DB34/T 4091.2-2022 网络安全等级保护测评机构 第2部分:测评质量检查规范

ICS35.040

CCSL80

34

安徽省地方标准

DB34/T4091.2—2022

网络安全等级保护测评机构

第2部分：测评质量检查规范

Assessmentorganizationofclassifiedprotectionofcybersecurity—Part2：

Evaluationqualityinspectionspecification

2022-03-29发布2022-04-29实施

安徽省市场监督管理局发布

DB34/T4091.2—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件是DB34/T4091《网络安全等级保护测评机构》的第2部分。DB34/T4091已经发布了以下部

分：

——第1部分：测评质量要求；

——第2部分：测评质量检查规范。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由安徽省公安厅提出并归口。

本文件起草单位：安徽省质量和标准化研究院、安徽省公安厅网安总队、合肥市公安局网络安全保

卫支队、亳州市公安局网络安全保卫支队、安徽科测信息技术有限公司、安徽省电子产品监督检验所、

合肥天帷信息安全技术有限公司、安徽祥盾信息科技有限公司、安徽等保信息安全测评技术有限公司、

安徽安正测评技术有限公司、安徽国康网络安全测评有限公司、安徽溯源电子科技有限公司、安徽风雪

网络安全测评有限公司、淮南师范学院。

本文件主要起草人：刘菖、冯响林、杨波、袁宁、朱伟、唐珂、张强强、王寒冰、胡欣瑞、赵家辉、

王理冬、武建双、房仲珂、冯玲莉、刘芝影、张多福、陈传宇、张松、陈宗明、方成成、周天熠、周苏

皖、刘磊、孙业国。

I

DB34/T4091.2—2022

引言

《中华人民共和国网络安全法》中规定“国家实行网络安全等级保护制度”。网络安全等级保护工

作要求建立健全网络安全保障体系，重点保护涉及国家安全、国计民生、社会公共利益等的关键网络信

息系统的基础设施安全、运行安全和数据安全。网络安全等级保护测评机构根据国家网络安全等级保护

制度规定从事等级测评工作，其测评质量直接关系到网络安全防护是否规范、网络安全管理是否落实、

网络安全风险意识是否得到增强。DB34/T4091旨在规定网络安全等级保护测评机构的测评质量要求和

对测评机构的检查规范，以达到提升网络安全等级保护测评机构的测评质量为目的，由两部分构成。

——第1部分：测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求，为测评质

量检查确立检查内容。

——第2部分：测评质量检查规范。目的在于规定对网络安全等级保护测评机构测评质量检查的组

织、检查方法、检查流程和评价方法。

II

DB34/T4091.2—2022

网络安全等级保护测评机构

第2部分：测评质量检查规范

1范围

本文件规定了网络安全等级保护测评机构（以下简称“测评机构”）测评质量检查的基本要求和检

查流程。

本文件适用于对测评机构测评质量的检查和评价，也适用于测评机构的自查活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T28448—2019信息安全技术网络安全等级保护测评要求

GB/T28449—2018信息安全技术网络安全等级保护测评过程指南

DB34/T4091.1—2022网络安全等级保护测评机构第1部分：测评质量要求

3术语和定义

GB/T22239—2019、GB/T28448—2019、GB/T28449—2018界定的以及下列术语和定义适用于本

文件。

3.1

检查评价机构inspectionandevaluationagency

负责组织和开展网络安全等级保护测评机构测评质量检查的机构。

注：检查评价机构可以是网络安全等级保护测评质量管理机构或其委托的第三方机构、网络安全等级保护测评机构、

测评委托单位或其委托的第三方机构。

3.2

复核验证reviewandverification

检查人员与测评人员到测评委托单位，对测评记录、测评报告的内容进行现场核查、测试和验证。

4基本要求

4.1测评质量检查应遵循客观公正、合规自律、科学合理、风险可控的原则。

4.2实施测评质量检查的检查评价机构应满足下列要求：

a)在中华人民共和国境内注册成立，由中国公民、法人投资或国家投资的组织；

b)具有固定的办公场所和必要的设施；

c)不涉及网络安全等级保护测评及其他相关的咨询、培训等可能影响检查公正性的活动；

d)应与被检查测评机构无利益冲突；

e)具有3名以上符合条件的检查人员。

1

DB34/T4091.2—2022

4.3实施测评质量检查的检查人员应满足以下要求：

a)检查人员可由检查评价机构的检查人员、网络安全和等级保护相关领域专家、测评委托单位

网络安全专业人员等构成；

b)熟悉网络安全等级保护测评相关的法律法规和标准要求；

c)熟悉网络安全等级保护测评的测评内容、测评流程和测评方法；

d)熟悉测评质量检查的流程和方法；

e)应与被检查测评机构无利益冲突。

5检查流程

5.1概述

测评质量检查可分为检查准备活动、检查实施活动、总结分析活动，各项活动的主要任务见表1。

表1检查流程及其主要任务

检查流程主要任务

接受检查任务

确定检查人员

检查准备活动确定检查内容和测评机构测评质量评价方法

制定并发布检查方案

确定被检查项目

召开首次会议

开展检查

检查实施活动

开展测评机构测评质量评价

召开末次会议

汇总分析

总结分析活动

形成检查报告

5.2检查准备活动

5.2.1检查准备活动包括接受检查任务、确定检查人员、确定检查内容和测评机构测评质量评价方法、

制定并发布检查方案、确定被检查项目五项主要任务，这五项任务的流程如图1所示。

5.2.2检查评价机构接受检查任务，根据检查任务要求开展检查准备活动。

5.2.3检查评价机构根据检查任务需要和4.3的要求确定检查人员，成立检查组，检查组成员不少于

3人。

5.2.4检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法：

a)应根据DB34/T4091.1—2022中第4章规定的质量要求或按检查任务需要裁剪后的质量要求

确定检查内容；

b)应根据检查任务需要选择附录A所列方法开展测评机构测评质量评价。

2

DB34/T4091.2—2022

接受检查任务

确定检查人员

确定检查内容和检查结果评价

方法

制定并发布检查方案

确定被检查项目