ICS35.040

CCSL80

34

安徽省地方標(biāo)準(zhǔn)

DB34/T4091.2—2022

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)

第2部分：測(cè)評(píng)質(zhì)量檢查規(guī)范

Assessmentorganizationofclassifiedprotectionofcybersecurity—Part2：

Evaluationqualityinspectionspecification

2022-03-29發(fā)布2022-04-29實(shí)施

安徽省市場(chǎng)監(jiān)督管理局發(fā)布

DB34/T4091.2—2022

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件是DB34/T4091《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)》的第2部分。DB34/T4091已經(jīng)發(fā)布了以下部

分：

——第1部分：測(cè)評(píng)質(zhì)量要求；

——第2部分：測(cè)評(píng)質(zhì)量檢查規(guī)范。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。

本文件由安徽省公安廳提出并歸口。

本文件起草單位：安徽省質(zhì)量和標(biāo)準(zhǔn)化研究院、安徽省公安廳網(wǎng)安總隊(duì)、合肥市公安局網(wǎng)絡(luò)安全保

衛(wèi)支隊(duì)、亳州市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)、安徽科測(cè)信息技術(shù)有限公司、安徽省電子產(chǎn)品監(jiān)督檢驗(yàn)所、

合肥天帷信息安全技術(shù)有限公司、安徽祥盾信息科技有限公司、安徽等保信息安全測(cè)評(píng)技術(shù)有限公司、

安徽安正測(cè)評(píng)技術(shù)有限公司、安徽國(guó)康網(wǎng)絡(luò)安全測(cè)評(píng)有限公司、安徽溯源電子科技有限公司、安徽風(fēng)雪

網(wǎng)絡(luò)安全測(cè)評(píng)有限公司、淮南師范學(xué)院。

本文件主要起草人：劉菖、馮響林、楊波、袁寧、朱偉、唐珂、張強(qiáng)強(qiáng)、王寒冰、胡欣瑞、趙家輝、

王理冬、武建雙、房仲珂、馮玲莉、劉芝影、張多福、陳傳宇、張松、陳宗明、方成成、周天熠、周蘇

皖、劉磊、孫業(yè)國(guó)。

I

DB34/T4091.2—2022

引言

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。網(wǎng)絡(luò)安全等級(jí)保護(hù)工

作要求建立健全網(wǎng)絡(luò)安全保障體系，重點(diǎn)保護(hù)涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益等的關(guān)鍵網(wǎng)絡(luò)信

息系統(tǒng)的基礎(chǔ)設(shè)施安全、運(yùn)行安全和數(shù)據(jù)安全。網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)根據(jù)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)

制度規(guī)定從事等級(jí)測(cè)評(píng)工作，其測(cè)評(píng)質(zhì)量直接關(guān)系到網(wǎng)絡(luò)安全防護(hù)是否規(guī)范、網(wǎng)絡(luò)安全管理是否落實(shí)、

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)是否得到增強(qiáng)。DB34/T4091旨在規(guī)定網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)質(zhì)量要求和

對(duì)測(cè)評(píng)機(jī)構(gòu)的檢查規(guī)范，以達(dá)到提升網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)質(zhì)量為目的，由兩部分構(gòu)成。

——第1部分：測(cè)評(píng)質(zhì)量要求。目的在于規(guī)定網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量要求，為測(cè)評(píng)質(zhì)

量檢查確立檢查內(nèi)容。

——第2部分：測(cè)評(píng)質(zhì)量檢查規(guī)范。目的在于規(guī)定對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量檢查的組

織、檢查方法、檢查流程和評(píng)價(jià)方法。

II

DB34/T4091.2—2022

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)

第2部分：測(cè)評(píng)質(zhì)量檢查規(guī)范

1范圍

本文件規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)（以下簡(jiǎn)稱“測(cè)評(píng)機(jī)構(gòu)”）測(cè)評(píng)質(zhì)量檢查的基本要求和檢

查流程。

本文件適用于對(duì)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量的檢查和評(píng)價(jià)，也適用于測(cè)評(píng)機(jī)構(gòu)的自查活動(dòng)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T28448—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求

GB/T28449—2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

DB34/T4091.1—2022網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)第1部分：測(cè)評(píng)質(zhì)量要求

3術(shù)語(yǔ)和定義

GB/T22239—2019、GB/T28448—2019、GB/T28449—2018界定的以及下列術(shù)語(yǔ)和定義適用于本

文件。

3.1

檢查評(píng)價(jià)機(jī)構(gòu)inspectionandevaluationagency

負(fù)責(zé)組織和開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量檢查的機(jī)構(gòu)。

注：檢查評(píng)價(jià)機(jī)構(gòu)可以是網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)質(zhì)量管理機(jī)構(gòu)或其委托的第三方機(jī)構(gòu)、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)、

測(cè)評(píng)委托單位或其委托的第三方機(jī)構(gòu)。

3.2

復(fù)核驗(yàn)證reviewandverification

檢查人員與測(cè)評(píng)人員到測(cè)評(píng)委托單位，對(duì)測(cè)評(píng)記錄、測(cè)評(píng)報(bào)告的內(nèi)容進(jìn)行現(xiàn)場(chǎng)核查、測(cè)試和驗(yàn)證。

4基本要求

4.1測(cè)評(píng)質(zhì)量檢查應(yīng)遵循客觀公正、合規(guī)自律、科學(xué)合理、風(fēng)險(xiǎn)可控的原則。

4.2實(shí)施測(cè)評(píng)質(zhì)量檢查的檢查評(píng)價(jià)機(jī)構(gòu)應(yīng)滿足下列要求：

a)在中華人民共和國(guó)境內(nèi)注冊(cè)成立，由中國(guó)公民、法人投資或國(guó)家投資的組織；

b)具有固定的辦公場(chǎng)所和必要的設(shè)施；

c)不涉及網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)及其他相關(guān)的咨詢、培訓(xùn)等可能影響檢查公正性的活動(dòng)；

d)應(yīng)與被檢查測(cè)評(píng)機(jī)構(gòu)無(wú)利益沖突；

e)具有3名以上符合條件的檢查人員。

1

DB34/T4091.2—2022

4.3實(shí)施測(cè)評(píng)質(zhì)量檢查的檢查人員應(yīng)滿足以下要求：

a)檢查人員可由檢查評(píng)價(jià)機(jī)構(gòu)的檢查人員、網(wǎng)絡(luò)安全和等級(jí)保護(hù)相關(guān)領(lǐng)域?qū)＜?、測(cè)評(píng)委托單位

網(wǎng)絡(luò)安全專業(yè)人員等構(gòu)成；

b)熟悉網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)要求；

c)熟悉網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的測(cè)評(píng)內(nèi)容、測(cè)評(píng)流程和測(cè)評(píng)方法；

d)熟悉測(cè)評(píng)質(zhì)量檢查的流程和方法；

e)應(yīng)與被檢查測(cè)評(píng)機(jī)構(gòu)無(wú)利益沖突。

5檢查流程

5.1概述

測(cè)評(píng)質(zhì)量檢查可分為檢查準(zhǔn)備活動(dòng)、檢查實(shí)施活動(dòng)、總結(jié)分析活動(dòng)，各項(xiàng)活動(dòng)的主要任務(wù)見(jiàn)表1。

表1檢查流程及其主要任務(wù)

檢查流程主要任務(wù)

接受檢查任務(wù)

確定檢查人員

檢查準(zhǔn)備活動(dòng)確定檢查內(nèi)容和測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量評(píng)價(jià)方法

制定并發(fā)布檢查方案

確定被檢查項(xiàng)目

召開(kāi)首次會(huì)議

開(kāi)展檢查

檢查實(shí)施活動(dòng)

開(kāi)展測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量評(píng)價(jià)

召開(kāi)末次會(huì)議

匯總分析

總結(jié)分析活動(dòng)

形成檢查報(bào)告

5.2檢查準(zhǔn)備活動(dòng)

5.2.1檢查準(zhǔn)備活動(dòng)包括接受檢查任務(wù)、確定檢查人員、確定檢查內(nèi)容和測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量評(píng)價(jià)方法、

制定并發(fā)布檢查方案、確定被檢查項(xiàng)目五項(xiàng)主要任務(wù)，這五項(xiàng)任務(wù)的流程如圖1所示。

5.2.2檢查評(píng)價(jià)機(jī)構(gòu)接受檢查任務(wù)，根據(jù)檢查任務(wù)要求開(kāi)展檢查準(zhǔn)備活動(dòng)。

5.2.3檢查評(píng)價(jià)機(jī)構(gòu)根據(jù)檢查任務(wù)需要和4.3的要求確定檢查人員，成立檢查組，檢查組成員不少于

3人。

5.2.4檢查組應(yīng)根據(jù)檢查任務(wù)需要和下列要求確定檢查內(nèi)容和測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量評(píng)價(jià)方法：

a)應(yīng)根據(jù)DB34/T4091.1—2022中第4章規(guī)定的質(zhì)量要求或按檢查任務(wù)需要裁剪后的質(zhì)量要求

確定檢查內(nèi)容；

b)應(yīng)根據(jù)檢查任務(wù)需要選擇附錄A所列方法開(kāi)展測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量評(píng)價(jià)。

2

DB34/T4091.2—2022

接受檢查任務(wù)

確定檢查人員

確定檢查內(nèi)容和檢查結(jié)果評(píng)價(jià)

方法

制定并發(fā)布檢查方案

確定被檢查項(xiàng)目

圖1檢查準(zhǔn)備活動(dòng)流程

5.2.5檢查組應(yīng)制定檢查方案，必要時(shí)，可進(jìn)行技術(shù)評(píng)審。檢查方案應(yīng)作為開(kāi)展質(zhì)量檢查通知的附件

發(fā)布。檢查方案應(yīng)包括但不限于下列內(nèi)容：

a)檢查時(shí)間；

b)檢查依據(jù)；

c)檢查評(píng)價(jià)機(jī)構(gòu)；

d)檢查人員；

e)被檢查的測(cè)評(píng)機(jī)構(gòu)（以下簡(jiǎn)稱“被檢查機(jī)構(gòu)”）列表：明確被檢查機(jī)構(gòu)名稱及檢查順序；

f)檢查內(nèi)容；

g)檢查方法：針對(duì)檢查內(nèi)容可采用的檢查方法（如：訪談、文檔審查、復(fù)核驗(yàn)證等）；

h)檢查流程和各方職責(zé)；

i)結(jié)果評(píng)價(jià)方法；

j)附件：檢查過(guò)程中用到的材料、表格（如：檢查人員廉潔自律聲明、被檢查機(jī)構(gòu)廉潔自律聲

明、被檢查機(jī)構(gòu)確認(rèn)人員授權(quán)書(shū)、會(huì)議簽到表、檢查記錄表、資料交接聲明等）。

5.2.6檢查組應(yīng)根據(jù)檢查任務(wù)需要和下列要求確定被檢查項(xiàng)目：

a)應(yīng)從每個(gè)被檢查的測(cè)評(píng)機(jī)構(gòu)已完成的測(cè)評(píng)項(xiàng)目中選擇不少于3個(gè)項(xiàng)目用于檢查，并從確定的

被檢查項(xiàng)目中確定1項(xiàng)用于復(fù)核驗(yàn)證。

b)應(yīng)優(yōu)先選擇最近一年內(nèi)開(kāi)展的測(cè)評(píng)項(xiàng)目用于檢查；

c)應(yīng)優(yōu)先選擇等級(jí)保護(hù)級(jí)別高的測(cè)評(píng)項(xiàng)目用于檢查；

d)應(yīng)優(yōu)先選擇需要使用安全測(cè)評(píng)擴(kuò)展要求的測(cè)評(píng)項(xiàng)目用于檢查；

e)應(yīng)優(yōu)先選擇需要執(zhí)行相關(guān)行業(yè)標(biāo)準(zhǔn)的特殊行業(yè)（如：電力、金融等行業(yè)）的測(cè)評(píng)項(xiàng)目用于檢

查；

f)應(yīng)優(yōu)先選擇影響國(guó)計(jì)民生的信息系統(tǒng)（如：關(guān)鍵信息基礎(chǔ)設(shè)施、公共服務(wù)信息系統(tǒng)）對(duì)應(yīng)的

測(cè)評(píng)項(xiàng)目用于檢查。

5.3檢查實(shí)施活動(dòng)

5.3.1檢查組應(yīng)根據(jù)檢查方案確定的檢查順序到各被檢查機(jī)構(gòu)開(kāi)展檢查，檢查組在各被檢查機(jī)構(gòu)的檢

查實(shí)施活動(dòng)包括召開(kāi)首次會(huì)議、開(kāi)展檢查、開(kāi)展測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量評(píng)價(jià)、召開(kāi)末次會(huì)議四項(xiàng)主要任務(wù)，

這四項(xiàng)任務(wù)的流程如圖2所示。

3

DB34/T4091.2—2022

召開(kāi)首次會(huì)議

開(kāi)展檢查

開(kāi)展測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量評(píng)價(jià)

召開(kāi)末次會(huì)議

圖2檢查實(shí)施活動(dòng)流程

5.3.2檢查組應(yīng)召集被檢查機(jī)構(gòu)主要負(fù)責(zé)人（包括技術(shù)負(fù)責(zé)人和質(zhì)量負(fù)責(zé)人）和測(cè)評(píng)師召開(kāi)首次會(huì)議，

介紹檢查工作分工，明確檢查內(nèi)容和要求，確定聯(lián)系人。

5.3.3檢查組應(yīng)按下列要求開(kāi)展檢查：

a)應(yīng)根據(jù)確定的被檢查項(xiàng)目收集測(cè)評(píng)記錄、測(cè)評(píng)報(bào)告，及與之相關(guān)的質(zhì)量記錄和材料（如：測(cè)

評(píng)委托協(xié)議、保密協(xié)議、風(fēng)險(xiǎn)告知書(shū)、人員檔案、設(shè)備檔案及維護(hù)使用記錄、評(píng)審記錄等）；

b)應(yīng)訪談被檢查項(xiàng)目涉及的測(cè)評(píng)師，檢查項(xiàng)目實(shí)施和質(zhì)量控制過(guò)程記錄，檢查測(cè)評(píng)過(guò)程和記錄

的真實(shí)性、正確性、一致性、有效性；

c)應(yīng)訪談測(cè)評(píng)委托單位相關(guān)人員，檢查項(xiàng)目實(shí)施過(guò)程、被測(cè)定級(jí)對(duì)象概況、安全管理機(jī)構(gòu)、安

全管理人員、漏洞掃描和滲透測(cè)試實(shí)施細(xì)節(jié)與測(cè)評(píng)記錄、測(cè)評(píng)報(bào)告及相關(guān)質(zhì)量記錄的真實(shí)性、

正確性、一致性、有效性，檢查測(cè)評(píng)方法選擇的合理性；

d)應(yīng)對(duì)被檢查項(xiàng)目測(cè)評(píng)記錄、測(cè)評(píng)報(bào)告，以及與之相關(guān)質(zhì)量記錄及材料開(kāi)展文檔審查，檢查記

錄的真實(shí)性、判定的準(zhǔn)確性、材料的一致性；

e)應(yīng)對(duì)被測(cè)定級(jí)對(duì)象開(kāi)展復(fù)核驗(yàn)證，內(nèi)容包括但不限于：

1)測(cè)評(píng)記錄和測(cè)評(píng)報(bào)告涉及的被測(cè)對(duì)象概況；

2)測(cè)評(píng)記錄和測(cè)評(píng)報(bào)告涉及的網(wǎng)絡(luò)拓?fù)洹踩雷o(hù)設(shè)備、測(cè)評(píng)對(duì)象選擇、安全物理環(huán)境和

安全配置策略；

3)測(cè)評(píng)記錄和測(cè)評(píng)報(bào)告涉及的安全控制措施；

4)測(cè)評(píng)記錄和測(cè)評(píng)報(bào)告涉及的測(cè)評(píng)委托方提供的材料（如：系統(tǒng)建設(shè)資料、系統(tǒng)運(yùn)行記錄、

安全管理制度、安全管理記錄等）。

f)檢查組應(yīng)記錄發(fā)現(xiàn)的問(wèn)題，并獲得被檢查機(jī)構(gòu)的確認(rèn)。

5.3.4檢查組應(yīng)根據(jù)檢查方案確定的評(píng)價(jià)方法對(duì)被檢查機(jī)構(gòu)的測(cè)評(píng)質(zhì)量進(jìn)行評(píng)價(jià)，確定評(píng)價(jià)結(jié)果，并

獲得被檢查機(jī)構(gòu)的確認(rèn)。

5.3.5檢查組應(yīng)召集被檢查機(jī)構(gòu)主要負(fù)責(zé)人（包括技術(shù)負(fù)責(zé)人和質(zhì)量負(fù)責(zé)人）和測(cè)評(píng)師召開(kāi)末次會(huì)議，

介紹檢查過(guò)程，通報(bào)發(fā)現(xiàn)的問(wèn)題和檢查評(píng)價(jià)結(jié)果，聽(tīng)取被檢查機(jī)構(gòu)的建議和意見(jiàn)。

5.4總結(jié)分析活動(dòng)

5.4.1所有被檢查機(jī)構(gòu)的檢查結(jié)束后，檢查組應(yīng)開(kāi)展總結(jié)分析活動(dòng)，總結(jié)分析活動(dòng)包括匯總分析和形

成檢查報(bào)告兩項(xiàng)主要任務(wù)，這兩項(xiàng)任務(wù)的流程如圖3所示。

5.4.2檢查組應(yīng)將檢查發(fā)現(xiàn)的所有測(cè)評(píng)質(zhì)量問(wèn)題按類別進(jìn)行匯總，并分析各類測(cè)評(píng)質(zhì)量問(wèn)題發(fā)生的原

因。

4

DB34/T4091.2—2022

匯總分析

形成檢查報(bào)告

圖3總結(jié)分析活動(dòng)流程

5.4.3檢查組應(yīng)總結(jié)檢查經(jīng)驗(yàn)形成檢查報(bào)告，檢查報(bào)告的內(nèi)容包括但不限于：

a)檢查時(shí)間；

b)檢查依據(jù)；

c)檢查評(píng)價(jià)機(jī)構(gòu)信息；

d)測(cè)評(píng)質(zhì)量問(wèn)題匯總及原因分析；

e)改進(jìn)建議；

f)監(jiān)管建議；

g)工作總結(jié)。

5

DB34/T4091.2—2022

附錄A

（規(guī)范性）

測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量評(píng)價(jià)方法

A.1定性評(píng)價(jià)

A.1.1評(píng)價(jià)流程

測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量定性評(píng)價(jià)的流程如圖A.1所示，應(yīng)對(duì)檢查發(fā)現(xiàn)的每個(gè)問(wèn)題進(jìn)行影響程度分析、發(fā)

生可能性分析，根據(jù)分析結(jié)果得到每個(gè)問(wèn)題的定性評(píng)價(jià)結(jié)果，匯總各個(gè)問(wèn)題的定性評(píng)價(jià)結(jié)果得到測(cè)評(píng)機(jī)

構(gòu)測(cè)評(píng)質(zhì)量定性評(píng)價(jià)結(jié)果。

測(cè)評(píng)質(zhì)量問(wèn)題1測(cè)評(píng)質(zhì)量問(wèn)題2……測(cè)評(píng)質(zhì)量問(wèn)題n

影響程度分析影響程度分析……影響程度分析

發(fā)生可能性分析發(fā)生可能性分析……發(fā)生可能性分析

測(cè)評(píng)質(zhì)量問(wèn)題定性測(cè)評(píng)質(zhì)量問(wèn)題定性測(cè)評(píng)質(zhì)量問(wèn)題定性

……

評(píng)價(jià)評(píng)價(jià)評(píng)價(jià)

測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量定性評(píng)價(jià)

圖A.1測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量定性評(píng)價(jià)流程

A.1.2影響程度分析

A.1.2.1對(duì)于檢查發(fā)現(xiàn)的測(cè)評(píng)質(zhì)量問(wèn)題，應(yīng)按其對(duì)測(cè)評(píng)結(jié)果的影響程度進(jìn)行劃分，可為高、中和低三

類，見(jiàn)表A.1。

表A.1測(cè)評(píng)質(zhì)量問(wèn)題對(duì)測(cè)評(píng)結(jié)果造成的影響程度取值

標(biāo)識(shí)定義

高如果出現(xiàn)該類測(cè)評(píng)質(zhì)量問(wèn)題，將對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)結(jié)果造成重大影響。

中如果出現(xiàn)該類測(cè)評(píng)質(zhì)量問(wèn)題，將對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)結(jié)果造成一般影響。

低如果出現(xiàn)該類測(cè)評(píng)質(zhì)量問(wèn)題，將對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)結(jié)果造成較小或輕微影響。

A.1.2.2對(duì)測(cè)評(píng)結(jié)果造成重大影響的測(cè)評(píng)質(zhì)量問(wèn)題包括但不限于：

a)測(cè)評(píng)結(jié)果、報(bào)告與實(shí)際不符；

注：主要表現(xiàn)為：

1)未經(jīng)測(cè)評(píng),直接出具測(cè)評(píng)記錄、報(bào)告；

2)篡改、編造過(guò)程記錄；

3)測(cè)評(píng)記錄與測(cè)評(píng)報(bào)告的內(nèi)容不能相互印證；

6

DB34/T4091.2—2022

4)測(cè)評(píng)記錄、測(cè)評(píng)報(bào)告的內(nèi)容與被測(cè)定級(jí)對(duì)象實(shí)際不符；

5)測(cè)評(píng)記錄、測(cè)評(píng)報(bào)告與實(shí)際測(cè)評(píng)過(guò)程不符。

b)測(cè)評(píng)標(biāo)準(zhǔn)、指標(biāo)、被測(cè)對(duì)象選取存在重大偏差；

注：主要表現(xiàn)為：

1)測(cè)評(píng)標(biāo)準(zhǔn)、指標(biāo)選取與被測(cè)定級(jí)對(duì)象及合同要求不一致；

2)隨意刪減測(cè)評(píng)對(duì)象、測(cè)評(píng)項(xiàng)目、測(cè)評(píng)內(nèi)容；

3)擴(kuò)展指標(biāo)未納入測(cè)評(píng)范圍；

4)關(guān)鍵資產(chǎn)未確定為被測(cè)對(duì)象。

c)高風(fēng)險(xiǎn)判定不合理，測(cè)評(píng)結(jié)論、評(píng)分不正確。

A.1.2.3對(duì)測(cè)評(píng)結(jié)果造成一般影響的測(cè)評(píng)質(zhì)量問(wèn)題包括但不限于：

a)測(cè)評(píng)活動(dòng)不符合相關(guān)標(biāo)準(zhǔn)、規(guī)定、作業(yè)指導(dǎo)書(shū)等要求；

b)測(cè)評(píng)過(guò)程文檔、測(cè)評(píng)記錄、測(cè)評(píng)報(bào)告要素不完整；

注：主要表現(xiàn)為：未得到測(cè)評(píng)委托單位必要的確認(rèn)或授權(quán)、缺少必要的要素、記錄的信息不完整（如：版本號(hào)記錄

缺失或不詳細(xì)、IP地址缺失）等。

c)測(cè)評(píng)深度不夠、測(cè)評(píng)覆蓋不全面，測(cè)評(píng)記錄不足以完全支持測(cè)評(píng)結(jié)果，測(cè)評(píng)不充分；

d)確定的測(cè)評(píng)對(duì)象未能全面覆蓋所有設(shè)備、系統(tǒng)類型；

e)測(cè)評(píng)方法、工具選擇不正確；

f)整改建議不準(zhǔn)確、不完整或不合理。

A.1.2.4對(duì)測(cè)評(píng)結(jié)果造成較小或輕微影響的測(cè)評(píng)質(zhì)量問(wèn)題包括但不限于：

a)測(cè)評(píng)過(guò)程文檔、測(cè)評(píng)記錄、測(cè)評(píng)報(bào)告中出現(xiàn)錯(cuò)別字、頁(yè)碼和格式錯(cuò)誤；

b)測(cè)評(píng)過(guò)程記錄及記錄修改不規(guī)范；

c)測(cè)評(píng)過(guò)程中質(zhì)量記錄不完善。

A.1.3發(fā)生可能性分析

對(duì)于檢查發(fā)現(xiàn)的測(cè)評(píng)質(zhì)量問(wèn)題，應(yīng)分析測(cè)評(píng)質(zhì)量問(wèn)題發(fā)生的可能性，可能性的取值范圍為高、中和

低，見(jiàn)表A.2。

表A.2測(cè)評(píng)質(zhì)量問(wèn)題發(fā)生的可能性取值

標(biāo)識(shí)定義

測(cè)評(píng)質(zhì)量問(wèn)題出現(xiàn)的頻率高（所有抽檢項(xiàng)目中均發(fā)現(xiàn)此類問(wèn)題）；或沒(méi)有質(zhì)量管理措施能夠保證該問(wèn)題不會(huì)

高

發(fā)生。

測(cè)評(píng)質(zhì)量問(wèn)題出現(xiàn)的頻率中等（抽檢項(xiàng)目中一半及以上有發(fā)現(xiàn)此類問(wèn)題）；或有質(zhì)量管理措施但存在漏洞，

中

不足以杜絕此類問(wèn)題的發(fā)生。

測(cè)評(píng)質(zhì)量問(wèn)題出現(xiàn)的頻率較低（抽檢項(xiàng)目中一半以下有發(fā)現(xiàn)此類問(wèn)題）；或有質(zhì)量管理措施能避免此類問(wèn)題

低

的發(fā)生，但執(zhí)行不到位。

A.1.4測(cè)評(píng)質(zhì)量問(wèn)題定性評(píng)價(jià)

對(duì)于檢查發(fā)現(xiàn)的測(cè)評(píng)質(zhì)量問(wèn)題，應(yīng)根據(jù)其影響程度及發(fā)生的可能性，進(jìn)行定性評(píng)價(jià)，測(cè)評(píng)質(zhì)量問(wèn)題

定性評(píng)價(jià)結(jié)果的取值范圍為嚴(yán)重、一般和輕微，具體評(píng)價(jià)方法見(jiàn)表A.3。

7

DB34/T4091.2—2022

表A.3測(cè)評(píng)質(zhì)量問(wèn)題定性評(píng)價(jià)結(jié)果

測(cè)評(píng)質(zhì)量問(wèn)題測(cè)評(píng)質(zhì)量問(wèn)題測(cè)評(píng)質(zhì)量問(wèn)題

影響程度分析結(jié)果發(fā)生可能性分析結(jié)果定性評(píng)價(jià)結(jié)果

高高嚴(yán)重

高中嚴(yán)重

高低一般

中高一般

中中一般

中低一般

低高一般

低中輕微

低低輕微

A.1.5測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量定性評(píng)價(jià)

應(yīng)綜合所有測(cè)評(píng)質(zhì)量問(wèn)題的定性評(píng)價(jià)結(jié)果對(duì)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)質(zhì)量進(jìn)行定性評(píng)價(jià)，測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量

定性評(píng)價(jià)結(jié)果的取值范圍為優(yōu)秀、良好、合格、不合格，具體評(píng)價(jià)方法見(jiàn)表A.4。

表A.4測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量定性評(píng)價(jià)結(jié)果取值

所有測(cè)評(píng)質(zhì)量問(wèn)題測(cè)評(píng)機(jī)構(gòu)

定性評(píng)價(jià)結(jié)果測(cè)評(píng)質(zhì)量定性評(píng)價(jià)結(jié)果取值

未發(fā)現(xiàn)測(cè)評(píng)質(zhì)量問(wèn)題優(yōu)秀

所有測(cè)評(píng)質(zhì)量問(wèn)題的定性評(píng)價(jià)結(jié)果均為“輕微”優(yōu)秀

所有測(cè)評(píng)質(zhì)量問(wèn)題的定性評(píng)價(jià)結(jié)果為“一般”或“輕微”（不全為“輕微”），且測(cè)

良好

評(píng)質(zhì)量問(wèn)題總數(shù)與檢查內(nèi)容總數(shù)的比值小于等于30%

所有測(cè)評(píng)質(zhì)量問(wèn)題的定性評(píng)價(jià)結(jié)果為“一般”或“輕微”（不全為“輕微”），且測(cè)

合格

評(píng)質(zhì)量問(wèn)題總數(shù)與檢查內(nèi)容總數(shù)的比值大于30%且小于等于50%

所有測(cè)評(píng)質(zhì)量問(wèn)題的定性評(píng)價(jià)結(jié)果為“一般”或“輕微”（不全為“輕微”），且測(cè)

不合格

評(píng)質(zhì)量問(wèn)題總數(shù)與檢查內(nèi)容總數(shù)的比值大于50%

存在取值為“嚴(yán)重”的測(cè)評(píng)質(zhì)量問(wèn)題不合格

A.2定量評(píng)價(jià)

根據(jù)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)質(zhì)量實(shí)際情況是否符合檢查項(xiàng)要求，為檢查項(xiàng)賦予權(quán)重值（Wi），根據(jù)檢查結(jié)果

賦予量化值（Vi），見(jiàn)表A.5，測(cè)評(píng)質(zhì)量檢查量化評(píng)價(jià)結(jié)果QER（Quantitativeevaluationresult）

由式（A.1）計(jì)算得到：

n

∑VWii?

i=1(A.1)

QER=100×n····························································

∑Wi

i=1

式中：

8

DB34/T4091.2—2022

n——檢查項(xiàng)個(gè)數(shù)。

表A.5測(cè)評(píng)質(zhì)量量化評(píng)價(jià)取值

a

活動(dòng)檢查項(xiàng)權(quán)重值Wi量化值Vi

人員3檢查內(nèi)容共計(jì)N條，檢查結(jié)果為“不符合”的條款個(gè)數(shù)X，Vi=1-X/N

項(xiàng)目工作計(jì)劃8

檢查內(nèi)容共計(jì)N條，檢查結(jié)果為“不符合”的條款個(gè)數(shù)X，Vi=1-X/N

等級(jí)測(cè)評(píng)資料收集9

測(cè)評(píng)檢查內(nèi)容共計(jì)N條，檢查結(jié)果為“不符合”的條款個(gè)數(shù)X，Vi=1-X/N

準(zhǔn)備系統(tǒng)調(diào)查16檢查內(nèi)容共計(jì)N條，檢查結(jié)果為“不符合”的條款個(gè)數(shù)X，Vi=1-X/N

測(cè)評(píng)工具準(zhǔn)備3

檢查內(nèi)容共計(jì)N條，檢查結(jié)果為“不符合”的條款個(gè)數(shù)X，Vi=1-X/N

測(cè)評(píng)表單準(zhǔn)備3

檢查內(nèi)容共計(jì)N條，檢查結(jié)果為“不符合”的條款個(gè)數(shù)X，Vi=1-X/N

測(cè)評(píng)對(duì)象確定6檢查內(nèi)容共計(jì)N條，檢查結(jié)果為“不符合”的條款個(gè)數(shù)X，Vi=1-X/N

測(cè)評(píng)指標(biāo)確定4檢查內(nèi)容共計(jì)N條，檢查結(jié)果為“不符合”的條款個(gè)數(shù)X，Vi=1-X/N

測(cè)評(píng)內(nèi)容確定5檢查內(nèi)容共計(jì)N條，檢查結(jié)果為“不符合”的條款個(gè)數(shù)X，Vi=1-X/N

方案工具測(cè)試方法確定4檢查內(nèi)容共計(jì)N條，檢查結(jié)果為“不符合”的條款個(gè)數(shù)X，Vi=1-X/N

編制測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)5檢查內(nèi)容共計(jì)N條，檢查結(jié)果為“不符合”的條款個(gè)數(shù)X，Vi=1-X/N

風(fēng)