【等保测评】网络安全服务认证技术规范(等级保护测评)
1 范围
本文件明确了网络安全等级保护测评服务提供者应当遵循的技术要求与规范和服务流程的要求。
本文件旨在指导网络安全等级保护测评服务提供者在开展测评服务时需遵循的服务设计、服务提供、服务交付与服务管理等方面的具体规范。该指导方针旨在确保测评服务质量,并为保障测评服务的可靠性和可信性提供技术依据。
这份文件作为认证中心在完成等级保护测评服务认证现场审查期间的审核依据使用。
2 规范性引用文件
本文件中包含的内容依赖于文内规范引用的相关条款作为必要的规定。对于标注日期的引文资料而言,则仅限于指定日期所对应的版本被本文件采用;而未标注日期的引文则采用最新版本及其所有修订(包括全部修订记录)作为适用依据。
GB/T 5271.8 信息技术 词汇 第8部分:安全
GB 17859 计算机信息系统 安全保护等级划分准则
GB/T 20984 信息安全技术 信息安全风险评估方法
GB/T 22239 信息安全技术 网络安全等级保护基本要求
GB/T 25069 信息安全技术 术语
GB/T 27000 合格评定 词汇和通用原则
GB/T 27065 合格评定 产品、过程和服务认证机构要求
GB/T 27400 合格评定 服务认证技术通则
GB/T 28448 信息安全技术 网络安全等级保护测评要求
GB/T 28449 信息安全技术 网络安全等级保护测评过程指南
GB/T 36959 信息安全技术 网络安全等级保护测评机构能力要求和评估规范
3 术语和定义
3.1 术语和定义
由上述标准(如:GB/T 5271.8等)所规定的各项术语及定义适用于本文件;其中涉及的标准编号均遵循《信息交换》行业标准的要求进行规范表述
3.1.1
等级保护测评服务
必须完成在等级保护测评服务提供者与网络运营者之间的互动,并且这些互动的结果必须是可验证的服务输出
3.1.2
等级保护测评服务提供者
即为开展等级保护测评工作的机构。依据GB/T 36959标准要求,经过国家市场监督管理总局会同公安部等相关部门审核确认的认证机构(以下简称认证中心)均取得相应资质并开展相关工作。
注1:本文件在没有歧义的情况下,简称为测评机构。
3.1.3
服务认证
服务提供者的服务及管理达到要求有关的第三方证明。
[来源:GB/T 27400-2020,3.8]
3.1.4
授权签字人
经测评机构授权,签批带认证标识的网络安全等级保护测评报告的人员。
3.1.5
等级保护测评师
遵循 GB/T 36959 规定的服务人员能力要求标准, 并经过授权认证通过的专业人才, 根据其考核结果, 将等级保护测评师划分为三个层次:初级、中级和高级
注1:本文件简称为测评师。
3.1.6
测评相关人员
本文中的测评相关人员包括参与其中的各类岗位人员,请具体包括但不限于:测试工程师、渗透测试 specialist 以及业务处理员等其他相关岗位人员
4 服务管理要求
4.1 法律法规要求
4.1.1 测评机构必须遵循《中华人民共和国网络安全法》、《中华人民共和国民法典合同编》、《中华人民共和国认证认可条例》、《关键信息基础设施安全保护条例》以及公安部发布的网络安全相关行业监管文件等相关法律法规,并依照本文件规定履行相应义务
4.1.2 测评机构需具备就单位性质等关键方面包括单位产权关系、注册资金规模以及相应的责任义务要求
a) 由中国公民、法企业务或者国家出资依法设立,在中华人民共和国境内注册成立的组织机构;
b) 产权关系明确,并且注册资金达到500万元以上;公司独立核算经营,并且具备良好的财务记录和合规性;需提供包括单位背景、股权结构、出资比例和细节以及法人代表和股东信息等完整文件材料
在测评过程中识别出网络安全事故、潜在风险以及威胁行为时,请按照相关规定及时向公安机关报告。
4.2 环境与设施设备要求
4.2.1 具有固定的办公场所,具体要求如下:
a) 原则上同一法人、同一注册地址在首次申请时只能有一个办公地址;
b) 办公地址应涵盖开展等保测评各项职责的具体场所, 包括机房. 档案室. 实验测试环境. 办公区域 (不含办事处) 等;
c) 在进行办公地点迁移时需要向认证中心提交申请,在完成现场审核确认无误后即可发放新的工作地点证书。
d) 允许在同一城市扩展办公场所;经认证中心提交申请后, 完成现场审查, 方可获得新地址证书。
e) 不可开设分支机构;
f) 测评实验环境、档案室及测评办公区域需设置独立区域。
4.2.2 配备满足测评业务需要的检测评估工具、实验环境等, 具体要求如下:
a) 为满足等级保护测评工作的需求而配备相应的测评设备与工具(如漏洞探测器、渗透测试仪等),在实际测试过程中协助识别潜在的安全隐患。这些设备与工具必须通过相关安全认证或检测程序以确保其有效性;
b) 配置符合测评业务需求的实验环境,并要求其设备必须具备技术培训及模拟测试所需的基础条件(其中应具备模拟等级保护第三级系统的功能,并涵盖主流的操作系统、数据库、网络及安全设备等关键组成部分),以支持网络安全仿真评估与相关技术能力培养的需求;
自主开发的测试工具及开源测试工具在获得通过的安全验证后才能被采用其安全检测内容涵盖非法代码功能准确性以及内在安全性等多个方面
4.2.3 测评机构使用的与测评相关的管理系统、设备及设施宜符合以下条件:
由个人投资者、企业投资者以及国家所有或控股的企业组成的单位,在中华人民共和国境内具有独立的法人资格;
b) 产品的核心技术、关键部件具有我国自主知识产权;
产品研制单位声明未留下任何潜在隐患,并未包括任何恶意程序如漏洞、后门及木马等程序与功能
d) 对国家安全、社会秩序、公共利益不构成危害;
e) 经安全认证合格或者安全检测符合要求的。
4.2.4 测评机构应负责建立设备管理制度,涵盖机构人员在仪器设备(含测评设备和工具)管理过程中的各项职责,并具体规定了购置、使用及维护等相关事项
4.2.5 测评机构应保证其测评设备与工具运行良好,并通过定期维护与更新等措施输出精准的测评数据
4.2.6 测评设备和工具均应有正确的标识,以表明其状态、资产管理等情况。
4.3 人员要求
4.3.1 测评机构必须建立人员管理制度,并包含人员录用、考核、日常管理和离职等各个环节的具体规定和标准。
4.3.2 测评机构应负责建立完整的人事档案系统,并对工作人员的档案进行登记存档。具体而言, 涉及劳动合同文件, 学历记录材料以及考核评价依据等详细信息
4.3.3 测评机构应配备相应的岗位以满足等级保护测评工作的需求。具体包括但不限于具备相关专业知识和技能的专业技术人才等职位的具体职责描述。
第4.3.4条规定了测评机构人员的基本条件:需具备测评师资格者至少为15人;其中高级职称的人员至少有1名;中级职称者至少有5名。
4.3.5 具备专职渗透测试人员不少于2人,专职渗透人员具体要求如下:
能力要求:熟悉常见漏洞的原理及其应用途径,并掌握修复方法;了解各类渗透测试工具的操作流程和使用技巧;了解当前主流的网络安全渗透技术手段。
b) 能力证明: 需提交能力评价文件以供审核,请参考以下几种常见形式:包括但不限于能力评估证书、现场考察记录表、专业考核报告等官方认可的材料
4.3.6 测评机构的法人、机构负责人、报告授权签字人和测评相关人员均持有中华人民共和国国籍,并在中国境内长期定居,并需在最近一个审查周期内提交无犯罪记录证明材料。
4.3.7 测评师应当参与指定机构组织的等级保护测评考试并获得相关证书后方可具备相应的岗位资质
4.3.8 相关机构负责执行等级保护测评工作的相关人员中, 大学本科及以上学历者占比不得低于70%
4.3.9 在管理层中指定一名技术主管全权负责该职位的技术工作
4.3.10 测评机构应任命若干名由中、高级专业技术人员组成的质量主管团队,明确其在产品和服务质量管理中的具体职责.这些质量主管须具备高度的责任心,不得因个人利益或其他潜在影响而影响其工作不受干扰,并且享有直接向机构最高领导人汇报的权利.
4.3.11 测评师、测评项目组长和技术主管岗位人员应当分别获得相应的测评师证书。
4.3.12 相关岗位人员应被要求了解并掌握国家政策,并深刻理解相关技术标准的内容以及熟练掌握等级保护测评的方法、流程和工作规范等方面的知识。基于分析结果做出专业评估结论并完成等级保护测评报告的能力是必要的。
4.3.13 针对日常变更情况, 测评机构应在变更发生后的10个工作日内向认证中心授权的等级保护测评人员能力评估机构进行报备。同时, 该机构还需在每年年度监督期间, 提供相应的变更材料给认证中心管理系统
请确保在一年内未进行任何测评活动的情况下, 相关负责人应尽快向上级机构报告其工作进展及能力评估情况. 同时规定的是, 在开展业务时, 请避免将工作人员委托给非正式员工或临时雇员.
4.3.15 测评机构应负责监督测评师规范保管其持有的所有证书,并不得将任何证书涂改、出借、出租或转让;同时必须依照认证中心授权的"等级保护测评人员能力评估机构"的规定执行年检工作。
4.3.16 基于以下情况中的某一种情况, 等级保护测评机构可注销具备相应能力的测评师资格证书:
未获授权擅自使用、非法获取或外泄等级保护测评活动中收集的数据资料及测评成果
b) 违反本规范规定,有涂改、出借、出租和转让测评师证书等行为的;
c) 因测评行为不当,影响网络安全或造成被测评单位利益损失的;
d) 一年内未参与测评活动的;
e) 该单位若因原测评机构不再录用或其《网络安全等级保护测评与检测评估机构服务认证证书》被认证中心吊销,则该人员须在六个月内未加入其他测评机构
4.4 公正性要求
4.4.1 测评机构及其相关人员必须严格遵循相关管理规范和技术标准,并负责提供全面体现客观性和公正性的测评服务,并确保整个测评过程的安全性与可靠性
4.4.2 该机构不得参与任何可能影响其公正性的一级业务活动, 包括但不限于开展信息安全集成服务或网络设备研发活动(除自用领域外), 以及生产与销售相关业务; 其中属于自用范畴的产品包括但不限于评测工具和管理平台等软件系统
4.4.3 第三方测评机构全体工作人员不得从事与信息系统安全集成或网络安全研发相关的业务活动包括但不限于网络技术开发网络设备制造及销售等业务
4.4.4 测评机构不得强制要求被测评单位采购、应用特定型号或品牌的安全网络产品,并不得让这些机构通过强制手段限制被测单位选择特定的产品类型或品牌
4.4.5 测评机构的人员应受其测评结果可能受到来自商业、财务和其他方面压力的影响。
4.4.6 测评机构及其测评相关人员不得泄露被测评单位的机密工作信息和关键业务数据
4.4.7 该机构及其人员不得隐瞒重大安全问题,在测试过程中不可伪造数据。
4.5 安全保密要求
4.5.1 测评机构应建立保密管理制度,并任命专门的保密人员;定期对参与测评的专业人员进行保密培训;要求各参与机构及其工作人员必须保守在测评过程中涉及的所有国家秘密、工作秘密、商业秘密以及个人隐私信息等
4.5.2 测评机构需明确规定岗位保密要求,并与相关测评人员订立保密责任协议书, 以确保其必须履行的安全保密义务以及需承担的相关法律责任, 并负责监督执行上述条款
4.5.3 测评机构必须实施相应的技术和管理措施以保障等级保护测评相关信息的可控性、安全性与保密性。这些信息包括但不限于
a) 被测评单位提供的资料;
b) 等级保护测评活动生成的数据和记录;
c) 依据上述信息做出的分析与专业判断;
d) 在测评服务中知悉的商业秘密、重要敏感信息和个人信息;
在测评服务中采集网络安全数据以识别软件缺陷并监测威胁程序以应对潜在的安全威胁行为
4.5.4 测评机构必须依赖先进的技术手段来保障等级保护测评相关信息的全部数据处理过程的安全性。
4.5.5 不得未经许可使用、公开或出售在该次等级保护测评活动中收集的数据信息和相关资料及测报
4.5.6 离职人员需签订保密协议,并保存人员档案三年。
4.6 质量管理要求
4.6.1 测评机构需由相关部门共同制定并遵循文件化的管理体系要求来完成等级保护测评任务,并保证各级人员能够理解并有效执行相关的任务。
4.6.2 测评机构应按照一定的组织架构设立测评服务相关部门,并清晰界定其职责范围及权限范围和相互关系, 以确保测评业务管理、相关人员配置、合同签订、项目推进以及资源分配等环节均能高效运行
4.6.3 测评机构应制定保障测评质量的质量管理制度。
4.6.4 测评机构应制定相应的质量目标, 不断提升自身的测评质量和管理水平。
4.6.5 测评机构需维持管理体系的有效运行,在任何情况下迅速发现并报告问题,并采取相应的纠正行动。该机构需持续满足体系有效性的要求。
4.6.6 测评机构应定期组织管理体系评审,并持续进行改进工作以不断提升管理要求。为确保质量管理体系的有效性,在制定中期与长期发展目标的基础上, 通过分阶段地实施各项目标逐步提升质量管理能力
4.6.7 测评机构应规范设立申诉、投诉以及争议处理机制,并明确各岗位人员需承担申诉、投诉以及争议处理活动中的相应职责;同时应当规范设立自受理至确认然后至处置最后至答复完整的工作流程
4.6.8 测评机构应严格遵守申诉、投诉及争议处理制度, 并应记录采取的措施。
4.7 风险控制能力
4.7.1 测评机构应负责定期进行持续性评估以识别潜在风险因素,并将这些风险点纳入系统管理过程中
a) 测评机构由于自身能力或资源不足造成的风险;
b) 测试验证活动可能对被测系统正常造成影响的风险;
c) 测试设备和工具接入可能对被测系统正常造成影响的风险;
d) 在测评过程中潜在存在的被测系统关键信息(包括但不限于网络架构、IP地址配置、业务运行流程以及相关的安全防护措施等)泄露所导致的安全威胁;
e) 干扰被测评网络的正常的风险;
f) 测评不到位导致测评结论不准确的风险;
g) 测评行为失当造成被测评单位利益损失的风险;
h) 其他可能给被测系统带来的风险。
4.7.2 测评机构应当采取多方面的手段来防范上述被测系统潜在风险的出现。
4.7.3 测评机构应建立网络安全应急处置机制,防范测评风险。
4.7.4 测评机构应制定风险识别点、规避风险及采取控制措施、以及风险安全应急处置机制的制度性文件规范或记录。
4.8 可持续发展要求
4.8.1 测评机构需建立健全职业资格认证体系, 其内容主要包括: 制定并执行职业规划与实施计划; 推进工作流程, 落实各项任务; 考核与准入评估, 确保规范有序; 人员档案管理, 包括记录和存档等环节.
每位测评师应在每年积极参与多样形式的测评业务和技术培训活动,并确保其个人每年累计接受至少40学时的培训
4.8.3 测评师上岗前,应参加等级保护测评业务岗前培训,培训合格的方可上岗。
4.8.4 测评机构应根据培训制度做好培训工作,并保存培训和考核记录。
4.8.5 测评机构应当结合实际情况制定或规划其发展战略计划,并通过持续稳定的资源投入来实现测评机构的稳步发展和提升实力。
4.8.6 测评机构应当组织专业团队投入测评实践总结工作的同时开展相关的技术研发工作,并定期分享经验和进行技术探讨以促进相互学习与提升。各测评机构之间应加强经验交流与技术支持,在确保同步跟进当前的技术发展水平的基础上推动整体能力的提升。
4.9 合同管理
4.9.1 等保测评服务合同的签订需遵循《中华人民共和国民法典合同编》的相关规定。
4.9.2 等保测评服务合同应进行唯一编号。
4.9.3 为确保等级保护测评服务质量,在签订等保测评服务合同时应当明确双方的权利和义务,并规定合同中应包含以下内容:一是测评服务主体;二是基于的技术标准;三是评估系统名称等一项重要要求
该系统涉及的测评指标体系等级、保密义务条款的具体内容、以及该系统在本项目中适用的价格标准等核心要素
4.9.4 测评机构不得承接分包、承包以及挂靠的测评项目;应确保遵守《反不正当竞争法》,维持正常秩序。
4.9.5 测评机构应至少保留一份纸质合同。
4.10 项目管理
4.10.1 测评机构应遵循 GB/T 28449 制定与其特点相适应的测评项目管理程序,并需包含其工作组织形式、职责分工以及各阶段的工作内容和相应的管理要求。
4.10.2 测评机构应负责向上级单位提交在规定时间内、完整准确地实施情况报告'网络安全等级保护测评项目登记管理系统'
4.11 档案管理
根据GB/T 28449的规定进行项目实施工作时的输出成果可能涉及以下内容:计划书(含详细的技术方案)、信息系统的调查表(包含关键指标分析)、等级保护方案及其评审结论文件(涵盖技术要点评估)、风险防范方案(并附有相应的告知书)以及相关的现场管理档案(如授权证明文件)。具体而言将包含但不限于以下几项内容:现场实施阶段的所有会议纪录(特别是首次及末次会议详细纪录)、完整的进度追踪表格(如差旅安排表格)以及所有检测数据汇总;其中还包括详细的漏洞扫描原始数据以及渗透测试过程性数据;最终将生成完整的各类结果经核验文件并附有相应质量认证文件
4.11.2 在 evaluator 现场操作流程中, 除了生成报告、制定方案以及提供授权文件等关键环节必须使用实物材料外, 其他相关文件资料原则上应当采用电子形式存储, 但在具体实施过程中, 必须特别注意的是, 在存储过程中需确保其追踪性和不可篡改性
4.11.3 测评机构需保留近两三年的实体文件资料;超过两年的实体文件可以转换为电子档进行管理的同时必须保证其完整性与追踪ability,并根据测评系统的发展周期科学规划存档期限。
4.12 联动管理
服务合同的管理和项目以及档案的管理需要实施联动机制
5 测评能力要求
5.1 测评实施能力
5.1.1 初次申请的测评机构应并提交相关案例材料及工作过程记录以证明其具备从事网络安全相关工作的两年以上工作经验。
5.1.2 测评机构应负责在其职责范围内开展相关测评活动,并具备充足的资源保障以满足各项测评需求的具体表现包括以下几个方面:
基于安全技术的测评实施能力方面进行专业判断和操作指导书的构建与运用管理;包括安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心等多个维度的技术指标和评估标准;通过构建相应的指导方案并进行应用实践,在运行维护中积累经验,并对测试结果进行分析和评估。
b) 安全管理测评实施能力涵盖范围广泛,在包含安全管理制度、安全管理机构、安全管理人员以及安全建设和安全管理等多个维度的基础上制定相应的指导文件,并对其开发、应用、管理和收集相关结果的专业判断给予支持。
c) 从综合能力测试方面对系统进行全面评估,在云计算、移动互联、物联网等新兴技术领域以及特定行业需求的基础上制定相应的测试指导书,并负责其编写与应用实践工作;依据测试结果提供专业性意见并建立完整的评估体系;同时负责测试数据的收集与分析工作以确保测试结果的有效性与准确性。
安全测试与分析能力是指基于实际的测评需求,在开发相关的工作指导书时,在制定操作指南的基础上,并利用特定的检测设备和工具来实现对潜在漏洞的识别以及问题分析等核心功能。
整体测评评估能力是指基于测评报告中的各个部分(包括单元测试记录、汇总统计以及问题分析),从各安全控制点之间的关系及区域间的联系出发进行综合分析总结的能力。
F项核心能力是指基于《等级保护制度》相关要求,在进行风险评估时识别潜在威胁因素并对其可能对系统运行稳定性与安全性造成的潜在威胁影响进行评估的能力
5.1.3 测评机构应遵循GB/T 28449的相关要求进行系统化组织的工作安排,并确保所有流程均能得到有效监管
5.1.3.1 在准备阶段中需收集被测系统相关信息,并完成规范填写信息系统调查表;通过全面了解其详细情况为其后续工作奠定基础;同时确保调查表填写作业符合规定要求。
对于资产主体及其相关信息的完整收集至关重要;同时必须避免遗漏关键资产或核心要素;确保所收集的数据能够充分支持后续各项任务的开展。
网络拓扑图的呈现应当具有实时性好、布局直观明了,并且能够准确地展示各节点之间的连接关系。各个安全域之间界限分明,并且整体架构层次分明且无遗漏。核心设备信息一目了然。
网络架构描述需详尽精确,在具体实施时应涵盖范围内的内容包括但不限于区域划分、域间联结与防护机制、外部连接配置以及无法通过拓扑架构清晰描绘的内部功能模块(例如内置VPN/防火墙/入侵检测系统(IDS)/antivirus system等安全功能模块以及双机热备等冗余备份方案)。
d) 在适用场景下,对云计算、物联网、移动互联、工控自动化以及大数据等新兴技术和应用场景中的资产进行针对性的评估或分析;
e) 资产重要程度的量化必须精确。
5.1.3.2 在方案编制阶段中,应当科学合理地确定评估对象、评估指标及评估内容,并依据现行有效的技术标准与规范,制定相应的测试方案、指导手册以及结果记录表格等文档资料。经技术评审后需留存相关文件,同时对指导手册实施版本的有效性管理,并满足以下条件:
该...测评标准得到满足,并涵盖以下GB 17859、GB/T 22239、GB/T 28448、GB/T 28449及GB/T 20984等标准。
b) 提供足够详细的信息以确保测评数据获取过程的规范性和可操作性;
c) 在测评方案中应科学规划系统性地执行漏洞扫描与渗透测试,并明确设定攻击路径与目标。具体要求包括但不限于:
建议将测试工具的接入采用由外部向内部、由其他网络逐步向本地网络延伸的方式进行;具体而言,则可按照以下步骤实施:首先,在待测系统外部开始连接,并分步向内部推进;其次,在与测评对象不同区域的网络节点及同域内的节点之间建立连接;最后,在必要时可采取多种方式灵活配置以确保全面连接。
(2) 漏洞扫描及渗透测试的目标涵盖网络及安全设备、操作系统的各类功能模块以及DBMS(数据库管理系统)、应用程序系统等关键部分,并延伸至新兴技术及新型应用领域相关的关键特征要素。
5.1.3.3 在现场测评阶段中, 应严格遵守并严格执行测评方案和指导书中的各项规定与要求, 必须熟练掌握并正确运用测评设备与工具, 在完成测评记录填写的同时, 确保有充分的依据来支持结论; 该过程应当得到监督并得到详细记录; 其中参与渗透测试的专业人员也应当严格遵循测评方案进行验证性测试工作, 并对整个验证过程进行详尽记录
在编制阶段, 详细记录等级保护对象已采取的现有防护措施及其存在的安全漏洞情况, 指出当前的安全状况与预期目标之间的不足, 评估这些差距可能带来的威胁, 得出相应的安全风险评估结论, 完成并提交综合评估报告, 该报告需严格按照公安行政主管部门制定的网络安全等级保护测评模板进行编写, 并经审核后存档备查.
a) 测评记录内容应详细 (覆盖测评项的所有要求) 、准确,支持符合性判断;
b) 不适用项的判定应准确,且详细说明判定理由;
c) 安全问题描述及风险分析应准确, 且与测评记录反映的情况一致;
d) 整体测评分析应合理,从“弥补”和“削弱”两个方向开展分析;
e) 整改建议完整, 覆盖所有安全问题;
f) 验证工作内容应包含漏洞扫描任务及其相应的入口点与目标,并涵盖以下方面:测试方法、测试结果、危害分析以及相应的整改建议等关键要素。
g) 测评结论应准确。
5.2 测评规范化管理
5.2.1 测评机构应负责制定涉及等级保护的测评流程等现行有效的相关文件,并确保这些文件便于相关工作人员获取。
5.2.2 测评机构应负责保证测评记录内容和管理的规范性,并须经被测评方书面确认以确保记录的真实性和完整性
5.2.3 评测机构需建立健全文档管理制度, 包括机构人员在文档管理(含电子文件)过程中的各项职责, 涵盖查阅、归档以及最终销毁的各项规定等。
5.2.4 测评机构应保证测评报告的规范性:
评级机构应根据各类等级保护对象的需求分别制定等级保护测评报告,并要求相关文件材料更新换代
b) 测评报告应涵盖各项测评数据、基于这些数据的专业分析结论以及为理解及解释这些数据所必需的所有相关信息,并要求上述信息必须完整准确且条理清晰地加以表述。
c) 该测评报告需经测评项目组长指定的第一核心编制成员完成初审,并由具备高级测评师资质的专业人士负责审核程序;随后机构管理者及其授权代表将对报告进行审批流程。
d) 获证的测评机构应规范盖章于等级保护测评报告,并经认证中心审核后贴上防伪标识存入档案库;对于同时附有盖章与防伪标识的报告,则视为通过了认证流程
测评机构应当制定机构代码章和防伪标识正确使用的相关管理规定,并由指定人员负责实施这些规定并建立使用记录。
5.2.5 为提供针对第三级及以上等级保护对象的等级保护测评服务,
测评为4名以上专业人员,
其中应配备至少1名高级专业人员,
并配备1名具备中级及以上职称的专业负责人
5.2.6 若测评过程与测评方案/计划不一致(涉及实施人员变动、新增或删减测评内容、调整测评时间安排等情形),应建立变更记录并包含详细信息
当测评项目完成后时,在完成相关工作后,请由被测评单位对服务情况进行评价,并提交评价表格作为分析依据,并在此基础上开展后续的质量分析与改进工作,并将此材料作为存档材料留存备查。
5.3 测评过程可追溯性管理
5.3.1 测评机构应提供现场测评的证明材料, 使测评过程可追溯。
5.3.2 所有测评原始记录必须由测评人员签署确认,并需标注确认时间;若有需要更改的内容,则应采取划线修改的方式,并需由修改人重新签名并标注修改日期
如被测单位主动申请放弃了漏洞扫描与渗透测试,则必须签订一份有效的《放弃参与漏洞扫描与渗透测试声明》(以下简称《声明》)。请 evaluator机构向被测单位告知其主动放弃漏洞扫描与渗透测试可能带来的风险。当等级保护评估结果基于未完成漏洞扫描与渗透测试时,请 evaluator机构在报告中明确标注该评估结果基于的部分并如实说明未完成内容对评估结论的影响程度
5.3.4 测评机构应在实施漏洞扫描及渗透测试过程中获得被测评单位的授权,并成功地进行相关记录的保存。
5.3.5 测评项目组长应到现场参与测评。
第五条第三款第六项规定指出:测评机构应当参与完成"等保测评服务认证关键过程审核/验证"(如有)工作;审核结果应当符合GB/T 28448、GB/T 28449的相关标准;除可合理解释的情况外,审核结果应当与上一次测试保持一致