網(wǎng)絡(luò)安全等級保護測評機構(gòu)：測評質(zhì)量要求

網(wǎng)絡(luò)安全等級保護測評機構(gòu)：測評質(zhì)量要求范圍本文件規(guī)定了網(wǎng)絡(luò)安全等級保護測評機構(gòu)（以下簡稱“測評機構(gòu)”）的測評質(zhì)量要求。本文件適用于對測評機構(gòu)測評質(zhì)量的檢查和評價，也可用于測評機構(gòu)的自查活動。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T28448—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求GB/T28449—2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南術(shù)語和定義GB/T22239、GB/T28448、GB/T28449界定的術(shù)語和定義適用于本文件。質(zhì)量要求測評準備活動測評準備活動的質(zhì)量要求如表1所示。測評準備活動的質(zhì)量要求項目要求人員參與項目測評的測評師數(shù)量和等級應(yīng)與被測對象等級保護級別相符：實施二級項目測評的測評師不應(yīng)少于2名；實施三級項目測評的測評師不應(yīng)少于4名，其中高級測評師、中級測評師應(yīng)各不少于1名；實施四級項目測評的測評師不應(yīng)少于5名，其中中級測評師不應(yīng)少于1名，高級測評師不應(yīng)少于1名。測評師的測評能力應(yīng)得到保持，按要求參加培訓(xùn)，持等級測評師證上崗。需要開展?jié)B透測試的測評項目，應(yīng)配置專職滲透測試人員至少1名。項目工作計劃應(yīng)根據(jù)委托測評協(xié)議書的內(nèi)容編制項目計劃書。項目計劃書應(yīng)包括被測對象概述。項目計劃書應(yīng)分析測評的內(nèi)容、規(guī)模。項目計劃書應(yīng)明確被測對象是否涉及云計算平臺、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制系統(tǒng)等新技術(shù)新應(yīng)用。項目計劃書應(yīng)分析測評的實施計劃、重點環(huán)節(jié)。項目計劃書應(yīng)說明測評人員要求。應(yīng)為項目計劃書設(shè)置符合測評機構(gòu)管理規(guī)定要求的唯一標識，該標識能與測評任務(wù)實現(xiàn)關(guān)聯(lián)。項目計劃書應(yīng)經(jīng)過編制、審核和批準流程。等級測評資料收集應(yīng)收集項目測評所需的測評委托單位的資料，包括但不限于委托單位管理架構(gòu)、技術(shù)體系、運行情況、建設(shè)方案、建設(shè)過程中相關(guān)文檔。應(yīng)收集項目測評所需的被測對象的資料，包括但不限于安全保護等級、業(yè)務(wù)情況、數(shù)據(jù)情況、網(wǎng)絡(luò)情況、軟硬件情況、管理模式和安全部門及角色等。針對云計算平臺的等級測評，還應(yīng)收集云計算平臺運營機構(gòu)的管理架構(gòu)、技術(shù)實現(xiàn)機制及架構(gòu)、運行情況、云計算平臺的定級情況、云計算平臺的等級測評結(jié)果。針對云租戶系統(tǒng)的等級測評，還應(yīng)收集云計算平臺運營機構(gòu)與租戶的關(guān)系、云平臺的服務(wù)架構(gòu)模式以及其具體內(nèi)容、定級對象的相關(guān)情況。針對物聯(lián)網(wǎng)系統(tǒng)的等級測評，還應(yīng)收集各類感知層設(shè)備的檢測情況、感知層設(shè)備部署情況、感知層物理環(huán)境、感知層通信協(xié)議等信息。針對移動互聯(lián)應(yīng)用的等級測評，還應(yīng)收集各類無線接入設(shè)備部署情況、移動終端使用情況、移動應(yīng)用程序、移動通信協(xié)議等信息。應(yīng)整理并分析收集到的所有資料，評估資料收集的完整性和資料的有效性，并記錄評估過程和結(jié)果。系統(tǒng)調(diào)查應(yīng)使用統(tǒng)一格式的系統(tǒng)調(diào)查表格（如：系統(tǒng)調(diào)查表格模板），調(diào)查表格應(yīng)具有唯一性標識，該標識能與測評任務(wù)實現(xiàn)關(guān)聯(lián)。系統(tǒng)調(diào)查表格應(yīng)調(diào)查測評委托單位的基本信息，包括但不限于：單位名稱、單位地址、聯(lián)系人、聯(lián)系電話。系統(tǒng)調(diào)查表格應(yīng)調(diào)查被測對象的基本情況，包括但不限于：采用的主要技術(shù)、主要功能、核心業(yè)務(wù)、關(guān)鍵數(shù)據(jù)、服務(wù)對象。系統(tǒng)調(diào)查表格應(yīng)調(diào)查承載的業(yè)務(wù)情況，包括但不限于：被測對象名稱、定級等級、被測對象形態(tài)（如：傳統(tǒng)系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制系統(tǒng)等）。系統(tǒng)調(diào)查表格應(yīng)調(diào)查被測對象涉及的網(wǎng)絡(luò)結(jié)構(gòu)繪制網(wǎng)絡(luò)拓撲圖，網(wǎng)絡(luò)拓撲圖應(yīng)能明確被測對象涉及的功能/安全區(qū)域劃分、隔離與防護情況、關(guān)鍵網(wǎng)絡(luò)和服務(wù)器設(shè)備部署情況、與其他系統(tǒng)的互聯(lián)情況、邊界網(wǎng)絡(luò)設(shè)備情況、網(wǎng)絡(luò)管理工具以及本地備份或災(zāi)備中心的情況。應(yīng)調(diào)查被測對象涉及的機房信息，包括但不限于：機房名稱、位置、重要程度。應(yīng)調(diào)查被測對象涉及的網(wǎng)絡(luò)互聯(lián)設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號、是否虛擬設(shè)備、軟件版本及補丁版本、所屬網(wǎng)絡(luò)區(qū)域、主要用途、重要程度。應(yīng)調(diào)查被測對象涉及的安全設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號、軟件版本及病毒或規(guī)則庫版本、所屬網(wǎng)絡(luò)區(qū)域、主要用途、重要程度。應(yīng)調(diào)查被測對象涉及的服務(wù)器及存儲設(shè)備信息，適用時，還應(yīng)調(diào)查宿主機、云管理服務(wù)器、云應(yīng)用服務(wù)器的信息。這些信息包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號、是否虛擬設(shè)備、操作系統(tǒng)或存儲管理系統(tǒng)名稱及版本、所承載的業(yè)務(wù)應(yīng)用系統(tǒng)名稱及版本、重要程度。應(yīng)調(diào)查被測對象涉及的終端設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號、操作系統(tǒng)或控制系統(tǒng)名稱及版本、設(shè)備用途、重要程度。應(yīng)調(diào)查被測對象涉及的支撐或管理系統(tǒng)（如：數(shù)據(jù)庫管理系統(tǒng)、中間件、網(wǎng)管軟件、安全管理軟件、云計算管理軟件）信息，適用時，還應(yīng)調(diào)查云計算平XX全管理系統(tǒng)、云計算平臺數(shù)據(jù)庫管理系統(tǒng)、云計算平XX間件軟件的信息。這些信息包括但不限于支撐或管理系統(tǒng)名稱及版本、部署設(shè)備名稱、主要功能、重要程度。應(yīng)調(diào)查被測對象涉及的業(yè)務(wù)應(yīng)用系統(tǒng)信息，包括但不限于：系統(tǒng)名稱和版本、開發(fā)廠商、主要功能、處理的核心數(shù)據(jù)、用戶數(shù)量、系統(tǒng)架構(gòu)、重要程度。應(yīng)調(diào)查被測對象涉及的數(shù)據(jù)信息，包括但不限于：數(shù)據(jù)類別（如：業(yè)務(wù)數(shù)據(jù)、重要個人信息）、所屬業(yè)務(wù)應(yīng)用系統(tǒng)、安全防護需求（如：保密性、完整性、抗抵賴性、可核查性、真實性）。使用大數(shù)據(jù)處理技術(shù)處理數(shù)據(jù)時，還應(yīng)明確實現(xiàn)數(shù)據(jù)采集、存儲、處理、應(yīng)用、流動、銷毀等環(huán)節(jié)的實施模塊。應(yīng)調(diào)查被測對象涉及的安全相關(guān)人員信息，包括但不限于：姓名、角色、主要職責(zé)、聯(lián)系電話。相關(guān)人員可以包括但不限于：安全主管、系統(tǒng)建設(shè)負責(zé)人、系統(tǒng)運維負責(zé)人、網(wǎng)絡(luò)（安全）管理員、設(shè)備（資產(chǎn)）管理員、軟件開發(fā)人員、機房管理員、安全審計人員等。應(yīng)調(diào)查被測對象涉及的安全管理制度信息，包括但不限于：文件名稱、文件編號、適用范圍、主要內(nèi)容。應(yīng)對調(diào)查到的信息進行整理、分析，對不符合要求的應(yīng)重新調(diào)查，必要時應(yīng)安排現(xiàn)場調(diào)查，應(yīng)對調(diào)查結(jié)果進行評估，并記錄評估過程和結(jié)果。測評工具準備應(yīng)根據(jù)測評任務(wù)需要選擇合適的測評工具（包括漏洞掃描工具、滲透性測試工具、Web安全評估工具、數(shù)據(jù)庫掃描工具和協(xié)議分析工具等）。應(yīng)對選擇的測評工具軟件進行維護（如：更新升級、設(shè)置、殺毒）。必要時，應(yīng)對工具操作人員開展培訓(xùn)。測評表單準備應(yīng)根據(jù)測評任務(wù)需要準備測評表，這些表單包括但不限于：風(fēng)險告知書、文檔交接單、會議記錄表單、會議簽到表單、測試記錄表單。測評表單應(yīng)具有唯一性標識，該標識能與測評任務(wù)實現(xiàn)關(guān)聯(lián)。測評準備階段使用的表單內(nèi)容應(yīng)準確，并應(yīng)獲得測評委托單位的確認。方案編制活動方案編制活動的質(zhì)量要求如表2所示。方案編制活動的質(zhì)量要求項目要求測評對象確定測評對象的選擇應(yīng)與定級結(jié)果相符，且符合GB/T28449—2018附錄D的要求。應(yīng)將面臨威脅較大的涉及新技術(shù)新應(yīng)用的設(shè)備或組件確定為測評對象。應(yīng)將共享/互聯(lián)設(shè)備確定為測評對象。應(yīng)正確識別承載被測對象核心或重要業(yè)務(wù)、數(shù)據(jù)的服務(wù)器，并將其確定為測評對象。選擇的測評對象種類（如：網(wǎng)絡(luò)互聯(lián)設(shè)備類型、安全設(shè)備類型、主機操作系統(tǒng)類型、數(shù)據(jù)庫系統(tǒng)類型和應(yīng)用系統(tǒng)類型等）和數(shù)量符合測評等級的要求。對不能確定為測評對象的重要業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)互聯(lián)設(shè)備、安全設(shè)備、服務(wù)器、管理制度和記錄等，應(yīng)充分分析原因，得到測評委托單位的確認，并保存相關(guān)記錄。測評指標確定測評對象的安全要求組合應(yīng)與定級結(jié)果相符。相關(guān)行業(yè)規(guī)范中涉及的網(wǎng)絡(luò)安全要求應(yīng)作為測評指標。新技術(shù)新應(yīng)用涉及的擴展要求應(yīng)作為測評指標。對測評指標與被測對象、測評指標與測評對象的適應(yīng)性進行分析，記錄不適用的原因。測評內(nèi)容確定測評指標應(yīng)映射到各測評對象上。測評對象的每個測評指標都應(yīng)選擇對應(yīng)的測評方法。測評實施內(nèi)容應(yīng)符合GB/T28448的要求，特別的應(yīng)予以說明。適用時，應(yīng)規(guī)定滲透測試的內(nèi)容。測評力度應(yīng)符合GB/T28448—2019附錄A的要求。工具測試方法確定應(yīng)根據(jù)測評對象的特點選擇測評工具，并規(guī)定測試工具的名稱及版本。應(yīng)根據(jù)GB/T28449的要求選擇合適的測試路徑。應(yīng)根據(jù)測試路徑的特點為測試工具選擇合適的接入點。應(yīng)規(guī)定具有操作能力的人員使用測試工具開展測試，并形成工具測試記錄。測評指導(dǎo)書開發(fā)應(yīng)根據(jù)測評對象、測評指標、測評內(nèi)容、測試方法的特點編制測評指導(dǎo)書。測評指導(dǎo)書應(yīng)規(guī)定單項測評的測評項、測評方法、測評步驟、預(yù)期結(jié)果。車【測評指導(dǎo)書應(yīng)規(guī)定整體測評的步驟和方法。適用時，應(yīng)規(guī)定漏洞掃描和滲透測試的方法、步驟。測評指導(dǎo)書的內(nèi)容應(yīng)通俗易懂、準確、無歧義，必要時，應(yīng)對測評指導(dǎo)書進行培訓(xùn)。風(fēng)險規(guī)避實施方案編制應(yīng)從測評對象、測評內(nèi)容、測評力度、測評方法的特點著手，識別測評過程中可能存在的風(fēng)險。當(dāng)需要開展工具測試、滲透測試時，應(yīng)編制針對性的風(fēng)險規(guī)避實施方案，必要時，應(yīng)搭建模擬環(huán)境，驗證漏洞掃描或者滲透測試的風(fēng)險。應(yīng)根據(jù)識別的風(fēng)險制定具有針對性的風(fēng)險規(guī)避實施方案。制定的風(fēng)險規(guī)避實施方案應(yīng)正確、有效、可實施，必要時，應(yīng)對風(fēng)險規(guī)避實施方案進行評審。測評方案編制應(yīng)根據(jù)等級保護過程中的等級測評實施要求，完整準確的羅列測評活動所依據(jù)的標準。應(yīng)根據(jù)委托測評協(xié)議書和被測對象情況，估算現(xiàn)場測評工作量。應(yīng)根據(jù)項目組人員組成和測評任務(wù)需要，編制任務(wù)分工。應(yīng)編制測評計劃，其內(nèi)容應(yīng)包括但不限于：人員組成及分工、設(shè)備設(shè)施、時間進度、停止/恢復(fù)條件。應(yīng)組織項目組人員對測評方案進行評審，評審的內(nèi)容應(yīng)包括但不限于：方案的針對性、完整性、正確性、可實施性。測評方案應(yīng)得到測評委托單位的確認?，F(xiàn)場測評活動現(xiàn)場測評活動的質(zhì)量要求如表3所示?，F(xiàn)場測評活動的質(zhì)量要求項目要求現(xiàn)場測評準備應(yīng)向測評委托單位提交風(fēng)險告知書，充分告知測評可能引入的風(fēng)險及可采取的規(guī)避措施，并獲得測評委托單位的確認。應(yīng)根據(jù)測評對象和測評內(nèi)容編制現(xiàn)場測評授權(quán)書，現(xiàn)場測評授權(quán)應(yīng)遵循最小必要的原則?，F(xiàn)場測評授權(quán)書授權(quán)的內(nèi)容應(yīng)明確授權(quán)使用的被測對象（包括操作系統(tǒng)/管理系統(tǒng)/業(yè)務(wù)系統(tǒng)賬戶密碼、管理制度）、授權(quán)范圍（時間段、權(quán)限、操作者）、授權(quán)目的、可能產(chǎn)生的影響、規(guī)避風(fēng)險的措施及建議等。授權(quán)使用的被測對象應(yīng)具有唯一性標識（如：IP地址、設(shè)備唯一編號）。適用時，還應(yīng)規(guī)定滲透測試的執(zhí)行時間、滲透范圍?，F(xiàn)場測評授權(quán)書應(yīng)得到測評委托單位的確認。應(yīng)根據(jù)測評任務(wù)的需要申領(lǐng)相關(guān)設(shè)備、借閱相關(guān)文件（如：管理制度、安全記錄、過往的測評報告），并對設(shè)備狀態(tài)、文檔借閱信息進行確認。應(yīng)召開測評現(xiàn)場首次會，編制會議紀要，會議紀要內(nèi)容應(yīng)包括但不限于：現(xiàn)場測評工作安排、測評計劃和測評內(nèi)容?，F(xiàn)場測評應(yīng)由兩名以上具有資質(zhì)的測評師開展現(xiàn)場測評，應(yīng)由專職滲透測試人員開展?jié)B透測試。測評師和滲透測試人員應(yīng)與測評方案中規(guī)定的人員一致，確需變更時，應(yīng)提出書面申請，并得到委托測評單位的確認。應(yīng)根據(jù)測評方案、測評指導(dǎo)書、現(xiàn)場測評授權(quán)書的要求按計劃實施現(xiàn)場測評。不得刪減測評對象、測評內(nèi)容，不得更改測評方法，確需變更時，應(yīng)提出書面申請，并得到委托測評單位的確認。應(yīng)詳細記錄測評過程信息，這些信息可包括但不限于：執(zhí)行時間、執(zhí)行人、審核人、測評方法、測評工具唯一標識（適用時）、測評對象唯一標識、模塊名稱（適用時）、文件唯一標識及頁面（適用時）、實際情況描述（如：現(xiàn)狀、配置情況、制度要求）。測評記錄應(yīng)清晰準確、客觀公正，必要時應(yīng)保存截圖、照片或錄像。應(yīng)確保電子記錄（如：工具測試結(jié)果、測試記錄電子文檔）在生成、轉(zhuǎn)移、存儲等過程中不能被篡改。測評測評記錄應(yīng)得到測評委托單位的確認。同一項目不同輪次的測評記錄應(yīng)使用版本控制，后一輪次的測評記錄不應(yīng)覆蓋前一輪次的記錄。應(yīng)按照測評機構(gòu)項目管理和保密管理的規(guī)定對測評過程、記錄、結(jié)果進行管理。應(yīng)按照測評機構(gòu)項目管理和保密管理的規(guī)定對涉及的敏感信息進行處理。結(jié)果確認應(yīng)召開測評現(xiàn)場末次會，并形成會議記錄，記錄的內(nèi)容包括但不限于：測評過程簡介、發(fā)現(xiàn)的問題及整改建議。應(yīng)與測評委托單位溝通測評過程中發(fā)現(xiàn)的問題，并得到測評委托單位的確認。報告編制活動報告編制活動的質(zhì)量要求如表4所示。報告編制活動的質(zhì)量要求項目要求測評結(jié)果判定應(yīng)逐一核對“不適用”項，并準確分析不適用的原因。應(yīng)根據(jù)測評記錄準確判定單項測評結(jié)果和符合程度得分。應(yīng)匯總和分析已有安全措施和主要安全問題，應(yīng)羅列被測對象采用的安全保護措施，并客觀評價其達到的效果。應(yīng)按照GB/T28448—201911.2的要求開展安全控制點測評，且結(jié)果判定準確。應(yīng)按照GB/T28448—201911.3的要求開展安全控制點間測評，并調(diào)整測評結(jié)果。應(yīng)按照GB/T28448—201911.4的要求開展區(qū)域間測評，并調(diào)整測評結(jié)果。應(yīng)匯總整體測評結(jié)果，調(diào)整經(jīng)整體測評后安全問題嚴重程度，并準確說明調(diào)整理由。安全問題風(fēng)險分析應(yīng)對等級測評結(jié)果中存在的所有安全問題進行安全問題風(fēng)險分析。應(yīng)發(fā)掘關(guān)聯(lián)資產(chǎn)和關(guān)聯(lián)威脅，確定安全問題可能造成的最大安全危害（損失）。應(yīng)根據(jù)安全危害（損失）準確確定風(fēng)險等級。等級測評結(jié)論應(yīng)根據(jù)安全問題風(fēng)險分析結(jié)果和綜合得分確定等級測評結(jié)論。