DB34_T 4091.2-2022网络安全等级保护测评机构 第2部分_测评质量检查规范-(高清现行).pdf
《DB34_T 4091.2-2022网络安全等级保护测评机构 第2部分_测评质量检查规范-(高清现行).pdf》由会员分享,可在线阅读,更多相关《DB34_T 4091.2-2022网络安全等级保护测评机构 第2部分_测评质量检查规范-(高清现行).pdf(13页珍藏版)》请在咨信网上搜索。
1、 ICS 35.040 CCS L 80 34 安徽省地方标准 DB34/T 4091.22022 网络安全等级保护测评机构 第 2 部分:测评质量检查规范 Assessment organization of classified protection of cybersecurityPart 2:Evaluation quality inspection specification 2022-03-29 发布 2022-04-29 实施 安徽省市场监督管理局 发 布 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。本文件是DB34/T
2、 4091网络安全等级保护测评机构的第2部分。DB34/T 4091 已经发布了以下部分:第 1 部分:测评质量要求;第 2 部分:测评质量检查规范。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由安徽省公安厅提出并归口。本文件起草单位:安徽省质量和标准化研究院、安徽省公安厅网安总队、合肥市公安局网络安全保卫支队、亳州市公安局网络安全保卫支队、安徽科测信息技术有限公司、安徽省电子产品监督检验所、合肥天帷信息安全技术有限公司、安徽祥盾信息科技有限公司、安徽等保信息安全测评技术有限公司、安徽安正测评技术有限公司、安徽国康网络安全测评有限公司、安徽溯源电子科技有
3、限公司、安徽风雪网络安全测评有限公司、淮南师范学院。本文件主要起草人:刘菖、冯响林、杨波、袁宁、朱伟、唐珂、张强强、王寒冰、胡欣瑞、赵家辉、王理冬、武建双、房仲珂、冯玲莉、刘芝影、张多福、陈传宇、张松、陈宗明、方成成、周天熠、周苏皖、刘磊、孙业国。引言 中华人民共和国网络安全法中规定“国家实行网络安全等级保护制度”。网络安全等级保护工作要求建立健全网络安全保障体系,重点保护涉及国家安全、国计民生、社会公共利益等的关键网络信息系统的基础设施安全、运行安全和数据安全。网络安全等级保护测评机构根据国家网络安全等级保护制度规定从事等级测评工作,其测评质量直接关系到网络安全防护是否规范、网络安全管理是否
4、落实、网络安全风险意识是否得到增强。DB34/T 4091旨在规定网络安全等级保护测评机构的测评质量要求和对测评机构的检查规范,以达到提升网络安全等级保护测评机构的测评质量为目的,由两部分构成。第1部分:测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求,为测评质量检查确立检查内容。第2部分:测评质量检查规范。目的在于规定对网络安全等级保护测评机构测评质量检查的组织、检查方法、检查流程和评价方法。网络安全等级保护测评机构 第 2 部分:测评质量检查规范 1 范围 本文件规定了网络安全等级保护测评机构(以下简称“测评机构”)测评质量检查的基本要求和检查流程。本文件适用于对测评机构测评
5、质量的检查和评价,也适用于测评机构的自查活动。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 222392019 信息安全技术 网络安全等级保护基本要求 GB/T 284482019 信息安全技术 网络安全等级保护测评要求 GB/T 284492018 信息安全技术 网络安全等级保护测评过程指南 DB34/T 4091.12022 网络安全等级保护测评机构 第1部分:测评质量要求 3 术语和定义 GB/T 222392019、GB
6、/T 284482019、GB/T 284492018 界定的以及下列术语和定义适用于本文件。3.1 检查评价机构 inspection and evaluation agency 负责组织和开展网络安全等级保护测评机构测评质量检查的机构。注:检查评价机构可以是网络安全等级保护测评质量管理机构或其委托的第三方机构、网络安全等级保护测评机构、测评委托单位或其委托的第三方机构。3.2 复核验证 review and verification 检查人员与测评人员到测评委托单位,对测评记录、测评报告的内容进行现场核查、测试和验证。4 基本要求 测评质量检查应遵循客观公正、合规自律、科学合理、风险可控的
7、原则。4.1 实施测评质量检查的检查评价机构应满足下列要求:4.2 a)在中华人民共和国境内注册成立,由中国公民、法人投资或国家投资的组织;b)具有固定的办公场所和必要的设施;c)不涉及网络安全等级保护测评及其他相关的咨询、培训等可能影响检查公正性的活动;d)应与被检查测评机构无利益冲突;e)具有 3 名以上符合条件的检查人员。实施测评质量检查的检查人员应满足以下要求:4.3 a)检查人员可由检查评价机构的检查人员、网络安全和等级保护相关领域专家、测评委托单位网络安全专业人员等构成;b)熟悉网络安全等级保护测评相关的法律法规和标准要求;c)熟悉网络安全等级保护测评的测评内容、测评流程和测评方法
8、;d)熟悉测评质量检查的流程和方法;e)应与被检查测评机构无利益冲突。5 检查流程 概述 5.1 测评质量检查可分为检查准备活动、检查实施活动、总结分析活动,各项活动的主要任务见表1。表1 检查流程及其主要任务 检查流程 主要任务 检查准备活动 接受检查任务 确定检查人员 确定检查内容和测评机构测评质量评价方法 制定并发布检查方案 确定被检查项目 检查实施活动 召开首次会议 开展检查 开展测评机构测评质量评价 召开末次会议 总结分析活动 汇总分析 形成检查报告 检查准备活动 5.2 5.2.1 检查准备活动包括接受检查任务、确定检查人员、确定检查内容和测评机构测评质量评价方法、制定并发布检查方
9、案、确定被检查项目五项主要任务,这五项任务的流程如图 1 所示。5.2.2 检查评价机构接受检查任务,根据检查任务要求开展检查准备活动。5.2.3 检查评价机构根据检查任务需要和 4.3 的要求确定检查人员,成立检查组,检查组成员不少于3 人。5.2.4 检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法:a)应根据 DB34/T 4091.12022 中第 4 章规定的质量要求或按检查任务需要裁剪后的质量要求确定检查内容;b)应根据检查任务需要选择附录 A 所列方法开展测评机构测评质量评价。接受检查任务确定检查人员制定并发布检查方案确定检查内容和检查结果评价方法确定被检
10、查项目 图1 检查准备活动流程 5.2.5 检查组应制定检查方案,必要时,可进行技术评审。检查方案应作为开展质量检查通知的附件发布。检查方案应包括但不限于下列内容:a)检查时间;b)检查依据;c)检查评价机构;d)检查人员;e)被检查的测评机构(以下简称“被检查机构”)列表:明确被检查机构名称及检查顺序;f)检查内容;g)检查方法:针对检查内容可采用的检查方法(如:访谈、文档审查、复核验证等);h)检查流程和各方职责;i)结果评价方法;j)附件:检查过程中用到的材料、表格(如:检查人员廉洁自律声明、被检查机构廉洁自律声明、被检查机构确认人员授权书、会议签到表、检查记录表、资料交接声明等)。5.
11、2.6 检查组应根据检查任务需要和下列要求确定被检查项目:a)应从每个被检查的测评机构已完成的测评项目中选择不少于 3 个项目用于检查,并从确定的被检查项目中确定 1 项用于复核验证。b)应优先选择最近一年内开展的测评项目用于检查;c)应优先选择等级保护级别高的测评项目用于检查;d)应优先选择需要使用安全测评扩展要求的测评项目用于检查;e)应优先选择需要执行相关行业标准的特殊行业(如:电力、金融等行业)的测评项目用于检查;f)应优先选择影响国计民生的信息系统(如:关键信息基础设施、公共服务信息系统)对应的测评项目用于检查。检查实施活动 5.3 5.3.1 检查组应根据检查方案确定的检查顺序到各
12、被检查机构开展检查,检查组在各被检查机构的检查实施活动包括召开首次会议、开展检查、开展测评机构测评质量评价、召开末次会议四项主要任务,这四项任务的流程如图 2 所示。召开首次会议开展检查开展测评机构测评质量评价召开末次会议 图2 检查实施活动流程 5.3.2 检查组应召集被检查机构主要负责人(包括技术负责人和质量负责人)和测评师召开首次会议,介绍检查工作分工,明确检查内容和要求,确定联系人。5.3.3 检查组应按下列要求开展检查:a)应根据确定的被检查项目收集测评记录、测评报告,及与之相关的质量记录和材料(如:测评委托协议、保密协议、风险告知书、人员档案、设备档案及维护使用记录、评审记录等);
13、b)应访谈被检查项目涉及的测评师,检查项目实施和质量控制过程记录,检查测评过程和记录的真实性、正确性、一致性、有效性;c)应访谈测评委托单位相关人员,检查项目实施过程、被测定级对象概况、安全管理机构、安全管理人员、漏洞扫描和渗透测试实施细节与测评记录、测评报告及相关质量记录的真实性、正确性、一致性、有效性,检查测评方法选择的合理性;d)应对被检查项目测评记录、测评报告,以及与之相关质量记录及材料开展文档审查,检查记录的真实性、判定的准确性、材料的一致性;e)应对被测定级对象开展复核验证,内容包括但不限于:1)测评记录和测评报告涉及的被测对象概况;2)测评记录和测评报告涉及的网络拓扑、安全防护设
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB34_T 4091.2-2022网络安全等级保护测评机构 第2部分_测评质量检查规范-高清现行 4091.2 2022 网络安全 等级 保护 测评 机构 部分 质量 检查 规范 现行
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/360685.html