标准规范下载简介
DB34/T 4091.2-2022 网络安全等级保护测评机构 第2部分:测评质量检查规范.pdfDB34/T 4091.22022
网络安全等级保护测评机构
Assessment organizationof classifiedprotection of cybersecurityPart2: Evaluationqualityinspectionspecification
DBJ04/T 358-2018标准下载省市场监督管理局 发布
DB34/T4091.22022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是DB34/T4091《网络安全等级保护测评机构》的第2部分。DB34/T4091已经发布了以下部 分: 一第1部分:测评质量要求; 一第2部分:测评质量检查规范。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由安徽省公安厅提出并归口。 本文件起草单位:安徽省质量和标准化研究院、安徽省公安厅网安总队、合肥市公安局网络安全保 卫支队、亳州市公安局网络安全保卫支队、安徽科测信息技术有限公司、安徽省电子产品监督检验所、 合肥天惟信息安全技术有限公司、安徽祥盾信息科技有限公司、安徽等保信息安全测评技术有限公司、 安徽安正测评技术有限公司、安徽国康网络安全测评有限公司、安徽溯源电子科技有限公司、安徽风雪 网络安全测评有限公司、淮南师范学院。 本文件主要起草人:刘菖、冯响林、杨波、袁宁、朱伟、唐珂、张强强、王寒冰、胡欣瑞、赵家辉、 王理冬、武建双、房仲珂、冯玲莉、刘芝影、张多福、陈传宇、张松、陈宗明、方成成、周天熠、周苏 皖、刘磊、孙业国。
DB34/T 4091. 22022
《中华人民共和国网络安全法》申规定“国家实行网络安全等级保护制度”。网络安全等级保护工 作要求建立健全网络安全保障体系,重点保护涉及国家安全、国计民生、社会公共利益等的关键网络信 息系统的基础设施安全、运行安全和数据安全。网络安全等级保护测评机构根据国家网络安全等级保护 制度规定从事等级测评工作,其测评质量直接关系到网络安全防护是否规范、网络安全管理是否落实、 网络安全风险意识是否得到增强。DB34/T4091旨在规定网络安全等级保护测评机构的测评质量要求和 对测评机构的检查规范,以达到提升网络安全等级保护测评机构的测评质量为目的,由两部分构成。 一一第1部分:测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求,为测评质 量检查确立检查内容。 一一第2部分:测评质量检查规范。目的在于规定对网络安全等级保护测评机构测评质量检查的组 织、检查方法、检查流程和评价方法。
DB34/T4091.22022
网络安全等级保护测评机构
第2部分:测评质量检查规
本文件规定了网络安全等级保护测评机构(以下简称“测评机构”)测评质量检查的基本要求和检 查流程。 本文件适用于对测评机构测评质量的检查和评价,也适用于测评机构的自查活动。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T28448一2019信息安全技术网络安全等级保护测评要求 GB/T28449一2018信息安全技术网络安全等级保护测评过程指南 DB34/T4091.1一2022网络安全等级保护测评机构第1部分:测评质量要求
GB/T22239—2019、GB/T28448—2019、GB/T28449—2018界定的以及下列术语和定义适用 件。 检查评价机构inspectionandevaluationagency 负责组织和开展网络安全等级保护测评机构测评质量检查的机构。 注:检查评价机构可以是网络安全等级保护测评质量管理机构或其委托的第三方机构、网络安全等级保护测 测评委托单位或其委托的第三方机构
GB/T22239—2019、GB/T28448—2019、GB/T 2018界定的以及下列术语和定义适用于本 文件。 3.1 检查评价机构inspection and evaluationagency 负责组织和开展网络安全等级保护测评机构测评质量检查的机构。 注:检查评价机构可以是网络安全等级保护测评质量管理机构或其委托的第三方机构、网络安全等级保护测评机构 测评委托单位或其委托的第三方机构,
复核验证reviewandverification 检查人员与测评人员到测评委托单位,对测评记录、测评报告的内容进行现场核查、
1测评质量检查应遵循客观公正、合规自律、科学合理、风险可控的原则。 2实施测评质量检查的检查评价机构应满足下列要求: a) 在中华人民共和国境内注册成立,由中国公民、法人投资或国家投资的组织; b) 具有固定的办公场所和必要的设施; c) 不涉及网络安全等级保护测评及其他相关的咨询、培训等可能影响检查公正性的活动; d) 应与被检查测评机构无利益冲突; e)具 具有3名以上符合条件的检查人员,
DB34/T 4091. 22022
4.3实施测评质量检查的检查人员应满足以下要求: a)检查人员可由检查评价机构的检查人员、网络安全和等级保护相关领域专家、测评委托单位 网络安全专业人员等构成;
实地测计质量应直时应直八应价 a) 检查人员可由检查评价机构的检查人员、网络安全和等级保护相关领域专家、测评委托单位 网络安全专业人员等构成; b) 熟悉网络安全等级保护测评相关的法律法规和标准要求; c) 熟悉网络安全等级保护测评的测评内容、测评流程和测评方法; 熟悉测评质量检查的流程和方法; e)应与被检查测评机构无利益冲突。
测评质量检查可分为检查准备活动、检查实施活动、总结分析活动,各项活动的主要任务见表1
表1检查流程及其主要任务
5.2.1检查准备活动包括接受检查任务、确定检查人员、确定检查内容和测评机构测评质量评价方法、 制定并发布检查方案、确定被检查项目五项主要任务,这五项任务的流程如图1所示。 5.2.2检查评价机构接受检查任务,根据检查任务要求开展检查准备活动。 5.2.3检查评价机构根据检查任务需要和4.3的要求确定检查人员,成立检查组,检查组成员不少于 3人。 5.2.4检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法:
.2.3 检查评价机构根据检查任务需要和4.3的要求确定检查人员,成立检查组,检查组成员不少于 人。 .2.4 检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法 应根据DB34/T4091.1一2022中第4章规定的质量要求或按检查任务需要裁剪后的质量要求 确定检查内容;
5.2.4检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法:
DB34/T4091.22022
图1检查准备活动流程
5.2.5检查组应制定检查方案,必要时,可进行技术评审。检查方案应作为开展质
验查组应制定检查方案,必要时,可进行技术评审。检查方案应作为开展质量检查通知的附件 查方案应包括但不限于下列内容:
2 检查时间; b) 检查依据; cJ 检查评价机构; d) 检查人员; 被检查的测评机构(以下简称“被检查机构”)列表:明确被检查机构名称及检查顺序; f) 检查内容; g) 检查方法:针对检查内容可采用的检查方法(如:访谈、文档审查、复核验证等); h) 检查流程和各方职责; i) 结果评价方法: j) 附件:检查过程中用到的材料、表格(如:检查人员廉洁自律声明、被检查机构廉洁自律声 明、被检查机构确认人员授权书、会议签到表、检查记录表、资料交接声明等)。 .2.6 检查组应根据检查任务需要和下列要求确定被检查项目: a) 应从每个被检查的测评机构已完成的测评项目中选择不少于3个项目用于检查,并从确定的 被检查项目中确定1项用于复核验证。 b) 应优先选择最近一年内开展的测评项目用于检查 g 应优先选择等级保护级别高的测评项目用于检查; d) 应优先选择需要使用安全测评扩展要求的测评项目用于检查; e) 应优先选择需要执行相关行业标准的特殊行业(如:电力、金融等行业)的测评项目用于检 查; f) 应优先选择影响国计民生的信息系统(如:关键信息基础设施、公共服务信息系统)对应的 测评项目用于检查。
3.1检查组应根据检查方案确定的检查顺序到各被检查机构开展检查,检查组在各被检查机构 实施活动包括召开首次会议、开展检查、开展测评机构测评质量评价、召开末次会议四项主要 四项任务的流程如图2所示。
DB34/T 4091. 22022
图2检查实施活动流程
5.3.2检查组应召集被检查机构主要负责, (包括技术负责人和质量负责人)和测评师召开首次会议, 确定联系
个绍检查工作分工,明确检查内容和要求,确定联系人。 5.3.3检查组应按下列要求开展检查: a) 应根据确定的被检查项目收集测评记录、测评报告,及与之相关的质量记录和材料(如:测 评委托协议、保密协议、风险告知书、人员档案、设备档案及维护使用记录、评审记录等); b) 应访谈被检查项目涉及的测评师,检查项目实施和质量控制过程记录,检查测评过程和记录 的真实性、正确性、一致性、有效性; c) 应访谈测评委托单位相关人员,检查项目实施过程、被测定级对象概况、安全管理机构、安 全管理人员、漏洞扫描和渗透测试实施细节与测评记录、测评报告及相关质量记录的真实性、 正确性、一致性、有效性,检查测评方法选择的合理性; d) 应对被检查项目测评记录、测评报告,以及与之相关质量记录及材料开展文档审查,检查记 录的真实性、判定的准确性、材料的一致性: e) 应对被测定级对象开展复核验证,内容包括但不限于: 测评记录和测评报告涉及的被测对象概况; 测评记录和测评报告涉及的网络拓扑、安全防护设备、测评对象选择、安全物理环境和 安全配置策略; 3 测评记录和测评报告涉及的安全控制措施: 4) 测评记录和测评报告涉及的测评委托方提供的材料(如:系统建设资料、系统运行记录、 安全管理制度、安全管理记录等)。 f)检查组应记录发现的问题,并获得被检查机构的确认。 .3.4检查组应根据检查方案确定的评价方法对被检查机构的测评质量进行评价,确定评价结果,并 获得被检查机构的确认。 5.3.5检查组应召集被检查机构主要负责人(包括技术负责人和质量负责人)和测评师召开末次会议: 介绍检查过程,通报发现的问题和检查评价结果,听取被检查机构的建议和意见
5.3.3检查组应按下列要求开展检查
5.4.1所有被检查机构的检查结束后,检查组应开展总结分析活动,总结分析活动包括汇总分析和形 成检查报告两项主要任务,这两项任务的流程如图3所示。 5.4.2检查组应将检查发现的所有测评质量问题按类别进行汇总,并分析各类测评质量问题发生的原 R
检查报告的内容包括但不限于: a) 检查时间; b) 检查依据; c) 检查评价机构信息; d) 测评质量问题汇总及原因分析; e) 改进建议; f) 监管建议; S 工作总结。
DB34/T4091.22022
图3总结分析活动流程
DB34/T 4091. 22022
测评机构测评质量定性评价的流程如图A.1所示,应对检查发现的每个问题进行影响程度分析、发 生可能性分析,根据分析结果得到每个问题的定性评价结果,汇总各个问题的定性评价结果得到测评机 构测评质量定性评价结果,
A.1.2影响程度分析
JTS/T160-2021标准下载图A.1测评机构测评质量定性评价流程
2.1对于检查发现的测评质量问题,应按其对测评结果的影响程度进行划分,可为高、中和低 见表A.1。
1测评质量问题对测评结果造成的影响程度取值
A.1.2.2对测评结果造成重大影响的测评质量问题包括但不限于:
A.1.2.2对测评结果造成重大影响的测评质量问题包括但不限于: a)测评结果、报告与实际不符:
注:主要表现为: 1) 未经测评,直接出具测评记录、报告; 2) 篡改、编造过程记录; 3)测评记录与测评报告的内容不能相互印证:
DB34/T4091.22022
4)测评记录、测评报告的内容与被测定级对象实际不符; 5)测评记录、测评报告与实际测评过程不符。 b) 测评标准、指标、被测对象选取存在重大偏差; 注:主要表现为: 测评标准、指标选取与被测定级对象及合同要求不一致; 2) 随意删减测评对象、测评项目、测评内容; 3) 扩展指标未纳入测评范围: 关键资产未确定为被测对象。 高风险判定不合理,测评结论、评分不正确。 A. 1. 2.3 对测评结果造成一般影响的测评质量问题包括但不限于: a) 测评活动不符合相关标准、规定、作业指导书等要求; b) 测评过程文档、测评记录、测评报告要素不完整; 注:主要表现为:未得到测评委托单位必要的确认或授权、缺少必要的要素、记录的信息不完整(如:版本号记录 缺失或不详细、IP地址缺失)等。 c) 测评深度不够、测评覆盖不全面,测评记录不足以完全支持测评结果,测评不充分; d) 确定的测评对象未能全面覆盖所有设备、系统类型; e) 测评方法、工具选择不正确; f) 整改建议不准确、不完整或不合理。 A.1.2.4对测评结果造成较小或轻微影响的测评质量问题包括但不限于: a) 测评过程文档、测评记录、测评报告中出现错别字、码和格式错误; b) 测评过程记录及记录修改不规范; C) 测评过程中质量记录不完善。
公园景观绿化改善项目施工组织设计A.1.3发生可能性分析