《网络安全等级保护测评服务规范》DB34T 5160-2025.docxVIP

ICS35.020CCSA16

DB34

安徽省地方标准

DB34/T5160—2025

网络安全等级保护测评服务规范

Specificationforevaluationserviceofclassifiedprotectionofcybersecurity

2025-06-06实施2025-05-06发布

2025-06-06实施

安徽省市场监督管理局发布

I

DB34/T5160—2025

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由安徽省公安厅提出并归口。

本文件起草单位：合肥市公安局、安徽省公安厅网络安全保卫总队、合肥天帷信息安全技术有限公司、安徽省电子产品监督检验所、安徽科测信息技术有限公司、安徽祥盾信息科技有限公司、安徽溯源电子科技有限公司、安徽万弗检测技术有限公司、安正网络安全技术有限公司、华测风雪检测技术有限公司、安徽国康网络安全测评有限公司、安徽信科共创信息安全测评有限公司、安徽省大数据中心、合肥市信息中心、淮北市公安局网络安全保卫支队、六安市公安局网络安全保卫支队、六安市数据资源管理局、亳州市数据资源管理局、淮北市数据资源管理局、凤阳县数据资源管理局。

本文件主要起草人：冯响林、左晓坤、杨波、王亮、唐珂、任仁、方雪峰、汪正文、郝雪元、王亭亭、唐远航、王智海、胡兴元、武建双、郭凯、朱克涛、姜思思、刘芝影、陈萌、方成成、许阿伟、罗晓军、张春辉、路安、张锦睿、朱典、胡飞、丁晓、韩程程、白修灵、程博、翁挡挡、刘伟、刘智伟、许客、胡朋子、翟清颖。

DB34/T5160—2025

1

网络安全等级保护测评服务规范

1范围

本文件规定了网络安全等级保护测评服务的流程及要求。

本文件适用于网络安全等级保护测评服务。

注：在不引起混淆的情况下，本文件中的“网络安全等级保护测评”简称为“等级测评”。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T25069—2022信息安全技术术语

GB/T28448—2019信息安全技术网络安全等级保护测评要求

GB/T28449信息安全技术网络安全等级保护测评过程指南

GB/T36959—2018信息安全技术网络安全等级保护测评机构能力要求和评估规范

3术语和定义

GB/T22239—2019、GB/T28448—2019、GB/T25069—2022和GB/T36959—2018界定的以及下列术语和定义适用于本文件。

3.1

网络安全等级保护测评服务evaluationserviceforclassifiedprotectionofcybersecurity

测评机构依据国家网络安全保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密测评对象的网络安全等级保护状况进行检测评估的过程。

4基本要求

4.1机构

4.1.1从事等级测评服务的机构应具有独立法人资格或为独立法人组织中的独立部门。

4.1.2从事等级测评服务的机构应取得等级测评服务认证证书。

4.2人员

4.2.1从事等级测评服务的人员应满足GB/T36959—2018的人员要求。

4.2.2从事等级测评服务的人员应具有信息安全或网络安全等级保护测评师证书，并由测评机构配发上岗证。

4.3场地和工具

2

DB34/T5160—2025

4.3.1测评机构应具有固定的办公场所。

4.3.2测评机构应配备满足测评业务需求的设施设备和检测工具。

4.4管理制度

测评机构应建立项目管理、质量管理、设备管理、人员管理、教育培训管理、文档管理、保密管理、申诉投诉及争议处理等制度。

4.5档案管理

等级测评服务过程中形成的文档、记录、资料等应保存三年以上，并由专人负责保管。

5服务流程

等级测评服务流程见图1。

沟通接洽

沟通接洽

签订合同

测评准备

方案编制

现场测评

报告编制

报告交付

图1等级测评服务流程图

6服务要求

6.