请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。第*部分:测评质量检查规范。第*部分:测评质量要求;本文件是****/*****《网络安全等级保护测评机构》的第*部分。****/*****已经发布了以下部分:本文件按照**/**.*—****《标准化工作导则第*部分:标准化文件的结构和起草规则》的规定起草。前言
——第*部分:测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求,为测评质量检查确立检查内容。《中华人民共和国网络安全法》中规定“国家实行网络安全等级保护制度”。网络安全等级保护工作要求建立健全网络安全保障体系,重点保护涉及国家安全、国计民生、社会公共利益等的关键网络信息系统的基础设施安全、运行安全和数据安全。网络安全等级保护测评机构根据国家网络安全等级保护制度规定从事等级测评工作,其测评质量直接关系到网络安全防护是否规范、网络安全管理是否落实、网络安全风险意识是否得到增强。****/*****旨在规定网络安全等级保护测评机构的测评质量要求和对测评机构的检查规范,以达到提升网络安全等级保护测评机构的测评质量为目的,拟由*部分构成。引言本文件主要起草人:冯响林、刘菖、杨波、袁宁、张士骑、齐艳丽、蒋凡、何潇宁、王永红、武建双、程苏秦、王国朝、张多福、陈传宇、张松、陈宗明、方成成、周天熠。本文件起草单位:****省公安厅网安总队、****科测信息技术有限公司、****省电子产品监督检验所、****天帷信息安全技术有限公司、****祥盾信息科技有限公司、****等保信息安全测评技术有限公司、****安正测评技术有限公司、****国康网络安全测评有限公司、****溯源电子科技有限公司、****风雪网络安全测评有限公司。本文件由****省公安厅归口。
规范性引用文件本文件适用于对测评机构测评质量的检查和评价,也可用于测评机构的自查活动。本文件规定了网络安全等级保护测评机构(以下简称“测评机构”)的测评质量要求。范围网络安全等级保护测评机构第*部分:测评质量要求——第*部分:测评质量检查规范。目的在于规定对****的组织、检查方法、检查流程和评价方法。
**/******、**/******、**/******界定的术语和定义适用于本文件。术语和定义**/******—****信息安全技术网络安全等级保护测评过程指南**/******—****信息安全技术网络安全等级保护测评要求**/******信息安全技术网络安全等级保护基本要求下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
方案编制活动测评准备活动的质量要求测评准备活动的质量要求如表*所示。测评准备活动质量要求
项目 |
要求 |
人员 |
参与项目测评的测评师数量和等级应与被测对象等级保护级别相符:实施*级项目测评的测评师不应少于*名;实施*级项目测评的测评师不应少于*名,其中高级测评师、中级测评师应各不少于*名;实施*级项目测评的测评师不应少于*名,其中中级测评师不应少于*名,高级测评师不应少于*名。 |
人员 |
测评师的测评能力应得到保持,按要求参加培训,持等级测评师证上岗。 |
人员 |
需要开展渗透测试的测评项目,应配置专职渗透测试人员至少*名。 |
项目工作计划 |
应根据委托测评协议书的内容编制项目计划书。 |
项目工作计划 |
项目计划书应包括被测对象概述。 |
项目工作计划 |
项目计划书应分析测评的内容、规模。 |
项目工作计划 |
项目计划书应明确被测对象是否涉及云计算平台、物联网、移动互联、工业控制系统等新技术新应用。 |
项目工作计划 |
项目计划书应分析测评的实施计划、重点环节。 |
项目工作计划 |
项目计划书应说明测评人员要求。 |
项目工作计划 |
应为项目计划书设置符合测评机构管理规定要求的唯*标识,该标识能与测评任务实现关联。 |
项目工作计划 |
项目计划书应经过编制、审核和批准流程。 |
等级测评资料收集 |
应收集项目测评所需的测评委托单位的资料,包括但不限于委托单位管理架构、技术体系、运行情况、建设方案、建设过程中相关文档。 |
等级测评资料收集 |
应收集项目测评所需的被测对象的资料,包括但不限于安全保护等级、业务情况、数据情况、网络情况、软硬件情况、管理模式和安全部门及角色等。 |
等级测评资料收集 |
针对云计算平台的等级测评,还应收集云计算平台运营机构的管理架构、技术实现机制及架构、运行情况、云计算平台的定级情况、云计算平台的等级测评结果。 |
等级测评资料收集 |
针对云租户系统的等级测评,还应收集云计算平台运营机构与租户的关系、云平台的服务架构模式以及其具体内容、定级对象的相关情况。 |
等级测评资料收集 |
针对物联网系统的等级测评,还应收集各类感知层设备的检测情况、感知层设备部署情况、感知层物理环境、感知层通信协议等信息。 |
等级测评资料收集 |
针对移动互联应用的等级测评,还应收集各类无线接入设备部署情况、移动终端使用情况、移动应用程序、移动通信协议等信息。 |
等级测评资料收集 |
应整理并分析收集到的所有资料,评估资料收集的完整性和资料的有效性,并记录评估过程和结果。 |
系统调查 |
应使用统*格式的系统调查表格(如:系统调查表格模板),调查表格应具有唯*性标识,该标识能与测评任务实现关联。 |
系统调查 |
系统调查表格应调查测评委托单位的基本信息,包括但不限于:单位名称、单位地址、联系人、联系电话。 |
系统调查 |
系统调查表格应调查被测对象的基本情况,包括但不限于:采用的主要技术、主要功能、核心业务、关键数据、服务对象。 |
系统调查 |
系统调查表格应调查承载的业务情况,包括但不限于:被测对象名称、定级等级、被测对象形态(如:传统系统、云计算平台、物联网、移动互联、工业控制系统等)。 |
系统调查 |
系统调查表格应调查被测对象涉及的网络结构绘制网络拓扑图,网络拓扑图应能明确被测对象涉及的功能/安全区域划分、隔离与防护情况、关键网络和服务器设备部署情况、与****系统的互联情况、边界网络设备情况、网络管理工具以及本地备份或灾备中心的情况。 |
系统调查 |
应调查被测对象涉及的机房信息,包括但不限于:机房名称、位置、重要程度。 |
系统调查 |
应调查被测对象涉及的网络互联设备信息,包括但不限于:设备名称、设备类型、品牌型号、是否虚拟设备、软件版本及补丁版本、所属网络区域、主要用途、重要程度。 |
系统调查 |
应调查被测对象涉及的安全设备信息,包括但不限于:设备名称、设备类型、品牌型号、软件版本及病毒或规则库版本、所属网络区域、主要用途、重要程度。 |
系统调查 |
应调查被测对象涉及的服务器及存储设备信息,适用时,还应调查宿主机、云管理服务器、云应用服务器的信息。这些信息包括但不限于:设备名称、设备类型、品牌型号、是否虚拟设备、操作系统或存储管理系统名称及版本、所承载的业务应用系统名称及版本、重要程度。 |
系统调查 |
应调查被测对象涉及的终端设备信息,包括但不限于:设备名称、设备类型、品牌型号、操作系统或控制系统名称及版本、设备用途、重要程度。 |
系统调查 |
应调查被测对象涉及的支撑或管理系统(如:数据库管理系统、中间件、网管软件、安全管理软件、云计算管理软件)信息,适用时,还应调查云计算平台安全管理系统、云计算平台数据库管理系统、云计算平台中间件软件的信息。这些信息包括但不限于支撑或管理系统名称及版本、部署设备名称、主要功能、重要程度。 |
系统调查 |
应调查被测对象涉及的业务应用系统信息,包括但不限于:系统名称和版本、开发厂商、主要功能、处理的核心数据、用户数量、系统架构、重要程度。 |
系统调查 |
应调查被测对象涉及的数据信息,包括但不限于:数据类别(如:业务数据、重要个人信息)、所属业务应用系统、安全防护需求(如:保密性、完整性、抗抵赖性、可核查性、真实性)。使用大数据处理技术处理数据时,还应明确实现数据采集、存储、处理、应用、流动、销毁等环节的实施模块。 |
系统调查 |
应调查被测对象涉及的安全相关人员信息,包括但不限于:姓名、角色、主要职责、联系电话。相关人员可以包括但不限于:安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、设备(资产)管理员、软件开发人员、机房管理员、安全审计人员等。 |
系统调查 |
应调查被测对象涉及的安全管理制度信息,包括但不限于:文件名称、文件编号、适用范围、主要内容。 |
系统调查 |
应对调查到的信息进行整理、分析,对不符合要求的应重新调查,必要时应安排现场调查,应对调查结果进行评估,并记录评估过程和结果。 |
测评工具准备 |
应根据测评任务需要选择合适的测评工具(包括漏洞扫描工具、渗透性测试工具、***安全评估工具、数据库扫描工具和协议分析工具等)。 |
测评工具准备 |
应对选择的测评工具软件进行维护(如:更新升级、设置、杀毒)。 |
测评工具准备 |
必要时,应对工具操作人员开展培训。 |
测评表单准备 |
应根据测评任务需要准备测评表,这些表单包括但不限于:风险告知书、文档交接单、会议记录表单、会议签到表单、测试记录表单。 |
测评表单准备 |
测评表单应具有唯*性标识,该标识能与测评任务实现关联。 |
测评表单准备 |
测评准备阶段使用的表单内容应准确,并应获得测评委托单位的确认。 |
现场测评活动的质量要求现场测评活动的质量要求如表*所示。现场测评活动方案编制活动的质量要求方案编制活动的质量要求如表*所示。
项目 |
要求 |
测评对象确定 |
测评对象的选择应与定级结果相符,且符合**/* *****—****附录*的要求。 |
测评对象确定 |
应将面临威胁较大的涉及新技术新应用的设备或组件确定为测评对象。 |
测评对象确定 |
应将共享/互联设备确定为测评对象。 |
测评对象确定 |
应正确识别承载被测对象核心或重要业务、数据的服务器,并将其确定为测评对象。 |
测评对象确定 |
选择的测评对象种类(如:网络互联设备类型、安全设备类型、主机操作系统类型、数据库系统类型和应用系统类型等)和数量符合测评等级的要求。 |
测评对象确定 |
对不能确定为测评对象的重要业务应用系统、网络互联设备、安全设备、服务器、管理制度和记录等,应充分分析原因,得到测评委托单位的确认,并保存相关记录。 |
测评指标确定 |
测评对象的安全要求组合应与定级结果相符。 |
测评指标确定 |
相关行业规范中涉及的网络安全要求应作为测评指标。 |
测评指标确定 |
新技术新应用涉及的扩展要求应作为测评指标。 |
测评指标确定 |
对测评指标与被测对象、测评指标与测评对象的适应性进行分析,记录不适用的原因。 |
测评内容确定 |
测评指标应映射到各测评对象上。 |
测评内容确定 |
测评对象的每个测评指标都应选择对应的测评方法。 |
测评内容确定 |
测评实施内容应符合**/* *****的要求,特别的应予以说明。 |
测评内容确定 |
适用时,应规定渗透测试的内容。 |
测评内容确定 |
测评力度应符合**/* *****—**** 附录*的要求。 |
工具测试方法确定 |
应根据测评对象的特点选择测评工具,并规定测试工具的名称及版本。 |
工具测试方法确定 |
应根据**/* *****的要求选择合适的测试路径。 |
工具测试方法确定 |
应根据测试路径的特点为测试工具选择合适的接入点。 |
工具测试方法确定 |
应规定具有操作能力的人员使用测试工具开展测试,并形成工具测试记录。 |
测评指导书开发 |
应根据测评对象、测评指标、测评内容、测试方法的特点编制测评指导书。 |
测评指导书开发 |
测评指导书应规定单项测评的测评项、测评方法、测评步骤、预期结果。 |
测评指导书开发车【 |
测评指导书应规定整体测评的步骤和方法。 |
测评指导书开发车【 |
适用时,应规定漏洞扫描和渗透测试的方法、步骤。 |
测评指导书开发车【 |
测评指导书的内容应通俗易懂、准确、无歧义,必要时,应对测评指导书进行培训。 |
风险规避实施方案编制 |
应从测评对象、测评内容、测评力度、测评方法的特点着手,识别测评过程中可能存在的风险。 |
风险规避实施方案编制 |
当需要开展工具测试、渗透测试时,应编制针对性的风险规避实施方案,必要时,应搭建模拟环境,验证漏洞扫描或者渗透测试的风险。 |
风险规避实施方案编制 |
应根据识别的风险制定具有针对性的风险规避实施方案。 |
风险规避实施方案编制 |
制定的风险规避实施方案应正确、有效、可实施,必要时,应对风险规避实施方案进行评审。 |
测评方案编制 |
应根据等级保护过程中的等级测评实施要求,完整准确的罗列测评活动所依据的标准。 |
测评方案编制 |
应根据委托测评协议书和被测对象情况,估算现场测评工作量。 |
测评方案编制 |
应根据项目组人员组成和测评任务需要,编制任务分工。 |
测评方案编制 |
应编制测评计划,其内容应包括但不限于:人员组成及分工、设备设施、时间进度、停止/恢复条件。 |
测评方案编制 |
应组织项目组人员对测评方案进行评审,评审的内容应包括但不限于:方案的针对性、完整性、正确性、可实施性。 |
测评方案编制 |
测评方案应得到测评委托单位的确认。 |
项目 |
要求 |
现场测评准备 |
应向测评委托单位提交风险告知书,充分告知测评可能引入的风险及可采取的规避措施,并获得测评委托单位的确认。 |
现场测评准备 |
应根据测评对象和测评内容编制现场测评授权书,现场测评授权应遵循最小必要的原则。 |
现场测评准备 |
现场测评授权书授权的内容应明确授权使用的被测对象(包括操作系统/管理系统/业务系统账户密码、管理制度)、授权范围(时间段、权限、操作者)、授权目的、可能产生的影响、规避风险的措施及建议等。授权使用的被测对象应具有唯*性标识(如:**地址、设备唯*编号)。适用时,还应规定渗透测试的执行时间、渗透范围。 |
现场测评准备 |
现场测评授权书应得到测评委托单位的确认。 |
现场测评准备 |
应根据测评任务的需要申领相关设备、借阅相关文件(如:管理制度、安全记录、过往的测评报告),并对设备状态、文档借阅信息进行确认。 |
现场测评准备 |
应召开测评现场首次会,编制会议纪要,会议纪要内容应包括但不限于:现场测评工作安排、测评计划和测评内容。 |
现场测评 |
应由*名以上具有资质的测评师开展现场测评,应由专职渗透测试人员开展渗透测试。 |
现场测评 |
测评师和渗透测试人员应与测评方案中规定的人员*致,确需变更时,应提出书面申请,并得到委托测评单位的确认。 |
现场测评 |
应根据测评方案、测评指导书、现场测评授权书的要求按计划实施现场测评。不得删减测评对象、测评内容,不得更改测评方法,确需变更时,应提出书面申请,并得到委托测评单位的确认。 |
现场测评 |
应详细记录测评过程信息,这些信息可包括但不限于:执行时间、执行人、审核人、测评方法、测评工具唯*标识(适用时)、测评对象唯*标识、模块名称(适用时)、文件唯*标识及页面(适用时)、实际情况描述(如:现状、配置情况、制度要求)。 |
现场测评 |
测评记录应清晰准确、客观公正,必要时应保存截图、照片或录像。 |
现场测评 |
应确保电子记录(如:工具测试结果、测试记录电子文档)在生成、转移、存储等过程中不能被篡改。 |
现场测评测评 |
测评记录应得到测评委托单位的确认。 |
现场测评测评 |
同*项目不同轮次的测评记录应使用版本控制,后*轮次的测评记录不应覆盖前*轮次的记录。 |
现场测评测评 |
应按照测评机构项目管理和保密管理的规定对测评过程、记录、结果进行管理。 |
现场测评测评 |
应按照测评机构项目管理和保密管理的规定对涉及的敏感信息进行处理。 |
结果确认 |
应召开测评现场末次会,并形成会议记录,记录的内容包括但不限于:测评过程简介、发现的问题及整改建议。 |
结果确认 |
应与测评委托单位沟通测评过程中发现的问题,并得到测评委托单位的确认。 |
__________________________________________________________________报告编制活动的质量要求报告编制活动的质量要求如表*所示。报告编制活动
项目 |
要求 |
测评结果判定 |
应逐*核对“不适用”项,并准确分析不适用的原因。 |
测评结果判定 |
应根据测评记录准确判定单项测评结果和符合程度得分。 |
测评结果判定 |
应汇总和分析已有安全措施和主要安全问题,应罗列被测对象采用的安全保护措施,并客观评价其达到的效果。 |
测评结果判定 |
应按照**/* *****—**** **.*的要求开展安全控制点测评,且结果判定准确。 |
测评结果判定 |
应按照**/* *****—**** **.*的要求开展安全控制点间测评,并调整测评结果。 |
测评结果判定 |
应按照**/* *****—**** **.*的要求开展区域间测评,并调整测评结果。 |
测评结果判定 |
应汇总整体测评结果,调整经整体测评后安全问题严重程度,并准确说明调整理由。 |
安全问题风险分析 |
应对等级测评结果中存在的所有安全问题进行安全问题风险分析。 |
安全问题风险分析 |
应发掘关联资产和关联威胁,确定安全问题可能造成的最大安全危害(损失)。 |
安全问题风险分析 |
应根据安全危害(损失)准确确定风险等级。 |
等级测评结论 |
应根据安全问题风险分析结果和综合得分确定等级测评结论。 |
等级测评结论 |
综合得分公式使用正确,结果计算准确。 |
安全整改建议 |
应对所有安全问题提出整改建议。 |
安全整改建议 |
所提出的整改建议应尽可能直接有效,且通过利用现有资源(如:软硬件设备、管理制度)或追加少量资源即可实现。 |
测评报告 |
测评报告格式应符合测评报告模板要求,测评报告的要素应符合**/* *****、测评报告模板的要求。 |
测评报告 |
测评机构应按照质量管理要求对测评报告进行评审,并形成评审记录。 |
测评报告 |
测评报告应经过*级审核,并加盖等级测评(****)专用章、测评机构测试专用章(或公章)。测评报告出现影响测评结果或测评委托单位使用的情况时,应编制修订页,必要时,应按照质量管理要求收回原报告,修改完善后重新审核发布。 |
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。第*部分:测评质量检查规范。第*部分:测评质量要求;本文件是****/*****《网络安全等级保护测评机构》的第*部分。****/*****已经发布了以下部分:本文件按照**/**.*—****《标准化工作导则第*部分:标准化文件的结构和起草规则》的规定起草。前言
——第*部分:测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求,为测评质量检查确立检查内容。《中华人民共和国网络安全法》中规定“国家实行网络安全等级保护制度”。网络安全等级保护工作要求建立健全网络安全保障体系,重点保护涉及国家安全、国计民生、社会公共利益等的关键网络信息系统的基础设施安全、运行安全和数据安全。网络安全等级保护测评机构根据国家网络安全等级保护制度规定从事等级测评工作,其测评质量直接关系到网络安全防护是否规范、网络安全管理是否落实、网络安全风险意识是否得到增强。****/*****旨在规定网络安全等级保护测评机构的测评质量要求和对测评机构的检查规范,以达到提升网络安全等级保护测评机构的测评质量为目的,拟由*部分构成。引言本文件主要起草人:刘菖、冯响林、杨波、袁宁、朱伟、王寒冰、胡欣瑞、王理冬、武建双、房仲珂、冯玲莉、刘芝影、张多福、陈传宇、张松、陈宗明、方成成、周天熠。本文件起草单位:****省公安厅网安总队、****科测信息技术有限公司、****省电子产品监督检验所、****天帷信息安全技术有限公司、****祥盾信息科技有限公司、****等保信息安全测评技术有限公司、****安正测评技术有限公司、****国康网络安全测评有限公司、****溯源电子科技有限公司、****风雪网络安全测评有限公司。本文件由****省公安厅归口。
规范性引用文件本文件适用于对测评机构测评质量的检查和评价,也可用于测评机构的自查活动。本文件规定了网络安全等级保护测评机构(以下简称“测评机构”)测评质量检查的基本要求和检查流程。范围网络安全等级保护测评机构第*部分:测评质量检查规范——第*部分:测评质量检查规范。目的在于规定对****的组织、检查方法、检查流程和评价方法。
**/******、**/******、**/******界定的以及下列术语和定义适用于本文件。术语和定义**/******信息安全技术网络安全等级保护测评过程指南**/******信息安全技术网络安全等级保护测评要求**/******信息安全技术网络安全等级保护基本要求下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
测评质量检查应遵循客观公正、合规自律、科学合理、风险可控的原则。基本要求检查人员与测评人员到测评委托单位,对测评记录、测评报告的内容进行现场核查、测试和验证。复核验证*********************省网络安全等级保护工作领导小组办公室(以下简称“等保办”)或受其委托开展网络安全等级保护测评质量检查的第*方机构。检查评价机构*****************************
具有*名以上符合条件的检查人员。应与被检查测评机构无利益冲突;不涉及网络安全等级保护测评及****相关的咨询、培训等可能影响检查公正性的活动;具有固定的办公场所和必要的设施;在中华人民共和国境内注册成立,由中国公民、法人投资或国家投资的组织;实施测评质量检查的检查评价机构应满足下列要求:
检查流程应与被检查测评机构无利益冲突。熟悉测评质量检查的流程和方法;熟悉网络安全等级保护测评的测评内容、测评流程和测评方法;熟悉网络安全等级保护测评相关的法律法规和标准要求;实施测评质量检查的检查人员应满足以下要求:
检查准备活动包括接受检查任务、确定检查人员、确定检查内容和测评机构测评质量评价方法、制定并发布检查方案、确定被检查项目*项主要任务,这*项任务的流程如图*所示。检查准备活动检查流程及其主要任务测评质量检查可分为检查准备活动、检查实施活动、总结分析活动,各项活动的主要任务见表*。概述
检查流程 |
主要任务 |
检查准备活动 |
接受检查任务 |
检查准备活动 |
确定检查人员 |
检查准备活动 |
确定检查内容和测评机构测评质量评价方法 |
检查准备活动 |
制定并发布检查方案 |
检查准备活动 |
确定被检查项目 |
检查实施活动 |
召开首次会议 |
检查实施活动 |
开展检查 |
检查实施活动 |
开展测评机构测评质量评价 |
检查实施活动 |
召开末次会议 |
总结分析活动 |
汇总分析 |
总结分析活动 |
形成检查报告 |
检查组应制定检查方案,必要时,可进行技术评审。检查方案应作为等保办开展质量检查通知的附件发布。检查方案应包括但不限于下列内容:应根据检查任务需要选择使用附录*所列方法开展测评机构测评质量评价。应根据****/******.*第*章规定的质量要求或按检查任务需要裁剪后的质量要求确定检查内容;检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法:检查评价机构根据检查任务需要和*.*的要求确定检查人员,成立检查组,检查组成员不少于*人。检查评价机构接受检查任务,根据检查任务要求开展检查准备活动。
检查内容;被检查的测评机构(以下简称“被检查机构”)列表:明确被检查机构名称及检查顺序;检查人员;检查评价机构;检查依据;检查时间;
检查组应根据检查任务需要和下列要求确定被检查项目:检查准备活动流程附件:检查过程中用到的材料、表格,如:检查人员廉洁自律声明、被检查机构廉洁自律声明、被检查机构确认人员授权书、会议签到表、检查记录表、资料交接声明等。结果评价方法;检查流程和各方职责;检查方法:针对检查内容可采用的检查方法,这些方法包括但不限于:访谈、文档审查、复核验证等;
应优先选择影响国计民生的信息系统(如:关键信息基础设施、公共服务信息系统)对应的测评项目用于检查。应优先选择涉及特殊行业(如:电力、金融等行业)的测评项目用于检查;应优先选择需要使用安全测评扩展要求的测评项目用于检查;应优先选择等级保护级别高的测评项目用于检查;应优先选择最近*年内开展的测评项目用于检查;应从每个被检查的测评机构已完成的测评项目中选择不少于*个项目用于检查,并从确定的被检查项目中确定*项用于复核验证。
应访谈被检查项目涉及的测评师,检查项目实施和质量控制过程记录,检查测评过程和记录的真实性、正确性、*致性、有效性;应根据确定的被检查项目收集测评记录、测评报告,及与之相关的质量记录和材料(如:测评委托协议、保密协议、风险告知书、人员档案、设备档案及维护使用记录、评审记录等);检查组应按下列要求开展检查:检查组应召集被检查机构主要负责人(包括技术负责人和质量负责人)和测评师召开首次会议,介绍检查工作分工,明确检查内容和要求,确定联系人。检查组应根据检查方案确定的检查顺序到各被检查机构开展检查,检查组在各被检查机构的检查实施活动包括召开首次会议、开展检查、开展测评机构测评质量评价、召开末次会议*项主要任务,这*项任务的流程如图*所示。检查实施活动
测评记录和测评报告涉及的安全控制措施;测评记录和测评报告涉及的网络拓扑、安全防护设备、测评对象选择、安全物理环境和安全配置策略;测评记录和测评报告涉及的被测对象概况;应对被测定级对象开展复核验证,内容包括但不限于:应对被检查项目测评记录、测评报告,以及与之相关质量记录及材料开展文档审查,检查记录的真实性、判定的准确性、材料的*致性;应访谈测评委托单位相关人员,检查项目实施过程、被测定级对象概况、安全管理机构、安全管理人员、漏洞扫描和渗透测试实施细节与测评记录、测评报告及相关质量记录的真实性、正确性、*致性、有效性,检查测评方法选择的合理性;
总结分析活动检查组应召集被检查机构主要负责人(包括技术负责人和质量负责人)和测评师召开末次会议,介绍检查过程,通报发现的问题和检查评价结果,听取被检查机构的建议和意见。检查组应根据检查方案确定的评价方法对被检查机构的测评质量进行评价,确定评价结果,并获得被检查机构的确认。检查实施活动流程检查组应记录发现的问题,并获得被检查机构的确认。测评记录和测评报告涉及的测评委托方提供的材料,如:系统建设资料、系统运行记录、安全管理制度、安全管理记录等。
检查依据;检查时间;检查组应总结检查经验形成检查报告,检查报告的内容包括但不限于:总结分析活动流程检查组应将检查发现的所有测评质量问题按类别进行汇总,并分析各类测评质量问题发生的原因。所有被检查机构的检查结束后,检查组应开展总结分析活动,总结分析活动包括汇总分析和形成检查报告*项主要任务,这*项任务的流程如图*所示。
附录*(规范性)测评机构测评质量评价方法工作总结。监管建议;改进建议;测评质量问题汇总及原因分析;检查评价机构信息;
对于检查发现的测评质量问题,应按其对测评结果的影响程度进行划分,可为高、中和低*类,见表*.*。影响程度分析测评机构测评质量定性评价流程测评机构测评质量定性评价的流程如图*.*所示,应对检查发现的每个问题进行影响程度分析、发生可能性分析,根据分析结果得到每个问题的定性评价结果,汇总各个问题的定性评价结果得到测评机构测评质量定性评价结果。评价流程定性评价
未经测评,直接出具测评记录、报告;主要表现为:测评结果、报告与实际不符;对测评结果造成重大影响的测评质量问题包括但不限于:测评质量问题对测评结果造成的影响程度取值
标识 |
定义 |
高 |
如果出现该类测评质量问题,将对网络安全等级保护测评结果造成重大影响。 |
中 |
如果出现该类测评质量问题,将对网络安全等级保护测评结果造成*般影响。 |
低 |
如果出现该类测评质量问题,将对网络安全等级保护测评结果造成较小或轻微影响。 |
主要表现为:测评标准、指标、被测对象选取存在重大偏差;测评记录、测评报告与实际测评过程不符。测评记录、测评报告的内容与被测定级对象实际不符;测评记录与测评报告的内容不能相互印证;篡改、编造过程记录;
对测评结果造成*般影响的测评质量问题包括但不限于:高风险判定不合理,测评结论、评分不正确。关键资产未确定为被测对象。扩展指标未纳入测评范围;随意删减测评对象、测评项目、测评内容;测评标准、指标选取与被测定级对象及合同要求不*致;
测评方法、工具选择不正确;确定的测评对象未能全面覆盖所有设备、系统类型;测评深度不够、测评覆盖不全面,测评记录不足以完全支持测评结果,测评不充分;主要表现为:未得到测评委托单位必要的确认或授权、缺少必要的要素、记录的信息不完整(如:版本号记录缺失或不详细、**地址缺失)等。测评过程文档、测评记录、测评报告要素不完整;测评活动不符合相关标准、规定、作业指导书等要求;
发生可能性分析测评过程中质量记录不完善。测评过程记录及记录修改不规范;测评过程文档、测评记录、测评报告中出现错别字、页码和格式错误;对测评结果造成较小或轻微影响的测评质量问题包括但不限于:整改建议不准确、不完整或不合理。
测评质量问题定性评价结果对于检查发现的测评质量问题,应根据其影响程度及发生的可能性,进行定性评价,测评质量问题定性评价结果的取值范围为严重、*般和轻微,具体评价方法见表*.*。测评质量问题定性评价测评质量问题发生的可能性取值对于检查发现的测评质量问题,应分析测评质量问题发生的可能性,可能性的取值范围为高、中和低,见表*.*。
标识 |
定义 |
高 |
测评质量问题出现的频率高(所有抽检项目中均发现此类问题);或没有质量管理措施能够保证该问题不会发生。 |
中 |
测评质量问题出现的频率中等(抽检项目中*半及以上有发现此类问题);或有质量管理措施但存在漏洞,不足以杜绝此类问题的发生。 |
低 |
测评质量问题出现的频率较低(抽检项目中*半以下有发现此类问题);或有质量管理措施能避免此类问题的发生,但执行不到位。 |
测评质量问题影响程度分析结果 |
测评质量问题发生可能性分析结果 |
测评质量问题定性评价结果 |
高 |
高 |
严重 |
高 |
中 |
严重 |
高 |
低 |
*般 |
中 |
高 |
*般 |
中 |
中 |
*般 |
中 |
低 |
*般 |
低 |
高 |
*般 |
低 |
中 |
轻微 |
低 |
低 |
轻微 |
根据测评机构测评质量实际情况是否符合检查项要求,为检查项赋予权重值(**),根据检查结果赋予量化值(**),见表*.*,测评质量检查量化评价结果(***:****************************)由式(*.*)计算得到:定量评价测评机构测评质量定性评价结果取值应综合所有测评质量问题的定性评价结果对测评机构的测评质量进行定性评价,测评机构测评质量定性评价结果的取值范围为优秀、良好、合格、不合格,具体评价方法见表*.*。测评机构测评质量定性评价
所有测评质量问题定性评价结果 |
测评机构测评质量定性评价结果取值 |
未发现测评质量问题 |
优秀 |
所有测评质量问题的定性评价结果均为“轻微” |
优秀 |
所有测评质量问题的定性评价结果为“*般”或“轻微”(不全为“轻微”),且测评质量问题总数与检查内容总数的比值小于等于**% |
良好 |
所有测评质量问题的定性评价结果为“*般”或“轻微”(不全为“轻微”),且测评质量问题总数与检查内容总数的比值大于**%小于等于**% |
合格 |
所有测评质量问题的定性评价结果为“*般”或“轻微”(不全为“轻微”),且测评质量问题总数与检查内容总数的比值大于**% |
不合格 |
存在取值为“严重”的测评质量问题 |
不合格 |
测评质量评价方法的选择测评质量量化评价取值*——检查项个数。式中:(*)
活动 |
检查项* |
权重值** |
量化值** |
测评准备 |
人员 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
测评准备 |
项目工作计划 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
测评准备 |
等级测评资料收集 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
测评准备 |
系统调查 |
** |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
测评准备 |
测评工具准备 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
测评准备 |
测评表单准备 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
方案编制 |
测评对象确定 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
方案编制 |
测评指标确定 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
方案编制 |
测评内容确定 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
方案编制 |
工具测试方法确定 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
方案编制 |
测评指导书开发 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
方案编制 |
风险规避实施方案编制 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
方案编制 |
测评方案编制 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
现场测评 |
现场测评准备 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
现场测评 |
现场测评 |
** |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
现场测评 |
结果确认 |
* |
符合*:**=* 不符合*:**=* |
报告编制 |
测评结果判定 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
报告编制 |
安全问题风险分析 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
报告编制 |
等级测评结论 |
* |
符合:**=* 不符合:**=* |
报告编制 |
安全整改建议 |
* |
符合:**=* 不符合:**=* |
报告编制 |
测评报告 |
* |
检查内容共计*条,检查结果为“不符合”的条款个数*,**=*-*/* |
检查项和检查内容符合** **/* *****.*第*章的要求,也可根据检查任务需要进行裁剪。符合:第*个检查项目中所有条款的检查结果均为“符合”,则该项目的总体判定为“符合”不符合:第*个检查项目中有*个或多个条款检查结果为“不符合”,则该项目的总体判定为“不符合” |
__________________________________________________________________需要对各测评机构测评质量进行逐*比较时宜使用定量评价。仅需进行符合性检查时宜使用定性评价。应根据测评质量检查需求的要求选择测评质量评价方法。