网络安全等级保护测评机构：测评质量检查规范.pdfVIP

网络安全等级保护测评机构：测评质量检查规范

1范围

本文件规定了网络安全等级保护测评机构（以下简称“测评机构”）测评质量检查的基

本要求和检查流程。

本文件适用于对测评机构测评质量的检查和评价，也可用于测评机构的自查活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中注日期的

引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所

有的修改单）适用于本文件。

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T28448信息安全技术网络安全等级保护测评要求

GB/T28449信息安全技术网络安全等级保护测评过程指南

3术语和定义

GB/T22239、GB/T28448、GB/T28449界定的以及下列术语和定义适用于本文件。

3.1

检查评价机构inspectionandevaluationagency

省网络安全等级保护工作领导小组办公室（以下简称“等保办”）或受其委托开展网络

安全等级保护测评质量检查的第三方机构。

3.2

复核验证reviewandverification

检查人员与测评人员到测评委托单位，对测评记录、测评报告的内容进行现场核查、测

试和验证。

4基本要求

4.1测评质量检查应遵循客观公正、合规自律、科学合理、风险可控的原则。

4.2实施测评质量检查的检查评价机构应满足下列要求：

a)在中华人民共和国境内注册成立，由中国公民、法人投资或国家投资的组织；

b)具有固定的办公场所和必要的设施；

c)不涉及网络安全等级保护测评及其他相关的咨询、培训等可能影响检查公正性的活

动；

d)应与被检查测评机构无利益冲突；

e)具有3名以上符合条件的检查人员。

4.3实施测评质量检查的检查人员应满足以下要求：

a)熟悉网络安全等级保护测评相关的法律法规和标准要求；

b)熟悉网络安全等级保护测评的测评内容、测评流程和测评方法；

c)熟悉测评质量检查的流程和方法；

d)应与被检查测评机构无利益冲突。

5检查流程

5.1概述

测评质量检查可分为检查准备活动、检查实施活动、总结分析活动，各项活动的主要任

务见表1。

表1检查流程及其主要任务

检查流程主要任务

接受检查任务

确定检查人员

检查准备活动确定检查内容和测评机构测评质量评价方法

制定并发布检查方案

确定被检查项目

召开首次会议

开展检查

检查实施活动

开展测评机构测评质量评价

召开末次会议

汇总分析

总结分析活动

形成检查报告

5.2检查准备活动

5.2.1检查准备活动包括接受检查任务、确定检查人员、确定检查内容和测评机构测评质

量评价方法、制定并发布检查方案、确定被检查项目五项主要任务，这五项任务的流程如图

1所示。

5.2.2检查评价机构接受检查任务，根据检查任务要求开展检查准备活动。

5.2.3检查评价机构根据检查任务需要和4.3的要求确定检查人员，成立检查组，检查组

成员不少于3人。

5.2.4检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法：

a)应根据DB34/TXXXXX.1第4章规定的质量要求或按检查任务需要裁剪后的质量要

求确定检查内容；

b)应根据检查任务需要选择使用附录A所列方法开展测评机构测评质量评价。

5.2.5检查组应制定检查方案，必要时，可进行技术评审