DB34T 4091.1-2022 网络安全等级保护测评机构 第1部分测评质量要求　　

34AssessmentorganizatioEvaluationqualityrequiI本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定溯源电子科技有限公司、安徽风雪网络安全测评有限公司、合肥前卫科技有限网络安全风险意识是否得到增强。DB34/T4901旨在规定网络安全等级保护测评机构的测评质量要求和对测评机构的检查规范，以达到提升网络安全等级保护测评机构的测评质量为目的，由两部分——第2部分：测评质量检查规范。目的在于规定对网络安1网络安全等级保护测评机构第1部分：测评质量要求GB/T22239—2019、GB/T28448—2019和GB/T28449—2018界定的术语和定义适4.1测评准备活动实施三级项目测评的测评师应不少于4名，其中高级测评师、中级测评师应各不少于1名；实施四级项目测评的2应收集项目测评所需的测评委托单位的资料，包括但不限于委托单位管理架构、技术体系、运行情况、建设方应收集项目测评所需的被测对象的资料，包括但不限于安全保护等级、业务情况、数据情况、网络情况、软硬针对云计算平台的等级测评，还应收集云计算平台运营机构的管理架构、技术实现机制及架构、运行情况、云针对云租户系统的等级测评，还应收集云计算平台运营机构与租户的关系、云平台的服务架构模式以及其具体针对物联网系统的等级测评，还应收集各类感知层设备的检测情况、感知层设备针对移动互联应用的等级测评，还应收集各类无线接入设备部署情况、移动终端使用情况、移动应用程序、移应使用统一格式的系统调查表格（如：系统调查表格模板），调查表格应具有唯一性标识，该标识能与测评任系统调查表格应调查承载的业务情况，包括但不限于：被测对象名称、定级等级、被测对象形态（如：传统系系统调查表格应调查被测对象涉及的网络结构并绘制网络拓扑图，网络拓扑图应能明确被测对象涉及的功能/安全区域划分、隔离与防护情况、关键网络和服务器设备部署情况、与其他系统的互联情况、边界网络设备情应调查被测对象涉及的网络互联设备信息，包括但不限于：设备名称、设备类型应调查被测对象涉及的安全设备信息，包括但不限于：设备名称、设备类型、品牌型号、软件版本及病毒或规应调查被测对象涉及的服务器及存储设备信息，适用时，还应调查宿主机、云管理服务器、云应用服务器的信息。这些信息包括但不限于：设备名称、设备类型、品牌型号、是否虚拟设备、操作系统或存储管理系统名称应调查被测对象涉及的终端设备信息，包括但不限于：设备名称、设备类型、品牌型号、操作系统或控制系统3应调查被测对象涉及的支撑或管理系统（如：数据库管理系统、中间件、网管软件、安全管理软件、云计算管理软件）信息，适用时，还应调查云计算平台安全管理系统、云计算平台数据库管理系统、云计算平台中间件应调查被测对象涉及的业务应用系统信息，包括但不限于：系统名称和版本、开发厂商、主要功能、处理的核应调查被测对象涉及的数据信息，包括但不限于：数据类别（如：业务数据、重要个人信息）、所属业务应用系统、安全防护需求（如：保密性、完整性、抗抵赖性、可核查性、真实性）。使用大数据处理技术处理数据应调查被测对象涉及的安全相关人员信息，包括但不限于：姓名、角色、主要职责、联系电话。相关人员可以包括但不限于：安全主管、系统建设负责人、系统运维负责人、网络（安全）管应对调查到的信息进行整理、分析，对不符合要求的应重新调查，必要时应安排现场调查，应对调查结果进行应根据测评任务需要准备测评表，这些表单包括但不限于：风险告知书、文档交接单、会议记录表单、会议签4.2方案编制活动选择的测评对象种类（如：网络互联设备类型、安全设对不能确定为测评对象的重要业务应用系统、网络互联设备、安全设备、服务器、管理制度和记录等，应充分4发当需要开展工具测试、渗透测试时，应编制针对性的风险规避实施方案，必要时，应搭建模拟环境，验证漏洞应组织项目组人员对测评方案进行评审，评审的内容应包括但不限于：方案的针对性、完整性、正确性、可实4.3现场测评活动应向测评委托单位提交风险告知书，充分告知测评可能引入的风险及可采取的规避措施，并获得测评委托单位现场测评授权书授权的内容应明确授权使用的被测对象（包括操作系统/管理系统/业务系统账户密码、管理制度）、授权范围（时间段、权限、操作者）、授权目的、可能产生的影响、规避风险的措施及建议等。授权使用的被测对象应具有唯一性标识（如：IP地址、设备唯一编号）。适用时，还应规定渗透测试的执行时间、渗5应根据测评任务的需要申领相关设备、借阅相关文件（如：管理制度、安全记录、过往的测评报告并对设应召开测评现场首次会，编制会议记录，会议记录内容应包括但不限于：现场测评工作安排、测评计划和测评测评师和渗透测试人员应与测评方案中规定的人员一致，确需变更时，应提出书面申请，并得到委托测评单位应根据测评方案、测评指导书、现场测评授权书的要求按计划实施现场测评应详细记录测评过程信息，这些信息可包括但不限于：执行时间、执行人、审核人、测评方法、测评工具唯一标识（适用时）、测评对象唯一标识、模块名称（适用时）、文件唯一标识及页面（适用时）、实际情况描述对于整改后的测评项应按上述要求进行再次测评，且应分析整改对其他相关测评项目的影响，必要时应对受到4.4报告编制活动6所提出的整改建议应尽可能直接有效，且通过利用现有资源（如：软硬件设备、管理制度）或