DB34T 4091.2-2022 網(wǎng)絡安全等級保護測評機構(gòu) 第2部分測評質(zhì)量檢查規(guī)范　　

34AssessmentorganizationofclassifiedprotectionofcybeEvaluationqualityinspectionspecificI本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定網(wǎng)絡安全風險意識是否得到增強。DB34/T4091旨在規(guī)定網(wǎng)絡安全等級保護測評機構(gòu)的測評質(zhì)量要求和對測評機構(gòu)的檢查規(guī)范，以達到提升網(wǎng)絡安全等級保護測評機——第1部分：測評質(zhì)量要求。目的在于規(guī)定網(wǎng)絡安全等級保護測評機構(gòu)測評質(zhì)量要求，為測評質(zhì)——第2部分：測評質(zhì)量檢查規(guī)范。目的在于規(guī)定對網(wǎng)絡安全等級保護測評機構(gòu)測評質(zhì)量檢查的組1網(wǎng)絡安全等級保護測評機構(gòu)第2部分：測評質(zhì)量檢查規(guī)范DB34/T4091.1—2022網(wǎng)絡安全等級保護測評機構(gòu)第1部分：測評質(zhì)GB/T22239—2019、GB/T28448—2019、GB/T28449—2018界定的以及下列術語和定義適用于本檢查人員與測評人員到測評委托單位，對測評4基本要求4.1測評質(zhì)量檢查應遵循客觀公正、合規(guī)自律、科學合理、風險可控的原則。4.2實施測評質(zhì)量檢查的檢查評價機構(gòu)應滿足下列要求：a)在中華人民共和國境內(nèi)注冊成立，由中國公民、法人投資或國家投資的組織；24.3實施測評質(zhì)量檢查的檢查人員應滿足以下要求：a)檢查人員可由檢查評價機構(gòu)的檢查人員、網(wǎng)絡安全和等級保護相關領域?qū)＜?、測評委托單位c)熟悉網(wǎng)絡安全等級保護測評的測評內(nèi)容、測評流程和測評方法；5.1概述5.2檢查準備活動5.2.2檢查評價機構(gòu)接受檢查任務，根據(jù)檢查任務要求開展檢查準備活動。5.2.4檢查組應根據(jù)檢查任務需要和下列要求確定檢查內(nèi)容和測評機構(gòu)測評質(zhì)量評價方法：b)應根據(jù)檢查任務需要選擇附錄A所35.2.5檢查組應制定檢查方案，必要時，可進行技術評審。檢查方案應作為開展質(zhì)量檢查通知的附件e)被檢查的測評機構(gòu)（以下簡稱“被檢查機構(gòu)”）列表：明確被檢查機構(gòu)名稱及檢查順序；g)檢查方法：針對檢查內(nèi)容可采用的檢查方法（如：訪談、文檔審查、復核驗證等）；h)檢查流程和各方職責；j)附件：檢查過程中用到的材料、表格（如：檢查人員廉潔自律聲明、被檢查機構(gòu)廉潔自律聲a)應從每個被檢查的測評機構(gòu)已完成的測評項目中選擇不少于3個項目用于檢查，并從確e)應優(yōu)先選擇需要執(zhí)行相關行業(yè)標準的特殊行業(yè)（如：電力、金融等行業(yè)）的測評項目用于檢f)應優(yōu)先選擇影響國計民生的信息系統(tǒng)（如：關鍵信息基礎設施、公共服務信息系統(tǒng)）對應的5.3檢查實施活動5.3.1檢查組應根據(jù)檢查方案確定的檢查順序到各被檢查機構(gòu)開展檢查，檢查組在各被檢查機構(gòu)的檢4a)應根據(jù)確定的被檢查項目收集測評記錄、測評報告，及與之相關的質(zhì)量記錄和材料（如：測b)應訪談被檢查項目涉及的測評師，檢查項目實施和質(zhì)量控制過程記錄，檢查測評過程和記錄c)應訪談測評委托單位相關人員，檢查項目實施過程、被測定級對象概況、安全管理機構(gòu)、安d)應對被檢查項目測評記錄、測評報告，以及與之相關質(zhì)量記錄及材料開展文檔審查，檢查記2)測評記錄和測評報告涉及的網(wǎng)絡拓撲、安全防護設備、測評對象選擇、安全物理環(huán)境和3)測評記錄和測評報告涉及的安全控5.3.4檢查組應根據(jù)檢查方案確定的評價方法對被檢查機構(gòu)的測評質(zhì)量進行評價，確定評價結(jié)果，并5.4總結(jié)分析活動5.4.1所有被檢查機構(gòu)的檢查結(jié)束后，檢查組應開展總結(jié)分析活動，總結(jié)分析活動包括匯總分析和形5.4.2檢查組應將檢查發(fā)現(xiàn)的所有測評質(zhì)量問題按類別進行匯總，并分析各類測評質(zhì)量問題發(fā)生的原5匯總分析形成檢查報告6A.1定性評價A.1.1評價流程測評機構(gòu)測評質(zhì)量定性評價的流程如圖A.1所示，應對檢查發(fā)現(xiàn)的每個問題進行影響程度分析、發(fā)A.1.2影響程度分析A.1.2.1對于檢查發(fā)現(xiàn)的測評質(zhì)量問題，應按其對測評結(jié)果的影響程度進行劃分，可為高、中和低三高中低7注：主要表現(xiàn)為：未得到測評委托單位必要的確認或授權、缺少必要c)測評深度不夠、測評覆蓋不全面，測評記錄不足以完全支持測評結(jié)果，測評不充分；d)確定的測評對象未能全面覆蓋所有設備、系統(tǒng)類A.1.2.4對測評結(jié)果造成較小或輕微影響的測評質(zhì)量問題包括但不限于：b)測評過程記錄及記錄修改不規(guī)范；A.1.3發(fā)生可能性分析高測評質(zhì)量問題出現(xiàn)的頻率高（所有抽檢項目中均發(fā)現(xiàn)此類問題）；或沒有質(zhì)量管理措施能夠保證該問題不會中測評質(zhì)量問題出現(xiàn)的頻率中等（抽檢項目中一半及以上有發(fā)現(xiàn)此類問題或有質(zhì)量管理措施但低測評質(zhì)量問題出現(xiàn)的頻率較低（抽檢項目中一半以下有發(fā)現(xiàn)此類問題或有質(zhì)量管理措施能避免此類問題A.1.4測評質(zhì)量問題定性評價定性評價結(jié)果的取值范圍為嚴重、一般和輕微，具8高高高中高低中高中中中低低高低中低低A.1.5測評機構(gòu)測評質(zhì)量定性評價定性評價結(jié)果的取值范圍為優(yōu)秀、良好、合格、不合格，具體評價所有測評質(zhì)量問題的定性評價結(jié)果均為“輕微”評質(zhì)量問題總數(shù)與檢查內(nèi)容總數(shù)的比值小于評質(zhì)量問題總數(shù)與檢查內(nèi)容總數(shù)的比值大于30%且A.2定量評價賦予量化值（Vi見表A.5，測評質(zhì)量檢查量化評價結(jié)果QER（Quantitativeevaluationresult）Wi9權重值Wi量化值Vi3檢查內(nèi)容共計N條，檢查結(jié)果為“不符合”的條款個數(shù)X，Vi=1-X/N89檢查內(nèi)容共計N條，檢查結(jié)果為“不符合”的條款個數(shù)X，Vi=1-X/N336檢查內(nèi)容共計N條，檢查結(jié)果為“不符合”的條款個數(shù)X，Vi=1-X/N4檢查內(nèi)容共計N條，檢查結(jié)果為“不符合”的條款個數(shù)X，Vi=1-X/N5檢查內(nèi)容共計N條，檢查結(jié)果為“不符合”的條款個數(shù)X，Vi=1-X/N4檢查內(nèi)容共計N條，檢查結(jié)果為“不符合”的條款個數(shù)X，Vi=1-X/N5檢查內(nèi)容共計N條，檢查結(jié)果為“不符合”的條款個數(shù)X，Vi=1-X/N風險規(guī)避實施方案4檢查內(nèi)容共計N條，檢查結(jié)果為“不符合”的條款個數(shù)X，Vi=1-X/N6檢查內(nèi)容共計N條，檢查結(jié)果為“不符合”的條款個數(shù)X，Vi=1-X/N627檢查內(nèi)容共計N條，檢查結(jié)果為“不符合”的條款個數(shù)X，Vi=1-X/N3檢查內(nèi)容共計N條，檢查結(jié)果為“不符合”的條款個數(shù)