1 范圍

      本標準規(guī)定了網絡安全等級保護測評機構的能力要求和評估規(guī)范。

      本標準適用于擬成為或晉級為更高級網絡安全等級保護測評機構的能力建設、運營管理和資格評定等活動。

2 規(guī)范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 28448 信息安全技術 信息系統(tǒng)安全等級保護測評要求

      GB/T 28449 信息安全技術 網絡安全等級保護測評過程指南

3 術語和定義

      GB/T 28448界定的以及下列術語和定義適用于本文件。

3.1

      能力評估 capability evaluation

      依據(jù)標準和（或）其他規(guī)范性文件，對測評機構申請單位的能力進行評審、驗證和評價的過程。

3.2

      評估機構 evaluation organization

      對申請成為測評機構的企事業(yè)單位進行能力評估的專業(yè)技術機構。

3.3

      初次評估 first-time evaluation

      評估機構依據(jù)本規(guī)范和相關文件，首次對測評機構能力進行核查、驗證和評價的過程。

3.4

      期間評估 continuous evaluation

      為已經獲得推薦證書的測評機構是否持續(xù)地符合能力要求而在證書有效期內安排的定期或不定期的評估、抽查等活動。

3.5

      能力復評 capability review

      測評機構推薦證書有效期結束前，由評估機構對其實施全面評估以確認其是否持續(xù)符合能力要求，為延續(xù)到下一個推薦有效期提供依據(jù)的活動。

3.6

      評估員 evaluator

      由評估機構委派，對測評機構實施能力評估的人員。

4 測評機構能力要求

4.1 測評機構的分級

      測評機構的級別代表了網絡安全等級保護測評機構技術水平和業(yè)務服務能力的差異。測評機構按能力要求分為三級，級別由低到高依次是I級、II級和皿級，級差是通過增加新的能力要求條款或在原條款基礎上提出增強要求來實現(xiàn)。各級能力增強要求的總結情況見附錄A中表A.1。

4.2 等級測評人員的分級

      測評機構從事等級測評工作的人員按能力要求分為三級，級別由低到高依次是初級、中級、高級，具體要求見附錄B。

4.3 I級測評機構能力要求

4.3.1 基本條件

      測評機構應當具備以下基本條件：

      a）在中華人民共和國境內注冊成立，由中國公民、法人投資或者國家投資的企事業(yè)單位；

      b）產權關系明晰，注冊資金500萬元以上，獨立經營核算，無違法違規(guī)記錄；

      c）從事網絡安全服務兩年以上，具備一定的網絡安全檢測評估能力；

      d）法定代表人、主要負責人、測評人員僅限中華人民共和國境內的中國公民，且無犯罪記錄；

      e）具有網絡安全相關工作經歷的技術和管理人員不少于15人，專職滲透測試人員不少于2人，崗位職責清晰，且人員相對穩(wěn)定；

      f）具有固定的辦公場所，配備滿足測評業(yè)務需要的檢測評估工具、實驗環(huán)境等；

      g）具有完備的安全保密管理、項目管理、質量管理、人員管理、檔案管理和培訓教育等規(guī)章制度；

      h）不涉及網絡安全產品開發(fā)、銷售或信息系統(tǒng)安全集成等可能影響測評結果公正性的業(yè)務（自用除外）；

      i）應具備的其他條件。

4.3.2 組織管理能力

4.3.2.1 測評機構管理者應掌握等級保護政策文件，熟悉相關的標準規(guī)范。

4.3.2.2 測評機構應按一定方式組織并設立相關部門，明確其職責、權限和相互關系，保證各項工作的有序開展。

4.3.2.3 測評機構應具有勝任等級測評工作的專業(yè)技術人員和管理人員，大學本科（含）以上學歷所占比例不低于70％。

4.3.2.4 測評機構應設置滿足等級測評工作需要的崗位，如測評技術員、測評項目組長、技術主管、質量主管、保密安全員、設備管理員和檔案管理員等，崗位職責明確，人員穩(wěn)定。

4.3.2.5 測評機構應制定完善的規(guī)章制度，包括但不限于以下內容：

      a）項目管理制度

      測評機構應依據(jù)GB/T28449制定完備的、符合自身特點的測評項目管理程序，主要應包括測評工作的組織形式、工作職責，測評各階段的工作內容和管理要求等。

      b）設備管理制度

      應包括機構人員在儀器設備（含測評設備和工具）管理中的相關職責、儀器設備的購置、使用和運行維護的各項規(guī)定等。

      c）文檔管理制度

      應包括機構人員在測評文檔（含電子文檔）管理中的相關職責、檔案借閱、保管直至銷毀的各項規(guī)定等。

      d）人員管理制度

      應包括人員錄用、考核、日常管理以及離職等方面的內容和要求。

      e）培訓教育制度

      應包括培訓計劃的制定、培訓工作的實施、培訓的考核與上崗以及人員培訓檔案建立等內容和要求。

      f）申訴、投訴及爭議處理制度

      應明確包括測評機構各崗位人員在申訴、投訴和爭議處理活動中相應的職責，建立從受理、確認到處置、答復等環(huán)節(jié)的完整程序。

4.3.3 測評實施能力

4.3.3.1 人員能力

4.3.3.1.1 測評機構從事等級測評工作的專業(yè)技術人員（以下簡稱測評人員）應具有把握國家政策，理解和掌握相關技術標準，熟悉等級測評的方法、流程和工作規(guī)范等方面的知識及能力，并有依據(jù)測評結果做出專業(yè)判斷以及出具等級測評報告等任務的能力。

4.3.3.1.2 測評人員應參加由指定評估機構舉辦的專門培訓、考試并取得等級測評師證書。等級測評人員需持證上崗。

4.3.3.1.3 測評技術員、測評項目組長和技術主管崗位人員應分別取得初、中、高級等級測評師證書，測評師數(shù)量不應少于15人。

4.3.3.1.4 測評人員除具備等級測評師資格外，每年應參加多種形式的測評業(yè)務和技術培訓，測評師每年培訓時長累計不少于40學時。

4.3.3.1.5 測評機構應指定一名技術主管，全面負責等級測評方面的技術工作。

4.3.3.2 測評能力

4.3.3.2.1 測評機構應通過提供案例、過程記錄等資料，證明其具有從事網絡安全相關工作2年以上的工作經驗。

4.3.3.2.2 測評機構應保證在其能力范圍內從事測評工作，并有足夠的資源來滿足測評工作要求，具體體現(xiàn)在以下方面：

      a）安全技術測評實施能力，包括物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全等方面測評指導書的開發(fā)、使用、維護及獲取相關結果的專業(yè)判斷；

      b）安全管理測評實施能力，包括安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理等方面測評指導書的開發(fā)、使用、維護及獲取相關結果的專業(yè)判斷；

      c）安全測試與分析能力，指根據(jù)實際測評要求，開發(fā)與測試相關的工作指導書，借助專用測評設備和工具，實現(xiàn)漏洞發(fā)現(xiàn)與問題分析等方面的能力；

      d）整體測評實施能力，指根據(jù)測評報告單元測評的結果記錄部分、結果匯總部分和問題分析部分，從安全控制點間、層面間和區(qū)域間出發(fā)考慮，給出整體測評具體結果的能力；

      e）風險分析能力，指依據(jù)等級保護的相關規(guī)范和標準，采用風險分析的方法分析等級測評結果中存在的安全問題可能對被測評系統(tǒng)安全造成的影響的能力。

4.3.3.2.3 測評機構應依據(jù)測評工作流程，有計劃、按步驟地開展測評工作，并保證測評活動的每個環(huán)節(jié)都得到有效的控制，具體要求如下：

      a）測評準備階段，收集被測系統(tǒng)的相關資料信息，填寫規(guī)范的系統(tǒng)調查表，全面掌握被測評系統(tǒng)的詳細情況，為測評工作的開展打下基礎。

      b）方案編制階段，正確合理地確定測評對象、測評指標及測評內容等，并依據(jù)現(xiàn)行有效的技術標

準、規(guī)范開發(fā)測評方案、測評指導書、測評結果記錄表格等。測評方案應通過技術評審并有相關記錄，測評指導書應進行版本有效性維護，且滿足以下要求：

      1）符合相關的等級測評標準；

      2）提供足夠詳細的信息以確保測評數(shù)據(jù)獲取過程的規(guī)范性和可操作性。

      c）現(xiàn)場測評階段，嚴格執(zhí)行測評方案和測評指導書中的內容和要求，并依據(jù)操作規(guī)程熟練地使用測評設備和工具，規(guī)范、準確、完整地填寫測評結果記錄，獲取足夠證據(jù)，客觀、真實、科學地反映出系統(tǒng)的安全保護狀況，測評過程應予以監(jiān)督并記錄。

      d）報告編制階段，客觀描述等級保護對象已采取的有效保護措施和存在的主要安全問題情況，指出等級保護對象安全保護現(xiàn)狀與相應等級的保護要求之間的差距，分析差距可能導致被測評系統(tǒng)面臨的風險，給出等級測評結論，形成測評報告，測評報告應依據(jù)公安行政主管部門統(tǒng)一制定的網絡安全等級保護測評報告模版的格式和內容要求編寫，測評報告應通過評審并有相關記錄。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。