DB34-T 4091.1-2022 网络安全等级保护测评机构 第1部分 测评质量要求

ICSCCS35.04034Assessmentorganizationofclassifiedprotectionofcybersecurity—Part1：EvaluationqualityIDB34/T4091.1—2022本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件是DB34/T4901《网络安全等级保护测评机构》的第1部分。DB34/T4901已经发布了以下部——第1部分：测评质量要求；——第2部分：测评质量检查规范。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由安徽省公安厅提出并归口。本文件起草单位：安徽省质量和标准化研究院、安徽省公安厅网安总队、铜陵市公安局网络安全保卫支队、淮北市公安局网络安全保卫支队、芜湖市公安局网络安全保卫支队、安徽科测信息技术有限公司、安徽省电子产品监督检验所、合肥天帷信息安全技术有限公司、安徽祥盾信息科技有限公司、安徽等保信息安全测评技术有限公司、安徽安正测评技术有限公司、安徽国康网络安全测评有限公司、安徽溯源电子科技有限公司、安徽风雪网络安全测评有限公司、合肥前卫科技有限公司。本文件主要起草人：冯响林、刘菖、杨波、袁宁、张士骑、朱冰、楚学建、朱华斌、齐艳丽、赵家辉、蒋凡、何潇宁、张婷、武建双、程苏秦、王国朝、张多福、陈传宇、张松、陈宗明、方成成、周天熠、刘环。DB34/T4091.1—2022《中华人民共和国网络安全法》中规定“国家实行网络安全等级保护制度”。网络安全等级保护工作要求建立健全网络安全保障体系，重点保护涉及国家安全、国计民生、社会公共利益等的关键网络信息系统的基础设施安全、运行安全和数据安全。网络安全等级保护测评机构根据国家网络安全等级保护制度规定从事等级测评工作，其测评质量直接关系到网络安全防护是否规范、网络安全管理是否落实、网络安全风险意识是否得到增强。DB34/T4901旨在规定网络安全等级保护测评机构的测评质量要求和对测评机构的检查规范，以达到提升网络安全等级保护测评机构的测评质量为目的，由两部分构成。——第1部分：测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求，为测评质量检查确立检查内容。——第2部分：测评质量检查规范。目的在于规定对网络安全等级保护测评机构测评质量检查的组织、检查方法、检查流程和评价方法。DB34/T4091.1—20221网络安全等级保护测评机构第1部分：测评质量要求本文件规定了网络安全等级保护测评机构（以下简称“测评机构”）的测评质量要求。本文件适用于对测评机构测评质量的检查和评价，也适用于测评机构的自查活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T28448—2019信息安全技术网络安全等级保护测评要求GB/T28449—2018信息安全技术网络安全等级保护测评过程指南3术语和定义GB/T22239—2019、GB/T28448—2019和GB/T28449—2018界定的术语和定义适用于本文件。4质量要求4.1测评准备活动测评准备活动的质量要求如表1所示。表1测评准备活动的质量要求实施三级项目测评的测评师应不少于4名，其中高级测评师、中级测评师应各不少于1名；实施四级项目测评的DB34/T4091.1—20222应收集项目测评所需的测评委托单位的资料，包括但不限于委托单位管理架构、技术体系应收集项目测评所需的被测对象的资料，包括但不限于安全保护等级、业务情况、数据情针对云计算平台的等级测评，还应收集云计算平台运营机构的管理架构、技术实现机制及针对云租户系统的等级测评，还应收集云计算平台运营机构与租户的关系、云平台的服务针对移动互联应用的等级测评，还应收集各类无线接入设备部署情况、移动终端使用情况应使用统一格式的系统调查表格（如：系统调查表格模板），调查表格系统调查表格应调查承载的业务情况，包括但不限于：被测对象名称、定级等级、系统调查表格应调查被测对象涉及的网络结构并绘制网络拓扑图，网络拓扑图应能明确被测对象涉及的功能/安全区域划分、隔离与防护情况、关键网络和服务器设备部署情况、与其他系统的互联情况、边界网络设备情应调查被测对象涉及的安全设备信息，包括但不限于：设备名称、设备类型、品牌型号、应调查被测对象涉及的服务器及存储设备信息，适用时，还应调查宿主机、云管理服务器、云应用服务器的信息。这些信息包括但不限于：设备名称、设备类型、品牌型号、是否虚拟设备、操作系统或存储管理系统名称应调查被测对象涉及的终端设备信息，包括但不限于：设备名称、设备类型、品牌型号、DB34/T4091.1—20223应调查被测对象涉及的支撑或管理系统（如：数据库管理系统、中间件、网管软件、安全管理软件、云计算管理软件）信息，适用时，还应调查云计算平台安全管理系统、云计算平台数据库管理系统、云计算平台中间件应调查被测对象涉及的业务应用系统信息，包括但不限于：系统名称和版本、开发厂商、应调查被测对象涉及的数据信息，包括但不限于：数据类别（如：业务数据、重要个人信息）、所属业务应用系统、安全防护需求（如：保密性、完整性、抗抵赖性、可核查性、真实性）。使用大数据处理技术处理数据应调查被测对象涉及的安全相关人员信息，包括但不限于：姓名、角色、主要职责、联系包括但不限于：安全主管、系统建设负责人、系统运维负责人、网络（安全）管理员、设应对调查到的信息进行整理、分析，对不符合要求的应重新调查，必要时应安排现场调查应根据测评任务需要准备测评表，这些表单包括但不限于：风险告知书、文档交接单、会4.2方案编制活动方案编制活动的质量要求如表2所示。表2方案编制活动的质量要求对不能确定为测评对象的重要业务应用系统、网络互联设备、安全设备、服务器、管理制度和记录等，应充分DB34/T4091.1—20224表2（续）内容发当需要开展工具测试、渗透测试时，应编制针对性的风险规避实应组织项目组人员对测评方案进行评审，评审的内容应包括但不限于：方案的针对性、完整性、正确性、可实4.3现场测评活动现场测评活动的质量要求如表3所示。表3现场测评活动的质量要求应向测评委托单位提交风险告知书，充分告知测评可能引入的风险及可采取的规避措施，并获得测评委托单位现场测评授权书授权的内容应明确授权使用的被测对象（包括操作系统/管理系统/业务系统账户密码、管理制度）、授权范围（时间段、权限、操作者）、授权目的、可能产生的影响、规避风险的措施及建议等。授权使用的被测对象应具有唯一性标识（如：IP地址、设备唯一编号）。适用时，还应规定渗透测试的执行时间、渗DB34/T4091.1—20225表3（续）应根据测评任务的需要申领相关设备、借阅相关文件（如：管理制度、安全记录、过往的测评报告），并对设应召开测评现场首次会，编制会议记录，会议记录内容应包括但不限于：现场测评工作安排、测评计划和测评测评师和渗透测试人员应与测评方案中规定的人员一致，确需变更时，应提出书面申请，并得到委托测评单位应详细记录测评过程信息，这些信息可包括但不限于：执行时间、执行人、审核人、测评方法、测评工具唯一标识（适用时）、测评对象唯一标识、模块名称（适用时）、文件唯一标识及页面（适用时）、实际情况描述对于整改后的测评项应按上述要求进行再次测评，且应分析整改对其他相关测评项目的影响，必要时应对受到4.4报告编制活动报告编制活动的质量要求如表4所示。表4报告编制活动