官方发布的技术和管理两类的权重系数
y
=
0.5
y=0.5
y=0.5,因此原版公式可以写成上面的样子,又因为技术测评项数量
t
t
t和管理测评项数量
m
m
m有如下关系:
t
+
m
=
n
t+m=n
t+m=n
因此可以写成:
M
=
100
−
∑
k
=
1
n
100
⋅
f
(
ω
k
)
⋅
(
1
−
x
k
)
n
(2)
M=100-\sum_{k=1}^n \cfrac{100\cdot f(\omega_k)\cdot(1-x_k)}{n}\tag2
M=100−k=1∑nn100⋅f(ωk)⋅(1−xk)(2)
5.测评项总数
n
n
n不包含不适用项,不适用项在老版本里面是等价于符合项来参与计算的,这也是新版分数会降低的一个原因:
n
n
n是分母,分母越大,减去的分数就越少,总体得分就越高;
n
n
n不包含不适用项,因此
n
n
n变小了,减去的分数就变大,总体得分就变低了。
接下来看具体例子,本次直接采用excel来进行手工计算,在开始前需要准备好等级测评的权重表,要根据表中的三个权重:[0.4,0.7,1],来对应一般、重要、关键测评项。
本次计算实例中的测评结果为了演示,均为虚构。
单个测评对象的计算
以安全通讯网络安全类为例:
先算
n
n
n:
这里直接对F列进行条件求和:
=COUNTIF(F:F,“符合”)
=COUNTIF(F:F,“部分符合”)
=COUNTIF(F:F,“不符合”)
然后把三个结果加起来得到
n
n
n
再次强调,这里是不包含不适用项的。
然后根据公式一步步算:
| 列 | 含义 | 计算依据 |
|---|---|---|
| E列 | 测评项的权重 | 统一标准,直接使用 |
| F列 | 测评单位通过测评得到的结果 | 不适用、不符合、部分符合、符合 |
| G列 | 根据测评结果得到对应的分值 | 不适用不参与计算,因此不计分或者记0分,不符合、部分符合、符合分别记0,0.5,1分,对应公式 x k x_k xk |
| H列 | 根据检查分值计算要扣的分数 | 1-检查分值,对应公式 1 − x k 1-x_k 1−xk |
| J列 | 根据权重得到单项权重 | 对应公式 f ( ω k ) f(\omega_k) f(ωk),excel中可以写:=IF(E24=0.4,1,IF(E24=0.7,2,IF(E24=1,3,""))) |
| K列 | 单个测评项扣分结果 | 对应公式: ( 1 − x k ) f ( ω k ) / n (1-x_k)f(\omega_k)/n (1−xk)f(ωk)/n,本例中就是H×J/200 |
多个测评对象的计算
该部分的计算参考更新篇
对于多个测评对象,这里注意,一定不要将每个测评对象的测评项单独进行计算,例如:有两个机房,那么安全物理环境就涉及两个测评对象,那么我们只取两个测评对象的最终结果作为安全物理环境的结果。
我们取安全物理环境中的几个测评项来举个例子:
这里的测评结果也是虚构的,为了演示方便。
可以看到,例子中共有3个测评对象:机房1、机房2、机房3。
当没有不适用的情况下:
所有对象都符合最后结果是符合,例如:符合、符合、符合→符合;
所有对象都不符合最后结果是不符合,例如:不符合、不符合、不符合→不符合;
所有对象结果不一样最后结果是部分符合,这里不按少数服从多数来取最后的结果,例如:符合、不符合、不符合→部分符合,而不是不符合。
当有不适用的情况下:
所有对象都不适用最后结果是不适用,例如:不适用、不适用、不适用→不适用;
去掉不适用的情况再用没有不适用的情况来进行判断,例如:不适用、不符合、部分符合→不符合、部分符合→部分符合。
小结
总体而言,新版本的计算要比老版本简单很多,当测评对象大于10个(安全计算环境常常有这样的情况)的时候,可以试着把结果进行横排进行比较,得到最后结果在转置粘贴回来,这样便于观察结果,亦可以利用excel的countif函数分别计算符合、部分符合、不符合的个数,根据三个结果的个数来判定最后单个测评项的结果。
新版本的综合测评得分计算带来两个整改趋势:
1.关键测评项基本上要整改到位,否则分数掉很快;
2.某个测评类下多个测评对象出现某个测评项不符合的时候,最投机的整改方式就是至少整改多个测评对象其中一个,使其达到部分符合,整个测评项结果就会变成部分符合。 这条新版已修改
1258
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
