1 范圍

      本標準規定了網絡安全等級保護測評機構的能力要求和評估規范。

      本標準適用于擬成為或晉級為更高級網絡安全等級保護測評機構的能力建設、運營管理和資格評定等活動。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 28448 信息安全技術 信息系統安全等級保護測評要求

      GB/T 28449 信息安全技術 網絡安全等級保護測評過程指南

3 術語和定義

      GB/T 28448界定的以及下列術語和定義適用于本文件。

3.1

      能力評估 capability evaluation

      依據標準和（或）其他規范性文件，對測評機構申請單位的能力進行評審、驗證和評價的過程。

3.2

      評估機構 evaluation organization

      對申請成為測評機構的企事業單位進行能力評估的專業技術機構。

3.3

      初次評估 first-time evaluation

      評估機構依據本規范和相關文件，首次對測評機構能力進行核查、驗證和評價的過程。

3.4

      期間評估 continuous evaluation

      為已經獲得推薦證書的測評機構是否持續地符合能力要求而在證書有效期內安排的定期或不定期的評估、抽查等活動。

3.5

      能力復評 capability review

      測評機構推薦證書有效期結束前，由評估機構對其實施全面評估以確認其是否持續符合能力要求，為延續到下一個推薦有效期提供依據的活動。

3.6

      評估員 evaluator

      由評估機構委派，對測評機構實施能力評估的人員。

4 測評機構能力要求

4.1 測評機構的分級

      測評機構的級別代表了網絡安全等級保護測評機構技術水平和業務服務能力的差異。測評機構按能力要求分為三級，級別由低到高依次是I級、II級和皿級，級差是通過增加新的能力要求條款或在原條款基礎上提出增強要求來實現。各級能力增強要求的總結情況見附錄A中表A.1。

4.2 等級測評人員的分級

      測評機構從事等級測評工作的人員按能力要求分為三級，級別由低到高依次是初級、中級、高級，具體要求見附錄B。

4.3 I級測評機構能力要求

4.3.1 基本條件

      測評機構應當具備以下基本條件：

      a）在中華人民共和國境內注冊成立，由中國公民、法人投資或者國家投資的企事業單位；

      b）產權關系明晰，注冊資金500萬元以上，獨立經營核算，無違法違規記錄；

      c）從事網絡安全服務兩年以上，具備一定的網絡安全檢測評估能力；

      d）法定代表人、主要負責人、測評人員僅限中華人民共和國境內的中國公民，且無犯罪記錄；

      e）具有網絡安全相關工作經歷的技術和管理人員不少于15人，專職滲透測試人員不少于2人，崗位職責清晰，且人員相對穩定；

      f）具有固定的辦公場所，配備滿足測評業務需要的檢測評估工具、實驗環境等；

      g）具有完備的安全保密管理、項目管理、質量管理、人員管理、檔案管理和培訓教育等規章制度；

      h）不涉及網絡安全產品開發、銷售或信息系統安全集成等可能影響測評結果公正性的業務（自用除外）；

      i）應具備的其他條件。

4.3.2 組織管理能力

4.3.2.1 測評機構管理者應掌握等級保護政策文件，熟悉相關的標準規范。

4.3.2.2 測評機構應按一定方式組織并設立相關部門，明確其職責、權限和相互關系，保證各項工作的有序開展。

4.3.2.3 測評機構應具有勝任等級測評工作的專業技術人員和管理人員，大學本科（含）以上學歷所占比例不低于70％。

4.3.2.4 測評機構應設置滿足等級測評工作需要的崗位，如測評技術員、測評項目組長、技術主管、質量主管、保密安全員、設備管理員和檔案管理員等，崗位職責明確，人員穩定。

4.3.2.5 測評機構應制定完善的規章制度，包括但不限于以下內容：

      a）項目管理制度

      測評機構應依據GB/T28449制定完備的、符合自身特點的測評項目管理程序，主要應包括測評工作的組織形式、工作職責，測評各階段的工作內容和管理要求等。

      b）設備管理制度

      應包括機構人員在儀器設備（含測評設備和工具）管理中的相關職責、儀器設備的購置、使用和運行維護的各項規定等。

      c）文檔管理制度

      應包括機構人員在測評文檔（含電子文檔）管理中的相關職責、檔案借閱、保管直至銷毀的各項規定等。

      d）人員管理制度

      應包括人員錄用、考核、日常管理以及離職等方面的內容和要求。

      e）培訓教育制度

      應包括培訓計劃的制定、培訓工作的實施、培訓的考核與上崗以及人員培訓檔案建立等內容和要求。

      f）申訴、投訴及爭議處理制度

      應明確包括測評機構各崗位人員在申訴、投訴和爭議處理活動中相應的職責，建立從受理、確認到處置、答復等環節的完整程序。

4.3.3 測評實施能力

4.3.3.1 人員能力

4.3.3.1.1 測評機構從事等級測評工作的專業技術人員（以下簡稱測評人員）應具有把握國家政策，理解和掌握相關技術標準，熟悉等級測評的方法、流程和工作規范等方面的知識及能力，并有依據測評結果做出專業判斷以及出具等級測評報告等任務的能力。

4.3.3.1.2 測評人員應參加由指定評估機構舉辦的專門培訓、考試并取得等級測評師證書。等級測評人員需持證上崗。

4.3.3.1.3 測評技術員、測評項目組長和技術主管崗位人員應分別取得初、中、高級等級測評師證書，測評師數量不應少于15人。

4.3.3.1.4 測評人員除具備等級測評師資格外，每年應參加多種形式的測評業務和技術培訓，測評師每年培訓時長累計不少于40學時。

4.3.3.1.5 測評機構應指定一名技術主管，全面負責等級測評方面的技術工作。

4.3.3.2 測評能力

4.3.3.2.1 測評機構應通過提供案例、過程記錄等資料，證明其具有從事網絡安全相關工作2年以上的工作經驗。

4.3.3.2.2 測評機構應保證在其能力范圍內從事測評工作，并有足夠的資源來滿足測評工作要求，具體體現在以下方面：

      a）安全技術測評實施能力，包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等方面測評指導書的開發、使用、維護及獲取相關結果的專業判斷；

      b）安全管理測評實施能力，包括安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理等方面測評指導書的開發、使用、維護及獲取相關結果的專業判斷；

      c）安全測試與分析能力，指根據實際測評要求，開發與測試相關的工作指導書，借助專用測評設備和工具，實現漏洞發現與問題分析等方面的能力；

      d）整體測評實施能力，指根據測評報告單元測評的結果記錄部分、結果匯總部分和問題分析部分，從安全控制點間、層面間和區域間出發考慮，給出整體測評具體結果的能力；

      e）風險分析能力，指依據等級保護的相關規范和標準，采用風險分析的方法分析等級測評結果中存在的安全問題可能對被測評系統安全造成的影響的能力。

4.3.3.2.3 測評機構應依據測評工作流程，有計劃、按步驟地開展測評工作，并保證測評活動的每個環節都得到有效的控制，具體要求如下：

      a）測評準備階段，收集被測系統的相關資料信息，填寫規范的系統調查表，全面掌握被測評系統的詳細情況，為測評工作的開展打下基礎。

      b）方案編制階段，正確合理地確定測評對象、測評指標及測評內容等，并依據現行有效的技術標

準、規范開發測評方案、測評指導書、測評結果記錄表格等。測評方案應通過技術評審并有相關記錄，測評指導書應進行版本有效性維護，且滿足以下要求：

      1）符合相關的等級測評標準；

      2）提供足夠詳細的信息以確保測評數據獲取過程的規范性和可操作性。

      c）現場測評階段，嚴格執行測評方案和測評指導書中的內容和要求，并依據操作規程熟練地使用測評設備和工具，規范、準確、完整地填寫測評結果記錄，獲取足夠證據，客觀、真實、科學地反映出系統的安全保護狀況，測評過程應予以監督并記錄。

      d）報告編制階段，客觀描述等級保護對象已采取的有效保護措施和存在的主要安全問題情況，指出等級保護對象安全保護現狀與相應等級的保護要求之間的差距，分析差距可能導致被測評系統面臨的風險，給出等級測評結論，形成測評報告，測評報告應依據公安行政主管部門統一制定的網絡安全等級保護測評報告模版的格式和內容要求編寫，測評報告應通過評審并有相關記錄。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。