DB34T-网络安全等级保护测评服务规范编制说明

PAGE1PAGE安徽省地方标准编制说明标准名称网络安全等级保护测评服务规范任务来源（项目计划号）安徽省市场监督管理局关于下达2023年第二批安徽省地方标准制修订计划的通知（皖市监函[2023]478号）（项目计划号：2023-2-20）第一起草单位合肥市公安局单位地址合肥市庐阳区寿春路290号参与起草单位安徽省公安厅网络安全保卫总队、合肥天帷信息安全技术有限公司、安徽省电子产品监督检验所、安徽科测信息技术有限公司、安徽祥盾信息科技有限公司、安徽溯源电子科技有限公司、安徽万弗检测技术有限公司、安正网络安全技术有限公司、华测风雪检测技术有限公司、安徽国康网络安全测评有限公司、安徽信科共创信息安全测评有限公司、安徽省大数据中心、合肥市信息中心、淮北市公安局网络安全保卫支队、六安市公安局网络安全保卫支队、六安市数据资源管理局、亳州市数据资源管理局、淮北市数据资源管理局、凤阳县数据资源管理局标准起草人（全部起草人，应与标准文本前言中起草人排序一致）序号姓名单位职务职称电话XX合肥市公安局XXXXXXXX安徽省公安厅网络安全保卫总队XXXXXXXX合肥天帷信息安全技术有限公司XXXXXXXX安徽省电子产品监督检验所XXXXXXXX安徽科测信息技术有限公司XXXXXXXX安徽祥盾信息科技有限公司XXXXXXXX安徽溯源电子科技有限公司XXXXXXXX安徽万弗检测技术有限公司XXXXXXXX安正网络安全技术有限公司XXXXXXXX华测风雪检测技术有限公司XXXXXXXX安徽国康网络安全测评有限公司XXXXXXXX安徽信科共创信息安全测评有限公司XXXXXXXX安徽省大数据中心XXXXXXXX合肥市信息中心XXXXXXXX淮北市公安局网络安全保卫支队XXXXXXXX六安市公安局网络安全保卫支队XXXXXXXX六安市数据资源管理局XXXXXXXX亳州市数据资源管理局XXXXXXXX淮北市数据资源管理局XXXXXXXX凤阳县数据资源管理局XXXXXX

编制情况编制过程简介1.1项目立项：2023年3月启动标准申请工作，于2023年9月根据安徽省市场监督管理局关于下达2023年第二批安徽省地方标准制修订计划的通知（皖市监函[2023]478号）（项目计划号：2023-2-20），合肥市公安局、合肥天帷信息安全技术有限公司邀请测评机构、等级保护测评对象单位等行业专家召开了标准编写工作会，组建了标准编制组，明确了各单位分工。1.2收集资料和调研：2023年9月编制小组成立后，收集了GB∕T1.1—2020标准化工作导则第1部分：标准化文件的结构和起草规则、GB/T28448—2019信息安全技术网络安全等级保护测评要求、GB/T28449—2018信息安全技术网络安全等级保护测评过程指南、GB/T36959—2018信息安全技术网络安全等级保护测评机构能力要求和评估规范等资料。1.3编写草案：2023年9月-2024年2月，经过资料收集、调研和5轮次的研讨，基本明确了等级保护测评服务规范的编制框架和思路，形成标准草案初稿，并完成相关参与单位内部意见征询。1.4编制研讨会：2024年3月1日-2024年3月27日，编制组召开两次研讨会，对各个章节进行认真审查，对存在的不足限期修改完善，形成了标准初稿。1.5预审会：2024年6月25日，编制组组织专家召开预审会，对标准存在的不足提出了针对性意见，包括补充测评服务流程图、优化基本要求等。1.6形成征求意见稿：XX。1.7形成送审稿：XX。1.8形成报批稿：XX。制定标准的必要性和意义2.1必要性：公安部于2018年3月23日制定了《网络安全等级保护测评机构管理办法》，用于加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范测评行为，提高等级测评能力和服务水平。但对于网络安全等级保护测评服务的管理规范，安徽省尚无相关地方标准和参考依据。近年来部分测评机构违反等级保护测评机构的要求，存在报告质量差、虚假报告问题，需要通过严格的服务规范约束指导测评机构提升服务能力水平。随着网络安全形势的发展，新技术新应用的推广，后续还有大量的网络安全等级保护测评服务工作，亟需服务标准，目前已有测评基本要求、测评要求、测评机构要求等标准，但尚无服务规范相关标准。2.2意义：本标准的制定符合当前网络安全等级保护测评工作的现状，顺应了国家、地方对于等级保护测评服务的要求；本标准的制定对于规范网络安全等级测评服务行为、提高服务质量有重要作用；本标准的制定填补了安徽省等级保护测评服务规范相关标准的空白。3制定标准的原则和依据，与现行法律法规、标准的关系，特别是强制性标准的协调性。3.1原则：本标准应具备可行性、实用性和可操作性。3.2依据：本标准制定依据现行国家标准、现行法规，吸取了我省等级保护工作实际经验；所有内容符合强制性、推荐性国家标准、行业标准及地方标准，若与其相抵触时，以国家标准、行业标准、地方标准为准。GBT1.1—2020标准化工作导则第1部分：标准化文件的结构和起草规则GB/T22240-2020信息安全技术网络安全等级保护定级指南GB/T28448—2019信息安全技术网络安全等级保护测评要求GB/T28449—2018信息安全技术网络安全等级保护测评过程指南GB/T36959—2018信息安全技术网络安全等级保护测评机构能力要求和评估规范DB34/T4091.1-2022网络安全等级保护测评机构第1部分:测评质量要求DB34/T4091.2-2022网络安全等级保护测评机构第2部分:测评质量检查规范3.3与现行法律法规、标准的关系，特别是强制性标准的协调性本标准完全符合GBT1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的要求；本标准参考了GB/T28448—2019《信息安全技术网络安全等级保护测评要求》关于测评实施的相关要求；本标准参考了GB/T28449—2018《信息安全技术网络安全等级保护测评过程指南》关于测评流程、工作内容方面的相关要求；本标准参考了GB/T36959—2018《信息安全技术网络安全等级保护测评机构能力要求和评估规范》关于机构自身服务能力方面的要求。4主要条款的说明，主要技术指标、参数、试验验证的论述4基本要求：依据GB/T36959—2018对进行测评服务应具备的基本能力和服务要求进行规范；4.1机构：依据GB/T36959—2018第一级测评机构要求；4.2人员：依据GB/T36959—2018第一级测评机构要求；4.3工具和场地：依据GB/T36959—2018第一级测评机构要求；4.4管理制度：依据GB/T36959—2018第一级测评机构要求；4.5档案管理：依据GB/T36959—2018第一级测评机构要求；5流程：依据GB/T28449—2018，根据实际测评服务过程对测评流程进行了补充；6测评服务要求：依据GB/T28449—2018，根据实际测评服务过程对测评流程进行了补充，并对详细服务内容进行规定；6.1沟通接洽：依据GB/T28449—2018、GB/T36959—2018和《网络安全等级测评与检测评估机构自律规范》；6.2签订合同：依据GB/T28449—2018、GB/T36959—2018和《网络安全等级测评与检测评估机构自律规范》；6.3.1人员准备：依据GB/T28449—2018、GB/T36959—2018和《网络安全等级测评与检测评估机构自律规范》；6.3.2现场调研：依据GB/T28449—2018、DB34/T4091.1-2022《网络安全等级保护测评机构第1部分:测评质量要求》；6.3.3表单准备：依据GB/T28449—2018、DB34/T4091.1-2022《网络安全等级保护测评机构第1部分:测评质量要求》；6.3.4工具准备：依据GB/T28449—2018、GB/T36959—2018和DB34/T4091.1-2022《网络安全等级保护测评机构第1部分:测评质量要求》；6.3.5方案编制：依据GB/T28449—2018、DB34/T4091.1-2022《网络安全等级保护测评机构第1部分:测评质量要求》；6.3测评准备：依据GB/T28449—2018、DB34/T4091.1-2022《网络安全等级保护测评机构第1部分:测评质量要求》；6.4.1现场测评首次会：依据GB/T28449—2018、DB34/T4091.1-2022《网络安全等级保护测评机构第1部分:测评质量要求》；6.4.2现场测评实施：依据GB/T28449—2018、DB34/T4091.1-2022《网络安全等级保护测评机构第1部分:测评质量要求》；6.4.3现场测评末次会：依据GB/T28449—2018、DB34/T4091.1-2022《网络安全等级保护测评机构第1部分:测评质量要求》；6.4.4整改验证6.4测评实施：依据GB/T28449—2018、DB34/T4091.1-2022《网络安全等级保护测评机构第1部分:测评质量要求》；6.5.1报告框架：依据GB/T28449—2018、公网安〔2021〕1904号附件等级测评报告模板（2021版）；6.5.2报告内容：依据GB/T28449—2018、公网安〔2021〕1904号附件等级测评报告模板（2021版）；6.5.3报告格式：依据GB/T28449—2018、公网安〔2021〕1904号附件等级测评报告模板（2021版）；6.5报告编制：依据GB/T28449—2018、DB34/T4091.1-2022《网络安全等级保护测评机构第1部分:测评质量要求》；6.6报告交付：依据GB/T28449—2018、DB34/T4091.1-2022《网络安全等级保护测评机构第1部分:测评质量要求》；7评价与改进：依据GB/T28449—2018、GB/T36959—2018和《网络安全等级测评与检测评估机构自律规范》；7.1评价内容：依据GB/T28449—2018、GB/T36959—2018和《网络安全等级测评与检测评估机构自律规范》；7.2改进措施：依据GB/T28449—2018、GB/T36959—2018和《网络安全等级测评与检测评估机构自律规范》。5标准中如果涉及专利，应有明确的知识产权说明无