DB34_T 4091.1-2022 网络安全等级保护测评机构 第1部分 测评质量要求.docxVIP

ICS35.040CCSL80

34

安徽省地方标准

DB34/T4091.1—2022

网络安全等级保护测评机构

第1部分：测评质量要求

Assessmentorganizationofclassifiedprotectionofcybersecurity—Part1：

Evaluationqualityrequirements

2022-03-29发布2022-04-29实施

安徽省市场监督管理局发布

DB34/T4091.1—2022

I

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是DB34/T4901《网络安全等级保护测评机构》的第1部分。DB34/T4901已经发布了以下部分：

——第1部分：测评质量要求；

——第2部分：测评质量检查规范。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由安徽省公安厅提出并归口。

本文件起草单位：安徽省质量和标准化研究院、安徽省公安厅网安总队、铜陵市公安局网络安全保卫支队、淮北市公安局网络安全保卫支队、芜湖市公安局网络安全保卫支队、安徽科测信息技术有限公司、安徽省电子产品监督检验所、合肥天帷信息安全技术有限公司、安徽祥盾信息科技有限公司、安徽等保信息安全测评技术有限公司、安徽安正测评技术有限公司、安徽国康网络安全测评有限公司、安徽溯源电子科技有限公司、安徽风雪网络安全测评有限公司、合肥前卫科技有限公司。

本文件主要起草人：冯响林、刘菖、杨波、袁宁、张士骑、朱冰、楚学建、朱华斌、齐艳丽、赵家辉、蒋凡、何潇宁、张婷、武建双、程苏秦、王国朝、张多福、陈传宇、张松、陈宗明、方成成、周天熠、刘环。

DB34/T4091.1—2022

II

引言

《中华人民共和国网络安全法》中规定“国家实行网络安全等级保护制度”。网络安全等级保护工作要求建立健全网络安全保障体系，重点保护涉及国家安全、国计民生、社会公共利益等的关键网络信息系统的基础设施安全、运行安全和数据安全。网络安全等级保护测评机构根据国家网络安全等级保护制度规定从事等级测评工作，其测评质量直接关系到网络安全防护是否规范、网络安全管理是否落实、网络安全风险意识是否得到增强。DB34/T4901旨在规定网络安全等级保护测评机构的测评质量要求和对测评机构的检查规范，以达到提升网络安全等级保护测评机构的测评质量为目的，由两部分构成。

——第1部分：测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求，为测评质量检查确立检查内容。

——第2部分：测评质量检查规范。目的在于规定对网络安全等级保护测评机构测评质量检查的组织、检查方法、检查流程和评价方法。

DB34/T4091.1—2022

1

网络安全等级保护测评机构

第1部分：测评质量要求

1范围

本文件规定了网络安全等级保护测评机构（以下简称“测评机构”）的测评质量要求。

本文件适用于对测评机构测评质量的检查和评价，也适用于测评机构的自查活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T28448—2019信息安全技术网络安全等级保护测评要求

GB/T28449—2018信息安全技术网络安全等级保护测评过程指南

3术语和定义

GB/T22239—2019、GB/T28448—2019和GB/T28449—2018界定的术语和定义适用于本文件。

4质量要求

4.1测评准备活动

测评准备活动的质量要求如表1所示。

表1测评准备活动的质量要求

项目

要求

人员

参与项目测评的测评师数量和等级应与被测对象等级保护级别相符：实施二级项目测评的测评师应不少于2名；实施三级项目测评的测评师应不少于4名，其中高级测评师、中级测评师应各不少于1名；实施四级项目测评的测评师应不少于5名，其中中级测评师应不少于1名，高级测评师应不少于1名。

测评师的测评能力应得到保持，按要求参加培训，持等级测评师证上岗。

需要开展渗透测试的测评项目，应配置专职渗透测试人员至少1名。

项目

工作

计划

应根据委托测评协议书的内容编制项目计划书。

项目计