DB34∕T 4091.1-2022 网络安全等级保护测评机构 第1部分 测评质量要求.pdf
《DB34∕T 4091.1-2022 网络安全等级保护测评机构 第1部分 测评质量要求.pdf》由会员分享,可在线阅读,更多相关《DB34∕T 4091.1-2022 网络安全等级保护测评机构 第1部分 测评质量要求.pdf(9页珍藏版)》请在咨信网上搜索。
1、 ICS 35.040 CCS L 80 34 安徽省地方标准 DB34/T 4091.12022 网络安全等级保护测评机构 第 1 部分:测评质量要求 Assessment organization of classified protection of cybersecurityPart 1: Evaluation quality requirements 2022 - 03 - 29 发布 2022 - 04 - 29 实施 安徽省市场监督管理局 发 布 学兔兔 标准下载DB34/T 4091.12022 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构
2、和起草规则的规定起草。 本文件是DB34/T 4901网络安全等级保护测评机构的第1部分。DB34/T 4901 已经发布了以下部分: 第 1 部分:测评质量要求; 第 2 部分:测评质量检查规范。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由安徽省公安厅提出并归口。 本文件起草单位:安徽省质量和标准化研究院、安徽省公安厅网安总队、铜陵市公安局网络安全保卫支队、淮北市公安局网络安全保卫支队、芜湖市公安局网络安全保卫支队、安徽科测信息技术有限公司、安徽省电子产品监督检验所、合肥天帷信息安全技术有限公司、安徽祥盾信息科技有限公司、安徽等保信息安全测评技术
3、有限公司、安徽安正测评技术有限公司、安徽国康网络安全测评有限公司、安徽溯源电子科技有限公司、安徽风雪网络安全测评有限公司、合肥前卫科技有限公司。 本文件主要起草人:冯响林、刘菖、杨波、袁宁、张士骑、朱冰、楚学建、朱华斌、齐艳丽、赵家辉、蒋凡、何潇宁、张婷、武建双、程苏秦、王国朝、张多福、陈传宇、张松、陈宗明、方成成、周天熠、刘环。 I 学兔兔 标准下载DB34/T 4091.12022 引言 中华人民共和国网络安全法中规定“国家实行网络安全等级保护制度”。网络安全等级保护工作要求建立健全网络安全保障体系,重点保护涉及国家安全、国计民生、社会公共利益等的关键网络信息系统的基础设施安全、 运行安全
4、和数据安全。 网络安全等级保护测评机构根据国家网络安全等级保护制度规定从事等级测评工作,其测评质量直接关系到网络安全防护是否规范、网络安全管理是否落实、网络安全风险意识是否得到增强。DB34/T 4901旨在规定网络安全等级保护测评机构的测评质量要求和对测评机构的检查规范,以达到提升网络安全等级保护测评机构的测评质量为目的,由两部分构成。 第 1 部分:测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求,为测评质量检查确立检查内容。 第 2 部分:测评质量检查规范。目的在于规定对网络安全等级保护测评机构测评质量检查的组织、检查方法、检查流程和评价方法。 II 学兔兔 标准下载DB3
5、4/T 4091.12022 网络安全等级保护测评机构 第 1 部分:测评质量要求 1 范围 本文件规定了网络安全等级保护测评机构(以下简称“测评机构”)的测评质量要求。 本文件适用于对测评机构测评质量的检查和评价,也适用于测评机构的自查活动。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中, 注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 222392019 信息安全技术 网络安全等级保护基本要求 GB/T 284482019 信息安全技术 网络安全等级保护测评要求 GB
6、/T 284492018 信息安全技术 网络安全等级保护测评过程指南 3 术语和定义 GB/T 222392019、GB/T 284482019和GB/T 284492018 界定的术语和定义适用于本文件。 4 质量要求 测评准备活动 4.1 测评准备活动的质量要求如表1所示。 表1 测评准备活动的质量要求 项目 要求 人员 参与项目测评的测评师数量和等级应与被测对象等级保护级别相符:实施二级项目测评的测评师应不少于2名;实施三级项目测评的测评师应不少于4名,其中高级测评师、中级测评师应各不少于1名;实施四级项目测评的测评师应不少于5名,其中中级测评师应不少于1名,高级测评师应不少于1名。 测
7、评师的测评能力应得到保持,按要求参加培训,持等级测评师证上岗。 需要开展渗透测试的测评项目,应配置专职渗透测试人员至少1名。 项目工作计划 应根据委托测评协议书的内容编制项目计划书。 项目计划书应包括被测对象概述。 项目计划书应分析测评的内容、规模。 项目计划书应明确被测对象是否涉及云计算平台、物联网、移动互联、工业控制系统、大数据等新技术新应用。 项目计划书应分析测评的实施计划、重点环节。 1 学兔兔 标准下载DB34/T 4091.12022 表 1(续) 项目 要求 项目工作计划 项目计划书应说明测评人员要求。 应为项目计划书设置符合测评机构管理规定要求的唯一标识,该标识能与测评任务实现
8、关联。 项目计划书应经过编制、审核和批准流程。 等级测评资料收集 应收集项目测评所需的测评委托单位的资料,包括但不限于委托单位管理架构、技术体系、运行情况、建设方案、建设过程中相关文档。 应收集项目测评所需的被测对象的资料,包括但不限于安全保护等级、业务情况、数据情况、网络情况、软硬件情况、管理模式和安全部门及角色等。 针对云计算平台的等级测评,还应收集云计算平台运营机构的管理架构、技术实现机制及架构、运行情况、云计算平台的定级情况、云计算平台的等级测评结果。 针对云租户系统的等级测评,还应收集云计算平台运营机构与租户的关系、云平台的服务架构模式以及其具体内容、定级对象的相关情况。 针对物联网
9、系统的等级测评,还应收集各类感知层设备的检测情况、感知层设备部署情况、感知层物理环境、感知层通信协议等信息。 针对移动互联应用的等级测评,还应收集各类无线接入设备部署情况、移动终端使用情况、移动应用程序、移动通信协议等信息。 针对工业控制系统的等级测评,还应收集工控设备类型、系统架构、逻辑层次结构、工艺流程、功能安全需求、业务安全保护等级、通信协议、安全组织架构、历史安全事件等信息。 针对大数据的等级测评,还应收集大数据系统架构、数据出入过程、基础设施位置等信息。 应整理并分析收集到的所有资料,评估资料收集的完整性和资料的有效性,并记录评估过程和结果。 系统调查 应使用统一格式的系统调查表格(
10、如:系统调查表格模板),调查表格应具有唯一性标识,该标识能与测评任务实现关联。 系统调查表格应调查测评委托单位的基本信息,包括但不限于:单位名称、单位地址、联系人、联系电话。 系统调查表格应调查被测对象的基本情况,包括但不限于:采用的主要技术、主要功能、核心业务、关键数据、服务对象。 系统调查表格应调查承载的业务情况,包括但不限于:被测对象名称、定级等级、被测对象形态(如:传统系统、云计算平台、物联网、移动互联、工业控制系统、大数据等)。 系统调查表格应调查被测对象涉及的网络结构并绘制网络拓扑图,网络拓扑图应能明确被测对象涉及的功能/安全区域划分、隔离与防护情况、关键网络和服务器设备部署情况、
11、与其他系统的互联情况、边界网络设备情况、网络管理工具以及本地备份或灾备中心的情况。 应调查被测对象涉及的机房信息,包括但不限于:机房名称、位置、重要程度。 应调查被测对象涉及的网络互联设备信息,包括但不限于:设备名称、设备类型、品牌型号、是否虚拟设备、软件版本及补丁版本、所属网络区域、主要用途、重要程度、数量。 应调查被测对象涉及的安全设备信息,包括但不限于:设备名称、设备类型、品牌型号、软件版本及病毒或规则库版本、所属网络区域、主要用途、重要程度、数量。 应调查被测对象涉及的服务器及存储设备信息,适用时,还应调查宿主机、云管理服务器、云应用服务器的信息。这些信息包括但不限于:设备名称、设备类
12、型、品牌型号、是否虚拟设备、操作系统或存储管理系统名称及版本、所承载的业务应用系统名称及版本、重要程度、数量。 应调查被测对象涉及的终端设备信息,包括但不限于:设备名称、设备类型、品牌型号、操作系统或控制系统名称及版本、设备用途、重要程度、数量。 2 学兔兔 标准下载DB34/T 4091.12022 表 1(续) 项目 要求 系统调查 应调查被测对象涉及的支撑或管理系统(如:数据库管理系统、中间件、网管软件、安全管理软件、云计算管理软件)信息,适用时,还应调查云计算平台安全管理系统、云计算平台数据库管理系统、云计算平台中间件软件的信息。这些信息包括但不限于支撑或管理系统名称及版本、部署设备名
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB34T 4091.1-2022 网络安全等级保护测评机构 第1部分 测评质量要求 DB34 4091.1 2022 网络安全 等级 保护 测评 机构 部分 质量 要求
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【yp****2】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【yp****2】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。