DB34／T 4091.2-2022  网络安全等级保护测评机构 第2部分：测评质量检查规范

5.2.5检查组应制定检查方案，必要时，可进行技术评审。检查方案应作为开展质

验查组应制定检查方案，必要时，可进行技术评审。检查方案应作为开展质量检查通知的附件 查方案应包括但不限于下列内容：

2 检查时间； b) 检查依据； cJ 检查评价机构； d) 检查人员； 被检查的测评机构（以下简称“被检查机构”）列表：明确被检查机构名称及检查顺序； f) 检查内容； g) 检查方法：针对检查内容可采用的检查方法（如：访谈、文档审查、复核验证等）； h) 检查流程和各方职责； i) 结果评价方法： j) 附件：检查过程中用到的材料、表格（如：检查人员廉洁自律声明、被检查机构廉洁自律声 明、被检查机构确认人员授权书、会议签到表、检查记录表、资料交接声明等）。 .2.6 检查组应根据检查任务需要和下列要求确定被检查项目： a) 应从每个被检查的测评机构已完成的测评项目中选择不少于3个项目用于检查钢结构标准规范范本，并从确定的 被检查项目中确定1项用于复核验证。 b) 应优先选择最近一年内开展的测评项目用于检查 g 应优先选择等级保护级别高的测评项目用于检查； d) 应优先选择需要使用安全测评扩展要求的测评项目用于检查； e) 应优先选择需要执行相关行业标准的特殊行业（如：电力、金融等行业）的测评项目用于检 查； f) 应优先选择影响国计民生的信息系统（如：关键信息基础设施、公共服务信息系统）对应的 测评项目用于检查。

3.1检查组应根据检查方案确定的检查顺序到各被检查机构开展检查，检查组在各被检查机构 实施活动包括召开首次会议、开展检查、开展测评机构测评质量评价、召开末次会议四项主要 四项任务的流程如图2所示。

DB34/T 4091. 22022

图2检查实施活动流程

5.3.2检查组应召集被检查机构主要负责， （包括技术负责人和质量负责人）和测评师召开首次会议， 确定联系

个绍检查工作分工，明确检查内容和要求，确定联系人。 5.3.3检查组应按下列要求开展检查： a) 应根据确定的被检查项目收集测评记录、测评报告，及与之相关的质量记录和材料（如：测 评委托协议、保密协议、风险告知书、人员档案、设备档案及维护使用记录、评审记录等）； b) 应访谈被检查项目涉及的测评师，检查项目实施和质量控制过程记录，检查测评过程和记录 的真实性、正确性、一致性、有效性； c） 应访谈测评委托单位相关人员，检查项目实施过程、被测定级对象概况、安全管理机构、安 全管理人员、漏洞扫描和渗透测试实施细节与测评记录、测评报告及相关质量记录的真实性、 正确性、一致性、有效性，检查测评方法选择的合理性； d) 应对被检查项目测评记录、测评报告，以及与之相关质量记录及材料开展文档审查，检查记 录的真实性、判定的准确性、材料的一致性： e) 应对被测定级对象开展复核验证，内容包括但不限于： 测评记录和测评报告涉及的被测对象概况； 测评记录和测评报告涉及的网络拓扑、安全防护设备、测评对象选择、安全物理环境和 安全配置策略； 3 测评记录和测评报告涉及的安全控制措施： 4） 测评记录和测评报告涉及的测评委托方提供的材料（如：系统建设资料、系统运行记录、 安全管理制度、安全管理记录等）。 f）检查组应记录发现的问题，并获得被检查机构的确认。 .3.4检查组应根据检查方案确定的评价方法对被检查机构的测评质量进行评价，确定评价结果，并 获得被检查机构的确认。 5.3.5检查组应召集被检查机构主要负责人（包括技术负责人和质量负责人）和测评师召开末次会议： 介绍检查过程，通报发现的问题和检查评价结果，听取被检查机构的建议和意见

5.3.3检查组应按下列要求开展检查

5.4.1所有被检查机构的检查结束后，检查组应开展总结分析活动，总结分析活动包括汇总分析和形 成检查报告两项主要任务，这两项任务的流程如图3所示。 5.4.2检查组应将检查发现的所有测评质量问题按类别进行汇总，并分析各类测评质量问题发生的原 R

检查报告的内容包括但不限于： a) 检查时间； b) 检查依据； c) 检查评价机构信息； d) 测评质量问题汇总及原因分析； e) 改进建议； f) 监管建议； S 工作总结。

DB34/T4091.22022

图3总结分析活动流程

DB34/T 4091. 22022

测评机构测评质量定性评价的流程如图A.1所示，应对检查发现的每个问题进行影响程度分析、发 生可能性分析，根据分析结果得到每个问题的定性评价结果，汇总各个问题的定性评价结果得到测评机 构测评质量定性评价结果，

A.1.2影响程度分析

图A.1测评机构测评质量定性评价流程

2.1对于检查发现的测评质量问题，应按其对测评结果的影响程度进行划分，可为高、中和低 见表A.1。

1测评质量问题对测评结果造成的影响程度取值

A.1.2.2对测评结果造成重大影响的测评质量问题包括但不限于：

A.1.2.2对测评结果造成重大影响的测评质量问题包括但不限于： a）测评结果、报告与实际不符：

注：主要表现为： 1) 未经测评，直接出具测评记录、报告； 2) 篡改、编造过程记录； 3）测评记录与测评报告的内容不能相互印证：

DB34/T4091.22022

4）测评记录、测评报告的内容与被测定级对象实际不符； 5）测评记录、测评报告与实际测评过程不符。 b) 测评标准、指标、被测对象选取存在重大偏差； 注：主要表现为： 测评标准、指标选取与被测定级对象及合同要求不一致； 2) 随意删减测评对象、测评项目、测评内容； 3） 扩展指标未纳入测评范围： 关键资产未确定为被测对象。 高风险判定不合理，测评结论、评分不正确。 A. 1. 2.3 对测评结果造成一般影响的测评质量问题包括但不限于： a) 测评活动不符合相关标准、规定、作业指导书等要求； b) 测评过程文档、测评记录、测评报告要素不完整； 注：主要表现为：未得到测评委托单位必要的确认或授权、缺少必要的要素、记录的信息不完整（如：版本号记录 缺失或不详细、IP地址缺失）等。 c) 测评深度不够、测评覆盖不全面，测评记录不足以完全支持测评结果，测评不充分； d) 确定的测评对象未能全面覆盖所有设备、系统类型； e) 测评方法、工具选择不正确； f) 整改建议不准确、不完整或不合理。 A.1.2.4对测评结果造成较小或轻微影响的测评质量问题包括但不限于： a) 测评过程文档、测评记录、测评报告中出现错别字、码和格式错误； b) 测评过程记录及记录修改不规范； C) 测评过程中质量记录不完善。

A.1.3发生可能性分析

表A.2测评质量问题发生的可能性取值

A.1.4测评质量问题定性评价

对于检查发现的测评质量问题公厕标准，应根据其影响程度及发生的可能性，进行定性评价，测评质量问题 定性评价结果的取值范围为严重、一般和轻微，具体评价方法见表A.3。

DB34/T 4091. 22022

表A.3测评质量问题定性评价结果

A.1.5测评机构测评质量定性评价

立综合所有测评质量问题的定性评价结果对测评机构的测评质量进行定性评价，测评机构测评质 评价结果的取值范围为优秀、良好、合格、不合格，具体评价方法见表A.4。

电子产品标准表A.4测评机构测评质量定性评价结果取值

根据测评机构测评质量实际情况是否符合检查项要求，为检查项赋予权重值（W），根据检查结果 赋予量化值（V），见表A.5，测评质量检查量化评价结果QER（Quantitativeevaluationresult） 由式（A.1）计算得到：

Zv,W. QER=100× te Zw.