1、 ICS 35.040 CCS L 80 34 安徽省地方标准 DB34/T 4091.22022 网络安全 等级保护 测评机构 第2 部分:测评质 量检查规 范 Assessment organization of classified protection of cybersecurityPart 2:Evaluation quality inspection specification 2022-03-29 发布 2022-04-29 实施 安徽省市场 监 督管理 局 发 布 DB34/T 4091.22022 前 言 本文件 按照GB/T 1.12020 标准 化工 作导则 第1 部分
2、:标准化 文件 的结构 和起草 规则 的规 定起草。本文件 是DB34/T 4091 网 络安全 等级 保护 测评 机构 的第2部分。DB34/T 4091 已经 发布 了以 下部分:第1 部分:测 评质 量要 求;第2 部 分:测评 质量 检查 规范。请注意 本文 件的 某些 内容 可能涉 及专 利。本文 件的 发布机 构不 承担 识别 这些 专利的 责任。本文件 由安 徽省 公安 厅提 出并归 口。本文件 起草 单位:安徽 省 质量和 标准 化研 究院、安 徽省公 安厅 网安 总队、合 肥市公 安局 网络 安全 保卫支队、亳州 市公 安局网 络安全 保卫支 队、安徽科 测信息 技术有 限公
3、 司、安 徽省电 子产品 监督 检验 所、合肥天 帷信息 安全 技术有 限公司、安徽 祥盾 信息科 技有限 公司、安徽 等保信 息安全 测评技 术有 限公 司、安徽安 正测 评技 术有 限公 司、安徽 国康 网络 安全 测 评有限 公司、安徽 溯源 电 子科技 有限 公司、安徽 风 雪网络安 全测 评有 限公 司、淮南师 范学 院。本文件 主要 起草 人:刘菖、冯响 林、杨 波、袁宁、朱 伟、唐 珂、张 强强、王 寒冰、胡欣 瑞、赵 家辉、王理冬、武 建双、房仲 珂、冯玲 莉、刘 芝影、张多 福、陈 传宇、张松、陈宗 明、方 成成、周天 熠、周 苏皖、刘 磊、孙业 国。I DB34/T 409
4、1.22022 引 言 中华 人民 共和 国网 络安 全法 中规 定“国家 实行 网络安 全等 级保 护制 度”。网络 安全 等级 保 护 工作 要 求建 立健 全网 络安 全保 障 体系,重点 保护 涉及国 家 安全、国计 民生、社会公 共 利益 等的 关键 网络 信息 系 统的 基础 设施 安全、运 行 安全 和数 据安 全。网络 安 全等 级保 护测 评机 构根 据 国家 网络 安全等级保护制度规 定从事 等级 测评工 作,其 测评质 量直 接关系 到网络 安全防 护是 否规范、网络 安全管 理是 否落 实、网络安 全风 险意 识是 否得 到增强。DB34/T 4091旨在规 定 网络
5、安全 等级 保护 测评 机 构的 测评 质量 要求和对测评 机构 的检 查规 范,以达到 提升 网络 安全 等级 保护测 评机 构的 测评 质量 为目的,由 两部 分构 成。第1 部分:测评 质量 要 求。目 的在于 规定 网络安 全等级 保护测 评机 构测评 质量要 求,为 测评 质量检查 确立 检查 内容。第2 部分:测评 质量 检 查规范。目的 在于 规定对 网络安 全等级 保护 测评机 构测评 质量检 查的 组织、检 查方 法、检查 流程 和评价 方法。II DB34/T 4091.22022 网 络安全 等级保护 测评机 构 第 2 部分:测评质 量检查 规范 1 范围 本文件 规定
6、 了网 络安 全等 级保护 测评 机构(以 下简 称“测 评机 构”)测 评质 量 检查的 基本 要求 和 检查流程。本文件 适用 于对 测评 机构 测评质 量的 检查 和评 价,也适用 于测 评机 构的 自查 活动。2 规范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款。其 中,注日 期的 引用 文件,仅该日 期对 应的 版本 适用 于本文 件;不注 日期 的引 用文件,其 最新 版本(包 括所有 的修 改单)适 用 于 本文件。GB/T 222392019 信息 安全技 术 网络 安全 等级 保护基 本要 求 GB/T 284482
7、019 信息 安全技 术 网络 安全 等级 保护测 评要 求 GB/T 284492018 信息 安全技 术 网络 安全 等级 保护测 评 过程 指南 DB34/T 4091.12022 网 络安全 等级 保护 测评 机构 第1部分:测 评质 量要 求 3 术语和 定义 GB/T 222392019、GB/T 284482019、GB/T 284492018 界定 的以及 下列术 语和定义 适用 于本文件。3.1 检查评 价机 构 inspection and evaluation agency 负责组 织和 开展 网络 安全 等级保 护测 评机 构测 评质 量检查 的机 构。注:检查评价机构
8、可以是网络安全等级保护测评质量管理机构或其委托的第三方机构、网络安全等级保护测评机构、测评委托单位或其委托的第三方机构。3.2 复核验 证 review and verification 检查人 员与 测评 人员 到测 评委托 单位,对 测评 记录、测评 报告 的内 容进 行现 场核查、测 试和 验证。4 基本要 求 测评质 量检 查应 遵循 客观 公正、合规 自律、科 学合 理、风 险可 控的 原则。4.1 实施测 评质 量检 查的 检查 评价机 构应 满足 下列 要求:4.2 a)在中华 人民 共和 国境 内注 册成立,由 中国 公民、法 人投资 或国 家投 资的 组织;b)具有固 定的
9、办公 场所 和必 要的设 施;c)不涉及 网络 安全 等级 保护 测评及 其他 相关 的咨 询、培训等 可能 影响 检查 公正 性的活 动;d)应与被 检查 测评 机构 无利 益冲突;e)具有3 名以 上符 合条 件的 检查人 员。1 DB34/T 4091.22022 实施测 评质 量检 查的 检查 人员应 满足 以下 要求:4.3 a)检查人 员可由 检查 评价机 构的检 查人员、网 络安全 和等级 保护相 关领 域专家、测评 委托 单 位网络安 全专 业人 员等 构成;b)熟悉网 络安 全等 级保 护测 评相关 的法 律法 规和 标准 要求;c)熟悉网 络安 全等 级保 护测 评的测 评
10、内 容、测评 流程 和测评 方法;d)熟悉测 评质 量检 查的 流程 和方法;e)应与被 检查 测评 机构 无利 益冲突。5 检查流 程 概述 5.1 测评质 量检 查可 分为 检查 准备活 动、检查 实施 活动、总结 分析 活动,各 项活 动的主 要任 务见 表1。表1 检查流 程及 其主 要任 务 检查流程 主要任务 检查准备活动 接受检查任务 确定检查人员 确定检查内容和测评机构测评质量评价方法 制定并发布检查方案 确定被检查项目 检查实施活动 召开首次会议 开展检查 开展测评机构测评质量评价 召开末次会议 总结分析活动 汇总分析 形成检查报告 检查准 备活 动 5.2 5.2.1 检查
11、准 备活 动包 括接 受检 查任务、确 定检 查人 员、确 定检查 内容 和测 评机 构测 评质量 评价 方法、制定并 发布 检查 方案、确 定被检 查项 目五 项主 要任 务,这 五项 任务 的流 程如 图 1 所示。5.2.2 检查评 价机 构接 受检 查任 务,根 据检 查任 务要 求开 展检查 准备 活动。5.2.3 检查评 价机 构根 据检 查任 务需要 和 4.3 的要 求确 定 检查人 员,成立 检查 组,检查组 成员 不少 于3 人。5.2.4 检查组 应根 据检 查任 务需 要和下 列要 求确 定检 查内 容和测 评机 构测 评质 量评 价方法:a)应 根据 DB34/T 4
12、091.12022 中第 4 章规 定的 质量 要求或 按 检查 任务 需要 裁剪 后 的质 量要求确定检 查内 容;b)应根据检 查任 务需 要选 择附 录 A 所列 方法 开展 测评 机构测 评质 量评 价。2 DB34/T 4091.22022 接受检查任务确定检查人员制定 并发布 检查方案确定检查内容和检查结果评价方法确定被检查项目 图1 检查准 备活 动流 程 5.2.5 检查组 应制定 检查 方案,必要时,可进 行技 术评审。检查 方案应 作为 开展质 量检查 通知的附件发布。检查 方案 应包 括但 不限于 下列 内容:a)检查时 间;b)检查依 据;c)检查评 价机 构;d)检查
13、人 员;e)被检查 的测 评机 构(以下 简称“被检 查机 构”)列 表:明 确被 检查 机构 名称 及检查 顺序;f)检查内 容;g)检查方 法:针对 检查 内容 可采用 的检 查方 法(如:访谈、文档 审查、复 核验 证等);h)检查流 程和 各方 职责;i)结果评 价方 法;j)附件:检查过 程中 用到的 材料、表格(如:检查人 员廉洁 自律声 明、被检查 机构廉 洁自 律 声明、被 检查 机构 确认 人员 授权书、会 议签 到表、检 查记录 表、资料 交接 声明 等)。5.2.6 检查组 应根 据检 查任 务需 要和下 列要 求确 定被 检查 项目:a)应从每 个被 检查 的测 评机
14、构已完 成的 测评 项目 中选 择不少 于 3 个项 目用 于检查,并从 确定的被检查 项目 中确 定 1 项用 于复核 验证。b)应优先 选择 最近 一年 内开 展的测 评项 目用 于检 查;c)应优先 选择 等级 保护 级别 高的测 评项 目用 于检 查;d)应优先 选择 需要 使用 安全 测评扩 展要 求的 测评 项目 用于检 查;e)应优先 选择需 要执 行相关 行业标 准的特 殊行 业(如:电力、金融 等行 业)的 测评项 目用 于 检查;f)应优先 选择影 响国 计民生 的信息 系统(如:关键信 息基础 设施、公共 服务信 息系统)对 应 的测评项 目用 于检 查。检查实 施活 动
15、 5.3 5.3.1 检查组 应根据 检查 方案确 定的检 查顺序 到各 被检查 机构开 展检查,检 查组在 各被检 查机构 的 检查实施 活动包 括召 开首次 会议、开展检 查、开展测 评机构 测评质 量评 价、召 开末次 会议四 项主 要任 务,这四项 任务 的流 程如 图 2 所示。3 DB34/T 4091.22022 召开首次会议开展 检查开展测评机构测评质量评价召开末次会议 图2 检查实 施活 动流 程 5.3.2 检查组 应召 集被 检查 机构 主要负 责人(包 括技 术负 责 人和质 量负 责人)和 测评 师 召开首 次会 议,介绍检 查工 作分 工,明确 检查内 容和 要求,
16、确 定联 系人。5.3.3 检查组 应按 下列 要求 开展 检查:a)应根据 确定的 被检 查项目 收集测 评记录、测 评报告,及与 之相关 的质 量记录 和材料(如:测评委托 协议、保 密协 议、风 险 告知 书、人 员档 案、设 备 档案 及维 护使 用记 录、评审记录等);b)应访谈 被检查 项目 涉及的 测评师,检查 项目 实施和 质量控 制过程 记录,检查 测评过 程和 记 录的真实 性、正确 性、一致 性、有 效性;c)应访谈 测评委 托单 位相关 人员,检查项 目实 施过程、被测 定级对 象概 况、安 全管理 机构、安全 管 理人 员、漏 洞扫 描和渗 透 测试 实施 细节 与测
17、 评记 录、测评 报告 及相 关质量 记 录的 真实 性、正确性、一 致性、有 效性,检查 测评 方法 选择 的合 理性;d)应对被 检查项 目测 评记录、测评 报告,以及 与之相 关质量 记录及 材料 开展文 档审查,检 查 记录的真 实性、判 定的 准确 性、材料 的一 致性;e)应对被 测定 级对 象开 展复 核验证,内 容包 括但 不限 于:1)测评记 录和 测评 报告 涉及 的被测 对象 概况;2)测评记 录和测 评报告 涉及 的网络 拓扑、安全 防护设 备、测 评对象 选择、安全 物理环 境 和安全配 置策 略;3)测评记 录和 测评 报告 涉及 的安全 控制 措施;4)测评记 录
18、和 测评 报告 涉及 的测评 委托 方提 供的 材料(如:系 统建 设资 料、系 统 运行记 录、安全管 理制 度、安全 管理 记录等)。f)检查组 应记 录发 现的 问题,并获 得被 检查 机构 的确 认。5.3.4 检查组 应根据 检查 方案确 定的评 价方法 对被 检查机 构的测 评质量 进行 评价,确定评 价结果,并获得被 检查 机构 的确 认。5.3.5 检查组 应召 集被 检查 机构 主要负 责人(包 括技 术负 责 人和质 量负 责人)和 测评 师 召开末 次会 议,介绍检 查过 程,通报 发现 的问题 和检 查评 价结 果,听取被 检查 机构 的建 议和 意见。总结分 析活 动
19、 5.4 5.4.1 所有被 检查机 构的 检查结 束后,检查组 应开 展总结 分析活 动,总 结分 析活动 包括汇 总分析 和 形成检查 报告 两项 主要 任务,这两 项任 务的 流程 如 图3 所 示。5.4.2 检查组 应将检 查发 现的所 有测评 质量问 题按 类别进 行汇总,并分 析各 类测评 质量问 题发生 的 原因。4 DB34/T 4091.22022 汇总分析形成检查 报告 图3 总结分 析活 动流 程 5.4.3 检查组 应总 结检 查经 验形 成检查 报告,检 查报 告的 内容包 括但 不限 于:a)检查时 间;b)检查依 据;c)检查评 价机 构信 息;d)测评质 量问
20、 题汇 总及 原因 分析;e)改进建 议;f)监管建 议;g)工作总 结。5 DB34/T 4091.22022 附录A(规范 性)测评机 构测 评质 量评 价方 法 A.1 定性评 价 A.1.1 评价流 程 测评机 构测评 质量 定性评 价的流程 如图A.1所 示,应 对检查 发现的 每个 问题进 行影响 程度分 析、发生可能 性分 析,根据 分析 结果得 到每 个问 题的 定性 评价结 果,汇总 各个 问题 的定性 评价 结果 得 到 测 评 机构测评 质量 定性 评价 结果。测评质量问题1影响程度分析发生可能性分析测评质量问题定性评价测评机构测评质量 定性评价测评质量问题2影响程度分析
21、发生可能性分析测评质量问题定性评价测评质量问题n影响程度分析发生可能性分析测评质量问题定性评价 图A.1 测评机 构测 评质 量定 性评 价流程 A.1.2 影响程 度分 析 A.1.2.1 对于检 查发现 的测 评质量 问题,应按其 对测 评结果 的影响 程度进 行划 分,可 为高、中和 低 三类,见 表 A.1。表A.1 测评质 量问 题对 测评 结果 造成的 影响 程度 取值 标识 定义 高 如果出现该类测评质量问题,将对网络安全等级保护测评结果造成重大影响。中 如果出现该类测评质量问题,将对网络安全等级保护测评结果造成一般影响。低 如果出现该类测评质量问题,将对网络安全等级保护测评结果
22、造成较小或轻微影响。A.1.2.2 对测评 结果 造成 重大 影响 的测评 质量 问题 包括 但不 限于:a)测评结 果、报告 与实 际不 符;注:主要表现为:1)未经测评,直接出具测评记录、报告;2)篡改、编造过程记录;3)测评记录与测评报告的内容不能相互印证;6 DB34/T 4091.22022 4)测评记录、测评报告的内容与被测定级对象实际不符;5)测评记录、测评报告与实际测评过程不符。b)测评标 准、指标、被 测对 象选取 存在 重大 偏差;注:主要表现为:1)测评标准、指标选取与被测定级对象及合同要求不一致;2)随意删减测评对象、测评项目、测评内容;3)扩展指标未纳入测评范围;4)
23、关键资产未确定为被测对象。c)高风险 判定 不合 理,测评 结论、评分 不正 确。A.1.2.3 对测评 结果 造成 一般 影响 的测评 质量 问题 包括 但不 限于:a)测评活 动不 符合 相关 标准、规定、作 业指 导书 等要 求;b)测评过 程文 档、测评 记录、测评 报告 要素 不完 整;注:主要表现为:未得到测评委托单位必要的确认或授权、缺少必要的要素、记录的信息不完整(如:版本号记录缺失或不详细、IP地址缺失)等。c)测评深 度不 够、测评 覆盖 不全面,测 评记 录不 足以 完全支 持测 评结 果,测评 不充分;d)确定的 测评 对象 未能 全面 覆盖所 有设 备、系统 类型;e
24、)测评方 法、工具 选择 不正 确;f)整改建 议不 准确、不 完整 或不合 理。A.1.2.4 对测评 结果 造成 较小 或轻 微影响 的测 评质 量问 题包 括但不 限于:a)测评过 程文 档、测评 记录、测评 报告 中出 现错 别字、页码 和格 式错 误;b)测评过 程记 录及 记录 修改 不规范;c)测评过 程中 质量 记录 不完 善。A.1.3 发生可 能性 分析 对于检 查发 现的 测评 质量 问题,应分 析测 评质 量问题 发 生的 可能 性,可 能性的 取 值范 围为 高、中 和低,见 表 A.2。表A.2 测评质 量问 题发 生的 可能 性取值 标识 定义 高 测评质 量问
25、题出现 的频 率高(所有抽 检项 目中均 发现 此类问 题);或没 有质量 管理 措施能 够保证 该问 题不会发生。中 测评质 量问 题出现 的频 率中等(抽检 项目 中一半 及以 上有发 现此类 问题);或 有质 量管理 措施但 存在 漏洞,不足以杜绝此类问题的发生。低 测评质 量问 题出现 的频 率较低(抽检 项目 中一半 以下 有发现 此类问 题);或有 质量 管理措 施能避 免此 类问题的发生,但执行不到位。A.1.4 测评质 量问 题定 性评 价 对于检 查发 现的 测评 质量 问题,应根 据其 影响 程度及 发 生的 可能 性,进 行定性 评 价,测 评质 量问 题定性评 价结 果
26、的 取 值范 围为 严重、一 般和 轻微,具 体评价 方法 见表A.3。7 DB34/T 4091.22022 表A.3 测评质 量问 题定 性评 价结 果 测评质量问题 影响程度分析结果 测评质量问题 发生可能性分析结果 测评质量问题 定性评价结果 高 高 严重 高 中 严重 高 低 一般 中 高 一般 中 中 一般 中 低 一般 低 高 一般 低 中 轻微 低 低 轻微 A.1.5 测评机 构测 评质 量定 性评 价 应综合 所有 测评 质量 问题 的定性 评价 结果 对测 评机 构的测 评质 量进 行定 性评 价,测 评机 构测 评 质 量定性评 价结 果的 取 值范 围为 优秀、良 好
27、、合格、不 合格,具 体评 价方 法见 表A.4。表A.4 测评机 构测 评质 量定 性评 价结果 取值 所有测评质量问题 定性评价结果 测评机构 测评质量定性评价结果取值 未发现测评质量问题 优秀 所有测评质量问题的定性评价结果均为“轻微”优秀 所有测评质量问题的定性评价结果为“一般”或“轻微”(不全为“轻微”),且测评质量问题总数与检查内容总数的比值小于等于30%良好 所有测评质量问题的定性评价结果为“一般”或“轻微”(不全为“轻微”),且测评质量问题总数与检查内容总数的比值大于30%且小于等于50%合格 所有测评质量问题的定性评价结果为“一般”或“轻微”(不全为“轻微”),且测评质量问题
28、总数与检查内容总数的比值大于50%不合格 存在取值为“严重”的测评质量问题 不合格 A.2 定量评 价 根据测 评机 构测 评质 量实 际情况 是否 符合 检查 项要求,为 检查 项赋 予权 重值(Wi),根据 检查 结果赋 予量 化值(Vi),见表A.5,测 评质量 检查 量化评价 结果QER(Quantitative evaluation result)由式(A.1)计 算得 到:11100niiiniiVWQERW=(A.1)式中:8 DB34/T 4091.22022 n 检查 项个 数。表A.5 测评质 量量 化评 价取 值 活动 检查项a 权重值Wi 量化值Vi 测评 准备 人员
29、3 检查内容共计N条,检查结果为“不符合”的条款个数X,Vi=1-X/N 项目工作计划 8 检查内容共计 N 条,检查结果为“不符合”的条款个数 X,Vi=1-X/N 等级测评资料收集 9 检查内容共计 N 条,检查结果为“不符合”的条款个数 X,Vi=1-X/N 系统调查 16 检查内容共计N条,检查结果为“不符合”的条款个数X,Vi=1-X/N 测评工具准备 3 检查内容共计 N 条,检查结果为“不符合”的条款个数 X,Vi=1-X/N 测评表单准备 3 检查内容共计 N 条,检查结果为“不符合”的条款个数 X,Vi=1-X/N 方案 编制 测评对象确定 6 检查内容共计N条,检查结果为“
30、不符合”的条款个数X,Vi=1-X/N 测评指标确定 4 检查内容共计N条,检查结果为“不符合”的条款个数X,Vi=1-X/N 测评内容确定 5 检查内容共计N条,检查结果为“不符合”的条款个数X,Vi=1-X/N 工具测试方法确定 4 检查内容共计N条,检查结果为“不符合”的条款个数X,Vi=1-X/N 测评指导书开发 5 检查内容共计N条,检查结果为“不符合”的条款个数X,Vi=1-X/N 风险规避实施方案编制 4 检查内容共计N条,检查结果为“不符合”的条款个数X,Vi=1-X/N 测评方案编制 6 检查内容共计N条,检查结果为“不符合”的条款个数X,Vi=1-X/N 现场 测评 现场测
31、评准备 6 检查内容共计 N 条,检查结果为“不符合”的条款个数 X,Vi=1-X/N 现场测评 10 检查内容共计 N 条,检查结果为“不符合”的条款个数 X,Vi=1-X/N 结果确认 2 符合b:Vi=1 不符合c:Vi=0 报告 编制 测评结果判定 7 检查内容共计N条,检查结果为“不符合”的条款个数X,Vi=1-X/N 安全问题风险分析 3 检查内容共计N条,检查结果为“不符合”的条款个数X,Vi=1-X/N 等级测评结论 2 符合:Vi=1 不符合:Vi=0 安全整改建议 2 符合:Vi=1 不符合:Vi=0 测评报告 3 检查内容共计N条,检查结果为“不符合”的条款个数X,Vi=
32、1-X/N a 检查项和检查内容符合 DB34/T 4091.12022 中第 4 章的要求,也可根据检查任务需要进行裁剪。b 符合:第 i 个检查项目中所有 条款的检查结果均为“符合”,则该项目的总体判定为“符合”。c 不符合:第 i 个检查项目中有 一个或多个条款检查结果为“不符合”,则该项目的总体判定 为“不符合”。A.3 测评质 量评 价方 法的 选择 A.3.1 应根据 测评 质量 检查 的目 的选择 测评 质量 评价 方法。A.3.2 仅需对 测评 机构 测评 质量 整体评 价时 宜使 用定 性评 价。A.3.3 需要对 各测 评机 构测 评质 量进行 横向 比较 时宜 使用 定量评 价。9
