DB34T 4091.1-2022 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu) 第1部分測(cè)評(píng)質(zhì)量要求　　

34AssessmentorganizatioEvaluationqualityrequiI本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定溯源電子科技有限公司、安徽風(fēng)雪網(wǎng)絡(luò)安全測(cè)評(píng)有限公司、合肥前衛(wèi)科技有限網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)是否得到增強(qiáng)。DB34/T4901旨在規(guī)定網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)質(zhì)量要求和對(duì)測(cè)評(píng)機(jī)構(gòu)的檢查規(guī)范，以達(dá)到提升網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)質(zhì)量為目的，由兩部分——第2部分：測(cè)評(píng)質(zhì)量檢查規(guī)范。目的在于規(guī)定對(duì)網(wǎng)絡(luò)安1網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)第1部分：測(cè)評(píng)質(zhì)量要求GB/T22239—2019、GB/T28448—2019和GB/T28449—2018界定的術(shù)語和定義適4.1測(cè)評(píng)準(zhǔn)備活動(dòng)實(shí)施三級(jí)項(xiàng)目測(cè)評(píng)的測(cè)評(píng)師應(yīng)不少于4名，其中高級(jí)測(cè)評(píng)師、中級(jí)測(cè)評(píng)師應(yīng)各不少于1名；實(shí)施四級(jí)項(xiàng)目測(cè)評(píng)的2應(yīng)收集項(xiàng)目測(cè)評(píng)所需的測(cè)評(píng)委托單位的資料，包括但不限于委托單位管理架構(gòu)、技術(shù)體系、運(yùn)行情況、建設(shè)方應(yīng)收集項(xiàng)目測(cè)評(píng)所需的被測(cè)對(duì)象的資料，包括但不限于安全保護(hù)等級(jí)、業(yè)務(wù)情況、數(shù)據(jù)情況、網(wǎng)絡(luò)情況、軟硬針對(duì)云計(jì)算平臺(tái)的等級(jí)測(cè)評(píng)，還應(yīng)收集云計(jì)算平臺(tái)運(yùn)營(yíng)機(jī)構(gòu)的管理架構(gòu)、技術(shù)實(shí)現(xiàn)機(jī)制及架構(gòu)、運(yùn)行情況、云針對(duì)云租戶系統(tǒng)的等級(jí)測(cè)評(píng)，還應(yīng)收集云計(jì)算平臺(tái)運(yùn)營(yíng)機(jī)構(gòu)與租戶的關(guān)系、云平臺(tái)的服務(wù)架構(gòu)模式以及其具體針對(duì)物聯(lián)網(wǎng)系統(tǒng)的等級(jí)測(cè)評(píng)，還應(yīng)收集各類感知層設(shè)備的檢測(cè)情況、感知層設(shè)備針對(duì)移動(dòng)互聯(lián)應(yīng)用的等級(jí)測(cè)評(píng)，還應(yīng)收集各類無線接入設(shè)備部署情況、移動(dòng)終端使用情況、移動(dòng)應(yīng)用程序、移應(yīng)使用統(tǒng)一格式的系統(tǒng)調(diào)查表格（如：系統(tǒng)調(diào)查表格模板），調(diào)查表格應(yīng)具有唯一性標(biāo)識(shí)，該標(biāo)識(shí)能與測(cè)評(píng)任系統(tǒng)調(diào)查表格應(yīng)調(diào)查承載的業(yè)務(wù)情況，包括但不限于：被測(cè)對(duì)象名稱、定級(jí)等級(jí)、被測(cè)對(duì)象形態(tài)（如：傳統(tǒng)系系統(tǒng)調(diào)查表格應(yīng)調(diào)查被測(cè)對(duì)象涉及的網(wǎng)絡(luò)結(jié)構(gòu)并繪制網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)拓?fù)鋱D應(yīng)能明確被測(cè)對(duì)象涉及的功能/安全區(qū)域劃分、隔離與防護(hù)情況、關(guān)鍵網(wǎng)絡(luò)和服務(wù)器設(shè)備部署情況、與其他系統(tǒng)的互聯(lián)情況、邊界網(wǎng)絡(luò)設(shè)備情應(yīng)調(diào)查被測(cè)對(duì)象涉及的網(wǎng)絡(luò)互聯(lián)設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型應(yīng)調(diào)查被測(cè)對(duì)象涉及的安全設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號(hào)、軟件版本及病毒或規(guī)應(yīng)調(diào)查被測(cè)對(duì)象涉及的服務(wù)器及存儲(chǔ)設(shè)備信息，適用時(shí)，還應(yīng)調(diào)查宿主機(jī)、云管理服務(wù)器、云應(yīng)用服務(wù)器的信息。這些信息包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號(hào)、是否虛擬設(shè)備、操作系統(tǒng)或存儲(chǔ)管理系統(tǒng)名稱應(yīng)調(diào)查被測(cè)對(duì)象涉及的終端設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號(hào)、操作系統(tǒng)或控制系統(tǒng)3應(yīng)調(diào)查被測(cè)對(duì)象涉及的支撐或管理系統(tǒng)（如：數(shù)據(jù)庫管理系統(tǒng)、中間件、網(wǎng)管軟件、安全管理軟件、云計(jì)算管理軟件）信息，適用時(shí)，還應(yīng)調(diào)查云計(jì)算平臺(tái)安全管理系統(tǒng)、云計(jì)算平臺(tái)數(shù)據(jù)庫管理系統(tǒng)、云計(jì)算平臺(tái)中間件應(yīng)調(diào)查被測(cè)對(duì)象涉及的業(yè)務(wù)應(yīng)用系統(tǒng)信息，包括但不限于：系統(tǒng)名稱和版本、開發(fā)廠商、主要功能、處理的核應(yīng)調(diào)查被測(cè)對(duì)象涉及的數(shù)據(jù)信息，包括但不限于：數(shù)據(jù)類別（如：業(yè)務(wù)數(shù)據(jù)、重要個(gè)人信息）、所屬業(yè)務(wù)應(yīng)用系統(tǒng)、安全防護(hù)需求（如：保密性、完整性、抗抵賴性、可核查性、真實(shí)性）。使用大數(shù)據(jù)處理技術(shù)處理數(shù)據(jù)應(yīng)調(diào)查被測(cè)對(duì)象涉及的安全相關(guān)人員信息，包括但不限于：姓名、角色、主要職責(zé)、聯(lián)系電話。相關(guān)人員可以包括但不限于：安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人、網(wǎng)絡(luò)（安全）管應(yīng)對(duì)調(diào)查到的信息進(jìn)行整理、分析，對(duì)不符合要求的應(yīng)重新調(diào)查，必要時(shí)應(yīng)安排現(xiàn)場(chǎng)調(diào)查，應(yīng)對(duì)調(diào)查結(jié)果進(jìn)行應(yīng)根據(jù)測(cè)評(píng)任務(wù)需要準(zhǔn)備測(cè)評(píng)表，這些表單包括但不限于：風(fēng)險(xiǎn)告知書、文檔交接單、會(huì)議記錄表單、會(huì)議簽4.2方案編制活動(dòng)選擇的測(cè)評(píng)對(duì)象種類（如：網(wǎng)絡(luò)互聯(lián)設(shè)備類型、安全設(shè)對(duì)不能確定為測(cè)評(píng)對(duì)象的重要業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)互聯(lián)設(shè)備、安全設(shè)備、服務(wù)器、管理制度和記錄等，應(yīng)充分4發(fā)當(dāng)需要開展工具測(cè)試、滲透測(cè)試時(shí)，應(yīng)編制針對(duì)性的風(fēng)險(xiǎn)規(guī)避實(shí)施方案，必要時(shí)，應(yīng)搭建模擬環(huán)境，驗(yàn)證漏洞應(yīng)組織項(xiàng)目組人員對(duì)測(cè)評(píng)方案進(jìn)行評(píng)審，評(píng)審的內(nèi)容應(yīng)包括但不限于：方案的針對(duì)性、完整性、正確性、可實(shí)4.3現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)應(yīng)向測(cè)評(píng)委托單位提交風(fēng)險(xiǎn)告知書，充分告知測(cè)評(píng)可能引入的風(fēng)險(xiǎn)及可采取的規(guī)避措施，并獲得測(cè)評(píng)委托單位現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書授權(quán)的內(nèi)容應(yīng)明確授權(quán)使用的被測(cè)對(duì)象（包括操作系統(tǒng)/管理系統(tǒng)/業(yè)務(wù)系統(tǒng)賬戶密碼、管理制度）、授權(quán)范圍（時(shí)間段、權(quán)限、操作者）、授權(quán)目的、可能產(chǎn)生的影響、規(guī)避風(fēng)險(xiǎn)的措施及建議等。授權(quán)使用的被測(cè)對(duì)象應(yīng)具有唯一性標(biāo)識(shí)（如：IP地址、設(shè)備唯一編號(hào)）。適用時(shí)，還應(yīng)規(guī)定滲透測(cè)試的執(zhí)行時(shí)間、滲5應(yīng)根據(jù)測(cè)評(píng)任務(wù)的需要申領(lǐng)相關(guān)設(shè)備、借閱相關(guān)文件（如：管理制度、安全記錄、過往的測(cè)評(píng)報(bào)告并對(duì)設(shè)應(yīng)召開測(cè)評(píng)現(xiàn)場(chǎng)首次會(huì)，編制會(huì)議記錄，會(huì)議記錄內(nèi)容應(yīng)包括但不限于：現(xiàn)場(chǎng)測(cè)評(píng)工作安排、測(cè)評(píng)計(jì)劃和測(cè)評(píng)測(cè)評(píng)師和滲透測(cè)試人員應(yīng)與測(cè)評(píng)方案中規(guī)定的人員一致，確需變更時(shí)，應(yīng)提出書面申請(qǐng)，并得到委托測(cè)評(píng)單位應(yīng)根據(jù)測(cè)評(píng)方案、測(cè)評(píng)指導(dǎo)書、現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書的要求按計(jì)劃實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)應(yīng)詳細(xì)記錄測(cè)評(píng)過程信息，這些信息可包括但不限于：執(zhí)行時(shí)間、執(zhí)行人、審核人、測(cè)評(píng)方法、測(cè)評(píng)工具唯一標(biāo)識(shí)（適用時(shí)）、測(cè)評(píng)對(duì)象唯一標(biāo)識(shí)、模塊名稱（適用時(shí)）、文件唯一標(biāo)識(shí)及頁面（適用時(shí)）、實(shí)際情況描述對(duì)于整改后的測(cè)評(píng)項(xiàng)應(yīng)按上述要求進(jìn)行再次測(cè)評(píng)，且應(yīng)分析整改對(duì)其他相關(guān)測(cè)評(píng)項(xiàng)目的影響，必要時(shí)應(yīng)對(duì)受到4.4報(bào)告編制活動(dòng)6所提出的整改建議應(yīng)盡可能直接有效，且通過利用現(xiàn)有資源（如：軟硬件設(shè)備、管理制度）或