网络安全等级保护测评服务规范

网络安全等级保护测评服务规范范围本文件规定了提供网络安全等级测评服务的测评服务要求和测评服务流程。本文件适用于网络安全等级保护测评机构（以下简称“测评机构”）开展网络安全保护等级保护测评服务工作。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T1.1—2020标准化工作导则第1部分：标准化文件的结构和起草规则GB/T28448—2019信息安全技术网络安全等级保护测评要求GB/T28449—2018信息安全技术网络安全等级保护测评过程指南GB/T36959—2018信息安全技术网络安全等级保护测评机构能力要求和评估规范术语和定义GB/T28448—2019和GB/T36959—2018界定的以及下列术语定义适用于本文件。等级测评testingandevaluationforclassifiedcybersecurityprotection测评机构依据国家网络安全保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。基本要求机构在安徽省提供网络安全等级保护测评服务者，应具有经公安部第三研究所（国家认证许可委员会批准的认证机构）认证发放的《网络安全等级测评与检测评估机构服务认证证书》。测评机构证书应在有效期内，未出现认证证书暂停、撤销或测评机构在整改期等情况；测评机构的能力应符合GB/T36959规定的测评机构能力要求,并通过测评机构能力评估；测评机构法定代表人、股东（若有）、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；测评机构同一法人具有多个办公地址且分别独立提供测评服务的机构，应使用同一个认证证书；测评机构应具有网络安全等级测评师（以下简称“测评师”）不少于15人（高级测评师不少于1人，中级测评师不少于5人），专职渗透测试人员不少于2人；测评机构不应从事对等级测评相关工作的公正性产生影响的业务，包括从事信息系统安全集成或网络安全产品研发（自用除外）、生产、销售等；不应限定被测评单位购买、使用指定的网络安全产品；测评机构法定代表人、股东（若有）、主要负责人、测评相关人员不应投资或任职于信息系统安全集成或网络安全产品研发、生产、销售企业。人员测评机构从事等级测评工作的专业技术人员（以下简称测评人员）应需持证上岗，测评师上岗前，测评机构应组织岗前培训；培训合格的，由测评机构配发上岗证，上岗证发放情况应于发放后5个工作日报省级网安部门；等级测评师的能力要求应符合GB/T36959附录B规定的要求,担任等级测评工作中不同岗位的测评人员应分别取得初、中、高级等级测评师证书；测评师每年测评业务和技术培训时长累计不少于40学时；测评机构应对测评师开展等级测评业务情况进行考核，并留存相关记录；测评师实行年度注册管理，测评机构应将本机构测评师情况报省级网安部门注册并进行年审，测评机构不应采取挂靠或者聘用兼职测评师开展测评业务。测评师离职前，测评机构应与其签订离职保密承诺书并收回上岗证，测评师发生变更的，测评机构应在变更后10个工作日内在公安部“网络安全等级保护测评项目登记管理系统”（以下简称“项目登记管理系统”）中登记，并提交相应的变更材料；测评机构应监督测评师妥善保管测评师证书、上岗证，不应涂改、出借、出租和转让；测评机构应对测评人员进行监督管理，定期组织开展安全保密教育培训，签订安全保密责任书，规定其应当履行的安全保密义务和承担的法律责任，并负责检查落实。工具和场地测评机构应具有固定的办公场所，注册地址、办公场所变更应在变更后10个工作日内向服务认证中心和省级网安部门登记；测评机构应配备满足测评业务需要的检测评估工具，应在开展测评工作前保证工具的特征库已升级至最新；测评机构应具备符合相关要求的机房以及必要的软、硬件设备，应能针对新技术新应用进行实验部署，以满足网络仿真、技术培训和模拟测试的需要；测评机构应对测评数据、以及对测评数据进行处理的设备进行管理，并保证测评数据记录的完整性、可控性。管理制度测评机构应建立符合等级测评工作需要的网络安全管理体系；测评机构应依据GB/T28449制定测评项目管理程序；测评机构应建立设备管理制度；测评机构应建立文档管理制度，保证与等级测评有关的所有工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评人员获得；测评机构应建立人员管理制度，规定测评人员的能力要求和职责；测评机构应建立培训教育制度，保证测评师接收测评业务和技术培训，并保存培训和考核记录；测评机构应建立安全保密管理制度，定期对工作人员进行保密教育；测评机构应建立质量管理体系，跟踪政策法规和技术标准，对测评活动进行质量监督。档案管理测评报告应统一加盖测评机构能力合格专用标识以及防伪标志，并登记归档；测评机构应保存应保存最近两年的纸质档案，测评过程中的纸质文档包括测评报告、测评方案、授权文档、盖章原件、原始记录签字确认记录；测评机构在测评过程中输出的文档包括但不限于项目计划书、信息系统调查表、等级保护测评方案及测评方案评审记录、测评风险规避实施方案及测评风险告知书、现场测评授权记录、测评启动会议记录、现场测评首次、末次会议记录、测评过程记录(包括原始记录、截图(若有)、照片(若有)、差旅等可以追溯整个测评过程证明材料)、漏洞扫描原始记录、渗透测试原始记录、各类测评结果确认记录、漏洞扫描确认记录、渗透测试确认记录、等级保护测评报告及等级保护测评报告评审记录等。流程图1测评服务基本工作流程测评服务要求沟通接洽测评机构应指定专人保持与被测评单位的沟通接洽，收集被测定级对象基本资料；测评机构不应限定被测评单位购买、使用指定的网络安全产品。签订合同测评机构应与被测评单位直接签署等级保护测评合同（协议），明确测评服务内容，对测评双方在测评过程中的基本问题达成共识；测评机构不应分包、转包、代理测评项目；测评合同应包括：被测评系统的单价、合同总价、合同签署时间、合同签署责任主体的全称和公章等要素；测评机构应对等级保护测评合同进行编号和存档。测评准备人员准备测评机构应根据测评双方签订的测评委托书和系统规模，测评机构组建等级测评项目组，获取测评委托单位及定级对象的基本情况，并编制项目计划书，项目计划书内容需被测单位确认；测评组长应由中级测评师以上担任，对第三级以上等级保护对象提供等级测评服务的，测评师人数不得少于4名，其中高级测评师、中级测评师应各不少于1名；测评组长应到现场参与测评，测评组长应具备中级及以上测评师证书，测评师应具备初级及以上测评师证书。现场调研测评机构应依据GB/T28449要求收集等级测评需要的相关材料；测评机构应配合被测评单位完成系统调查表格，必要时可进行现场调研；调查内容应覆盖目标系统各方面信息用于支撑等级测评后续，包括但不限于以下内容：单位基本情况：单位全称、简称、单位情况简介、单位所属类型、单位地址、邮政编码、负责人姓名、联系人、联系人电话、电子邮件地址、上级主管部门；等级保护对象基本情况：定级对象名称、安全保护等级、业务信息安全保护等级（S）、系统服务安全保护等级（A）、功能描述、备案证明编号；机房：机房名称、物理位置、重要程度；网络拓扑图及网络描述：相关要求参见方案类中的内容；网络结构情况：网络区域名称、区域功能描述、IP网段地址、服务器数量、终端数量（管理）、与其连接的其它网络区域、网络区域边界设备、重要程度、责任部门；网络外联情况：外联线路名称、所属网络区域、连接对象名称、接入线路种类、传输速率（带宽）、线路接入设备、承载主要业务应用、备注；网络互联设备基本情况：设备名称、用途、网络区域、物理区域、品牌型号、系统及版本、IP地址、数量（台/套）、重要程度、是否热备、是否虚拟设备；安全设备基本情况：设备名称、用途、网络区域、物理区域、品牌型号、系统及版本、IP地址、数量（台/套）、重要程度、是否热备、是否虚拟设备；业务应用基本情况：业务应用系统/平台名称、所属定级系统、业务应用软件及版本、主要功能、应用模式（B/S或C/S）、硬件/软件平台、自行开发/外包开发、开发商、用户类别及数量、重要程度；主要业务数据流程：从不同类型业务用户视角出发，给出关键业务处理流程图，并标注涉及应用组件/模块、主要处理动作，以及关键业务数据在主机设备（程序模块）之间的交换情况；服务器基本情况：所属业务系统/平台名称、设备名称、物理/逻辑区域、操作系统及版本、数据库管理系统及版本、中间件及版本、数量（台/套）、IP地址、重要程度、是否热备、是否虚拟设备；终端基本情况：设备名称、物理/逻辑区域、操作系统/控制软件及版本、用途、数量（台/套）、IP地址、重要程度、是否虚拟设备；系统管理软件/平台：系统管理软件/平台名称、所在设备名称、版本、主要功能、重要程度；数据资源：数据类别、所属业务应用、安全防护需求、重要程度、备份方式、备份频率、备份介质；密码产品：产品/模块名称、生产厂商、商密型号/商密产品认证证书编号、密码算法、用途、重要程度；安全相关人员：姓名、岗位/角色、联系方式、所属单位；安全管理文档基本情况：文档名称、主要内容；安全服务：安全服务名称、安全服务商；安全威胁情况：安全事件调查、调查结果。适用时，对云计算、物联网、移动互联、工控、大数据等新技术新应用的资产开展有针对性的调查，包括但不限于以下内容：云计算环境：云计算形态、服务模式、云服务能力、虚拟化情况等；物联网：终端感知节点设备，如传感器、RFID标签、网络控制开关等；工业控制系统：操作员站等监控设备，以及DCS、PLC、RTU等现场控制设备；移动互联系统：专用移动终端、移动应用APP、无线接入网关等；大数据平台：台服组件、辅助工具、资源管理平台和大数据应用。表单准备测评机构应准备如下材料：独立、公正、诚信声明；测评人员保密协议；选用的测评工具清单；风险告知书；文档交接单；测评方案；测评方案评审记录；启动会议记录表；会议签到表；现场测试授权书；工具测试（漏洞扫描、渗透测试）授权书；工具测试特殊事项说明：非互联网服务的等级保护对象，限于正式的管理要求（如主管部门文件、行业标准等），无法开展漏洞扫描和渗透测试，也不具备模拟/仿真环境的情况下，应由测评委托单位正式声明放弃验证测试（漏洞扫描和渗透测试）；小结会议记录表；现场测评过程及用户确认表。工具准备测评人员应调试测评服务中将用到的测评工具，包括如下：漏洞扫描工具；渗透测试工具；性能测评工具；协议分析工具；测评自动化工具和综合管理平台。方案编制方案编制活动，需正确合理地确定测评对象、测评指标及测评内容等，并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录，测评指导书应进行版本有效性维护。测评对象确定应结合被测定级对象的安全级别和重要程度，确定出技术层面的测评对象，并将与被测定级对象相关的人员及管理文档确定为测评对象，具体要求如下：测评对象确定需满足GB/T28449中6.2.1节和附录D要求。进行测评对象抽样选择时，同类设备是指功能、用途、硬件版本、软件版本、组件完全一致的设备，相同版本操作系统安装不同软件、组件不得视为同种设备。测评对象抽样选择时，若同类设备数量大于100，则抽取比例不得低于15%，若同类设备数量大于50，则抽取比例不得低于12%，若同类设备数量大于20，则抽取比例不得低于10%。测评指标确定应根据被测定级对象的A类、S类及G类基本安全要求的组合情况选择测评指标；应依据GB/T22239、行业规范选择相应等级的安全通用要求作为通用测评指标。应结合《信息系统安全等级保护备案表》中系统类型和被测定级对象实际情况，选择安全扩展要求作为扩展测评指标。测评委托单位有特殊要求的，根据测评委托单位及被测定级对象业务自身需求，选择特殊测评指标。不适用测评指标判定需明确不适用原因，不适用原因应能够充分说明测评指标不存在相关安全风险或针对测评指标采取的风险替代措施。测评内容确定应根据测评对象和测评指标确定现场测评的具体实施内容，即单项测评内容，测评内容确定需满足GB/T28449中6.2.3节要求。测评内容应明确测评方法、测评对象和测评实施，使配合人员清晰理解配合测评的具体内容。工具测试方法确定应配备专职设备和工具管理员，制定设备和工具台账清单，对测评项目中使用的漏洞扫描器、渗透测试工具集、协议分析仪进行维护，测评项目使用的测试工具从台账清单中选取；应确保测评设备和工具运行状态良好,并通过持续更新、升级等手段保证其提供准确的测评数据，规则库需要确认是最新版本，工具软件需要确认是稳定可靠版本；工具测试方法确定需满足GB/T28449中6.2.4节要求。测评指导书开发测评项目组应根据项目实际情况，组织项目组成员编制测评指导书，指导书内容应体现各测评对象的测试内容及方法；应描述单个测评对象，包括测评对象的名称、IP地址、用途、管理人员等信息。应根据GB/T28448及相关行业规范的单元测评实施确定测评服务，包括测评项、测评方法、操作步骤和预期结果等四部分。单元测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容。整体测评则一般以文字描述的方式表述，以测评用例的方式组织。现场测评工作量估算测评项目组应估算现场测评工作量，工作量根据测评对象的数量和工具测试的接入点及测试内容等情况进行估算。工作量按照人天作为估算单位。现场测评人员安排测评项目组应根据测评内容、测评指导书、工具测试接入点、现场测评工作量选择参与现场测评的测评师。现场测评计划制定测评项目组应根据现场测评工作量估算结果、现场测评人员安排，制定详细的现场测评计划，明确现场测评分工与配合人员、配合事项、需协调资源；现场测评分工需要包括机房测评、网络设备测评、安全设备测评、网络架构测评、安全防护措施测评、集中管控措施测评、服务器测评、数据库测评、中间件测评、业务应用软件测评、终端测评、安全管理测评、漏洞扫描测试、渗透性测试等内容，特殊行业系统根据系统实际情况调整；现场测评详细计划需明确至某日上午/下午。明确需要协调的资源，保证现场测评顺利推进。现场测评风险识别及规避措施应充分识别现场测评过程中可能出现的风险，并采取相应的规避措施或控制措施，避免或减少现场测评对信息系统运行的影响。测评方案评审与认可测评方案应通过技术评审，形成方案评审记录，并进行版本有效性维护。测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿，由中、高级测评师签字确认。应将测评方案提交给测评委托单位签字认可。测评实施现场测评活动通过与测评委托单位进行沟通和协调，为现场评测的顺利开展打下良好基础，依据测评方案实施现场测评工作，故将测评方案和测评方法等内容具体落实到现场测评活动中，现场测评工作应取得报告编制活动所需的、足够的证据和资料。现场测评活动的工作包括，入场告知、现场测评准备、现场启动会、现场测评和结果记录、结果确认和资料归还、现场测评小结会等。现场测评首次会测评机构需要在现场测评环境召开首次会，会议内容如下：测评机构介绍现场测评工作安排，双方对测评计划和测评方案中的测评内容和方法等进行沟通，委托单位对测评方案认可后，签字确认。测评双方确认现场测评需要的各种资源，包括测评委托单位的配合人员和需要提供的测评环境等。测评现场首次会结束后汇总整理会议记录、会议签到、测评方案、现场测评工作计划和风险告知书、现场测评授权书、测评人员保密协议等纸质文件的。现场测评实施现场测评的工作包括访谈、文档检查、配置检查、实地查看、工具测试。配置核查：测评人员应协助指导被测单位技术人员查找配置进行测评，并进行记录；系统中配置相同的安全设备、边界网络设备、服务器、终端等资产，每类应至少抽查两台作为测评对象。制度检查：测评人员应对被测单位相关人员进行访谈，并核实查看相关制度文件及记录表单；测评人员应协助被测单位理解和落实网络安全等级保护测评中要求的制度体系建设。工具测试：测评人员应依据操作规程熟练地使用测评设备和工具，规范、准确、完整的填写测评结果记录，获取足够证据，能够客观、真实、科学地反映出被测系统的安全保护状况；测评人员应遵循测评方案开展验证测试工作，并完整记录验证测评过程；完成后与被测单位汇报测试结果，沟通后续整改工作。测评结果确认在完成现场测评工作后，应由被测单位在《现场测评过程确认表》中对测评过程进行确认，并按照要求归还测评过程中由被测单位提供的证据资料，在《文档交接单》中签字确认；在完成现场测评工作后，应通知被测单位测评完成，并由其确认系统测评或工作正常后，结束现场测评工作。现场测评末次会现场测评工作结束后，测评组长召开测评现场测评末次会，汇报内容包括现场测评的工作内容、下一步工作推进计划、整改工作优先级、沟通证据源和测评记录，并就高风险项进行沟通。并通过拍照、会议签到表的形式留存证据；末次会到场人员应签署现场测评小结会会议签到表；测评组长应进行测评过程介绍，对测评过程中发现的问题讨论并提出整改建议；应形成末次会会议记录。整改验证测评人员在填写测评结果记录后，应汇总和分析已有安全措施和主要安全问题，并对所有安全问题提出整改建议，安全问题描述及风险分析应准确，与测评记录反映的情况一致；整改建议应完整，覆盖所有安全问题。测评人员应配合被测单位对安全问题进行整改，整改完成后应进行验证测试；验证技术和方法应与现场测评实施过程中采取的技术和方法工作保持一致。报告编制报告框架测评报告由测评项目组长作为第一编制人，技术主管或具备高级测评师资质的授权人员负责审核，

机构管理者或其授权人员签发或批准；测评报告的正文部分应包含网络安全等级测评基本信息表（表格）、声明、等级测评结论（表格）、等级测评结论表（云计算安全）（如有）、等级测评结论表（大数据安全）（如有）、总体评价、主要安全问题及整改建议、目录、正文表格索引、附录表格索引、插图索引、测评项目概述、被测对象概述、测评指标、测评对象、单项测评结果分析、整体测评结果分析、安全问题风险分析、等级测评结论、安全问题整改建议。测评报告的附录部分应包括附录A被测对象资产、附录B上次测评问题整改建议、附录C单项测评结果汇总、附录D单项测评结果记录、附录E漏洞扫描结果记录、附录F渗透测试结果记录、附录G常见威胁表、附录H云计算平台测评及整改情况（如有）、附录I大数据平台测评及整改情况（如有）。被测对象如不涉及安全扩展要求，安全扩展要求相关部分可填无，不应删减报告模板中的章节。报告内容网络安全等级测评基本信息表测评报告中特定对象名称（如：单位名称、系统名称、备案证明号、系统等级等）应保持前后一致；测评报告具有编制人、审核人、批准人签字并加盖机构代码标识；测评报告由测评项目组长（中级以上测评师）作为第一编制人，技术主管或其授权人（高级测评师）负责审核。等级测评结论测评报告中被测对象名称、安全保护等级、等级保护对象形态、被测对象描述、测评工作描述、等级测评结论、综合得分应保持前后一致；安全保护等级、等级保护对象形态应与备案证明和定级报告一致；安全状况描述中应对发现的安全问题数量和主要安全问题进行概述。等级测评结论扩展表（云计算安全）等级测评结论扩展表应与被测对象所部署在的云平台等级测评报告等级测评结论扩展表保持一致；每种服务模式单独构成一个定级系统，对应单独的等级测评结论扩展表。等级测评结论表（大数据安全）等级测评结论扩展表应与被测对象所部署在的云平台等级测评报告等级测评结论扩展表保持一致；每种部署模式单独构成一个定级系统，对应单独的等级测评结论扩展表。总体评价应按十个安全域分别进行描述；被测对象的安全保护状况描述应包含说明和评价。主要安全问题及整改建议主要安全问题及整改建议应按十个安全域分别进行描述；主要安全问题及整改建议的内容应与正文中安全问题整改建议表保持一致，涉及多种类型测评对象的同一类安全问题可进行汇总分析。测评项目概述测评目的：应对被测单位、被测对象和测评目的进行描述；测评依据：应包括主要依据、主要参考标准和测评合同。测评过程：应依据GB/T28449规定的测评过程进行测评，各阶段时间应与实际测评过程一致，并说明首次会、末次会时间；报告分发范围：分发范围至少应包括被测评单位、备案公安机关、测评机构。被测对象概述定级结果：定级结果应与被测对象定级报告一致。业务和采用的技术：应对被测对象主要承载的业务和采用的新应用新技术进行描述；网络结构：应包含拓扑图和网络结果说明，内容应包含被测对象安全区域划分、隔离和防护情况、关键网络和服务器设备的部署情况和功能简介，与其他系统的互联情况和边界设备、网络的管理方式和管理工具、本地备份和灾备中的情况等，拓扑图中的IP地址和设备名称应与测评对象保持一致。测评指标安全通用要求指标：根据被测对象的安全保护等级，选择《基本要求》中对应级别的安全通用要求作为等级测评的指标；安全扩展要求指标：描述采用移动互联技术、云计算技术的被测对象，以及物联网、工业控制系统、大数据等特殊类型的被测对象，选择《基本要求》中对应级别的安全扩展要求作为等级测评的指标；其他安全要求指标：结合被测评单位要求、被测对象的实际安全需求，以及安全最佳实践经验，以列表形式给出《基本要求》未覆盖或者高于被测对象安全保护等级的安全要求，如行业标准等；不适用安全要求指标：鉴于被测对象的复杂性和特殊性，《基本要求》中的某些要求项可能不适用于所有测评对象，对于这些不适用项应给出不适用原因。如果单个要求项不适用某个测评对象，应在该测评对象的测评结果记录中说明不适用原因。测评对象测评对象选择方法：依据GB/T28449—2018中测评对象确定原则和方法，结合资产重要程度赋值结果（重要程度赋值为关键、重要和一般）；测评对象选择结果：对于属于测评对象资产，但未作为测评对象的，应说明未作为测评对象的理由。单项测评结果分析应按照十个安全方面分别进行描述；验证测试：验证测试包括漏洞扫描汇总表、漏洞扫描问题描述、渗透测试过程说明、渗透测试问题描述等，验证测试发现的安全问题对应到相应的测评项的结果记录中；单项测评小结：包括控制点符合情况汇总和安全问题汇总，安全问题汇总中应包括验证测试发现的安全问题。整体测评结果分析安全控制点间安全测评：依据GB/T28448的要求从安全控制点间对单项测评结果进行验证、分析和整体评价；区域间/层面间安全测评：依据GB/T28448的要求从区域间/层面间对单项测评结果进行验证、分析和整体评价；整体测评结果汇总：包括根据整体测评结果汇总统计修正后的安全问题，问题修正说明和汇总表应保持一致。安全问题风险分析应列出风险等级分析和修正后的安全问题；应包括对漏洞扫描和渗透测试发现的安全问题的风险分析；对多个威胁关联同一个问题的情况，应分别填写。等级测评结论等级测评结论应与等级测评结论表一致；应描述被测对象是否进行漏洞扫描和渗透测试。安全问题整改建议安全问题整改建议应与安全问题风险分析一致；应包括对漏洞扫描和渗透测试发现的安全问题的整改建议。附录A被测对象资产应依据GB/T28449附录D“测评对象确定准则和样例”选择测评对象及抽样数量；应依据抽样原则抽选热备设备；应结合测评对象的实际数量选取抽样结果，抽样数量应达到抽样要求；应从等级保护对象的角度，评价资产在等级保护对象的保密性、完整性、可用性方面发挥的作用，确定资产的重要程度；位于主要业务流路径上的网络设备、安全设备、操作系统、数据库、中间件、应用系统等设备及软件的重要程度应为最高等级；如因等级保护对象情况特殊，主要业务流路径上的设备及软件的重要程度达不到最高等级，应说明理由。附录B上次测评问题整改建议上次测评问题应与上次测评报告（如有）中发现的安全问题保持一致；应描述上次测评问题在本次测评中的整改情况。附录C单项测评结果汇总测评项符合情况应与附录D中保持一致；附录D单项测评结果记录测评记录中应明确记录测评方法和证据来源，记录必要的对象特征和细节描述，应提供充分的符合性判定依据。测评记录建议采用三段式描述：测评方法+测评实施对象+结果描述；测评记录应完全覆盖测评项，根据测评方法、测评对象、结果描述，判定符合性情况；测评记录间不应存在相互矛盾的情况；不适用项的描述应包括：被测评系统的情况说明、不适用的