ICS35.040

CCSL80

34

安徽省地方標(biāo)準(zhǔn)

DB34/T4091.1—2022

網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)

第1部分：測評質(zhì)量要求

Assessmentorganizationofclassifiedprotectionofcybersecurity—Part1：

Evaluationqualityrequirements

2022-03-29發(fā)布2022-04-29實施

安徽省市場監(jiān)督管理局發(fā)布

DB34/T4091.1—2022

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件是DB34/T4901《網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)》的第1部分。DB34/T4901已經(jīng)發(fā)布了以下部

分：

——第1部分：測評質(zhì)量要求；

——第2部分：測評質(zhì)量檢查規(guī)范。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本文件由安徽省公安廳提出并歸口。

本文件起草單位：安徽省質(zhì)量和標(biāo)準(zhǔn)化研究院、安徽省公安廳網(wǎng)安總隊、銅陵市公安局網(wǎng)絡(luò)安全保

衛(wèi)支隊、淮北市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊、蕪湖市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊、安徽科測信息技術(shù)有限公

司、安徽省電子產(chǎn)品監(jiān)督檢驗所、合肥天帷信息安全技術(shù)有限公司、安徽祥盾信息科技有限公司、安徽

等保信息安全測評技術(shù)有限公司、安徽安正測評技術(shù)有限公司、安徽國康網(wǎng)絡(luò)安全測評有限公司、安徽

溯源電子科技有限公司、安徽風(fēng)雪網(wǎng)絡(luò)安全測評有限公司、合肥前衛(wèi)科技有限公司。

本文件主要起草人：馮響林、劉菖、楊波、袁寧、張士騎、朱冰、楚學(xué)建、朱華斌、齊艷麗、趙家

輝、蔣凡、何瀟寧、張婷、武建雙、程蘇秦、王國朝、張多福、陳傳宇、張松、陳宗明、方成成、周天

熠、劉環(huán)。

I

DB34/T4091.1—2022

引言

《中華人民共和國網(wǎng)絡(luò)安全法》中規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度”。網(wǎng)絡(luò)安全等級保護(hù)工

作要求建立健全網(wǎng)絡(luò)安全保障體系，重點保護(hù)涉及國家安全、國計民生、社會公共利益等的關(guān)鍵網(wǎng)絡(luò)信

息系統(tǒng)的基礎(chǔ)設(shè)施安全、運行安全和數(shù)據(jù)安全。網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)根據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)

制度規(guī)定從事等級測評工作，其測評質(zhì)量直接關(guān)系到網(wǎng)絡(luò)安全防護(hù)是否規(guī)范、網(wǎng)絡(luò)安全管理是否落實、

網(wǎng)絡(luò)安全風(fēng)險意識是否得到增強。DB34/T4901旨在規(guī)定網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)的測評質(zhì)量要求和

對測評機構(gòu)的檢查規(guī)范，以達(dá)到提升網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)的測評質(zhì)量為目的，由兩部分構(gòu)成。

——第1部分：測評質(zhì)量要求。目的在于規(guī)定網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)測評質(zhì)量要求，為測評

質(zhì)量檢查確立檢查內(nèi)容。

——第2部分：測評質(zhì)量檢查規(guī)范。目的在于規(guī)定對網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)測評質(zhì)量檢查的

組織、檢查方法、檢查流程和評價方法。

II

DB34/T4091.1—2022

網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)

第1部分：測評質(zhì)量要求

1范圍

本文件規(guī)定了網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)（以下簡稱“測評機構(gòu)”）的測評質(zhì)量要求。

本文件適用于對測評機構(gòu)測評質(zhì)量的檢查和評價，也適用于測評機構(gòu)的自查活動。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T28448—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求

GB/T28449—2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南

3術(shù)語和定義

GB/T22239—2019、GB/T28448—2019和GB/T28449—2018界定的術(shù)語和定義適用于本文件。

4質(zhì)量要求

4.1測評準(zhǔn)備活動

測評準(zhǔn)備活動的質(zhì)量要求如表1所示。

表1測評準(zhǔn)備活動的質(zhì)量要求

項目要求

參與項目測評的測評師數(shù)量和等級應(yīng)與被測對象等級保護(hù)級別相符：實施二級項目測評的測評師應(yīng)不少于2名；

實施三級項目測評的測評師應(yīng)不少于4名，其中高級測評師、中級測評師應(yīng)各不少于1名；實施四級項目測評的

人員測評師應(yīng)不少于5名，其中中級測評師應(yīng)不少于1名，高級測評師應(yīng)不少于1名。

測評師的測評能力應(yīng)得到保持，按要求參加培訓(xùn)，持等級測評師證上崗。

需要開展?jié)B透測試的測評項目，應(yīng)配置專職滲透測試人員至少1名。

應(yīng)根據(jù)委托測評協(xié)議書的內(nèi)容編制項目計劃書。

項目項目計劃書應(yīng)包括被測對象概述。

工作項目計劃書應(yīng)分析測評的內(nèi)容、規(guī)模。

計劃項目計劃書應(yīng)明確被測對象是否涉及云計算平臺、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)等新技術(shù)新應(yīng)用。

項目計劃書應(yīng)分析測評的實施計劃、重點環(huán)節(jié)。

1

DB34/T4091.1—2022

表1（續(xù)）

項目要求

項目項目計劃書應(yīng)說明測評人員要求。

工作應(yīng)為項目計劃書設(shè)置符合測評機構(gòu)管理規(guī)定要求的唯一標(biāo)識，該標(biāo)識能與測評任務(wù)實現(xiàn)關(guān)聯(lián)。

計劃項目計劃書應(yīng)經(jīng)過編制、審核和批準(zhǔn)流程。

應(yīng)收集項目測評所需的測評委托單位的資料，包括但不限于委托單位管理架構(gòu)、技術(shù)體系、運行情況、建設(shè)方

案、建設(shè)過程中相關(guān)文檔。

應(yīng)收集項目測評所需的被測對象的資料，包括但不限于安全保護(hù)等級、業(yè)務(wù)情況、數(shù)據(jù)情況、網(wǎng)絡(luò)情況、軟硬

件情況、管理模式和安全部門及角色等。

針對云計算平臺的等級測評，還應(yīng)收集云計算平臺運營機構(gòu)的管理架構(gòu)、技術(shù)實現(xiàn)機制及架構(gòu)、運行情況、云

計算平臺的定級情況、云計算平臺的等級測評結(jié)果。

等級針對云租戶系統(tǒng)的等級測評，還應(yīng)收集云計算平臺運營機構(gòu)與租戶的關(guān)系、云平臺的服務(wù)架構(gòu)模式以及其具體

測評內(nèi)容、定級對象的相關(guān)情況。

資料針對物聯(lián)網(wǎng)系統(tǒng)的等級測評，還應(yīng)收集各類感知層設(shè)備的檢測情況、感知層設(shè)備部署情況、感知層物理環(huán)境、

收集感知層通信協(xié)議等信息。

針對移動互聯(lián)應(yīng)用的等級測評，還應(yīng)收集各類無線接入設(shè)備部署情況、移動終端使用情況、移動應(yīng)用程序、移

動通信協(xié)議等信息。

針對工業(yè)控制系統(tǒng)的等級測評，還應(yīng)收集工控設(shè)備類型、系統(tǒng)架構(gòu)、邏輯層次結(jié)構(gòu)、工藝流程、功能安全需求、

業(yè)務(wù)安全保護(hù)等級、通信協(xié)議、安全組織架構(gòu)、歷史安全事件等信息。

針對大數(shù)據(jù)的等級測評，還應(yīng)收集大數(shù)據(jù)系統(tǒng)架構(gòu)、數(shù)據(jù)出入過程、基礎(chǔ)設(shè)施位置等信息。

應(yīng)整理并分析收集到的所有資料，評估資料收集的完整性和資料的有效性，并記錄評估過程和結(jié)果。

應(yīng)使用統(tǒng)一格式的系統(tǒng)調(diào)查表格（如：系統(tǒng)調(diào)查表格模板），調(diào)查表格應(yīng)具有唯一性標(biāo)識，該標(biāo)識能與測評任

務(wù)實現(xiàn)關(guān)聯(lián)。

系統(tǒng)調(diào)查表格應(yīng)調(diào)查測評委托單位的基本信息，包括但不限于：單位名稱、單位地址、聯(lián)系人、聯(lián)系電話。

系統(tǒng)調(diào)查表格應(yīng)調(diào)查被測對象的基本情況，包括但不限于：采用的主要技術(shù)、主要功能、核心業(yè)務(wù)、關(guān)鍵數(shù)據(jù)、

服務(wù)對象。

系統(tǒng)調(diào)查表格應(yīng)調(diào)查承載的業(yè)務(wù)情況，包括但不限于：被測對象名稱、定級等級、被測對象形態(tài)（如：傳統(tǒng)系

統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)等）。

系統(tǒng)調(diào)查表格應(yīng)調(diào)查被測對象涉及的網(wǎng)絡(luò)結(jié)構(gòu)并繪制網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)拓?fù)鋱D應(yīng)能明確被測對象涉及的功能/

安全區(qū)域劃分、隔離與防護(hù)情況、關(guān)鍵網(wǎng)絡(luò)和服務(wù)器設(shè)備部署情況、與其他系統(tǒng)的互聯(lián)情況、邊界網(wǎng)絡(luò)設(shè)備情

系統(tǒng)況、網(wǎng)絡(luò)管理工具以及本地備份或災(zāi)備中心的情況。

調(diào)查應(yīng)調(diào)查被測對象涉及的機房信息，包括但不限于：機房名稱、位置、重要程度。

應(yīng)調(diào)查被測對象涉及的網(wǎng)絡(luò)互聯(lián)設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號、是否虛擬設(shè)備、

軟件版本及補丁版本、所屬網(wǎng)絡(luò)區(qū)域、主要用途、重要程度、數(shù)量。

應(yīng)調(diào)查被測對象涉及的安全設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號、軟件版本及病毒或規(guī)

則庫版本、所屬網(wǎng)絡(luò)區(qū)域、主要用途、重要程度、數(shù)量。

應(yīng)調(diào)查被測對象涉及的服務(wù)器及存儲設(shè)備信息，適用時，還應(yīng)調(diào)查宿主機、云管理服務(wù)器、云應(yīng)用服務(wù)器的信

息。這些信息包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號、是否虛擬設(shè)備、操作系統(tǒng)或存儲管理系統(tǒng)名稱

及版本、所承載的業(yè)務(wù)應(yīng)用系統(tǒng)名稱及版本、重要程度、數(shù)量。

應(yīng)調(diào)查被測對象涉及的終端設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號、操作系統(tǒng)或控制系統(tǒng)

名稱及版本、設(shè)備用途、重要程度、數(shù)量。

2

DB34/T4091.1—2022

表1（續(xù)）

項目要求

應(yīng)調(diào)查被測對象涉及的支撐或管理系統(tǒng)（如：數(shù)據(jù)庫管理系統(tǒng)、中間件、網(wǎng)管軟件、安全管理軟件、云計算管

理軟件）信息，適用時，還應(yīng)調(diào)查云計算平臺安全管理系統(tǒng)、云計算平臺數(shù)據(jù)庫管理系統(tǒng)、云計算平臺中間件

軟件的信息。這些信息包括但不限于支撐或管理系統(tǒng)名稱及版本、部署設(shè)備名稱、主要功能、重要程度。

應(yīng)調(diào)查被測對象涉及的業(yè)務(wù)應(yīng)用系統(tǒng)信息，包括但不限于：系統(tǒng)名稱和版本、開發(fā)廠商、主要功能、處理的核

心數(shù)據(jù)、用戶數(shù)量、系統(tǒng)架構(gòu)、重要程度。

應(yīng)調(diào)查被測對象涉及的數(shù)據(jù)信息，包括但不限于：數(shù)據(jù)類別（如：業(yè)務(wù)數(shù)據(jù)、重要個人信息）、所屬業(yè)務(wù)應(yīng)用

系統(tǒng)系統(tǒng)、安全防護(hù)需求（如：保密性、完整性、抗抵賴性、可核查性、真實性）。使用大數(shù)據(jù)處理技術(shù)處理數(shù)據(jù)

調(diào)查時，還應(yīng)明確實現(xiàn)數(shù)據(jù)采集、存儲、處理、應(yīng)用、流動、銷毀等環(huán)節(jié)的實施模塊。

應(yīng)調(diào)查被測對象涉及的安全相關(guān)人員信息，包括但不限于：姓名、角色、主要職責(zé)、聯(lián)系電話。相關(guān)人員可以

包括但不限于：安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運維負(fù)責(zé)人、網(wǎng)絡(luò)（安全）管理員、設(shè)備（資產(chǎn)）管理員、

軟件開發(fā)人員、機房管理員、安全審計人員等。

應(yīng)調(diào)查被測對象涉及的安全管理制度信息，包括但不限于：文件名稱、文件編號、適用范圍、主要內(nèi)容。

應(yīng)對調(diào)查到的信息進(jìn)行整理、分析，對不符合要求的應(yīng)重新調(diào)查，必要時應(yīng)安排現(xiàn)場調(diào)查，應(yīng)對調(diào)查結(jié)果進(jìn)行

評估，并記錄評估過程和結(jié)果。

應(yīng)根據(jù)測評任務(wù)需要選擇合適的測評工具（包括漏洞掃描工具、滲透性測試工具、Web安全評估工具、數(shù)據(jù)庫掃

測評

描工具和協(xié)議分析工具等）。

工具

應(yīng)對選擇的測評工具軟件進(jìn)行維護(hù)（如：更新升級、設(shè)置、殺毒）。

準(zhǔn)備

必要時，應(yīng)對工具操作人員開展培訓(xùn)。

應(yīng)根據(jù)測評任務(wù)需要準(zhǔn)備測評表，這些表單包括但不限于：風(fēng)險告知書、文檔交接單、會議記錄表單、會議簽

測評

到表單、測試記錄表單。

表單

測評表單應(yīng)具有唯一性標(biāo)識，該標(biāo)識能與測評任務(wù)實現(xiàn)關(guān)聯(lián)。

準(zhǔn)備

測評準(zhǔn)備階段使用的表單內(nèi)容應(yīng)準(zhǔn)確，并應(yīng)獲得測評委托單位的確認(rèn)。

4.2方案編制活動

方案編制活動的質(zhì)量要求如表2所示。

表2方案編制活動的質(zhì)量要求

項目要求

測評對象的選擇應(yīng)與定級結(jié)果相符，且符合GB/T28449—2018中附錄D的要求。

應(yīng)將面臨威脅較大的涉及新技術(shù)新應(yīng)用的設(shè)備或組件確定為測評對象。

應(yīng)將共享/互聯(lián)設(shè)備確定為測評對象。

測評

應(yīng)正確識別承載被測對象核心或重要業(yè)務(wù)、數(shù)據(jù)的服務(wù)器，并將其確定為測評對象。

對象

選擇的測評對象種類（如：網(wǎng)絡(luò)互聯(lián)設(shè)備類型、安全設(shè)備類型、主機操作系統(tǒng)類型、數(shù)據(jù)庫系統(tǒng)類型和應(yīng)用系

確定

統(tǒng)類型等）和數(shù)量符合測評等級的要求。

對不能確定為測評對象的重要業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)互聯(lián)設(shè)備、安全設(shè)備、服務(wù)器、管理制度和記錄等，應(yīng)充分

分析原因，得到測評委托單位的確認(rèn)，并保存相關(guān)記錄。

測評對象的安全要求組合應(yīng)與定級結(jié)果相符。

測評

相關(guān)行業(yè)規(guī)范中涉及的網(wǎng)絡(luò)安全要求應(yīng)作為測評指標(biāo)。

指標(biāo)

新技術(shù)新應(yīng)用涉及的擴(kuò)展要求應(yīng)作為測評指標(biāo)。

確定

對測評指標(biāo)與被測對象、測評指標(biāo)與測評對象的適應(yīng)性進(jìn)行分析，記錄不適用的原因。

3

DB34/T4091.1—2022

表2（續(xù)）

項目要求

測評指標(biāo)應(yīng)映射到各測評對象上。

測評測評對象的每個測評指標(biāo)都應(yīng)選擇對應(yīng)的測評方法。

內(nèi)容測評實施內(nèi)容應(yīng)符合GB/T28448的要求，特別的應(yīng)予以說明。

確定適用時，應(yīng)規(guī)定滲透測試的內(nèi)容。

測評力度應(yīng)符合GB/T28448—2019中附錄A的要求。

工具應(yīng)根據(jù)測評對象的特點選擇測評工具，并規(guī)定測評工具的名稱及版本。

測試應(yīng)根據(jù)GB/T28449的要求選擇合適的測試路徑。

方法應(yīng)根據(jù)測試路徑的特點為測試工具選擇合適的接入點。

確定應(yīng)規(guī)定具有操作能力的人員使用測試工具開展測試，并形成工具測試記錄。

應(yīng)根據(jù)測評對象、測評指標(biāo)、測評內(nèi)容、測試方法的特點編制測評指導(dǎo)書。

測評

測評指導(dǎo)書應(yīng)規(guī)定單項測評的測評項、測評方法、測評步驟、預(yù)期結(jié)果。

指導(dǎo)

測評指導(dǎo)書應(yīng)規(guī)定整體測評的步驟和方法。

書開

適用時，應(yīng)規(guī)定漏洞掃描和滲透測試的方法、步驟。

發(fā)

測評指導(dǎo)書的內(nèi)容應(yīng)通俗易懂、準(zhǔn)確、無歧義，必要時，應(yīng)對測評指導(dǎo)書進(jìn)行培訓(xùn)。

風(fēng)險應(yīng)從測評對象、測評內(nèi)容、測評力度、測評方法的特點著手，識別測評過程中可能存在的風(fēng)險。

規(guī)避當(dāng)需要開展工具測試、滲透測試時，應(yīng)編制針對性的風(fēng)險規(guī)避實施方案，必要時，應(yīng)搭建模擬環(huán)境，驗證漏洞

實施掃描或者滲透測試的風(fēng)險。

方案應(yīng)根據(jù)識別的風(fēng)險制定具有針對性的風(fēng)險規(guī)避實施方案。

編制制定的風(fēng)險規(guī)避實施方案應(yīng)正確、有效、可實施，必要時，應(yīng)對風(fēng)險規(guī)避實施方案進(jìn)行評審。

應(yīng)根據(jù)等級保護(hù)過程中的等級測評實施要求，完整準(zhǔn)確的羅列測評活動所依據(jù)的標(biāo)準(zhǔn)。

應(yīng)根據(jù)委托測評協(xié)議書和被測對象情況，估算現(xiàn)場測評工作量。

測評應(yīng)根據(jù)項目組人員組成和測評任務(wù)需要，編制任務(wù)分工。

方案應(yīng)編制測評計劃，其內(nèi)容應(yīng)包括但不限于：人員組成及分工、設(shè)備設(shè)施、時間進(jìn)度、停止/恢復(fù)條件。

編制應(yīng)組織項目組人員對測評方案進(jìn)行評審，評審的內(nèi)容應(yīng)包括但不限于：方案的針對性、完整性、正確性、可實

施性。

測評方案應(yīng)得到測評委托單位的確認(rèn)。

4.3現(xiàn)場測評活動

現(xiàn)場測評活動的質(zhì)量要求如表3所示。

表3現(xiàn)場測評活動的質(zhì)量要求

項目要求

應(yīng)向測評委托單位提交風(fēng)險告知書，充分告知測評可能引入的風(fēng)險及可采取的規(guī)避措施，并獲得測評委托單位

的確認(rèn)。

現(xiàn)場應(yīng)根據(jù)測評對象和測評內(nèi)容編制現(xiàn)場測評授權(quán)書，現(xiàn)場測評授權(quán)應(yīng)遵循最小必要的原則。

測評現(xiàn)場測評授權(quán)書授權(quán)的內(nèi)容應(yīng)明確授權(quán)使用的被測對象（包括操作系統(tǒng)/管理系統(tǒng)/業(yè)務(wù)系統(tǒng)賬戶密碼、管理制

準(zhǔn)備度）、授權(quán)范圍（時間段、權(quán)限、操作者）、授權(quán)目的、可能產(chǎn)生的影響、規(guī)避風(fēng)險的措施及建議等。授權(quán)使

用的被測對象應(yīng)具有唯一性標(biāo)識（如：IP地址、設(shè)備唯一編號）。適用時，還應(yīng)規(guī)定滲透測試的執(zhí)行時間、滲

透范圍。

4

DB34/T4091.1—2022

表3（續(xù)）

項目要求

現(xiàn)場測評授權(quán)書應(yīng)得到測評委托單位的確認(rèn)。

現(xiàn)場應(yīng)根據(jù)測評任務(wù)的需要申領(lǐng)相關(guān)設(shè)備、借閱相關(guān)文件（如：管理制度、安全記錄、過往的測評報告），并對設(shè)

測評備狀態(tài)、文檔借閱信息進(jìn)行確認(rèn)。

準(zhǔn)備應(yīng)召開測評現(xiàn)場首次會，編制會議記錄，會議記錄內(nèi)容應(yīng)包括但不限于：現(xiàn)場測評工作安排、測評計劃和測評

內(nèi)容。

應(yīng)由兩名以上具有資質(zhì)的測評師開展現(xiàn)場測評，應(yīng)由專職滲透測試人員開展?jié)B透測試。

測評師和滲透測試人員應(yīng)與測評方案中規(guī)定的人員一致，確需變更時，應(yīng)提出書面申請，并得到委托測評單位

的確認(rèn)。

應(yīng)根據(jù)測評方案、測評指導(dǎo)書、現(xiàn)場測評授權(quán)書的要求按計劃實施現(xiàn)場測評。不得刪減測評對象、測評內(nèi)容，

不得更改測評方法，確需變更時，應(yīng)提出書面申請，并得到委托測評單位的確認(rèn)。

應(yīng)詳細(xì)記錄測評過程信息，這些信息可包括但不限于：執(zhí)行時間、執(zhí)行人、審核人、測評方法、測評工具唯一

標(biāo)識（適用時）、測評對象唯一標(biāo)識、模塊名稱（適用時）、文件唯一標(biāo)識及頁面（適用時）、實際情況描述

現(xiàn)場（如：現(xiàn)狀、配置情況、制度要求）。

測評測評記錄應(yīng)清晰準(zhǔn)確、客觀公正，必要時應(yīng)保存截圖、照片或錄像。

應(yīng)確保電子記錄（如：工具測試結(jié)果、測試記錄電子文檔）在生成、轉(zhuǎn)移、存儲等過程中不能被篡改。

測評記錄應(yīng)得到測評委托單位的確認(rèn)。

同一項目不同輪次的測評記錄應(yīng)使用版本控制，后一輪次的測評記錄不應(yīng)覆蓋前一輪次的記錄。

應(yīng)按照測評機構(gòu)項目管理和保密管理的規(guī)定對測評過程、記錄、結(jié)果進(jìn)行管理。

應(yīng)按照測評機構(gòu)項目管理和保密管理的規(guī)定對涉及的敏感信息進(jìn)行處理。

對于整改后的測評項應(yīng)按上述要求進(jìn)行再次測評，且應(yīng)分析整改對其他相關(guān)測評項目的影響，必要時應(yīng)對受到

影響的測評項再次開展測評。

結(jié)果應(yīng)召開測評現(xiàn)場末次會，并形成會議記錄，記錄的內(nèi)容包括但不限于：測評過程簡介、發(fā)現(xiàn)的問題及整改建議。

確認(rèn)應(yīng)與測評委托單位溝通測評過程中發(fā)現(xiàn)的問題，并得到測評委托單位的確認(rèn)。

4.4報告編制活動

報告編制活動的質(zhì)量要求如表4所示。

表4報告編制活動的質(zhì)量要求

項目要求

應(yīng)逐一核對“不適用”項，并準(zhǔn)確分析不適用的原因。

應(yīng)根據(jù)測評記錄準(zhǔn)確判定單項測評結(jié)果和符合程度得分。

測評應(yīng)匯總和分析已有安全措施和主要安全問題，應(yīng)羅列被測對象采用