网络安全等级保护：测评机构业务范围和工作要求及风险控制

等级测评体系的建设主要包括测评机构的建设和规范管理，以及测评人员和测评活动的规范和管理。测评机构自然是由测评人员以一定组织形式，组成的一个机构。对机构的管理，一定程度上是对一个整体的管理，这个是针对法人的；而针对测评师的管理，则是具体到个人，这个是具体到每一个参与等级保护工作的自然人。自然人的不确定性，自然会引发法人的不稳定性。若管理缺失或管理失当，则会引入新的风险。在安全思考管理过程中，曾经我个人感慨说，法律规则是防止人变坏，而道德责任鼓励人变好。所有的规则，都是围墙也是保护墙，正确理解了，围墙就是保护我们的墙，不正确理解保护我们的墙就变成了南墙。

测评机构的业务范围和工作要求

1．业务范围

测评机构除了从事等级测评活动，还可以从事网络安全等级保护定级、等级保护安全建设整改、网络安全等级保护宣传教育等工作的技术支持，以及风险评估、网络安全培训、应急保障、安全运维、网络安全咨询和网络安全工程监理等工作。从业务范围内，大家应该可以看到，网络安全等级保护定级、等级保护安全建设整改、网络安全等级保护教育等工作也是非常重要的，当然这也是独立出来的服务。网络安全是相对持续性的，没有网络安全就没有国家安全，网络安全是动态的，需要我们夯实基础的不断跟进技术发展，提升防护能力。

2.工作要求

从事等级测评工作的机构及其人员应当遵守国家有关法律法规，依据国家有关技术标准和中关村信息安全测评联盟发布的《网络安全等级测评与检测评估机构自律规范》的相关规定，开展客观、公正、安全的测评服务，不得从事危害国家安全、社会秩序、公共利益及被测单位利益的活动。注：随着等级测评机构认证工作由公安机关移交认证认可委，原来的《网络安全等级保护测评机构管理办法》已作废，由《网络安全等级测评与检测评估机构自律规范》形成自律。测评机构应当按照公安部统一制定的《网络安全等级保护等级测评报告模板》规定的格式出具测评报告，根据网络规模和所投入的成本合理收取测评服务费用。测评机构应严格按照网络安全等级保护标准规范独立开展等级测评工作，依据《网络安全等级保护等级测评报告模板》出具网络安全等级测评报告，确保测评质量，全面、客观地反映被测网络的安全保护状况。测评机构开展测评项目不受地域、行业限制。等级测评机构应于测评活动（含异地测评项目）实施前5个工作日内，通过项目管理系统填报测评项目基本情况，不得于测评项目完成后进行补录。由于项目实施变更导致已登记信息与实际情况不符的，应及时修改并说明理由。测评项目实施过程中，等级测评机构应自觉接受公安机关对测评活动的监督管理，自觉接受被测评单位和广大人民群众的监督。测评项目完成后，测评机构应请被测评单位对测评服务情况进行评价，评价情况表由被测单位反馈测评机构，测评机构进行分析处理、改进服务质量，并留存备查。

其实做任何事都存在风险，特别是做的事情与安全相关，而信息安全又具有一定的隐蔽性，在测评过程中，难免存在一定的不确定性的风险。风险存在是正常的事情，如何规避风险才是我们要做的事情。今天这期内容，对存在的风险进行一个梳理，以便我们了解。风险包括网络敏感信息泄漏、验证测试可能会对网络运行造成影响、工具测试可能对网络运行造成影响，特别是工控系统可用性要求更高。了解风险也是为规避风险做准备，在了解风险的基础上进行风险规避，其中包括签署保密协议、签署委托测评协议、现场测评工作风险的规避、规范化的实施过程、沟通与交流等都是规避风险的重要内容。在《网络安全等级保护：明确测评双方的责任从了解测评过程指南开始（思维导图下载）》我也谈到，等级测评工作是责任单位与测评机构共同协作开展的。而在这个过程中，责任单位一直是作为直接责任方，而测评机构则作为间接责任方，向公安机关提供的所有材料，从法理上将都是以责任单位提交，只是在这个过程中，责任单位委托了测评机构代为送达，协助责任单位更顺畅的处理各种细节性工作。正是因为如此，测评过程中的责任、风险、监管都是责任单位需要直接负责的。

存在的风险

等级测评过程中可能存在以下风险。

1．网络敏感信息泄漏

泄漏被检测单位网络状态信息，例如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。

2．验证测试可能会对网络运行造成影响

在现场进行测评时，需要对设备和网络进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对网络的运行造成一定的影响，甚至存在误操作的可能。

3．工具测试可能会对网络运行造成影响

在现场测评时，会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对网络的负载造成一定的影响，漏洞扫描测试和渗透测试可能会对服务器和网络通信造成一定影响甚至伤害。

风险的规避

在等级测评过程中，可以采取以下措施规避风险。

1．签署保密协议

测评双方应签署完善的、合乎法律规范的保密协议，以约束测评双方现在和将来的行为。保密协议规定了测评双方在保密方面的权利与义务。测评工作的成果由被测网络的运营者所有，测评机构对其的引用和公开应得到被测网络的运营者的授权，否则被测网的运营者将按照保密协议的要求追究测评机构的法律责任。

2．签署委托测评协议

在测评工作正式开始之前，测评方和被测网络的运营者需要以委托测评协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求及双方的责任和义务等，使测评双方对测评过程中的基本问题达成共识，并以此为基础开展后续工作，避免在后续工作中出现大的分歧。

3．现场测评工作风险的规避

在进行验证测试和工具测试时，测评机构需要与测评委托单位充分协调，合理安排测试时间，尽量避开业务高峰期，例如在系统资源处于空闲状态时进行，被测网络的运营者需要对整个测试过程进行监督。在进行验证测试和工具测试之前，需要对关键数据做好备份工作，并对可能出现的影响制定相应的处理方案。上机验证测试原则上由被测系统网络运营者的相应技术人员进行操作，测评人员根据情况提出需要操作的内容并进行查看和验证，避免由于测评人员对某些专用设备不熟悉造成误操作。测评机构应在使用测试工具前将相关信息告知被测网络的运营者，详细介绍这些工具的用途及可能对网络造成的影响，并征得网络运营者的同意。

4．规范化的实施过程

为保证按计划、高质量地完成测评工作，应当明确测评记录和测评报告的要求，明确测评过程中每一阶段需要产生的相关文档，使测评有章可循。在委托测评协议、现场测评授权书和测评方案中，需要明确双方的人员职责、测评对象、时间计划、测评内容要求等。

5．沟通与交流

为避免测评工作中可能出现的争议，在测评开始前与测评过程中，双方需要进行积极有效的沟通和交流，及时解决测评中出现的问题，这对保证测评的过程质量和结果质量有重要作用。