34SpecificationforevaluationserviceofclassifiedprotectionofcybersecurityI本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。1網絡安全等級保護測評服務規(guī)范注：在不引起混淆的情況下，本文件中的“GB/T28449信息安全技術網絡安全等級保護測評過程GB/T36959—2018信息安全技術網絡安全等級保護測評機構能力要求和評估規(guī)范3.1對象的網絡安全等級保護狀況進行檢測評估的4基本要求4.1.1從事等級測評服務的機構應具有獨立法人資格或為4.2人員4.2.2從事等級測評服務的人員應具有信息安全或網絡安全等級保護測評師證書，并由測評機構配發(fā)4.3場地和工具24.3.1測評機構應具有固定的辦公場所。4.3.2測評機構應配備滿足測評業(yè)務需求的設施設備和檢測工具。4,4管理制度4.5檔案管理等級測評服務過程中形成的文檔、記錄、資料5服務流程6.1.1測評機構應通過面談、電話、郵件6.1.3溝通接洽過程應收集被測評單位的基本信息、系統(tǒng)6.2合同簽訂36.2.1測評機構應與被測評單位直接簽署等級測評服務合同，并簽定保密6.2.2等級測評服務合同的內容應包括但不限于測評服務范圍、測評服務時間、測評對象的名稱和數6.3測評準備6.3.1.2測評組長應由中級測評師以上人員擔任，測評師應具有初級以上測評師資格。6.3.1.3項目組應編制項目計劃書，內6.3.2.1應將制定的項目計劃書告知被測評單位，并由被測評單位確6.3.2.2等級測評人員應依據《信息系統(tǒng)基本情況調研表》進行現場調研，《信息系統(tǒng)基本6.3.2.3對于云計算、物聯網、移動互聯、工業(yè)控制、大數據等安全擴展要求的測評對象，應進行專6.3.2.4對于金融、交通運輸、民用航空、證券期貨、廣電、電力等行業(yè)，以及容器擴展、區(qū)塊鏈擴46.4方案編制6.4.1項目組應根據現場調研情況編制項目《等級測評服務方案》，內容包括但不限于項目概述、測評對象、測評指標、測評內容、測評方法、項目管理。《等級測評服務方案6.4.2測評機構應對項目《等級測6.4.3項目組應將批準的項目《等級測評服6.5.1.1項目組應組織召開測評首次會，參會人員應包括但不限于被測單位的安全主管、信息系統(tǒng)開6.5.1.2首次會的主要內容應包括通報《議》；對接現場測評需要的人員、資料和環(huán)境等6.5.1.3首次會結束后，項目組應收集、整理和匯總首次會議形成的所有資料，包括但不限于會議簽6.5.2.1等級測評人員應對被測單位相關人員進行訪談，并核查被測評單位的相關制度文件及記錄表6.5.2.2等級測評人員應協(xié)助、指導被測單位相關技術人員查看相6.5.2.5等級測評人員應按照《等級測評服務方案》開展驗證測試工作，并完整、準確記錄驗證測試6.5.2.6驗證測試結果應和被測單位進行溝通，并口頭確6.5.2.7現場測評完成后，應由被測單位對《現場測評過程及用戶確認表》簽字確認。6.5.2.8現場測評結束后，應歸還被測單位提供的證據資料，由被測單位相關人員在《文檔6.5.2.9等級測評人員應保留現場測評證據和測評結果記錄，涉及6.5.3.1現場測評工作全部結束后，測評組應組織召開末次會，參會人員應包括但不限于被測單位的56.5.3.2末次會議內容應包括通報現場測評情況、證據源和測評記錄、高風險問題、整改事項及優(yōu)先6.5.3.3《整改建議書》的內容應包括但不限于發(fā)現的問題、風險等級、整改優(yōu)先級、6.5.3.4末次會期間項目組應通過拍照、會議簽到、會議小結記錄的形式留存會議證據。末次會結束6.5.4.1末次會議結束后，項目組應督促、指導被測6.5.4.2被測單位整改結束后，項目組應對整改完成情況進行現場驗6.5.4.3現場驗證的技術和方法應與現場測評過程中采取的技術和方法一致。6.5.4.4現場驗證的結果應進行記錄，修改前期的《現場測評結果記錄表6.6報告編制6.6.2測評機構應對《網絡安全等級6.6.3紙質《網絡安全等級測評報告》6.7報告交付6.7.1應根據合同要求交付《網絡安全等級測評報告》給被測單位，同時提交給所轄公安機關。6.7.2交付給被測單位的《網絡安全等級測評報告》應由被測評單位簽收7.1.1等級測評服務應進行自我評價、客戶滿意度評價和第三7.1.2等級測評服務評價應包括服務的全生命周期所涉及7.1.3