DB34_T 4091.2-2022 网络安全等级保护测评机构 第2部分 测评质量检查规范.docx

《DB34_T 4091.2-2022 网络安全等级保护测评机构 第2部分 测评质量检查规范.docx》由会员分享，可在线阅读，更多相关《DB34_T 4091.2-2022 网络安全等级保护测评机构 第2部分 测评质量检查规范.docx（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.040CCSL8034安徽省地方标准DB34/T4091.22022网络安全等级保护测评机构第2部分：测评质量检查规范AssessmentorganizationofclassifiedprotectionofcybersecurityPart2：Evaluationqualityinspectionspecification2022-03-29发布2022-04-29实施安徽省市场监督管理局发布DB34/T4091.22022前言本文件按照GB/T1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件是DB34/T4091网络安全等级保护测评机构的第2

2、部分。DB34/T4091已经发布了以下部分：第1部分：测评质量要求；第2部分：测评质量检查规范。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由安徽省公安厅提出并归口。本文件起草单位：安徽省质量和标准化研究院、安徽省公安厅网安总队、合肥市公安局网络安全保卫支队、亳州市公安局网络安全保卫支队、安徽科测信息技术有限公司、安徽省电子产品监督检验所、合肥天帷信息安全技术有限公司、安徽祥盾信息科技有限公司、安徽等保信息安全测评技术有限公司、安徽安正测评技术有限公司、安徽国康网络安全测评有限公司、安徽溯源电子科技有限公司、安徽风雪网络安全测评有限公司、淮南师范学院。

3、本文件主要起草人：刘菖、冯响林、杨波、袁宁、朱伟、唐珂、张强强、王寒冰、胡欣瑞、赵家辉、王理冬、武建双、房仲珂、冯玲莉、刘芝影、张多福、陈传宇、张松、陈宗明、方成成、周天熠、周苏皖、刘磊、孙业国。IDB34/T4091.22022引言中华人民共和国网络安全法中规定“国家实行网络安全等级保护制度”。网络安全等级保护工作要求建立健全网络安全保障体系，重点保护涉及国家安全、国计民生、社会公共利益等的关键网络信息系统的基础设施安全、运行安全和数据安全。网络安全等级保护测评机构根据国家网络安全等级保护制度规定从事等级测评工作，其测评质量直接关系到网络安全防护是否规范、网络安全管理是否落实、网络安全风险意

4、识是否得到增强。DB34/T4091旨在规定网络安全等级保护测评机构的测评质量要求和对测评机构的检查规范，以达到提升网络安全等级保护测评机构的测评质量为目的，由两部分构成。第1部分：测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求，为测评质量检查确立检查内容。第2部分：测评质量检查规范。目的在于规定对网络安全等级保护测评机构测评质量检查的组织、检查方法、检查流程和评价方法。IIDB34/T4091.22022网络安全等级保护测评机构第2部分：测评质量检查规范1范围本文件规定了网络安全等级保护测评机构（以下简称“测评机构”）测评质量检查的基本要求和检查流程。本文件适用于对测评机构测

5、评质量的检查和评价，也适用于测评机构的自查活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T222392019信息安全技术网络安全等级保护基本要求GB/T284482019信息安全技术网络安全等级保护测评要求GB/T284492018信息安全技术网络安全等级保护测评过程指南DB34/T4091.12022网络安全等级保护测评机构第1部分：测评质量要求3术语和定义GB/T222392019、GB/T284482019、GB/T2844

6、92018界定的以及下列术语和定义适用于本文件。3.1检查评价机构inspectionandevaluationagency负责组织和开展网络安全等级保护测评机构测评质量检查的机构。注：检查评价机构可以是网络安全等级保护测评质量管理机构或其委托的第三方机构、网络安全等级保护测评机构、测评委托单位或其委托的第三方机构。3.2复核验证reviewandverification检查人员与测评人员到测评委托单位，对测评记录、测评报告的内容进行现场核查、测试和验证。4基本要求4.1测评质量检查应遵循客观公正、合规自律、科学合理、风险可控的原则。4.2实施测评质量检查的检查评价机构应满足下列要求：a)在中

7、华人民共和国境内注册成立，由中国公民、法人投资或国家投资的组织；b)具有固定的办公场所和必要的设施；c)不涉及网络安全等级保护测评及其他相关的咨询、培训等可能影响检查公正性的活动；d)应与被检查测评机构无利益冲突；e)具有3名以上符合条件的检查人员。1检查流程主要任务检查准备活动接受检查任务确定检查人员确定检查内容和测评机构测评质量评价方法制定并发布检查方案确定被检查项目检查实施活动召开首次会议开展检查开展测评机构测评质量评价召开末次会议总结分析活动汇总分析形成检查报告DB34/T4091.220224.3实施测评质量检查的检查人员应满足以下要求：a)检查人员可由检查评价机构的检查人员、网络安

8、全和等级保护相关领域专家、测评委托单位网络安全专业人员等构成；b)熟悉网络安全等级保护测评相关的法律法规和标准要求；c)熟悉网络安全等级保护测评的测评内容、测评流程和测评方法；d)熟悉测评质量检查的流程和方法；e)应与被检查测评机构无利益冲突。5检查流程5.1概述测评质量检查可分为检查准备活动、检查实施活动、总结分析活动，各项活动的主要任务见表1。表1检查流程及其主要任务5.2检查准备活动5.2.1检查准备活动包括接受检查任务、确定检查人员、确定检查内容和测评机构测评质量评价方法、制定并发布检查方案、确定被检查项目五项主要任务，这五项任务的流程如图1所示。5.2.2检查评价机构接受检查任务，根

9、据检查任务要求开展检查准备活动。5.2.3检查评价机构根据检查任务需要和4.3的要求确定检查人员，成立检查组，检查组成员不少于3人。5.2.4检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法：a)应根据DB34/T4091.12022中第4章规定的质量要求或按检查任务需要裁剪后的质量要求确定检查内容；b)应根据检查任务需要选择附录A所列方法开展测评机构测评质量评价。2DB34/T4091.22022接受检查任务确定检查人员确定检查内容和检查结果评价方法制定并发布检查方案确定被检查项目图1检查准备活动流程5.2.5检查组应制定检查方案，必要时，可进行技术评审。检查方案应作

10、为开展质量检查通知的附件发布。检查方案应包括但不限于下列内容：a)检查时间；b)检查依据；c)检查评价机构；d)检查人员；e)被检查的测评机构（以下简称“被检查机构”）列表：明确被检查机构名称及检查顺序；f)检查内容；g)检查方法：针对检查内容可采用的检查方法（如：访谈、文档审查、复核验证等）；h)检查流程和各方职责；i)结果评价方法；j)附件：检查过程中用到的材料、表格（如：检查人员廉洁自律声明、被检查机构廉洁自律声明、被检查机构确认人员授权书、会议签到表、检查记录表、资料交接声明等）。5.2.6检查组应根据检查任务需要和下列要求确定被检查项目：a)应从每个被检查的测评机构已完成的测评项目中

11、选择不少于3个项目用于检查，并从确定的被检查项目中确定1项用于复核验证。b)应优先选择最近一年内开展的测评项目用于检查；c)应优先选择等级保护级别高的测评项目用于检查；d)应优先选择需要使用安全测评扩展要求的测评项目用于检查；e)应优先选择需要执行相关行业标准的特殊行业（如：电力、金融等行业）的测评项目用于检查；f)应优先选择影响国计民生的信息系统（如：关键信息基础设施、公共服务信息系统）对应的测评项目用于检查。5.3检查实施活动5.3.1检查组应根据检查方案确定的检查顺序到各被检查机构开展检查，检查组在各被检查机构的检查实施活动包括召开首次会议、开展检查、开展测评机构测评质量评价、召开末次会

12、议四项主要任务，这四项任务的流程如图2所示。3DB34/T4091.22022召开首次会议开展检查开展测评机构测评质量评价召开末次会议图2检查实施活动流程5.3.2检查组应召集被检查机构主要负责人（包括技术负责人和质量负责人）和测评师召开首次会议，介绍检查工作分工，明确检查内容和要求，确定联系人。5.3.3检查组应按下列要求开展检查：a)应根据确定的被检查项目收集测评记录、测评报告，及与之相关的质量记录和材料（如：测评委托协议、保密协议、风险告知书、人员档案、设备档案及维护使用记录、评审记录等）；b)应访谈被检查项目涉及的测评师，检查项目实施和质量控制过程记录，检查测评过程和记录的真实性、正确

13、性、一致性、有效性；c)应访谈测评委托单位相关人员，检查项目实施过程、被测定级对象概况、安全管理机构、安全管理人员、漏洞扫描和渗透测试实施细节与测评记录、测评报告及相关质量记录的真实性、正确性、一致性、有效性，检查测评方法选择的合理性；d)应对被检查项目测评记录、测评报告，以及与之相关质量记录及材料开展文档审查，检查记录的真实性、判定的准确性、材料的一致性；e)应对被测定级对象开展复核验证，内容包括但不限于：1)测评记录和测评报告涉及的被测对象概况；2)测评记录和测评报告涉及的网络拓扑、安全防护设备、测评对象选择、安全物理环境和安全配置策略；3)测评记录和测评报告涉及的安全控制措施；4)测评记

14、录和测评报告涉及的测评委托方提供的材料（如：系统建设资料、系统运行记录、安全管理制度、安全管理记录等）。f)检查组应记录发现的问题，并获得被检查机构的确认。5.3.4检查组应根据检查方案确定的评价方法对被检查机构的测评质量进行评价，确定评价结果，并获得被检查机构的确认。5.3.5检查组应召集被检查机构主要负责人（包括技术负责人和质量负责人）和测评师召开末次会议，介绍检查过程，通报发现的问题和检查评价结果，听取被检查机构的建议和意见。5.4总结分析活动5.4.1所有被检查机构的检查结束后，检查组应开展总结分析活动，总结分析活动包括汇总分析和形成检查报告两项主要任务，这两项任务的流程如图3所示。5

15、.4.2检查组应将检查发现的所有测评质量问题按类别进行汇总，并分析各类测评质量问题发生的原因。4DB34/T4091.22022汇总分析形成检查报告图3总结分析活动流程5.4.3检查组应总结检查经验形成检查报告，检查报告的内容包括但不限于：a)检查时间；b)检查依据；c)检查评价机构信息；d)测评质量问题汇总及原因分析；e)改进建议；f)监管建议；g)工作总结。5标识定义高如果出现该类测评质量问题，将对网络安全等级保护测评结果造成重大影响。中如果出现该类测评质量问题，将对网络安全等级保护测评结果造成一般影响。低如果出现该类测评质量问题，将对网络安全等级保护测评结果造成较小或轻微影响。DB34/

16、T4091.22022附录A（规范性）测评机构测评质量评价方法A.1定性评价A.1.1评价流程测评机构测评质量定性评价的流程如图A.1所示，应对检查发现的每个问题进行影响程度分析、发生可能性分析，根据分析结果得到每个问题的定性评价结果，汇总各个问题的定性评价结果得到测评机构测评质量定性评价结果。测评质量问题1影响程度分析发生可能性分析测评质量问题定性评价测评质量问题2影响程度分析发生可能性分析测评质量问题定性评价测评质量问题n影响程度分析发生可能性分析测评质量问题定性评价测评机构测评质量定性评价图A.1测评机构测评质量定性评价流程A.1.2影响程度分析A.1.2.1对于检查发现的测评质量问题，

17、应按其对测评结果的影响程度进行划分，可为高、中和低三类，见表A.1。表A.1测评质量问题对测评结果造成的影响程度取值A.1.2.2对测评结果造成重大影响的测评质量问题包括但不限于：a)测评结果、报告与实际不符；注：主要表现为：1)未经测评,直接出具测评记录、报告；2)篡改、编造过程记录；3)测评记录与测评报告的内容不能相互印证；6标识定义高测评质量问题出现的频率高（所有抽检项目中均发现此类问题）；或没有质量管理措施能够保证该问题不会发生。中测评质量问题出现的频率中等（抽检项目中一半及以上有发现此类问题）；或有质量管理措施但存在漏洞，不足以杜绝此类问题的发生。低测评质量问题出现的频率较低（抽检项

18、目中一半以下有发现此类问题）；或有质量管理措施能避免此类问题的发生，但执行不到位。DB34/T4091.220224)测评记录、测评报告的内容与被测定级对象实际不符；5)测评记录、测评报告与实际测评过程不符。b)测评标准、指标、被测对象选取存在重大偏差；注：主要表现为：1)测评标准、指标选取与被测定级对象及合同要求不一致；2)随意删减测评对象、测评项目、测评内容；3)扩展指标未纳入测评范围；4)关键资产未确定为被测对象。c)高风险判定不合理，测评结论、评分不正确。A.1.2.3对测评结果造成一般影响的测评质量问题包括但不限于：a)测评活动不符合相关标准、规定、作业指导书等要求；b)测评过程文档

19、、测评记录、测评报告要素不完整；注：主要表现为：未得到测评委托单位必要的确认或授权、缺少必要的要素、记录的信息不完整（如：版本号记录缺失或不详细、IP地址缺失）等。c)测评深度不够、测评覆盖不全面，测评记录不足以完全支持测评结果，测评不充分；d)确定的测评对象未能全面覆盖所有设备、系统类型；e)测评方法、工具选择不正确；f)整改建议不准确、不完整或不合理。A.1.2.4对测评结果造成较小或轻微影响的测评质量问题包括但不限于：a)测评过程文档、测评记录、测评报告中出现错别字、页码和格式错误；b)测评过程记录及记录修改不规范；c)测评过程中质量记录不完善。A.1.3发生可能性分析对于检查发现的测评

20、质量问题，应分析测评质量问题发生的可能性，可能性的取值范围为高、中和低，见表A.2。表A.2测评质量问题发生的可能性取值A.1.4测评质量问题定性评价对于检查发现的测评质量问题，应根据其影响程度及发生的可能性，进行定性评价，测评质量问题定性评价结果的取值范围为严重、一般和轻微，具体评价方法见表A.3。7测评质量问题影响程度分析结果测评质量问题发生可能性分析结果测评质量问题定性评价结果高高严重高中严重高低一般中高一般中中一般中低一般低高一般低中轻微低低轻微所有测评质量问题定性评价结果测评机构测评质量定性评价结果取值未发现测评质量问题优秀所有测评质量问题的定性评价结果均为“轻微”优秀所有测评质量问

21、题的定性评价结果为“一般”或“轻微”（不全为“轻微”），且测评质量问题总数与检查内容总数的比值小于等于30%良好所有测评质量问题的定性评价结果为“一般”或“轻微”（不全为“轻微”），且测评质量问题总数与检查内容总数的比值大于30%且小于等于50%合格所有测评质量问题的定性评价结果为“一般”或“轻微”（不全为“轻微”），且测评质量问题总数与检查内容总数的比值大于50%不合格存在取值为“严重”的测评质量问题不合格DB34/T4091.22022表A.3测评质量问题定性评价结果A.1.5测评机构测评质量定性评价应综合所有测评质量问题的定性评价结果对测评机构的测评质量进行定性评价，测评机构测评质量定性

22、评价结果的取值范围为优秀、良好、合格、不合格，具体评价方法见表A.4。表A.4测评机构测评质量定性评价结果取值A.2定量评价根据测评机构测评质量实际情况是否符合检查项要求，为检查项赋予权重值（Wi），根据检查结果赋予量化值（Vi），见表A.5，测评质量检查量化评价结果QER（Quantitativeevaluationresult）由式（A.1）计算得到：QER100VW=Wni=1ni=1iii(A.1)式中：8活动检查项a权重值Wi量化值Vi测评准备人员3检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N项目工作计划8检查内容共计N条，检查结果为“不符合”的条款个数X，V

23、i=1-X/N等级测评资料收集9检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N系统调查16检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评工具准备3检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评表单准备3检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N方案编制测评对象确定6检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评指标确定4检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评内容确定5检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N工

24、具测试方法确定4检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评指导书开发5检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N风险规避实施方案编制4检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评方案编制6检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N现场测评现场测评准备6检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N现场测评10检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N结果确认2bc符合：Vi=1不符合：Vi=0报告编制测评结果判定7检查内容共计N条，检查结

25、果为“不符合”的条款个数X，Vi=1-X/N安全问题风险分析3检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N等级测评结论2符合：Vi=1不符合：Vi=0安全整改建议2符合：Vi=1不符合：Vi=0测评报告3检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/Na检查项和检查内容符合DB34/T4091.12022中第4章的要求，也可根据检查任务需要进行裁剪。b符合：第i个检查项目中所有条款的检查结果均为“符合”，则该项目的总体判定为“符合”。c不符合：第i个检查项目中有一个或多个条款检查结果为“不符合”，则该项目的总体判定为“不符合”。DB34/T4091.22022n检查项个数。表A.5测评质量量化评价取值A.3测评质量评价方法的选择A.3.1应根据测评质量检查的目的选择测评质量评价方法。A.3.2仅需对测评机构测评质量整体评价时宜使用定性评价。A.3.3需要对各测评机构测评质量进行横向比较时宜使用定量评价。9