ICS35.040CCSL80ICS35.040CCSL80安 徽 省 地 方 標(biāo) 準(zhǔn)DB34/T4091.1—20221AssessmentorganizationofclassifiedprotectionofcybersecurityAssessmentorganizationofclassifiedprotectionofcybersecurity—Part1：Evaluationqualityrequirements2022032920220429安徽省市場(chǎng)監(jiān)督管理局發(fā)布前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。DB34/T49011DB34/T4901——第1部分：測(cè)評(píng)質(zhì)量要求；2熠、劉環(huán)。熠、劉環(huán)。引 言DB34/T490112網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)第1部分：測(cè)評(píng)質(zhì)量要求范圍（）（GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T28448—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T28449—2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南3術(shù)語和定義3術(shù)語和定義GB/T22239—2019、GB/T28448—2019和GB/T28449—2018界定的術(shù)語和定義適用于本文件。4質(zhì)量要求4.1測(cè)評(píng)準(zhǔn)備活動(dòng)測(cè)評(píng)準(zhǔn)備活動(dòng)的質(zhì)量要求如表1所示。表1測(cè)評(píng)準(zhǔn)備活動(dòng)的質(zhì)量要求項(xiàng)目要求人員參與項(xiàng)目測(cè)評(píng)的測(cè)評(píng)師數(shù)量和等級(jí)應(yīng)與被測(cè)對(duì)象等級(jí)保護(hù)級(jí)別相符：實(shí)施二級(jí)項(xiàng)目測(cè)評(píng)的測(cè)評(píng)師應(yīng)不少于2名；實(shí)施三級(jí)項(xiàng)目測(cè)評(píng)的測(cè)評(píng)師應(yīng)不少于4名，其中高級(jí)測(cè)評(píng)師、中級(jí)測(cè)評(píng)師應(yīng)各不少于1名；實(shí)施四級(jí)項(xiàng)目測(cè)評(píng)的測(cè)評(píng)師應(yīng)不少于5名，其中中級(jí)測(cè)評(píng)師應(yīng)不少于1名，高級(jí)測(cè)評(píng)師應(yīng)不少于1名。測(cè)評(píng)師的測(cè)評(píng)能力應(yīng)得到保持，按要求參加培訓(xùn)，持等級(jí)測(cè)評(píng)師證上崗。需要開展?jié)B透測(cè)試的測(cè)評(píng)項(xiàng)目，應(yīng)配置專職滲透測(cè)試人員至少1名。項(xiàng)目工作計(jì)劃應(yīng)根據(jù)委托測(cè)評(píng)協(xié)議書的內(nèi)容編制項(xiàng)目計(jì)劃書。項(xiàng)目計(jì)劃書應(yīng)包括被測(cè)對(duì)象概述。項(xiàng)目計(jì)劃書應(yīng)分析測(cè)評(píng)的內(nèi)容、規(guī)模。項(xiàng)目計(jì)劃書應(yīng)分析測(cè)評(píng)的實(shí)施計(jì)劃、重點(diǎn)環(huán)節(jié)。項(xiàng)目要求項(xiàng)目項(xiàng)目計(jì)劃書應(yīng)說明測(cè)評(píng)人員要求。應(yīng)為項(xiàng)目計(jì)劃書設(shè)置符合測(cè)評(píng)機(jī)構(gòu)管理規(guī)定要求的唯一標(biāo)識(shí)，該標(biāo)識(shí)能與測(cè)評(píng)任務(wù)實(shí)現(xiàn)關(guān)聯(lián)。項(xiàng)目計(jì)劃書應(yīng)經(jīng)過編制、審核和批準(zhǔn)流程。等級(jí)測(cè)評(píng)資料收集應(yīng)收集項(xiàng)目測(cè)評(píng)所需的測(cè)評(píng)委托單位的資料，包括但不限于委托單位管理架構(gòu)、技術(shù)體系、運(yùn)行情況、建設(shè)方案、建設(shè)過程中相關(guān)文檔。應(yīng)收集項(xiàng)目測(cè)評(píng)所需的被測(cè)對(duì)象的資料，包括但不限于安全保護(hù)等級(jí)、業(yè)務(wù)情況、數(shù)據(jù)情況、網(wǎng)絡(luò)情況、軟硬件情況、管理模式和安全部門及角色等。針對(duì)云計(jì)算平臺(tái)的等級(jí)測(cè)評(píng)，還應(yīng)收集云計(jì)算平臺(tái)運(yùn)營(yíng)機(jī)構(gòu)的管理架構(gòu)、技術(shù)實(shí)現(xiàn)機(jī)制及架構(gòu)、運(yùn)行情況、云計(jì)算平臺(tái)的定級(jí)情況、云計(jì)算平臺(tái)的等級(jí)測(cè)評(píng)結(jié)果。針對(duì)云租戶系統(tǒng)的等級(jí)測(cè)評(píng)，還應(yīng)收集云計(jì)算平臺(tái)運(yùn)營(yíng)機(jī)構(gòu)與租戶的關(guān)系、云平臺(tái)的服務(wù)架構(gòu)模式以及其具體內(nèi)容、定級(jí)對(duì)象的相關(guān)情況。針對(duì)物聯(lián)網(wǎng)系統(tǒng)的等級(jí)測(cè)評(píng)，還應(yīng)收集各類感知層設(shè)備的檢測(cè)情況、感知層設(shè)備部署情況、感知層物理環(huán)境、感知層通信協(xié)議等信息。針對(duì)移動(dòng)互聯(lián)應(yīng)用的等級(jí)測(cè)評(píng)，還應(yīng)收集各類無線接入設(shè)備部署情況、移動(dòng)終端使用情況、移動(dòng)應(yīng)用程序、移動(dòng)通信協(xié)議等信息。業(yè)務(wù)安全保護(hù)等級(jí)、通信協(xié)議、安全組織架構(gòu)、歷史安全事件等信息。針對(duì)大數(shù)據(jù)的等級(jí)測(cè)評(píng)，還應(yīng)收集大數(shù)據(jù)系統(tǒng)架構(gòu)、數(shù)據(jù)出入過程、基礎(chǔ)設(shè)施位置等信息。應(yīng)整理并分析收集到的所有資料，評(píng)估資料收集的完整性和資料的有效性，并記錄評(píng)估過程和結(jié)果。系統(tǒng)調(diào)查應(yīng)使用統(tǒng)一格式的系統(tǒng)調(diào)查表格（如：系統(tǒng)調(diào)查表格模板），調(diào)查表格應(yīng)具有唯一性標(biāo)識(shí)，該標(biāo)識(shí)能與測(cè)評(píng)任務(wù)實(shí)現(xiàn)關(guān)聯(lián)。系統(tǒng)調(diào)查表格應(yīng)調(diào)查測(cè)評(píng)委托單位的基本信息，包括但不限于：?jiǎn)挝幻Q、單位地址、聯(lián)系人、聯(lián)系電話。服務(wù)對(duì)象。系統(tǒng)調(diào)查表格應(yīng)調(diào)查承載的業(yè)務(wù)情況，包括但不限于：被測(cè)對(duì)象名稱、定級(jí)等級(jí)、被測(cè)對(duì)象形態(tài)（如：傳統(tǒng)系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)等）。系統(tǒng)調(diào)查表格應(yīng)調(diào)查被測(cè)對(duì)象涉及的網(wǎng)絡(luò)結(jié)構(gòu)并繪制網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)拓?fù)鋱D應(yīng)能明確被測(cè)對(duì)象涉及的功能/安全區(qū)域劃分、隔離與防護(hù)情況、關(guān)鍵網(wǎng)絡(luò)和服務(wù)器設(shè)備部署情況、與其他系統(tǒng)的互聯(lián)情況、邊界網(wǎng)絡(luò)設(shè)備情況、網(wǎng)絡(luò)管理工具以及本地備份或?yàn)?zāi)備中心的情況。應(yīng)調(diào)查被測(cè)對(duì)象涉及的機(jī)房信息，包括但不限于：機(jī)房名稱、位置、重要程度。應(yīng)調(diào)查被測(cè)對(duì)象涉及的網(wǎng)絡(luò)互聯(lián)設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號(hào)、是否虛擬設(shè)備、軟件版本及補(bǔ)丁版本、所屬網(wǎng)絡(luò)區(qū)域、主要用途、重要程度、數(shù)量。應(yīng)調(diào)查被測(cè)對(duì)象涉及的安全設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號(hào)、軟件版本及病毒或規(guī)則庫(kù)版本、所屬網(wǎng)絡(luò)區(qū)域、主要用途、重要程度、數(shù)量。應(yīng)調(diào)查被測(cè)對(duì)象涉及的服務(wù)器及存儲(chǔ)設(shè)備信息，適用時(shí)，還應(yīng)調(diào)查宿主機(jī)、云管理服務(wù)器、云應(yīng)用服務(wù)器的信息。這些信息包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號(hào)、是否虛擬設(shè)備、操作系統(tǒng)或存儲(chǔ)管理系統(tǒng)名稱及版本、所承載的業(yè)務(wù)應(yīng)用系統(tǒng)名稱及版本、重要程度、數(shù)量。應(yīng)調(diào)查被測(cè)對(duì)象涉及的終端設(shè)備信息，包括但不限于：設(shè)備名稱、設(shè)備類型、品牌型號(hào)、操作系統(tǒng)或控制系統(tǒng)名稱及版本、設(shè)備用途、重要程度、數(shù)量。4.2方案編制活動(dòng)方案編制活動(dòng)的質(zhì)量要求如表2所示。4.2方案編制活動(dòng)方案編制活動(dòng)的質(zhì)量要求如表2所示。表2方案編制活動(dòng)的質(zhì)量要求項(xiàng)目要求系統(tǒng)調(diào)查應(yīng)調(diào)查被測(cè)對(duì)象涉及的支撐或管理系統(tǒng)（如：數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件、網(wǎng)管軟件、安全管理軟件、云計(jì)算管理軟件）信息，適用時(shí)，還應(yīng)調(diào)查云計(jì)算平臺(tái)安全管理系統(tǒng)、云計(jì)算平臺(tái)數(shù)據(jù)庫(kù)管理系統(tǒng)、云計(jì)算平臺(tái)中間件軟件的信息。這些信息包括但不限于支撐或管理系統(tǒng)名稱及版本、部署設(shè)備名稱、主要功能、重要程度。應(yīng)調(diào)查被測(cè)對(duì)象涉及的業(yè)務(wù)應(yīng)用系統(tǒng)信息，包括但不限于：系統(tǒng)名稱和版本、開發(fā)廠商、主要功能、處理的核心數(shù)據(jù)、用戶數(shù)量、系統(tǒng)架構(gòu)、重要程度。應(yīng)調(diào)查被測(cè)對(duì)象涉及的數(shù)據(jù)信息，包括但不限于：數(shù)據(jù)類別（如：業(yè)務(wù)數(shù)據(jù)、重要個(gè)人信息）、所屬業(yè)務(wù)應(yīng)用系統(tǒng)、安全防護(hù)需求（如：保密性、完整性、抗抵賴性、可核查性、真實(shí)性）。使用大數(shù)據(jù)處理技術(shù)處理數(shù)據(jù)時(shí)，還應(yīng)明確實(shí)現(xiàn)數(shù)據(jù)采集、存儲(chǔ)、處理、應(yīng)用、流動(dòng)、銷毀等環(huán)節(jié)的實(shí)施模塊。應(yīng)調(diào)查被測(cè)對(duì)象涉及的安全相關(guān)人員信息，包括但不限于：姓名、角色、主要職責(zé)、聯(lián)系電話。相關(guān)人員可以包括但不限于：安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人、網(wǎng)絡(luò)（安全）管理員、設(shè)備（資產(chǎn)）管理員、軟件開發(fā)人員、機(jī)房管理員、安全審計(jì)人員等。應(yīng)調(diào)查被測(cè)對(duì)象涉及的安全管理制度信息，包括但不限于：文件名稱、文件編號(hào)、適用范圍、主要內(nèi)容。應(yīng)對(duì)調(diào)查到的信息進(jìn)行整理、分析，對(duì)不符合要求的應(yīng)重新調(diào)查，必要時(shí)應(yīng)安排現(xiàn)場(chǎng)調(diào)查，應(yīng)對(duì)調(diào)查結(jié)果進(jìn)行評(píng)估，并記錄評(píng)估過程和結(jié)果。測(cè)評(píng)工具準(zhǔn)備應(yīng)根據(jù)測(cè)評(píng)任務(wù)需要選擇合適的測(cè)評(píng)工具（包括漏洞掃描工具、滲透性測(cè)試工具、Web安全評(píng)估工具、數(shù)據(jù)庫(kù)掃描工具和協(xié)議分析工具等）。應(yīng)對(duì)選擇的測(cè)評(píng)工具軟件進(jìn)行維護(hù)（如：更新升級(jí)、設(shè)置、殺毒）。必要時(shí)，應(yīng)對(duì)工具操作人員開展培訓(xùn)。測(cè)評(píng)表單準(zhǔn)備應(yīng)根據(jù)測(cè)評(píng)任務(wù)需要準(zhǔn)備測(cè)評(píng)表，這些表單包括但不限于：風(fēng)險(xiǎn)告知書、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表單、測(cè)試記錄表單。測(cè)評(píng)表單應(yīng)具有唯一性標(biāo)識(shí)，該標(biāo)識(shí)能與測(cè)評(píng)任務(wù)實(shí)現(xiàn)關(guān)聯(lián)。測(cè)評(píng)準(zhǔn)備階段使用的表單內(nèi)容應(yīng)準(zhǔn)確，并應(yīng)獲得測(cè)評(píng)委托單位的確認(rèn)。項(xiàng)目要求測(cè)評(píng)對(duì)象確定測(cè)評(píng)對(duì)象的選擇應(yīng)與定級(jí)結(jié)果相符，且符合GB/T28449—2018中附錄D的要求。應(yīng)將面臨威脅較大的涉及新技術(shù)新應(yīng)用的設(shè)備或組件確定為測(cè)評(píng)對(duì)象。應(yīng)將共享/互聯(lián)設(shè)備確定為測(cè)評(píng)對(duì)象。應(yīng)正確識(shí)別承載被測(cè)對(duì)象核心或重要業(yè)務(wù)、數(shù)據(jù)的服務(wù)器，并將其確定為測(cè)評(píng)對(duì)象。選擇的測(cè)評(píng)對(duì)象種類（如：網(wǎng)絡(luò)互聯(lián)設(shè)備類型、安全設(shè)備類型、主機(jī)操作系統(tǒng)類型、數(shù)據(jù)庫(kù)系統(tǒng)類型和應(yīng)用系統(tǒng)類型等）和數(shù)量符合測(cè)評(píng)等級(jí)的要求。對(duì)不能確定為測(cè)評(píng)對(duì)象的重要業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)互聯(lián)設(shè)備、安全設(shè)備、服務(wù)器、管理制度和記錄等，應(yīng)充分分析原因，得到測(cè)評(píng)委托單位的確認(rèn)，并保存相關(guān)記錄。測(cè)評(píng)指標(biāo)確定測(cè)評(píng)對(duì)象的安全要求組合應(yīng)與定級(jí)結(jié)果相符。相關(guān)行業(yè)規(guī)范中涉及的網(wǎng)絡(luò)安全要求應(yīng)作為測(cè)評(píng)指標(biāo)。新技術(shù)新應(yīng)用涉及的擴(kuò)展要求應(yīng)作為測(cè)評(píng)指標(biāo)。對(duì)測(cè)評(píng)指標(biāo)與被測(cè)對(duì)象、測(cè)評(píng)指標(biāo)與測(cè)評(píng)對(duì)象的適應(yīng)性進(jìn)行分析，記錄不適用的原因。4.3現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的質(zhì)量要求如表4.3現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的質(zhì)量要求如表3所示。表3現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的質(zhì)量要求項(xiàng)目要求測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指標(biāo)應(yīng)映射到各測(cè)評(píng)對(duì)象上。測(cè)評(píng)對(duì)象的每個(gè)測(cè)評(píng)指標(biāo)都應(yīng)選擇對(duì)應(yīng)的測(cè)評(píng)方法。測(cè)評(píng)實(shí)施內(nèi)容應(yīng)符合GB/T28448的要求，特別的應(yīng)予以說明。適用時(shí)，應(yīng)規(guī)定滲透測(cè)試的內(nèi)容。測(cè)評(píng)力度應(yīng)符合GB/T28448—2019中附錄A的要求。確定應(yīng)根據(jù)測(cè)評(píng)對(duì)象的特點(diǎn)選擇測(cè)評(píng)工具，并規(guī)定測(cè)評(píng)工具的名稱及版本。應(yīng)根據(jù)GB/T28449的要求選擇合適的測(cè)試路徑。應(yīng)根據(jù)測(cè)試路徑的特點(diǎn)為測(cè)試工具選擇合適的接入點(diǎn)。應(yīng)規(guī)定具有操作能力的人員使用測(cè)試工具開展測(cè)試，并形成工具測(cè)試記錄。測(cè)評(píng)指導(dǎo)書開發(fā)應(yīng)根據(jù)測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)評(píng)內(nèi)容、測(cè)試方法的特點(diǎn)編制測(cè)評(píng)指導(dǎo)書。測(cè)評(píng)指導(dǎo)書應(yīng)規(guī)定單項(xiàng)測(cè)評(píng)的測(cè)評(píng)項(xiàng)、測(cè)評(píng)方法、測(cè)評(píng)步驟、預(yù)期結(jié)果。測(cè)評(píng)指導(dǎo)書應(yīng)規(guī)定整體測(cè)評(píng)的步驟和方法。適用時(shí)，應(yīng)規(guī)定漏洞掃描和滲透測(cè)試的方法、步驟。測(cè)評(píng)指導(dǎo)書的內(nèi)容應(yīng)通俗易懂、準(zhǔn)確、無歧義，必要時(shí)，應(yīng)對(duì)測(cè)評(píng)指導(dǎo)書進(jìn)行培訓(xùn)。編制應(yīng)從測(cè)評(píng)對(duì)象、測(cè)評(píng)內(nèi)容、測(cè)評(píng)力度、測(cè)評(píng)方法的特點(diǎn)著手，識(shí)別測(cè)評(píng)過程中可能存在的風(fēng)險(xiǎn)。當(dāng)需要開展工具測(cè)試、滲透測(cè)試時(shí)，應(yīng)編制針對(duì)性的風(fēng)險(xiǎn)規(guī)避實(shí)施方案，必要時(shí)，應(yīng)搭建模擬環(huán)境，驗(yàn)證漏洞掃描或者滲透測(cè)試的風(fēng)險(xiǎn)。應(yīng)根據(jù)識(shí)別的風(fēng)險(xiǎn)制定具有針對(duì)性的風(fēng)險(xiǎn)規(guī)避實(shí)施方案。制定的風(fēng)險(xiǎn)規(guī)避實(shí)施方案應(yīng)正確、有效、可實(shí)施，必要時(shí)，應(yīng)對(duì)風(fēng)險(xiǎn)規(guī)避實(shí)施方案進(jìn)行評(píng)審。測(cè)評(píng)方案編制應(yīng)根據(jù)等級(jí)保護(hù)過程中的等級(jí)測(cè)評(píng)實(shí)施要求，完整準(zhǔn)確的羅列測(cè)評(píng)活動(dòng)所依據(jù)的標(biāo)準(zhǔn)。應(yīng)根據(jù)委托測(cè)評(píng)協(xié)議書和被測(cè)對(duì)象情況，估算現(xiàn)場(chǎng)測(cè)評(píng)工作量。應(yīng)根據(jù)項(xiàng)目組人員組成和測(cè)評(píng)任務(wù)需要，編制任務(wù)分工。應(yīng)編制測(cè)評(píng)計(jì)劃，其內(nèi)容應(yīng)包括但不限于：人員組成及分工、設(shè)備設(shè)施、時(shí)間進(jìn)度、停止/恢復(fù)條件。應(yīng)組織項(xiàng)目組人員對(duì)測(cè)評(píng)方案進(jìn)行評(píng)審，評(píng)審的內(nèi)容應(yīng)包括但不限于：方案的針對(duì)性、完整性、正確性、可實(shí)施性。測(cè)評(píng)方案應(yīng)得到測(cè)評(píng)委托單位的確認(rèn)。項(xiàng)目要求現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備應(yīng)向測(cè)評(píng)委托單位提交風(fēng)險(xiǎn)告知書，充分告知測(cè)評(píng)可能引入的風(fēng)險(xiǎn)及可采取的規(guī)避措施，并獲得測(cè)評(píng)委托單位的確認(rèn)。應(yīng)根據(jù)測(cè)評(píng)對(duì)象和測(cè)評(píng)內(nèi)容編制現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書，現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)應(yīng)遵循最小必要的原則?，F(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書授權(quán)的內(nèi)容應(yīng)明確授權(quán)使用的被測(cè)對(duì)象（包括操作系統(tǒng)/管理系統(tǒng)/業(yè)務(wù)系統(tǒng)賬戶密碼、管理制度）、授權(quán)范圍（時(shí)間段、權(quán)限、操作者）、授權(quán)目的、可能產(chǎn)生的影響、規(guī)避風(fēng)險(xiǎn)的措施及建議等。授權(quán)使用的被測(cè)對(duì)象應(yīng)具有唯一性標(biāo)識(shí)（如：IP地址、設(shè)備唯一編號(hào)）。適用時(shí)，還應(yīng)規(guī)定滲透測(cè)試的執(zhí)行時(shí)間、滲透范圍。4.4報(bào)告編制活動(dòng)報(bào)告編制活動(dòng)的質(zhì)量要求如表4所示。4.4報(bào)告編制活動(dòng)報(bào)告編制活動(dòng)的質(zhì)量要求如表4所示。表4報(bào)告編制活動(dòng)的質(zhì)量要求項(xiàng)目要求現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書應(yīng)得到測(cè)評(píng)委托單位的確認(rèn)。應(yīng)根據(jù)測(cè)評(píng)任務(wù)的需要申領(lǐng)相關(guān)設(shè)備、借閱相關(guān)文件（如：管理制度、安全記錄、過往的測(cè)評(píng)報(bào)告），并對(duì)設(shè)備狀態(tài)、文檔借閱信息進(jìn)行確認(rèn)。應(yīng)召開測(cè)評(píng)現(xiàn)場(chǎng)首次會(huì)，編制會(huì)議記錄，會(huì)議記錄內(nèi)容應(yīng)包括但不限于：現(xiàn)場(chǎng)測(cè)評(píng)工作安排、測(cè)評(píng)計(jì)劃和測(cè)評(píng)內(nèi)容?，F(xiàn)場(chǎng)測(cè)評(píng)應(yīng)由兩名以上具有資質(zhì)的測(cè)評(píng)師開展現(xiàn)場(chǎng)測(cè)評(píng)，應(yīng)由專職滲透測(cè)試人員開展?jié)B透測(cè)試。測(cè)評(píng)師和滲透測(cè)試人員應(yīng)與測(cè)評(píng)方案中規(guī)定的人員一致，確需變更時(shí)，應(yīng)提出書面申請(qǐng)，并得到委托測(cè)評(píng)單位的確認(rèn)。應(yīng)根據(jù)測(cè)評(píng)方案、測(cè)評(píng)指導(dǎo)書、現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書的要求按計(jì)劃實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)。不得刪減測(cè)評(píng)對(duì)象、測(cè)評(píng)內(nèi)容，不得更改測(cè)評(píng)方法，確需變更時(shí)，應(yīng)提出書面申請(qǐng)，并得到委托測(cè)評(píng)單位的確認(rèn)。應(yīng)詳細(xì)記錄測(cè)評(píng)過程信息，這些信息可包括但不限于：執(zhí)行時(shí)間、執(zhí)行人、審核人、測(cè)評(píng)方法、測(cè)評(píng)工具唯一標(biāo)識(shí)（適用時(shí)）、測(cè)評(píng)對(duì)象唯一標(biāo)識(shí)、模塊名稱（適用時(shí)）、文件唯一標(biāo)識(shí)及頁(yè)面（適用時(shí)）、實(shí)際情況描述（如：現(xiàn)狀、配置情況、制度要求）。測(cè)評(píng)記錄應(yīng)清晰準(zhǔn)確、客觀公正，必要時(shí)應(yīng)保存截圖、照片或錄像。應(yīng)確保電子記錄（如：工具測(cè)試結(jié)果、測(cè)試記錄電子文檔）在生成、轉(zhuǎn)移、存儲(chǔ)等過程中不能被篡改。測(cè)評(píng)記錄應(yīng)得到測(cè)評(píng)委托單位的確認(rèn)。同一項(xiàng)目不同輪次的測(cè)評(píng)記錄應(yīng)使用版本控制，后一輪次的測(cè)評(píng)記錄不應(yīng)覆蓋前一輪次的記錄。應(yīng)按照測(cè)評(píng)機(jī)構(gòu)項(xiàng)目管理和保密管理的規(guī)定對(duì)測(cè)評(píng)過程、記錄、結(jié)果進(jìn)行管理。應(yīng)按照測(cè)評(píng)機(jī)構(gòu)項(xiàng)目管理和保密管理的規(guī)定對(duì)涉及的敏感信息進(jìn)行處理。對(duì)于整改后的測(cè)評(píng)項(xiàng)應(yīng)按上述要求進(jìn)行再次測(cè)評(píng)，且應(yīng)分析整改對(duì)其他相關(guān)測(cè)評(píng)項(xiàng)目的影響，必要時(shí)應(yīng)對(duì)受到影響的測(cè)評(píng)項(xiàng)再次開展測(cè)評(píng)。結(jié)果確認(rèn)應(yīng)與測(cè)評(píng)委托單位溝通測(cè)評(píng)過程中發(fā)現(xiàn)的問題，并得到測(cè)評(píng)委托單位的確認(rèn)。項(xiàng)目要求測(cè)評(píng)結(jié)果判定應(yīng)逐一核對(duì)“不適用”項(xiàng)，并準(zhǔn)確分析不適用的原因。應(yīng)根據(jù)測(cè)評(píng)記錄準(zhǔn)確判定單項(xiàng)測(cè)評(píng)結(jié)果和符合程度得分。應(yīng)按照/r