1、 ICS 35.040 CCS L 80 34 安徽省地方标准 DB34/T 4091.12022 网络安全等级保护测评机构 第 1 部分:测评质量要求 Assessment organization of classified protection of cybersecurityPart 1: Evaluation quality requirements 2022 - 03 - 29 发布 2022 - 04 - 29 实施 安徽省市场监督管理局 发 布 学兔兔 标准下载DB34/T 4091.12022 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构
2、和起草规则的规定起草。 本文件是DB34/T 4901网络安全等级保护测评机构的第1部分。DB34/T 4901 已经发布了以下部分: 第 1 部分:测评质量要求; 第 2 部分:测评质量检查规范。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由安徽省公安厅提出并归口。 本文件起草单位:安徽省质量和标准化研究院、安徽省公安厅网安总队、铜陵市公安局网络安全保卫支队、淮北市公安局网络安全保卫支队、芜湖市公安局网络安全保卫支队、安徽科测信息技术有限公司、安徽省电子产品监督检验所、合肥天帷信息安全技术有限公司、安徽祥盾信息科技有限公司、安徽等保信息安全测评技术
3、有限公司、安徽安正测评技术有限公司、安徽国康网络安全测评有限公司、安徽溯源电子科技有限公司、安徽风雪网络安全测评有限公司、合肥前卫科技有限公司。 本文件主要起草人:冯响林、刘菖、杨波、袁宁、张士骑、朱冰、楚学建、朱华斌、齐艳丽、赵家辉、蒋凡、何潇宁、张婷、武建双、程苏秦、王国朝、张多福、陈传宇、张松、陈宗明、方成成、周天熠、刘环。 I 学兔兔 标准下载DB34/T 4091.12022 引言 中华人民共和国网络安全法中规定“国家实行网络安全等级保护制度”。网络安全等级保护工作要求建立健全网络安全保障体系,重点保护涉及国家安全、国计民生、社会公共利益等的关键网络信息系统的基础设施安全、 运行安全
4、和数据安全。 网络安全等级保护测评机构根据国家网络安全等级保护制度规定从事等级测评工作,其测评质量直接关系到网络安全防护是否规范、网络安全管理是否落实、网络安全风险意识是否得到增强。DB34/T 4901旨在规定网络安全等级保护测评机构的测评质量要求和对测评机构的检查规范,以达到提升网络安全等级保护测评机构的测评质量为目的,由两部分构成。 第 1 部分:测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求,为测评质量检查确立检查内容。 第 2 部分:测评质量检查规范。目的在于规定对网络安全等级保护测评机构测评质量检查的组织、检查方法、检查流程和评价方法。 II 学兔兔 标准下载DB3
5、4/T 4091.12022 网络安全等级保护测评机构 第 1 部分:测评质量要求 1 范围 本文件规定了网络安全等级保护测评机构(以下简称“测评机构”)的测评质量要求。 本文件适用于对测评机构测评质量的检查和评价,也适用于测评机构的自查活动。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中, 注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 222392019 信息安全技术 网络安全等级保护基本要求 GB/T 284482019 信息安全技术 网络安全等级保护测评要求 GB
6、/T 284492018 信息安全技术 网络安全等级保护测评过程指南 3 术语和定义 GB/T 222392019、GB/T 284482019和GB/T 284492018 界定的术语和定义适用于本文件。 4 质量要求 测评准备活动 4.1 测评准备活动的质量要求如表1所示。 表1 测评准备活动的质量要求 项目 要求 人员 参与项目测评的测评师数量和等级应与被测对象等级保护级别相符:实施二级项目测评的测评师应不少于2名;实施三级项目测评的测评师应不少于4名,其中高级测评师、中级测评师应各不少于1名;实施四级项目测评的测评师应不少于5名,其中中级测评师应不少于1名,高级测评师应不少于1名。 测
7、评师的测评能力应得到保持,按要求参加培训,持等级测评师证上岗。 需要开展渗透测试的测评项目,应配置专职渗透测试人员至少1名。 项目工作计划 应根据委托测评协议书的内容编制项目计划书。 项目计划书应包括被测对象概述。 项目计划书应分析测评的内容、规模。 项目计划书应明确被测对象是否涉及云计算平台、物联网、移动互联、工业控制系统、大数据等新技术新应用。 项目计划书应分析测评的实施计划、重点环节。 1 学兔兔 标准下载DB34/T 4091.12022 表 1(续) 项目 要求 项目工作计划 项目计划书应说明测评人员要求。 应为项目计划书设置符合测评机构管理规定要求的唯一标识,该标识能与测评任务实现
8、关联。 项目计划书应经过编制、审核和批准流程。 等级测评资料收集 应收集项目测评所需的测评委托单位的资料,包括但不限于委托单位管理架构、技术体系、运行情况、建设方案、建设过程中相关文档。 应收集项目测评所需的被测对象的资料,包括但不限于安全保护等级、业务情况、数据情况、网络情况、软硬件情况、管理模式和安全部门及角色等。 针对云计算平台的等级测评,还应收集云计算平台运营机构的管理架构、技术实现机制及架构、运行情况、云计算平台的定级情况、云计算平台的等级测评结果。 针对云租户系统的等级测评,还应收集云计算平台运营机构与租户的关系、云平台的服务架构模式以及其具体内容、定级对象的相关情况。 针对物联网
9、系统的等级测评,还应收集各类感知层设备的检测情况、感知层设备部署情况、感知层物理环境、感知层通信协议等信息。 针对移动互联应用的等级测评,还应收集各类无线接入设备部署情况、移动终端使用情况、移动应用程序、移动通信协议等信息。 针对工业控制系统的等级测评,还应收集工控设备类型、系统架构、逻辑层次结构、工艺流程、功能安全需求、业务安全保护等级、通信协议、安全组织架构、历史安全事件等信息。 针对大数据的等级测评,还应收集大数据系统架构、数据出入过程、基础设施位置等信息。 应整理并分析收集到的所有资料,评估资料收集的完整性和资料的有效性,并记录评估过程和结果。 系统调查 应使用统一格式的系统调查表格(
10、如:系统调查表格模板),调查表格应具有唯一性标识,该标识能与测评任务实现关联。 系统调查表格应调查测评委托单位的基本信息,包括但不限于:单位名称、单位地址、联系人、联系电话。 系统调查表格应调查被测对象的基本情况,包括但不限于:采用的主要技术、主要功能、核心业务、关键数据、服务对象。 系统调查表格应调查承载的业务情况,包括但不限于:被测对象名称、定级等级、被测对象形态(如:传统系统、云计算平台、物联网、移动互联、工业控制系统、大数据等)。 系统调查表格应调查被测对象涉及的网络结构并绘制网络拓扑图,网络拓扑图应能明确被测对象涉及的功能/安全区域划分、隔离与防护情况、关键网络和服务器设备部署情况、
11、与其他系统的互联情况、边界网络设备情况、网络管理工具以及本地备份或灾备中心的情况。 应调查被测对象涉及的机房信息,包括但不限于:机房名称、位置、重要程度。 应调查被测对象涉及的网络互联设备信息,包括但不限于:设备名称、设备类型、品牌型号、是否虚拟设备、软件版本及补丁版本、所属网络区域、主要用途、重要程度、数量。 应调查被测对象涉及的安全设备信息,包括但不限于:设备名称、设备类型、品牌型号、软件版本及病毒或规则库版本、所属网络区域、主要用途、重要程度、数量。 应调查被测对象涉及的服务器及存储设备信息,适用时,还应调查宿主机、云管理服务器、云应用服务器的信息。这些信息包括但不限于:设备名称、设备类
12、型、品牌型号、是否虚拟设备、操作系统或存储管理系统名称及版本、所承载的业务应用系统名称及版本、重要程度、数量。 应调查被测对象涉及的终端设备信息,包括但不限于:设备名称、设备类型、品牌型号、操作系统或控制系统名称及版本、设备用途、重要程度、数量。 2 学兔兔 标准下载DB34/T 4091.12022 表 1(续) 项目 要求 系统调查 应调查被测对象涉及的支撑或管理系统(如:数据库管理系统、中间件、网管软件、安全管理软件、云计算管理软件)信息,适用时,还应调查云计算平台安全管理系统、云计算平台数据库管理系统、云计算平台中间件软件的信息。这些信息包括但不限于支撑或管理系统名称及版本、部署设备名
13、称、主要功能、重要程度。 应调查被测对象涉及的业务应用系统信息,包括但不限于:系统名称和版本、开发厂商、主要功能、处理的核心数据、用户数量、系统架构、重要程度。 应调查被测对象涉及的数据信息,包括但不限于:数据类别(如:业务数据、重要个人信息)、所属业务应用系统、安全防护需求(如:保密性、完整性、抗抵赖性、可核查性、真实性)。使用大数据处理技术处理数据时,还应明确实现数据采集、存储、处理、应用、流动、销毁等环节的实施模块。 应调查被测对象涉及的安全相关人员信息,包括但不限于:姓名、角色、主要职责、联系电话。相关人员可以包括但不限于:安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、
14、设备(资产)管理员、软件开发人员、机房管理员、安全审计人员等。 应调查被测对象涉及的安全管理制度信息,包括但不限于:文件名称、文件编号、适用范围、主要内容。 应对调查到的信息进行整理、分析,对不符合要求的应重新调查,必要时应安排现场调查,应对调查结果进行评估,并记录评估过程和结果。 测评工具准备 应根据测评任务需要选择合适的测评工具(包括漏洞扫描工具、渗透性测试工具、Web安全评估工具、数据库扫描工具和协议分析工具等)。 应对选择的测评工具软件进行维护(如:更新升级、设置、杀毒)。 必要时,应对工具操作人员开展培训。 测评表单准备 应根据测评任务需要准备测评表,这些表单包括但不限于:风险告知书
15、、文档交接单、会议记录表单、会议签到表单、测试记录表单。 测评表单应具有唯一性标识,该标识能与测评任务实现关联。 测评准备阶段使用的表单内容应准确,并应获得测评委托单位的确认。 方案编制活动 4.2 方案编制活动的质量要求如表2所示。 表2 方案编制活动的质量要求 项目 要求 测评对象确定 测评对象的选择应与定级结果相符,且符合GB/T 284492018中附录D的要求。 应将面临威胁较大的涉及新技术新应用的设备或组件确定为测评对象。 应将共享/互联设备确定为测评对象。 应正确识别承载被测对象核心或重要业务、数据的服务器,并将其确定为测评对象。 选择的测评对象种类(如:网络互联设备类型、安全设
16、备类型、主机操作系统类型、数据库系统类型和应用系统类型等)和数量符合测评等级的要求。 对不能确定为测评对象的重要业务应用系统、网络互联设备、安全设备、服务器、管理制度和记录等,应充分分析原因,得到测评委托单位的确认,并保存相关记录。 测评指标确定 测评对象的安全要求组合应与定级结果相符。 相关行业规范中涉及的网络安全要求应作为测评指标。 新技术新应用涉及的扩展要求应作为测评指标。 对测评指标与被测对象、测评指标与测评对象的适应性进行分析,记录不适用的原因。 3 学兔兔 标准下载DB34/T 4091.12022 表 2(续) 项目 要求 测评内容确定 测评指标应映射到各测评对象上。 测评对象的
17、每个测评指标都应选择对应的测评方法。 测评实施内容应符合 GB/T 28448 的要求,特别的应予以说明。 适用时,应规定渗透测试的内容。 测评力度应符合 GB/T 284482019 中附录A的要求。 工具测试方法确定 应根据测评对象的特点选择测评工具,并规定测评工具的名称及版本。 应根据 GB/T 28449 的要求选择合适的测试路径。 应根据测试路径的特点为测试工具选择合适的接入点。 应规定具有操作能力的人员使用测试工具开展测试,并形成工具测试记录。 测评指导书开发 应根据测评对象、测评指标、测评内容、测试方法的特点编制测评指导书。 测评指导书应规定单项测评的测评项、测评方法、测评步骤、
18、预期结果。 测评指导书应规定整体测评的步骤和方法。 适用时,应规定漏洞扫描和渗透测试的方法、步骤。 测评指导书的内容应通俗易懂、准确、无歧义,必要时,应对测评指导书进行培训。 风险规避实施方案编制 应从测评对象、测评内容、测评力度、测评方法的特点着手,识别测评过程中可能存在的风险。 当需要开展工具测试、渗透测试时,应编制针对性的风险规避实施方案,必要时,应搭建模拟环境,验证漏洞扫描或者渗透测试的风险。 应根据识别的风险制定具有针对性的风险规避实施方案。 制定的风险规避实施方案应正确、有效、可实施,必要时,应对风险规避实施方案进行评审。 测评方案编制 应根据等级保护过程中的等级测评实施要求,完整
19、准确的罗列测评活动所依据的标准。 应根据委托测评协议书和被测对象情况,估算现场测评工作量。 应根据项目组人员组成和测评任务需要,编制任务分工。 应编制测评计划,其内容应包括但不限于:人员组成及分工、设备设施、时间进度、停止/恢复条件。 应组织项目组人员对测评方案进行评审,评审的内容应包括但不限于:方案的针对性、完整性、正确性、可实施性。 测评方案应得到测评委托单位的确认。 现场测评活动 4.3 现场测评活动的质量要求如表3所示。 表3 现场测评活动的质量要求 项目 要求 现场测评准备 应向测评委托单位提交风险告知书,充分告知测评可能引入的风险及可采取的规避措施,并获得测评委托单位的确认。 应根
20、据测评对象和测评内容编制现场测评授权书,现场测评授权应遵循最小必要的原则。 现场测评授权书授权的内容应明确授权使用的被测对象(包括操作系统/管理系统/业务系统账户密码、管理制度)、授权范围(时间段、权限、操作者)、授权目的、可能产生的影响、规避风险的措施及建议等。授权使用的被测对象应具有唯一性标识(如:IP地址、设备唯一编号)。适用时,还应规定渗透测试的执行时间、渗透范围。 4 学兔兔 标准下载DB34/T 4091.12022 表 3(续) 项目 要求 现场测评 准备 现场测评授权书应得到测评委托单位的确认。 应根据测评任务的需要申领相关设备、借阅相关文件(如:管理制度、安全记录、过往的测评
21、报告),并对设备状态、文档借阅信息进行确认。 应召开测评现场首次会,编制会议记录,会议记录内容应包括但不限于:现场测评工作安排、测评计划和测评内容。 现场测评 应由两名以上具有资质的测评师开展现场测评,应由专职渗透测试人员开展渗透测试。 测评师和渗透测试人员应与测评方案中规定的人员一致,确需变更时,应提出书面申请,并得到委托测评单位的确认。 应根据测评方案、测评指导书、现场测评授权书的要求按计划实施现场测评。不得删减测评对象、测评内容,不得更改测评方法,确需变更时,应提出书面申请,并得到委托测评单位的确认。 应详细记录测评过程信息,这些信息可包括但不限于:执行时间、执行人、审核人、测评方法、测
22、评工具唯一标识(适用时)、测评对象唯一标识、模块名称(适用时)、文件唯一标识及页面(适用时)、实际情况描述(如:现状、配置情况、制度要求)。 测评记录应清晰准确、客观公正,必要时应保存截图、照片或录像。 应确保电子记录(如:工具测试结果、测试记录电子文档)在生成、转移、存储等过程中不能被篡改。 测评记录应得到测评委托单位的确认。 同一项目不同轮次的测评记录应使用版本控制,后一轮次的测评记录不应覆盖前一轮次的记录。 应按照测评机构项目管理和保密管理的规定对测评过程、记录、结果进行管理。 应按照测评机构项目管理和保密管理的规定对涉及的敏感信息进行处理。 对于整改后的测评项应按上述要求进行再次测评,
23、且应分析整改对其他相关测评项目的影响,必要时应对受到影响的测评项再次开展测评。 结果确认 应召开测评现场末次会,并形成会议记录,记录的内容包括但不限于:测评过程简介、发现的问题及整改建议。 应与测评委托单位沟通测评过程中发现的问题,并得到测评委托单位的确认。 报告编制活动 4.4 报告编制活动的质量要求如表4所示。 表4 报告编制活动的质量要求 项目 要求 测评结果判定 应逐一核对“不适用”项,并准确分析不适用的原因。 应根据测评记录准确判定单项测评结果和符合程度得分。 应汇总和分析已有安全措施和主要安全问题,应罗列被测对象采用的安全保护措施,并客观评价其达到的效果。 应按照 GB/T 284
24、482019 中11.2的要求开展安全控制点测评,且结果判定准确。 应按照 GB/T 284482019 中11.3的要求开展安全控制点间测评,并调整测评结果。 应按照 GB/T 284482019 中11.4的要求开展区域间测评,并调整测评结果。 应汇总整体测评结果,调整经整体测评后安全问题严重程度,并准确说明调整理由。 安全问题风险分析 应对等级测评结果中存在的所有安全问题进行安全问题风险分析。 应发掘关联资产和关联威胁,确定安全问题可能造成的最大安全危害(损失)。 应根据安全危害(损失)准确确定风险等级。 5 学兔兔 标准下载DB34/T 4091.12022 表 4(续) 项目 要求
25、等级测评结论 应根据安全问题风险分析结果和综合得分确定等级测评结论。 综合得分公式使用正确,结果计算准确。 安全整改建议 应对所有安全问题提出整改建议。 所提出的整改建议应尽可能直接有效,且通过利用现有资源(如:软硬件设备、管理制度)或追加少量资源即可实现。 测评报告 测评报告格式应符合测评报告模板要求,测评报告的要素应符合 GB/T 28448和测评报告模板的要求。 测评机构应按照质量管理要求对测评报告进行评审,并形成评审记录。 测评报告应经过三级审核,并加盖等级测评专用章、测评机构测试专用章(或公章)。测评报告出现影响测评结果或测评委托单位使用的情况时,应编制修订页,必要时,应按照质量管理要求收回原报告,修改完善后重新审核发布。 6 学兔兔 标准下载
浙ICP备2021020529号-1 | 浙B2-20240490 
