《网络安全等级保护测评核查要点及结论判定（试行）》

《网络安全等级保护测评核查要点及结论判定（试行）》测评资质与项目备案核查要点：核查参与测评的机构是否持有网络安全等级保护测评资质证书，是否在资质有效期内，是否存在超出资质许可范围承接测评项目的情形，测评团队组成人员是否全部持有有效的网络安全等级保护测评师证书，其中测评三级及以上等级保护对象的团队中中级及以上等级测评师占比不低于50%，且至少有1名具备3年以上等保测评工作经验的中级测评师担任项目负责人。核查测评机构是否在实施测评3个工作日前，向测评项目属地设区的市级以上公安机关网络安全保卫部门提交测评项目备案材料，材料包含测评项目名称、被测等级保护对象定级备案证明、测评团队人员清单、测评实施计划，确认被测等级保护对象的定级备案证明在有效期内，过往不存在定级失当被责令重新定级且未完成备案的情形，涉及关键信息基础设施的还需核查其纳入关键信息基础设施识别认定的相关证明材料。物理安全层面测评核查要点：核查测评人员是否完成实地机房勘验，留存有机房出入登记核验记录、现场勘验照片及视频佐证材料，逐一核实机房物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护10类测评项的原始检测数据，其中物理访问控制需核验机房出入口身份鉴别设备实际运行状态、来访人员登记台账留存周期、机房内重要设备区域物理隔离措施有效性，电力供应需核验UPS负载测试原始记录、备用供电设备启动演练记录、供电线路冗余配置情况，温湿度控制需核对机房内温湿度传感器实际监测值是否符合GB/T2887规定的运行阈值，所有检测数据不得仅以被测单位提供的纸质材料作为唯一判定依据，需有现场实测记录支撑。网络和通信安全层面测评核查要点：核查测评人员是否完成边界设备、核心网络设备、安全防护设备的全量配置核验及渗透性测试，其中访问控制策略需核验不同安全域之间的访问控制规则实际生效情况，对跨安全域的非法访问请求进行实际验证，确认不存在规则空配、误配、过宽配置的情形，边界防护需核验防火墙、WAF、入侵检测/防御系统的告警日志留存周期、规则库更新频率、高危攻击事件处置记录，渗透性测试需覆盖网络边界、核心交换节点、无线接入区域，留存完整的测试过程日志、攻击路径记录、漏洞利用验证截图，不得仅以自动化漏洞扫描结果作为网络安全风险判定依据，需对扫描发现的中高危漏洞逐一进行人工复现验证，排除误报后计入测评结果。设备和计算安全层面测评核查要点：核查测评人员是否完成服务器、数据库、中间件、终端设备的账号权限、安全配置、日志审计、补丁管理情况核验，其中身份鉴别项需对所有管理员账号、特权账号进行弱口令实际爆破测试，测试字典规模不低于10万条，不得仅以被测单位提交的“无弱口令”承诺作为判定依据，日志审计项需核验系统日志、操作日志、安全日志的留存时间是否达到6个月以上，日志是否包含操作主体、操作时间、操作对象、操作内容、操作结果5类核心字段，补丁管理项需核查过去12个月内高危安全补丁的安装率，确认不存在公开披露超过30天仍未安装的高危补丁，云环境下的等级保护对象还需核查云服务商提供的基础设施层安全防护证明、租户与云服务商的安全责任划分协议，确认云平台侧的安全防护措施符合对应等级的保护要求。应用和数据安全层面测评核查要点：核查测评人员是否完成业务应用系统的功能安全测试及数据全生命周期安全核验，其中应用层面需对身份鉴别、权限控制、输入校验、异常处理、会话管理5类核心功能进行实际测试，覆盖SQL注入、跨站脚本、命令执行、越权访问等15类常见应用层漏洞，敏感数据处理需核验用户密码、个人信息、重要业务数据的存储和传输方式，确认传输过程采用TLS1.2及以上版本的加密协议，存储过程采用加盐哈希、对称加密等防护措施，不存在明文存储敏感数据的情形，数据备份恢复需核验备份策略执行记录、备份介质存放安全措施、备份数据恢复演练记录，确认备份数据的完整性和可恢复性，涉及重要数据出境的还需核查数据出境安全评估的相关证明材料。安全管理层面测评核查要点：核查测评人员是否完成安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5类管理类测评项的实际核验，其中安全管理制度需核验制度的正式发布文件、公章、修订记录，确认制度内容覆盖技术防护全维度、运维管理全流程，不存在照搬通用模板、与实际运维情况不符的情形，安全管理机构需核验安全负责人任命文件、专职安全管理人员配置清单、背景审查记录，确认至少有1名专职安全管理人员具备网络安全相关专业资质，系统运维管理需核验变更管理记录、漏洞修复记录、安全事件处置记录、外包运维安全协议，确认所有运维操作留痕、高危操作有审批流程、安全事件处置闭环。测评报告质量核查要点：核查测评报告内容是否与实际测评过程留存的原始记录一致，是否完整覆盖对应等级保护对象要求的全部测评项，不存在缺项漏项、选择性测评的情形，测评结果描述客观准确，对不符合项的风险描述清晰、证据充分，不存在隐瞒高危漏洞、虚假判定符合项的情形，报告附件包含完整的原始测评记录、漏洞扫描报告、渗透测试报告、现场核验佐证材料、被测单位确认签字页，报告落款处加盖测评机构公章、至少2名参与测评的测评师手写签字，签字人员与项目备案的测评团队成员一致，不存在代签、冒签的情形，整改建议针对每个不符合项提出可落地的整改措施、明确整改时限，不存在泛泛而谈、无指导性的表述。结论判定规则：测评结论分为合格、基本合格、不合格三个等次。符合以下全部条件的判定为合格：对应等级测评项的整体符合率不低于85%，高风险项符合率达到100%，不存在未整改的高危及以上等级安全漏洞，定级准确、备案有效，测评过程合规、报告内容真实。符合以下全部条件的判定为基本合格：对应等级测评项的整体符合率在70%至84%之间，高风险项符合率不低于95%，存在的高风险不符合项已制定可落地的整改方案、整改时限不超过3个月且已向属地公安机关网络安全保卫部门报备整改计划，不存在可能导致系统瘫痪、大规模数据泄露的重大安全隐患。存在以下任一情形的直接判定为不合格：等级保护对象定级失当、未按规定完成备案；存在3个及以上未整改的高危安全漏洞，或存在1个及以上极危安全漏洞未