标准规范下载简介
DB34/T 4091.2-2022 网络安全等级保护测评机构 第2部分:测评质量检查规范.pdf简介:
DB34/T 4091.2-2022 是中国江苏省的地方标准,名为“网络安全等级保护测评机构 第2部分:测评质量检查规范”。这个标准主要针对网络安全等级保护测评机构的工作质量进行规范,目的是为了确保测评过程的公正、客观、科学,提升测评机构的专业能力和规范性。
网络安全等级保护测评是针对信息系统安全保护等级进行的评估,根据《网络安全法》和相关国家标准,测评机构需要按照严格的标准进行网络安全等级的测评,包括定级、设计、实施、测评、整改等环节。DB34/T 4091.2-2022 对测评机构在这些环节中的工作流程、技术方法、文档管理、质量控制等方面提出了详细的要求,以保证测评结果的准确性、有效性。
通过这个标准,测评机构需要定期进行自我评估和质量检查,以确保其服务质量符合规定,同时也能促进整个网络安全测评行业的规范化发展。对于企业和组织来说,选择符合该标准的测评机构进行等级保护测评,可以提高其网络安全防护水平并符合法规要求。
DB34/T 4091.2-2022 网络安全等级保护测评机构 第2部分:测评质量检查规范.pdf部分内容预览:
省市场监督管理局 发布
DB34/T4091.22022
DB23/T 2646-2020 测绘地理信息成果质量检查与验收 第4部分:实景三维模型本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是DB34/T4091《网络安全等级保护测评机构》的第2部分。DB34/T4091已经发布了以下部 分: 一第1部分:测评质量要求; 一第2部分:测评质量检查规范。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由安徽省公安厅提出并归口。 本文件起草单位:安徽省质量和标准化研究院、安徽省公安厅网安总队、合肥市公安局网络安全保 卫支队、亳州市公安局网络安全保卫支队、安徽科测信息技术有限公司、安徽省电子产品监督检验所、 合肥天惟信息安全技术有限公司、安徽祥盾信息科技有限公司、安徽等保信息安全测评技术有限公司、 安徽安正测评技术有限公司、安徽国康网络安全测评有限公司、安徽溯源电子科技有限公司、安徽风雪 网络安全测评有限公司、淮南师范学院。 本文件主要起草人:刘菖、冯响林、杨波、袁宁、朱伟、唐珂、张强强、王寒冰、胡欣瑞、赵家辉、 王理冬、武建双、房仲珂、冯玲莉、刘芝影、张多福、陈传宇、张松、陈宗明、方成成、周天熠、周苏 皖、刘磊、孙业国。
DB34/T 4091. 22022
《中华人民共和国网络安全法》申规定“国家实行网络安全等级保护制度”。网络安全等级保护工 作要求建立健全网络安全保障体系,重点保护涉及国家安全、国计民生、社会公共利益等的关键网络信 息系统的基础设施安全、运行安全和数据安全。网络安全等级保护测评机构根据国家网络安全等级保护 制度规定从事等级测评工作,其测评质量直接关系到网络安全防护是否规范、网络安全管理是否落实、 网络安全风险意识是否得到增强。DB34/T4091旨在规定网络安全等级保护测评机构的测评质量要求和 对测评机构的检查规范,以达到提升网络安全等级保护测评机构的测评质量为目的,由两部分构成。 一一第1部分:测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求,为测评质 量检查确立检查内容。 一一第2部分:测评质量检查规范。目的在于规定对网络安全等级保护测评机构测评质量检查的组 织、检查方法、检查流程和评价方法。
DB34/T4091.22022
网络安全等级保护测评机构
第2部分:测评质量检查规
本文件规定了网络安全等级保护测评机构(以下简称“测评机构”)测评质量检查的基本要求和检 查流程。 本文件适用于对测评机构测评质量的检查和评价,也适用于测评机构的自查活动。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T28448一2019信息安全技术网络安全等级保护测评要求 GB/T28449一2018信息安全技术网络安全等级保护测评过程指南 DB34/T4091.1一2022网络安全等级保护测评机构第1部分:测评质量要求
GB/T22239—2019、GB/T28448—2019、GB/T28449—2018界定的以及下列术语和定义适用 件。 检查评价机构inspectionandevaluationagency 负责组织和开展网络安全等级保护测评机构测评质量检查的机构。 注:检查评价机构可以是网络安全等级保护测评质量管理机构或其委托的第三方机构、网络安全等级保护测 测评委托单位或其委托的第三方机构
GB/T22239—2019、GB/T28448—2019、GB/T 2018界定的以及下列术语和定义适用于本 文件。 3.1 检查评价机构inspection and evaluationagency 负责组织和开展网络安全等级保护测评机构测评质量检查的机构。 注:检查评价机构可以是网络安全等级保护测评质量管理机构或其委托的第三方机构、网络安全等级保护测评机构 测评委托单位或其委托的第三方机构,
复核验证reviewandverification 检查人员与测评人员到测评委托单位,对测评记录、测评报告的内容进行现场核查、
1测评质量检查应遵循客观公正、合规自律、科学合理、风险可控的原则。 2实施测评质量检查的检查评价机构应满足下列要求: a) 在中华人民共和国境内注册成立,由中国公民、法人投资或国家投资的组织; b) 具有固定的办公场所和必要的设施; c) 不涉及网络安全等级保护测评及其他相关的咨询、培训等可能影响检查公正性的活动; d) 应与被检查测评机构无利益冲突; e)具 具有3名以上符合条件的检查人员,
DB34/T 4091. 22022
4.3实施测评质量检查的检查人员应满足以下要求: a)检查人员可由检查评价机构的检查人员、网络安全和等级保护相关领域专家、测评委托单位 网络安全专业人员等构成;
实地测计质量应直时应直八应价 a) 检查人员可由检查评价机构的检查人员、网络安全和等级保护相关领域专家、测评委托单位 网络安全专业人员等构成; b) 熟悉网络安全等级保护测评相关的法律法规和标准要求; c) 熟悉网络安全等级保护测评的测评内容、测评流程和测评方法; 熟悉测评质量检查的流程和方法; e)应与被检查测评机构无利益冲突。
测评质量检查可分为检查准备活动、检查实施活动、总结分析活动,各项活动的主要任务见表1
表1检查流程及其主要任务
5.2.1检查准备活动包括接受检查任务、确定检查人员、确定检查内容和测评机构测评质量评价方法、 制定并发布检查方案、确定被检查项目五项主要任务,这五项任务的流程如图1所示。 5.2.2检查评价机构接受检查任务,根据检查任务要求开展检查准备活动。 5.2.3检查评价机构根据检查任务需要和4.3的要求确定检查人员,成立检查组,检查组成员不少于 3人。 5.2.4检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法:
.2.3 检查评价机构根据检查任务需要和4.3的要求确定检查人员,成立检查组,检查组成员不少于 人。 .2.4 检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法 应根据DB34/T4091.1一2022中第4章规定的质量要求或按检查任务需要裁剪后的质量要求 确定检查内容;
5.2.4检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法:
DB34/T4091.22022
图1检查准备活动流程
5.2.5检查组应制定检查方案,必要时,可进行技术评审。检查方案应作为开展质
验查组应制定检查方案GB/T 40008.1-2021 热水制备系统绩效评价与计算方法 第1部分:户用及类似用途热水制备系统.pdf,必要时,可进行技术评审。检查方案应作为开展质量检查通知的附件 查方案应包括但不限于下列内容:
2 检查时间; b) 检查依据; cJ 检查评价机构; d) 检查人员; 被检查的测评机构(以下简称“被检查机构”)列表:明确被检查机构名称及检查顺序; f) 检查内容; g) 检查方法:针对检查内容可采用的检查方法(如:访谈、文档审查、复核验证等); h) 检查流程和各方职责; i) 结果评价方法: j) 附件:检查过程中用到的材料、表格(如:检查人员廉洁自律声明、被检查机构廉洁自律声 明、被检查机构确认人员授权书、会议签到表、检查记录表、资料交接声明等)。 .2.6 检查组应根据检查任务需要和下列要求确定被检查项目: a) 应从每个被检查的测评机构已完成的测评项目中选择不少于3个项目用于检查,并从确定的 被检查项目中确定1项用于复核验证。 b) 应优先选择最近一年内开展的测评项目用于检查 g 应优先选择等级保护级别高的测评项目用于检查; d) 应优先选择需要使用安全测评扩展要求的测评项目用于检查; e) 应优先选择需要执行相关行业标准的特殊行业(如:电力、金融等行业)的测评项目用于检 查; f) 应优先选择影响国计民生的信息系统(如:关键信息基础设施、公共服务信息系统)对应的 测评项目用于检查。
3.1检查组应根据检查方案确定的检查顺序到各被检查机构开展检查,检查组在各被检查机构 实施活动包括召开首次会议、开展检查、开展测评机构测评质量评价、召开末次会议四项主要 四项任务的流程如图2所示。
DB34/T 4091. 22022
图2检查实施活动流程
5.3.2检查组应召集被检查机构主要负责DB34/T 3748-2020 居家适老化改造指南.pdf, (包括技术负责人和质量负责人)和测评师召开首次会议, 确定联系
个绍检查工作分工,明确检查内容和要求,确定联系人。 5.3.3检查组应按下列要求开展检查: a) 应根据确定的被检查项目收集测评记录、测评报告,及与之相关的质量记录和材料(如:测 评委托协议、保密协议、风险告知书、人员档案、设备档案及维护使用记录、评审记录等); b) 应访谈被检查项目涉及的测评师,检查项目实施和质量控制过程记录,检查测评过程和记录 的真实性、正确性、一致性、有效性; c) 应访谈测评委托单位相关人员,检查项目实施过程、被测定级对象概况、安全管理机构、安 全管理人员、漏洞扫描和渗透测试实施细节与测评记录、测评报告及相关质量记录的真实性、 正确性、一致性、有效性,检查测评方法选择的合理性; d) 应对被检查项目测评记录、测评报告,以及与之相关质量记录及材料开展文档审查,检查记 录的真实性、判定的准确性、材料的一致性: e) 应对被测定级对象开展复核验证,内容包括但不限于: 测评记录和测评报告涉及的被测对象概况; 测评记录和测评报告涉及的网络拓扑、安全防护设备、测评对象选择、安全物理环境和 安全配置策略; 3 测评记录和测评报告涉及的安全控制措施: 4) 测评记录和测评报告涉及的测评委托方提供的材料(如:系统建设资料、系统运行记录、 安全管理制度、安全管理记录等)。 f)检查组应记录发现的问题,并获得被检查机构的确认。 .3.4检查组应根据检查方案确定的评价方法对被检查机构的测评质量进行评价,确定评价结果,并 获得被检查机构的确认。 5.3.5检查组应召集被检查机构主要负责人(包括技术负责人和质量负责人)和测评师召开末次会议: 介绍检查过程,通报发现的问题和检查评价结果,听取被检查机构的建议和意见
5.3.3检查组应按下列要求开展检查