DB34-T 4091.2-2022网络安全等级保护测评机构 第2部分-测评质量检查规范-高清现行

ICS35.040CCSL80ICS35.040CCSL80安 徽 省 地 方 标 准DB34/T4091.2—20222AssessmentorganizationofclassifiedprotectionofcybersecurityAssessmentorganizationofclassifiedprotectionofcybersecurity—Part2：Evaluationqualityinspectionspecification2022032920220429安徽省市场监督管理局发布前 言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。DB34/T40912DB34/T4091——第1部分：测评质量要求；2皖、刘磊、孙业国。皖、刘磊、孙业国。引 言DB34/T4091——第1部分：测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求，为测评质量检查确立检查内容。——第2部分：测评质量检查规范。目的在于规定对网络安全等级保护测评机构测评质量检查的组织、检查方法、检查流程和评价方法。网络安全等级保护测评机构2范围（本文件适用于对测评机构测评质量的检查和评价，也适用于测评机构的自查活动。（GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T28448—2019信息安全技术网络安全等级保护测评要求GB/T28449—2018信息安全技术网络安全等级保护测评过程指南DB34/T4091.1—2022网络安全等级保护测评机构第1部分：测评质量要求GB/T22239—2019、GB/T28448—2019、GB/T28449—2018界定的以及下列术语和定义适用于本文件。3.1检查评价机构inspectionandevaluationagency负责组织和开展网络安全等级保护测评机构测评质量检查的机构。注：测评委托单位或其委托的第三方机构。3.2复核验证reviewandverification检查人员与测评人员到测评委托单位，对测评记录、测评报告的内容进行现场核查、测试和验证。314.33人。DB34/T4091.1—20224A检查流程主要任务检查准备活动接受检查任务确定检查人员确定检查内容和测评机构测评质量评价方法制定并发布检查方案确定被检查项目检查实施活动召开首次会议开展检查开展测评机构测评质量评价召开末次会议总结分析活动汇总分析形成检查报告接受检查任务接受检查任务确定检查人员确定检查内容和检查结果评价方法制定并发布检查方案确定被检查项目确定检查人员确定检查内容和检查结果评价方法制定并发布检查方案确定被检查项目图1检查准备活动流程）附件：检查过程中用到的材料、表格（如：检查人员廉洁自律声明、被检查机构廉洁自律声）31应优先选择需要执行相关行业标准的特殊行业（如：电力、金融等行业）的测评项目用于检应优先选择影响国计民生的信息系统（如：关键信息基础设施、公共服务信息系统）对应的2召开首次会议召开首次会议开展检查开展测评机构测评质量评价召开末次会议开展检查开展测评机构测评质量评价召开末次会议图2检查实施活动流程（应根据确定的被检查项目收集测评记录、测评报告，及与之相关的质量记录和材料（如：测应访谈被检查项目涉及的测评师，检查项目实施和质量控制过程记录，检查测评过程和记录应访谈测评委托单位相关人员，检查项目实施过程、被测定级对象概况、安全管理机构、安应对被检查项目测评记录、测评报告，以及与之相关质量记录及材料开展文档审查，检查记测评记录和测评报告涉及的网络拓扑、安全防护设备、测评对象选择、安全物理环境和（）（3汇总分析汇总分析形成检查报告形成检查报告图3总结分析活动流程a)b)c)d)e)f)g)检查评价机构信息；附录A（规范性）测评机构测评质量评价方法A.1影响程度分析影响程度分析影响程度分析测评质量问题n测评质量问题2测评质量问题1……影响程度分析影响程度分析影响程度分析测评质量问题n测评质量问题2测评质量问题1…… 发生可能性分析发生可能性分析发生可能性分析……发生可能性分析发生可能性分析发生可能性分析测评机构测评质量定性评价测评质量问题定性评价测评质量问题定性评价测评质量问题定性评价测评机构测评质量定性评价测评质量问题定性评价测评质量问题定性评价测评质量问题定性评价图A.1测评机构测评质量定性评价流程A.1表A.1测评质量问题对测评结果造成的影响程度取值注：主要表现为：未经测评,直接出具测评记录、报告；篡改、编造过程记录；测评记录与测评报告的内容不能相互印证；标识定义高如果出现该类测评质量问题，将对网络安全等级保护测评结果造成重大影响。中如果出现该类测评质量问题，将对网络安全等级保护测评结果造成一般影响。低如果出现该类测评质量问题，将对网络安全等级保护测评结果造成较小或轻微影响。测评记录、测评报告的内容与被测定级对象实际不符；5)测评记录、测评报告与实际测评过程不符。注：主要表现为：测评标准、指标选取与被测定级对象及合同要求不一致；随意删减测评对象、测评项目、测评内容；扩展指标未纳入测评范围；关键资产未确定为被测对象。注：（缺失或不详细、IP地址缺失等。A.1.3发生可能性分析低，见表A.2表A.2测评质量问题发生的可能性取值A.1.4测评质量问题定性评价A.3标识定义高测评质量问题出现的频率高（所有抽检项目中均发现此类问题）；或没有质量管理措施能够保证该问题不会发生。中测评质量问题出现的频率中等（抽检项目中一半及以上有发现此类问题）；或有质量管理措施但存在漏洞，不足以杜绝此类问题的发生。低测评质量问题出现的频率较低（抽检项目中一半以下有发现此类问题）；或有质量管理措施能避免此类问题的发生，但执行不到位。测评质量问题影响程度分析结果测评质量问题发生可能性分析结果测评质量问题定性评价结果高高严重高中严重高低一般中高一般中中一般中低一般低高一般低中轻微低低轻微A.1.5测评机构测评质量定性评价A.4表A.4测评机构测评质量定性评价结果取值所有测评质量问题定性评价结果测评机构测评质量定性评价结果取值未发现测评质量问题优秀所有测评质量问题的定性评价结果均为“轻微”优秀所有测评质量问题的定性评价结果为“一般”或“轻微”（不全为“轻微”），且测评质量问题总数与检查内容总数的比值小于等于30%良好所有测评质量问题的定性评价结果为“一般”或“轻微”（不全为“轻微”），且测评质量问题总数与检查内容总数的比值大于30%且小于等于50%合格所有测评质量问题的定性评价结果为“一般”或“轻微”（不全为“轻微”），且测评质量问题总数与检查内容总数的比值大于50%不合格存在取值为“严重”的测评质量问题不合格A.2定量评价赋予量化值（Vi），见表A.5，测评质量检查量化评价结果QER（Quantitativeevaluationresult）由式（A.1）inQER100i1 (A.1)ii1n式中：活动检查项a权重值Wi量化值Vi测评准备人员3检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N项目工作计划8检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N等级测评资料收集9检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N系统调查16检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评工具准备3检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评表单准备3检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N方案编制测评对象确定6检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评指标确定4检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评内容确定5检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N工具测试方法确定4检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评指导书开发5检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N风险规避实施方案编制4检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N测评方案编制6检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N现场测评现场测评准备6检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N现场测评10检查内容共计N条，检查结果为“不符合”的条款个数/r