ICS 35.020 CCS A 16 34 安徽省 地方 标准 DB34/T 5160—2025 网络安全等级保护测评服务规范 Specification for evaluation service of classified protection of cybersecurity 2025 - 05 - 06发布 2025 - 06 - 06实施 安徽省市场监督管理局 发布 DB34/T 5160 —2025 I 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的 某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由安徽省公安厅提出并归口。 本文件起草单位：合肥市公安局、安徽省公安厅网络安全保卫总队、合肥天帷信息安全技术有限公 司、安徽省电子产品监督检验所、安徽科测信息技术有限公司、安徽祥盾信息科技有限公司、安徽溯源 电子科技有限公司、安徽万弗检测技术有限公司、安正网络安全技术有限公司、华测风雪检测技术有限 公司、安徽国康网络安全测评有 限公司、安徽信科共创信息安全测评有限公司、安徽省大数据中心、合 肥市信息中心、淮北市公安局网络安全保卫支队、六安市公安局网络安全保卫支队、六安市数据资源管 理局、亳州市数据资源管理局、淮北市数据资源管理局、凤阳县数据资源管理局。 本文件主要起草人：冯响林、左晓坤、杨波、王亮、唐珂、任仁、方雪峰、汪正文、郝雪元、王亭 亭、唐远航、王智海、胡兴元、武建双、郭凯、朱克涛、姜思思、刘芝影、陈萌、方成成、许阿伟、罗 晓军、张春辉、路安、张锦睿、朱典、胡飞、丁晓、韩程程、白修灵、程博、翁挡挡、刘伟、刘智伟、 许客、胡朋子、翟清颖 。 DB34/T 5160 —2025 1 网络安全等级保护测评服务规范 1 范围 本文件规定了网络安全等级保护测评服务的流程及要求。 本文件适用于网络安全等级保护测评服务。 注： 在不引起混淆的情况下，本文件中的“网络安全等级保护测评”简称为“等级测评”。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T 25069 —2022 信息安全技术 术语 GB/T 28448 —2019 信息安全技术 网络安全等级保护测评要求 GB/T 28449 信息安全技术 网络安全等级保护测评过程指南 GB/T 36959 —2018 信息安全技术 网络安全等级保护测评机构能力要求和评估规范 3 术语和定义 GB/T 22239 —2019、GB/T 28448 —2019、GB/T 25069 —2022和GB/T 36959 —2018界定的以及下列术 语和定义适用于本文件。 网络安全等级保护测评服务 evaluation service for classified protection of cybersecurity 测评机构依据国家网络安全保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密测评 对象的网络安全等级保护状况进行检测评估的过程。 4 基本要求 机构 4.1.1 从事等级测评服务的机构应具有独立法人资格或为独立法人组织中的独立部门。 4.1.2 从事等级测评服务的机构应取得等级测评服务认证证书。 人员 4.2.1 从事等级测评服务的人员应满足 GB/T 36959 —2018的人员要求。 4.2.2 从事等级测评服务的人员应具有信息安全或网络安全等级保护测评师证书，并由测评机构配发 上岗证。 场地和工具 DB34/T 5160 —2025 2 4.3.1 测评机构应具有固定的办公场所。 4.3.2 测评机构应配备满足测评业务需求的设施设备和检测工具。 管理制度 测评机构应建立项目管理、质量管理、 设备管理、 人员管理、 教育培训管理、文档管理、 保密管理、 申诉投诉及争议处理等制度。 档案管理 等级测评服务过程中形成的文档、记录、资料等应保存三年以上，并由专人负责保管。 5 服务流程 等级测评服务流程见图 1。 图1 等级测评服务流程图 6 服务要求 沟通接洽 6.1.1 测评机构应通过面谈、电话、邮件、即时通讯等方式与被测评单位进行沟通接洽。 6.1.2 沟通接洽时应主动介绍服务内容、服务流程、服务时限、服务价格以及需要配合的相关事项。 6.1.3 沟通接洽过程应收集被测评单位的基本信息、系统定级情况、系统之前的测评情况等。 合同签订 DB34/T 5160 —2025 3 6.2.1 测评机构应与被测评单位直接签署等级测评服务合同，并签定保密协议。 6.2.2 等级测评服务合同的内容应包括但不限于测评服务范围、测评服务时间、测评对象的名称和数 量、单价和总价、双方责任和义务、交付物。 测评准备 6.3.1 人员准备 6.3.1.1 测评机构应组建项目组， 配备测评组长 1名， 测评师不少于 2人， 渗透测试人员不少于 1人； 测评内容含三级以上等级保护对象的测评项目，测评师应不少于 4名，渗透测试人员不少于 1人，其中 高级测评师、中级测评师各不少于 1名。 6.3.1.2 测评组长应由中级测评师以上人员担任，测评师应具有初级以上测评师资格。 6.3.1.3 项目组应编制项目计划书，内容应包括但不限于项目背景、测评范围依据、测评整体计划、 测评风险 提示。具体内容和格式参见附录 A。 6.3.2 现场调研 6.3.2.1 应将制定的项目计划书告知被测评单位，并由被测评单位确认。 6.3.2.2 等级测评人员应依据《信息系统基本情况调研表》进行现场调研 ，《信息系统基本情况调研 表》格式参见附录 B。 6.3.2.3 对于云计算、物联网、移动互联、工业控制、大数据等安全扩展要求的测评对象，应进行专 门调研。 6.3.2.4 对于金融、交通运输、民用航空、证券期货、广电、电力等行业，以及容器扩展、区块链扩 展的测评对象，应调研执行的行业标准及其特殊要求。 6.3.3 表单准备 项目组准备的模板、资料等表单应包括但不限于： ——独立、公正、诚信声明； ——测评人员保密协议； ——选用的测评工具清单； ——风险告知书； ——文档交接单； ——会议记录表； ——会议签到表； ——现场测试授权书； ——测评作业指导书； ——工具测试（漏洞扫描、渗透测试）授权书； ——工具测试特殊事项说明； ——整改建议书； ——现场测评 结果记录表； ——会议小结记录表； ——现场测评过程及用户确认表。 6.3.4 工具准备 项目组准备的测评工具应包括但不限于： DB34/T 5160 —2025 4 ——漏洞扫描工具； ——渗透测试工具； ——性能测评工具； ——协议分析工具； ——网络数据抓包工具； ——测评自动化工具和综合管理平台。 方案编制 6.4.1 项目组应根据现场调研情况编制项目《等级测评服务方案》，内容包括但不限于项目概述、测 评对象、测评指标、测评内容、测评方法、项目管理。《等级测评服务方案》格式参见附录 C。 6.4.2 测评机构应对项目《等级测评服务方案》进行论证，并审核批准。 6.4.3 项目组应将批准的项目《等级测评服务方案》提交给 被测评单位进行 确认。 现场测评 6.5.1 召开首次会 6.5.1.1 项目组应组织召开测评首次会，参会人员应包括但不限于被测单位的安全主管、信息系统开 发人员、信息系统维护人员和项目组所有人员。 6.5.1.2 首次会的主要内容应包括通报《项目计划书》和《等级测评服务方案》内容；宣读《独立、 公正、诚信声明》和《风险告知书》；签署《现场测评授权书》、《风险告知书》和《测评人员保密协 议》；对接现场测评需要的人员、资料和环境等各类资源。 6.5.1.3 首次会结束后，项目组应收集、整理和汇总首次会议形成的所有资料，包括但不限于会议签 到表，会议记录表，经确认的《项目计划书》和《等级测评服务方案》，经现场签署的《现场测评授权 书》、《风险告知书》和《测评人员保密协议》。 6.5.2 实施测评 6.5.2.1 等级测评人员应对 被测单位 相关人员进行访谈，并核查被测评单位的相关制度文件及记录表 单。 6.5.2.2 等级测评人员应协助、指导 被测单位相关 技术人员查看相关测评对象的配置，并进行记录。 6.5.2.3 等级测评人员应依据操作规程使用测评设备和工具， 按照 《测评作业指导书》 逐项进行核查。 6.5.2.4 等级测评过程中应完整、准确记录核查结果。 6.5.2.5 等级测评人员应按照《等级测评服务方案》开展验证测试工作，并完整、准确记录验证测试 结果。被测单位对特殊系统拒绝测试工具接入的，应签署《工 具测试特殊事项说明》。 6.5.2.6 验证测试结果应和 被测单位进行 沟通，并口头确认。 6.5.2.7 现场测