網(wǎng)絡(luò)安全等級保護測評服務(wù)規(guī)范

網(wǎng)絡(luò)安全等級保護測評服務(wù)規(guī)范范圍本文件規(guī)定了提供網(wǎng)絡(luò)安全等級測評服務(wù)的測評服務(wù)要求和測評服務(wù)流程。本文件適用于網(wǎng)絡(luò)安全等級保護測評機構(gòu)（以下簡稱“測評機構(gòu)”）開展網(wǎng)絡(luò)安全保護等級保護測評服務(wù)工作。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T1.1—2020標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則GB/T28448—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求GB/T28449—2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南GB/T36959—2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評機構(gòu)能力要求和評估規(guī)范術(shù)語和定義GB/T28448—2019和GB/T36959—2018界定的以及下列術(shù)語定義適用于本文件。等級測評testingandevaluationforclassifiedcybersecurityprotection測評機構(gòu)依據(jù)國家網(wǎng)絡(luò)安全保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密的網(wǎng)絡(luò)安全等級保護狀況進行檢測評估的活動?；疽髾C構(gòu)在安徽省提供網(wǎng)絡(luò)安全等級保護測評服務(wù)者，應(yīng)具有經(jīng)公安部第三研究所（國家認(rèn)證許可委員會批準(zhǔn)的認(rèn)證機構(gòu)）認(rèn)證發(fā)放的《網(wǎng)絡(luò)安全等級測評與檢測評估機構(gòu)服務(wù)認(rèn)證證書》。測評機構(gòu)證書應(yīng)在有效期內(nèi)，未出現(xiàn)認(rèn)證證書暫停、撤銷或測評機構(gòu)在整改期等情況；測評機構(gòu)的能力應(yīng)符合GB/T36959規(guī)定的測評機構(gòu)能力要求,并通過測評機構(gòu)能力評估；測評機構(gòu)法定代表人、股東（若有）、主要負(fù)責(zé)人、測評人員僅限中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；測評機構(gòu)同一法人具有多個辦公地址且分別獨立提供測評服務(wù)的機構(gòu)，應(yīng)使用同一個認(rèn)證證書；測評機構(gòu)應(yīng)具有網(wǎng)絡(luò)安全等級測評師（以下簡稱“測評師”）不少于15人（高級測評師不少于1人，中級測評師不少于5人），專職滲透測試人員不少于2人；測評機構(gòu)不應(yīng)從事對等級測評相關(guān)工作的公正性產(chǎn)生影響的業(yè)務(wù)，包括從事信息系統(tǒng)安全集成或網(wǎng)絡(luò)安全產(chǎn)品研發(fā)（自用除外）、生產(chǎn)、銷售等；不應(yīng)限定被測評單位購買、使用指定的網(wǎng)絡(luò)安全產(chǎn)品；測評機構(gòu)法定代表人、股東（若有）、主要負(fù)責(zé)人、測評相關(guān)人員不應(yīng)投資或任職于信息系統(tǒng)安全集成或網(wǎng)絡(luò)安全產(chǎn)品研發(fā)、生產(chǎn)、銷售企業(yè)。人員測評機構(gòu)從事等級測評工作的專業(yè)技術(shù)人員（以下簡稱測評人員）應(yīng)需持證上崗，測評師上崗前，測評機構(gòu)應(yīng)組織崗前培訓(xùn)；培訓(xùn)合格的，由測評機構(gòu)配發(fā)上崗證，上崗證發(fā)放情況應(yīng)于發(fā)放后5個工作日報省級網(wǎng)安部門；等級測評師的能力要求應(yīng)符合GB/T36959附錄B規(guī)定的要求,擔(dān)任等級測評工作中不同崗位的測評人員應(yīng)分別取得初、中、高級等級測評師證書；測評師每年測評業(yè)務(wù)和技術(shù)培訓(xùn)時長累計不少于40學(xué)時；測評機構(gòu)應(yīng)對測評師開展等級測評業(yè)務(wù)情況進行考核，并留存相關(guān)記錄；測評師實行年度注冊管理，測評機構(gòu)應(yīng)將本機構(gòu)測評師情況報省級網(wǎng)安部門注冊并進行年審，測評機構(gòu)不應(yīng)采取掛靠或者聘用兼職測評師開展測評業(yè)務(wù)。測評師離職前，測評機構(gòu)應(yīng)與其簽訂離職保密承諾書并收回上崗證，測評師發(fā)生變更的，測評機構(gòu)應(yīng)在變更后10個工作日內(nèi)在公安部“網(wǎng)絡(luò)安全等級保護測評項目登記管理系統(tǒng)”（以下簡稱“項目登記管理系統(tǒng)”）中登記，并提交相應(yīng)的變更材料；測評機構(gòu)應(yīng)監(jiān)督測評師妥善保管測評師證書、上崗證，不應(yīng)涂改、出借、出租和轉(zhuǎn)讓；測評機構(gòu)應(yīng)對測評人員進行監(jiān)督管理，定期組織開展安全保密教育培訓(xùn)，簽訂安全保密責(zé)任書，規(guī)定其應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實。工具和場地測評機構(gòu)應(yīng)具有固定的辦公場所，注冊地址、辦公場所變更應(yīng)在變更后10個工作日內(nèi)向服務(wù)認(rèn)證中心和省級網(wǎng)安部門登記；測評機構(gòu)應(yīng)配備滿足測評業(yè)務(wù)需要的檢測評估工具，應(yīng)在開展測評工作前保證工具的特征庫已升級至最新；測評機構(gòu)應(yīng)具備符合相關(guān)要求的機房以及必要的軟、硬件設(shè)備，應(yīng)能針對新技術(shù)新應(yīng)用進行實驗部署，以滿足網(wǎng)絡(luò)仿真、技術(shù)培訓(xùn)和模擬測試的需要；測評機構(gòu)應(yīng)對測評數(shù)據(jù)、以及對測評數(shù)據(jù)進行處理的設(shè)備進行管理，并保證測評數(shù)據(jù)記錄的完整性、可控性。管理制度測評機構(gòu)應(yīng)建立符合等級測評工作需要的網(wǎng)絡(luò)安全管理體系；測評機構(gòu)應(yīng)依據(jù)GB/T28449制定測評項目管理程序；測評機構(gòu)應(yīng)建立設(shè)備管理制度；測評機構(gòu)應(yīng)建立文檔管理制度，保證與等級測評有關(guān)的所有工作程序、指導(dǎo)書、標(biāo)準(zhǔn)規(guī)范、工作表格、核查記錄表等現(xiàn)行有效并便于測評人員獲得；測評機構(gòu)應(yīng)建立人員管理制度，規(guī)定測評人員的能力要求和職責(zé)；測評機構(gòu)應(yīng)建立培訓(xùn)教育制度，保證測評師接收測評業(yè)務(wù)和技術(shù)培訓(xùn)，并保存培訓(xùn)和考核記錄；測評機構(gòu)應(yīng)建立安全保密管理制度，定期對工作人員進行保密教育；測評機構(gòu)應(yīng)建立質(zhì)量管理體系，跟蹤政策法規(guī)和技術(shù)標(biāo)準(zhǔn)，對測評活動進行質(zhì)量監(jiān)督。檔案管理測評報告應(yīng)統(tǒng)一加蓋測評機構(gòu)能力合格專用標(biāo)識以及防偽標(biāo)志，并登記歸檔；測評機構(gòu)應(yīng)保存應(yīng)保存最近兩年的紙質(zhì)檔案，測評過程中的紙質(zhì)文檔包括測評報告、測評方案、授權(quán)文檔、蓋章原件、原始記錄簽字確認(rèn)記錄；測評機構(gòu)在測評過程中輸出的文檔包括但不限于項目計劃書、信息系統(tǒng)調(diào)查表、等級保護測評方案及測評方案評審記錄、測評風(fēng)險規(guī)避實施方案及測評風(fēng)險告知書、現(xiàn)場測評授權(quán)記錄、測評啟動會議記錄、現(xiàn)場測評首次、末次會議記錄、測評過程記錄(包括原始記錄、截圖(若有)、照片(若有)、差旅等可以追溯整個測評過程證明材料)、漏洞掃描原始記錄、滲透測試原始記錄、各類測評結(jié)果確認(rèn)記錄、漏洞掃描確認(rèn)記錄、滲透測試確認(rèn)記錄、等級保護測評報告及等級保護測評報告評審記錄等。流程圖1測評服務(wù)基本工作流程測評服務(wù)要求溝通接洽測評機構(gòu)應(yīng)指定專人保持與被測評單位的溝通接洽，收集被測定級對象基本資料；測評機構(gòu)不應(yīng)限定被測評單位購買、使用指定的網(wǎng)絡(luò)安全產(chǎn)品。簽訂合同測評機構(gòu)應(yīng)與被測評單位直接簽署等級保護測評合同（協(xié)議），明確測評服務(wù)內(nèi)容，對測評雙方在測評過程中的基本問題達(dá)成共識；測評機構(gòu)不應(yīng)分包、轉(zhuǎn)包、代理測評項目；測評合同應(yīng)包括：被測評系統(tǒng)的單價、合同總價、合同簽署時間、合同簽署責(zé)任主體的全稱和公章等要素；測評機構(gòu)應(yīng)對等級保護測評合同進行編號和存檔。測評準(zhǔn)備人員準(zhǔn)備測評機構(gòu)應(yīng)根據(jù)測評雙方簽訂的測評委托書和系統(tǒng)規(guī)模，測評機構(gòu)組建等級測評項目組，獲取測評委托單位及定級對象的基本情況，并編制項目計劃書，項目計劃書內(nèi)容需被測單位確認(rèn)；測評組長應(yīng)由中級測評師以上擔(dān)任，對第三級以上等級保護對象提供等級測評服務(wù)的，測評師人數(shù)不得少于4名，其中高級測評師、中級測評師應(yīng)各不少于1名；測評組長應(yīng)到現(xiàn)場參與測評，測評組長應(yīng)具備中級及以上測評師證書，測評師應(yīng)具備初級及以上測評師證書。現(xiàn)場調(diào)研測評機構(gòu)應(yīng)依據(jù)GB/T28449要求收集等級測評需要的相關(guān)材料；測評機構(gòu)應(yīng)配合被測評單位完成系統(tǒng)調(diào)查表格，必要時可進行現(xiàn)場調(diào)研；調(diào)查內(nèi)容應(yīng)覆蓋目標(biāo)系統(tǒng)各方面信息用于支撐等級測評后續(xù)，包括但不限于以下內(nèi)容：單位基本情況：單位全稱、簡稱、單位情況簡介、單位所屬類型、單位地址、郵政編碼、負(fù)責(zé)人姓名、聯(lián)系人、聯(lián)系人電話、電子郵件地址、上級主管部門；等級保護對象基本情況：定級對象名稱、安全保護等級、業(yè)務(wù)信息安全保護等級（S）、系統(tǒng)服務(wù)安全保護等級（A）、功能描述、備案證明編號；機房：機房名稱、物理位置、重要程度；網(wǎng)絡(luò)拓?fù)鋱D及網(wǎng)絡(luò)描述：相關(guān)要求參見方案類中的內(nèi)容；網(wǎng)絡(luò)結(jié)構(gòu)情況：網(wǎng)絡(luò)區(qū)域名稱、區(qū)域功能描述、IP網(wǎng)段地址、服務(wù)器數(shù)量、終端數(shù)量（管理）、與其連接的其它網(wǎng)絡(luò)區(qū)域、網(wǎng)絡(luò)區(qū)域邊界設(shè)備、重要程度、責(zé)任部門；網(wǎng)絡(luò)外聯(lián)情況：外聯(lián)線路名稱、所屬網(wǎng)絡(luò)區(qū)域、連接對象名稱、接入線路種類、傳輸速率（帶寬）、線路接入設(shè)備、承載主要業(yè)務(wù)應(yīng)用、備注；網(wǎng)絡(luò)互聯(lián)設(shè)備基本情況：設(shè)備名稱、用途、網(wǎng)絡(luò)區(qū)域、物理區(qū)域、品牌型號、系統(tǒng)及版本、IP地址、數(shù)量（臺/套）、重要程度、是否熱備、是否虛擬設(shè)備；安全設(shè)備基本情況：設(shè)備名稱、用途、網(wǎng)絡(luò)區(qū)域、物理區(qū)域、品牌型號、系統(tǒng)及版本、IP地址、數(shù)量（臺/套）、重要程度、是否熱備、是否虛擬設(shè)備；業(yè)務(wù)應(yīng)用基本情況：業(yè)務(wù)應(yīng)用系統(tǒng)/平臺名稱、所屬定級系統(tǒng)、業(yè)務(wù)應(yīng)用軟件及版本、主要功能、應(yīng)用模式（B/S或C/S）、硬件/軟件平臺、自行開發(fā)/外包開發(fā)、開發(fā)商、用戶類別及數(shù)量、重要程度；主要業(yè)務(wù)數(shù)據(jù)流程：從不同類型業(yè)務(wù)用戶視角出發(fā)，給出關(guān)鍵業(yè)務(wù)處理流程圖，并標(biāo)注涉及應(yīng)用組件/模塊、主要處理動作，以及關(guān)鍵業(yè)務(wù)數(shù)據(jù)在主機設(shè)備（程序模塊）之間的交換情況；服務(wù)器基本情況：所屬業(yè)務(wù)系統(tǒng)/平臺名稱、設(shè)備名稱、物理/邏輯區(qū)域、操作系統(tǒng)及版本、數(shù)據(jù)庫管理系統(tǒng)及版本、中間件及版本、數(shù)量（臺/套）、IP地址、重要程度、是否熱備、是否虛擬設(shè)備；終端基本情況：設(shè)備名稱、物理/邏輯區(qū)域、操作系統(tǒng)/控制軟件及版本、用途、數(shù)量（臺/套）、IP地址、重要程度、是否虛擬設(shè)備；系統(tǒng)管理軟件/平臺：系統(tǒng)管理軟件/平臺名稱、所在設(shè)備名稱、版本、主要功能、重要程度；數(shù)據(jù)資源：數(shù)據(jù)類別、所屬業(yè)務(wù)應(yīng)用、安全防護需求、重要程度、備份方式、備份頻率、備份介質(zhì)；密碼產(chǎn)品：產(chǎn)品/模塊名稱、生產(chǎn)廠商、商密型號/商密產(chǎn)品認(rèn)證證書編號、密碼算法、用途、重要程度；安全相關(guān)人員：姓名、崗位/角色、聯(lián)系方式、所屬單位；安全管理文檔基本情況：文檔名稱、主要內(nèi)容；安全服務(wù)：安全服務(wù)名稱、安全服務(wù)商；安全威脅情況：安全事件調(diào)查、調(diào)查結(jié)果。適用時，對云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工控、大數(shù)據(jù)等新技術(shù)新應(yīng)用的資產(chǎn)開展有針對性的調(diào)查，包括但不限于以下內(nèi)容：云計算環(huán)境：云計算形態(tài)、服務(wù)模式、云服務(wù)能力、虛擬化情況等；物聯(lián)網(wǎng)：終端感知節(jié)點設(shè)備，如傳感器、RFID標(biāo)簽、網(wǎng)絡(luò)控制開關(guān)等；工業(yè)控制系統(tǒng)：操作員站等監(jiān)控設(shè)備，以及DCS、PLC、RTU等現(xiàn)場控制設(shè)備；移動互聯(lián)系統(tǒng)：專用移動終端、移動應(yīng)用APP、無線接入網(wǎng)關(guān)等；大數(shù)據(jù)平臺：臺服組件、輔助工具、資源管理平臺和大數(shù)據(jù)應(yīng)用。表單準(zhǔn)備測評機構(gòu)應(yīng)準(zhǔn)備如下材料：獨立、公正、誠信聲明；測評人員保密協(xié)議；選用的測評工具清單；風(fēng)險告知書；文檔交接單；測評方案；測評方案評審記錄；啟動會議記錄表；會議簽到表；現(xiàn)場測試授權(quán)書；工具測試（漏洞掃描、滲透測試）授權(quán)書；工具測試特殊事項說明：非互聯(lián)網(wǎng)服務(wù)的等級保護對象，限于正式的管理要求（如主管部門文件、行業(yè)標(biāo)準(zhǔn)等），無法開展漏洞掃描和滲透測試，也不具備模擬/仿真環(huán)境的情況下，應(yīng)由測評委托單位正式聲明放棄驗證測試（漏洞掃描和滲透測試）；小結(jié)會議記錄表；現(xiàn)場測評過程及用戶確認(rèn)表。工具準(zhǔn)備測評人員應(yīng)調(diào)試測評服務(wù)中將用到的測評工具，包括如下：漏洞掃描工具；滲透測試工具；性能測評工具；協(xié)議分析工具；測評自動化工具和綜合管理平臺。方案編制方案編制活動，需正確合理地確定測評對象、測評指標(biāo)及測評內(nèi)容等，并依據(jù)現(xiàn)行有效的技術(shù)標(biāo)準(zhǔn)、規(guī)范開發(fā)測評方案、測評指導(dǎo)書、測評結(jié)果記錄表格等。測評方案應(yīng)通過技術(shù)評審并有相關(guān)記錄，測評指導(dǎo)書應(yīng)進行版本有效性維護。測評對象確定應(yīng)結(jié)合被測定級對象的安全級別和重要程度，確定出技術(shù)層面的測評對象，并將與被測定級對象相關(guān)的人員及管理文檔確定為測評對象，具體要求如下：測評對象確定需滿足GB/T28449中6.2.1節(jié)和附錄D要求。進行測評對象抽樣選擇時，同類設(shè)備是指功能、用途、硬件版本、軟件版本、組件完全一致的設(shè)備，相同版本操作系統(tǒng)安裝不同軟件、組件不得視為同種設(shè)備。測評對象抽樣選擇時，若同類設(shè)備數(shù)量大于100，則抽取比例不得低于15%，若同類設(shè)備數(shù)量大于50，則抽取比例不得低于12%，若同類設(shè)備數(shù)量大于20，則抽取比例不得低于10%。測評指標(biāo)確定應(yīng)根據(jù)被測定級對象的A類、S類及G類基本安全要求的組合情況選擇測評指標(biāo)；應(yīng)依據(jù)GB/T22239、行業(yè)規(guī)范選擇相應(yīng)等級的安全通用要求作為通用測評指標(biāo)。應(yīng)結(jié)合《信息系統(tǒng)安全等級保護備案表》中系統(tǒng)類型和被測定級對象實際情況，選擇安全擴展要求作為擴展測評指標(biāo)。測評委托單位有特殊要求的，根據(jù)測評委托單位及被測定級對象業(yè)務(wù)自身需求，選擇特殊測評指標(biāo)。不適用測評指標(biāo)判定需明確不適用原因，不適用原因應(yīng)能夠充分說明測評指標(biāo)不存在相關(guān)安全風(fēng)險或針對測評指標(biāo)采取的風(fēng)險替代措施。測評內(nèi)容確定應(yīng)根據(jù)測評對象和測評指標(biāo)確定現(xiàn)場測評的具體實施內(nèi)容，即單項測評內(nèi)容，測評內(nèi)容確定需滿足GB/T28449中6.2.3節(jié)要求。測評內(nèi)容應(yīng)明確測評方法、測評對象和測評實施，使配合人員清晰理解配合測評的具體內(nèi)容。工具測試方法確定應(yīng)配備專職設(shè)備和工具管理員，制定設(shè)備和工具臺賬清單，對測評項目中使用的漏洞掃描器、滲透測試工具集、協(xié)議分析儀進行維護，測評項目使用的測試工具從臺賬清單中選??；應(yīng)確保測評設(shè)備和工具運行狀態(tài)良好,并通過持續(xù)更新、升級等手段保證其提供準(zhǔn)確的測評數(shù)據(jù)，規(guī)則庫需要確認(rèn)是最新版本，工具軟件需要確認(rèn)是穩(wěn)定可靠版本；工具測試方法確定需滿足GB/T28449中6.2.4節(jié)要求。測評指導(dǎo)書開發(fā)測評項目組應(yīng)根據(jù)項目實際情況，組織項目組成員編制測評指導(dǎo)書，指導(dǎo)書內(nèi)容應(yīng)體現(xiàn)各測評對象的測試內(nèi)容及方法；應(yīng)描述單個測評對象，包括測評對象的名稱、IP地址、用途、管理人員等信息。應(yīng)根據(jù)GB/T28448及相關(guān)行業(yè)規(guī)范的單元測評實施確定測評服務(wù)，包括測評項、測評方法、操作步驟和預(yù)期結(jié)果等四部分。單元測評一般以表格形式設(shè)計和描述測評項、測評方法、操作步驟和預(yù)期結(jié)果等內(nèi)容。整體測評則一般以文字描述的方式表述，以測評用例的方式組織?，F(xiàn)場測評工作量估算測評項目組應(yīng)估算現(xiàn)場測評工作量，工作量根據(jù)測評對象的數(shù)量和工具測試的接入點及測試內(nèi)容等情況進行估算。工作量按照人天作為估算單位?，F(xiàn)場測評人員安排測評項目組應(yīng)根據(jù)測評內(nèi)容、測評指導(dǎo)書、工具測試接入點、現(xiàn)場測評工作量選擇參與現(xiàn)場測評的測評師?，F(xiàn)場測評計劃制定測評項目組應(yīng)根據(jù)現(xiàn)場測評工作量估算結(jié)果、現(xiàn)場測評人員安排，制定詳細(xì)的現(xiàn)場測評計劃，明確現(xiàn)場測評分工與配合人員、配合事項、需協(xié)調(diào)資源；現(xiàn)場測評分工需要包括機房測評、網(wǎng)絡(luò)設(shè)備測評、安全設(shè)備測評、網(wǎng)絡(luò)架構(gòu)測評、安全防護措施測評、集中管控措施測評、服務(wù)器測評、數(shù)據(jù)庫測評、中間件測評、業(yè)務(wù)應(yīng)用軟件測評、終端測評、安全管理測評、漏洞掃描測試、滲透性測試等內(nèi)容，特殊行業(yè)系統(tǒng)根據(jù)系統(tǒng)實際情況調(diào)整；現(xiàn)場測評詳細(xì)計劃需明確至某日上午/下午。明確需要協(xié)調(diào)的資源，保證現(xiàn)場測評順利推進?，F(xiàn)場測評風(fēng)險識別及規(guī)避措施應(yīng)充分識別現(xiàn)場測評過程中可能出現(xiàn)的風(fēng)險，并采取相應(yīng)的規(guī)避措施或控制措施，避免或減少現(xiàn)場測評對信息系統(tǒng)運行的影響。測評方案評審與認(rèn)可測評方案應(yīng)通過技術(shù)評審，形成方案評審記錄，并進行版本有效性維護。測評方案初稿應(yīng)通過測評項目組全體成員評審,修改完成后形成提交稿，由中、高級測評師簽字確認(rèn)。應(yīng)將測評方案提交給測評委托單位簽字認(rèn)可。測評實施現(xiàn)場測評活動通過與測評委托單位進行溝通和協(xié)調(diào)，為現(xiàn)場評測的順利開展打下良好基礎(chǔ)，依據(jù)測評方案實施現(xiàn)場測評工作，故將測評方案和測評方法等內(nèi)容具體落實到現(xiàn)場測評活動中，現(xiàn)場測評工作應(yīng)取得報告編制活動所需的、足夠的證據(jù)和資料?，F(xiàn)場測評活動的工作包括，入場告知、現(xiàn)場測評準(zhǔn)備、現(xiàn)場啟動會、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還、現(xiàn)場測評小結(jié)會等?，F(xiàn)場測評首次會測評機構(gòu)需要在現(xiàn)場測評環(huán)境召開首次會，會議內(nèi)容如下：測評機構(gòu)介紹現(xiàn)場測評工作安排，雙方對測評計劃和測評方案中的測評內(nèi)容和方法等進行溝通，委托單位對測評方案認(rèn)可后，簽字確認(rèn)。測評雙方確認(rèn)現(xiàn)場測評需要的各種資源，包括測評委托單位的配合人員和需要提供的測評環(huán)境等。測評現(xiàn)場首次會結(jié)束后匯總整理會議記錄、會議簽到、測評方案、現(xiàn)場測評工作計劃和風(fēng)險告知書、現(xiàn)場測評授權(quán)書、測評人員保密協(xié)議等紙質(zhì)文件的?，F(xiàn)場測評實施現(xiàn)場測評的工作包括訪談、文檔檢查、配置檢查、實地查看、工具測試。配置核查：測評人員應(yīng)協(xié)助指導(dǎo)被測單位技術(shù)人員查找配置進行測評，并進行記錄；系統(tǒng)中配置相同的安全設(shè)備、邊界網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端等資產(chǎn)，每類應(yīng)至少抽查兩臺作為測評對象。制度檢查：測評人員應(yīng)對被測單位相關(guān)人員進行訪談，并核實查看相關(guān)制度文件及記錄表單；測評人員應(yīng)協(xié)助被測單位理解和落實網(wǎng)絡(luò)安全等級保護測評中要求的制度體系建設(shè)。工具測試：測評人員應(yīng)依據(jù)操作規(guī)程熟練地使用測評設(shè)備和工具，規(guī)范、準(zhǔn)確、完整的填寫測評結(jié)果記錄，獲取足夠證據(jù)，能夠客觀、真實、科學(xué)地反映出被測系統(tǒng)的安全保護狀況；測評人員應(yīng)遵循測評方案開展驗證測試工作，并完整記錄驗證測評過程；完成后與被測單位匯報測試結(jié)果，溝通后續(xù)整改工作。測評結(jié)果確認(rèn)在完成現(xiàn)場測評工作后，應(yīng)由被測單位在《現(xiàn)場測評過程確認(rèn)表》中對測評過程進行確認(rèn)，并按照要求歸還測評過程中由被測單位提供的證據(jù)資料，在《文檔交接單》中簽字確認(rèn)；在完成現(xiàn)場測評工作后，應(yīng)通知被測單位測評完成，并由其確認(rèn)系統(tǒng)測評或工作正常后，結(jié)束現(xiàn)場測評工作。現(xiàn)場測評末次會現(xiàn)場測評工作結(jié)束后，測評組長召開測評現(xiàn)場測評末次會，匯報內(nèi)容包括現(xiàn)場測評的工作內(nèi)容、下一步工作推進計劃、整改工作優(yōu)先級、溝通證據(jù)源和測評記錄，并就高風(fēng)險項進行溝通。并通過拍照、會議簽到表的形式留存證據(jù)；末次會到場人員應(yīng)簽署現(xiàn)場測評小結(jié)會會議簽到表；測評組長應(yīng)進行測評過程介紹，對測評過程中發(fā)現(xiàn)的問題討論并提出整改建議；應(yīng)形成末次會會議記錄。整改驗證測評人員在填寫測評結(jié)果記錄后，應(yīng)匯總和分析已有安全措施和主要安全問題，并對所有安全問題提出整改建議，安全問題描述及風(fēng)險分析應(yīng)準(zhǔn)確，與測評記錄反映的情況一致；整改建議應(yīng)完整，覆蓋所有安全問題。測評人員應(yīng)配合被測單位對安全問題進行整改，整改完成后應(yīng)進行驗證測試；驗證技術(shù)和方法應(yīng)與現(xiàn)場測評實施過程中采取的技術(shù)和方法工作保持一致。報告編制報告框架測評報告由測評項目組長作為第一編制人，技術(shù)主管或具備高級測評師資質(zhì)的授權(quán)人員負(fù)責(zé)審核，

機構(gòu)管理者或其授權(quán)人員簽發(fā)或批準(zhǔn)；測評報告的正文部分應(yīng)包含網(wǎng)絡(luò)安全等級測評基本信息表（表格）、聲明、等級測評結(jié)論（表格）、等級測評結(jié)論表（云計算安全）（如有）、等級測評結(jié)論表（大數(shù)據(jù)安全）（如有）、總體評價、主要安全問題及整改建議、目錄、正文表格索引、附錄表格索引、插圖索引、測評項目概述、被測對象概述、測評指標(biāo)、測評對象、單項測評結(jié)果分析、整體測評結(jié)果分析、安全問題風(fēng)險分析、等級測評結(jié)論、安全問題整改建議。測評報告的附錄部分應(yīng)包括附錄A被測對象資產(chǎn)、附錄B上次測評問題整改建議、附錄C單項測評結(jié)果匯總、附錄D單項測評結(jié)果記錄、附錄E漏洞掃描結(jié)果記錄、附錄F滲透測試結(jié)果記錄、附錄G常見威脅表、附錄H云計算平臺測評及整改情況（如有）、附錄I大數(shù)據(jù)平臺測評及整改情況（如有）。被測對象如不涉及安全擴展要求，安全擴展要求相關(guān)部分可填無，不應(yīng)刪減報告模板中的章節(jié)。報告內(nèi)容網(wǎng)絡(luò)安全等級測評基本信息表測評報告中特定對象名稱（如：單位名稱、系統(tǒng)名稱、備案證明號、系統(tǒng)等級等）應(yīng)保持前后一致；測評報告具有編制人、審核人、批準(zhǔn)人簽字并加蓋機構(gòu)代碼標(biāo)識；測評報告由測評項目組長（中級以上測評師）作為第一編制人，技術(shù)主管或其授權(quán)人（高級測評師）負(fù)責(zé)審核。等級測評結(jié)論測評報告中被測對象名稱、安全保護等級、等級保護對象形態(tài)、被測對象描述、測評工作描述、等級測評結(jié)論、綜合得分應(yīng)保持前后一致；安全保護等級、等級保護對象形態(tài)應(yīng)與備案證明和定級報告一致；安全狀況描述中應(yīng)對發(fā)現(xiàn)的安全問題數(shù)量和主要安全問題進行概述。等級測評結(jié)論擴展表（云計算安全）等級測評結(jié)論擴展表應(yīng)與被測對象所部署在的云平臺等級測評報告等級測評結(jié)論擴展表保持一致；每種服務(wù)模式單獨構(gòu)成一個定級系統(tǒng)，對應(yīng)單獨的等級測評結(jié)論擴展表。等級測評結(jié)論表（大數(shù)據(jù)安全）等級測評結(jié)論擴展表應(yīng)與被測對象所部署在的云平臺等級測評報告等級測評結(jié)論擴展表保持一致；每種部署模式單獨構(gòu)成一個定級系統(tǒng)，對應(yīng)單獨的等級測評結(jié)論擴展表。總體評價應(yīng)按十個安全域分別進行描述；被測對象的安全保護狀況描述應(yīng)包含說明和評價。主要安全問題及整改建議主要安全問題及整改建議應(yīng)按十個安全域分別進行描述；主要安全問題及整改建議的內(nèi)容應(yīng)與正文中安全問題整改建議表保持一致，涉及多種類型測評對象的同一類安全問題可進行匯總分析。測評項目概述測評目的：應(yīng)對被測單位、被測對象和測評目的進行描述；測評依據(jù)：應(yīng)包括主要依據(jù)、主要參考標(biāo)準(zhǔn)和測評合同。測評過程：應(yīng)依據(jù)GB/T28449規(guī)定的測評過程進行測評，各階段時間應(yīng)與實際測評過程一致，并說明首次會、末次會時間；報告分發(fā)范圍：分發(fā)范圍至少應(yīng)包括被測評單位、備案公安機關(guān)、測評機構(gòu)。被測對象概述定級結(jié)果：定級結(jié)果應(yīng)與被測對象定級報告一致。業(yè)務(wù)和采用的技術(shù)：應(yīng)對被測對象主要承載的業(yè)務(wù)和采用的新應(yīng)用新技術(shù)進行描述；網(wǎng)絡(luò)結(jié)構(gòu)：應(yīng)包含拓?fù)鋱D和網(wǎng)絡(luò)結(jié)果說明，內(nèi)容應(yīng)包含被測對象安全區(qū)域劃分、隔離和防護情況、關(guān)鍵網(wǎng)絡(luò)和服務(wù)器設(shè)備的部署情況和功能簡介，與其他系統(tǒng)的互聯(lián)情況和邊界設(shè)備、網(wǎng)絡(luò)的管理方式和管理工具、本地備份和災(zāi)備中的情況等，拓?fù)鋱D中的IP地址和設(shè)備名稱應(yīng)與測評對象保持一致。測評指標(biāo)安全通用要求指標(biāo)：根據(jù)被測對象的安全保護等級，選擇《基本要求》中對應(yīng)級別的安全通用要求作為等級測評的指標(biāo)；安全擴展要求指標(biāo)：描述采用移動互聯(lián)技術(shù)、云計算技術(shù)的被測對象，以及物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)等特殊類型的被測對象，選擇《基本要求》中對應(yīng)級別的安全擴展要求作為等級測評的指標(biāo)；其他安全要求指標(biāo)：結(jié)合被測評單位要求、被測對象的實際安全需求，以及安全最佳實踐經(jīng)驗，以列表形式給出《基本要求》未覆蓋或者高于被測對象安全保護等級的安全要求，如行業(yè)標(biāo)準(zhǔn)等；不適用安全要求指標(biāo)：鑒于被測對象的復(fù)雜性和特殊性，《基本要求》中的某些要求項可能不適用于所有測評對象，對于這些不適用項應(yīng)給出不適用原因。如果單個要求項不適用某個測評對象，應(yīng)在該測評對象的測評結(jié)果記錄中說明不適用原因。測評對象測評對象選擇方法：依據(jù)GB/T28449—2018中測評對象確定原則和方法，結(jié)合資產(chǎn)重要程度賦值結(jié)果（重要程度賦值為關(guān)鍵、重要和一般）；測評對象選擇結(jié)果：對于屬于測評對象資產(chǎn)，但未作為測評對象的，應(yīng)說明未作為測評對象的理由。單項測評結(jié)果分析應(yīng)按照十個安全方面分別進行描述；驗證測試：驗證測試包括漏洞掃描匯總表、漏洞掃描問題描述、滲透測試過程說明、滲透測試問題描述等，驗證測試發(fā)現(xiàn)的安全問題對應(yīng)到相應(yīng)的測評項的結(jié)果記錄中；單項測評小結(jié)：包括控制點符合情況匯總和安全問題匯總，安全問題匯總中應(yīng)包括驗證測試發(fā)現(xiàn)的安全問題。整體測評結(jié)果分析安全控制點間安全測評：依據(jù)GB/T28448的要求從安全控制點間對單項測評結(jié)果進行驗證、分析和整體評價；區(qū)域間/層面間安全測評：依據(jù)GB/T28448的要求從區(qū)域間/層面間對單項測評結(jié)果進行驗證、分析和整體評價；整體測評結(jié)果匯總：包括根據(jù)整體測評結(jié)果匯總統(tǒng)計修正后的安全問題，問題修正說明和匯總表應(yīng)保持一致。安全問題風(fēng)險分析應(yīng)列出風(fēng)險等級分析和修正后的安全問題；應(yīng)包括對漏洞掃描和滲透測試發(fā)現(xiàn)的安全問題的風(fēng)險分析；對多個威脅關(guān)聯(lián)同一個問題的情況，應(yīng)分別填寫。等級測評結(jié)論等級測評結(jié)論應(yīng)與等級測評結(jié)論表一致；應(yīng)描述被測對象是否進行漏洞掃描和滲透測試。安全問題整改建議安全問題整改建議應(yīng)與安全問題風(fēng)險分析一致；應(yīng)包括對漏洞掃描和滲透測試發(fā)現(xiàn)的安全問題的整改建議。附錄A被測對象資產(chǎn)應(yīng)依據(jù)GB/T28449附錄D“測評對象確定準(zhǔn)則和樣例”選擇測評對象及抽樣數(shù)量；應(yīng)依據(jù)抽樣原則抽選熱備設(shè)備；應(yīng)結(jié)合測評對象的實際數(shù)量選取抽樣結(jié)果，抽樣數(shù)量應(yīng)達(dá)到抽樣要求；應(yīng)從等級保護對象的角度，評價資產(chǎn)在等級保護對象的保密性、完整性、可用性方面發(fā)揮的作用，確定資產(chǎn)的重要程度；位于主要業(yè)務(wù)流路徑上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等設(shè)備及軟件的重要程度應(yīng)為最高等級；如因等級保護對象情況特殊，主要業(yè)務(wù)流路徑上的設(shè)備及軟件的重要程度達(dá)不到最高等級，應(yīng)說明理由。附錄B上次測評問題整改建議上次測評問題應(yīng)與上次測評報告（如有）中發(fā)現(xiàn)的安全問題保持一致；應(yīng)描述上次測評問題在本次測評中的整改情況。附錄C單項測評結(jié)果匯總測評項符合情況應(yīng)與附錄D中保持一致；附錄D單項測評結(jié)果記錄測評記錄中應(yīng)明確記錄測評方法和證據(jù)來源，記錄必要的對象特征和細(xì)節(jié)描述，應(yīng)提供充分的符合性判定依據(jù)。測評記錄建議采用三段式描述：測評方法+測評實施對象+結(jié)果描述；測評記錄應(yīng)完全覆蓋測評項，根據(jù)測評方法、測評對象、結(jié)果描述，判定符合性情況；測評記錄間不應(yīng)存在相互矛盾的情況；不適用項的描述應(yīng)包括：被測評系統(tǒng)的情況說明、不適用的